Posted in Kompiuterija Patarimai

Kaip atpažinti phishing el. laišką: 10 požymių

on
novatech.lt

Kodėl phishing vis dar veikia 2024-aisiais

Kiekvieną kartą, kai manome, kad žmonės jau išmoko atpažinti sukčiavimo laiškus, statistika pateikia šaltą dušą. Remiantis IBM duomenimis, phishing atakos sudaro daugiau nei 40% visų sėkmingų kibernetinių įsilaužimų. Ir tai ne todėl, kad žmonės yra kvaili – tai todėl, kad sukčiai tapo nepaprastai geri savo darbe.

Šiandieniniai phishing laiškai nebeatrodo kaip tie juokingi „Nigerijos princo” pranešimai iš 2005-ųjų. Jie atrodo kaip tikri laiškai iš „Google”, „Swedbank”, „DHL” ar net jūsų darbdavio. Juose yra teisingi logotipai, teisingas šriftas, teisingas tonas. Kartais jie net žino jūsų vardą, miestą ar paskutinio užsakymo numerį.

Šiame straipsnyje išnagrinėsime 10 konkrečių požymių, kurie padės atpažinti phishing laišką – net tada, kai jis atrodo beveik tobulai suklastotas. Tai ne teorija – tai praktiniai dalykai, kuriuos galite patikrinti per 30 sekundžių prieš spausdami bet kokią nuorodą.

Siuntėjo adresas: velnias slypi detalėse

Pirmasis ir dažnai efektyviausias patikrinimas – siuntėjo el. pašto adresas. Bet čia reikia būti labai atidžiam, nes sukčiai naudoja keletą gudrių triukų, kurie lengvai apgauna nepatyrusią akį.

Pirmas triukas – domeno imitacija. Laiškas gali ateiti iš adreso [email protected] vietoj [email protected]. Skirtumas? Raidė „l” pakeista skaičiumi „1″. Arba [email protected] su dviem nuliais. Tokius dalykus akis lengvai praleidžia, ypač kai skubate.

Antras triukas – subdomenų manipuliacija. Adresas [email protected] atrodo lyg iš PayPal, bet iš tikrųjų domenas yra malicious-site.ru. Tikrasis domenas visada yra paskutinis prieš aukščiausio lygio domeną (.com, .lt, .org ir pan.).

Trečias triukas – visiškai nesusijęs domenas su tinkamu vardu. Laiškas gali rodyti „Google Security Team” kaip siuntėjo vardą, bet adresas bus kažkas panašaus į [email protected]. Dauguma el. pašto klientų pagal nutylėjimą rodo tik siuntėjo vardą – reikia specialiai spausti, kad pamatytumėte tikrąjį adresą.

Praktinis patarimas: Visada spustelėkite ant siuntėjo vardo, kad pamatytumėte tikrąjį el. pašto adresą. „Gmail” tai galite padaryti spausdami ant siuntėjo vardo laiško viršuje. „Outlook” – taip pat. Tai užtrunka 2 sekundes ir gali išgelbėti jūsų paskyrą.

Nuorodos laiške: kur jos iš tikrųjų veda

Antras svarbiausias patikrinimas – nuorodos. Phishing laiško tikslas beveik visada yra tas pats: priversti jus spausti nuorodą ir patekti į suklastotą svetainę, kur įvesite savo prisijungimo duomenis arba parsisiųsite kenkėjišką programą.

Prieš spausdami bet kokią nuorodą laiške, užveskite pelę ant jos ir pažiūrėkite į naršyklės apačią (arba laiško kliento statusų juostą) – ten pasirodys tikrasis URL. Jei laiške rašo „Spausti čia, kad patvirtintumėte savo „Swedbank” paskyrą”, bet URL rodo http://secure-banking-verify.tk/swedbank – tai aiškus signalas.

Keletas dalykų, į kuriuos reikia atkreipti dėmesį tikrinant URL:

  • HTTP vietoj HTTPS – tikri bankai ir rimtos paslaugos visada naudoja šifruotą ryšį. Jei URL prasideda http:// (be „s”), tai rimtas įspėjamasis ženklas.
  • Ilgi, painūs URL su daug parametrų – sukčiai dažnai naudoja URL tipo http://verify-account.com/secure/login?redirect=paypal&token=abc123xyz, kad atrodytų „techniškiau” ir patikimiau.
  • URL sutrumpintukaibit.ly, tinyurl.com ir panašūs serviai slepia tikrąjį adresą. Rimtos kompanijos retai siunčia sutrumpintus URL svarbiuose pranešimuose.
  • Neįprasti domenų plėtiniai.tk, .ml, .ga, .cf yra nemokamų domenų plėtiniai, kuriuos sukčiai mėgsta naudoti.

Praktinis patarimas: Jei gavote laišką iš banko ar kitos paslaugos ir norite patikrinti savo paskyrą – neikite per laiško nuorodą. Atidarykite naują naršyklės skirtuką ir rankiniu būdu įveskite žinomą adresą. Tai užtrunka 10 sekundžių daugiau, bet garantuoja, kad pateksite į tikrą svetainę.

Skubumas ir baimė: klasikiniai psichologiniai ginklai

Phishing nėra tik techninis dalykas – tai pirmiausia socialinė inžinerija. Sukčiai puikiai supranta žmogaus psichologiją ir naudoja dvi pagrindines emocijas: baimę ir skubumą.

Tipiniai skubos ir baimės scenarijai:

  • „Jūsų paskyra bus užblokuota per 24 valandas, jei nepatvirtinsite duomenų”
  • „Aptikta įtartina veikla jūsų paskyroje – nedelsdami prisijunkite”
  • „Jūsų mokėjimas nepavyko – atnaujinkite mokėjimo informaciją dabar”
  • „Laimėjote prizą! Pasiimkite per 48 valandas”
  • „Jūsų kompiuteris užkrėstas – nedelsdami susisiekite su technine pagalba”

Šie pranešimai sukurti taip, kad išjungtų jūsų kritinį mąstymą. Kai žmogus išsigąsta arba labai skuba, jis linkęs veikti impulsyviai ir nepatikrinti detalių. Būtent to sukčiai ir nori.

Svarbu suprasti: tikros kompanijos retai siunčia tokio tipo ultimatumus el. paštu. Jei bankas iš tikrųjų aptiktų įtartiną veiklą, jie paprastai skambintų telefonu arba blokuotų paskyrą ir paprašytų susisiekti per oficialius kanalus. Laiškas su 24 valandų ultimatumu beveik visada yra phishing.

Praktinis patarimas: Kai gausite tokį laišką, sustokite ir giliai įkvėpkite. Pasakykite sau: „Jei tai tikra problema, ji neišnyks per 10 minučių, kol aš patikrinsiu.” Tada patikrinkite siuntėją, URL ir, jei abejojate, skambinkite tiesiai į kompanijos oficialų klientų aptarnavimą.

Kalbos klaidos ir keistas tonas

Nors šiuolaikiniai phishing laiškai tapo daug kokybiškesni (ypač po ChatGPT atsiradimo), kalbos klaidos vis dar yra vienas iš patikimiausių požymių. Tačiau čia reikia šiek tiek niuansų.

Akivaizdžios klaidos: Gramatikos klaidos, keistas žodžių tvarka, netaisyklinga skyryba, lietuviški žodžiai su klaidingomis raidėmis (pvz., „Jūsų paskyra buvo uzblokiruota” arba „Prašome patvirtinti Jūsų duomenis kuo greičiau galima”). Tai klasikiniai požymiai, rodantys, kad laiškas buvo išverstas automatiškai arba parašytas žmogaus, kurio gimtoji kalba nėra lietuvių.

Subtilesnės problemos: Kartais klaidos nėra akivaizdžios, bet tonas yra „ne toks”. Oficialus banko laiškas skamba kitaip nei draugo žinutė – jis turi tam tikrą formalumą, bet ne pernelyg robotišką. Phishing laiškai dažnai būna arba per daug formalūs ir šalti, arba per daug draugiški ir skubantys.

Netinkamas kreipinys: Tikros kompanijos, kuriose turite paskyrą, žino jūsų vardą. Jei „jūsų bankas” rašo „Gerbiamas kliente” arba „Dear User” – tai įspėjamasis ženklas. Nors tai ne 100% taisyklė (kai kurie automatiniai pranešimai tikrai nenaudoja vardo), kartu su kitais požymiais tai sustiprina įtarimą.

Vienas dalykas, kurį verta žinoti: AI įrankiai labai pagerino phishing laiškų kokybę. Jei anksčiau kalbos klaidos buvo beveik garantuotas požymis, dabar sukčiai gali generuoti gramatiškai tobulus laiškus bet kuria kalba. Todėl kalbos kokybė neturėtų būti vienintelis jūsų patikrinimo kriterijus.

Priedai: kai failas yra spąstai

Ne visi phishing atakos vyksta per nuorodas – dalis jų naudoja el. laiško priedus. Ir tai dažnai yra pavojingesnė variacija, nes kenkėjiška programa gali būti paleista tiesiog atidarius failą.

Labiausiai paplitę pavojingi priedų tipai:

  • .exe, .bat, .cmd, .scr – vykdomieji failai. Niekada neatidaryti iš nežinomų šaltinių. Jokia legali kompanija neturėtų siųsti jums vykdomojo failo el. paštu.
  • .zip, .rar, .7z – archyvai, kuriuose gali slėptis kenkėjiški failai. Ypač įtartina, kai archyvas apsaugotas slaptažodžiu (slaptažodis pateikiamas laiško tekste) – tai sukčių triukas, skirtas apeiti antivirusinę programą.
  • .docx, .xlsx, .pdf – net „Office” dokumentai ir PDF failai gali būti pavojingi, jei juose yra makrokomandos arba išnaudojami programinės įrangos pažeidžiamumai. Jei atidarius „Word” dokumentą sistema prašo „įjungti makrokomandas” – niekada to nedarykite, jei nesate 100% tikri dėl šaltinio.
  • .html, .htm – HTML priedai gali atidaryti suklastotus prisijungimo puslapius tiesiai iš jūsų kompiuterio, apeinant URL filtrus.

Praktinis patarimas: Jei gavote priedą iš nežinomo siuntėjo arba netikėtai iš žinomo kontakto – prieš atidarant patikrinkite su VirusTotal. Tai nemokamas įrankis, kuriame galite įkelti failą ir jis bus patikrintas daugiau nei 70 antivirusinių variklių. Tai užtrunka apie minutę ir gali išgelbėti jūsų sistemą.

Vizualiniai triukai: kai atrodo tikra, bet nėra

Šiuolaikiniai sukčiai investuoja nemažai laiko į tai, kad jų laiškai atrodytų vizualiai identiškai tikroms kompanijoms. Jie kopijuoja logotipus, šriftus, spalvas, net el. laiško struktūrą. Tačiau yra keletas vizualinių detalių, kurios dažnai išduoda suklastotą laišką.

Logotipo kokybė: Suklastuoti laiškai dažnai naudoja žemos rezoliucijos logotipus, kurie atrodo šiek tiek neryškūs arba pikseliuoti. Tikros kompanijos visada naudoja aukštos kokybės grafiką.

Formatavimo nenuoseklumas: Atkreipkite dėmesį į šriftų dydžius, tarpus tarp eilučių, spalvų atspalvius. Jei kai kurios teksto dalys atrodo „ne vietoje” arba skiriasi nuo likusio laiško stiliaus – tai gali rodyti, kad laiškas buvo sukurtas kopijuojant ir klijuojant elementus iš skirtingų šaltinių.

Paveikslėliai vietoj teksto: Kai kurie phishing laiškai yra sudaryti beveik visiškai iš paveikslėlių, o ne teksto. Tai daroma tam, kad apeiti spam filtrus, kurie analizuoja tekstą. Jei laiške negalite pažymėti teksto (nes jis yra paveikslėlyje) – tai įspėjamasis ženklas.

Neteisingas footer: Tikrų kompanijų laiškai paprastai turi išsamų footer’į su juridine informacija, fiziniu adresu, atsisakymo nuo prenumeratos nuoroda. Phishing laiškai dažnai arba visai neturi footer’io, arba jis yra labai menkas ir neišsamus.

Dar vienas dalykas: tikrinkite, ar laiške yra personalizuotos detalės. Jūsų bankas žino jūsų paskutinių keturių kortelės skaičių. „Amazon” žino jūsų paskutinį užsakymą. Jei laiškas, kuris apsimeta jūsų banku, neturi jokių personalizuotų detalių – tai įtartina.

Kai phishing ateina iš „pažįstamo” adreso

Vienas iš sudėtingiausių phishing tipų – kai laiškas ateina iš adreso, kurį jūs pažįstate ir pasitikite. Tai gali nutikti keliais būdais, ir kiekvienas iš jų reikalauja skirtingo požiūrio.

Paskyros kompromitavimas: Jūsų draugo, kolegos ar šeimos nario el. pašto paskyra buvo nulaužta, ir sukčiai siunčia laiškus iš jos. Laiškai gali atrodyti įtikinamai, nes ateina iš tikro adreso. Dažniausiai tokie laiškai prašo pinigų, siūlo „puikią investicinę galimybę” arba prašo spausti nuorodą.

Spear phishing: Tai tikslinė ataka, kurioje sukčiai iš anksto ištiria jus ir jūsų kontaktus. Jie gali apsimesti jūsų vadovu, IT skyriumi ar net žmogiškųjų išteklių departamentu. Tokie laiškai yra labai personalizuoti ir sunkiai atpažįstami.

Business Email Compromise (BEC): Ypač pavojinga verslo aplinkoje. Sukčiai apsimeta vadovais ir prašo finansų skyriaus atlikti skubų mokėjimą. Šio tipo atakos kasmet sukelia milijardines nuostolias visame pasaulyje.

Kaip apsisaugoti? Jei gausite netikėtą laišką iš pažįstamo žmogaus su prašymu spausti nuorodą, atsiųsti pinigus ar suteikti prieigą prie ko nors – susisiekite su tuo žmogumi kitu kanalu (telefonu, SMS, asmeniškai) ir paklauskite, ar jis tikrai siuntė tą laišką. Tai gali jaustis nepatogu, bet tai yra teisingas veiksmas.

Ką daryti, kai įtariate phishing – ir kaip apsisaugoti ateityje

Gerai, turite laišką, kuris atrodo įtartinas. Ką daryti? Ir kaip sukurti geresnę apsaugą, kad ateityje tokios situacijos būtų mažiau pavojingos?

Jei gavote įtartiną laišką:

  1. Nespauskite jokių nuorodų ir neatidarykite priedų.
  2. Patikrinkite siuntėjo adresą ir nuorodas (kaip aprašyta aukščiau).
  3. Jei laiškas apsimeta kompanija, su kuria turite paskyrą – prisijunkite prie tos paslaugos tiesiogiai per naršyklę ir patikrinkite, ar tikrai yra koks nors pranešimas.
  4. Pranešite apie laišką kaip apie spam/phishing savo el. pašto kliente – tai padeda tobulinti filtrus visiems vartotojams.
  5. Jei laiškas apsimeta lietuviška institucija ar kompanija, galite pranešti CERT-LT (Lietuvos nacionaliniam kibernetinio saugumo centrui) adresu [email protected].

Jei jau spaudėte nuorodą arba įvedėte duomenis:

  1. Nedelsdami pakeiskite slaptažodį toje paslaugoje (ir visose kitose, kur naudojote tą patį slaptažodį).
  2. Įjunkite dviejų faktorių autentifikaciją, jei dar nenaudojate.
  3. Jei įvedėte banko duomenis – nedelsdami skambinkite į banką ir pranešite apie incidentą.
  4. Patikrinkite savo kompiuterį su antivirusine programa.

Ilgalaikė apsauga – tai ne vienas veiksmas, o įpročiai:

  • Dviejų faktorių autentifikacija (2FA) – tai vienas svarbiausių apsaugos sluoksnių. Net jei sukčiai sužinos jūsų slaptažodį, be antrojo faktoriaus jie negalės prisijungti. Naudokite autentifikatoriaus programą (Google Authenticator, Authy) vietoj SMS, jei įmanoma.
  • Slaptažodžių tvarkyklė – naudokite Bitwarden, 1Password ar panašų įrankį. Tai leidžia turėti unikalius, stiprius slaptažodžius kiekvienai paskyrai, ir jei viena paskyra bus kompromituota, kitos liks saugios.
  • Reguliarūs atnaujinimai – atnaujinkite operacinę sistemą, naršyklę ir programas. Daugelis kenkėjiškų programų išnaudoja žinomus pažeidžiamumus, kurie jau yra ištaisyti naujesnėse versijose.
  • Edukacija – pasidalinkite šiomis žiniomis su šeima, ypač vyresnio amžiaus žmonėmis, kurie dažnai yra pagrindiniai phishing atakų taikiniai.

Phishing neišnyks – priešingai, su AI pagalba jis taps dar sudėtingesnis. Bet gera žinia ta, kad dauguma atakų vis dar remiasi tais pačiais principais: skubumu, baime, ir tuo, kad žmonės nespėja sustoti ir pagalvoti. Jei išsiugdysite įprotį per 30 sekundžių patikrinti siuntėją, nuorodas ir kontekstą – jūs jau būsite daug atsparesni nei vidutinis interneto vartotojas. O tai, galiausiai, yra tikslas.

Taip pat gali patikti

Daugiau

Kaip reaguoti į duomenų nutekėjimą