COVID-19 #1.2: Tipy, ako rozpoznať phishingový e-mail a podvod

Zlaté časy kyberzločinu? Možno aj takto sa v budúcnosti bude nahliadať na súčasnú situáciu vo svete, kedy nový koronavírus vyhnal ľudí z práce, škôl či iných miest a tí teraz trávia väčšinu svojho pracovného aj voľného času doma na počítači. Tento stav otvoril hekerom a podvodníkom nové možnosti, ako zneužiť strach z nákazy, neobozretnosť a nezabezpečené zariadenia ľudí na zisk citlivých firemných dát, osobných a bankových údajov alebo peňazí.

V minisérií COVID-19 vám predstavíme základné informácie o prebiehajúcich phishingových kampaniach a podvodoch a poradíme, ako rozpoznať podvrhnuté správy a webstránky, bezpečne narábať s dôvernými dátami na svojich domácich zariadeniach, zabezpečiť online komunikáciu či vyhnúť sa iným problémom, s ktorými sa môžete pri práci z domu stretnúť.

Prvý článok sme venovali informáciám o prebiehajúcej phishingovej kampani a tzv. Business Email Compromise (BEC) podvodoch, s ktorými sa na internete určite stretnete. Popísali sme ich charakteristické znaky, predstavili súčasnú situáciu a prípady na Slovensku a vysvetlili, prečo by ste mali dbať o svoju kybernetickú ochranu.

V tomto článku sa pozrieme na phishingové e-maily a podvody podrobnejšie a na ukážkach z konkrétnych prípadov si ukážeme, ako ich rozpoznať.

Na začiatok ale dôležitá rada – vyhnite sa problémom tým, že nebudete otvárať žiadne podozrivé e-maily. Prekonajte prirodzenú zvedavosť, ktorá v kombinácii s rutinou a tlakom na množstvo paralelných činností býva hlavným dôvodom, prečo aj skúsení ľudia mnohokrát opomenú dodržiavať toto pravidlo.

Meno odosielateľa

Podvrhnúť meno odosielateľa vôbec nie je ťažké a ide o prvý krok, ktorý útočníci urobia, keď sa chcú vydávať za iné osoby. V niektorých prípadoch však pozabudnú na to, že uvedené meno sa im nezhoduje s menom z ich e-mailovej adresy alebo s menom, ktoré uvádzajú v správe. Na príklade č. 1 vidíme, že zatiaľ čo odosielateľovo meno je Dr Annika, meno v jeho adrese korešponduje s Margaret Caul, meno v spätnej adrese so Shirinda Clark a meno v správe je Dr Grahams Charles. Rovnako tak sa v v e-mailovej adrese odosielateľa v príklade č. 2 objavuje meno Chris, zatiaľ čo v samotnej správe Dr. Robert Kuhlman.

Pokiaľ vám však príde „serióznejšia“ správa, v ktorej sa síce mená budú zhodovať, ale nič vám nehovoria, použite Google a vypátrajte danú osobu či vôbec existuje, prípadne porovnajte kontaktné údaje.

Ukážka č. 1
Zdroj: Phishlabs
Ukážka č. 2
Zdroj: IBM X-force

Adresa odosielateľa

Podvodníci zneužívajú nepozornosť obetí tým, že si vytvoria falošné domény, ktoré sa líšia od tých bezpečných len nepatrnou zmenou. Zvyčajne ide o pridanie alebo zámenu domény prvej alebo druhej úrovne, interpunkčného znamienka alebo podobne vyzerajúcich písmen – typicky veľké i (I) a malé L (l).

Na ukážkach č. 3 a 4 vidíme podvrhnutú doménu prvej úrovne @who.com, resp. oboch úrovní @cdc-gov.org. V časti adresy za zavináčom preto kontrolujte, či vám správa prišla zo skutočnej domény danej inštitúcie, a teda @who.int a @cdc.gov.

Sofistikovanejšie podvody však vedia podvrhnúť aj oficiálne domény. Ako môžete vidieť na ukážke č. 5, falošná správa prišla z adresy cdc-covid19@cdc.gov, ktorá na prvý pohľad vyzerá legitímne. Po rozkliknutí hlavičky e-mailu však vidíme IP adresu 193[.]105[.]188[.]10, ktorá odhaľuje pravú doménu odosielateľa – veloxserv[.]net. Podvodník v tomto prípade použil príkaz HELO cdc.gov, ktorým e-mailovému serveru povedal, aby so správou zaobchádzal ako keby pochádzala z domény cdc.gov. V prípade podozrenia preto kontrolujte aj hlavičky e-mailov či sa v nich nenachádza práve tento príkaz.

Stretnúť sa môžete ale aj s prípadmi, keď vám podvodný e-mail príde zo služieb Gmail, Yahoo, Hotmail alebo rôznych domén, ktoré v sebe nesú odkazy na koronavírus.

Ukážka č. 3
Zdroj: Malwarebytes
Ukážka č. 4
Zdroj: Kaspersky
Ukážka č. 5
Zdroj: Cofense
Ukážka č. 6
Zdroj: IBM X-force

Pravopis

Slovensko má oproti Spojeným štátom alebo Rusku výhodu v tom, že zahraniční útočníci nevedia dokonale napodobniť náš jazyk. Pokiaľ sa nejedná o cielený útok alebo útok domácich podvodníkov, zlým pravopisom a strojovo preloženými vetami viete odhaliť podvrhnuté správy hneď.

Na príklade č. 7 phishingovej správy, ktorú zachytil ESET na Slovensku vidíme nedokonalý preklad vo vetách „Teraz vypredaní položka“ a „Pohybujete medzi mnohými ľuďmi?“. Menej povšimnuteľné chyby sú už v ukážke č. 8 v slove „epidemii“ (správne epidémii) a vo vete „účinné rúško na tvár, tiež ju používajte“ (správne ho používajte).

Podvodníci sa v týchto prípadoch vyhli zlému strojovému prekladu tým, že použili kratšie vety, s ktorými taký Google prekladač nemá až taký problém.

V prípade anglicky a inak písaných správ sa riaďte vyššie/nižšie uvedenými radami.

Ukážka č. 7
Zdroj: ESET
Ukážka č. 8
Zdroj: CyberSec.sk

Naliehavá správa

Nikdy nereagujte na správy, ktoré po vás žiadajú okamžitú reakciu. Hoci by sa odosielateľ tváril ako váš šéf, neodpovedajte mu na správu, nezdieľajte s ním žiadne osobné ani citlivé údaje a hlavne nevykonávajte žiadne platby, ktoré po vás žiada. Všetky takéto správy si radšej overte s danou osobou telefonicky alebo iným dôveryhodným kanálom.

Ukážka č. 9
Zdroj: KnowBe4
Ukážka č. 10
Zdroj: Proofpoint
Ukážka č. 11
Zdroj: Sophos Labs
Ukážka č. 12
Zdroj: Phishlabs
Ukážka č. 13
Zdroj: Agari

Prílohy

V súvislosti s koronavírusom vám najčastejšie prídu správy, ktoré vás budú informovať o aktuálnej situácii vo svete alebo o pokynoch, ako sa ochrániť pred nákazou. Tieto informácie vám odosielateľ bude zasielať v prílohe formou PDF/DOCX dokumentov, archívov RAR/ZIP alebo spustiteľných súborov EXE. Takéto správy ignorujte a neotvárajte. Potrebné informácie si vyhľadajte na oficiálnych stránkach ministerstva zdravotníctva, úradu verejného zdravotníctva alebo na telefonických linkách.

V prípade, že ste sa dostali k takému dokumentu iným spôsobom, jeho bezpečnosť môžete posúdiť napríklad aj tým, že vás po otvorení vyzve obrázok na povolenie makier alebo stiahnutie programu cez vložený odkaz.

Ukážka č. 14
Zdroj: Malwarebytes
Ukážka č. 15
Zdroj: KnowBe4
Ukážka č. 16
Zdroj: Spider Labs

Odkazy

Odkazy na podvrhnuté stránky možno zakryť rôznymi spôsobmi. Od hypertextových odkazov „Klikni sem“, cez tlačidlá a skracovače linkov ako bit.ly až po QR kódy. Nenechajte sa oklamať ani linkami na legitímne webstránky, ktoré v skutočnosti môžu odkazovať na tie falošné.

Na príklade č. 17 vidíme v správe link na oficiálny web Centra pre kontrolu a prevenciu chorôb (CDC). Avšak po tom, čo naň prejdeme kurzorom, zobrazí sa odkaz na neznámu webstránku healing-yui223.com.

Ku každému odkazu uvedenom v e-maile preto pristupujte skepticky a do svojich existujúcich účtov sa nikdy cez ne neprihlasujte – hoci by sa stránka podobala na prihlasovaciu stránku danej služby.

Ukážka č. 17
Zdroj: Cofense
Ukážka č. 18
Zdroj: KnowBe4

Šifrované spojenie

Nielen na podvrhnutých stránkach sa môžete stretnúť s tým, že danému webu chýba šifrované spojenie. V prípade, že takýmto webom poskytnete svoje prihlasovacie údaje, osobné údaje alebo údaje z bankomatovej karty, všetky dáta putujú z vášho prehliadača na webový server v čitateľnej podobe a môže ich tak zachytiť nielen samotný správca webu, ale aj tretia strana pri tzv. man-in-the-middle útokoch.

V URL adresách webstránok preto kontrolujte, či sa začínajú šifrovanou predponou https alebo nešifrovanou http. Nešifrované spojenie odhalíte aj tak, že vám pri URL adrese webstránky v prehliadači chýba zelený zámok.

Ukážka č. 19
Zdroj: CyberSeck.sk

Podvodné obchody a súťaže

Útočníci zneužívajú aktuálny nedostatok zdravotníckych pomôcok v bežných kamenných a online obchodoch tým, že vytvárajú vlastné podvodné e-shopy, o ktorých následne informujú e-mailovými správami, na sociálnych sieťach alebo inou formou reklamy.

Pokiaľ ste na internete natrafili na podobný obchod, overte si jeho dôveryhodnosť napríklad tým, že si vyhľadáte jeho recenzie na nákupných portáloch ako Heureka.sk, či priamo na webstránke skontrolujete kontaktné údaje na prevádzkovateľa, obchodné podmienky, šifrované spojenie alebo samotný dizajn webstránky. Takéto obchody zvyknú tiež prijímať platby len elektronickou formou (kreditná karta alebo PayPal), takže osobný odber alebo dobierku môžete vylúčiť.

Príkladom podvodného obchodu je huglo.sk, resp. huglo.cz pred ktorým varuje aj Slovenská obchodná inšpekcia. Podľa jej informácií zákazníkom po zaplatení neprišiel objednaný tovar a nepodarilo sa im ani skontaktovať sa s predajcom žiadnym spôsobom uvedeným na webe.

Indikátorom podvodu v tomto prípade mohlo byť to, že hoci má webstránka doménu .sk, jej prevádzkovateľom je firma ROPETA LTD so sídlom vo Veľkej Británii, pričom adresa slovenskej pobočky sa na webstránke nenachádza. Slovenská verzia má naviac na svojom webe množstvo pravopisných chýb, ktoré sa prelínajú s češtinou alebo pripomínajú strojový preklad. Ako vidíte na priložených ukážkach, najväčšou indíciou sú ale samotné recenzie obchodu.

Ďalšími takýmito stránkami sú napríklad smartrepublic.sk alebo yen.sk.

Už tradične sa na Slovensku môžete stretnúť aj s falošnými súťažami na Facebooku alebo Instagrame. Príkladom bola stránka Zdravotníctvo, ktorá spustila súťaž o respirátory. V takýchto prípadoch vás podvodník bude typicky kontaktovať súkromnou správou s informáciou o výhre a bude od vás žiadať osobné údaje ako meno, adresa a telefónne číslo spolu s informáciami z vašej kreditnej karty – údajne pre overenie totožnosti. V žiadnom prípade neposkytujte žiadne takéto údaje nikomu na sociálnych sieťach.

Ukážka č. 20
Zdroj: CyberSec.sk
Ukážka č. 21
Zdroj: CyberSec.sk
Ukážka č. 22
Zdroj: CyberSec.sk
Ukážka č. 23
Zdroj: Hoaxy a podvody - Polícia SR

(Viliam Kaliňák)