Pazite na elektronsko pošto, da vas ne okradejo!

Elektronsko pošto sem začel uporabljati sredi devetdesetih prek Arnesa, ki še danes izobraževalnim ustanovam ponuja storitve interneta. Takrat nas ni bilo prav veliko, ki smo imeli lasten elektronski naslov. Podjetja o že tem, da potrebujejo dostop do interneta, še niso prav veliko razmišljala.

Naročila so prihajala v podjetja po faksu in osnova B2B komunikacije so bili dopisi, natisnjeni na prvih laserskih tiskalnikih. Modemi so dosegali hitrosti nekje okrog 14.400 bitov na sekundo. Nekomu nekaj poslati je takrat pomenilo gradivo natisniti na papir, prepogniti, vložiti v kuverto in nalepiti poštno znamko.

 

“Hej, pošlji mi”

Kajpada so danes stvari precej drugačne. Pošiljamo si po elektronski pošti in le če rečemo “po klasični pošti”, si nekako v tej verigi predstavljamo poštarja. Drugače pa so vmes žice, stikala, usmerjevalniki in strežniki. Skratka, precej kompleksen sistem, ki pa odlično deluje že od leta 1971, ko je bilo poslano prvo elektronsko poštno sporočilo med dvema računalnikoma v prostorih univerze v Cambridgu.

Kdo si je takrat znal predstavljati, da bo internet doživel tak razmah, kot ga je …  Zagotovo nihče in ravno zato, ker je bil sistem delan za potrebe takrat zelo zaprtih sistemov vojske in univerz, nihče ni razmišljal o informacijski varnosti.

 

Kaj menite, je elektronska pošta varna?

Ni? Seveda ni.

Številne nevarnosti prežijo na povprečnega uporabnika. Nič koliko je celo primerov, ko so najrazličnejšim fintam nasedli tudi varnostni strokovnjaki, ki se poklicno ukvarjajo prav s tem, da skušajo elektronsko pošto narediti čim bolj varno.

Sam bi ločil nevarnosti na tri večje skupine.

• Varnost pošiljanja in prejemanja oz. ali je pošiljatelj res to, za kar se izdaja.
• Varnost vsebine – ali je vsebina, ki je bila poslana, res prišla od pošiljatelja do prejemnika nespremenjena.
• Varnost uporabnikov – ali je vsebina sporočila varna za uporabo. To slednjo skupino bi lahko razdelili še na dve:
  • pošta s priponkami, ki vsebujejo škodljivo kodo
  • neželeno pošta in poskusi prevar.

 

Ponarejanje naslovnika

Pred dobrimi štiridesetimi leti nihče ni imel razloga, da bi snoval tehnologijo, ki bi bila varna za uporabo. In zato ta tehnologija marsikje še danes ni varna. Elektronska pošta je skozi desetletja sicer pridobila nekaj mehanizmov, ki povečujejo varnost, ampak še vedno to ni to. Tehnološka podstat protokolov je še vedno ista, kot leta 1971.

Ponarediti elektronski naslov pošiljatelja je danes še vedno trivialno opravilo in marsikateri poštni strežnik ga bo sprejel kot suho zlato in ga dostavil v poštni predal.

Tudi sami lahko poskusite … Emkei’s Mailer je spletni programček, v katerega vpišete podatke, si izmislite pošiljatelja in pošljete.  Res je, da bo večina poštnih strežnikov to pošto razvrstila med spam ali pa jo celo zavrnila, pa vendar še vedno obstaja ne prav majhna verjetnost, da je nekdo na nekem prastarem strežniku, ki nima nastavljenih sodobnih antispam filtrov in bo to padlo direktno vaši tajnici (reciva, da ste direktor) v poštni predal. In ta nekdo se predstavlja kot direktor, ki tajnici naroči, naj plača 10.000 EUR na nek račun. Jap, to so povsem realni scenariji in taki prevari se reče “CEO prevara” in kar nekaj slovenskih podjetij je že nasedlo in so ostala brez denarja.

 

Vdor v poštni sistem, iz prve roke

Pred nekaj leti so nas v Anni poklicali iz proizvodnega podjetja. Direktor je povedal, da sumijo, da so jim vdrli v poštni strežnik.

Njihovi poštni predali so temeljili na nevzdrževanem linux sistemu in POP3 servisu. Ko smo enkrat pričeli z analizo, se je izkazalo, da so njihova gesla bila enostavna, največkat kar ime ali priimek prejemnika, z dodatkom kakšne številke na koncu. Skratka, nič lažjega za hekerja s pravim slovarjem slovenskih imen in priimkov. Jasno, skrivanje za slovenščino, češ, da je nihče ne pozna, ni več prava taktika. Heker najbrž ni potreboval več kot kakšen teden, pa je imel na pladnju uporabniška imena in gesla za vse uporabnike v podjetju. Tudi v direktorjev predal so lahko pogledali, prav tako predal tistega, ki je bil odgovoren za plačila.

Long story short: nadrobno so preučili notranja razmerja med zaposlenimi in se razgledali tudi po verigi dobaviteljev in kupcev. Poskus molže denarja se je lahko pričel.

Najprej je heker z elektronskega naslova prodaje poslal obvestilo enemu večjih kupcev v Združenem kraljestvu, v katerem obvešča kupca, da je bila številka računa spremenjena in naj poslej nakazujejo na drug račun. Jasno, seveda, heker je imel pripravljen čisto pravi račun na banki. Najverjetneje je šlo še za en zlorabljen račun, ki ga je imel v oblasti.

K sreči se je že tukaj zataknilo, ker je kupec bil dovolj priseben in je raje vzel telefon v roke in se prepričal na lastna ušesa, če sprememba računa res drži. V tem »našem« podjetju so takoj posumili, da se dogaja nekaj čudnega. K sreči so takoj poklicali nas.

Prva stvar, ki smo jo naredili je, da smo zamenjali prav vsa gesla, ki so se v podjetju uporabljala – ne samo poštna. Ljudje smo bitja navad: če uporabljamo eno geslo za pošto, je precej velika verjetnost, da bomo imeli taisto geslo uporabljali tudi drugje, za druge storitve. Kar pa je lahko največja napaka.

Ampak zgodba se še ne konča. Ko je heker ugotovil, da je bil zaklenjen iz sistema je, pazite, registriral identično domeno, le s končnico .in (Indija). Vsakdo, ki ni pozoren, lahko spregleda to spremembo. Janez.novak@podjetje.si ali janez.novak@podjetje.in. Marsikoga bi ta majhna, a bistvena razlika, preslepila.

In tako so še na ta način poskušali s podobnimi prijemi. Tokrat smo se morali povezati z oddelkom SI-CERT, ki je nacionalno cyber varnostno telo, ki dela v sklopu Arnesa. Posredovali so pri svojih kolegih v Indiji in zasegli sporno domeno.

 

CEO prevare

Podobni, a morda manj sofisticirani, pa prav nič manj uspešni napadi, se že nekaj let vrstijo tudi v Sloveniji. “Direktor” naroči nekomu, ki je odgovoren za plačilni promet, naj takoj nakaže neko vsoto na XY račun v tujini.

Ljudje smo po naravi dobi in zelo radi pomagamo. Poznam primer, ko je eden takšnih zaposlenih, ki rad vsem pomaga, pridržal vrata tatu, ko je iz poslovnih prostorov odnašal velik plazemski TV zaslon v “servis”. TV je izginil za vedno.

Še posebej pa smo pozorni in ustrežljivi, če tak “ukaz” pride s strani nadrejenega. Ni malo tajnic in drugih, ki so nasedli CEO prevari, tudi v Sloveniji. O tem se premalo govori.

 

Kje vam lahko pomagamo?

Izobraževanje uporabnikov, predvsem pa tehničnega kadra, da potem svoje znanje prenaša na zaposlene, je ključnega pomena. Najraje vidimo, da smo koristni takrat v preventivi.

Številni primeri, ko smo reševali že kompromitirane računalniške sisteme, pa so nam dali dovolj izkušenj, da se čutimo kompetentne tudi v situacijah, ko so hitrost reagiranja in predvsem odločni ukrepi, bistveni za to, da je škoda v podjetju čim manjša.

Kakšno poštno storitev potrebujete ni nekaj, kar bi vam lahko mi predlagali, ne da bi se z vami podrobno pogovorili. Je dovolj pošta v oblaku, npr. Office 365, ali pa je za vas bolj primeren lasten poštni strežnik? Do odgovora bomo prišli tako, da bomo spoznali vaše želje in dodali naše dolgoletne izkušnje pri načrtovanju IT sistemov za podjetja.

Več o naših rešitvah lahko dobite na naši spletni strani http://sistem.anni.si, lahko pa pokličete kar našega vodjo skupine za IT rešitve na 041 659 314. Hitro se bomo odzvali!