Civenka a phishing

V oblasti výpočetní techniky se pojmem phishing označují kriminální aktivity, které jsou založeny na tzv. sociálním inženýrství. Jinak řečeno - proč se snažit ukrást požadované informace, když je uživatel sám prozradí, pokud jej vhodným způsobem požádáme? Líbivé věty, založené na psychologických znalostech, mohou uživatele přimět k prozrazení důvěrných informací, aniž by si všiml či uvědomil, že se stalo něco špatného. Obecně se jedná o podvodné vydávání se za důvěryhodnou osobu či instutici za účelem získání citlivých informací jako jsou hesla, čísla kreditních karet a podobně. Nejčastěji je k tomuto záměru využíván e-mail, ale také webové stránky či telefonáty.

Samotný pojem phishing pochází z anglického termínu password harvesting (sklízení hesel). V českém jazyce se dá setkat také s pojmem rhybaření, což je překladateská slovní hříčka vyjadřující fakt, že pachatel předkládá chutné návnady a čeká, kdo se chytí na udičku.

Odkazy na novinky týkající se phishingu

Informace o aktuálních phishingových útocích jsou pravidelně zveřejňovány mezi Novinkami:

• Obdoba předchozí škodlivé pošty „Přeposílám Vám omylem zaslané smlouvy a doklady“ (24.2.2015)
• Nová vlna podvodných emailů (10.2.2015)
• Podvodný e-mail - certifikát pro KB (1.2.2015)
• Podvodný email - objednávka z internetového obchodu (12.1.2015)
• Podvodný email zašifruje vaše data (27.11.2014)
• Další pokus o phishingový útok (27.6.2014)
• Další vlna phisingového útoku (24.6.2014)
• Druhá vlna podvodných e-mailů - je to i Váš problém! (14.5.2014)
• Podvodné maily informující o dluhu (29.4.2014)
• Phishingový útok na uživatele ZČU (29.5.2013)
• Další phishingový útok na uživatele ZČU (18.2.2012)
• Podvodný e-mail žádající přístupové údaje k systému Orion (14.4.2009)
• Phishing směřovaný na Českou spořitelnu (3.3.2008)

Jak poznat podvrh?

Metody rhybaření pro získání potřebných informací mohou být různé, zpravidla očekávají přímo odpověď na zaslaný e-mail či spuštění přílohy e-mailu. Dále existují sofistikovanější postupy, kdy Vás, na základě e-mailu, přimějí navštívit podvrženou kopii stránky, kterou běžně navštěvujete. Přístupové údaje vyplněné na této kopii pak putují přímo k příslušnému rhybáři. Tyto metody jsou nejčastěji zkoušeny na bankách nebo internetových obchodech. Je tedy nutné umět poznat podvržený e-mail, ale také podvrženou stránku, protože se na ni můžete dostat i jinak, než přes odkaz v e-mailu.

Podvodné e-maily

Jak poznat, že e-mail, který dorazil do schránky, obsahuje lživé informace a je nebezpečný? Existuje řada příznaků, které jsou velmi podezřelé a při jejich spatření je nutné zvýšit pozornost:

• je vyžadováno okamžité sdělení citlivých údajů nebo jiná akce, jinak bude něco omezeno/zrušeno/nevydáno/...
• hypertextové odkazy vedou na úplně jinou adresu, než je specifikováno v textu e-mailu
• je přítomna spustitelná příloha (samostatně nebo v archivu), nebo na ní vede odkaz
• neočekávaný jazyk zprávy - například CIV Vám nebude zasílat výzvy v angličtině, u oficiálních sdělení lze předpokládat gramatickou a stylistickou správnost apod.

Dále je nutné si uvědomit, že odesílatel uvedený v hlavičce e-mailu nemusí být nutně autorem zprávy! Jistotu dává pouze elektronický podpis.

Pokud si nejste jisti, zda se jedná o podvržený požadavek v e-mailu, ověřte si pravost telefonicky u odesílatele zprávy, nebo kontaktujte HelpDesk CIV.

Falešné www stránky

Při procházení sítě internet se můžete dostat na stránky, které se tváří jako důvěrné známé, ale ve skutečnosti jde pouze o zdařilou kopii. Zpravidla se na ně dostanete přes podstrčený odkaz v emailu. Jak poznat, že se nacházíte na špatné stránce?

• Adresa stránky (url) by obsahuje ip adresu (např. http://147.228.1.1/falesna_ebanka.html)
• Adresa stránky nějakým způsobem paroduje originál, např.
  • http://www.paypa1.com místo http://www.paypal.com (tj. jednička místo písmene el)
  • https://heslo-zcu.cz místo https://heslo.zcu.cz (heslo-zcu je úplně jiná doména než zcu)
• Je vyžadováno zádání citlivých údajů na nezabezpečené stránce (http místo https)
• Stránka je zabezpečena nedůvěryhodným certifikátem.

V žádném případě nelze spoléhat na vzhled stránky, protože okopírovat lze vše včetně různých animací či jazykových mutací! Jediné na co lze spoléhat je ověření komunikujícího protějšku certifikáty.

Jak phishing funguje?

• Do e-mailové schránky dorazil následující e-mail:

• Co je na e-mailu podezřelého
  • Nemá-li majitel e-mailové schránky účet u PayPal, není důvod aby jej firma PayPal upozorňovala na bezpečnostní problém.
  • V případě bezpečnostních problémů je žádná firma jistě nebude řešit po e-mailu.
  • E-mailová adresa nepatří organizaci, která upozorňuje na problém (freemailová adresa na seznam.cz)
  • Hypertextový odkaz vede na stránky, které nemají s PayPal nic společného (zde se text "PayPal" dokonce vůbec nevyskytuje).
• Dejme tomu, že to uživatel přehlédne a na uvedený odkaz klikne. Stránka, na kterou se dostane vypadá následovně:

• A takto vypadá originální stránka:

• Stránky na první pohled vypadají velmi podobně (viditelný obsah stránky tedy není vhodné prostředek pro rozlišování podvrhů).
• Při pohledu na URL podvržené stránky si lze všimnout několika věcí
  • Stránka není zabezpečená - v URL je pouze http místo https, chybí ikonky visacích zámků a pozadí URL není podbarvené žlutě (jak to vypadá v jiných prohlížečích než Mozilla Firefox je ukázáno na samostatné stránce). Přenášená data tedy nejsou šifrována, což je u přístupových údajů vždy podezřelé.
  • Něco podobného textu "www.PayPal.com" se v adrese vyskytuje, ale malé písmenko "el" je nahrazeno velkým měkkým "I". Některým lidem totiž stačí vidět známý text v adrese a jsou uchlácholeni. Zahlédnutí takovéhoto triku je vždy podezřelé.
  • Stránka je na serveru www.fawnbeaty.com, protože vše za následujícím lomítkem už jen upřesňuje co má server zobrazit. Firma PayPal těžko nechá řešit bezpečnostní problém jinou firmu - opět podezřelá záležitost.

Jak se před phishingem chránit?

• Zachovat chladnou hlavu. Velká část útočníků spoléhá na to, že uživatele vystresuje (hrozbou zrušení konta, zablokování kreditní karty, exekuce...) a ten pak zbrkle a bez přemýšlení provede požadovanou akci.
• Všímat si při čtení e-mailů nesrovnalostí, popsaných na této stránce - gramatických chyb, příloh v nezvyklém formátu, žádostí o vydání osobních údajů atd. atp.
• Sledovat Novinky, kde jsou zveřejňovány informace o aktuálních phishinových pokusech.
• V případě sebemenších pochybností neotevírat přílohy, neklikat na odkazy, neodpovídat na e-mail a neprodleně kontaktovat HelpDesk CIV.

Příklady phishingových útoků

Na stránce Phishing - příklady se nachází řada ukázek phishingových útoků, se kterými se setkali uživatelé ZČU. Znalost starších útoků a praktik útočníků je neocenitelným pomocníkem při rozpoznávání dalších pokusů.

Odkazy

• http://antiphising.org/ - server zabývající se phishingem a obranou proti němu (v AJ)
• http://www.phishtank.com - komunita bojující s phishingovými servery, měsíční statistiky hlášených případů (v AJ)
• http://www.security-portal.cz/clanky/phishing-1.html - pohled na sociálně-psychologickou stránku phishingu
• http://www.security-portal.cz/clanky/phishing-2.html - pohled na technickou stránku phishingu
• http://www.lupa.cz/clanky/phishing-novy-trend-v-podvodnych-dopisech/ - povídání o phishingu od P. Satrapy