Phishing
V oblasti výpočetní techniky se pojmem phishing označují kriminální aktivity, které jsou založeny na tzv. sociálním inženýrství. Jinak řečeno - proč se snažit ukrást požadované informace, když je uživatel sám prozradí, pokud jej vhodným způsobem požádáme? Líbivé věty, založené na psychologických znalostech, mohou uživatele přimět k prozrazení důvěrných informací, aniž by si všiml či uvědomil, že se stalo něco špatného. Obecně se jedná o podvodné vydávání se za důvěryhodnou osobu či instutici za účelem získání citlivých informací jako jsou hesla, čísla kreditních karet a podobně. Nejčastěji je k tomuto záměru využíván e-mail, ale také webové stránky či telefonáty.
Samotný pojem phishing pochází z anglického termínu password harvesting (sklízení hesel). V českém jazyce se dá setkat také s pojmem rhybaření, což je překladateská slovní hříčka vyjadřující fakt, že pachatel předkládá chutné návnady a čeká, kdo se chytí na udičku.
Odkazy na novinky týkající se phishingu
- Obdoba předchozí škodlivé pošty „Přeposílám Vám omylem zaslané smlouvy a doklady“ (24.2.2015)
- Nová vlna podvodných emailů (10.2.2015)
- Podvodný e-mail - certifikát pro KB (1.2.2015)
- Podvodný email - objednávka z internetového obchodu (12.1.2015)
- Podvodný email zašifruje vaše data (27.11.2014)
- Další pokus o phishingový útok (27.6.2014)
- Další vlna phisingového útoku (24.6.2014)
- Druhá vlna podvodných e-mailů - je to i Váš problém! (14.5.2014)
- Podvodné maily informující o dluhu (29.4.2014)
- Phishingový útok na uživatele ZČU (29.5.2013)
- Další phishingový útok na uživatele ZČU (18.2.2012)
- Podvodný e-mail žádající přístupové údaje k systému Orion (14.4.2009)
- Phishing směřovaný na Českou spořitelnu (3.3.2008)
Jak poznat podvrh?
Metody rhybaření pro získání potřebných informací mohou být různé, zpravidla očekávají přímo odpověď na zaslaný e-mail či spuštění přílohy e-mailu. Dále existují sofistikovanější postupy, kdy Vás, na základě e-mailu, přimějí navštívit podvrženou kopii stránky, kterou běžně navštěvujete. Přístupové údaje vyplněné na této kopii pak putují přímo k příslušnému rhybáři. Tyto metody jsou nejčastěji zkoušeny na bankách nebo internetových obchodech. Je tedy nutné umět poznat podvržený e-mail, ale také podvrženou stránku, protože se na ni můžete dostat i jinak, než přes odkaz v e-mailu.
Podvodné e-maily
Jak poznat, že e-mail, který dorazil do schránky, obsahuje lživé informace a je nebezpečný? Existuje řada příznaků, které jsou velmi podezřelé a při jejich spatření je nutné zvýšit pozornost:
- je vyžadováno okamžité sdělení citlivých údajů nebo jiná akce, jinak bude něco omezeno/zrušeno/nevydáno/...
- hypertextové odkazy vedou na úplně jinou adresu, než je specifikováno v textu e-mailu
- je přítomna spustitelná příloha (samostatně nebo v archivu), nebo na ní vede odkaz
- neočekávaný jazyk zprávy - například CIV Vám nebude zasílat výzvy v angličtině, u oficiálních sdělení lze předpokládat gramatickou a stylistickou správnost apod.
Dále je nutné si uvědomit, že odesílatel uvedený v hlavičce e-mailu nemusí být nutně autorem zprávy! Jistotu dává pouze elektronický podpis.
Pokud si nejste jisti, zda se jedná o podvržený požadavek v e-mailu, ověřte si pravost telefonicky u odesílatele zprávy, nebo kontaktujte Helpdesk CIV.
Falešné www stránky
Při procházení sítě internet se můžete dostat na stránky, které se tváří jako důvěrné známé, ale ve skutečnosti jde pouze o zdařilou kopii. Zpravidla se na ně dostanete přes podstrčený odkaz v emailu. Jak poznat, že se nacházíte na špatné stránce?
- Adresa stránky (url) by obsahuje ip adresu (např. http://147.228.1.1/falesna_ebanka.html)
- Adresa stránky nějakým způsobem paroduje originál, např.
- http://www.paypa1.com místo http://www.paypal.com (tj. jednička místo písmene el)
- https://heslo-zcu.cz místo https://heslo.zcu.cz (heslo-zcu je úplně jiná doména než zcu)
- Je vyžadováno zádání citlivých údajů na nezabezpečené stránce (http místo https)
- Stránka je zabezpečena nedůvěryhodným certifikátem.
V žádném případě nelze spoléhat na vzhled stránky, protože okopírovat lze vše včetně různých animací či jazykových mutací! Jediné na co lze spoléhat je ověření komunikujícího protějšku certifikáty.
Jak phishing funguje?
- Do e-mailové schránky dorazil následující e-mail:
- Co je na e-mailu podezřelého
- Nemá-li majitel e-mailové schránky účet u PayPal, není důvod aby jej firma PayPal upozorňovala na bezpečnostní problém.
- V případě bezpečnostních problémů je žádná firma jistě nebude řešit po e-mailu.
- E-mailová adresa nepatří organizaci, která upozorňuje na problém (freemailová adresa na seznam.cz)
- Hypertextový odkaz vede na stránky, které nemají s PayPal nic společného (zde se text "PayPal" dokonce vůbec nevyskytuje).
- Dejme tomu, že to uživatel přehlédne a na uvedený odkaz klikne. Stránka, na kterou se dostane vypadá následovně:
- A takto vypadá originální stránka:
- Stránky na první pohled vypadají velmi podobně (viditelný obsah stránky tedy není vhodné prostředek pro rozlišování podvrhů).
- Při pohledu na URL podvržené stránky si lze všimnout několika věcí
- Stránka není zabezpečená - v URL je pouze http místo https, chybí ikonky visacích zámků a pozadí URL není podbarvené žlutě (jak to vypadá v jiných prohlížečích než Mozilla Firefox je ukázáno na samostatné stránce). Přenášená data tedy nejsou šifrována, což je u přístupových údajů vždy podezřelé.
- Něco podobného textu "www.PayPal.com" se v adrese vyskytuje, ale malé písmenko "el" je nahrazeno velkým měkkým "I". Některým lidem totiž stačí vidět známý text v adrese a jsou uchlácholeni. Zahlédnutí takovéhoto triku je vždy podezřelé.
- Stránka je na serveru www.fawnbeaty.com, protože vše za následujícím lomítkem už jen upřesňuje co má server zobrazit. Firma PayPal těžko nechá řešit bezpečnostní problém jinou firmu - opět podezřelá záležitost.
Jak se před phishingem chránit?
- Zachovat chladnou hlavu. Velká část útočníků spoléhá na to, že uživatele vystresuje (zrušením konta, zablokováním kreditní karty, exekucí...) a ten pak zbrkle a bez přemýšlení provede požadovanou akci.
- Všímat si při čtení e-mailů nesrovnalostí, popsaných na této stránce - gramatických chyb, příloh v nezvyklém formátu, žádostí o vydání osobních údajů atd. atp.
- Sledovat Novinky, kde jsou zveřejňovány informace o aktuálních phishinových pokusech.
- V případě sebemenších pochybností neotevírat přílohy, neklikat na odkazy a neprodleně kontaktovat Helpdesk CIV.
Příklady phishingových útoků
Zavirovaná příloha, využití stresu uživatele
Velmi efektivní útoky, které sice používají relativně "hloupý" způsob zavirovaného spustitelného souboru v příloze, nicméně velmi chytře využívají psychologie uživatelů, kteří si v útočníkem záměrně vyvolaném stresu podezřelost přílohy často neuvědomí a i přes očividnou nebezpečnost ji spustí.
Typický případ
- Samotný e-mail má velmi málo prvoplánových znaků phishingu - jazykově je v pořádku, adresa odesílatele vypadá uvěřitelně atd.
- Oproti tomu příloha je krajně podezřelá - archiv, ve kterém se nachází spustitelný .exe soubor - jasný znak phishingu, skutečné dokumenty by byly pravděpodobně ve formátu .pdf nebo podobně
- Typický případ, kdy je potřeba především zachovat klid - útočník spoléhá na to, že uživatele vystresuje hrozbou exekuce a ten tak otevře přílohu dříve, než si stihne uvědomit výše popsané znaky
- Ve skutečnosti se jedná pouze o chytře zkonstruovanou variaci na klasický phishingový útok "pokud okamžitě neuděláte x, hrozí vám postih y"
Další varianty
- Variace na výše popsaný případ
- Mechanismus je vždy stejný - stres uživatele z finanční ztráty či obdobných potíží jej přiměje k otevření přílohy, kterou by jinak pravděpodobně správně identifikoval jakožto nebezpečnou
- Míra propracovanosti je různá, někde už lze nalézt i další znaky phishingu, jako jsou např. gramatické či stylistické chyby a nesmyslné jazykové konstrukce v textu
Podstrčená stránka
Rozšířený způsob phishingu, kdy je uživateli podstrčena důvěryhodně vypadající stránka, která je však podvrženou kopií a jejím cílem je uživatele poškodit.
Typický případ
- Doručená zpráva se pokouší přimět uživatele, aby si z odkázaného webu stáhl a otevřel soubor - v tomto případě se jednalo o zvlášť nebezpečný virus CryptoLocker, který zašifroval uživatelská data a požadoval výkupné za jejich obnovení
- Samotný e-mail je jasně podezřelý - strojová čeština se spoustou stylistických chyb a špatnou diakritikou, podezřelá adresa odesílatele
- Kopie webu je poměrně zdařilá, nicméně opět jasně identifikovatelná na základě adresy/domény
- V tomto případě byla nutná značná součinnost uživatele (projít až ke stažení přílohy a tu pak spustit), ale v jiných případech může ke spuštění škodlivého kódu stačit i samotné kliknutí na odkaz v e-mailu!
Případ ze ZČU
- Obzvlášť zákeřná varianta phishingu cílená na uživatele ZČU. Jejím cílem je přesvědčit uživatele, aby svoje přihlašovací údaje zadal do formuláře na podstrčené stránce. Údaje jsou pak samozřejmě odeslány přímo útočníkovi.
Co je zde podezřelé?
- Jazyk sdělení. Automatický překladač se sice snažil, ale některá místa mu opravdu nešla. Na české univerzitě lze předpokládat lepší vyjadřovací schopnosti
- Stresování uživatele odepřením služby (takto se uživatelská podpora nechová)
- Rozdílný cíl hyperlinkového odkazu a zobrazované části + upozornění poštovního serveru na tento jev
- Podvržená stránka sice vypadá stejně jako originál, ale je v doméně .de místo .zcu.cz
- Podvrženou stránku nelze ověřit, protože nemá certifikát ZČU (resp. tady je dokonce pouze http)
Při zadávání hesla je potřeba si vždy ověřit na jakou stránku přistupujeme - musí být splněny všechny následující podmínky
- musí být zabezpečená (https) - musíte zkontrolovat sami
- certifikát musí odpovídat dané adrese (URL) - zkontroluje prohlížeč
- musíte být na správné stránce (neco.zcu.cz) - musíte zkontrolovat sami
Subject: Váš e-mail úcet byl pozastaven Date: Mon, 21 Mar 2011 10:00:01 +0100 To: undisclosed-recipients: ; From: "ZCU" <security@zcu.cz> Vážený zákazníku, Je nám líto Vás informovat, že nejsme schopni ověřit totožnost svého účtu. V zájmu ochrany zabezpečení vašeho účtu. Máme ukončena svůj WEB MAIL účet zasedání. Za účelem vyřešení této situace. Máme prosit, abyste klikli na odkaz níže SECURE POTVRDIT případné nálezy. *MailScanner has detected a possible fraud attempt from "www.ccvsw.de" claiming to be* http://www.webmail.zcu.cz <http://www.ccvsw.de/templates/webkdc.zcu.cz.htm> Děkujeme, že jste si vybrali ZČU Webmail. ZČU e-mailové služby.
Poznámka: Tučně označený text vložil univerzitní poštovní server, aby zvýraznil, že zobrazený text a hypertextový odkaz vedou na odlišná místa. V prostředí webmailu je tento text ještě navíc červený.
Pokud jste klikli na uvedenou adrese, mohli jste vidět následující formulář:
Přímé vyžádání osobních údajů
Nejstarší a "nejhloupější" způsob phishingu, který po uživateli požaduje přímé zaslání osobních údajů e-mailem.
Typický případ
Jedna z mnoha variant tohoto typu phishingu - útočník se pokouší vydávat za Helpdesk a požaduje zaslání přístupových údajů e-mailem.
Co je zde podezřelé?
- Jazyk sdělení. Automatický překladač se sice snažil, ale některá místa mu opravdu nešla. Na české univerzitě lze předpokládat lepší vyjadřovací schopnosti.
- Stresování uživatele odepřením služby (takto se uživatelská podpora nechová).
- Někdo chce sdělit Vaše heslo - na to nemá nikdo nárok, ani pracovníci HelpDesku.
- Adresa odesílatele (From) i adresa pro odpověď (Reply-To) není ze ZČU, "helpdesk@zcu.cz" je jen popisek pro adresy z freemailových serverů.
- V zápatí je automatická reklama na odesílající freemailový server, tj. zpráva nejspíš nebude z helpdesku.
Subject: Vážený uživateli Date: Mon, 21 Mar 2011 10:00:01 +0100 To: undisclosed-recipients: ; From: "helpdesk@zcu.cz" <helpdesk091@peoplepc.com> Reply-To:"helpdesk@zcu.cz" <acupgrade@superposta.com> Vážený uživateli Naším cílem je poskytovat kvalitní podporu pro naše zákazníky. Takže můžeme nejlépe pomoci, odpovědět na následující poté, co jste obdrželi. V současné době provádí údržbu a aktualizaci našich Služby účtů databáze, a jako výsledek této vaší Účty musí být modernizovány. Omlouváme se za způsobené potíže. Pokud se tak nestane do 72 hodin bude okamžitě vypnuté svůj účet z naší databáze. Prosím, vyplňte formulář níže. Název účtu:. heslo:. Přístupové Členové se dohodli, aby nás následovaly přijatelný Use Policy Podmínky používání (C) 1995-2011, Všechna práva vyhrazena Veškerý obsah na tomto je k dispozici. "Poštovním účtem PODPORA WEBMAIL © ABN 31088377860 Všechna práva vyhrazena ________________________________________ PeoplePC Online A better way to Internet http://www.peoplepc.com
Odkazy
- http://antiphising.org/ - server zabývající se phishingem a obranou proti němu (v AJ)
- http://www.phishtank.com - komunita bojující s phishingovými servery, měsíční statistiky hlášených případů (v AJ)
- http://www.security-portal.cz/clanky/phishing-1.html - pohled na sociálně-psychologickou stránku phishingu
- http://www.security-portal.cz/clanky/phishing-2.html - pohled na technickou stránku phishingu
- http://www.lupa.cz/clanky/phishing-novy-trend-v-podvodnych-dopisech/ - povídání o phishingu od P. Satrapy