|
Strana 2 z 3
- Průběh phishingového útoku v praxi
Jak vlastně probíhá takový cílený útok? Jak víme z mnoha různých jiných oblastí, v jednoduchosti je krása a jednoduchý je i Phishingový útok. Předem určenému seznamu klientů je na jejich emailové adresy zaslána zpráva (tzv. phishingový email), která klienty pod určitou záminkou vyzývá k přihlášení ke svému účtu prostřednictvím odkazu, který je též součástí doručeného emailu. Po kliknutí na daný odkaz a zobrazení webové stránky se klient domnívá, že se pohybuje na zabezpečených stránkách např. bankovního ústavu, avšak ve skutečnosti je právě v prostředí více či méně zdařilé napodobeniny originální webové stránky.
Po zadání uživatelského jména a hesla nekomunikuje uživatel se zamýšleným subjektem, nýbrž zadaná vstupní jména, hesla či čísla platebních karet a jejich PIN jsou odeslána na anonymní emailovou schránku phishera. V případě, kdy si dá phisher se svým podvodem práci, v okamžiku potvrzení zadaných údajů je klient přesměrován a připojen na svůj skutečný klientský účet. Mnohdy si tak klient - poškozený ani nemusí uvědomit nestandardní průběh přihlašování ke svému účtu. Získaná uživatelská jména a hesla jsou pochopitelně zneužita ke vstupu na účet klienta a jeho peněžní prostředky jsou následně odčerpány. Průměrně šikovný webový programátor tohle všechno dnes zvládne levou zadní, Phishingových útoků tedy přibývá. Je odhadováno, že denně je v souvislosti s phishingovým útokem prostřednictvím elektronické komunikace doručeno několik desítek milionů emailů. Zároveň je velmi problematické určit, jaké procento uživatelů, kterým je doručen phishingový email, na tento email zareaguje v souladu se záměrem phishera. Míra návratnosti se pohybuje kolem 0,01 a 0,1 %.
Dne 3.1. 2008 ve 12:30 byl na emailovou schránku uživatelů systému PayPal (http://cs.wikipedia.org/wiki/PayPal) zaslán poměrně důvěryhodně vyhlížející email (odesílatel
Tato adresa je chráněna proti spamování, pro její zobrazení potřebujete mít Java scripty povoleny
), který uživatele vyzývá, aby se co nejdříve přihlásil na svůj účet. Za títo účelem je uživateli přímo v emailu umožněno pomocí odkazu vstoupit přímo na přihlašovací webovou stránku dotyčné instituce. Znění emailové zprávy:
V případě kliknutí a nabízený odkaz byl uživatel přesměrován na internetovou adresu : http://88.2.220.38/~oscar/www.paypal.com/cgi-bin/webscr/cmd=_login-run. Internetový prohlížeč následně zobrazil tuto webovou stránku:
V případě, že uživatel zadal své přístupové jméno a heslo, byla tato data ihned odeslána na anonymní emailovou schránku phisherovi. Jedná se totiž o napodobeninu originální přihlašovací stránky PayPal. Při porovnání s originální přihlašovací stránkou PayPal jsou patrné určité rozdíly:
Taktéž adresa skutečné přihlašovací stránky a její napodobeniny je odlišná. Adresa skutečné přihlašovací stránky PayPal: https://www.paypal.com/cgi-bin/webscr?cmd=_login-run . Adresa napodobené stránky PayPal byla funkční zhruba 24 hodin. U nás je ale více známý případ České spořitelny. K podobnému útoku na účty klientů České spořitelny, a.s., zejm. na uživatele její služby Servis 24, došlo v měsíci březnu tohoto roku. Klientům, a nejenom klientům ČS, byla zaslána hned celá série podezřelých emailových zpráv, jejímž předmětem bylo právě varování před phishingovými útoky. Klienti byli taktéž vyzváni, aby se přes přiložený odkaz přihlásili na webové stránky České spořitelny, a.s., kde měli zadávat čísla platebních karet, datum expirace a jejich PIN. Phishingový emailů byla celá řada, od první verze, kdy díky použití nějakého toho překládacího softwaru, byl český text značně zkomolený, až po pokročilejší verze, kdy už email byl evidentně psaný někým, kdo česky dobře umí. Vrchol drzosti pak byly poslední verze emailů, které varovali před sebou samými. Měly následující tvar:
Po kliknutí na přiložený odkaz se zobrazila následující stránka (Nepravá přihlašovací webová stránka Servis 24):
Na obrázku je patrné, že jedním z požadavků k přihlášení klienta ke svému účtu je zcela nesmyslně vyžadován PIN platební karty. Podezřelá je též adresa zobrazené webové stránky: http://host81-149-81-234.in-addr.btopenworld.com/www1.servis24.cz/index.htm . Výše uvedená webová stránka je opět padělkem originální přihlašovací stránky České spořitelny, respektive její služby Servis 24. Originální přihlašovací stránka je dostupná na adrese: https://www.servis24.cz/ebanking-s24/dispatcher?aid=19991999 . Pro srovnání, takhle vypadá originální přihlašovací stránka Servis 24:
Nutno podotknout, že autor podvodné stránky z pochopitelných důvodů neměl odvahu zjišťovat, zda se po zadání přihlašovacích údajů do phisherem vytvořené webové stránky skutečně připojí ke svému účtu. Výše uvedený příklad byl už ale dosti zdařilým podvodem z funkční i estetické stránky a měl dost nadějí na úspěch. Jiný podezřelý email zaslaný uživatelům služby Servis 24 vyzýval k opětovnému zavedení služby Servis 24. Email byl ale velmi primitivní a podezřelý již od samého počátku:
Po kliknutí na přiložený odkaz se uživatel mohl „proklikat" až na následující stránku: http://www.polykem.gr/csas.cz/banka/appmanager/portal/update.php?ssl=1. Už internetová adresa musela i případné klienty České Spořitelny poněkud znejistit. Na Internetových stránkách pak nalezli nepříliš zdařilou napodobeninu již výše zmíněných stránek České Spořitelny:
Opět je vidět, že je po uživateli vyžadováno číslo platební karty a její PIN. Na toto zjištění zareagovala Česká spořitelna uveřejněním varovné zprávy o nárůstu phishingových útoků na účty svých klientů. Zároveň varovala před přihlašováním ke klientským účtům přes přiložené odkazy v emailu. Načež se souběžně s tím objevil onen falešný email, varující sám před sebou. Od té doby však naštěstí intenzita těchto emailů značně zeslábla. Každopádně byl to jeden z nevětších a také díky zdařilé podobě posledních verzí také jeden z nejnebezpečnějších, které naši republiku kdy zasáhl.
Obdobných případů phishingového útoku je možno uvést celou řadu. Ukázky dalších případů phishingového podvodu najdete na stránkách Avertlabs.com zde. Jaká je budoucnost těchto útoků a jak se proti nim bránit?
|
