Phishing
V oblasti výpočetní techniky se pojmem phishing označují kriminální aktivity, které jsou založeny na tzv. sociálním inženýrství. Jinak řečeno - proč se snažit ukrást požadované informace, když je uživatel sám prozradí, pokud jej vhodným způsobem požádáme? Líbivé věty, založené na psychologických znalostech, mohou uživatele přimět k prozrazení důvěrných informací, aniž by si všiml či uvědomil, že se stalo něco špatného. Obecně se jedná o podvodné vydávání se za důvěryhodnou osobu či instutici za účelem získání citlivých informací jako jsou hesla, čísla kreditních karet a podobně. Nejčastěji je k tomuto záměru využíván e-mail, ale také webové stránky či telefonáty.
Samotný pojem phishing pochází z anglického termínu password harvesting (sklízení hesel). V českém jazyce se dá setkat také s pojmem rhybaření, což je překladateská slovní hříčka vyjadřující fakt, že pachatel předkládá chutné návnady a čeká, kdo se chytí na udičku.
Odkazy na novinky týkající se phishingu
Informace o aktuálních phishingových útocích jsou pravidelně zveřejňovány mezi Novinkami:
- Obdoba předchozí škodlivé pošty „Přeposílám Vám omylem zaslané smlouvy a doklady“ (24.2.2015)
- Nová vlna podvodných emailů (10.2.2015)
- Podvodný e-mail - certifikát pro KB (1.2.2015)
- Podvodný email - objednávka z internetového obchodu (12.1.2015)
- Podvodný email zašifruje vaše data (27.11.2014)
- Další pokus o phishingový útok (27.6.2014)
- Další vlna phisingového útoku (24.6.2014)
- Druhá vlna podvodných e-mailů - je to i Váš problém! (14.5.2014)
- Podvodné maily informující o dluhu (29.4.2014)
- Phishingový útok na uživatele ZČU (29.5.2013)
- Další phishingový útok na uživatele ZČU (18.2.2012)
- Podvodný e-mail žádající přístupové údaje k systému Orion (14.4.2009)
- Phishing směřovaný na Českou spořitelnu (3.3.2008)
Jak poznat podvrh?
Metody rhybaření pro získání potřebných informací mohou být různé, zpravidla očekávají přímo odpověď na zaslaný e-mail či spuštění přílohy e-mailu. Dále existují sofistikovanější postupy, kdy Vás, na základě e-mailu, přimějí navštívit podvrženou kopii stránky, kterou běžně navštěvujete. Přístupové údaje vyplněné na této kopii pak putují přímo k příslušnému rhybáři. Tyto metody jsou nejčastěji zkoušeny na bankách nebo internetových obchodech. Je tedy nutné umět poznat podvržený e-mail, ale také podvrženou stránku, protože se na ni můžete dostat i jinak, než přes odkaz v e-mailu.
Podvodné e-maily
Jak poznat, že e-mail, který dorazil do schránky, obsahuje lživé informace a je nebezpečný? Existuje řada příznaků, které jsou velmi podezřelé a při jejich spatření je nutné zvýšit pozornost:
- je vyžadováno okamžité sdělení citlivých údajů nebo jiná akce, jinak bude něco omezeno/zrušeno/nevydáno/...
- hypertextové odkazy vedou na úplně jinou adresu, než je specifikováno v textu e-mailu
- je přítomna spustitelná příloha (samostatně nebo v archivu), nebo na ní vede odkaz
- neočekávaný jazyk zprávy - například CIV Vám nebude zasílat výzvy v angličtině, u oficiálních sdělení lze předpokládat gramatickou a stylistickou správnost apod.
Dále je nutné si uvědomit, že odesílatel uvedený v hlavičce e-mailu nemusí být nutně autorem zprávy! Jistotu dává pouze elektronický podpis.
Pokud si nejste jisti, zda se jedná o podvržený požadavek v e-mailu, ověřte si pravost telefonicky u odesílatele zprávy, nebo kontaktujte HelpDesk CIV.
Falešné www stránky
Při procházení sítě internet se můžete dostat na stránky, které se tváří jako důvěrné známé, ale ve skutečnosti jde pouze o zdařilou kopii. Zpravidla se na ně dostanete přes podstrčený odkaz v emailu. Jak poznat, že se nacházíte na špatné stránce?
- Adresa stránky (url) by obsahuje ip adresu (např. http://147.228.1.1/falesna_ebanka.html)
- Adresa stránky nějakým způsobem paroduje originál, např.
- http://www.paypa1.com místo http://www.paypal.com (tj. jednička místo písmene el)
- https://heslo-zcu.cz místo https://heslo.zcu.cz (heslo-zcu je úplně jiná doména než zcu)
- Je vyžadováno zádání citlivých údajů na nezabezpečené stránce (http místo https)
- Stránka je zabezpečena nedůvěryhodným certifikátem.
V žádném případě nelze spoléhat na vzhled stránky, protože okopírovat lze vše včetně různých animací či jazykových mutací! Jediné na co lze spoléhat je ověření komunikujícího protějšku certifikáty.
Jak phishing funguje?
- Do e-mailové schránky dorazil následující e-mail:
- Co je na e-mailu podezřelého
- Nemá-li majitel e-mailové schránky účet u PayPal, není důvod aby jej firma PayPal upozorňovala na bezpečnostní problém.
- V případě bezpečnostních problémů je žádná firma jistě nebude řešit po e-mailu.
- E-mailová adresa nepatří organizaci, která upozorňuje na problém (freemailová adresa na seznam.cz)
- Hypertextový odkaz vede na stránky, které nemají s PayPal nic společného (zde se text "PayPal" dokonce vůbec nevyskytuje).
- Dejme tomu, že to uživatel přehlédne a na uvedený odkaz klikne. Stránka, na kterou se dostane vypadá následovně:
- A takto vypadá originální stránka:
- Stránky na první pohled vypadají velmi podobně (viditelný obsah stránky tedy není vhodné prostředek pro rozlišování podvrhů).
- Při pohledu na URL podvržené stránky si lze všimnout několika věcí
- Stránka není zabezpečená - v URL je pouze http místo https, chybí ikonky visacích zámků a pozadí URL není podbarvené žlutě (jak to vypadá v jiných prohlížečích než Mozilla Firefox je ukázáno na samostatné stránce). Přenášená data tedy nejsou šifrována, což je u přístupových údajů vždy podezřelé.
- Něco podobného textu "www.PayPal.com" se v adrese vyskytuje, ale malé písmenko "el" je nahrazeno velkým měkkým "I". Některým lidem totiž stačí vidět známý text v adrese a jsou uchlácholeni. Zahlédnutí takovéhoto triku je vždy podezřelé.
- Stránka je na serveru www.fawnbeaty.com, protože vše za následujícím lomítkem už jen upřesňuje co má server zobrazit. Firma PayPal těžko nechá řešit bezpečnostní problém jinou firmu - opět podezřelá záležitost.
Jak se před phishingem chránit?
- Zachovat chladnou hlavu. Velká část útočníků spoléhá na to, že uživatele vystresuje (hrozbou zrušení konta, zablokování kreditní karty, exekuce...) a ten pak zbrkle a bez přemýšlení provede požadovanou akci.
- Všímat si při čtení e-mailů nesrovnalostí, popsaných na této stránce - gramatických chyb, příloh v nezvyklém formátu, žádostí o vydání osobních údajů atd. atp.
- Sledovat Novinky, kde jsou zveřejňovány informace o aktuálních phishinových pokusech.
- V případě sebemenších pochybností neotevírat přílohy, neklikat na odkazy, neodpovídat na e-mail a neprodleně kontaktovat HelpDesk CIV.
Příklady phishingových útoků
Na stránce Phishing - příklady se nachází řada ukázek phishingových útoků, se kterými se setkali uživatelé ZČU. Znalost starších útoků a praktik útočníků je neocenitelným pomocníkem při rozpoznávání dalších pokusů.
Odkazy
- http://antiphising.org/ - server zabývající se phishingem a obranou proti němu (v AJ)
- http://www.phishtank.com - komunita bojující s phishingovými servery, měsíční statistiky hlášených případů (v AJ)
- http://www.security-portal.cz/clanky/phishing-1.html - pohled na sociálně-psychologickou stránku phishingu
- http://www.security-portal.cz/clanky/phishing-2.html - pohled na technickou stránku phishingu
- http://www.lupa.cz/clanky/phishing-novy-trend-v-podvodnych-dopisech/ - povídání o phishingu od P. Satrapy