Din perspectiva securităţii cibernetice, phishing-ul reprezintă o formă de înşelăciune realizată prin mijloace electronice, cu scopul obţinerii unor date confidenţiale, cum ar fi: date de autentificare şi acces la anumite platforme online (adrese de email, website-uri de socializare, aplicaţii de comerţ electronic), date referitoare la carduri de credit sau alte instrumente electronice de plată, date cu caracter personal.
Originile înşelăciunii se pierd în era preistorică, însă ca formă de manifestare acestea s-a adaptat permanent, ajungând să profite de evoluţia tehnologică şi extinderea comunicaţiilor prin Internet. Tehnica de phishing este pentru prima oară menţionată într-un articol din anul 1987, termenul fiind utilizat pentru prima dată în anul 1995 ca urmare a unui atac asupra companiei americane AOL.
Termenul phishing, provenit de la substantivul englez fishing (pescuit), face referire la metodele utilizate de atacatori, respectiv folosirea unor momeli sofisticate, create în mediul virtual, pentru a-şi ademeni victime. Practica de transcriere a unor cuvinte în forme nerecunoscute oficial, cu aceeaşi rezonanţă fonetică, cum este în acest caz înlocuirea literei f cu ph şi transformarea cuvântului fishing în phishing, reprezintă un mod uzual de manifestare în mediul hackerilor, din dorinţa creării unui jargon identitar.
Apogeul phishing-ului
În anul 2003 a luat fiinţă Anti-Phishing Working Group (APWG), o coaliţie internaţională care reuneşte 1800 de membrii, instituţii guvernamentale, organe de aplicare a legii, organizaţii neguvernamentale şi entităţi private care activează în sectoarele financiar-bancar şi IT&C. Scopul APWG este de a crea un cadru colaborativ de monitorizare şi contracarare a fenomenului atât prin prelucrarea unor date tehnice specifice puse la dispoziţia membrilor săi, cât şi prin realizarea de conferinţe, simpozioane tematice şi programe de awareness (campanii de conştientizare publică) pentru crearea unei culturi de securitate cibernetică.
Conform ultimului raport de evaluare a fenomenului realizat de APWG, anul 2016 a înregistrat apogeul agresiunilor cibernetice tip phishing, monitorizate începând din anul 2004. Se remarcă, totodată, tendinţa evolutivă ascendentă a acestui tip de agresiuni cibernetice, fiind foarte probabil ca în anul 2017 să se înregistreze un nou record al incidenţei acestora.
Principala ţintă a acestui tip de agresiuni, la nivel mondial, a reprezentat-o, în anul 2016, zona financiar-bancară, 48% din atacurile phishing vizând servicii bancare (26%), sisteme electronice de plată (12%) şi magazine online (10%).
Metode de phishing
Cea mai folosită metodă de phishing constă în transmiterea de mesaje email nesolicitate (spam) unui număr vast de utilizatori, mesaje ce disimulează conţinut legitim al unor entităţi private sau organizaţii cu solicitarea urmării unui link spre o adresă a unei pagini web. La acea adresă, de obicei creată prin atacarea şi exploatarea prealabilă a unui website vulnerabil, se regăseşte o pagină care copiază imaginea şi identitatea unui furnizor de servicii online, cu scopul inducerii în eroare a utilizatorului. Pagina respectivă solicitată introducerea unor date de acces (nume utilizator şi parolă), date personale, datele unor instrumente de plată (de exemplu: carduri bancare) etc.
O metodă cu un grad superior de rafinament, prin tehnicile avansate de inginerie socială, atacul de tip spear-phishing. Utilizatorul vizat primeşte un mesaj personalizat, realizat în urma obţinerii unor date personale disponibile pe platformele de socializare sau website-urile oficiale ale organizaţiei din care ţinta face parte.
Adesea mesajul înşelător disimulează provenienţa de la o persoană legitimă cu un nivel ridicat de încredere şi autoritate în cadrul organizaţiei respective sau a unor entităţi partenere.
Prin diverse forme evoluate de phishing, se distribuie adesea aplicaţii maliţioase (malware), cu scopul exploatării sistemului informatic vizat şi chiar a întregii infrastructuri informatice a organizaţiei. Astfel de cazuri includ atacurile cu aplicaţii maliţioase de tip crypto-ransomware, exploatarea sistemului informatic într-o reţea de tip botnet şi chiar utilizarea în agresiuni complexe de tip Advanced Persistent Threat (APT).
Succesul unei campanii de phishing are la bază tehnici de inginerie socială prin care sunt obţinute date minimale despre viitoarele ţinte vizate în atac. Eficienţa atacului este proporţională cu nivelul de adaptare a înşelăciunii la profilul profesional, psihologic şi social al victimei.
Deşi sunt vitale în operaţiunile zilnice ale organizaţiilor publice sau private, comunicaţiile prin e-mail pot fi supuse agresiunilor cibernetice determinând întreruperi consumatoare de timp care afectează productivitatea şi, cel mai important, pierderi şi accesări neautorizate de date.
Statistici alarmante
Statisticile afişează cifre alarmante cu privire la acest tip de agresiuni. Datele indică faptul că 85% din organizaţii la nivel mondial au avut de suferit de pe urma phishing-ului, 30% din e-mailurile asociate acestora fiind deschise, această metodă reprezentând şi principalul mijloc de răspândire al aplicaţiilor maliţioase (malware).
Deşi ţara noastră se afla într-un top negativ în raportările companiilor de securitate cibernetică privind provenienţa agresiunilor cibernetice de tip phishing, fiind semnalată pe locul trei într-un raport al companiei Symantec în anul 2008 şi pe primul loc al IP-urilor de provenienţă în anul 2013, măsurile întreprinse de organele de aplicare a legii pe acest palier au dus la o temperare a acestui fenomen infracţional. În prezent România nu mai este menţionată în topul ţărilor exportatoare al acestui tip de agresiune.
Din punct de vedere al numărului de ţinte, România se află într-o zonă mediană a expunerii cu un procent de 10-12% dintre utilizatori, conform unui studiu Kaspersky Lab realizat pe datele aferente anului 2016.Dacă la nivel personal agresiunile de tip phishing vizează furtul de identitate şi sustragerea de date bancare pentru obţinerea de foloase financiare imediate de către infractorii cibernetici, la nivel organizaţional, în entităţile publice şi private, acestea pot produce consecinţe a căror amploare poate afecta însăşi securitatea naţională.
Recomandări anti-phishing
Pentru a evita sau limita consecinţele unui atac de tip phishing, se recomandă:
– utilizarea unor aplicaţii de securitate (software antivirus evoluat) pe toate dispozitivele conectate la Internet, inclusiv dispozitivele mobile şi cele din spectrul larg al Internet of Things (IoT);
– abordarea cu precauţie şi circumspecţie a mesajelor e-mail, SMS, sau în alte forme de comunicaţii electronice prin care se solicită în mod direct date confidenţiale sau accesarea unor legături web suspecte;
– nedeschiderea ataşamentelor şi a link-urilor recepţionate prin mesaje e-mail nesolicitate sau asupra cărora planează suspiciuni cu privire la veridicitatea conţinutului şi/sau autorului;
– vigilenţa sporită a utilizatorilor atunci când navighează pe web prin verificarea corectitudinii adresei URL a paginii, a conexiunii securizate HTTPS şi a validităţii certificatului de securitate al website-ului (semnalată de browser-ul web la începutul adresei URL accesate);
– evitarea accesării unor platforme web care conţin date sensibile atunci când accesul la Internet se face printr-o reţea WiFi publică sau printr-o reţea al cărei nivel de securizare nu este cunoscut;
– utilizarea, la nivelul serverelor de e-mail aparţinând organizaţiilor publice şi private, a unor soluţii de securitate şi filtrare a conţinutului recepţionat, pentru reducerea numărului e-mail-urilor nesolicitate, verificarea autenticităţii acestora precum şi îndepărtarea conţinutului maliţios;
– notificarea imediată a autorităţilor şi companiilor de securitate cibernetică cu privire la existenţa unor astfel de atacuri în desfăşurare, pentru limitarea efectelor.
Abstract
Phishing is a form of fraud, a deceptive attempt of an attacker to pose as a reputable and trustworthy entity or person in virtual world in order to obtain sensitive information such as usernames, passwords, credit cards details and personal data.
Phishing and related social engineering techniques are one of the biggest threats to the cyber security and data protection.
The growth of phishing attacks in both frequency and sophistication, as noted in many security reports by the leading specialized organizations, poses a significant threat to organizations as well as to individuals.
Autor: Bogdan Zbăgan