www.svethardware.cz
>
>
>

Pozor na phishing!

Pozor na phishing!
, , článek
Na letošní konferenci Trendy v internetové bezpečnosti bylo sociální inženýrství opět označeno za nejúčinnější metodu útoku na počítačové systémy. Phishing je (s trojskými koni) vnímán jako jedna z největších hrozeb dneška, zvláště pro internetbanking.



reklama
Phishing je jedním z hlavních a nejzákeřnějších nástrojů tzv. sociálního inženýrství. Někdy bývá definován jako prosté „shromažďování informací“, což samo o sobě nepůsobí nijak negativně – problémem ale je, že mezi tyto informace patří kupříkladu přístupové údaje (uživatelské jméno + heslo), nebo data umožňující zneužití vaší platební karty. Nu a pokud se přesně takové údaje podaří shromáždit hned od několika set/tisíc jedinců současně, celá věc náhle získává úplně jiný rozměr.

Na základě vlastních bohatých zkušeností dnes považuji sociální inženýrství za jeden z vůbec nejdokonalejších způsobů, jakými lze relativně snadno získat neautorizovaný přístup do vybraného počítačového systému (nebo zkrátka jen přimět uživatele k provedení požadované akce, která k získání přístupu přispěje). Po technické stránce může být systém zabezpečený takovým způsobem, jehož překonání by zabralo období i několika let intenzivní práce. Nicméně samotní jeho uživatelé mohou být tím jednoznačně nejslabším článkem celého řetězce – a také jim skutečně v drtivé většině případů jsou. Chcete důkaz?

Někdy v roce 2007 jsem po čase opět procházel statistiku nejpoužívanějších hesel v USA. Na prvním místě se s přehledem umístilo „password“, na druhém místě „123456“ a konečně na místě třetím „qwerty“. Myslíte, že alespoň jiné země si v tomto ohledu stojí lépe? Nikoliv. V GB suverénně zvítězilo „123“, následované - jak jinak - než „password“. Toto s problematikou sociálního inženýrství nesouvisí i souvisí. Protože pokud se lidé nedokážou chovat zodpovědně ani v případě takové banality, jakou představuje výběr hesla, jak od nich očekávat zodpovědnost v případech jiných?



Sociální inženýrství se tedy zaměřuje na tzv. wetware (případně liveware/meatware) – lidský faktor. Základní myšlenka je úplně prostá a jak je známo, v jednoduchosti je síla. Proč trávit desítky hodin komplikovaným obcházením firewallu, louskáním hesel pomocí brutal attack force etc..., když mi potřebné přístupy nakonec může někdo předat sám a o své vlastní svobodné vůli?

Pro sociální inženýrství je charakteristické vysoké procento úspěšnosti a pestrá škála veskrze zákeřných metod. Kdysi jsem dostal otázku, v čem přesně spatřuji jejich největší nebezpečí. První odpověď, která mě tenkrát napadla, byla „v tom, že si jejich účinnost vlastně nikdo nepřipouští“. Myslím, že i nemálo čtenářů se teď v duchu směje naivitě jiných a říká si, jak jim samotným by se nikdy nic podobného stát nemohlo. Nebo mají pocit, že celý tento článek je vlastně naprosto zbytečný. Stejně tak jsem ale pevně přesvědčen o tom, že právě prostřednictvím sociálního inženýrství bych dokázal zjistit důležité informace i od mnohých z vás – vše je totiž obvykle jen otázkou času a správně zvolených postupů.



Co se týče phishingu, pak celá rovnice je svým způsobem velmi jednoduchá. Významnější útoky tohoto charakteru byly zaznamenány přibližně v 90. letech minulého století a od té doby jsou jich plné sdělovací prostředky. Přesto jsou i po cca patnácti letech stále efektivní. Roku 2009 provedla Competitive Edge Research and Communications, Inc. (na objednávku společnosti ESET) jistou studii zaměřenou na mapování povědomí amerických uživatelů o oblasti IT security. Mj. z ní vyplynulo, že 50% respondentů vůbec netuší, co to nějaký phishing je. Pořád ještě jste přesvědčeni o tom, že něco tak průhledného zkrátka dnes už nebude fungovat, neboť všichni dávno vědí, oč jde? Výborně, zrovna na tohle podvodníci spoléhají.


Jak oklamat pozornost


Občas stačí ke zmatení uživatele zdánlivě nepodstatný detail. V roce 2005 dali útočníci e-mailu podobu obrázku, který byl ve skutečnosti celý jedním obřím klikatelným odkazem (vložený kód zajistil přesměrování). Díky tomuto řešení do něj mohli umístit i pravou adresu banky – nicméně ta nebyla klikatelná. Samotná webová stránka podvodníků pak měla falešnou URL, přičemž tu pravou autoři neuměle kamuflovali (překrývali) speciálním oknem. Byť výsledek rozhodně nebyl dokonalý, méně pozorný jedinec si ho s oficiální bankovní prezentací nepochybně splést mohl.



Jiným takovým případem je podvodný e-mail z téhož roku, který byl zaměřen výhradně na klienty SunTrust Banks . Konkrétněji šlo o výzvu k vytvoření nového bezpečnostního kódu. Odkaz zdánlivě směřoval na suntrust.com – celý trik spočíval v záměně realizované pomocí několika znaků s kódem "01". Domovská stránka se opět snažila vzbudit dojem, že jde o portál banky. Po uživateli zde bylo požadováno zadání jeho CIN a hesla, kteréžto údaje ovšem neznal. Autoři předpokládali, že většina lidí v takové situaci klikne na odkaz typu „zapomněl jsem svoje heslo“. A tady už bylo nutné vložit citlivé informace.

V České republice se s phishingem „poprvé“ setkáváme v roce 2006, kdy si útočníci za svůj cíl vybírají Citibank Online. Obsahem zprávy je tenokrát upozornění na přijetí částky v cizí měně, kteroužto transakci je údajně zapotřebí potvrdit. Uživatel je vyzván, aby neprodleně navštívil patřičnou stránku a postupoval dle uvedených instrukcí – pokud převod nepotvrdí do dvou týdnů, částka se vrátí zpět na účet odesílatele. Následuje odkaz... a tzv. „smart redirection“. Podvodných webů je předpřipraveno více a o tom, kam se nakonec vlastně dostanete, rozhodne speciální směrovač. Ve finále navíc vidíte v prohlížeči pravé stránky Citibank, takže nejde o žádnou napodobeninu - jenže současně s nimi se ihned otvírá další okno prohlížeče s připraveným formulářem...



Jak sami vidíte, phishing je zdánlivě zneužíván primárně ke kradení údajů o platebních/kreditních kartách. Skutečností ovšem je, že tyto případy jsou prostě jen mediálně nejznámější. Svým způsobem to do jisté míry jiným útočníkům usnadňuje práci. Uvažujme, že drtivá většina lidí bude mít phishing podvědomě zafixovaný výhradně v souvislosti s finančními podvody (karty, bankovní účty). Vůbec už je ale nenapadne, že by někdo chtěl zneužít téhož postupu i v jiné souvislosti. Co když budu mít zájem třeba "jen" o přístupová hesla?


Jak phishing funguje


Základem písemné verze je efektivně formulovaný text. Z tohoto úhlu pohledu lze považovat tvorbu podvodného e-mailu za menší umění. Vymýšlení obsahu a vlastní formulace je podobně náročné, jako je tomu v případě textů prodejních. Práci však navíc ztěžuje fakt, že v tomto případě je pointa celého sdělení vlastně vždy nesmyslná a autor tedy musí téma uchopit takovým způsobem, aby od tohoto faktu odvedl pozornost a aby výsledek působil maximálně důvěryhodně.

Další možností je podvodná webová stránka (ačkoliv se vesměs kombinuje s direct mailingem, může být provozována i sama o sobě). Oblíbené je především používání falešných domén, zneužívání IDN chyb, nebo tzv. status bar spoofing (v řádku pro URL je vidět jiná adresa, než na jakou klikáte) + inkludování (nejen v podobě populárních pop-up oken) aj.



Konečně je nutné zmínit i přímé oslovení vybrané osoby prostřednictvím telefonátu. Tato varianta klade největší nároky na schopnosti útočníka, nicméně na druhé straně může být také zdaleka nejúčinnější. Nechává oběti minimum času na přemýšlení o celé věci. Umožňuje rychle reagovat na případné námitky. Vysloveně se zde nabízí přirovnání k aktivnímu telemarketingu – lidí, kteří vám odsouhlasí takřka cokoliv (jen aby hovor už skončil), není sice moc, ale přesto se i tací najdou. Čím rozsáhlejší firma (s větším počtem zaměstnanců), tím větší je pravděpodobnost.

Existují ovšem ještě pokročilejší a složitější metody, využívané hlavně při cílených útocích. Většina z nich však svým rozsahem přesahuje hranice sociálního inženýrství, a tím i tohoto článku. Ukázkovým příkladem může být namátkou DNS spoofing. Hodně jednoduše řečeno - při vyťukání URL adresy váš prohlížeč požaduje po DNS serveru IP adresu pro připojení. Šikovný útočník může teoreticky podvrhnout IP adresu v „odpovědním“ paketu na tuto žádost a tím vás přesměrovat někam, kam jste se původně vůbec dostat nechtěli.


Jak se phishingu bránit


V podstatě jedinou efektivní obranou je být neustále paranoidní, což řada z nás zkrátka v povaze nemá. Dokud ještě na všech televizních stanicích běží výstražné reportáže o právě probíhající vlně útoků, dokážeme jistě udržet zvýšenou pozornost – jakmile ale za nějaký čas vše vyšumí, zájem o tuto problematiku okamžitě opadne. Tou nejlepší metodou obrany je bezesporu ověřování. Jakmile dostanete jakýkoliv podezřelý e-mail od vaší banky, administrátora etc..., nic vám nebrání zvednout telefon a zeptat se na zákaznické lince, jak se vlastně věci mají.

V tom však řadě lidí zabrání např. jejich ego. Lidově řečeno, nechtějí být za pitomce a riskovat případné ztrapnění. Svou roli občas také sehraje strach z toho, že o něco důležitého zbytečně přijdeme - v případě Citibank Online o neexistující peníze, které byly údajně převáděné na náš účet ze zahraničí. Za zmínku stojí, že podvodníci zbytečně nepřehánějí (částka, kterou vám údajně kdosi poslal, není nikterak vysoká), což jen přispívá ke zvýšení důvěryhodnosti jejich zprávy. Vůbec nemusí vadit, že žádnou podobnou platbu rozhodně neočekáváte a nemáte vlastně ani to nejmenší tušení, od koho by tak mohla být. Peníze jako peníze.



Dalším faktorem je čas. Pokud máte zrovna plné ruce práce, jste pod tlakem a ve stresu, dost možná se na vyřizování pošty zkrátka pořádně nesoustředíte. Nevšimnete si ani takových věcí, které by za normálních okolností vaší pozornosti neunikly. Při telefonickém phishingu mi nemálo jedinců odkývalo prakticky cokoliv, aniž by moc zapřemýšleli nad tím, co od nich vlastně chci. Jedním z důvodů podobného chování bylo to, že jsem je zastihl v podobně nevhodné chvíli, jakou popisuji o řádek výš a oni se mě chtěli co nejrychleji zbavit. Samozřejmě – někteří rovnou zavěsí.

Proto si na e-maily tohoto charakteru raději vyhraďte dostatek času. Nereagujte hned, odložte vše třeba až na večer a teprve pak si pomalu a důkladně prostudujte, oč přesně se jedná. Podvodný e-mail obvykle identifikujeme s pomocí několika hlavních poznávacích znaků – spustitelné přílohy (odkazu na ní), neobvykle řešených odkazů a především požadavku na zadání jakýchkoliv citlivých údajů kamkoliv. Zarazit by vás rovněž měla věta typu „na tento e-mail neodpovídejte“. Někdy se dokonce setkáte i s e-maily, kteří čeští uživatelé obdrží kompletně v angličtině. Jste-li názoru, že teď už musí snad každého napadnout alespoň otázka typu „proč by česká instituce rozesílala poštu v angličtině“, bohužel se opět mýlíte.

Identifikovat falešnou webovou stránku pak často bývá ještě mnohem lehčí. Jak už jsem uvedl, někdy její autoři nedokážou vytvořit ani kvalitní maskování (nebo se s ním zkrátka jen neobtěžují a spoléhají na nepozornost), pročež výsledná prezentace místy vypadá divně. Nejrůznější překryvy, rozházené prvky, menu etc. - to vše minimálně naznačuje, že s webem něco není v pořádku. Stačí se jen pořádně dívat. Tak např. v URL adrese může být IP adresa místo názvu. Některé písmeno může být oproti originálu pozměněné (tzv. překlepová doména). Data se přenášejí prostřednictvím http a nikoliv https. Důvodem k rychlému opuštění webu by měl nakonec být i problematický certifikát. Extrémní pozor si každopádně dávejte na pop-up okna – do nich nikdy nic nevyplňovat!



Mezi jiné ukazatele (společné pro e-maily i webové stránky) patří zvýšená míra překlepů, gramatických i stylistických chyb, užívání neformálních až nespisovných výrazů, spousta vykřičníků, nekvalitní diakritika. Když v roce 2008 začala vlna útoků na klienty České spořitelny, drtivá většina úvodních e-mailů byla napsaných naprosto směšnou češtinou ala „strojový překlad“. Tedy až do doby, než útočníci přímo ze stránek České spořitelny drze okopírovali varování před sebou samými a zneužili ho ke svým účelům...

Závěrem si zapamatujte, že záležitosti typu změna uživatelského jména/hesla s vámi nikdo nebude řešit prostřednictvím e-mailu (pokud vy sami heslo řekněme nezapomenete a pak nežádáte zaslání nového). Co se PINů a dalších podobných záležitostí týče, platí tato věta dvojnásob. Jinak bychom mohli předpokládat, že i banka samotná nám klidně pošle PIN k platební/kreditní kartě obyčejnou elektronickou poštou – jenže nic takového se přece běžně nedělá, že? Především ale phishing nikdy nepodceňujte!
reklama
Nejnovější články
Intel Core i9-7980XE s 18 jádry otestován Intel Core i9-7980XE s 18 jádry otestován
Očekávaný 18jádrový procesor Core i9-7980XE od Intelu se dočkal prvních testů ještě před svým oficiálním představením. Jde o nejlepší odpověď na nástup procesorů Threadripper, kterou má Intel připravenou. 
Dnes,  aktualita, Jan Vítek
EVGA Epower V: královské napájení pro grafické karty EVGA Epower V: královské napájení pro grafické karty
EVGA si připravila specialitku pro nenapravitelné hardwarové nadšence, kteří se snaží ze svých komponent mačkat maximum. Jedná se o kartu Epower V s výkonným 12+2fázovým napájením grafických karet.
Včera,  aktualita, Jan Vítek
Je možné přežít ve vesmíru bez zdrojů Země? Je možné přežít ve vesmíru bez zdrojů Země?
Stephen Petranek se ve své knize How We'll Live on Mars zabývá otázkou přežití lidí v nehostinném vesmíru daleko od ochrany a zdrojů Země. Je tak možné dlouhodobě přežít s tím, co lze získat jinde? 
Včera,  aktualita, Jan Vítek
Nereferenční AMD RX Vega dorazí možná až v listopadu Nereferenční AMD RX Vega dorazí možná až v listopadu
Grafické karty AMD Radeon RX Vega rozhodně neudělaly díru do herního světa. Už sice konečně dorazily i na náš trh, ovšem ceny jsou vysoké a na nereferenční karty bez "fukarového chladiče" zatím nikde nenajdeme. 
Včera,  aktualita, Jan Vítek,  1 komentář
Intel investoval miliardu dolarů do AI společností Intel investoval miliardu dolarů do AI společností
Intel se rozhodl, že si vybuduje celý ekosystém pro umělou inteligenci (AI), do čehož hodlá mohutně investovat. Brian Krzanich (CEO) nám k tomu řekne, co tím jeho firma sleduje a koho všeho podporuje a už i podpořila.
Včera,  aktualita, Jan Vítek