Phishing aneb Jak co nejdříve přijít o peníze

Ráno jdete jako obvykle do práce. Je jaro, sluníčko svítí a venku je
příjemně teplo. V práci zapnete počítač a po spuštění systému
otevřete vašeho oblíbeného poštovního klienta a kouknete se kdo vám dnes
píše. Uvidíte email od vaší banky. Doufáte, že je to něco pozitivního,
v předmětu je však uvedeno „Aktualizace zabezpečení“. V emailu
očividně od vaší banky stojí, že se provádí aktualizace databáze
klientů a jejich bankovních karet a je jen třeba vyplnit na internetu
nějaké drobnosti nebo navštívit kteroukoli pobočku. V emailu je odkaz
vedoucí na stránku vaší banky, po chvíli váhání na něj klepnete a
otevře se ve vašem prohlížeči stránka vaší banky s formulářem. Vše
vypadá normálně, adresa souhlasí, vypadá to, že jste na stránkách vaší
banky. Vyplníte osobní údaje, identifikační číslo, heslo, číslo vaší
karty a její pin. Po potvrzení formuláře se načte stránka
s poděkováním. Za týden na to zjistíte, že vám zmizely peníze
z účtu, které jste si připravil pro splacení hypotéky. Pak se dozvíte,
že vaše banka nikdy nerozesílala žádosti o aktualizaci databáze a že
jste se stal obětí Phishingu. 

microsoft-windows-securityPhishing je
v poslední době velice často řešeným problémem všech uživatelů
internetu, zejména vlastníků účtu v bance.

Phishing je slovo odvozené z anglického slova Fishing, kde se jedná
v překladu do češtiny o rybaření. U slova Phishing se také skoro jedná
o rybaření, ale těmto rybářům jde o jediné: aby na udičku chytili
vaše cenné informace. Jde jim o přístupová hesla, čísla karet, čísla a
hesla k účtům, prostě cokoli co se dá zneužít, využít nebo jakkoli
prodat.

Metoda je podobná jak jsem nastiňoval v úvodu tohoto článku, tzn.
přijde vám email s takovým tématem, jen aby vás autor emailu donutil
zobrazit si stránku uvedenou v emailu a pokud možno, aby jste do ní vyplnil
svoje přihlašovací informace. Velice často jsou tyto emaily vytvořeny jako
důležité zprávy od velkých společností se snahou zapůsobit svou
důvěryhodností použitím originální firemní grafiky a napodobením podle
skutečných informačních emailů. Nejčastěji se jedná o společnosti typu
CitiBank, eBay, PayPal, kde se zejména manipuluje s čísly bankovních karet
po internetu.

Po otevření odkazu se uživatel ocitne na podvržených stránkách
v designu uvedené společnosti. Propracovanější podvodné stránky maskují
skutečnou internetovou adresu díky zneužívání různých bezpečnostních
chyb v prohlížečích nebo za použití skriptů. Další pro vyšší
důvěryhodnost ještě paralelně otevřou skutečnou internetovou stránku
dané společnosti.

Na stránkách se nachází formulář s požadavkem na vyplnění
identifikačních údajů. Pokud jde o podržený email společnosti CitiBank,
stránka se tváří jako přihlašovací formulář do této banky. V jiných
případech se stránka snaží získat zejména číslo a případně i PIN
platební karty. Po vyplnění a potvrzení formuláře se objeví na
stránkách poděkování za spolupráci nebo nějaké chybové hlášení,
každopádně ale počítejte s tím, že data již někdo obdržel.

Podle serveru Anti-Phishing Working Group je celosvětová úspěšnost
Phishingu až 5% což je poměrně vysoké číslo. Většina těchto incidentů
je založena na metodě Social Engeneering (sociální inženýrství), buď ve
formě žádosti o spolupráci nebo formou šokující informace, které
působí účinně zejména na uživatele, kteří nejsou školení jak se
chovat na internetu. Naprostá většina podvedených obětí má chybnou
představu o důvěryhodnosti internetu a nepodvržitelnosti emailové
zprávy.
Smutnou zkušenost mají
nejvíce zákazníci banky Citibank známé velice chabým zabezpečením
přístupu na účet přes internet. Jak vidíte na obrázku, sama banka sice
všemožně varuje svoje zákazníky, ale i přesto se nějaké důvěřivé
oběti najdou.

Největší riziko je u vaší banky

Největším rizikem bývají banky používající jednocestnou metodu
autentifikace na základě obyčejného hesla poskytnutému zákazníkovi.
Tímto způsobem autentifikace bývá známa zejména banka CitiBank, kde se
přihlašujete na svůj účet pouhým zadáním identifikačního čísla a
hesla bez jakéhokoli dalšího ověření. Díky takto snadnému
přihlašování pro klienty je velice snadné vytvořit identické stránky na
jiném serveru a podvrhnout je klientům s cílem získat tyto údaje.
Moderní elektronické bankovnictví bývá založené na principu použití
digitálních certifikátů, veřejného a soukromého klíče, případně
více kombinací.
Běžnou praxí je například u uživatelů eBanky, že musí vlastnit
elektronický klíč pro potvrzování jakékoli transakce, přihlašování do
svého účtu nebo autorizace po telefonu během komunikace s bankéřem. Tento
klíč je nahrán ve formě bankovní aplikace v mobilním telefonu nebo
zákazník obdrží elektronický klíč v podobě kalkulačky.

A co váš server?

Phishing jako takový sice nemusí příliš souviset s vaší firmou, obětí
tohoto fenoménu se však můžete lehce stát po napadení a zneužití vašeho
serveru. A nemusí se dokonce jednat ani o váš vlastní server, ale
o pronajatý server nebo webhosting.
V případě, že vaše společnost používá vlastní server, je vhodné
věnovat nějaký čas kontrole zabezpečení, případně i obsahu webové
prezentace zda neobsahuje neautorizovaný ob­sah.

V případě pronajatého serveru nebo hostingu je vhodné si ověřit
možnost využití zabezpečené (šifrované) komunikace s vaším serverem a
využívat je. V opačném případě si tuto možnost u svého poskytovatele
vyžádejte protože nezabezpečenou komunikaci je možné odposlouchávat a
zachytit tak heslo.
Nejhorší pak může být zjištění, že některý z vašich počítačů ve
firemní síti je tzv. zombie, nebo že vám „hackli“ váš server.

Za všechno může Internet Explorer?

Dalším možným problémem phishingu je zneužívání zranitelnosti
prohlížečů. V době psaní článku (duben 2006) se například objevila
nová kritická bezpečnostní chyba prohlížeče Microsoft Internet Explorer
s možností podvržení internetové adresy. Takováto chyba bude mít
v případě pozdního vydání opravy důsledek v nárůst obětí různých
podvodů. V uplynulé historii, kdy se několikrát veřejně probírala
bezpečnost prohlížeče Internet Explorer se sice do veřejného povědomí
dostala informace, že alternativní prohlížeče skýtají jisté výhody
v bezpečnosti. Avšak s větším rozšířením alternativních
prohlížečů je po delší době vidět, že chyby jsou všude a nejen na
straně Microsoftu.

Vše závisí na hesle

Jakýkoli přístup je chráněn heslem, pokud si svých dat ceníte je vhodné
zabezpečit jej kvalitním a odolným heslem. Délka hesla je v dnešní době
6 znaků minimum a již se začíná běžně užívat jako minimum heslo
o délce 8mi znaků. Heslo by mělo být kombinováno alfanumerickými znaky
(a-z, A-Z) a minimálně 2mi číslicemi (0–9) a dále jedním speciálním
znakem (±!@#$%&). Samozřejmě sebelepší heslo je k ničemu pokud ho
máte poznačené na papírku někde kolem počítače jež má chránit. Heslo
je také vhodné v pravidelných cyklech obměňovat (přibližně
30–40 dnů).
Kvalitní heslo se dá vymyslet poměrně snadno. Dejme tomu, že vaše
přezdívka byla v dětství „Malý bobr“. Nahrazením některých znaků
vzhledově podobnými číslicemi nám vznikne poměrně silné heslo –
M41y
b0br.

Další kvalitní heslo SprM0p0vl3km0 vzniklo použitím prvních znaků nebo
dvojicí znaků ze slov ve větě – S přítelkyní Monikou pojedeme
v létě k moři.

Pokud o tom nikomu neřeknete, tak podobnost současného hesla
s původním vzorem je pro každého čistě náhodná. Čím více
„prošpikujete“ takového pseudonáhodné heslo číslicemi a speciálními
znaky, tím je bezpečnější a trvá mnohem déle jeho uhodnutí nebo
rozluštění hrubou silou.

Na počátku dubna 2006 se
objevil falešný email lákající ze zákazníků CityBank přihlašovací
údaje v češtině. Odkaz uvedený v emailu však vede na adresu http://citi-online.czechre­public-online.com ,
která rozhodně nemá nic společného s danou bankou, ale zato ji až na
drobné odchylky věrně napodobuje.

Je rozhodně naprosto nevhodné používat jako heslo existující slova jako
jsou názvy věcí nebo jména či přezdívky. Takové heslo „Lucka“ nebo
„maminka“ je na základě slovníkového útoku vyluštěno do několika
minut. V dobách rozmachu internetu byla spousta serverů napadena jen na
základě použitého triviálního hesla. Správci v té době běžně
používali heslo Admin u účtu Administrator nebo ho nechávali bez hesla.

Zkušenosti v ČR

Česká republika je poměrně malou zemí, ale přesto i ona už má svoje
oběti. Naštěstí se nejedná prozatím o oběti z řad uživatelů, kteří
přišli o všechny svoje peníze podle úvodního katastrofického scénáře,
ale o vlastníky napadených serverů.
Asi nejznámějším a patrně prvním napadeným serverem je www.gweb.cz , který podlehl ke konci listopadu
2005. Server využíval webhosting u společnosti FORPSI. Kde došlo přesně
k chybě se asi nikdy nedozvíme, protože společnost FORPSI k datu
uzávěrky tohoto článku neměla zájem se vyjádřit k danému incidentu.
Podle popisu incidentu vlastníka domény (odkaz na konci článku) si myslím,
že chyba byla na obou stranách. Zarážející je však počáteční
jednání společnosti FORPSI, kdy jednoznačně svalovala vinu na svého
zákazníka bez očividného ověření faktů.

Dalším napadeným serverem je Linuxový server analytické společnosti
LOGIOS, který však byl k tomuto účelu sestaven a zapojen do internetu.
Server byl podle společnosti LOGIOS napaden do dvou dnů a byly do něj
instalovány podvodné stránky zahraniční internetové banky a dále byly
z něj rozesílány emaily vyzývající uživatele zmiňované banky ke
kontrole svých účtů. Zmiňovaný server společnost LOGIOS použila pro
studium a analýzu útoků z internetu.
Posledním z pokusů o phishing byly pokusy na amatérské úrovni snažící
se získat přístupová práva na webhostingový server Webzdarma.cz. Podle
úrovně textu ve falešném emailu celá akce spíše působí dojmem pokusu
nějakého školáka.

Závěr

Phishing a další srovnatelné pokusy o vylákání cenných informací je
rozhodně třeba brát zcela vážně. I když jsou zaměřeny spíše na
jednotlivce než na specifické uživatele z řad firemních zákazníků,
mohou ve firmě způsobit řadu potíží. Rozhodně je vhodné provést
školení v případě společnosti jejichž zaměstnanci dostávají podobně
zaměřené emaily.V případě, že vaše společnost provozuje vlastní
server s internetovou prezentací nebo ji má umístěnou u webhostingové
společnosti, je vhodné provést určitá opatření, která minimalizují
možné nebezpečí útoku.

Odkazy

Checklist:
Securing Your Web Server (anglicky)

Windows
Server 2003 Security Guide (anglicky)

Falešný
email – CITYBANK E-MAIL FRAUD – Security Update

Hoax

Anti-Phishing Working Group
(anglicky)

Server
napaden bankovními podvodníky dva dny po instalaci

Web,
který se neubránil phishingu

Revize dokumentu: r01a02

Právní ustanovení Tento
dokument je vlastnictvím autora Michala Zobce a/nebo jeho vydavatele a
podléhají zvláštním ustanovením. Tento dokument není dovoleno jakkoli
reprodukovat (písemně, ústně, obrazem nebo jinak) bez výslovného svolení
autora a/nebo vydavatele. 

Uveřejnění: Thomas Taylor
Media, Upgrade IT!, 2005. www.upgradeit.cz
www.tt.cz 

© 2006 michal zobec. Všechna práva
vyhrazena.

michal zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting