Ова е гостински текст на Божидар Спировски кој има повеќе од 15 години искуство во областа на сајбер безбедност и е посветен на подигање на свеста за ризиците во дигиталниот свет. Работи како Chief Information Security Officer на Blue dot и Sourcico и е основач на платформата за сајбер безбедност BeyondMachines.net.
Во среда на 8-ми ноември многумина во Македонија, примарно студенти, добија phishing имејл кој се обидуваше да ги измами да внесат податоци од платежна картичка со ветување дека ќе добијат средства по основ на законот за субвенциониран студентски оброк.
За среќа, со заеднички напор на многу луѓе во Македонија кои посветија дел од своето време и ја проширија свесноста за оваа измама, успеавме да ја минимизираме штетата. Овој текст е ретроспектива на процесот на справување со инцидентот: што се случи, што научивме, и што остана да се истражи во овој инцидент.
Перспективата на текстот се јавните акции кои ги комунициравме и организиравме преку социјални мрежи и лични познанства. Верувам дека институциите имале свој паралелен процес и ги поканувам да ги споделат со јавноста нивните ретроспективи.
Тек на инцидентот – што се случи?
Phishing пораките биле испратени по имејл ноќта на 8-ми ноември, некаде околу 1 часот наутро. Испратени се на многу адреси преку имејл сервисот на outlook.com.
Измамата во phishing пораката имаше приказна поврзана со остварување на правото на студентски оброк, и линк до веб сајт во облик на QR код. Ако се скенира овој код од мобилен телефон се отвора веб страна која ги имаше логото и боите на Шпаркасе банка. Страната бараше броеви на картичка од родител, со CVV код за наводно да префрли пари.
Страната и приказната се комплетни измами. За префрлање пари не е потребен број на картичка ниту CVV код туку број на банкарска сметка (која нема врска со бројот на картичка). Јасно е дека целта на страната е да се соберат валидни податоци од картички за кражба на средства и препродавање на податоците на други криминални групи.
Близу пладне истиот ден, во 11:28 часот ме контактираше Владислав Бидиков од ФИНКИ, кој моментално е во Велика Британија на стручно усовршување. Ми пренесе за phishing нападот што му го пријавиле студенти од ФИНКИ утрото. Ме замоли за помош бидејќи нема можност да се ангажира во целост за проблемот. Потврдивме дека сајтот е активен и дека бројот на примачи е многу голем.
Одлучивме да ја предупредиме и едуцираме јавноста за овој напад. Најбрз начин е да се искомуницира со јавноста преку социјалните мрежи. Во периодот од 11:30 до 11:40 објавивме вест на Blue sky, Twitter, Facebook и Linkedin, со апел за споделување на веста и пријава на измамничкиот веб сајт.
Веднаш потоа започнавме со пријавување на Google Safe Search и на страницата за злоупотреба кај хостинг провајдерот на веб сајтот. Колки повеќе пријави, толку е поголем кредибилитетот на поединечна пријава и носи побрза реакција да се онеспособи страната. Владислав истовремено ги замоли студентите со кои беше во контакт да ја пријавуваат страната на истите системи. Повеќе корисници на социјалните мрежи кои ја видоа пораката се вклучија во напорот да се пријавува почесто.
Стапив во контакт и со колегите од Sparkasse банка бидејќи се злоупотребува нивниот бренд. Ме информираа дека се во тек и исто работат на онеспособување на сајтот со измама.
Потешкотии во известувањето
Меѓу реакциите на социјалните мрежи беа и препораки да се пријави до МКД ЦИРТ. Со полно право, тоа е местото за пријава на проблем на национално ниво. Се обидов да пријавам преку нивниот сајт но при поднесување на формата сајтот пријави грешка и даде информација да пратам e-mail.
Подготвив имејл порака со комплетна пријава на инцидент – сумарна информација, screenshot-и на измамата и линк до сајтот со измама за колегите од МКД ЦИРТ полесно да се снајдат.
За жал не успеав да испратам имејл. Gmail не ми дозволуваше да ја испратам пораката бидејќи материјалите кои ги вклучив како докази беа препознаени од системот како злонамерни. Овој проблем нема врска со МКД ЦИРТ но е индикатор дека при вакви инциденти и имејл комуникацијата е отежната.
После два неуспешни обиди се откажав од праќање до МКД ЦИРТ и пратив пораки на познаници кои би можеле да ги продолжат обидите за пријава до ЦИРТ. Подоцна дознав дека и МКД ЦИРТ бил информиран и се вклучил во акцијата.
Овде би сакал да потенцирам едно важно правило на пријава на инцидент – колку е потешко да се пријави инцидент, толку помалку луѓе ќе го поминат процесот и ќе пријават инцидент.
Успех!
Во 13:27 часот на 8-ми ноември потврдивме дека сајтот со измамата е онеспособен, и тоа го споделивме на социјалните мрежи.
Уште еднаш да искажам голема благодарност до сите кои го пријавија овој phishing напад, кои ја споделија информацијата, го засилија гласот на предупредувањето и кои активно пријавуваа за да се спречи злоупотребата. Вчерашниот инцидент беше разрешен за многу кратко време, од почетокот на кампањата во 1 часот наутро до онеспособувањето на веб страната поминаа само 12 часа. Ова е фантастично брза реакција за ваков инцидент.
Не можеме да знаеме чиј напор ја постигна целта – дали на многумината кои се ангажираа по пораки на социјалните мрежи, на МКД-ЦИРТ или на тимот на Шпаркасе. Победата ја броиме на сите нас – на Македонија.
Што научивме?
Ако видите нешто, кажете нешто. Колку можете побрзо, колку можете “погласно”, на колку можете повеќе луѓе. Вклучете опис или слики кои ќе им помогнат на другите да ја препознаат измамата. Дури и да знаете дека е измама, споделете со другите, бидејќи можеби некој друг не знае. Вашата информација ќе му помогне.
Crowdsourcing функционираше. На 8-ми ноември Македонија ѝ помогна на Македонија да се справи со phishing инцидент. Бидете несебични, вклучете се и во споделување и во пријавување на злоупотреба.
Бидете многу внимателни со линкови скриени преку QR код. Првпат видовме употреба на QR код како начин за маскирање на линкот. Линковите до лажните страни често се одличен индикатор дека страната не е од институцијата за која се претставува. Со QR кодот линкот е невидлив и непрепознатлив.
За жал, МКД ЦИРТ не ни е прва мисла при ваков инцидент. Ниеден од нас не доби прва реакција да пријави кон МКД ЦИРТ. Сите се потпревме на своите колеги и на јавноста. На МКД ЦИРТ му треба многу поголема промоција и видливост на институцијата за јавноста да ги препознае како прва адреса за повик.
Процесот на пријава на инциденти во МКД ЦИРТ мора да стане поедноставен. Сигурен сум дека со доволно обиди ќе најдев начин да го пријавам инцидентот, но секој од нас даде од своето работно време и од редовните обврски. Многу е лесно да се откажеме затоа што имаме и други приоритети.
Што останува недовршено?
Дали криминалците гаѓаа на среќа или имаа точен список на мети?
Останува неодговорено прашањето кои имејл адреси беа таргетирани. Дали криминалците праќаа “на слепо” или имаа список на вистински пријавени лица за студентски оброк.
Контекстот на целиот напад е премногу прецизно локализиран, темата е специфична и локална за Македонија. Ова индицира дека криминаците се или од Македонија или имаат многу тесни врски со лица од Македонија за да го знаат контекстот на акцијата и деталите околу вистинската банка која го управува процесто за финансирање на студентски оброк.
Ова нѐ води и до прашањето дали и метите на овој phishing напад се случајно избрани или некоја од нашите институции “протекува” податоци.
Ниту еден од нас надворешни набљудувачи нема авторитет ниту можност да ја направи оваа истрага. Токму тука институција со авторитет да управува со инциденти на ниво на држава ќе има моќ да ги постави овие тешки прашања, за да се намали можноста да се повторат ваквите инциденти во иднина.
Повеќе свесност и едукација
Овој инцидент е одличен пример за проширување на свесноста кај граѓаните на Македонија за постоењето на овие измами и нивно препознавање.
Бидејќи очигледно криминалците немаат никакви скрупули и ќе се обидат да украдат дури и од оние на кои им треба субвенциониран оброк.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
Браво за напорите и успешно разрешување на нападот, а особено во делот за обезбедување на брз и колективен одговор.