facebook LinkedIN LinkedIN - follow
Hlavní partner sekce
Partneři sekce
Tematické sekce
 
Branžové sekce

Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky

Přehledy
 
Partneři webu
IT SYSTEMS 7-8/2018 , IT Security

Techniky obrany před phishingem

Michal Hebeda


SophosPhishing ve všech svých formách je stále více využívanou technikou útočníků. Ti se snaží vzbudit důvěru příjemců e-mailů tak, aby byl jejich e-mail přijat a příjemce aktivoval přílohu, proklikl odkaz nebo vykonal jinou akci. Vynalézavost a pečlivost útočníků je stále větší a tím je těžší a těžší takového podvržené e-maily odhalit. Jaké máme technické možnosti odhalit phishing? A kolik toho dokáže odhalit sám uživatel?


SMTP protokol byl navržen jako jednoduchý a otevřený, nikdo asi nepředpokládal jeho rozšíření a masivní užívání i po desítkách let. Pomocí SMTP protokolu lze odeslat e-mail s libovolnou adresou odesílatele. A proto je jednou ze základních taktik útočníků zfalšování adresy odesílatele tak, aby se e-mail tvářil jako legitimně odeslaný z dané společnosti a její domény. Zde máme hned několik technologií, které nám mohou napomoci v odhalení takto upraveného e-mailu.

SPF (Sender Policy Framework)

Můžeme využít technologii SPF (Sender Policy Framework) a otestovat, zda daný e-mail byl odeslán z legitimní IP adresy tak, jak je v SPF záznamu uloženo. SPF záznam je textový záznam v DNS pro danou doménu a definuje IP adresy, jež jsou oprávněny odesílat e-maily pro danou doménu. Každý příjemce si může tyto povolené adresy ověřit. Problém této technologie je ten, že ji bohužel nevyužívá 100 % domén, udává se hodnota mezi 50 a 60 %. Druhý problém je, že využívá informaci z obálky zprávy a nijak již nepracuje s hlavičkou a obsahem e-mailu.

DKIM (DomainKeys Identified Mail)

DKIM vznikl spojením dřívějších návrhů DomainKeys od Yahoo a Identified Internet Mail od Cisco Systems a jeho autoři dbali na co největší jednoduchost a minimální dopad na poštovní systém. Jedná se o formu elektronického podpisu – v e-mailu se projeví přidanou hlavičkou DKIM-Signature, zbytek mailu je beze změny, což zaručí kompatibilitu i se systémy bez podpory DKIM. Výhodou je, že DKIM podpis může přidávat libovolná součást poštovního systému, nemusí to tedy být klient odesílatele, ale například poštovní server nebo e-mailová brána. Stejně tak ověření provádí přijímající mailový server nebo brána.

DKIM obsahuje hash celého těla mailu i hlaviček a je zašifrován privátním klíčem odesílate. V hlavičce DKIM-signature je též uvedeno, jak získat veřejný klíč pro ověření. Což je většinou jeho umístěním v DNS textovém záznamu _domainkey u příslušné domény.

DKIM podpis neověřuje osobu toho, kdo e-mail odeslal, ale garantuje, že byl odeslán v té podobě, v jaké je přijat, a to systémem toho, kdo má přístup k privátnímu klíči z dané domény. Otázkou samozřejmě je, jak moc věříme podepisujícímu.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Technologie DMARC je postavena na dříve popsaných technologiích SPF a DKIM. Vychází z adresy odesílatele uvedené v hlavičce „From“ a snaží se ověřit, zda byl e-mail skutečně odeslán z uvedené domény. Pokud bylo splněno SPF nebo je přítomen validní DKIM podpis, pak e-mail považuje za důvěryhodný. Definuje dále politiku pro neúspěšné e-maily a umožňuje též nastavit zpětnou vazbu. DMARC záznam je opět záznam typu TXT v doméně odesílatele, tentokrát pod názvem _dmarc

Výše uvedené metody identifikují podvržené e-maily, které nemá šanci odhalit uživatel. Často však útočníci využívají vlastní domény, které mají validní SPF i DKIM záznamy, avšak pouze se podobají doméně, kterou chtějí zneužít. Jako příklad můžeme uvést falešnou doménu soqhos.com napodobující originální sophos.com. V takovýchto případech je namístě ostražitost uživatele a jeho edukace. I technika nám však může pomoci, a to například ověřování existence reverzních DNS záznamů.

Druhá linie obrany proti phishingu je aktivní filtrování malwaru, případně závadných odkazů na kompromitované stránky. Zde se nám nabízí například technologie sandboxingu, kdy je každý aktivní obsah spuštěn v různých operačních systémech a je sledována jeho aktivita. Útočníci se často snaží detekovat běh v sandboxu a upravit chování vlastního kódu (taková kybernetická dieselgate), i tyto techniky však lze odhalovat. Doplněním sandboxu může být využití strojového učení a zvláště jeho varianty Deep learning, které při vhodně nastaveném modelu a kvalitním naučení je schopno ve velmi krátké době odhalit malware při velmi nízké úrovni falešných poplachů.

Zajímavou kapitolou je využití techniky „Time of Click“, která se zaměřuje na útoky pomocí URL odkazů v e-mailech. Útočníci spoléhají na to, že tyto linky mohou být prověřovány v okamžiku doručení například e-mailovým serverem, nikoliv však v okamžiku, kdy na ně uživatel klikne. Útočník tak může nejprve rozeslat phishingové e-maily a teprve následně přesměrovat použité URL odkazy na patřičné servery tak, aby během doručování byly odkazy „čisté“. Metoda ochrany „Time of Click“ nahrazuje odkazy v e-mailech odkazem na sebe (např. e-mailovou bránu) a všechny linky tak skenuje nejen při doručení e-mailu, ale i při každém kliknutí na daný link uživatelem.

Problematika phishingu a ochrany před ním je obor velmi dynamický a takřka každý týden jsme svědky nových věcí. Důležité proto je vsadit na výrobce zabezpečení, který je schopen držet krok s dobou, a současně neustále vzdělávat uživatele, aby byli proti phishingu odolnější.

Michal Hebeda Michal Hebeda
Autor článku působí jako Sales Engineer ve společnosti SOPHOS.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Modernizace IS je příležitost přehodnotit způsob práce

IT Systems 4/2025V aktuálním vydání IT Systems bych chtěl upozornit především na přílohu věnovanou kybernetické bezpečnosti. Jde o problematiku, které se věnujeme prakticky v každém vydání. Neustále se totiž vyvíjí a rozšiřuje. Tematická příloha Cyber Security je příležitostí podívat se podrobněji, jakým kybernetickým hrozbám dnes musíme čelit a jak se před nimi můžeme chránit. Kromě kybernetické bezpečnosti jsme se zaměřili také na digitalizaci průmyslu.