Dzień zapowiadał się zwyczajnie. Rutynowo. Kalendarz zastępcy prezesa koncernu Coca -Cola Paula Etchelsa był wypełniony po brzegi. Ciągnące się w nieskończoność spotkania. Narady. Odpowiadanie na maile. Podejmowanie decyzji. Kolacja z kolegami z zarządu. Negocjacje z Chińczykami. Tak – kupimy Huiyuan Juice Group za 2 miliardy dolarów i uzależnimy kraj od „czerwonych” napojów. Zwyczajna harówka. Był 16 lutego 2009 roku. Paul nie mógł wiedzieć, że nic z tego nie wyjdzie. Jedno mimowolne kliknięcie zmieniło wszystko. Zmieniło historię.
5 marca tego samego roku FBI poinformowało koncern o podejrzeniu penetracji sieci przez chińskich hakerów. Jak do tego doszło? Zwyczajnie, prosto. Rutynowo. Sprytnie spreparowanym mailem. Wiadomość zawierała informacje dotyczące prac nad ograniczeniem energochłonności produkcji firmy. Tym zajmował się Paul. W wiadomości był jakiś plik PDF. Chciał przeczytać. Klikną. Zainfekował swój komputer złośliwym oprogramowaniem. Reszta była już prosta. Mocodawcy włamywaczy poznali strategię negocjacyjną Coca-Coli. Kontrakt szlag trafił. Na tym polega phishing. Mało tego: phishing profilowany. Wykorzystują go przestępcy i służby specjalne. Po co? Chcą danych. Dostępu do konta bankowego. Chcą wprowadzić Pegasusa na nasz telefon aby podsłuchiwać naszą aktywność. Czegoś chcą. Żeby to dostać przygotowują operację socjotechniczną, która rozpoczyna się od wywiadu. Trzeba jak najwięcej dowiedzieć się o celu ataku. Dotyczy to wszystkiego: nawyków, ulubionych restauracji, książek czy prenumerowanych czasopism. Potem można przygotować wiarygodną informację w postaci maila lub smsa. Kliknięcie w link rozpoczyna niekorzystny dla nas ciąg zdarzeń. Może to być instalacja trojana (np. Pegasusa) albo podsunięcie nam strony przypominającej bank czy serwis internetowy naszej firmy. Sami podamy przestępcy to, co jest mu potrzebne do osiągnięcia celu.
Jak się bronić? Jak żyć? Kevin Mitnick – jeden z najbardziej znanych hakerów w historii a dzisiaj autor poczytnych książek o bezpieczeństwie, uważa, że przed zawodowym socjotechnikiem w zasadzie jesteśmy bezbronni. Atakujący wykorzystuje wzorce behawioralne, uczy się nas samych i dopiero gdy uzyska pewność, że się uda – atakuje. Jedynie ciągłe ćwiczenia mogą ograniczyć możliwość przegranej. Trzeba zatem zmienić nasze nawyki i zdobyć trochę wiedzy.
Na początek warto zacząć od podzielenia komunikatów, które do nas docierają na spam i nie-spam. Musimy sami ustalić, co otrzymujemy mailem lub sms-em – bo chcemy, a co jest marketingową papką. Tą drugą należy kierować na jakiś adres e-mail, z którego nie będziemy korzystać. Warto sobie taki założyć, lub – na urządzeniach Apple – wykorzystać funkcję „Ukryj mój adres email”.
Kolejnym krokiem jest sprawdzenie, kto do nas wysyła smsy i jak one wyglądają. Chodzi tu o firmy. Najlepiej, aby w ogóle tego nie robiły. Problem pojawia się, kiedy sprawa dotyczy doręczeń paczek. Te wiadomości są najczęściej fałszowane. Praktyką, która utrudnia życie hakerom jest posiadanie dwóch numerów telefonów. Założenie jest takie samo, jak w przypadku spamowej skrzynki mailowej. Kontakt do dostarczania zakupów podajmy na taki właśnie numer telefonu. Bank – kody sms – powiążmy z tym drugim. To oczywiście koszt, ale coraz częściej operatorzy oferują nam możliwość posiadania dwóch numerów w jednej cenie. Ściśle prywatny numer chrońmy, nie podawajmy go sklepom internetowym, dziennikarzom czy dostawcom pizzy. W ten sposób łatwiej będzie nam zidentyfikować podejrzaną wiadomość. Powinniśmy w sobie wyrobić nawyk „nie klikania” w linki. Najpierw przeanalizujmy, czy zaprowadzi on nas tam, gdzie powinien (patrz obrazki).
Cdn…
Przeczytaj więcej: Kevin Mitnick, „Duch w sieci”, Wydawnictwo Helion, Gliwice 2019.
Tekst pierwotnie ukazał się w periodyku POInformowani