Cílem tohoto článku je poukázat na některá moderní nebezpečí číhající na internetu. Existuje například velké procento uživatelů internetu, které se nechá oklamat podvodnými e-maily (70 procent). Přitom až 74 procent uživatelů používá své počítače pro citlivé transakce. Tato čísla pochází z přehledů America Online a National Cyber Security Alliance – pro Českou republiku budou uváděná čísla jistě nižší. Z hlediska problému i budoucí perspektivy jeho vývoje však nebudou ani tato čísla zanedbatelná.

Zde se převážně budeme věnovat problému (typu podvodu) označovanému jako phishing. Pro toto anglické slovo (vzniklé přepisem ze slova fishing) je v některých českých článcích jako jeho ekvivalent používán výraz rhybaření. Typické pro tento druh počítačové kriminality je využívání nikoli slabin počítačových technologií, ale slabin vlastních samotnému člověku.

K popisu problému a jeho kořenům

Problém phishingu se objevil v posledních několika letech a jeho základní forma se dá popsat následujícím jednoduchým způsobem. Útočník vám zašle e-mail, ve kterém se podvodně vydává za zástupce legitimní entity a nějakým způsobem vás nutí prozradit data související s vašimi financemi – většinou hesla (například pro internetbanking) nebo údaje o vaší kreditní kartě a podobně. Příklad takového „důvěryhodně“ vypadajícího e-mailu:

Vážený zákazníku, omlouváme se za výpadek naší služby v průběhu posledních 48 hodin. Pro ověření obnovy funkce Vašeho přístupu Vás žádáme o jeho ověření na stránce http://www.securbanka.com vložením vašeho hesla do příslušného pole. S úctou…

K tomu může využívat další související triky, naláká vás na falešné webové stránky (které vypadají přesně stejně jako stránky vaší banky) nebo vás vyzve k zaslání vašich citlivých dat na důvěryhodně vypadající (ale jen vypadající) e-mailovou adresu – například místo správné adresy operator@banka.com vás požádá o zaslání hesla na adresu operator@securbanka.com a podobně.

V poslední době se rozmáhá i takzvaný VoIP phishing. Podvodník vám místo e-mailu zatelefonuje, samozřejmě se vydává za zástupce vaší finanční instituce, a nějakou cestou se snaží z vás příslušná data dostat. Konkrétní příklad takovéhoto obdobného jednání viz Warning over Sky TV scam. Podvodník orientovaný na předplatitele Sky TV (Velká Británie) se telefonicky vydává za zaměstnance společnosti a tvrdí, že nemáte zaplaceno a vaše předplatné bude zrušeno. Ten, kdo naletěl, měl smůlu. Detaily jeho kreditní karty se ocitly v nepovolaných rukou…

V zásadě jsou k rhybaření používány následující tři cesty. První z nich je varianta sociálního inženýrství, kdy oběť je nějakou cestou „přesvědčena“, aby vydala své logovací údaje (jméno a heslo). Obvykle již přímo v e-mailu je oběť nasměrována, aby se kliknutím na odkaz dostala na podvodnou webovou stránku. Druhá využíváná metoda se opírá o keyloggery, což jsou programy, které mapují vaše stisky klávesnice a odesílají tyto informace útočníkovi (pochopitelně bez vašeho vědomí). Jak se dostal keylogger na váš počítač? Obvykle pomocí trojana, který jste si stáhli z nějakého podezřelého webu, nebo s nějakým „unikátním“ softwarem. Třetí variantou je klasický útok Man-in-the-Middle. Útočník funguje jako prostředník mezi vámi a bankou a ani jedna strana netuší nic o jeho přítomnosti. Pokud oprávněný uživatel skončí se svým připojením k bance, podvodník v něm pokračuje a samozřejmě ho využije ke svým cílům. (Pokud se k přesměrování používá hacknuté DNS, hovoříme o pharmaření pharming).

Proč toto vše může na internetu fungovat? Vyplývá to z obtížnosti řešení autentizace na internetu. Zatímco postavit z cihel fyzickou napodobeninu banky určitě nebude jednoduchou záležitostí, vybudování falešné internetové identity banky již tak náročné (alespoň v současnosti) zdaleka není.

Je také třeba vzít do úvahy možný rozsah takovéhoto útoku. Podvodník svou falešnou e-mailovou zprávou může díky internetu velice snadno současně oslovit tisíce potenciálních obětí a, bohužel, pár se jich prostě chytí na vějičku. Podle údajů v některých odborných článcích se hovoří o pěti procentech napálených (u některých typů útoků), někde je popisováno dokonce vyšší procento. Například podle výsledků analytické společnosti Gartner z roku 2004 (Litan, A.: Phishing Attack Victims lakely Targets for Identity Theft) v roce 2003 vyústilo předání dat dvou miliónů (!) podvedených uživatelů na falešné webové stránky ve finanční ztrátu o velikosti 1,2 miliardy dolarů.

Snadnost, se kterou uživatelé „naletí“, vyplývá také z nedostatečného bezpečnostního povědomí. Řada uživatelů třeba ani netuší, jaký význam má ikonka zámku označujícího spojení SSL, respektive význam toho, na kterém místě webové stránky je tato ikonka umístěna. Kolik uživatelů také ověřuje SSL certifikáty? Kolik z nich vůbec ví, jak na to? Jinou cestou, jak zjistit důvěryhodnost navštívené webové stránky je ověření certifikátu této stránky. Ale opět – kromě toho, že i stránky, které toto umožňují, ověřuje touto cestou malé procento uživatelů, je mnoho webů, kde takovouto možnost uživatel nemá.

Častou chybou uživatelů je i jejich nepozornost. Stačí malá drobnost, třeba v odkazu na webovou stránku může být jediné písmenko jinak, a kliknutím na odkaz v e-mailu se místo na nám dobře známé a důvěryhodné stránky společnosti SecuBank dostaneme na stránky úplně jiné (i když třeba stejně vypadající). A stačilo málo – všimnout si, že adresa, na kterou klikáme, je nikoli nám dobře známý secubank.com, ale securbank.com. Na tomto principu funguje i řada podvodníků spoléhajících se prostě na to, že člověk je tvor chybující a občas se jednoduše překlepne. Doménoví registrátoři by asi měli být v tomto ohledu pozornější.

Lukrativita rhybaření pak pochopitelně vyplývá z profitu, který přináší iniciátorům podvodu. A dny, kdy hackeři na internetu fungovali převážně jen proto, aby ukázali své dovednosti, jsou již nenávratně pryč. Finanční zisk je v tomto směru hnacím motivem dneška.

Mimochodem – pokud bychom chtěli sáhnout někde do historie a uvést nějaké analogie, najdeme jich přehršel. Zasílání falešných zpráv hrálo vždy velkou roli, třeba jako taktická zbraň (vojenství, obchod, diplomacie a další). Scott Granneman v článku Phishing For Savvy Users nejde zase až příliš daleko do minulosti a uvádí příklad z druhé světové války. Spojenci uměli luštit zprávy německých sil šifrované zařízením Enigma a několikráte to proti Němcům použili (například při vylodění na kontinent v den D).

Sociální inženýrství

Samotný pojem sociálního inženýrství prochází v posledních létech určitým vývojem. V literatuře jsou uváděny různé definice, například sociální inženýrství je lidská stránka průniku do podnikové sítě. Pro hackera (útočníka) je často mnohem jednodušší věnovat se lidským slabinám, než se potýkat s technickými aspekty průniku. Sociální inženýrství, slouží-li k získání citlivých informací či neoprávněnému přístupu, se opírá o vytvoření vztahu důvěry s podváděnou stranou. Také Bruce Schneier ve své knize (Secrets & Lies: Digital Security in a Networked World) hovoří o sociálním inženýrství (neboli v jeho pojetí o sociálně technických útocích) jako o aspektu souvisejícím výhradně s člověkem a týkajícím se otázek důvěry. Tato důvěra je samozřejmě falešná. Kevin Mitnick (The Art of Deception) jde dále a objasňuje toto chování člověka jeho přirozenou snahu pomoci (a bohužel na tomto základě být snadno podveden). Lidé, nikoli technologie, jsou nejslabším článkem bezpečnostního řetězce.

Útoky na bázi sociálního inženýrství mohou být prováděny bud přímo osobně nebo telefonicky anebo on-line, tedy libovolným komunikačním prostředkem. V posledních letech navíc fyzické hranice zemí přestávají být v tomto ohledu zábranou. Techniky sociálního inženýrství jsou jednoduché, snadné a velice efektivní. Jejich konkrétní podoby mohou být velice různorodé. Některé příklady – podvodník se vydává za někoho jiného, podváděná stran je uvedena v omyl, pokud se týká hodnocení aktuální situace a samozřejmě řada technik pro rhybaření. A patří sem i populární Google hacking. Mnoho lidí si stále neuvědomuje, jaké informace nechávají „viset“ na síti a k čemu by mohly být zneužity. Dokonce v tomto směru i obsah odpadkových košů může přinést hodnotné informace. (Kolikrát jste ve filmech viděli, že hrdina se dostal na správnou stopu právě díky odpadkům?)

Některé příklady

Na webu lze najít celou řadu konkrétních příkladů rhybaření včetně jeho novějších variant.

Speciální typ rhybaření popisuje článek Online scammers pose as execs in ‚spear-phishing‘ – jedná se vlastně o podvodné e-maily cílené na jednu organizaci. Cílené rhybaření (spear phishing) je směrováno na nejslabší články obchodního řetězce. Kompromitace vedou ke ztrátě zisku, reputace a také možnému nedodržení legislativních a regulačních podmínek.

Jedna novější varianta rhybaření – New type of phishing could hit mobile phone users – se týká uživatelů mobilních telefonů. Autor článku ji nazývá mophophishing.

I vyhledávač Google byl zneužit k rhybaření, viz Google used as bait in phishing scam. Na stránce, která byla věrnou kopií stránky Google, podvodníci umístili slib výhry 400 dolarů – jen zašlete detaily vaší kreditní karty…

Jako odpověď na sílící ochranu uživatelů před rhybařením (identifikace a vzápětí likvidace podvodných webů) vymysleli rhybáři nový trik. Útočí pomocí takzvaného rychlého přesměrování, kdy existuje řada podobných podvodných webů a URL ve falešném e-mailu nasměruje klamaného uživatele na speciální IP adresu. Zde umístěný redirektor rychle otestuje, který z podvodných webů ještě funguje, a uživatele tam přesměruje – Phishing fraudsters aim to outpace site shutdowns. Trik byl použit i u „českého“ phishingu – Páteční útok na klienty CityBank používal tento nový trik.

O jiném typu rhybaření – bez e-mailové intervence – se dozvíte z článku Antone Gonsalvese Hackers Tap Bank Web Sites In Unique Phishing Attack. Hackeři umístili script přímo na servery s Microsoft Internet Information Services – script pak přesměrovával zákazníky (tří floridských bank) na podvrženou stránku. Zákazník se normálně přihlásil a dostal se na falešnou stránku, odkud byl následně odeslán na jinou stránku, která již požadovala jeho osobní údaje.

Starší komentáře ke článku

Pokud máte zájem o starší komentáře k tomuto článku, naleznete je zde.

Žádný příspěvek v diskuzi

Odpovědět