Hekrski napad: spoofing – resna nevarnost za male in velike organizacije

Objavljeno: 7. 4. 2021

Spoofing je hekrska metoda, pri kateri heker tarči (denimo enemu od vaših zaposlenih) pošlje e-pošto, za katero se zdi, da je bila poslana iz zaupanja vrednega vira oz. domene. To naredi tako, da ponaredi glavo e-naslova, prejemnik pa e-pošto vidi enako, kot da bi mu jo poslal znan pošiljatelj. Ker je takšna prevara lahko zelo prefinjena, je pomembno, da spoofing prepoznamo in ga skušamo tudi preprečiti. V času epidemije so se namreč tovrstni napadi močno povečali – na globalni ravni naj bi bilo takšnih napadov v prejšnjem letu za skoraj 70 % več kot v letu 2019.

Spoofing odpira pot za širjenje zlonamerne in izsiljevalske programske opreme. Če ne veste, kaj pomeni izsiljevalska programska oprema (ransomware) - gre za zlonamerno programsko opremo, ki trajno blokira dostop do vaših podatkov ali celotnega sistema (lahko pa tudi rezervne kopije, če jih nimate ločene od produkcijskega okolja) in zahteva določeno vsoto denarja (odkupnino) v zameno za ponovno dešifriranje vaših podatkov. Višina odkupnine se po navadi vrti okoli 10 bitcoinov (1 bitcoin je trenutno vreden okoli 50.000 EUR).

Kako se ubraniti takšnih napadov?

Pogosto zelo težko. Vseeno pa obstaja nekaj prijemov, s katerimi spoofing lahko preprečimo ali vsaj omilimo. Ena od takšnih rešitev je DMARC (Domain-Based Message Authentication, Reporting, and Conformance). DMARC je sistem za preverjanje e-pošte, ki ga je ustvaril PayPal skupaj z Googlom, Microsoftom in Yahoojem. Z DMARC organizacija pridobi vpogled in nadzor nad e-poštnim kanalom.

Vendarle pa ima tudi DMARC svoje omejitve, saj je vezan na poštne (pred-)nastavitve SPF in DKIM. SPF pošiljateljem e-pošte omogoča, da določijo, kateri IP naslovi lahko pošiljajo pošto za določeno domeno. Po drugi strani DKIM ponuja šifrirni ključ in digitalni podpis, ki potrjuje, da e-poštno sporočilo ni bilo ponarejeno ali spremenjeno.

Težava pri spoofingu pa se pojavi, ker je preverjanje SPF zapisa omejeno na 10 preverjanj (DNS) in se po preseženem limitu preverjanja ta izklopi. To povzroči, da se spoofing ponovno lahko izvaja. Zato je treba vklopiti še dodatno varovalko – izravnavo SPF (SPF flattener), ki – če povemo zelo po domače – vse zahteve združi v eno.

O trenutnem stanju informacijske varnosti bomo govorili tudi na brezplačnem spletnem seminarju Osnove kibernetske varnosti s strokovnjakoma Klemnom Kraigherjem Mišičem in Boštjanom Špehonjo. Na seminarju bomo tudi nekaj (etično) hekali v živo.

Vir: Klemen Kraigher Mišič, direktor GDPR PLUS d.o.o.

 
AAA Zlata odličnost