Spear phishing | Opasnost za velike sisteme |
Novi vid phishinga hara Internetom i pogađa isključivo zaposlene u velikim kompanijama i vladinim telima I ako su mnogi korisnici Interneta postali dovoljno vešti da prepoznaju i izbegnu klasičan phishing mamac koji najčešće dolazi u formi e-pisma, naizgled upućenog od strane neke banke ili finansijske institucije, u kojem se od primaoca traži da otkrije poverljive podatke poput lozinke, PIN broja ili broja platne kartice, na Internetu se pojavila nova pretnja iz domena socijalnog inžinjeringa – tzv. „spear phishing”. U pitanju su napadi koji su usmereni ka tačno definisanim metama – zaposlenima u pojedinim kompanijama ili vladinim telima, naročito onima koja interno imaju striktno primenjen princip subordinacije. Spear phishing se od običnog, dakle, pre svega razlikuje po meti napada, što je veliki inovativni skok u odnosu na dosadašnju kriminalnu praksu koja je išla logikom velikih brojeva, u nadi da će se od miliona pokušaja „upecati” bar koja „sočna” hiljada... Spear phishing poruka izgleda kao da je došla od kolege koji je zaposlen u istoj organizaciji, i to najčešće u odeljenju za ljudske resurse ili informacione tehnologije, i ona po svemu izgleda kao svaka druga legitimna poruka upućena zaposlenima u organizaciji. Prema podacima kompanije IBM, broj ovih poruka je od januara do juna ove godine porastao za neverovatnih 1000%, dostižući cifru od 35 miliona e-pisama u prvom polugođu. Da bi sprečile svoje službenike da postanu žrtve ovog novog, još opasnijeg vida phishinga, neke institucije su pokrenule vrlo specifičan edukativni program, u okviru kojeg na adrese e-pošte svojih zaposlenih šalju lažne phishing mamce, s namerom da se kroz praktičnu demonstraciju oni obuče kako da pravilno reaguju u slučaju susreta sa pokušajem zlonamernog socijalnog inžinjeringa. Novoustanovljena praksa lansiranja lažnih napada u cilju demonstracije moći onih pravih pokazala je mnoge dobre strane jer su zaposleni na praktičnom primeru mogli da uoče koliko zlonamerna poruka može da izgleda verodostojno i koliko ju je teško razlučiti od legitimne. Međutim, takav metod edukacije ima i određene nedostatke, od kojih se najozbiljniji tiče upravo održavanja poverenja unutar organizacije. Uočeno je da organizacija koja svoje službenike „trenira” izmišljenim phishing porukama rizikuje da oni u budućnosti više ne veruju nijednoj internoj poruci, bilo da dolazi od kolege na sličnom mestu u hijerarhiji bilo od strane nadređenih! To pitanje se naročito postavlja u vojnim i sličnim strukturama, gde postoji generalno pravilo da se naredba prvo mora izvršiti, pa tek onda eventualno osporavati. „Radna verzija” kompromisa u vezi sa ovom situacijom za sada je da bi dopisima, memorandumima i drugim porukama i dalje trebalo verovati, ali da se lične osetljive informacije ne smeju odavati nikome elektronskim putem, pogotovo ako takav zahtev stigne „iz vedra neba”. Dušan KATILOVIĆ | | |
