V oblasti výpočetní techniky se pojmem phishing označují kriminální aktivity, které jsou založeny na tzv. sociálním inženýrství. Jinak řečeno - proč se snažit ukrást požadované informace, když je uživatel sám prozradí, pokud jej vhodným způsobem požádáme? Líbivé věty, založené na psychologických znalostech, mohou uživatele přimět k prozrazení důvěrných informací, aniž by si všiml či uvědomil, že se stalo něco špatného. Obecně se jedná o podvodné vydávání se za důvěryhodnou osobu či instutici za účelem získání citlivých informací jako jsou hesla, čísla kreditních karet a podobně. Nejčastěji je k tomuto záměru využíván e-mail, ale také webové stránky či telefonáty.

Samotný pojem phishing pochází z anglického termínu password harvesting (sklízení hesel). V českém jazyce se dá setkat také s pojmem rhybaření, což je překladateská slovní hříčka vyjadřující fakt, že pachatel předkládá chutné návnady a čeká, kdo se chytí na udičku.

Odkazy na novinky týkající se phishingu

• Obdoba předchozí škodlivé pošty „Přeposílám Vám omylem zaslané smlouvy a doklady“ (24.2.2015)
• Nová vlna podvodných emailů (10.2.2015)
• Podvodný e-mail - certifikát pro KB (1.2.2015)
• Podvodný email - objednávka z internetového obchodu (12.1.2015)
• Podvodný email zašifruje vaše data (27.11.2014)
• Další pokus o phishingový útok (27.6.2014)
• Další vlna phisingového útoku (24.6.2014)
• Druhá vlna podvodných e-mailů - je to i Váš problém! (14.5.2014)
• Podvodné maily informující o dluhu (29.4.2014)
• Phishingový útok na uživatele ZČU (29.5.2013)
• Další phishingový útok na uživatele ZČU (18.2.2012)
• Podvodný e-mail žádající přístupové údaje k systému Orion (14.4.2009)
• Phishing směřovaný na Českou spořitelnu (3.3.2008)

Jak poznat podvrh?

Metody rhybaření pro získání potřebných informací mohou být různé, zpravidla očekávají přímo odpověď na zaslaný e-mail či spuštění přílohy e-mailu. Dále existují sofistikovanější postupy, kdy Vás, na základě e-mailu, přimějí navštívit podvrženou kopii stránky, kterou běžně navštěvujete. Přístupové údaje vyplněné na této kopii pak putují přímo k příslušnému rhybáři. Tyto metody jsou nejčastěji zkoušeny na bankách nebo internetových obchodech. Je tedy nutné umět poznat podvržený e-mail, ale také podvrženou stránku, protože se na ni můžete dostat i jinak, než přes odkaz v e-mailu.

Podvodné e-maily

Jak poznat, že e-mail, který dorazil do schránky, obsahuje lživé informace a je nebezpečný? Existuje řada příznaků, které jsou velmi podezřelé a při jejich spatření je nutné zvýšit pozornost:

• je vyžadováno okamžité sdělení citlivých údajů nebo jiná akce, jinak bude něco omezeno/zrušeno/nevydáno/...
• hypertextové odkazy vedou na úplně jinou adresu, než je specifikováno v textu e-mailu
• je přítomna spustitelná příloha (samostatně nebo v archivu), nebo na ní vede odkaz
• neočekávaný jazyk zprávy - například CIV Vám nebude zasílat výzvy v angličtině, u oficiálních sdělení lze předpokládat gramatickou správnost a podobně

Dále je nutné si uvědomit, že odesílatel uvedený v hlavičce e-mailu nemusí být nutně autorem zprávy! Jistotu dává pouze elektronický podpis.

Pokud si nejste jisti, zda se jedná o podvržený požadavek v e-mailu, ověřte si pravost telefonicky u odesílatele zprávy, nebo kontaktujte Helpdesk CIV.

Falešné www stránky

Při procházení sítě internet se můžete dostat na stránky, které se tváří jako důvěrné známé, ale ve skutečnosti jde pouze o zdařilou kopii. Zpravidla se na ně dostanete přes podstrčený odkaz v emailu. Jak poznat, že se nacházíte na špatné stránce?

• Adresa stránky (url) by obsahuje ip adresu (např. http://147.228.1.1/falesna_ebanka.html)
• Adresa stránky nějakým způsobem paroduje originál, např.
  • http://www.paypa1.com místo http://www.paypal.com (tj. jednička místo písmene el)
  • https://heslo-zcu.cz místo https://heslo.zcu.cz (heslo-zcu je úplně jiná doména než zcu)
• Je vyžadováno zádání citlivých údajů na nezabezpečené stránce (http místo https)
• Stránka je zabezpečena nedůvěryhodným certifikátem.

V žádném případě nelze spoléhat na vzhled stránky, protože okopírovat lze vše včetně různých animací či jazykových mutací! Jediné na co lze spoléhat je ověření komunikujícího protějšku certifikáty.

Jak se před phishingem chránit?

• Zachovat chladnou hlavu. Velká část útočníků spoléhá na to, že uživatele vystresuje (zrušením konta, zablokováním kreditní karty, exekucí...) a ten pak zbrkle a bez přemýšlení provede požadovanou akci.
• Všímat si při čtení e-mailů nesrovnalostí, popsaných na této stránce - gramatických chyb, příloh v nezvyklém formátu, žádostí o vydání osobních údajů atd. atp.
• Sledovat Novinky, kde jsou zveřejňovány informace o aktuálních phishinových pokusech.
• V případě sebemenších pochybností kontaktovat Helpdesk CIV a ověřit si pravost doručeného e-mailu.

Příklady phishingových útoků na ZČU

Zavirovaná příloha, využití psychologie

Několik velmi efektivních útoků, které sice používaly relativně "hloupý" způsob zavirovaného spustitelného souboru v příloze, nicméně velmi chytře využívaly psychologie uživatelů, kteří si v útočníkem záměrně vyvolaném stresu podezřelost přílohy často neuvědomili a i přes očividnou nebezpečnost ji spustili.

Exekuce

• Samotný e-mail má velmi málo prvoplánových znaků phishingu - jazykově je v pořádku, adresa odesílatele vypadá uvěřitelně atd.
• Oproti tomu příloha je krajně podezřelá - archiv, ve kterém se nachází spustitelný .exe soubor - jasný znak phishingu, skutečné dokumenty by byly pravděpodobně ve formátu .pdf nebo podobně
• Typický případ, kdy je potřeba především zachovat klid - útočník spoléhá na to, že uživatele vystresuje hrozbou exekuce a ten tak otevře přílohu dříve, než si stihne uvědomit výše popsané znaky
• Ve skutečnosti se jedná pouze o chytře zkonstruovanou variaci na klasický phishingový útok "pokud okamžitě neuděláte x, hrozí vám postih y"

Pohledávka

• Variace na výše popsaný případ
• Shodné znaky - e-mail je uvěřitelný, příloha jasně nebezpečná, spoléhá se na stres uživatele pocházející z hrozby finančních potíží

Splátky

• Další variace
• Nižší míra propracovanosti, text obsahuje gramatické chyby a zvláštní jazykové konstrukce, což je typický znak phishingu

Odkazy

• http://antiphising.org/ - server zabývající se phishingem a obranou proti němu (v AJ)
• http://www.phishtank.com - komunita bojující s phishingovými servery, měsíční statistiky hlášených případů (v AJ)
• http://www.security-portal.cz/clanky/phishing-1.html - pohled na sociálně-psychologickou stránku phishingu
• http://www.security-portal.cz/clanky/phishing-2.html - pohled na technickou stránku phishingu
• http://www.lupa.cz/clanky/phishing-novy-trend-v-podvodnych-dopisech/ - povídání o phishingu od P. Satrapy