Phishingové testy máme, aj tréningy sme si urobili a ľudia stále klikajú. Ako je to možné?

Phishingové tréningy hotové. Regulatórne požiadavky splnené. Phishingové testovacie kampane naplánované. Poisťovňa spokojná. Diagramy v dashboardoch farebné. A teraz - čo? Ako by povedal kamrát ChatBot - “Výborná otázka 👍”. Hlavne keď si uvedomíte pravdepodobný fakt že čiara úspešnosti testovacích kampaní osciluje okolo rovnakého čísla. Nehovoriac o tom že pri penetračných testoch sociálneho inžinierstva to každého pol roka dopadne, no.. Ako to dopadne.

Hoci je zaužívaným pojmom že najefektívnejšou obranou proti phisingu je takzvaný “ľudský firewall”: teda vytrénovanie samotných používateľov (predstavujúcich slabý článok). Tréningom a zvyšovaním povedomia z nich vytvoriť internú kybernetickú armádu, nepreniknuteľnú líniu obrany. Už na druhý pohľad sa to asi javí ako plán z B-čkového sci-fi filmu. Zuzane z personálneho už na prvý pohľad.

V praxi tento plán totižto naráža na niektoré, možno nie úplne očividné fakty.

Ľudia nie sú stroje ani softvér 

Nie sú to sériovo vyrábané homogénne jednotky. Každý z nich je individuál či už povahou alebo prístupom k práci a bezpečnosti. Väčšina z nich sa v práci snaží len, no, pracovať. A telefón či e-mail pre nich predstavujú len nutné nástroje na prácu, nie podstatu práce samotnej ako to je často vnímané IT kolegami. Je nezmyselné a zbytočné vysvetľovať im koncept SPF a DKIM a požadovať po nich aby si kontrolovali hlavičky e-mailov. Jednak je to práca mailového servera odmietať takúto očividne falošnú poštu, a taktiež v prípade phishingu z falošnej (alebo kompromitovanej) domény budú tieto hlavičky korektné. Podstatné však je že ľudia pochopia závažnosť dôležitosť problému len keď im nebudete vysvetlovať čo majú robiť ale aj prečo. Koniec koncov byť informovaný, a vedieť rozoznať a odolať phishingu, či iným formám sociálneho inžinierstva je zručnosť praktická nielen v pracovnom ale aj súkromnom živote.

Ľudia nemajú strojové učenie

Ich pamäť je obmedzená a deravá. Školenia tohto typu berú poväčšinou ako nutnosť a ich vedomosti v tejto oblasti sa zriedkakedy kumulujú. S časom sa málokedy zvyšujú. Štúdie aj prax ukazujú, že vo výsledkoch v čase týždeň po školení, či rok po nieje takmer žiadny rozdiel. Šablóna, ktorá pre útočníkov fungovala v septembri, bude mať podobnú úspešnosť aj v decembri. Bombardovanie ľudí obrovským množstvom kampaní a následným povinnými rovnakými školeniami ako formou trestu pre tých čo sa nechali nachytať povoedie k zlepšeniu len veľmi nepravdepodobné. Skôr povedie k zatrpknutosti voči bezpečnosti a demotivácii ľudí.

Ľudia sú rôzni

Spoločné však majú to, že na pozitívnu motiváciu väčšinou reagujú omnoho lepšie ako na negatívnu. Je preto dôležité vytvoriť ohľadne phishingu a bezpečnosti celkovo pozitívnu atmosféru. Ak je to možné podporte zvedavosť a záujem ľudí. Počítačová bezpečnosť je žiaľ často vnímaná kolegami ako nutné zlo a prekážka v práci, a kolegovia z IT bezpečnosti ako tí “čo ich nie je nikdy vidieť, a všetko len zakazujú”. V takejto atmosfére sa nemožno čudovať ako niekto nakoniec spustí reálny malware, v duchu  s komentárom, “veď čo, nech aj oni niečo konečne robia”. 

Jedným z hlavných úloh pre ludí z bezpečnosti by malo byť aby boli vnímaní pozitívne ako spojenci ktorý potrebujú rovnako ako všetci pomoc od svojich kolegov. Vysvetliť im čo je dôvod a podstata obmedzení, byť dostupný pre otázky, a vysvetliť dôležitosť nahlasovania podozrení na incidenty. Ak robíte povinné školenia (refresher na tému fishing apod), rozhodne lepšie ako mesačných nudných 20 minút, je každotýzdenných 5min. Krátka zábavná prezentácia s ukážkami a otázkami, od vašeho zástupcu miestneho šerifa (Security deputy). 

Človeka, u ktorého máte istotu, že sa na neho môžete obrátiť s otázkami, nahlásiť mu podozrivú aktivitu či mail a dostať “ľudskú” odpoveď v rozumnom čase, a ktorý vám za pomoc poďakuje. Ťažké realizovať? Áno. Náročné? Áno. Dobrý nápad? Snáď áno. 

Samozrejme, keďže nie všetci sú rovnakí, budú aj ľudia ktorí pomáhať nechcú. Chcú sa len sústrediť na prácu. Tí však pravdepodobne nebudú namietať keď budú presunutí do špeciálnej skupiny v omnoho prísnejšími obmedzeniami. Určite sa dá aj namietať, že existujú jedinci či dokonca celé tímy, na ktorých nebude fungovať iné ako “bič a hrôzovláda”. Otázka však je, či je naozaj potrebné takýchto ľudí v tíme mať.

Ľudia majú rôznu náplň práce

V každej firme existujú rôzne oddelenia. A hoci generické kampane typu “musíte si zmeniť heslo”, či “kupón na kávu zdarma” nezožnú veľký úspech, existuje dôvod prečo útočníci cielia na konkrétne oddelenia. Nikomu snáď netreba opakovať, že “Nikdy neklikajte na prílohy v neočakávaných e-mailoch, hlavne od neznámych odosielateľov”. Pre Zuzanu z personálneho je však presne táto definícia popisom práce. Otvárať priložené životopisy a motivačné listy od nových kandidátov. Od obchodníka Tomáša tiež nikto nemôže očakávať že zrazu prestane otvárať pracovné ponuky. Alebo že na marektingu nebudú klikať na linky. 

Je preto potrebné uvedomiť si tieto rozdiely už pri modelovaní hrozieb a následne podla toho upraviť nielen prístup k školeniu ale hlavne k protiopatreniam. Schodným riešením pre dokumenty je napríklad konverzia do PDF formátu, v izolovanom prostredí, pred doručením do schránky (alebo s doričením mimo schránku). Ak je z nejakého dôvodu potrebné pristúpiť k originálnemu dokumentu, tak napríklad v izolovanom (jednorázovom) bezpečnom prostredí (sandbox). V dnešnej dobe, keď sú virtualizácia a kontajnerizácia prítomné všade a dostupné všetkým, by bola škoda ich nevyužívať.

Ľudia sú zvedaví a emocionálni

Hoci ste váš “ľudský firewall” vytrénovali na všetky tie globálne kampane a bizarné prílohy a čísla v dashboarde sú uspokojivo nízke. Vedzte že akonáhle sa objaví mail s titulom  “Zmeny v politike dovoleniek” čísla pôjdu rapídne hore. Emócie fungujú rýchlejšie ako logika. Keď logika dobehne emócie býva už relatívne neskoro. Aby toho nebolo dosť emócie sa potom ešte snažia brániť logickému kroku ktorým je problém či podozrenie nahlásiť.

Našťastie otázka autenticity v internom prostredí ide vyriešiť relatívne jednoducho. Napríklad podpisovaním prostredníctvom S/MIME certifikátov. Nepodpísaná správa patrí ideálne rovno do koša.

Jednoduchým trikom je napríklad aj vytvorenie filtra v poštovom klientovi ktorý vám triedi poštu na “firemnú” a “externú”. Okrem praktickosti spočíva trik v tom že phishingové správy napodobujúce vašu firemnú doménu nikdy neskončia v schránke “firemné”. Pre vás možno “l” a “I” vyzerajú rovnako, filter ale “L” a “i” rozná bez zaváhania. A pre domáce použitie je toto aj dobrý a praktický trik pre najpoužívanejšie e-shopy.

Ľudia nie sú z cukru

Treba ich zoceliť. Školiť ľudí dokola na kampane typu “1,000,000 USD!!!”, a následne ich testovať scenárom “Získaj hotdog zdarma!”, môže byť síce v zhode s reguláciami a legislatívnymi požiadavkami, ale pokojné spanie vám to určite nezaručí. Ak by etickí hackeri dostali 10 centov vždy keď pri dohadovaní scenárov zanie fráza ako: “Ale nech to nie je príliš sofistikované lebo to by určite fungovalo” alebo “Nech tam nie je velký nátlak aby z toho nemali stres”, mohli by si kúpiť minimálne ten hotdog. Ako každé školenie či tréning je bez realistických scenárov iba taká detská hra na vojakov. Nie reálny ozbrojený konflikt. Rovnako je to s používaním časovej tiesne, či iných foriem psychologického nátlaku, ako efektívnejšie adresáta donútiť jednať. Objasnite im tieto techniky a následne ich vystavte takejto simulácii. Ak to neurobíte vy, urobí to za vás niekto iný. A nemyslím ľudí z telemarketingu.

Ľudia nie sú vždy ľudia

Útočníci žiaľ neberú ohľad na duševné zdravie zamestnancov či ich pohodu. Ide im o výsledky. Použijú každú fintu trik či techniku ktorá im pomôže k úspechu. Phishingových kampaní bude s časom iba pribúdať a budú sofistikovanejšie a dôveryhodnejšie. Budú omhovo viac cielné (personalizované) na úzke skupiny a jednotlivcov. Už ich totižto nepíšu ľudia so zlou angličtinou, a s automatickým prekaldom do slovenčiny. Žijeme v dobe generatívnych AI. Vytvoriť cielený profil obete na základe verejne dostupných informácii, cielený e-mail v lokálnom jazyku a vo vašom profesnom žargóne, či falošný a naozaj funkčný portál, nikdy nebolo jednoduchšie. 

To isté však platí aj pre generovanie hlasu. Ten sympatický hlas, čo vám volá, je už len zriedkakedy ľudský. Stroje dnes dokážu byť presvedčivejší ako ľudia. A hlavne umožňujú kampane omnoho viac škálovať, keďže vedia realizovať veľa hovorov paralelne. Hybridné kampane kedy vám niekto pošle e-mail a následne zavola (alebo opačne), aby dodal svojej správe na dôveryhodnosti a rozptýlil vašu pozornosť, sa stávajú bežnou realitou. Laťka sa od dôb správ typu “Drahoušek zákazník!” zvyhla vysoko. A dvíha sa rýchlo. 

Nezostáva nám nič iné ako držať krok. Doba už jednoduchšia nebude.