- Jak se krade pomocí Internetu - Phishing v praxi
Dnes se podíváme na nebezpečí, o jehož existenci již mnozí z nás slyšeli, ale jen málokdo skutečně ví, co pojem Phishing znamená. Díky našemu pravidelnému čtenáři, který se celou problematikou zabývá, tu máme ucelený pohled na to, jak vás někdo může připravit o peníze a jak se proti tomu bránit.
Není tomu tak dávno, co naše emailové schránky zaplavovaly emaily, které po nás žádaly naše přístupová hesla k bankovnímu účtu České Spořitelny. Samozřejmě asi většina z nás ihned pochopila, že celá věc smrdí na míle daleko. Jednalo se o typickou ukázku tzv. Phishingu v praxi. Bohužel se opět našla řada těch, kteří se nechali nachytat a díky nim se od původců těchto útoků, povzbuzeni úspěchem, jistojistě dočkáme dalších Phishing útoků. Proto se dnes podívejme na zajímavé čtení o tomhle průvodním jevu rozvoje Internetu a internetového bankovnictví ...
- Co je to phishing?
Díky stále prohlubující se integraci komunikačních technologií a výpočetní techniky do v podstatě všech oblastí života člověka, dochází v souvislosti s jejich užíváním, či lépe řečeno zneužíváním, též k páchání poměrně rozmanité trestné činnosti. Dnes nebudeme hovořit o oblíbeném počítačovém pirátství a domácí zálohování všeho, co se nachází na výměnných sítí a za co jsme nezaplatili. Dnes se podíváme na specifickou trestnou činnost ...
Zjednodušeně řečeno phishing je jedním ze způsobů, jakým v oblasti užívání informačních technologií spáchat trestný čin podvodu. Princip phishingu (phishingového útoku) spočívá v neoprávněném získání přístupu k peněžnímu účtu poškozeného u banky či jiné obdobné instituce, či k jeho platební kartě a v následném odčerpání peněžních prostředků z takto napadeného účtu.
Přestože se slovo phishing objevuje v oblasti informační a počítačové bezpečnosti již více než dvacet let, není ani v dnešní době zcela jasné, z jakých slov či zkratek bylo vlastně toto slovo vytvořeno. Základem slova phishing je anglické slovo „fishing" (rybaření, rybolov), přičemž je písmeno f zaměněno za stejně znějící ph. Tato záměna je nejčastěji vysvětlována tak, že se jedná o první dvě písmena slova phreaking, což je označení pro jeden z druhů napadání informačních a telekomunikačních sítí. Jiné zdroje uvádějí, že písmena ph mají naznačovat určitou specializovanost útoků pachatelů phishingu (LANCE, J. Phishing bez záhad. 1. vyd. Praha : Grada Publishing, a.s., 2007. s. 22). Objevují se i teorie rozvíjející myšlenku, že se jedná o zkratku anglického „passworl harvesting fishing", což je do češtiny volně přeložitelné jako „rybolov sklízením hesel" (www.honeynet.org/papers/phishing ).
V českém jazyce bývá slovo phishing používáno nejčastěji ve své anglické podobě, někdy je trochu násilně překládáno do českého jazyka jako rhybaření, rybolov, či rhybolov, přitom anglická homofonie ph-f v českém jazyce protějšek nemá.
Přístup k účtům uživatelů je nejčastěji získán pomocí imitace webové stránky skutečné, důvěryhodné právnické či fyzické osoby, u které je možno realizovat bezhotovostní platební styk či jiným způsobem vstupovat na klientské účty prostřednictvím internetu. Takový způsob phishingového útoku je nazýván „útok metodou falešná identita". Vedle tohoto způsobu jsou užívány i sofistikovanější způsoby phisingových útoků, např. metoda útoku přesměrováním, útoky pomocí vyskakovacích oken či jejich možné kombinace.
V současné době jsou tomuto druhu útoku vystavovány zejména platební systémy umožňující elektronický převod peněz, jako jsou PayPal, PayPay, BidPay, MoneyBookers, Neteller, StrormPay či E-gold (www.aukce-online.info/platba-do-zahranici ) V podmínkách České republiky jsou nejčastěji zmiňovány útok na klientské účty České spořitelny, a.s. A protože ten máme ještě v živé paměti, vysvětlíme si a ukážeme si průběh Phishingového útoku právě na tomto případě ...
- Průběh phishingového útoku v praxi
Jak vlastně probíhá takový cílený útok? Jak víme z mnoha různých jiných oblastí, v jednoduchosti je krása a jednoduchý je i Phishingový útok. Předem určenému seznamu klientů je na jejich emailové adresy zaslána zpráva (tzv. phishingový email), která klienty pod určitou záminkou vyzývá k přihlášení ke svému účtu prostřednictvím odkazu, který je též součástí doručeného emailu. Po kliknutí na daný odkaz a zobrazení webové stránky se klient domnívá, že se pohybuje na zabezpečených stránkách např. bankovního ústavu, avšak ve skutečnosti je právě v prostředí více či méně zdařilé napodobeniny originální webové stránky.
Po zadání uživatelského jména a hesla nekomunikuje uživatel se zamýšleným subjektem, nýbrž zadaná vstupní jména, hesla či čísla platebních karet a jejich PIN jsou odeslána na anonymní emailovou schránku phishera. V případě, kdy si dá phisher se svým podvodem práci, v okamžiku potvrzení zadaných údajů je klient přesměrován a připojen na svůj skutečný klientský účet. Mnohdy si tak klient - poškozený ani nemusí uvědomit nestandardní průběh přihlašování ke svému účtu. Získaná uživatelská jména a hesla jsou pochopitelně zneužita ke vstupu na účet klienta a jeho peněžní prostředky jsou následně odčerpány. Průměrně šikovný webový programátor tohle všechno dnes zvládne levou zadní, Phishingových útoků tedy přibývá. Je odhadováno, že denně je v souvislosti s phishingovým útokem prostřednictvím elektronické komunikace doručeno několik desítek milionů emailů. Zároveň je velmi problematické určit, jaké procento uživatelů, kterým je doručen phishingový email, na tento email zareaguje v souladu se záměrem phishera. Míra návratnosti se pohybuje kolem 0,01 a 0,1 %.
- Příklady Phishingu
Dne 3.1. 2008 ve 12:30 byl na emailovou schránku uživatelů systému PayPal (http://cs.wikipedia.org/wiki/PayPal) zaslán poměrně důvěryhodně vyhlížející email (odesílatel Tato adresa je chráněna proti spamování, pro její zobrazení potřebujete mít Java scripty povoleny ), který uživatele vyzývá, aby se co nejdříve přihlásil na svůj účet. Za títo účelem je uživateli přímo v emailu umožněno pomocí odkazu vstoupit přímo na přihlašovací webovou stránku dotyčné instituce. Znění emailové zprávy:
V případě kliknutí a nabízený odkaz byl uživatel přesměrován na internetovou adresu : http://88.2.220.38/~oscar/www.paypal.com/cgi-bin/webscr/cmd=_login-run. Internetový prohlížeč následně zobrazil tuto webovou stránku:
V případě, že uživatel zadal své přístupové jméno a heslo, byla tato data ihned odeslána na anonymní emailovou schránku phisherovi. Jedná se totiž o napodobeninu originální přihlašovací stránky PayPal. Při porovnání s originální přihlašovací stránkou PayPal jsou patrné určité rozdíly:
Taktéž adresa skutečné přihlašovací stránky a její napodobeniny je odlišná. Adresa skutečné přihlašovací stránky PayPal: https://www.paypal.com/cgi-bin/webscr?cmd=_login-run . Adresa napodobené stránky PayPal byla funkční zhruba 24 hodin. U nás je ale více známý případ České spořitelny. K podobnému útoku na účty klientů České spořitelny, a.s., zejm. na uživatele její služby Servis 24, došlo v měsíci březnu tohoto roku. Klientům, a nejenom klientům ČS, byla zaslána hned celá série podezřelých emailových zpráv, jejímž předmětem bylo právě varování před phishingovými útoky. Klienti byli taktéž vyzváni, aby se přes přiložený odkaz přihlásili na webové stránky České spořitelny, a.s., kde měli zadávat čísla platebních karet, datum expirace a jejich PIN. Phishingový emailů byla celá řada, od první verze, kdy díky použití nějakého toho překládacího softwaru, byl český text značně zkomolený, až po pokročilejší verze, kdy už email byl evidentně psaný někým, kdo česky dobře umí. Vrchol drzosti pak byly poslední verze emailů, které varovali před sebou samými. Měly následující tvar:
Po kliknutí na přiložený odkaz se zobrazila následující stránka (Nepravá přihlašovací webová stránka Servis 24):
Na obrázku je patrné, že jedním z požadavků k přihlášení klienta ke svému účtu je zcela nesmyslně vyžadován PIN platební karty. Podezřelá je též adresa zobrazené webové stránky: http://host81-149-81-234.in-addr.btopenworld.com/www1.servis24.cz/index.htm . Výše uvedená webová stránka je opět padělkem originální přihlašovací stránky České spořitelny, respektive její služby Servis 24. Originální přihlašovací stránka je dostupná na adrese: https://www.servis24.cz/ebanking-s24/dispatcher?aid=19991999 . Pro srovnání, takhle vypadá originální přihlašovací stránka Servis 24:
Nutno podotknout, že autor podvodné stránky z pochopitelných důvodů neměl odvahu zjišťovat, zda se po zadání přihlašovacích údajů do phisherem vytvořené webové stránky skutečně připojí ke svému účtu. Výše uvedený příklad byl už ale dosti zdařilým podvodem z funkční i estetické stránky a měl dost nadějí na úspěch. Jiný podezřelý email zaslaný uživatelům služby Servis 24 vyzýval k opětovnému zavedení služby Servis 24. Email byl ale velmi primitivní a podezřelý již od samého počátku:
Po kliknutí na přiložený odkaz se uživatel mohl „proklikat" až na následující stránku: http://www.polykem.gr/csas.cz/banka/appmanager/portal/update.php?ssl=1. Už internetová adresa musela i případné klienty České Spořitelny poněkud znejistit. Na Internetových stránkách pak nalezli nepříliš zdařilou napodobeninu již výše zmíněných stránek České Spořitelny:
Opět je vidět, že je po uživateli vyžadováno číslo platební karty a její PIN. Na toto zjištění zareagovala Česká spořitelna uveřejněním varovné zprávy o nárůstu phishingových útoků na účty svých klientů. Zároveň varovala před přihlašováním ke klientským účtům přes přiložené odkazy v emailu. Načež se souběžně s tím objevil onen falešný email, varující sám před sebou. Od té doby však naštěstí intenzita těchto emailů značně zeslábla. Každopádně byl to jeden z nevětších a také díky zdařilé podobě posledních verzí také jeden z nejnebezpečnějších, které naši republiku kdy zasáhl.
Obdobných případů phishingového útoku je možno uvést celou řadu. Ukázky dalších případů phishingového podvodu najdete na stránkách Avertlabs.com zde. Jaká je budoucnost těchto útoků a jak se proti nim bránit?
- Budoucnost Phishingu a obrana proti němu
Kam se bude Phishing ubírat? Bohužel žijeme ve značně nedokonalém světě. Jsou mezi námi jedinci, a je jich poměrně dost, kteří se za člověka rozumného (Homo Sapiens Sapiens), co se týká úrovně morálky a slušného vychování jen vydávají. A tedy, co se týče vývojových prognóz, je odhadováno, že počet phishingových podvodů bude i v budoucnosti spíše stoupat.
Tento trend pomůže zastavit snad jen větší osvěta ze strany bankovních institucí, které by měly uživatele informovat o striktních způsobech připojení se ke svému klientskému účtu. Co se týče odhalování původců phishingového útoku tak zde je situace poněkud smutná. Vzhledem k mezinárodnímu charakteru počítačové kriminality a anonymitě uživatelů sítě internet je velice těžké vystopovat původce phishingového podvodu. V lepším případě se podaří vystopovat server s umístěním falešné phishingové stránky. Mezi největší hostitelské země tak patří následující země:
Není překvapením, že jsou mezi nimi země s největším rozšířením Internetu. Co tedy může uživatel vlastně udělat pro to, aby se nestal obětí phishingového útoku?
- Jak se bránit Phishingovému útoku
Zásadně se ke svým klientským účtům připojovat pouze předepsaným způsobem, zásadně nereagovat na žádné emailové zprávy došlé na email uživatele, které nabádají k nějakému manipulování s bankovním účtem - bankovní ústavy ve většině případů takto s klienty vůbec nejednají. Rozhodně nereagovat na emaily vyzívající k upravování a zadávání hesel, pinů ke svým účtům. Vyplatí se také sledovat bezpečnostní varování na webových stránkách poskytovatele služeb, nikdy nezadávat PIN své platební karty a v případě pochybností se obrátit na poskytovatele služby. Ale hlavně je potřeba pamatovat, že žádné technické zařízení Vás neochrání před vlastní hloupostí!
Zkrátka a dobře, většina obětí Phisingového útoku a následného podvodu je zároveň i z velké části jeho viníkem. Samotný email, či falešná stránka jsou ještě celkem neškodné. Uživatel sám musí udělat to hlavní, aby obě věci byly k něčemu, a je tedy přímo sám odpovědný za škodu, která mu případně vznikne. A bývalo by se stačilo jen trochu zamyslet. Nicméně pak už si to bude určitě pamatovat, i když za tuto skutečnost může draze zaplatit. Příště, až mu přijde email s oslovením „drahoušek zákazník", si jistě dá na drahouška dopisovatele větší pozor. Tak schválně, je mezi námi někdo, kdo takhle podobně naletěl?
Za ucelený příklad Phishingu a varování do budoucnosti prostřednictvím tohoto článku, děkuji za redakci a čtenáře DDWorld.cz našemu pravidelnému čtenáři Petru Voleveckému. Opět je to dobrý příklad a výzva pro vás další, kteří si nechávají zajímavé články a názory pro sebe, aby se nestyděli a přispěli zajímavým článkem. Můj email, je vám stále k dispozici.
| Starší články |
|---|
| Komentáře |
|
| ||||||
| ||||||
Mam KB a ta ma bankovnictvi lip zabezpeceny nez Ceska sporitelna (certifikat), navic bydla ma od cesky kartu a tou lze platit i bez Pinu, hruza 
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
| ||||||
