Troy Hunt, poznati stručnjak za bezbednost i osnivač sajta Have I Been Pwned, nedavno je postao žrtva phishing napada, što pokazuje da čak i najiskusniji profesionalci mogu biti prevareni.

Incident se dogodio dok je Hunt bio na putovanju u Londonu, umoran od leta. Napad je započeo phishing emailom koji je izgledao kao da dolazi od Mailchimpa, provajdera email usluga. Poruka je tvrdila da je Mailchimp primio žalbu zbog spama i da je zbog toga ograničio mogućnost slanja sa njegovog naloga. U emailu je navedeno da je potrebno da potvrdi svoje podatke kako bi rešio problem.

Verujući da je poruka legitimna, Hunt je kliknuo na link u emailu i uneo svoje pristupne podatke, uključujući jednokratnu lozinku (OTP), na lažnoj stranici za prijavu. Nakon unosa podataka, primetio je da proces prijave traje neobično dugo, što ga je navelo da posumnja. Odmah je promenio lozinku na svom pravom Mailchimp nalogu, ali je shvatio da je napadač već uspeo da pristupi njegovom nalogu i preuzme listu email adresa pretplatnika njegovog ličnog bloga.

Kasnije je analizirajući napad, Hunt prepoznao nekoliko znakova phishinga koje je zbog umora propustio da uoči:

• Hitnost zahteva – Email je tvrdio da je nalog ograničen i zahtevao je hitnu akciju, što je česta taktika prevaranata kako bi žrtva delovala impulsivno.
• Sumnjiva adresa pošiljaoca – Iako je email izgledao kao da dolazi od Mailchimpa, pažljivijim proveravanjem moglo se videti da adresa nije bila zvanična.
• Neobičan link za prijavu – Link u emailu vodio je na stranicu koja je izgledala kao Mailchimp, ali je domen bio drugačiji.
• Zahtev za OTP kod – Prava kompanija obično ne traži ponovni unos sigurnosnog koda na neuobičajen način.

U ovom incidentu kompromitovano jee 16.000 email adresa pretplatnika, uključujući i one koji su se ranije odjavili sa liste, jer Mailchimp nije obrisao njihove podatke. Hunt je izrazio frustraciju i izvinjenje svojim pretplatnicima, ističući da je umor bio značajan faktor u njegovoj nepažnji.

Nakon incidenta, Hunt je dao preporuku Mailchimpu da uvede passkeys kao metod autentifikacije, kako bi smanjili mogućnost uspešnih phishing napada. Passkeys su oblik autentifikacije koji koristi kriptografske ključeve i ne oslanja se na tradicionalne lozinke ili OTP kodove, što otežava napadačima da prevare korisnike i automatizuju phishing napade. Ova tehnologija, koju podržavaju kompanije poput Appla, Googla i Microsofta, omogućava bezbedniju prijavu bez unosa lozinki koje mogu biti ukradene.

Ovaj događaj služi kao podsetnik da svako može postati žrtva phishing napada, bez obzira na nivo stručnosti. Važno je uvek biti oprezan prilikom otvaranja emailova, posebno onih koji zahtevaju hitnu akciju ili traže osetljive informacije. Troy zbog umora nije odmah primetio neke važne znake koji ukazuju na phishing, ali ih je uvideo kasnije, kad je već bilo kasno.

Međutim, ovaj incident otvara još jedno važno pitanje: Koliko je 2FA (dvofaktorska autentifikacija) zaista efikasna u zaštiti naloga? U slučaju Troya Hunta korišćen je OTP, ali je napadač uspeo da ga prevari. Ovo postavlja nekoliko ključnih pitanja:

• Da li su svi oblici 2FA podjednako sigurni? Kako se OTP kodovi koji se dobijaju putem SMS-a ili emaila porede sa hardverskim ključevima?
• Koliko nas verovanje da je 2FA pouzdana zaštita zapravo čini neopreznijima?
• Kako se možemo zaštititi od napada koji ciljano imitiraju verodostojne sigurnosne provere?
• Koji su najbolji načini da prepoznamo phishing emailove koji traže naše 2FA kodove?

Iako je 2FA jedan od najvažnijih bezbednosnih slojeva koje možemo koristiti, jasno je da nije svemoguć. Napadači se stalno prilagođavaju i pronalaze nove načine da prevare čak i iskusne korisnike. Zato je edukacija o pretnjama i kritičko razmišljanje prilikom svake interakcije sa emailovima i sumnjivim linkovima od suštinskog značaja.

Na kraju, ključna poruka ostaje ista: Niko nije imun na phishing. Konstantna pažnja, višeslojna zaštita i svest o mogućim prevarama su najbolji način da se zaštitimo.