Alex Procházka 
Techniky phishingu se vyvíjely s tím, jak si uživatelé stále více uvědomují svou kybernetickou bezpečnost. Jen málo lidí neslyšel o útocích na generální ředitele, nigerijských dopisech nebo jednoduše příliš sexy nabídkách produktů.
Navzdory všem těmto informacím však stále existují případy, kdy kyberzločinci pomocí různých technik sociálního inženýrství dokáží přimět uživatele, aby znovu propadli jejich dobře připraveným trikům.
Jsme konfrontováni s nepřetržitým procesem, v němž představivost některých stojí proti vynalézavosti jiných.
Anti-spam a anti-phishing
Ve snaze zmírnit tento problém se objevilo několik komerčních řešení služeb proti spamu a phishingu, která pomáhají nechráněným uživatelům. Cílem není nic jiného, než zabránit tomu, aby se tyto pasti v podobě e-mailů, telefonátů nebo jednoduše SMS dostaly ke konečným příjemcům.
Kyberzločinci však začínají s výhodou „znát problémové prohlášení“. To znamená, že vědí, že k dosažení svých cílů musí překonat definované a jasně identifikované překážky. Z tohoto důvodu jejich plány vymýšlejí útoky ve dvou dobře rozlišených fázích. Fáze, které jednou překonají, jim umožní dokončit podvod.
První fází je dostat se přes tyto nástroje a obejít filtry, kterými procházejí vaše zprávy. Druhý a širší veřejnosti známější má za cíl dosáhnout po překonání prvního, aby uživatel provedl plánované akce, aniž by si byl vědom své chyby.
Obejít bezpečnostní nástroje a dostat se k oběti
V současné době je dostat se přes první fázi, tedy anti-phishingové nástroje, opravdu náročný úkol. Existuje mnoho aplikací, které využívají pokročilé techniky umělé inteligence (tak módní v poslední době s publicitou, kterou dosáhl Chat GPT-3) a které nám umožňují identifikovat přítomnost bezpečnostních hrozeb v téměř každé zprávě, kterou obdržíme.
Musíme však vědět, že nejsou neomylní. Někdy rozmazaná hranice mezi tím, co je legální a co je nelegální, znamená, že potenciálně nebezpečné e-maily se dostanou k jejich příjemcům, což z nich dělá poslední články v řetězci kybernetické bezpečnosti.
Na této hranici, mezi tím, co je považováno za hrozbu a legitimní zprávu, existují některé techniky, které kyberzločinci historicky používali a které získávají novou roli. Jde o techniky, které zamaskují sdělení tak, že oči vidí jednu věc, ale obsah ukazuje jinou.
Homografie ASCII znaky jsou známé jako sada znaků, která ve své rozšířené verzi obsahuje až 256 znaků a běžně se používají ke kódování textu na počítačích, telefonech, tiskárnách atd. Aniž bychom zacházeli dále, tento článek je dobrým příkladem jeho použití.
Jsou však chvíle, kdy se tato znaková sada ukáže jako nedostatečná. Mnoho jazyků obsahuje symboly, které nejsou zahrnuty v rozšířené sadě 256 znaků ASCII. Proto existují varianty ASCII, které musí zahrnovat regionální symboly a znaky. A právě tyto postavy nabízejí kyberzločincům určité možnosti.
Utility, jako jsou ovládací znaky, flexibilita prezentace textu nebo i jednoduché CTRL-C, CTRL-V, mohou vést k neočekávaným situacím, kdy se phishingovému útoku podaří dosáhnout svého příjemce.
Není těžké použít některé regionální znaky tím, že je vydáme za jiný typ písma. Je to to, co je známé jako útoky homografií, tedy postavy, které představují vizuální podobnosti s těmi, které očekáváme.
Nahrazení velkého písmene „i“ malým písmenem „el“ nebo sekvence jako „rn“ místo „m“ jsou jednoduché případy použití. Tím ale nekončí, existence znaků z jiných abeced je snad nejrozšířenější formou vykořisťování. Například slova jako „tωitter.com“ nebo znaky v azbuce jako З, Ч a б, které by se podobaly číslům 3, 4 a 6, mohou zůstat bez povšimnutí a vést ke značnému nesprávnému výkladu.
neviditelné postavy
Použití neviditelných znaků je další velmi běžnou technikou v digitálním světě. Jedná se o postavy, které nemusí být nutně škodlivé, ale mohou vytvářet chyby, které končí chybami a nepředvídatelnými škodami.
Při vytváření zprávy je běžné, že nástroje jako Microsoft Office prezentují své texty podle charakteristik definovaných v jejich formátu. S využitím této vlastnosti tedy dochází k útokům, které využívají znaky, které nejsou viditelné, ale přesto jsou v textu přítomny. Obvykle se jedná o řídicí znaky ve formátu Unicode, které se snadno vkládají do textu. Tím dosahují toho, že se jejich interpretace mění s ohledem na to, co je vizuálně očekáváno.
Jedním z nejpoužívanějších znaků je obvykle U+2060; nevizuální znak, který lze vložit do e-mailu upravovaného v aplikaci Outlook jednoduše zadáním čísla „2060“ a následným stisknutím kláves „Alt“ a „X“. Konečným výsledkem je text, který vypadá normálně, ale přesto obsahuje další znaky, které mohou kyberzločinci umožnit přesměrovat svou oběť na neočekávanou internetovou adresu.
nula znaků písma
Použití velikosti znaků je často další technika, která může koncové uživatele uvést v omyl. To je to, co je známé jako zero font characters, což je možnost, kterou nabízí obsah HTML a kterou lze vidět na jednoduchém příkladu, když se pokusíme napsat zprávu, kde jeden ze znaků slova má velikost písma „0“. Poznámka: V případě, že jste si toho nevšimli, slovo „zdroj“ má „.“ velikosti „1“ mezi „e“ a „n“.
Útok „zprava doleva“ (RLO).
Další z technik používaných kyberzločinci spočívá ve využívání pořadí psaní v určitých oblastech. Použití řídicích znaků Unicode umožňuje zobrazení textu zprava doleva tak, jak by se zobrazoval v jazycích, jako je hebrejština nebo arabština. Jednoduchý „příklad“ s použitím kódu U+202e před slovem nám tedy ukáže „olpmeje“. Zpočátku něco neškodného.
Nyní, pokud tento příklad odkazuje na soubor malwaru „xcod.exe“ a ten se čtenáři zobrazí jako „exe.docx“, věci se změní. Natolik, že se nedávno ukázaly varianty této techniky, které umožňují například generovat problémy se stabilitou v prohlížečích a terminálech pouhou úpravou způsobu prezentace textů. Další variantou tohoto typu útoku je zamlžení samotného škodlivého kódu před očima uživatele, což také otevírá nové možnosti pro kyberzločince.
Kopírovat vložit
Existují dokonce techniky, které pomocí postupu „kopírovat a vložit“ mohou vést k neočekávaným problémům. Ve skutečnosti se vždy říkalo, že před přístupem na internetovou adresu, která pochází z neznámého zdroje, je lepší zadat adresu ručně do prohlížeče, aby nás kliknutí na odkaz nepřeneslo tam, kam nechceme.
I za těchto okolností mnoho uživatelů zkopíruje (CTRL-C) vizuální adresu, zjevně správnou, a vloží ji (CTRL-V) na kartu prohlížeče. Technika by byla správná, kdyby nebylo skutečnosti, že to, co nám naše oči říkají, je to, co kopírujeme, není přesně to, co vkládáme.
Závěr
Jak je vidět, techniky phishingu jsou často výsledkem využívání utilit a služeb, které jsou určeny pro jiné účely. Vždy využívat slabosti koncového uživatele, ať už ve formě sociálního inženýrství nebo jednoduše zatajením a maskováním informací o útoku.
Tímto způsobem mohou nástroje, jako jsou ovládací znaky, flexibilita prezentace textu nebo dokonce jednoduché CTRL-C, CTRL-V (kromě mnoha dalších neuvedených), vést k neočekávaným a potenciálně nebezpečným situacím, kdy se phishingovému útoku podaří dosáhnout svého adresáta. . A je to tak, že když se dobře zamyslíte, často se říká, že „ne vždy jsou kyberzločinci vidět přicházet“.
Autor: Juanjo Galán, obchodní strategie ve společnosti All4Sec
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
