www.svethardware.cz
>
>
>

Pozor na phishing!

Pozor na phishing!
, , článek
Na letošní konferenci Trendy v internetové bezpečnosti bylo sociální inženýrství opět označeno za nejúčinnější metodu útoku na počítačové systémy. Phishing je (s trojskými koni) vnímán jako jedna z největších hrozeb dneška, zvláště pro internetbanking.
reklama
Phishing je jedním z hlavních a nejzákeřnějších nástrojů tzv. sociálního inženýrství. Někdy bývá definován jako prosté „shromažďování informací“, což samo o sobě nepůsobí nijak negativně – problémem ale je, že mezi tyto informace patří kupříkladu přístupové údaje (uživatelské jméno + heslo), nebo data umožňující zneužití vaší platební karty. Nu a pokud se přesně takové údaje podaří shromáždit hned od několika set/tisíc jedinců současně, celá věc náhle získává úplně jiný rozměr.

Na základě vlastních bohatých zkušeností dnes považuji sociální inženýrství za jeden z vůbec nejdokonalejších způsobů, jakými lze relativně snadno získat neautorizovaný přístup do vybraného počítačového systému (nebo zkrátka jen přimět uživatele k provedení požadované akce, která k získání přístupu přispěje). Po technické stránce může být systém zabezpečený takovým způsobem, jehož překonání by zabralo období i několika let intenzivní práce. Nicméně samotní jeho uživatelé mohou být tím jednoznačně nejslabším článkem celého řetězce – a také jim skutečně v drtivé většině případů jsou. Chcete důkaz?

Někdy v roce 2007 jsem po čase opět procházel statistiku nejpoužívanějších hesel v USA. Na prvním místě se s přehledem umístilo „password“, na druhém místě „123456“ a konečně na místě třetím „qwerty“. Myslíte, že alespoň jiné země si v tomto ohledu stojí lépe? Nikoliv. V GB suverénně zvítězilo „123“, následované - jak jinak - než „password“. Toto s problematikou sociálního inženýrství nesouvisí i souvisí. Protože pokud se lidé nedokážou chovat zodpovědně ani v případě takové banality, jakou představuje výběr hesla, jak od nich očekávat zodpovědnost v případech jiných?



Sociální inženýrství se tedy zaměřuje na tzv. wetware (případně liveware/meatware) – lidský faktor. Základní myšlenka je úplně prostá a jak je známo, v jednoduchosti je síla. Proč trávit desítky hodin komplikovaným obcházením firewallu, louskáním hesel pomocí brutal attack force etc..., když mi potřebné přístupy nakonec může někdo předat sám a o své vlastní svobodné vůli?

Pro sociální inženýrství je charakteristické vysoké procento úspěšnosti a pestrá škála veskrze zákeřných metod. Kdysi jsem dostal otázku, v čem přesně spatřuji jejich největší nebezpečí. První odpověď, která mě tenkrát napadla, byla „v tom, že si jejich účinnost vlastně nikdo nepřipouští“. Myslím, že i nemálo čtenářů se teď v duchu směje naivitě jiných a říká si, jak jim samotným by se nikdy nic podobného stát nemohlo. Nebo mají pocit, že celý tento článek je vlastně naprosto zbytečný. Stejně tak jsem ale pevně přesvědčen o tom, že právě prostřednictvím sociálního inženýrství bych dokázal zjistit důležité informace i od mnohých z vás – vše je totiž obvykle jen otázkou času a správně zvolených postupů.



Co se týče phishingu, pak celá rovnice je svým způsobem velmi jednoduchá. Významnější útoky tohoto charakteru byly zaznamenány přibližně v 90. letech minulého století a od té doby jsou jich plné sdělovací prostředky. Přesto jsou i po cca patnácti letech stále efektivní. Roku 2009 provedla Competitive Edge Research and Communications, Inc. (na objednávku společnosti ESET) jistou studii zaměřenou na mapování povědomí amerických uživatelů o oblasti IT security. Mj. z ní vyplynulo, že 50% respondentů vůbec netuší, co to nějaký phishing je. Pořád ještě jste přesvědčeni o tom, že něco tak průhledného zkrátka dnes už nebude fungovat, neboť všichni dávno vědí, oč jde? Výborně, zrovna na tohle podvodníci spoléhají.


Jak oklamat pozornost


Občas stačí ke zmatení uživatele zdánlivě nepodstatný detail. V roce 2005 dali útočníci e-mailu podobu obrázku, který byl ve skutečnosti celý jedním obřím klikatelným odkazem (vložený kód zajistil přesměrování). Díky tomuto řešení do něj mohli umístit i pravou adresu banky – nicméně ta nebyla klikatelná. Samotná webová stránka podvodníků pak měla falešnou URL, přičemž tu pravou autoři neuměle kamuflovali (překrývali) speciálním oknem. Byť výsledek rozhodně nebyl dokonalý, méně pozorný jedinec si ho s oficiální bankovní prezentací nepochybně splést mohl.



Jiným takovým případem je podvodný e-mail z téhož roku, který byl zaměřen výhradně na klienty SunTrust Banks . Konkrétněji šlo o výzvu k vytvoření nového bezpečnostního kódu. Odkaz zdánlivě směřoval na suntrust.com – celý trik spočíval v záměně realizované pomocí několika znaků s kódem "01". Domovská stránka se opět snažila vzbudit dojem, že jde o portál banky. Po uživateli zde bylo požadováno zadání jeho CIN a hesla, kteréžto údaje ovšem neznal. Autoři předpokládali, že většina lidí v takové situaci klikne na odkaz typu „zapomněl jsem svoje heslo“. A tady už bylo nutné vložit citlivé informace.

V České republice se s phishingem „poprvé“ setkáváme v roce 2006, kdy si útočníci za svůj cíl vybírají Citibank Online. Obsahem zprávy je tenokrát upozornění na přijetí částky v cizí měně, kteroužto transakci je údajně zapotřebí potvrdit. Uživatel je vyzván, aby neprodleně navštívil patřičnou stránku a postupoval dle uvedených instrukcí – pokud převod nepotvrdí do dvou týdnů, částka se vrátí zpět na účet odesílatele. Následuje odkaz... a tzv. „smart redirection“. Podvodných webů je předpřipraveno více a o tom, kam se nakonec vlastně dostanete, rozhodne speciální směrovač. Ve finále navíc vidíte v prohlížeči pravé stránky Citibank, takže nejde o žádnou napodobeninu - jenže současně s nimi se ihned otvírá další okno prohlížeče s připraveným formulářem...



Jak sami vidíte, phishing je zdánlivě zneužíván primárně ke kradení údajů o platebních/kreditních kartách. Skutečností ovšem je, že tyto případy jsou prostě jen mediálně nejznámější. Svým způsobem to do jisté míry jiným útočníkům usnadňuje práci. Uvažujme, že drtivá většina lidí bude mít phishing podvědomě zafixovaný výhradně v souvislosti s finančními podvody (karty, bankovní účty). Vůbec už je ale nenapadne, že by někdo chtěl zneužít téhož postupu i v jiné souvislosti. Co když budu mít zájem třeba "jen" o přístupová hesla?


Jak phishing funguje


Základem písemné verze je efektivně formulovaný text. Z tohoto úhlu pohledu lze považovat tvorbu podvodného e-mailu za menší umění. Vymýšlení obsahu a vlastní formulace je podobně náročné, jako je tomu v případě textů prodejních. Práci však navíc ztěžuje fakt, že v tomto případě je pointa celého sdělení vlastně vždy nesmyslná a autor tedy musí téma uchopit takovým způsobem, aby od tohoto faktu odvedl pozornost a aby výsledek působil maximálně důvěryhodně.

Další možností je podvodná webová stránka (ačkoliv se vesměs kombinuje s direct mailingem, může být provozována i sama o sobě). Oblíbené je především používání falešných domén, zneužívání IDN chyb, nebo tzv. status bar spoofing (v řádku pro URL je vidět jiná adresa, než na jakou klikáte) + inkludování (nejen v podobě populárních pop-up oken) aj.



Konečně je nutné zmínit i přímé oslovení vybrané osoby prostřednictvím telefonátu. Tato varianta klade největší nároky na schopnosti útočníka, nicméně na druhé straně může být také zdaleka nejúčinnější. Nechává oběti minimum času na přemýšlení o celé věci. Umožňuje rychle reagovat na případné námitky. Vysloveně se zde nabízí přirovnání k aktivnímu telemarketingu – lidí, kteří vám odsouhlasí takřka cokoliv (jen aby hovor už skončil), není sice moc, ale přesto se i tací najdou. Čím rozsáhlejší firma (s větším počtem zaměstnanců), tím větší je pravděpodobnost.

Existují ovšem ještě pokročilejší a složitější metody, využívané hlavně při cílených útocích. Většina z nich však svým rozsahem přesahuje hranice sociálního inženýrství, a tím i tohoto článku. Ukázkovým příkladem může být namátkou DNS spoofing. Hodně jednoduše řečeno - při vyťukání URL adresy váš prohlížeč požaduje po DNS serveru IP adresu pro připojení. Šikovný útočník může teoreticky podvrhnout IP adresu v „odpovědním“ paketu na tuto žádost a tím vás přesměrovat někam, kam jste se původně vůbec dostat nechtěli.


Jak se phishingu bránit


V podstatě jedinou efektivní obranou je být neustále paranoidní, což řada z nás zkrátka v povaze nemá. Dokud ještě na všech televizních stanicích běží výstražné reportáže o právě probíhající vlně útoků, dokážeme jistě udržet zvýšenou pozornost – jakmile ale za nějaký čas vše vyšumí, zájem o tuto problematiku okamžitě opadne. Tou nejlepší metodou obrany je bezesporu ověřování. Jakmile dostanete jakýkoliv podezřelý e-mail od vaší banky, administrátora etc..., nic vám nebrání zvednout telefon a zeptat se na zákaznické lince, jak se vlastně věci mají.

V tom však řadě lidí zabrání např. jejich ego. Lidově řečeno, nechtějí být za pitomce a riskovat případné ztrapnění. Svou roli občas také sehraje strach z toho, že o něco důležitého zbytečně přijdeme - v případě Citibank Online o neexistující peníze, které byly údajně převáděné na náš účet ze zahraničí. Za zmínku stojí, že podvodníci zbytečně nepřehánějí (částka, kterou vám údajně kdosi poslal, není nikterak vysoká), což jen přispívá ke zvýšení důvěryhodnosti jejich zprávy. Vůbec nemusí vadit, že žádnou podobnou platbu rozhodně neočekáváte a nemáte vlastně ani to nejmenší tušení, od koho by tak mohla být. Peníze jako peníze.



Dalším faktorem je čas. Pokud máte zrovna plné ruce práce, jste pod tlakem a ve stresu, dost možná se na vyřizování pošty zkrátka pořádně nesoustředíte. Nevšimnete si ani takových věcí, které by za normálních okolností vaší pozornosti neunikly. Při telefonickém phishingu mi nemálo jedinců odkývalo prakticky cokoliv, aniž by moc zapřemýšleli nad tím, co od nich vlastně chci. Jedním z důvodů podobného chování bylo to, že jsem je zastihl v podobně nevhodné chvíli, jakou popisuji o řádek výš a oni se mě chtěli co nejrychleji zbavit. Samozřejmě – někteří rovnou zavěsí.

Proto si na e-maily tohoto charakteru raději vyhraďte dostatek času. Nereagujte hned, odložte vše třeba až na večer a teprve pak si pomalu a důkladně prostudujte, oč přesně se jedná. Podvodný e-mail obvykle identifikujeme s pomocí několika hlavních poznávacích znaků – spustitelné přílohy (odkazu na ní), neobvykle řešených odkazů a především požadavku na zadání jakýchkoliv citlivých údajů kamkoliv. Zarazit by vás rovněž měla věta typu „na tento e-mail neodpovídejte“. Někdy se dokonce setkáte i s e-maily, kteří čeští uživatelé obdrží kompletně v angličtině. Jste-li názoru, že teď už musí snad každého napadnout alespoň otázka typu „proč by česká instituce rozesílala poštu v angličtině“, bohužel se opět mýlíte.

Identifikovat falešnou webovou stránku pak často bývá ještě mnohem lehčí. Jak už jsem uvedl, někdy její autoři nedokážou vytvořit ani kvalitní maskování (nebo se s ním zkrátka jen neobtěžují a spoléhají na nepozornost), pročež výsledná prezentace místy vypadá divně. Nejrůznější překryvy, rozházené prvky, menu etc. - to vše minimálně naznačuje, že s webem něco není v pořádku. Stačí se jen pořádně dívat. Tak např. v URL adrese může být IP adresa místo názvu. Některé písmeno může být oproti originálu pozměněné (tzv. překlepová doména). Data se přenášejí prostřednictvím http a nikoliv https. Důvodem k rychlému opuštění webu by měl nakonec být i problematický certifikát. Extrémní pozor si každopádně dávejte na pop-up okna – do nich nikdy nic nevyplňovat!



Mezi jiné ukazatele (společné pro e-maily i webové stránky) patří zvýšená míra překlepů, gramatických i stylistických chyb, užívání neformálních až nespisovných výrazů, spousta vykřičníků, nekvalitní diakritika. Když v roce 2008 začala vlna útoků na klienty České spořitelny, drtivá většina úvodních e-mailů byla napsaných naprosto směšnou češtinou ala „strojový překlad“. Tedy až do doby, než útočníci přímo ze stránek České spořitelny drze okopírovali varování před sebou samými a zneužili ho ke svým účelům...

Závěrem si zapamatujte, že záležitosti typu změna uživatelského jména/hesla s vámi nikdo nebude řešit prostřednictvím e-mailu (pokud vy sami heslo řekněme nezapomenete a pak nežádáte zaslání nového). Co se PINů a dalších podobných záležitostí týče, platí tato věta dvojnásob. Jinak bychom mohli předpokládat, že i banka samotná nám klidně pošle PIN k platební/kreditní kartě obyčejnou elektronickou poštou – jenže nic takového se přece běžně nedělá, že? Především ale phishing nikdy nepodceňujte!
reklama
Nejnovější články
Honda testuje autonomní čtyřkolky, budou i na CES 2019 Honda testuje autonomní čtyřkolky, budou i na CES 2019
Na začátku letošního roku představila společnost Honda koncept autonomních vozítek 3E-D18, které dále vyvíjí a testuje. Tyto terénní čtyřkolky už jsou nasazeny ve třech úplně odlišných projektech.
Dnes, aktualita, Milan Šurkala
Google Chrome chce řešit stránky s nefunkčním tlačítkem "zpět" Google Chrome chce řešit stránky s nefunkčním tlačítkem "zpět"
Na internetu je spousta stránek, a to nejen vždy těch dobrých. Spousta z nich v zájmu navyšovat počty zobrazených reklam manipuluje historií prohlížeče, čímž znemožňují jít zpět. Prohlížeč Chrome toto možná bude řešit.
Dnes, aktualita, Milan Šurkala1 komentář
Cenzurovaný Google Dragonfly pro Čínu byl poslán k ledu Cenzurovaný Google Dragonfly pro Čínu byl poslán k ledu
Cenzurovaný vyhledávač Google Dragonfly je velkým tématem, proti kterému se bouří i samotní pracovníci v Googlu. Negativní odezva i další problémy ale stojí za tím, že se Google rozhodl projekt ukončit.
Včera, aktualita, Milan Šurkala
Astronomové našli nejvzdálenější známý objekt naší soustavy: Farout Astronomové našli nejvzdálenější známý objekt naší soustavy: Farout
Astronomové potvrdili, že stále ještě nemusíme znát všechny velké objekty naší soustavy. Tím narážíme na tzv. devátou planetu, která tedy nyní objevena nebyla, ale máme tu něco jiného: asi 500km planetku Farout. 
Včera, aktualita, Jan Vítek5 komentářů
JEDEC aktualizovala specifikace HBM pro propustnost až 307 GB/s JEDEC aktualizovala specifikace HBM pro propustnost až 307 GB/s
JEDEC Solid State Technology Association přišla s vylepšeným standardem pro paměti typu High Bandwidth Memory (HBM). Jedná se o verzi slibující paměťovou propustnost 307 GB/s. Co to znamená? 
Včera, aktualita, Jan Vítek