Svět okolo nás není ideální a vždy se v něm bude vyskytovat skupina amorálních jedinců, kteří se hodlají živit na úkor či ke škodě ostatních1 . Je lhostejné, zda se takováto činnost odehrává ve světě „reálném“ či „virtuálním“, avšak virtuální prostor, který v současné době představuje neoddělitelnou součást naší každodenní existence, takovéto jednání výrazně usnadňuje. Důvodů pro toto tvrzení je několik.
phishing vzdělávání koncových uživatelů praktické cvičení trestněprávní odpovědnost Phishingator
V současnosti v podstatě nelze nalézt oblast lidské činnosti, kde by se přímo nebo zprostředkovaně nevyužívaly informační a komunikační technologie. Kyberprostor jakožto relativně komplexní prostor všech našich aktivit však není zcela přirozeným prostředím pro řadu uživatelů, což výrazně usnadňuje negativní jednání útočníků. Dalším aspektem usnadňujícím realizaci kybernetického útoku je uživatel sám. Řada uživatelů neprošla žádným vzděláním v oblasti kybernetické bezpečnosti, nebyly jim prezentovány hrozby spojené s konkrétními kybernetickými útoky ani možnosti ochrany.
Cílem tohoto článku je představit možnosti efektivní edukace uživatelů v oblasti ochrany před kybernetickým útokem typu „phishing“. Na základě zkušeností v oblasti penetračního testování jsme zjistili, že nejefektivnějším způsobem vzdělávání uživatelů je, když si zažijí kybernetický útok „na vlastní kůži“, ale v bezpečném a kontrolovaném prostředí spojeném s edukativním prvkem.
Proč phishing?
Dnešní kyberútočník si v případě útoku na organizaci či jedince de facto může vybrat ze dvou cest. Ta první spočívá v útoku na technickou podstatu používaných systémů, kdy jsou hledány a následně zneužívány vhodné zranitelnosti. Nevýhodu představuje skutečnost, že cílové systémy mohou být různorodé, tj. mohou být založené na různých platformách, mít různé verze operačních systémů, být odlišně nakonfigurované a také zcela odlišně zabezpečené. Nevýhodou takto provedeného útoku jsou i změny uvedených systémů v čase (např. díky aktualizacím, aplikovaným bezpečnostním opatřením aj.). Ve výsledku si útočník musí neustále udržovat odpovídající technické znalosti, což významně snižuje poměr zisku vůči vynaloženému úsilí k jeho získání.
Druhou cestu představuje zaměření útoku na obsluhu, tedy uživatele a správce vyhlédnutých systémů. Naprostá většina lidí totiž má tendenci reagovat ve stresových situacích velmi podobně, tedy predikovatelně. Útočníkovi stačí svou oběť vmanipulovat do příslušné situace a následně ji předem připraveným postupem přimět provést požadovanou činnost nebo poskytnout klíčové informace. Místo hlubokých technických znalostí v tomto případě stačí, aby útočník ovládal základní metody psychologického nátlaku(sociálního inženýrství). Hlavní myšlenkou sociálního inže - nýrství je nevyužívat pouze technické přístupy či nástroje např. k prolomení hesla. Mnohem jednodušší je uvést oběť v omyl, kdy sama dobrovolně provede požadovanou činnost (např. prozradí své heslo).
Z pohledu „kyberpodvodníka“ je vysilující a ne zcela efektiv - ní manipulovat uživatele pokaždé, když potřebuje realizovat nějakou činnost související se správou jeho počítačového systému. Proto je primárním cílem „kyberpodvodníka“ sna - ha o získání přístupových údajů, tyto nekompromitovat je - jich zveřejněním či prodejem, ale naopak je využívat k dlou - hodobější správě napadeného počítačového systému či služby. Této situaci je možné zamezit vhodným nastavením bezpečnostních pravidel přístupu k uvedeným systémům nebo službám. Historicky je však stále nejpoužívanější me - todou autentizace uživatele vůči počítačovému systému či službě, uživatelské jméno a heslo.
Autoři článku jsou si plně vědomi skutečnosti, že útoky podvodného typu, mezi které se phishing řadí, jsou zpravi - dla netechnickým typem útoku využívajícím primárně so - ciální inženýrství, klam a vyvolání důvěry v oběti. Nicméně nejslabším článkem každého bezpečnostního systému je a vždy bude právě uživatel (člověk). Jelikož na světě nemůže existovat počítačový systém, který by alespoň v nějaké fázi svého životního cyklu nebyl závislý na člověku (ať již jde o zprovoznění, nastavení či údržbu systému), předsta - vuje nejjednodušší cestu získání potřebných informací právě od člověka.2
Obr. 1: Podvodné „vrácení peněz“
Počet kybernetických útoků podvodného typu neustá - le vzrůstá. V roce 2022 byl např. dvojnásobný oproti roku 2021.3 Počet útoků „klasickým phishingem“ neklesá, je však možné sledovat aktivity spočívající v modifikaci těchto útoků či jejich doplnění o další techniky sociálního inženýrství. V současné době se lze běžně setkat se třemi základními typy phishingu:
- Žádost o zaslání informací. Útočník pod smyšlenou záminkou požaduje zaslání přihlašovacích údajů jako odpověď (viz Obr. 1). Sbírány jsou všechny zaslané informace. Jedná se o velmi primitivní způsob útoku, nicméně je mnohdy stále úspěšný. Záminkou pro zadání údajů může být finanční pomoc státu, neziskové organizace či možnost výhodného investování (tzv. investiční podvody) aj.
- Odkaz na podvodnou stránku. Útočník naláká uživatele na svou vlastní webovou stránku, která je vizuálně shodná s regulérní přihlašovací stránkou, a nutí uživatele se zde přihlásit svým jménem a heslem. Zadané údaje jsou opět sbírány. V současné době je tento typ phishingu velmi často využíván v rámci tzv. reverzních inzertních podvodů. Pachatelé reagují na inzeráty na inzertních portálech a osloví prodávajícího s tím, že mají o zboží zájem, přičemž nabízejí, že zboží uhradí skrze platební bránu dopravce – typicky Zásilkovna, PPL, DPD aj. Cílem útočníka však je, aby oběť zadala do podvodné stránky údaje o své platební kartě. Příklad falešné stránky Zásilkovny je možné vidět na Obr. 2 a 3. Útočník zde využil doménu https://zasilkovna-cz.every-pay.site a vizuální styl stránky https://www.zasilkovna.cz. Tyto dva faktory měly u oběti navodit důvěru a donutit ji vložit přihlašovací údaje ke svému platebnímu prostředku. Útočník může při nalákání uživatele na svoji podvodnou stránku využít např. i strachu. V příkladu uvedeném na Obr. 4 se útočník vydával za společnost Apple a „informoval uživatele“, že jeho Apple ID bylo úspěšně změněno. Toto „varování“ mělo v oběti vyvolat paniku, a ta místo aby se ke svému účtu přihlásila přes https:// www.icloud.com/, měla kliknout na podvržený odkaz. Všechny odkazy uvedené v e-mailu vedly na phishingovou stránku https://apple-maill.shop/?verification.
- Závadná příloha. Útočník zašle v příloze spustitelný soubor nebo soubor s kódem/makrem (PDF, .* Office apod.), případně přidá odkaz ke stažení souboru a uživatele nutí jej spustit (viz Obr. 5). Následně se aktivuje malware a kompromituje počítačový systém uživatele. Jednou z činností malwaru může být sbírání přihlašovacích údajů, proto je tento typ podvodu řazen mezi phishing.
Obr. 2: Podvodná stránka útočníka imitující stránku https://www.zasilkovna.cz
Obr. 3: Podvodná stránka útočníka vyžadující zadání údajů o platebním prostředku oběti
Varianta s odkazem na podvodnou přihlašovací stránku je používána ze všech uvedených variant nejčastěji. Jak již bylo řečeno, tento typ útoku využívá primárně lidské důvěry, naivity, neobezřetnosti, nezkušenosti a mnohdy i neznalosti. Současně dochází ze strany útočníků k významnému posunu v kvalitě phishingových kampaní.
V dnešní době sice mohou stále přetrvávat některé varovné znaky, jako jsou např. e-mailová adresa, pozdrav v úvodu e-mailu, špatná gramatika, cizojazyčný e-mail aj.4 , ale rozvoj některých technologií uvedené nedostatky či pochybení útočníka může stírat (viz Obr. 6).
Proaktivní obrana proti phishingu
Každý uživatel je vystaven riziku, že se jej útočník bude snažit zmanipulovat. Techniky sociálního inženýrství mohou být přítomny v jakékoli formě komunikace (osobní, telefonické, klasickou poštou, elektronickou poštou, na sociálních sítích apod.,) avšak „kyberpodvodníci“ zpravidla preferují takovou komunikaci, která pro ně není riziková (tj. primárně ta, u které jim nehrozí fyzický kontakt s obětí) a současně je možné ji co nejvíce automatizovat, a tudíž oslovit relativně snadně velké množství potenciálních obětí.
V rámci elektronické komunikace je možné uživatele e-mailových schránek organizace částečně ochránit pomocí řady technických opatření (např. antispamové nebo přímo antiphishingové filtry, blokování komunikace se závadnými mail servery nebo podvodnými weby aj.), nicméně žádné technické opatření nemůže být stoprocentně účinné a v řadě případů je nutné se spoléhat pouze na schopnosti uživatele podvod rozpoznat a správně na něj zareagovat. Každý uživatel je však jiný, má jiné schopnosti, profesní zaměření, znalosti nebo i intuici, takže odolnost různých uživatelů proti vlastnímu phishingovému útoku je také značně různorodá.
Obr. 4: Falešné varování o změně Apple ID
Obr. 5: Malware v příloze phishingového e-mailu
K odstranění těchto rozdílů může výraznou měrou přispět edukace. Proto bývají pro uživatele pořádána školení, na kterých jim je vysvětlena podstata problému a je popsáno, co a proč se od nich očekává. Výstupem takového teoretického školení je sice poučený uživatel, ale vysvětlené postupy si zatím v praxi zpravidla nijak nevyzkoušel a jeho reakce na skutečný útok není předvídatelná. Nejúčinnější metodou učení je ponaučení se ze svých chyb, zejména v případech, kdy došlo k újmě, která je vnímána jako vlastní. Tento způsob edukace však není predikovatelný a ani žádaný, protože může dojít k reálným škodám. Vhodnou kombinaci teoretické přípravy a poučení se ze skutečného útoku představuje praktický, plánovaný a předem připravený cvičný útok. Takový trénink je vhodným doplňkem, ať už jde o evakuaci při požáru, kardiopulmonární resuscitaci nebo reakci na phishing.
Cvičný phishing
U sociálního inženýrství, které je nezbytnou součástí phishingových útoků, se praktický nácvik reakce jeví jako vysloveně vhodný, protože psychologický nátlak, který je součástí vlastního útoku, spočívá v cíleném vystresování uživatele a zneužití jeho pudových reakcí. Během teoretického školení uživateli nic nehrozí, takže se může soustředit na výklad a ten mu přijde jasný a zřejmý. Úplně odlišná situace však nastává ve chvíli, kdy uživatel v e-mailu obdrží např. exekuční výzvu a na reakci má omezený čas. Pokud by měl uživatel možnost setkat se s neškodnými cvičnými phishingovými e-maily, aby si mohl vyzkoušet své reakce a naučil se potlačovat pudové jednání ve prospěch logického uvažování, lze předpokládat, že by si výrazně zvýšil svou odolnost proti phishingu jako takovému.
Legální limity testovacích phishingových kampaní
Z praktických zkušeností s prováděním penetračního testování v podobě nejen phishingových kampaní vyplývá, že zájemci o tato testování a školení velmi často vyjadřují obavy, zda se objednávkou phishingu nedopouštějí protiprávního jednání. Příkladem budiž klient, který obavy popsal slovy: „Přece když si smluvně objednám vraždu u nájemného vraha, taky nebudu bez viny.“
Při snaze o zvyšování bezpečnosti počítačových systémů je možné legálně provádět celou řadu činností, přičemž některé z nich mohou spočívat i v samotném cíleném testování (např. zabezpečení, nastavení, zranitelnosti aj.) těchto systémů a jejich uživatelů. V případě proaktivních phishingových kampaní je zřejmě na místě hovořit o cíleném a předem dojednaném testování. V tomto případě bude vhodné využít především institutu svolení poškozeného (viz § 30 zák. č. 40/2009 Sb., trestní zákoník, dále jen „TZK“)5 , neboť osoba, která si testování objedná, se s testujícím subjektem domluví na vlastních podmínkách provádění testování. Taktéž by u předem dojednaného testování s jasně nastavenými parametry nemělo dojít ani k naplnění znaku protiprávnosti, který je obligatorním znakem skutkové podstaty trestného činu „Neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací“ dle § 230 odst. 1 TZK.
Obr. 6: Využití ChatGPT k vytvoření phishingového e-mailu
Otázkou je, zda by k naplnění znaků této skutkové podstaty ryze hypoteticky nemohlo dojít při testování v organizaci, kdy budou testováni zaměstnanci nebo spolupracovníci této organizace (využívající svěřené prostředky – typicky účty, ICT aj.), kteří by cvičnou phishingovou kampaní zasaženi byli a nedali explicitní souhlas k vlastnímu testování. Je zřejmé, že získání explicitního souhlasu všech potencionálně testovaných osob není mnohdy reálně proveditelné a ani možné.
V rámci předejití případným sporům je vhodné, aby organizace měla zavedené procesy, typicky kodifikované ve vnitřním předpisu organizace, umožňující testování a prokazování dodržování pravidel bezpečnosti či kybernetické bezpečnosti. Je vhodné, aby zaměstnavatel prokazatelně upozornil zaměstnance či další testované osoby na možnost uvedeného testování zabezpečení; nastavil vhodné principy garantující nezneužití dat uživatelů; upravil vnitřním předpisem pravidla a principy daného testování; stanovil procesy aj. Se subjektem, který vlastní testování provádí, by pak měla být uzavřena smlouva jasně definující limity testování.
V rámci realizovaných cvičných phishingových kampaní testování se autoři často setkali se situací, kdy uživatel po neúspěšném přihlášení na cvičnou phishingovou stránku za použití „firemních přihlašovacích údajů“ začal do této stránky vkládat přihlašovací údaje soukromé. Výše popsané jasné informování uživatelů o možném testování a nastavení jasných podmínek testování tak může chránit i testery.
Testování a prokazování kybernetické odolnosti je i jedním z klíčových prvků strategie kybernetické bezpečnosti EU.6 S popisovanou problematikou penetračního testování pak bezprostředně souvisí i problematika koordinovaného zveřejňování zranitelností (Coordinated Vulnerability Disclosure dále také „CVD“).7 CVD představuje formalizovaný proces primárně založený na svolení či souhlasu testované osoby (fyzické či právnické) s tímto testováním a objevováním zranitelností. Zranitelnost v tomto kontextu představuje označení pro slabé místo aktiva, softwaru, zabezpečení, které může být využito jednou nebo více hrozbami. Dle § 2 písm. f) vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti, jsou podpůrným aktivem i „zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému“. Z tohoto pohledu je na místě v rámci CVD testovat i zranitelnost uživatelů (aktiv) a nedostatky v jejich přístupu či správě dalších aktiv organizace.
Nezbytnou součástí CVD je následná notifikace objevené zranitelnosti vlastníkovi/správci aktiva za účelem provedení bezpečnostní opravy. Přijetí rámce CVD na mezinárodní a národní úrovni může významnou měrou přispět k posílení právní jistoty při provádění penetračního testování.
Co jsme se dozvěděli
Phishing představuje jednu z významných bezpečnostních hrozeb, která je v současné době na vzestupu a bezprostředně ohrožuje jak koncové uživatele, tak organizace. Pro útočníka je velmi snadné rozeslat enormní množství phishingových zpráv při minimální námaze, takže i při relativně nízké návratnosti je pro něj phishing lukrativní.
Možnou efektivní obranu proti tomuto ne zcela technickému útoku představuje praktický nácvik a následná edukace uživatelů. Jak si je možné vytvořit vlastní cvičnou phishingovou kampaň, popíše druhá část tohoto článku.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Poznámky pod čarou:
- SCHNEIER, Bruce, 2012. Liars and Outliers: Enabling the Trust that Society Needs to Thrive. Indiana. USA: John Wiley. ISBN 978-1-118-14330-8.
- KOLOUCH, Jan, 2016. CyberCrime. Praha: CZ.NIC. CZ.NIC. ISBN 978-80- 88168-15-7. s. 186
- Blíže viz např.: Phishing Activity Trends Reports [online]. [cit. 2023-05-12]. Dostupné z: https://apwg.org/trendsreports/ The number of phishing attacks doubled to reach over 500 million in 2022 [online]. [cit. 2023-05-12]. Dostupné z: https://www.kaspersky.com/about/ press-releases/2023_the-number-of-phishing-attacks-doubled-to-reach-over-500-million-in-2022
- Blíže viz např.: Phishing stojí za třetinou průniků: Jak poznat škodlivé e-maily? [online]. [cit. 2023-05-12]. Dostupné z: https://www.eset.com/cz/blog/ prevence/phishing-stoji-za-tretinou-pruniku-jak-poznat-skodlive-e-maily/
- Využití pojmu svolení poškozeného vychází z dikce trestního práva hmotného. Tento ustálený termín však ne zcela přesně vystihuje situaci, ke které v praxi dochází. Pokud osoba souhlasí s omezením, porušením či jiným zásahem do svých práv, pak není poškozena.
- Viz např. recitály 28, 86, 87 SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2). Dále jen „NIS 2“.
- Blíže viz např. Recitály 58, 60, 61, 121 a článek 12 NIS2 Coordinated Vulnerability Disclosure policies in the EU [online]. In: European Union Agency for Cybersecurity, April 2022 [cit. 2023-04-19]. ISBN 978-92- 9204-575-3. Dostupné z: doi:10.2824/983447
Použité zdroje:
[ 1 ] Coordinated Vulnerability Disclosure policies in the EU [online]. In: European Union Agency for Cybersecurity, April 2022 [cit. 2023-04-19]. ISBN 978-92-9204-575-3. Dostupné z: doi:10.2824/983447
[ 2 ] KOLOUCH, Jan, 2016. CyberCrime. Praha: CZ.NIC. CZ.NIC. ISBN 978-80-88168-15-7. s. 186
[ 3 ] Phishing Activity Trends Reports [online]. [cit. 2023-05-12]. Dostupné z: https://apwg.org/trendsreports/
[ 4 ] SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2)
[ 5 ] Phishing stojí za třetinou průniků: Jak poznat škodlivé e-maily? [online]. [cit. 2023-05-12]. Dostupné z: https://www.eset.com/cz/blog/ prevence/phishing-stoji-za-tretinou-pruniku-jak-poznat-skodlive-e-maily/ [ 6 ] SCHNEIER, Bruce, 2012. Liars and Outliers: Enabling the Trust that Society Needs to Thrive. Indiana. USA: John Wiley. ISBN 978-1-118-14330-8.
