Kdo je tam, vlk nebo beránek?

Jak poznat, kdo je skutečným odesílatel e-mailu? A proč v praxi moc nefungují elektronické podpisy a pečetě?

Kdo je tam, vlk nebo beránek?

Co je největší problém u phishingu, smishingu, vishingu a dalších -ishingů, tedy rafinovaných pokusů, jimiž útočníci chtějí přimět příjemce zprávy učinit krok, který jim umožní ho okrást, či poškodit? Nemožnost odlišit útočníka od dobrého člověka.

Na straně příjemce totiž zprávy od obou vypadají úplně stejně. A zatímco útočníci se rychle naučili imitovat i velmi rafinované vzhledy a formáty zpráv legitimních institucí (zejména bank či úřadů), institucím a slušným lidem obvykle chybí něco zásadního, co by padouši nedokázali napodobit či zfalšovat.

Typické scénáře phishingových útoků

Asi každý, kdo posledních 10 let nežil v jeskyni na odlehlém ostrově, již slyšel o phishingu a jeho moderních variantách. Smishing je phishing pomocí SMS, vishing je phishing pomocí hlasové komunikace a objevují se další inovativní -ishingy.

V principu se však vždy jedná o využití sociálního inženýrství pro zmanipulování příjemce tak, aby vydal tajemství (např. hesla či PIN) do rukou útočníka poté, kdy si myslí, že údaje předává legitimnímu příjemci, nebo potvrzuje nějakou akci, např. platbu na e-shopu. Tradičním způsobem bylo podvržení přihlašovací stránky do internetové bankovnictví, kde oběť vyplnila jméno a heslo a čekala, že se přihlásí na účet. Místo toho však falešná stránka předala přihlašovací údaje útočníkovi, který se následně přihlásil do banky a účet vybílil. Dodatečná opatření (např. další kód zaslaný klientovi třeba na mobil), která zavedla většina bank, podobnému útoku dnes většinou zabrání.

Jenže vlci nikdy nespí. Inovují. Způsobů, jimiž se snaží opatření obejít, je mnoho. Zpráva může například obsahovat infikovaný link, který po pouhém kliknutí nainstaluje do zařízení škodlivý kód, který číhá na okamžik, kdy se oběť přihlásí do internetového bankovnictví. Jméno a heslo předá bance a nechá vygenerovat a zaslat PIN či jiné tajemství. Když ho oběť vyplní, škodlivý kód spojení přeruší, jméno příjmení i PIN předá útočníkovi a oběti ukáže jen chybovou hlášku. Než se oběť znovu přihlásí, útočník již provádí inventuru na účtu.

Jiný útok využívá bezskrupulózních lidí-manipulátorů, kteří se neštítí telefonovat lidem a pomocí nacvičených manipulativních technik (které se mnohdy natrénovali při prodeji hrnců a jiných krámů nebohým seniorům) je přesvědčí o tom, že je bankovní úředník chce okrást a zblbne je tak, že oběť nejen vybere všechny peníze, ale ještě si vezme maximální možnou půjčku a hotovost obratem uloží do „bezpečí“ Bitcoinomatů. Hotovost převedená do kryptoměn je zde sice v jistém smyslu v bezpečí, ale už patří někomu úplně jinému.

Všeho moc škodí

Možností útoků je mnoho. A útoky se dějí každý den a v neustále rostoucích objemech. Policie zaznamenala mnoho případů, kdy oběť, která před útokem měla na účtu jen desítky tisíc, po útoku měla několik milionů ale v mínusu. Ptáte-li se, komu se to může stát, pak si dovolím krátkou statistiku.

Jak zaznělo například na nedávné konferenci ISACA v Hradci Králové, Policie ČR eviduje 64 % obětí ženského pohlaví. Nejvíce náchylní jsou lidé se středním vzděláním (54 %) a základním vzděláním (15 %), ale jak vidno, tak i 31 % vysokoškoláků naletí. Průměrný věk obětí je 40 let.

Z uvedeného lze dovodit,  že obětí se může stát kdokoli, ani vzdělání není zárukou a rozhodně neplatí, že naletí hlavně důchodci.

Jistě, statistiky lze číst všelijak, ale v zásadě platí, že útočníci již dosáhli takové míry sofistikovanosti, že jim může naletět prakticky kdokoli. Stačí jen slabá chvilka nebo i jen jediné neopatrné kliknutí či přehlédnutí.

I v organizacích s velmi vysokou kutlurou vzdělávání proti -ishingům se ukazuje, že zvednout úspěšnost (odolnost) nad 95 % populace, je téměř nemožné. Nelze zapomínat, že i kdyby zbylo jen 1 % lidí, kteří na falešný odkaz v mailu, SMS či zprávě kliknou, firmě to i tak může způsobit obrovské škody, zejména dojde-li tak k průniku škodlivého kódu do jejího IT prostředí.

Navíc, negativním důsledkem „úspěšných“ phishingových kampaní je to, že lidé v organizaci jsou přetrénovaní, fungují v paranoidním režimu a často automaticky mažou vše, co by snad mohlo připomínat phishingový e-mail. V korporátním prostředí to ale může znamenat někdy až100 % mailů. K paralýze celé firmy pak už není daleko. A ne, ani ty nejsofistikovanější automatické nástroje to neumí vyřešit, neboť díky AI může každá jedna útočná zpráva být unikátní.

Čím to je, či jak v korporátu říkáme, jaký je kořen problému?

Proč jsou phishingové a od nich odvozené útoky tak úspěšné?

Nebudu předstírat, že znám přesnou vědeckou odpověď, neb tu nezná asi nikdo. Ale domnívám se, že to souvisí s tím, jak se v důsledku evoluce vyvinul lidský mozek.  Množství zpráv a informací, kterými je člověk denně bombardován, již možná překročilo míru, kterou lidský mozek trvale a spolehlivě zvládá. Navíc, útoky vlků na beránky se neustále zlepšují a inovují, právě mnohdy s využitím AI, a nejhorší je, že ani legitimní odesílatelé nám to dvakrát neusnadňují. Každý si jistě snadno vybaví e-mail od nadřízeného nebo třeba hovor od dodavatele energií, který jako by právě vypadnul z nejnovějšího katalogu phishingu.

To je právě ten důvod, kořen problému. Princip i způsob, jimiž si vyměňujeme zprávy digitální cestou, umožňuje snadno podvrhnout identitu odesílatele. Na druhé straně však poskytuje naprosté minimum nástrojů pro ověření identity.

Říkáte si, že čtete jen e-maily z adres, které dobře znáte? Podvrhnout identitu odesílatele v e-mailu je triviální, aniž je nutné cokoli hackovat. Na darknetu lze snadno a levně získat seznam desetitisíců prolomených účtů osob z ČR. Ono si pak myslíte, že píše Karel, ale ve skutečnosti to může klidně být Carlos z druhé strany planety. V případě telefonu je zase snadné podvrhnout číslo volajícího. Podobně u SMS je podvrh věcí investice, která je snadno dostupná průměrné hackerské skupině.

 Podlehnout klamu je tedy více než snadné. Oproti jednání tváří v tvář nám totiž v online prostředí chybí něco, co náš mozek uměl efektivně použít pro ověření důvěryhodnosti druhé strany. Naproti tomu získat jistotu je téměř nemožné a vzniká tu jasná informační asymetrie, kterou útočníci mazaně využívají.

Jak se bránit phishingu?

Standardním řešením u firem je "koupit nástroj". Skutečně, pokud si budete e-mailovat uvnitř korporace, pak moderní nástroje umí riziko podvržení zprávy celkem slušně snížit. Hlásí, pokud zprávy přišly zvenku, nebo obsahují podivné linky, také provádí řadu analýz, kam vstupuje doména odesílatele, různé seznamy podezřelých serverů, historické vztahy a další vstupy. Tyto nástroje ale mají velmi těžkou práci, protože nemohou nic udělat s hlavní příčinou problému, stejně jako lidé neumí jasně odlišit beránka od vlka.

Jinou možností jsou různé speciální platformy pro sdílení zpráv, které navíc obvykle zajišťují důvěrnost a ochranu neporušitelnosti zpráv pomocí šifrování a různé reputační logiky. Příkladem může být třeba Protonmail, nebo řešení využívající GPG infrastrukturu, S/MIME šifrování nebo různé sociální sítě, či nástroje typu Slack. Bezpečnost je zde celkově o něco vyšší, ale i díky omezené využitelnosti těchto nástrojů to plošný problém neřeší. Navíc ve skutečnosti si účet na těchto platformách může vytvořit kdokoli a vydávat se za kohokoli.

Jistotu, že osoba, která nám píše je tím, za koho se vydává, nám totiž může dodat pouze důvěryhodné ověření někým, kdo (1) je pro nás nesporně důvěryhodný a (2) provádí skutečné ověření identity druhé osoby. Tato instituce, resp. autorita pak o ověření identity vydá doklad a propůjčí nástroj, kterým se dotyčná osoba může kdykoli prokázat a kdokoli jiný si může identitu druhé osoby snadno ověřit. Jinak řečeno, odesílatel si pořídí elektronický certifikát.

Certifikátů je ovšem více druhů, ale ten, který dostatečně zajišťuje identifikaci a autentizaci, se zve kvalifikovaný certifikát. A v ČR známe ještě uznávaný certifikát. Oba vydává certifikační autorita a liší se mj. způsobem uložení. Zatímco kvalifikovaný certifikát musí být uložen na specifickém zařízení s kryptografickou ochranou, která jej chrání proti útokům, uznávaný certifikát může hnízdit v obyčejném počítači (např. v úložišti certifikátů ve Windows).

Bezpečnostní purista nad uznávaným certifikátem oprávněně ohrnuje nos, vždyť počítač jde hacknout a k úložišti se dostat, ale uživatelská přítulnost uznávaného certifikátu je oproti kvalifikovanému certifikátu o tolik vyšší, že se autor domnívá, že pro běžného člověka je možná i vhodnější. Pro naše potřeby - odlišení beránka od vlka - vyhovují docela dobře oba. Pro jejich vystavení totiž člověk musí projít procesem, kdy jeho identitu dostatečně ověří vystavující certifikační autorita a před použitím certifikátu musí uživatel vložit heslo či PIN a je tak do velké míry chráněn proti zneužití.

Technicky vzato, i certifikáty vydané velkou důvěryhodnou institucí (např. banky, pojišťovny, ministerstva, některé vyspělé nadnárodní organizace ovšem nikoli ty živící se shromažďováním osobních údajů pro prodej reklamy, organizace provozující dostatečně kvalitní formu vzdálené AML identifikace, aj.) by pro doložení identity odesílatele také měly postačovat.

Jak tedy odlišit beránka od vlka za 3 vteřiny? 

Z pohledu odesílatele velmi snadno. Pořídí si certifikát, nainstaluje si e-mailového klienta a spáruje ho s certifikátem (pro MS Outlook je návod např. zde) a zvolí, zda se podepisování odeslaných zpráv má dít automaticky nebo na kliknutí. Toto proběhne ideálně jednou a pak to již funguje. Ty 3 vteřiny zabere vložení PINu k certifikátu, případně jiné ověření, že jste to vy (např. biometrikou na mobilu). To je správně! PIN nebo biometrická identifikace jsou zásadním prvkem bránící tomu, aby Váš certifikát mohl použít kdokoli jiný. Tedy i kdyby se padouch dostal k Vašemu počítači či e-mailu, PIN nebo nutnost se biometricky ověřit mu zabrání, aby se za Vás vydával.

Z pohledu příjemce to ještě snadnější. Ve většině moderních e-mailových klientů se rovnou vysvítí ikonka, že e-mail byl digitálně podepsaný a zda je certifikát v pořádku. Příjemce si může navíc validitu certifikátu snadno ověřit u vydavatele, což obnáší jen několik kliknutí.

No a jsme doma. Jakmile dostanu zprávu od Karla a je podepsaná Karlovým certifikátem, nepotřebuji ani 3 vteřiny na ověření, že tomuto e-mailu mohu důvěřovat a že ho poslal opravdu Karel. Jakmile existují jasně oddělené skupiny odesílatelů, na ty, jimž důvěřujete (beránci) a ti druzí, pak již snadno můžete e-maily třídit. Efektivita a bezpečnost se tím posunou na zcela novou úroveň.

Ptáte-li se na ověření SMS, není to tak snadné, ale vždy můžete druhou stranu požádat, ať Vám pošle digitálně podepsaný e-mail, čímž ověří, že je tím, za koho se vydává. Pokud jde o banku, nebo někoho za bankéře se vydávajícího, jako první krok ho požádejte, ať se prokáže pomocí mobilní aplikace, které na to jsou vybavené.

Elektronické podpisy v České republice 

Pro elektronické podepisování již dlouho existuje kompletní infrastruktura a stačí ji začít využívat. Navíc každý občan ČR nad 15 let může mít certifikát zdarma od státu na své občance, nebo může využít mnoha komerčních poskytovatelů. Moderní e-mailoví klienti podporu pro práci s certifikáty obsahují.

V korporacích není vůbec o čem diskutovat. Veškerá vnitropodniková pošta by měla být vždy digitálně podepsána. Trénink zaměstnanců se pak může soustředit na to, jak analyzovat zprávy nepodepsané, zatímco o digitálně podepsaných zprávách budou vědět, že jim mohou důvěřovat. V okamžiku, kdy už došlo k zavedení elektronického podepisování zpráv, je už jen krůček k automatickému šifrování zpráv, které bezpečnost informací povýší na další level (zde pak už lze skutečně mluvit o položení základů informační bezpečnosti).

Proč to nikdo nedělá?

A teď se možná ptáte, proč se to už dávno všude nedělá, když je to tak snadné? 

Je to trošku začarovaný kruh: Zatím to skoro nikdo nedělá, tudíž to nedělají ani ostatní.

Kdyby významné technologické společnosti, například ty, které provozují velké kancelářské balíky pro práci s dokumenty a jejich sdílení, chtěly a udělaly společně vzdělávací kampaň, podpořenou nějakým hezkým klikacím vylepšením, tak za měsíc, dva by všichni zaměstnanci v korporátech a státní správě podepisovali pomocí certifikátů. Jakmile by ostatním lidem začaly masivně chodit digitálně podepsané e-majly (u kterých mohou ověřit, že je odeslal ten, kdo se za odesílatele vydává) a hash (takže vědí, že obsah nikdo nezměnil), je už jen otázkou času, než se podepisování rozšíří masivně.

Jako u každé změny ale někdo musí začít. A strhnout ostatní tak, aby momentum vedlo k překonání prahu odporu.

Garantovaná identita by samozřejmě ukousla z příjmů firem žijících především z reklamy – lidé by nejspíše jednoduše nepodepsané e-maily mazali. Je ale také možné, že ten, kdo s podepisováním v masovém měřítku přijde první, na tom může v mnoha směrem významně vydělat, například díky poplatkům za vystavení digitálních certifikátů. Autor by například neměl problém využívat certifikáty od výrobce telefonů (např. Apple má “své lidi” již tranzitivně ověřené prostřednictvím ApplePay) nebo banky. 

Neujme-li se však role pionýra nikdo velký, pak první kroky budou muset učinit obyčejní lidé. Začněme tedy digitálně podepisovat, ať se to stane standardem a ať všelijakým phishingům, přinejmenším tedy v e-mailové komunikaci, ať učiníme co nejdříve přítrž.