Napad ''otmice razgovora'': kako funkcioniše i kako da se zaštitite

Tekstovi o zaštiti, 27.04.2023, 06:00 AM

Ciljani imejl napadi nisu ograničeni samo na fišing i kompromitovanje poslovne e-pošte (BEC, Business E-mail Compromise). Još jedna ozbiljna pretnja je “otmica razgovora”. Ukratko, to je napad u kome se napadači ubacuju u poslovnu imejl prepisku i predstavljaju kao jedan od učesnika.

Kako takvi napadi funkcionišu i kako se zaštititi od njih?

Da bi upali u imejl razgovor, sajber kriminalci moraju nekako da dobiju pristup ili poštanskom sandučetu ili barem arhivi poruka. Postoje različiti trikovi koje mogu primeniti da bi to postigli.

Najočigledniji je hakovanje poštanskog sandučeta. Za usluge u oblaku, napad grubom silom je metod izbora: napadači traže lozinke povezane sa određenom imejl adresom među podacima procurelim posle hakovanja onlajn servisa, a zatim ih isprobavaju na poslovnim imejl nalozima. Zato je važno da ne koristite istu lozinku za različite servise i da ne dajete poslovnu imejl adresu kada se registrujete na sajtovima koji nisu povezani sa vašim poslom. Alternativni metod je pristup imejl nalogu preko ranjivosti u serverskom softveru.

Hakerima retko uspeva da dugo kontrolišu poslovnu imejl adresu, ali obično imaju dovoljno vremena da preuzmu arhivu poruka. Ponekad kreiraju pravila prosleđivanja u podešavanjima kako bi u realnom vremenu primali imejlove koji dolaze u poštansko sanduče. Dakle, oni mogu samo da čitaju poruke, ali ne i da ih šalju. Kada bi mogli da šalju poruke, najverovatnije bi pokušali da izvedu BEC napad.

Druga opcija je malver. Nedavno su istraživači kompanije Kaspersky otkrili masovnu kampanju otmice razgovora sa ciljem da se računari zaraze QBot trojancem. Imejlovi u koje su sajber kriminalci ubacili malver najverovatnije su došli od prethodnih žrtava tog istog QBot malvera (koji može pristupiti lokalnim arhivama poruka).

Ali hakeri ne moraju nužno sami da otmu razgovore jer se ponekad arhive poruka prodaju na mračnom vebu gde ih kupuju drugi prevaranti.

Kako funkcioniše otmica razgovora?

Sajber kriminalci pretražuju arhive poruka u potrazi za imejlovima koje razmenjuju kompanije sa drugim kompanijama. Datumi nisu bitni - prevaranti mogu nastaviti razgovore koji sežu godinama unazad. Nakon što pronađu odgovarajuće imejlove, oni pišu jednoj od uključenih strana, lažno se predstavljajući kao druga strana. Cilj je prevariti osobu na drugom kraju da uradi nešto što žele napadači. Pre nego što pređu na posao, ponekad razmene nekoliko poruka samo da bi bili uverljiviji.

Pošto je otmica razgovora ciljani napad, često se koristi domen koji je vizuelno veoma sličan domenu jednog od učesnika.

Ciljevi ovakvih napada su prilično banalni: dobiti pristup nekom resursu krađom podataka za prijavu, prevariti žrtvu da uplati novac na račun napadača ili naterati žrtvu da otvori prilog ili link za zaraženi sajt.

Kako se zaštititi?

Najveći problem sa ovom vrstom napada je što je imejlove napadača prilično teško otkriti automatizovanim sredstvima. Neke od preporuka stručnjaka kompanije Kaspersky za zaštitu od ovakvih napada su:

- Zaštita uređaja zaposlenih da bi se otežala krađa arhiviranih imejlova od njih.

- Korišćenje jedinstvenih lozinki za poslovne imejl naloge.

- Minimiziranje broja eksternih servisa registrovanih sa poslovnim imejl adresama.

- Nakon eventualnog incidenta, ne samo da morate promeniti lozinku već i proveriti da li su se u podešavanjima pojavila nepoznata pravila za prosleđivanje imejlova.

Izvor: Kaspersky

Foto: Rinck Content Studio / Unsplash