Phishing aneb Jak co nejdříve přijít o peníze

Ráno jdete jako obvykle do práce. Je jaro, sluníčko svítí a venku je příjemně teplo. V práci zapnete počítač a po spuštění systému otevřete vašeho oblíbeného poštovního klienta a kouknete se kdo vám dnes píše. Uvidíte email od vaší banky. Doufáte, že je to něco pozitivního, v předmětu je však uvedeno „Aktualizace zabezpečení“. V emailu očividně od vaší banky stojí, že se provádí aktualizace databáze klientů a jejich bankovních karet a je jen třeba vyplnit na internetu nějaké drobnosti nebo navštívit kteroukoli pobočku. V emailu je odkaz vedoucí na stránku vaší banky, po chvíli váhání na něj klepnete a otevře se ve vašem prohlížeči stránka vaší banky s formulářem. Vše vypadá normálně, adresa souhlasí, vypadá to, že jste na stránkách vaší banky. Vyplníte osobní údaje, identifikační číslo, heslo, číslo vaší karty a její pin. Po potvrzení formuláře se načte stránka s poděkováním. Za týden na to zjistíte, že vám zmizely peníze z účtu, které jste si připravil pro splacení hypotéky. Pak se dozvíte, že vaše banka nikdy nerozesílala žádosti o aktualizaci databáze a že jste se stal obětí Phishingu. 

microsoft-windows-securityPhishing je v poslední době velice často řešeným problémem všech uživatelů internetu, zejména vlastníků účtu v bance.

Phishing je slovo odvozené z anglického slova Fishing, kde se jedná v překladu do češtiny o rybaření. U slova Phishing se také skoro jedná o rybaření, ale těmto rybářům jde o jediné: aby na udičku chytili vaše cenné informace. Jde jim o přístupová hesla, čísla karet, čísla a hesla k účtům, prostě cokoli co se dá zneužít, využít nebo jakkoli prodat.

Metoda je podobná jak jsem nastiňoval v úvodu tohoto článku, tzn. přijde vám email s takovým tématem, jen aby vás autor emailu donutil zobrazit si stránku uvedenou v emailu a pokud možno, aby jste do ní vyplnil svoje přihlašovací informace. Velice často jsou tyto emaily vytvořeny jako důležité zprávy od velkých společností se snahou zapůsobit svou důvěryhodností použitím originální firemní grafiky a napodobením podle skutečných informačních emailů. Nejčastěji se jedná o společnosti typu CitiBank, eBay, PayPal, kde se zejména manipuluje s čísly bankovních karet po internetu.

Po otevření odkazu se uživatel ocitne na podvržených stránkách v designu uvedené společnosti. Propracovanější podvodné stránky maskují skutečnou internetovou adresu díky zneužívání různých bezpečnostních chyb v prohlížečích nebo za použití skriptů. Další pro vyšší důvěryhodnost ještě paralelně otevřou skutečnou internetovou stránku dané společnosti.

Na stránkách se nachází formulář s požadavkem na vyplnění identifikačních údajů. Pokud jde o podržený email společnosti CitiBank, stránka se tváří jako přihlašovací formulář do této banky. V jiných případech se stránka snaží získat zejména číslo a případně i PIN platební karty. Po vyplnění a potvrzení formuláře se objeví na stránkách poděkování za spolupráci nebo nějaké chybové hlášení, každopádně ale počítejte s tím, že data již někdo obdržel.

Podle serveru Anti-Phishing Working Group je celosvětová úspěšnost Phishingu až 5% což je poměrně vysoké číslo. Většina těchto incidentů je založena na metodě Social Engeneering (sociální inženýrství), buď ve formě žádosti o spolupráci nebo formou šokující informace, které působí účinně zejména na uživatele, kteří nejsou školení jak se chovat na internetu. Naprostá většina podvedených obětí má chybnou představu o důvěryhodnosti internetu a nepodvržitelnosti emailové zprávy.

Smutnou zkušenost mají nejvíce zákazníci banky Citibank známé velice chabým zabezpečením přístupu na účet přes internet. Jak vidíte na obrázku, sama banka sice všemožně varuje svoje zákazníky, ale i přesto se nějaké důvěřivé oběti najdou.

Největší riziko je u vaší banky

Největším rizikem bývají banky používající jednocestnou metodu autentifikace na základě obyčejného hesla poskytnutému zákazníkovi. Tímto způsobem autentifikace bývá známa zejména banka CitiBank, kde se přihlašujete na svůj účet pouhým zadáním identifikačního čísla a hesla bez jakéhokoli dalšího ověření. Díky takto snadnému přihlašování pro klienty je velice snadné vytvořit identické stránky na jiném serveru a podvrhnout je klientům s cílem získat tyto údaje.

Moderní elektronické bankovnictví bývá založené na principu použití digitálních certifikátů, veřejného a soukromého klíče, případně více kombinací.

Běžnou praxí je například u uživatelů eBanky, že musí vlastnit elektronický klíč pro potvrzování jakékoli transakce, přihlašování do svého účtu nebo autorizace po telefonu během komunikace s bankéřem. Tento klíč je nahrán ve formě bankovní aplikace v mobilním telefonu nebo zákazník obdrží elektronický klíč v podobě kalkulačky.

A co váš server?

Phishing jako takový sice nemusí příliš souviset s vaší firmou, obětí tohoto fenoménu se však můžete lehce stát po napadení a zneužití vašeho serveru. A nemusí se dokonce jednat ani o váš vlastní server, ale o pronajatý server nebo webhosting.

V případě, že vaše společnost používá vlastní server, je vhodné věnovat nějaký čas kontrole zabezpečení, případně i obsahu webové prezentace zda neobsahuje neautorizovaný ob­sah.

V případě pronajatého serveru nebo hostingu je vhodné si ověřit možnost využití zabezpečené (šifrované) komunikace s vaším serverem a využívat je. V opačném případě si tuto možnost u svého poskytovatele vyžádejte protože nezabezpečenou komunikaci je možné odposlouchávat a zachytit tak heslo.

Nejhorší pak může být zjištění, že některý z vašich počítačů ve firemní síti je tzv. zombie, nebo že vám „hackli“ váš server.

Za všechno může Internet Explorer?

Dalším možným problémem phishingu je zneužívání zranitelnosti prohlížečů. V době psaní článku (duben 2006) se například objevila nová kritická bezpečnostní chyba prohlížeče Microsoft Internet Explorer s možností podvržení internetové adresy. Takováto chyba bude mít v případě pozdního vydání opravy důsledek v nárůst obětí různých podvodů. V uplynulé historii, kdy se několikrát veřejně probírala bezpečnost prohlížeče Internet Explorer se sice do veřejného povědomí dostala informace, že alternativní prohlížeče skýtají jisté výhody v bezpečnosti. Avšak s větším rozšířením alternativních prohlížečů je po delší době vidět, že chyby jsou všude a nejen na straně Microsoftu.

Vše závisí na hesle

Jakýkoli přístup je chráněn heslem, pokud si svých dat ceníte je vhodné zabezpečit jej kvalitním a odolným heslem. Délka hesla je v dnešní době 6 znaků minimum a již se začíná běžně užívat jako minimum heslo o délce 8mi znaků. Heslo by mělo být kombinováno alfanumerickými znaky (a-z, A-Z) a minimálně 2mi číslicemi (0–9) a dále jedním speciálním znakem (±!@#$%&*). Samozřejmě sebelepší heslo je k ničemu pokud ho máte poznačené na papírku někde kolem počítače jež má chránit. Heslo je také vhodné v pravidelných cyklech obměňovat (přibližně 30–40 dnů).

Kvalitní heslo se dá vymyslet poměrně snadno. Dejme tomu, že vaše přezdívka byla v dětství „Malý bobr“. Nahrazením některých znaků vzhledově podobnými číslicemi nám vznikne poměrně silné heslo – M41y*b0br.

Další kvalitní heslo SprM0p0vl3km0 vzniklo použitím prvních znaků nebo dvojicí znaků ze slov ve větě – S přítelkyní Monikou pojedeme v létě k moři.

Pokud o tom nikomu neřeknete, tak podobnost současného hesla s původním vzorem je pro každého čistě náhodná. Čím více „prošpikujete“ takového pseudonáhodné heslo číslicemi a speciálními znaky, tím je bezpečnější a trvá mnohem déle jeho uhodnutí nebo rozluštění hrubou silou.

Na počátku dubna 2006 se objevil falešný email lákající ze zákazníků CityBank přihlašovací údaje v češtině. Odkaz uvedený v emailu však vede na adresu http://citi-online.czechre­public-online.com , která rozhodně nemá nic společného s danou bankou, ale zato ji až na drobné odchylky věrně napodobuje.

Je rozhodně naprosto nevhodné používat jako heslo existující slova jako jsou názvy věcí nebo jména či přezdívky. Takové heslo „Lucka“ nebo „maminka“ je na základě slovníkového útoku vyluštěno do několika minut. V dobách rozmachu internetu byla spousta serverů napadena jen na základě použitého triviálního hesla. Správci v té době běžně používali heslo Admin u účtu Administrator nebo ho nechávali bez hesla.

Zkušenosti v ČR

Česká republika je poměrně malou zemí, ale přesto i ona už má svoje oběti. Naštěstí se nejedná prozatím o oběti z řad uživatelů, kteří přišli o všechny svoje peníze podle úvodního katastrofického scénáře, ale o vlastníky napadených serverů.

Asi nejznámějším a patrně prvním napadeným serverem je www.gweb.cz , který podlehl ke konci listopadu 2005. Server využíval webhosting u společnosti FORPSI. Kde došlo přesně k chybě se asi nikdy nedozvíme, protože společnost FORPSI k datu uzávěrky tohoto článku neměla zájem se vyjádřit k danému incidentu. Podle popisu incidentu vlastníka domény (odkaz na konci článku) si myslím, že chyba byla na obou stranách. Zarážející je však počáteční jednání společnosti FORPSI, kdy jednoznačně svalovala vinu na svého zákazníka bez očividného ověření faktů.

Dalším napadeným serverem je Linuxový server analytické společnosti LOGIOS, který však byl k tomuto účelu sestaven a zapojen do internetu. Server byl podle společnosti LOGIOS napaden do dvou dnů a byly do něj instalovány podvodné stránky zahraniční internetové banky a dále byly z něj rozesílány emaily vyzývající uživatele zmiňované banky ke kontrole svých účtů. Zmiňovaný server společnost LOGIOS použila pro studium a analýzu útoků z internetu.

Posledním z pokusů o phishing byly pokusy na amatérské úrovni snažící se získat přístupová práva na webhostingový server Webzdarma.cz. Podle úrovně textu ve falešném emailu celá akce spíše působí dojmem pokusu nějakého školáka.

Závěr

Phishing a další srovnatelné pokusy o vylákání cenných informací je rozhodně třeba brát zcela vážně. I když jsou zaměřeny spíše na jednotlivce než na specifické uživatele z řad firemních zákazníků, mohou ve firmě způsobit řadu potíží. Rozhodně je vhodné provést školení v případě společnosti jejichž zaměstnanci dostávají podobně zaměřené emaily.V případě, že vaše společnost provozuje vlastní server s internetovou prezentací nebo ji má umístěnou u webhostingové společnosti, je vhodné provést určitá opatření, která minimalizují možné nebezpečí útoku.

Odkazy

Checklist: Securing Your Web Server (anglicky)

Windows Server 2003 Security Guide (anglicky)

Falešný email – CITYBANK E-MAIL FRAUD – Security Update

Hoax

Anti-Phishing Working Group (anglicky)

Server napaden bankovními podvodníky dva dny po instalaci

Web, který se neubránil phishingu

Revize dokumentu: r01a02

Právní ustanovení Tento dokument je vlastnictvím autora Michala Zobce a/nebo jeho vydavatele a podléhají zvláštním ustanovením. Tento dokument není dovoleno jakkoli reprodukovat (písemně, ústně, obrazem nebo jinak) bez výslovného svolení autora a/nebo vydavatele. 

Uveřejnění: Thomas Taylor Media, Upgrade IT!, 2005. www.upgradeit.cz www.tt.cz 

© 2006 michal zobec. Všechna práva vyhrazena.

0 Responses to “Phishing aneb Jak co nejdříve přijít o peníze”


  • No Comments

Leave a Reply