CSIRTFEI
EN

Phishing – podvod alebo fenomén?

Čo je phishing?

V dnešnej dobe sa väčšina ľudí vie stretnúť s nejakou formou phishingu na dennej báze. Phishigový útok je typ útoku využívajúci techniky sociálneho inžinierstva, pri ktorom útočník rozposiela podvodné správy, napríklad prostredníctvom e-mailu, SMS (smishing), alebo uskutočňuje telefonáty (vishing), ktoré zneužívajú identitu dôveryhodnej entity. Hlavným cieľom útoku pritom je získať citlivé informácie, napríklad prihlasovacie údaje, čísla kreditných kariet, alebo osobné údaje, ktoré umožnia krádež identity, alebo uskutočnenie finančného podvodu. Útok nemusí skončiť pri tom, ale môže taktiež zahŕňať aj stiahnutie škodlivého softvéru, alebo manipuláciu obete s cieľom prevodu finančných prostriedkov na účet útočníka. Ak takýto phishingový útok je iba jedným zo série podobných útokov za dané časové obdobie, tieto útoky nazývame spoločne phishingovou kampaňou.

Štatistiky phishingových útokov

Phishingové útoky sa môžu zdať jednoduché, no napriek ich jednoduchosti sú stále najbežnejšou formou útoku. V roku 2023, podľa hornetsecurity (niekedy Vade) len v treťom kvartáli bolo zaznamenaných takmer 500 miliónov phishigových emailov. Najčastejšie napodobňovali sociálne siete (najmä Facebook), služby spoločnosti Microsoft či banky. Najčastejším cieľom útokov pritom boli finančný sektor, SaaS spoločnosti, medzi ktoré patria aj cloudoví či emailoví sprostredkovatelia a sociálne siete. Taktiež sme mohli vidieť vzostup tzv. quishingu, kde útočník miesto samotnej webstránky posiela QR kód, ktorý na webstránku odkazuje. Robia tak z toho dôvodu, že ľudia stránky po oskenovaní nezvyknú prezerať až tak detailne, a teda sa zmenší ich ostražitosť a sú ľahším terčom útoku. V tomto kvartáli celkovo až 36 % všetkých prielomov bezpečnosti tvoril phishing.

Podobné štatistiky môžeme vidieť aj doteraz. V prieskumoch z tretieho kvartálu z roku 2024 od apwg sú jedinými zmenami najčastejšie napodobňované služby, kde zníženie popularity Facebooku vyústilo k väčšiemu napodobňovaniu služieb spoločností Microsoft, Apple či Google. Zaujímavosťou je, že napriek väčšej ostražitosti a zväčšovaniu povedomia okolo phishingových útokov, sa zväčšil počet prielomov bezpečnosti zapríčinených phishingom na 38 – 40 %, pričom dokonca 71 % kybernetických hrozieb phishing v nejakom rozsahu využilo.

Príklady z nedávnej doby

Veľká banková lúpež: APT skupina Carbanak (2013)

Príbeh sa začína zamestnancom ukrajinskej banky menom Maxim, ktorý 8. apríla 2014 dostal e-mail od kolegu s na pohľad neškodným dokumentom vo formáte Word s názvom, ktorý naznačoval, že ide o súbor ohľadom nových pokynov o dodržaní federálneho zákona. E-mail si prečítal, zavrel a pokračoval v bežnom pracovnom dni. O niekoľko mesiacov neskôr bankomaty danej banky začali samostatne vydávať peniaze (ATM Jackpotting). Podobných udalostí sa začalo v danom období objavovať viac. [1] Tento incident bol súčasťou rozsiahlej a sofistikovanej kybernetickej lúpeže, ktorá otriasla globálnym finančným systémom.

Keď Maxim klikol na dokument, neúmyselne stiahol škodlivý softvér, ktorý hackerom umožnil vzdialený prístup k jeho počítaču. Malware sa preslávil pod menom CARBANAK. Útočníci stojaci za CARBANAK posielali spear-phishingové e-maily zamestnancom cieľových bánk. Tieto e-maily obsahujú prílohy s využitím známych alebo starších zraniteľností, ako napríklad CVE-2012-0158, CVE-2013-3906 a CVE-2014-1761 [2]. Po úspešnom zneužití zraniteľnosti sa spustí shellcode, ktorý následne aktivuje malvér CARBANAK. Následne sa im podarilo preniknúť do internej siete a vystopovať počítače administrátorov za účelom videomonitorovania. To im umožnilo vidieť a zaznamenávať všetko, čo sa zobrazovalo na obrazovkách pracovníkov, ktorí obsluhovali systémy na prevod peňazí. Týmto spôsobom podvodníci detailne spoznali prácu bankových úradníkov a dokázali napodobniť ich činnosť, aby mohli prevádzať peniaze a vyberať hotovosť. Viac info o detailoch útoku je možné nájsť tu [3] [4].

Od roku 2013 sa kyberzločinecký gang pokúšal útočiť na mnohé banky, elektronické platobné systémy a finančné inštitúcie kde využívali vlastnoručne vytvorený škodlivý softvér známy ako Carbanak a Cobalt. Táto kriminálna operácia zasiahla viac než 100 bánk vo vyše 40 krajinách a spôsobila finančnému sektoru kumulatívne straty presahujúce 1 miliardu eur. Rozsah škôd je značný – len samotný malvér Cobalt umožnil zločincom ukradnúť až 10 miliónov eur pri jednom útoku [5].

Útok na Change Healthcare (február 2024)

Vo februári 2024 zasiahla kybernetická skupina ALPHV (známa aj ako BlackCat) spoločnosť Change Healthcare, dcérsku firmu UnitedHealth Group [6]. Útočníci zo skupiny ALPHV využili sociálne inžinierstvo na získanie prístupu do systémov Change Healthcare. Najskôr vykonávali dôkladné zbieranie informácií z otvorených zdrojov, aby sa mohli vydávať za zamestnancov IT podpory. Následne kontaktovali skutočných zamestnancov prostredníctvom telefónnych hovorov a SMS správ, vytvárali presvedčivé scenáre vyžadujúce si údajne naliehavú technickú podporu. Týmito manipulatívnymi technikami dokázali oklamať zamestnancov a získať od nich ich sieťové prihlasovacie údaje, čo im poskytlo legitímny prístup do firemnej siete. Na základe získaných prihlasovacích údajov prebrali kontrolu nad systémom a nasadili ransomeware ALPHV/BlackCat.

Hackerom sa podarilo kompromitovať osobné údaje viac ako 100 miliónov ľudí, čím sa tento incident stal najväčším narušením údajov v americkom zdravotníctve. Ukradnuté dáta zahŕňali identifikačné čísla členov zdravotného poistenia, diagnózy pacientov, informácie o liečbe a čísla sociálneho zabezpečenia. UnitedHealth Group nakoniec zaplatila výkupné vo výške 22 miliónov dolárov, aby obnovila svoje systémy a minimalizovala ďalšie škody.

Útok na Pepco Group (február 2024)

Európsky maloobchodný reťazec Pepco Group sa stal obeťou sofistikovaného kybernetického útoku, ktorý spoločnosť pripravil o značnú sumu peňazí. Incident postihol maďarskú pobočku spoločnosti, ktorá vlastní značky Pepco, Dealz a Poundland s 3600 obchodmi v 19 európskych krajinách [7].

Kybernetickí zločinci použili sofistikovaný podvodný phishingový útok na oklamanie zamestnancov spoločnosti. Hoci Pepco Group neposkytol detailné informácie o priebehu útoku, na základe opisu a výšky straty sa pravdepodobne jednalo o takzvaný Business Email Compromise (BEC) útok. Pri tomto type útoku hackeri infiltrujú e-mailové účty a následne sa vydávajú za dôveryhodné osoby, aby manipulovali zamestnancov organizácie k prevodu peňazí na bankové účty pod ich kontrolou.

Útok mal veľké finančné následky – Pepco Group stratila 15,5 milióna eur. Spoločnosť ihneď spustila vyšetrovanie a spolupracuje s bankami a políciou na pokuse o získanie ukradnutých prostriedkov späť, avšak momentálne nie je jasné, či sa peniaze podarí vydobyť. Pozitívnou správou je, že incident sa netýkal žiadnych údajov zákazníkov, dodávateľov ani zamestnancov.

Útok cez infraštruktúru Microsoft 365

Kybernetickí zločinci vyvinuli extrémne sofistikovaný phishingový útok, ktorý zneužíva dôveryhodnú infraštruktúru Microsoft 365 na oklamanie obetí [8]. Tento útok je obzvlášť nebezpečný, pretože obchádza tradičné bezpečnostné opatrenia tým, že funguje výhradne v rámci ekosystému spoločnosti Microsoft.

Útočníci najskôr získali kontrolu nad viacerými Microsoft 365 organizačnými tenantmi - buď registráciou nových alebo kompromitáciou existujúcich (tenant je inštancia služieb Microsoft 365 pre konkrétnu spoločnosť). Každý tenant mal špecifickú úlohu: jeden slúžil na podvodné nákupy a generovanie legitimných fakturačných e-mailov, druhý na falošné zastupovanie značky a tretí ako skrytý bod presmerovania.

Útok bol založený na manipulácii s názvom organizácie v druhom tenante, kde útočníci vložili zavádzajúcu správu imitujúcu legitímnu transakčnú notifikáciu spoločnosti Microsoft. Príklad takéhoto názvu organizácie bol:

„(Microsoft Corporation) Vaše predplatné bolo úspešne zakúpené za 689,89 USD z vášho bežného účtu. Ak ste túto transakciu neautorizovali, zavolajte na 1(888) 651-4716 pre vrátenie peňazí.“

Útočníci potom spustili skutočný nákup alebo skúšobné predplatné v prvom tenante, čo vygenerovalo autentický fakturačný e-mail podpísaný spoločnosťou Microsoft. Keďže sa transakcia uskutočnila v legitímnom prostredí Microsoftu, výsledný e-mail prešiel všetkými autentifikačnými kontrolami (SPF, DKIM, DMARC) a nebol označený ako podozrivý. E-mail obsahoval názov z druhého tenanta. Tento názov bol v skutočnosti podvodná správa, ktorá vyzývala príjemcu, aby zatelefonoval na telefónne číslo. V prípade, že príjemca na toto telefónne číslo zavolal, útok pokračoval inštaláciou malvéru na PC obete, prípadne priamom získaní finančných alebo prihlasovacích údajov obete pomocou manipulačných techník[8].

Phishing a AI

Nárast phishing útokov môže mať na svedomí hlavne vzostup umelej inteligencie, vďaka ktorej je vytváranie takýchto útokov dôveryhodnejšie a jednoduchšie ako kedykoľvek predtým. Dávno zabudnuté sú časy, kedy bolo možné phishingový útok odhaliť jednoduchým skontrolovaním pravopisu či štylistiky. Od roku 2021 sa vďaka AI zvýšil počet phishingových útokov až o 49 %, pričom v priemere až 2 330 phishingových emailov na 1 000 používateľov prejde základnými anti-phishingovými filtrami. Vďaka AI si v dnešnej dobe viete spraviť vlastnú cielenú phishingovú kampaň naozaj „na kolene“ za pár minút.

Spear phishing

Medzi najefektívnejšie, a teda aj najnebezpečnejšie typy phishingu, patrí spear phishing. Je to cielená forma phishingu, pri ktorej útočník neodosiela hromadné správy bez predchádzajúceho kontextu, ale samotný útok "šije na mieru" obeti či skupine. Dobrým príkladom by bol spear phishingový útok, ktorý cieli na nejakú spoločnosť. Útočník pomocou techník OSINT zisťuje všetko čo môže o danej firme (čo robia, aké pracovné pozície zháňajú, na aké stránky ich zamestnanci pravdepodobne môžu chodiť či s kým spolupracujú) a jej zamestnancoch (kam chodia, s kým sa rozprávajú, ich záľuby či iné informácie z ich osobného života). Výsledkom je potom útok, ktorý vyzerá akoby útokom ani nebol, no môže mať práve kvôli tomu ďaleko horšie následky.

Prečo vyzerá tak dôveryhodne

Je mnoho techník, ktoré novodobé phishingy do určitej miery využívajú. Niektoré z nich si rozoberieme:

  • Display name spoofing: Technika, pri ktorej útočník sfalšuje meno odosielateľa. Meno odosielateľa sa zobrazuje ako klasické Jozef-ITSupport, no prislúchajúci mail je itsupport@maliciousdomain.com

  • Domain impersonation: Technika, kde útočník vytvorí mailový účet tak, že doména vizuálne vyzerá takmer identicky s tou našou, no v skutočnosti však ide o úplne inú doménu.

    Príklad: JozefM@nonnnaliciousdomain.com alebo JozefM@nonmalici0usdomain.com miesto JozefM@nonmaliciousdomain.com

  • Lookalike links: Technika, kde dostaneme text s linkom https://www.is.stuba.sk/, no link bude v skutočnosti odkazovať na https://www.maliciousdomain.com/. Túto techniku je možné odhaliť jednoduchým podržaním kurzoru nad linkom pred samotným stlačením.

  • Previous thread hijacking: Pravdepodobne najnebezpečnejšia technika, ktorá nadväzuje už na predtým úspešne vykonaný útok a odcudzenie mailového účtu. V takom prípade útočník vie odpovedať na už začatú konverzáciu, čo zaisťuje veľkú dôveru u obete, nakoľko s týmto účtom už komunikovala alebo pravidelne komunikuje. V takých prípadoch treba byť obzvlášť ostražitý a nikdy neodosielať žiadne citlivé informácie.

  • Iné bežne používané prvky: Najmä pri spear phishingových útokoch na firmy útočníci často zvyknú pridať LinkedIn alebo GitHub link, či telefónne číslo na navodenie väčšej kredibility útočníka. Tieto účty sú pritom vo väčšine prípadov buď odcudzením samotných účtov a čísel, či dokonca vytvorením týchto účtov útočníkom priamo za účelom tohto útoku. Ukradnutie skutočnej identity je teda ďalšou bežnou technikou používanou pri phishingových útokoch.

Ako reagovať

Veľkému počtu spear phishingových útokov sa dá vyvarovať jednoducho – použitím nejakého ďalšieho komunikačného kanála.

Zavolajte kolegovi alebo šéfovi, od ktorého e-mail údajne prišiel, na jeho známe číslo a spýtajte sa. Ak ide o e-mail údajne od externej inštitúcie (banka, úrad, …), namiesto odpovede priamo na email kontaktujte inštitúciu priamo cez oficiálne kanály. Overte u IT oddelenia alebo bezpečnostného tímu, či neevidujú podobné podozrivé emaily. Neklikajte na odkazy, neotvárajte prílohy, ani neposkytujte údaje. A hlavne, ak ste už klikli alebo niečo vykonali: Nezatajujte to!

Ako dopomôcť vyvarovaniu sa škôd

Aj keď útočníci ani v prípade phishingov nikdy nespia, aj my máme stále množstvo praktík, ktoré keď budeme dodržiavať, môžeme im ich prácu čo najviac sťažiť. Medzi takéto praktiky patrí napríklad preskenovanie každej prílohy antivírusom, zakázanie makier, či iného aktívneho obsahu v Office dokumentoch, náhľady v prostrediach, ktoré neumožňujú spúšťanie skriptov, vyhýbanie sa nečakaným .zip archívom, či vypnutie automatického otvárania súborov po stiahnutí a podpory skriptov v e-mailoch a PDF súboroch.

Okrem toho je v dnešnej dobe z pohľadu bezpečnosti už takmer nutnosťou používanie bezpečných hesiel a viacfaktorovej autentifikácie. Tá zabezpečí to, že aj ak by sa útočník dostal k našim heslám, stále máme ďalšiu líniu ochrany, cez ktorú sa ťažko dostáva a vie útočníka spomaliť natoľko, že si stihneme heslá opäť zmeniť. Pre túto vlastnosť sú taktiež prospešné aplikácie správy hesiel (tzv. password managers).

Medzi ďalšie dôležité praktiky taktiež patrí kontrola odosielateľa a domény. Keďže NIKDY nemôžeme veriť menu odosielateľa, je dobré si vždy skontrolovať aj jeho e-mail, či sa zhoduje s menom, spoločnosťou, za ktorú sa vydáva a či všetky ostatné maily a webstránky korešpondujú s tým, čo je obsahom emailu. Okrem toho treba vedieť aj základné minimum ohľadom domén a doménových úrovní. Stránky by sa totiž mali čítať od vrchnej domény dole, t. j. sprava doľava. Ako príklad vieme použiť adresy paypal.com/sk a paypal.com.sk.

Bežný používateľ si môže povedať, že ide o tú istú adresu, no pravá je len tá prvá. Tá má doménu najvyššej úrovne .com, pred ktorou je doména druhej úrovne paypal. Za nimi oddelená znakom lomítka nasleduje cesta na serveri, ktorá odkazuje na stránku v slovenskom jazyku. Druhá, podvodná stránka má doménu najvyššej úrovne .sk, za ktorou nasleduje doména druhej úrovne .com, a až za ňou doména TRETEJ úrovne paypal. To znamená, že v strome webstránok začíname od úplne iného koreňa a tým pádom sa dostaneme na úplne inú, potenciálne podvodnú stránku. Ak budeme tieto veci správne kontrolovať, vieme veľmi ľahko predísť značnej časti phishingových útokov.

Ak by sme chceli pomôcť aj pri vyvarovaní sa škôd pri spear phishingových útokoch, aj na tie existujú dobré praktiky, medzi ktoré patrí napríklad dbanie na súkromie na sociálnych sieťach. Čím viac je o vás útočník schopný zistiť z verejne dostupných zdrojov, tým jednoduchšie je preňho vytvorenie útoku a tým zložitejšie je sa mu brániť. Poskytnutím čo najmenšieho množstva informácií teda vieme značne znepríjemniť prácu útočníkovi a taktiež sa vyhnúť zbytočným útokom.

No a v neposlednej rade – aktualizácie. Veľké množstvo útokov je cielených na nejakú verziu softvéru, v ktorej mal danú zraniteľnosť, ktorú sa útočník snaží využiť. Pravidelnými aktualizáciami opäť znižujeme šancu na úspešný útok, keďže sa môže stať, že aj v prípade stiahnutia nebezpečnej prílohy a následnom spustení nebude útok fungovať, keďže bol cielený na staršiu verziu softvéru.

Týmto vieme zabezpečiť aspoň to, že ak útok nepatrí medzi komplexnejšie, tak aj keby sme boli cieľom, zminimalizujeme jeho účinnosť.

Riziká odkazov a príloh

Odkazy a prílohy sú najčastejšími zdrojmi podvodov, cez ktoré vie útok eskalovať ďalej. Útočníkovi sa kliknutím na jeho odkaz alebo stiahnutím jeho prílohy chytáte do jeho pasce, ktorú vie následne eskalovať. Nikdy preto nesmieme klikať na odkazy priamo z e-mailu, ktorý žiada prihlásenie. Ak takýto e-mail dostanete, radšej oficiálnu stránku služby navštívte ručne. V inom prípade e-mail môže obsahovať náhľad PDF súboru na stiahnutie, no v skutočnosti odkaz stiahne malware alebo presmeruje na phishingovú stránku, ktorá ho stiahne (všetky odkazy na stiahnutie sú podozrivé). Ďalším príkladom je odkaz na údajnú aktualizáciu alebo bezpečnostnú kontrolu. Takéto veci by nám mali automaticky indikovať problém, keďže aktualizácie sa nikdy neposielajú formou linku cez e-mail. Ak ohľadom nich dostanete legitímny e-mail, bude iba informačný. Žiadna príloha nie je automaticky bezpečná – prakticky každý typ súboru môže obsahovať škodlivý kód.

Na záver tejto časti si zhrnieme zakladné odporúčania ako sa vyhnúť phishingovým útokom pre laikov.

Bezpečnostné pravidlá pre každého (laikov aj zamestnancov):

  1. Neotváraj podozrivé e-maily – najmä od neznámych odosielateľov.
  2. Nikdy neklikaj na odkazy alebo prílohy v e-mailoch, ktoré neočakávaš.
  3. Overuj si e-mailovú adresu odosielateľa – phishing často používa podobné, ale falošné domény (napr. „@micr0soft.com“).
  4. Neposielaj heslá cez e-mail alebo chat.
  5. Overuj si výzvy k urgentnej akcii („okamžite sa prihláste“, „váš účet bude zablokovaný“) – často ide o podvod.
  6. Používaj silné a rôzne heslá pre rôzne účty.
  7. Aktivuj dvojfaktorové overenie (2FA) všade, kde je to možné.
  8. Kontroluj adresný riadok (URL) – phishingové stránky môžu vyzerať dôveryhodne, ale adresa prezradí podvod.
  9. Nikdy nezadávaj prihlasovacie údaje na stránkach, ktoré sa ti zdajú podozrivé alebo neštandardné.
  10. Aktualizuj pravidelne systém a programy, aby si nebol zraniteľný voči známym hrozbám.
  11. Absolvuj školenie o kybernetickej bezpečnosti aspoň raz ročne.
  12. Hlás podozrivé e-maily CSIRT tímu alebo IT oddeleniu – aj keď si nie si istý.
  13. Nikdy nezadávaj firemné prihlasovacie údaje mimo oficiálnych firemných systémov.
  14. Nepoužívaj firemný e-mail na súkromné účely.
  15. Zamykaj počítač (Win + L), keď odchádzaš od pracoviska.

Este pridáme špecifické odporúčania pre zamestnancov finančného oddelenia, vychádzajúce zo skúseností s phishingovými útokmi typu BEC (Business Email Compromise) – teda podvodnými e-mailmi, ktoré sa tvária ako pokyny od vedenia firmy, dodávateľa alebo partnera.

Odporúčania pre pracovníkov finančné oddelenie – prevencia proti BEC útokom:

  1. Nikdy neschvaľuj platby len na základe e-mailu – vždy si požiadavku over telefonicky alebo osobne, najmä ak ide o vysoké sumy alebo zmenu účtu.

  2. Overuj zmeny bankových účtov dodávateľov – ak príde e-mail o zmene IBAN-u, kontaktuj dodávateľa cez oficiálne kanály (nie cez odpoveď na e-mail).

  3. Dávaj si pozor na „urgentné požiadavky“ od vedenia – útočníci často imitujú CEO alebo CFO a žiadajú rýchle prevody pod zámienkou diskrétnosti.

  4. Overuj e-mailovú adresu odosielateľa – môže byť falošná alebo mierne upravená (napr. @firm4.com namiesto @firma.com).

  5. Zavádzaj pravidlo dvojitého schvaľovania platieb – každá vyššia transakcia by mala byť schválená minimálne dvoma osobami.

  6. Nikdy neposkytuj interné informácie (napr. rozpočty, zoznamy účtov) bez overenia, kto žiadosť posiela a načo ju potrebuje.

  7. Pri podozrivých požiadavkách nepodliehaj tlaku – útočníci sa často snažia vyvolať stres a nátlak na okamžité konanie.

  8. Zabezpeč si prístup do účtovných systémov 2FA overením – aj keď nie je povinné, je to silné bezpečnostné opatrenie.

  9. Nepracuj s finančnými údajmi na verejných Wi-Fi sieťach – ak musíš, používaj firemný VPN.

  10. Oznam každý podozrivý e-mail CSIRT tímu, IT oddeleniu alebo vedeniu – aj keď si žiadosť ešte neotvoril alebo si nie si istý.

V ďalšej časti si skúsime povedať viac o možnostiach odhalenia phishing e-mailu, ale pôjdeme do technickejších detailov takže táto časť je vhodná skôr už pre odborne zdatnejších čitateľov.

Ako analyzovať Emailovú hlavičku

E-mailové hlavičky obsahujú množstvo metadát o ceste správy od odosielateľa k príjemcovi. Pri podozrivých alebo phishingových správach je práve analýza hlavičiek jedným z najspoľahlivejších spôsobov, ako odhaliť spoofované polia, neautorizované pre-posielanie cez cudzí SMTP server či nezrovnalosti v autentifikačných protokoloch (SPF, DKIM, DMARC).

Správny nástroj na extrakciu a následná metóda analyzovania nám dávajú jasný pohľad na to, či bola správa skutočne odoslaná z domény, za ktorú sa vydáva alebo nie. Zobrazenie hlavičky e-mailu je možné aj vo väčšine mail klientoch (pozrite manuál ku konkrétnemu používanému klientovi). V prípade webmail klienta je zobrazenie možné pomocou ikony úplne v pravo s popisom "Show the message headers in raw text formats" pri popise od : (from:) pri otvorení konkrétnej e-mail správy.

Pri analýze e-mailovej hlavičky postupujeme nasledovne:

  1. Extrakcia hlavičky v EML alebo MSG (MS Outlook) formáte.

  2. Analýza vybraných hlavičiek

    Pri bežnej kontrole sa zameriavame najmä na tieto polia:

    • From – odosielateľ (môže byť sfalšovaný). Táto hlavička ukazuje deklarovanú adresu používateľa. Tejto hlavičke samej o sebe nemôžme veriť, no v kombinácii s ďalšími záznamami ako Received vie pomôcť odhaliť falšovanie adries. Robíme to tak, že prečítame všetky záznamy Received zdola nahor (keďže najspodnejší je prvý hop, kde správa prišla na reálny SMTP server). Z tohto riadka získame IP adresu a hostname prvého SMTP servera, ktorý prijal e-mail priamo od odosielateľa. Ak je IP adresa prvého hopu z iného rozsahu (napr. verejný cloud, free SMTP relay–servery), s veľkou pravdepodobnosťou ide o spoofing.

    • Return-Path – adresa pre doručenie neúspešných odoslaní. Táto adresa indikuje, kam sa majú vrátiť neúspešne doručené správy. Ak je odlišný od From, môže to znamenať, že odosielateľ používa externý mail-relay, alebo že sa pokúša ukryť svoj skutočný bounce-adresár.

    • Reply-To – určuje, kam sa odošle odpoveď, ak kliknete na „Odpovedať“. Často sa zneužíva na presmerovanie odpovedí na podvodnú adresu, hoci From vyzerá legitímne.

    • Message-ID – Jedinečný identifikátor správy, typicky vo forme <unikátny_reťazec@doména>. Formát a doména v ID môžu odhaliť, či správa prešla legitímnym poštovým systémom odosielateľa.

    • Received – Obsahuje záznamy z jednotlivých SMTP hopov, cez ktoré správa prešla. Číta sa zdola nahor (prvý hop = ten najbližšie od odosielateľa). Pomocou IP adries a hostname možno overiť, či sú servery dôveryhodné, mapovať cestu správy a taktiež odhaliť nezrovnalosti (napr. správa prišla z neznámeho SMTP vrcholu).

    • To, Cc – Pôvodní príjemcovia. Táto hlavička pomáha zistiť, či bola správa adresovaná nám priamo, alebo sme dostali „hromadnú“ kópiu.

    • Subject – predmet správy

    • Date – Dátum a čas, kedy bol e-mail vytvorený na strane odosielateľa. Porovnaním s Delivery-Date a časovými pečiatkami v Received možno odhaliť oneskorenia v doručení či rozdiely medzi časovými pásmami (či je čas v hlavičke konzistentný s pôvodnou doménou).

    • Delivery-Date – Kedy správa dorazila na cieľový server. Nesúlad s Date môže indikovať preposielanie cez tretie strany alebo zámerné „zdržiavanie“ správy.

    • X-Mailer – Identifikuje softvér (napr. Outlook, Thunderbird, Apple Mail), ktorým bola správa zostavená. Nezvyčajné alebo nezverejnené X-Mailer hodnoty môžu naznačovať použitie skriptu či automatizovaného nástroja.

Dôkladná kontrola e-mailovej hlavičky je prvou líniou obrany v digitálnom svete a investícia do pochopenia jej štruktúry sa vám vráti v podobe väčšej bezpečnosti a istoty pri práci s elektronickou poštou.

Ako analyzovať emailový obsah

Kontrola e-mailovej hlavičky je sama o sebe dobrým začiatkom, no ak sa chceme ponoriť hlbšie do analýzy týchto útokov, je nutné analyzovať aj samotné stránky a ich obsah.

Prvú vec, čo robíme v prípade takejto analýzy, je vytiahnutie celého tela správy a príloh, ktoré následne otvárame a ďalej skúmame v izolovanom prostredí (sandboxe). Primárne tak chceme identifikovať všetky URL adresy, keďže phishingové správy často obsahujú odkazy na falošné prihlasovacie stránky, ktoré zbierajú vaše prihlasovacie údaje. Okrem samotných odkazov sledujeme aj prípadné skripty vložené do HTML či netradičné formáty, ktoré sa môžu snažiť načítať škodlivý obsah z externých serverov.

Pre každý odkaz, ktorý sme v e-maili našli následne vieme použiť radu voľne dostupných alebo online nástrojov, ktoré nám pomôžu kampaň lepšie pochopiť. Najprv často používame nástroje ako dig alebo whois, ktorými zistíme komu vlastne daná doména patrí a či jej môžeme aspoň na oko dôverovať. Nástrojom dig skontrolujeme A/AAAA záznamy. Ak vidíme IP adresy v rámci verejných cloudových služieb (napríklad AWS, Azure, Google Cloud), a pritom „oficiálna“ banka alebo štátna inštitúcia nikdy nespravuje svoje servery takto, tak nám je jasné, že ide o problémovú stránku. Zároveň chceme skontrolovať záznamy MX, teda kam e-maily pre túto doménu chodia. Okrem toho nástrojom whois vieme zistiť, kedy bola doména registrovaná a komu.

Overenie TLS certifikátov

Aj keď stránka beží cez HTTPS, znamená to len toľko, že údaje sú šifrované počas prenosu. To, že sú dáta šifrované však neznamená, že komunikácia je hneď bezpečná. Na kontrolu certifikátov máme niekoľko možností, medzi ktoré patria napríklad crt.sh, SSL Labs, alebo Censys.io, kde vložíme názov domény a zistíme, či vystavený certifikát skutočne patrí tomu, čo odkaz deklaruje. Naopak, keď vidíme, že certifikát vydal Let’s Encrypt a je zaregistrovaný na náhodný názov, alebo je nedávno obnovený, opäť je to varovný signál. Phishingové stránky často generujú certifikát len na pár dní, potom ho zahodia a vytvoria nový.

Fingerprint faviconu stránky

Aj porovnávaním SHA-256 odtlačkov faviconu sa dá nájsť nezrovnalosť medzi originálnou a klonovanou stránkou. Ak vytvoríme hash a nezhoduje sa s oficiálnou verziou stránky, je to ďalší dôkaz phishingu. Pri klonoch útočníci často prevezmú logo aj favicon, ale odsťahujú ho na inú doménu – takže hash sa bude líšiť.

Autentifikačné protokoly

Pri obrane a zisťovaní, či je nejaký email škodlivý alebo nie, nám vedia taktiež pomôcť aj autentifikačné protokoly. Tieto protokoly sa vzájomne dopĺňajú a každý plní inú úlohu, pričom ich správna konfigurácia je veľmi dôležitá. Tieto protokoly sa pokúsime predstaviť a vysvetliť aj z pohľadu ich administrátorských nastavení, čo nám pomôže lepšie pochopiť ich využiteľnosť a praktické možnosti.

SPF

SPF si vieme predstaviť ako zoznam hostí, ktorý používame na zabránenie prístupu falošných hostí na nejakú akciu. SPF totiž v DNS našej domény drží zoznam povolených IP adries a serverov, ktoré sú povolené pre odosielanie emailov v našom mene. Hostia (e-maily) prichádzajú z rôznych adries (IP), vy však pred vstupom kontrolujete, aby iba adresy na zozname mali dovolený vstup.

Príkladom SPF záznamu by mohol byť napríklad tento záznam:

example.com. IN TXT "v=spf1 ip4:192.0.2.0/24 include:spf.partner.com -all"

V tomto príklade sa povolia všetky adresy z rozsahu 192.0.2.x a všetky servery uvedené v spf.partner.com. Podstatné je taktiež -all, čo znamená „všetky ostatné zamietnuť“.

V SPF zázname je možné nastaviť tieto veci:

  • v – verzia, ktorá je povinná a musí byť na začiatku SPF záznamu,

  • all – vždy vyhodnotí. Toto sa používa na konci záznamu a najčastejšími použitiami sú -all (zamietnuť všetko ostatné) alebo ~all (soft-fail).

  • a[:doména] – Overuje záznamy A/AAAA; ak sa IP zhoduje, mechanizmus prejde.

  • mx[:doména] – overuje záznamy MX držiteľa domény; ak sa IP zhoduje s niektorým MX serverom, mechanizmus prejde.

  • ip4:adresa[/prefix] – Povolí konkrétnu IPv4 adresu alebo rozsah.

-ip6:adresa[/prefix] – Povolí konkrétnu IPv6 adresu alebo rozsah.

  • ptr[:doména] – Overí reverse-DNS (PTR). Toto je však veľmi pomalé a RFC 7208 tento mechanizmus neodporúča.

  • exists:doména – Testuje, či daná doména má A záznam; ak áno, mechanizmus prejde.

  • include:doména – Zahrnie SPF politiku inej domény; ak tam zahrnutá politika prejde, tento mechanizmus prejde.

Okrem toho môže každému mechanizmu predchádzať kvalifikátor. Medzi tie patria + (pass – povolí odosielateľa), - (fail – zamietne odosielateľa aj e-mail), ~ (softfail – e-mail označí za podozrivý, no nezamietne ho) a ? (neutral – všetko ostatné).

Ako posledné vedia byť súčasťou záznamu modifikátory ako redirect a exp, ktoré buď nahradzujú záznam SPF alebo špecifikujú doménu pri zamietnutí, a makrá, ktoré umožňujú dynamické vloženia častí správ.

DKIM

DKIM si vieme zase predstaviť ako pečať na liste. Ak sa hocičo stalo s obsahom listu, budeme o tom vedieť, nakoľko bude pečať porušená. DKIM totiž vytvorí digitálny podpis z niektorých častí správy pomocou súkromného kľúča, pričom verejný kľúč zverejní v DNS zázname a príjemca si vie tým pádom skontrolovať, či sa obsah nejak nezmenil.

Príkladom selektora a DKIM záznamu v DNS je tento záznam:

selector1._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3…"

Príjemca si nájde záznam pod názvom selector1._domainkey a overí podpis.

Vďaka DKIM aj keď e-mail prejde SPF a bol by počas cesty upravený, DKIM takéto úpravy odhalí a príjemca môže správu odmietnuť alebo označiť.

DKIM obsahuje 2 povinné parametre: v (verzia) a p (verejný kľúč vo formáte base64 na overenie podpisu). Okrem nich je možné nastaviť aj tieto parametre:

k – typ kľúča, pričom predvolený je typ RSA, h – zoznam predvolených hašovacích algoritmov, n – poznámky pre správcov, s – obmedzenie služby, t – prepínače režimov.

DMARC

DMARC spája výsledky SPF a DKIM a tým určuje, či e-mail doručiť, presunúť do karantény alebo zamietnuť. Mimo toho DMARC taktiež zhromažďuje hlásenia o zamietnutých správach.

Príkladom DMARC záznamu by bol nasledovný záznam:

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:reports@example.com"

  • p=quarantine - všetky správy, ktoré neprejdú idú do karentény
  • rua= - e-mail pre dané hlásenia o chybách a zlyhaniach.

Útočník ani pri úspešnom obídení SPF alebo DKIM nedokáže nastaviť DMARC politiku vašej domény, takže celkové rozhodnutie zostáva na príjemcovi a vy vidíte, kto sa snažil podsúvať falošné správy.

Medzi povinné parametre DMARC patrí v (verzia) a p (politika pre hlavnú doménu: none, quarantine, reject). Politika rozhoduje o tom, čo má príjemca spraviť s e-mailami, ktoré zlyhajú pri DMARC overení.

Okrem nich je možné nastaviť aj tieto parametre:

  • rua=mailto:adresa – URI pre agregované hlásenia (denné štatistiky)

  • ruf=mailto:adresa – URI pre forenzné hlásenia (detaily o zlyhaniach)

  • sp= – politika pre subdomény (ako p)

  • pct= – percento e-mailov, na ktoré sa politika aplikuje (0 – 100)

  • adkim= – zarovnanie DKIM; r (relaxed) alebo s (strict)

  • aspf= – zarovnanie SPF; r (relaxed) alebo s (strict)

  • fo= – podmienky pre forenzné hlásenia (hodnoty 0, 1, d, s)

  • rf= – formát forenzných hlásení (predvolené afrf – Aggregated Forensic Report Format, no medzi iné patrí napríklad xml či dfrf (detailed forensic report format))

  • ri= – interval medzi agregovanými hláseniami v sekundách (predvolene 86400 – 24 hodín)

Tieto tri protokoly spolupracujú veľmi úzko, pričom každý sa stará o niečo iné. SPF skontroluje, či e-mail prišiel z povolenej IP, DKIM overí, či sa správa počas cesty nezmenila a DMARC finálne rozhoduje kam sa e-mail odošle a generuje hlásenia a prehľady.

Príklad neúspešného overenia v e-mail hlavičke:

SPF: FAIL (domain of change-healthcare-support.com does not designate 185.100.87.23 as permitted sender)
DKIM: FAIL (signature does not match content)
DMARC: FAIL (policy=reject)

Príklad úspešného overenia protokolov v e-mail hlavičke:

SPF: PASS (relay authorized)
DKIM: PASS (valid signature from pepco-group.com)
DMARC: PASS

Abuse kontakt

Ak už raz odhalíte, že daná doména je phishingová, je vhodné ju nahlásiť, aby sa zabránilo ďalším útokom. Cez rôzne nástroje či stránky dokážeme zistiť skutočný abuse kontakt, či už cez spomínaný whois alebo ripe ncc. Ak máme zistený kontakt, vieme následne dať dotyčnej firme informácie o zneužití ich identity. Ak sme si zároveň istí, že stránka je phishingová, môžeme ju nahlásiť do AbuseIPDB a tým pomôcť ďalším bezpečnostným analytikom, ktorí danú IP či doménu vyhľadávajú. Niektoré phishingové kampane využívajú takzvaný bulletproof hosting – to znamená, že poskytovateľ nechce alebo nemôže odstrániť škodlivé stránky (môže sa nachádzať v zahraničnej jurisdikcii). Vtedy jedinou možnosťou často zostáva, aby sa blokovali IP adresy, či celé stromy domén na interných firewalloch, proxy serveroch či antiphishingových filtroch.

V neposlednom rade vieme priamo analyzovať samotný webový obsah. Pri analýze nám vedia pomôcť komunitné či verejné databázy ako PhishTank, OpenPhish alebo scannery ako urlscan.io. Posledný menovaný po načítaní URL vygeneruje screenshot a zoznam sieťových požiadaviek. Vďaka tomu vieme veľmi ľahko zistiť, či sa na pozadí nespúšťajú skripty na úplne inej doméne, alebo či sa POST požiadavka posiela na nejakú IP adresu, ktorá nemá nič spoločné s deklarovanou bankou či firmou, pričom všetko máme na jednom mieste.

Ak sa zamyslíte, koľko ľudí denne bez rozmýšľania kliká na linky „iba preto, že vyzerajú oficiálne“, uvedomíte si, že aj krátke overenie DNS či certifikátu môže zachrániť citlivé osobné údaje a taktiež tisíce, či dokonca státisíce eur.

Zdroje

[1] Albert Harmon, The $1 Billion Heist: How Hackers Exploited Banks Worldwide, 2025-01-11, https://galaxy.ai/youtube-summarizer/the-1-billion-heist-how-hackers-exploited-banks-worldwide-WyQ7z8BMwwk
[2] Kaspersky Carbanak APT report , Februar 2015, https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08064518/Carbanak_APT_eng.pdf
[3] James Antonakos, Carbanak Continues To Evolve: Quietly Creeping into Remote Hosts, 2017-04-28, https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/carbanak-continues-to-evolve-quietly-creeping-into-remote-hosts
[4] James T. Bennett, Barry Vengerik, Behind the CARBANAK Backdoor, 2017-06-12, https://cloud.google.com/blog/topics/threat-intelligence/behind-the-carbanak-backdoor
[5] Mastermind behind EUR 1 billion cyber bank robbery arrested in Spain, 2018-03-26, https://www.europol.europa.eu/media-press/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain#
[6] Sıla Özeren. ALPHV Ransomware: Analyzing the BlackCat After Change Healthcare Attack. 2025-02-05. https://www.picussecurity.com/resource/blog/alphv-ransomware
[7] Eduard Kovacs. Discount Retail Giant Pepco Loses €15 Million to Cybercriminals. 2024-02-29. https://www.securityweek.com/discount-retail-giant-pepco-loses-e15-million-to-cybercriminals
[8] Ron Lev. Sophisticated Phishing Campaign Exploiting Microsoft 365 Infrastructure. 2025-03-13. https://guardz.com/blog/sophisticated-phishing-campaign-exploiting-microsoft-365-infrastructure/

Ilkovičova 3, 841 04 Bratislava - Karlova Ves

csirt.fei@stuba.sk

© 2025 CSIRT FEI