Ribarjenje ali naročilo Policije, ki to ni

Ribarjenje ali naročilo Policije, ki to ni
13. 09. 2022 objavil/a Primož Govekar
phishing
policija

Napadi z ribarjenjem so že tako pogosti, da bi varstvo pred njimi moralo biti že dolgo v zavesti vsakega uporabnika e-pošte. Kljub temu pa smo v zadnjih dneh zaznali napad, ki nas je presenetil s tem, koliko uporabnikov se je odzvalo na napad in dvokliknilo na priponko. Zato smo v Info hiši preverili, kaj je razlog uspešnosti.

Analiza sporočila

V predale uporabnikov je prišlo sporočilo Policije, ki želi naročati neke storitve (v sporočilu ne omenja katere). »Podpisani« Jože Senica (podpis je seveda lažen!) prejemnike poziva, da si čim prej ogledajo dokumentacijo in posredujejo »oceno za ta proračun«. Ob tem prejemniku še popiha na dušo: »… slišali smo za odličnost vašega podjetja …«.

Prevod je bil v relativno dobri Slovenščini, čeprav bi iz »Smo slovenska nacionalna policija« pozoren prejemnik že lahko sklepal, da gre za prevaro (Policija pisano z malo; slovenske nacionalne Policije tudi  ne poznam). Podobno velja za slovnične napake in napake navajanja imena Ministrstva za notranje zadeve RS.

Ton nujnosti in želja po hitrem odgovoru ni nekaj nenavadnega za naše državne organe, kljub temu pa je štiri dni kar malo za pripravo resne ponudbe. Ker je bilo sporočilo očitno poslano iz pravega naslova Policije (o tem nekoliko pozneje), je bil pravzaprav še edini namig, da gre za ribarjenje nekoliko drugačna pikica pred PDF v imenu zahtevka za ponudbo.

Kot že omenjeno, je bilo iz prejetega sporočila videti, da prihaja iz pravega naslova Policije in sicer policija.gp@policija.si, kar je najverjetnejši razlog, da večina prejemnikov ni pomišljala pri odpiranju priponk. Potem pa je bilo samo še odvisno od prisotnosti in prisebnosti antivirusnega programa.

Malo zgodovine

Ker je ravno neskladnost v e-poštnih naslovih eden ključnih faktorjev prepoznavanja ribarjenja, je bilo seveda pomembno ugotoviti, zakaj je v današnjem času tako sporočilo sploh prispelo do prejemnikov. Najprej pa malo v zgodovino.

V e-poštnem svetu je že od vsega začetka znano, da je pošiljateljev naslov mogoče ponarediti brez pretiranega napora. Pravzaprav je vse skupaj podobno, kot pri pošiljanju običajnega pisma – nekdo samo napiše naslov pošiljatelja, ki ni nujno pravi naslov tistega, ki v resnici pošilja. Zato se je v e-poštnem svetu razvilo več mehanizmov, kako preprečevati potvarjanje pošiljateljevega naslova.

Najosnovnejši je tako imenovani »Sender Policy Framework« ali SPF. Mehanizem je preprost. Pošiljatelj v DNS objavi, iz katerih IP naslovov sme prihajati pošta iz pošiljateljeve domene. Vse skupaj izgleda nekako tako, kot če bi Policija objavila, da smejo pisma, katerih pošiljatelj je nekdo na Policiji, prihajati samo s poštnim žigom 1020 Ljubljana Fužine.

Drugi del naloge pa mora opraviti prejemnikov strežnik. Že ob prejemanju sporočila mora namreč preveriti, ali je IP naslov strežnika, ki dostavlja sporočilo, na seznamu zgoraj dovoljenih – če ni, mora ravnati po navodilu pošiljateljeve domene, to je sporočilo zavrniti (-all) ali ga vsaj obravnavati kot sumljivo (~all).

Kaj je šlo narobe?

E-poštni strežniki policije imajo v svojih zapisih SPF korektno zapisano, da sme biti dostava v imenu policija.si izvedena samo iz dveh naslovov IP, vsi ostali naslovi pa se zavrnejo (-all).

Zlobnež je poslal e-pošto v imenu policija.gp@policija.si iz IP naslova, ki se v obravnavanem primeru nahaja v Srbiji in nima nobene povezave z naslovoma, ki ju je policija navedla kot legitimna pošiljatelja.

Kar nekaj slovenskih strežnikov na strani prejemnika pa je zahteve, zapisane v SPF, preprosto ignoriralo, ali pa vsaj niso pravilno obravnavali zahteve po preverjanju IP naslova skozi mehanizem SPF. Zaradi tega s(m)o bili prejemniki na strežnikih, ki SPF ne spoštujejo, po nepotrebnem izpostavljeni relativno dobro narejenemu sporočilu ribarjenja, poslanemu s pravega naslova, ki bi ga lahko Policija v resnici uporabila.

Primer sporočila, kjer prejemnikov strežnik ni spoštoval navodil SPF


Res je, da je SPF prostovoljni mehanizem, kljub temu pa je danes že skoraj sramota za e-poštni strežnik, ki tega mehanizma ne podpira – tako pri pošiljanju, kot pri prejemanju.

Kako se torej zaščititi?

Če ste zgolj uporabnik e-pošte in ste dobili sporočilo, kot je primer na gornji sliki, bodite v prihodnje še previdnejši, saj je velika možnost, da vaš e-poštni ponudnik zaščite s SPF nima primerno urejene. Pri prejemu sumljivih sporočil upoštevajte ključne pokazatelje ribarjenja, kot so:

·         nepoznan, čuden ton besedila,

·         slovnične in pravopisne napake,

·         grožnje ali občutek nujnosti,

·         sumljive priponke,

·         nenavadne zahteve,

·         nagrade …,

·         zahteve za poverilnice, podatke o plačilu ali druge osebne podatke ter

·         (kljub slabi izkušnji z opisanim ribarjenjem) neskladnosti v e-poštnih naslovih, povezavah in imenih domen.

Če skrbite za IT in ste skrbnik najema e-poštnih predalov na takem strežniku, potem je sedaj morda čas, da svojega ponudnika pozovete, da naredi še en korak k vaši boljši zaščiti. Mi smo to že naredili in sedaj čakamo, ali se bo ponudnik gostovanja primerno odzval in vključil mehanizem SPF.

Pri tem se moramo vsi skupaj zavedati, da je primerno zavarovanje pred zlobnimi pošiljatelji, ki prihajajo z domen ponudnikov brezplačne e-pošte (gmail, outlook, yahoo …), praktično nemogoče izvesti na tem nivoju – pošiljatelj si bo pač brezplačno ustvaril nov naslov. Zato je »pomembna poslovna sporočila«, ki prihajajo s takih domen, potrebno jemati še z dodatno mero pazljivosti ali še bolje kar ignorirati.