V torek 8. februarja 2022 se je znana medijska hiša ProPlus, najbolj znana po kanalih Pop TV, Kanal A in portalu 24ur.com, znašla v nemilosti spletnih piratov. Po vsej verjetnosti so se njihovi računalniki okužili z izsiljevalskim kripto virusom, ki za povrnitev sistema v prvotno stanje zahteva določeno vsoto denarja. Vsoto prilagodijo velikosti podjetja/institucije, zneski pa se gibljejo od nekaj tisoč do več 10 tisoč evrov. Da lahko z izsiljevalci stopimo v stik, nam v vsaki mapi pustijo datoteko z navolili, kako z njimi stopimo v stik.


Kaj točno je kripto virus

Kripto virus je okužba računalnika, ki zašifrira (zakodira) vse datoteke, slike, video posnetke, skratka datoteke, ki smo jih sami ustvarili. Obenem zašifrira tudi ključne datoteke aplikacij, tako da te postanejo neuporabne. Ob zagonu takega programa,  nas pričaka obvestilo, da se je program "zrušil".

In kaj pomeni, da je datoteka bila zašifrirana? Vzemimo za primer, da smo imeli na računalniku diplomsko nalogo. Ta je na računalniku zapisana z nizom ničel in enic, ki so zapisane v točno določenem zaporedju. Ko s programom za branje Word dokumentov odpremo takšno datoteko, Word ta niz ničel in enic pretvori v nam berljivo obliko, ki jo vidimo na zaslonu. Ko takšna datoteka pride v "roke"  kripto virusa, ta po nekem točno določenem ključu, ničle in enice "premeša", da niso več zapisane v pravilnem vrstnem redu. Rezultat tega je, da dokumenta ne moremo več odpreti v nam berljivo obliko. Če nam že uspe odpreti tak dokument, nas bo na zaslonu pričakal niz znakov, ki nam ne bo pomenil popolnoma nič. Skratka, naša diplomska naloga ni več v obliki kot smo jo ustvarili. Da bo naša datoteka ponovno v berljivem formatu, bomo potrebovali prej omenjeni ključ s katerim bomo lahko tiste ničle in enice ponovno postavili v pravilni vrstni red. Seveda pa nam izsiljevalci tega ključa ne bodo izdali brezplačno. Od nas bodo zahtevali znesek, ki bo odvisen tudi od tega ali gre za nek osebni računalnik ali računalnik manjšega ali večjega podjetja/ustanove. Čeprav policija svetuje, da izsiljevalcem ne smemo plačati je to ve nekaterih primerih neizogibno. Ker imamo danes večino dokumentov v elektronski obliki, si je skoraj nemogoče predstavljati situacijo, da podjetje/ustanova ostane brez vsega. Seveda se od vsakega podjetja/ustanove pričakuje, da imajo sistem varnostnih kopij. Vendar pa je vračanje sistema na neko predhodno točko zamudno in tudi povezano z določenimi stroški. V večini primerov, pa je nemogoče povrnit sistem na trenutek, ko se je napad dejansko zgodil, saj se določene datoteke spreminjajo v realnem času.


Od kje je virus prišel v sistem

Načinov je veliko, skoraj najbolj pogost pa je okužba prek elektronske pošte, brskanja po spletu, napad prek vrat za oddaljeni dostop, itd. Tokrat se bomo posvetili predvsem okužbi z elektronsko pošto.

Prvo pravilo je, da ne odpiramo elektronske pošte, neznanih pošiljateljev. Če pošiljatelja ne poznamo ali je sama vsebina elektronskega sporočila neberljiva ali samo besedilo govori o stvari, ki nam ni znana, sporočilo enostavno izbrišemo. V takem elektronskem sporočilu tudi NIKOLI ne smemo odpreti priponke, saj je velika verjetnost, da ta vsebuje škodljivo kodo. Druga nevarnost v takšnih elektronskih sporočilih so hyper povezave do spletnih strani. Na naslednji sliki je jasen prikaz, sporočila, ki zavaja z linkom do spletne strani YouTube. Sporočilo govori o tem, da nam podjetje želi predstaviti videoposnetke v katerih predstavlja svojo dejavnost. Če pošte do tega trenutka še nismo izbrisali, se najprej postavimo s kurzorjem na takšen link. Prikazal se bo oblaček, ki razkriva dejansko mesto na katero nas bo brskalnik odpeljal, če bomo takšen link dejansko kliknili. Da, lahko tudi, da gre za oglasno sporočilo, ki spremlja uspešnost kampanje, ampak tega uporabnik ne more vedeti, zato priporočamo, da takšnih povezav ne odpirate.



Iz sporočila sklepamo, da se posnetek nahaja na portalu YouTube, ko pa na povezavo "zapeljemo" kurzor miške, se razkrije popolnoma drug naslov. To je več kot jasen dokaz, da gre za zlonamerno sporočilo, ki ga moramo nemudoma izbrisati. Na podoben način delujejo tudi prevare, ki nas želijo speljati na spletno stran, ki ni tista za katero mislimo. 


Phising

Phising oz. ribarjenje deluje na podoben način kot zgoraj opisan primer, le da je fokusiran na pridobivanje naših gesel ali številk kreditnih kartic. Napadalci najprej registrirajo domeno, ki je podobna imenu domene naše banke. Vzemimo za primer, da želijo napadalci pridobiti gesla uporabnikov spletne banke NLB. Do spletne različice spletne banke NLB dostopamo prek poddomene klik.nlb.si

Napadalec bo v tem primeru registriral domeno mlb.si, ki je podobna domeni nlb.si in uredil še poddomeno klik.mlb.si Izgled vstopne strani bo do potankosti skopiral, tako da v kolikor ne bomo pozorni na samo domeni, bomo zlahka nasedli, da gre za spletno stran Nove Ljubljanske banke. Da nas bo napadalec prepričal, da vpišemo naše geslo za spletno banko, nam bo poslal elektronsko sporočilo s prepričljivim besedilom. To bo lahko govorilo o tem, da je prišlo do vdora v spletno banko in moramo nujno zamenjati svoje geslo. V sporočilu bodo prijazno vključili še dostop do spletne strani, ki bo po zgornjem vzoru vključevala tekst klik.nlb.si ampak če se bomo z miško postavili na link pa se bo razkrilo, da nas bo klik na povezavo, dejansko poslal na piratsko stran na naslovu klik.mlb.si

Ker gre samo za eno črko v domeni, lahko nepozorni hitro spregleda, da ne gre za domeno Nove Ljubljanske banke. Sedaj je potrebno le še vpisati geslo s katerim dostopamo, do svojega računa in napadalcu smo razkrili geslo. Tega lahko sedaj uporabi za dostop do našega računa.

Na podoben način bi se lahko dokopali do podatkov naše kreditne kartice, kar pa je precej bolj nevarno kot to, da napadalec dobi dostop do našega gesla. Mehanizmi za vstop do spletnih bank niso varovani le z geslom, ampak tudi s certifikati ali dodatnim preverjanjem, tako da nas pred opisanim napadom banke zavarujejo. Je pa mogoče postopek uporabiti za številne druge prevare, zato si velja zapomniti in vsako povezavo v elektronskih sporočilih preveriti oz. sporočila takoj izbrisati če so le ta sumljiva.