Phishing - příklady
Phishing je zákeřný způsob napadení, kdy se útočníci pomocí různých podvodů pokoušejí dohnat uživatele k tomu, aby jim sdělili citlivé údaje či na svých strojích spustili škodlivý kód. Na této stránce je možno vidět příklady takových útoků, se kterými se v minulosti setkali uživatelé na ZČU.
Zavirovaná příloha
Nečekaně efektivní útoky, které sice používají relativně "hloupý" způsob zavirovaného spustitelného souboru v příloze, nicméně velmi chytře využívají psychologie uživatelů, kteří si v útočníkem záměrně vyvolaném stresu podezřelost přílohy často neuvědomí a i přes očividnou nebezpečnost ji spustí.
Typický případ
- Samotný e-mail má velmi málo prvoplánových znaků phishingu - jazykově je v pořádku, adresa odesílatele vypadá uvěřitelně atd.
- Oproti tomu příloha je krajně podezřelá - archiv, ve kterém se nachází spustitelný .exe soubor - jasný znak phishingu, skutečné dokumenty by byly pravděpodobně ve formátu .pdf nebo podobně
- Typický případ, kdy je potřeba především zachovat klid - útočník spoléhá na to, že uživatele vystresuje hrozbou exekuce a ten tak otevře přílohu dříve, než si stihne uvědomit výše popsané znaky
- Ve skutečnosti se jedná pouze o chytře zkonstruovanou variaci na klasický phishingový útok "pokud okamžitě neuděláte x, hrozí vám postih y"
Další varianty
- Variace na výše popsaný případ
- Mechanismus je vždy stejný - stres uživatele z finanční ztráty či jiných potíží jej přiměje k otevření přílohy, kterou by jinak pravděpodobně správně identifikoval jakožto nebezpečnou
- Míra propracovanosti je různá, někde už lze nalézt i další znaky phishingu, jako jsou např. gramatické či stylistické chyby a nesmyslné jazykové konstrukce v textu
Podstrčená stránka
Rozšířený způsob phishingu, kdy je uživateli podstrčena důvěryhodně vypadající stránka, která je však podvrženou kopií a jejím cílem je uživatele poškodit.
Typický případ
- Doručená zpráva se pokouší přimět uživatele, aby si z odkázaného webu stáhl a otevřel soubor - v tomto případě se jednalo o zvlášť nebezpečný virus CryptoLocker, který zašifroval uživatelská data a požadoval výkupné za jejich obnovení
- Samotný e-mail je jasně podezřelý - strojová čeština se spoustou stylistických chyb a špatnou diakritikou, podezřelá adresa odesílatele
- Kopie webu je poměrně zdařilá, nicméně opět jasně identifikovatelná na základě adresy/domény
- V tomto případě byla nutná značná součinnost uživatele (projít až ke stažení přílohy a tu pak spustit), ale v jiných případech může ke spuštění škodlivého kódu stačit i samotné kliknutí na odkaz v e-mailu!
Případ ze ZČU č.1
- Obzvlášť zákeřná varianta phishingu cílená na uživatele ZČU. Jejím cílem je přesvědčit uživatele, aby svoje přihlašovací údaje zadal do formuláře na podstrčené stránce. Údaje jsou pak samozřejmě odeslány přímo útočníkovi.
Co je zde podezřelé?
- Jazyk sdělení. Automatický překladač se sice snažil, ale některá místa mu opravdu nešla. Na české univerzitě lze předpokládat lepší vyjadřovací schopnosti
- Stresování uživatele odepřením služby (takto se uživatelská podpora nechová)
- Rozdílný cíl hyperlinkového odkazu a zobrazované části + upozornění poštovního serveru na tento jev
- Podvržená stránka sice vypadá stejně jako originál, ale je v doméně .de místo .zcu.cz
- Podvrženou stránku nelze ověřit, protože nemá certifikát ZČU (resp. tady je dokonce pouze http)
Při zadávání hesla je potřeba si vždy ověřit na jakou stránku přistupujeme - musí být splněny všechny následující podmínky
- musí být zabezpečená (https) - musíte zkontrolovat sami
- certifikát musí odpovídat dané adrese (URL) - zkontroluje prohlížeč
- musíte být na správné stránce (neco.zcu.cz) - musíte zkontrolovat sami
Subject: Váš e-mail úcet byl pozastaven Date: Mon, 21 Mar 2011 10:00:01 +0100 To: undisclosed-recipients: ; From: "ZCU" <security@zcu.cz> Vážený zákazníku, Je nám líto Vás informovat, že nejsme schopni ověřit totožnost svého účtu. V zájmu ochrany zabezpečení vašeho účtu. Máme ukončena svůj WEB MAIL účet zasedání. Za účelem vyřešení této situace. Máme prosit, abyste klikli na odkaz níže SECURE POTVRDIT případné nálezy. *MailScanner has detected a possible fraud attempt from "www.ccvsw.de" claiming to be* http://www.webmail.zcu.cz <http://www.ccvsw.de/templates/webkdc.zcu.cz.htm> Děkujeme, že jste si vybrali ZČU Webmail. ZČU e-mailové služby.
Poznámka: Tučně označený text vložil univerzitní poštovní server, aby zvýraznil, že zobrazený text a hypertextový odkaz vedou na odlišná místa. V prostředí webmailu je tento text ještě navíc červený.
Pokud jste klikli na uvedenou adresu, mohli jste vidět následující formulář:
Případ ze ZČU č.2
Další varianta, útočník se vydává za Helpdesk a pokouší se přimět uživatele, aby klikl na podstrčený odkaz.
Co je zde podezřelé?
- Jazyk sdělení. Automatický překlad zprávy je velmi nepřesvědčivý - na české univerzitě lze předpokládat lepší vyjadřovací schopnosti.
- Odkaz vede zcela mimo ZČU, tj. není v doméně zcu.cz.
- Blokování existujících účtů kvůli povýšení verze systému je naprosto nelogické (i pro IT laiky)
Subject: Důležité upozornění od Helpdesku Date: Wed, 29 May 2013 12:41:10 +0100 From: Západočeská univerzita <helpdesk@zcu.cz> To: undisclosed-recipients:; Západočeská univerzita Plánované údržby a upgrade To je Vám oznámit, že naše webmail server byl naplánován na modernizaci a údržbu, je zlepšit schopnost identifikovat a blokovat spam, phishing pokusy a antivirové funkce pro lepší on-line služeb. Aby se zabránilo váš e-mailový účet byl ukončen v průběhu tohoto upgradu, laskavě klikněte na odkaz níže a postupujte podle pokynů pro upgrade. KLIKNĚTE ZDE: hxxp://access-page.mypressonline.com/web-account/maillogin-verify/form.php Váš e-mail přístup bude zakázat, pokud nedodržíte výše. My Omlouváme se za způsobené komplikace. Děkujeme, že používáte naše online služby. Webmail správce. Západočeská univerzita Univerzitní 8, Pilsen, Czech republic Copyright © 1991 - 2013 UWB Plzeň
Přímé vyžádání osobních údajů
Nejstarší a "nejhloupější" způsob phishingu, který po uživateli požaduje přímé zaslání osobních údajů e-mailem.
Typický případ
Jedna z mnoha variant tohoto typu phishingu - útočník se pokouší vydávat za Helpdesk a požaduje zaslání přístupových údajů e-mailem.
Co je zde podezřelé?
- Jazyk sdělení. Automatický překladač se sice snažil, ale některá místa mu opravdu nešla. Na české univerzitě lze předpokládat lepší vyjadřovací schopnosti.
- Stresování uživatele odepřením služby (takto se uživatelská podpora nechová).
- Někdo chce sdělit Vaše heslo - na to nemá nikdo nárok, ani pracovníci HelpDesku.
- Adresa odesílatele (From) i adresa pro odpověď (Reply-To) není ze ZČU, "helpdesk@zcu.cz" je jen popisek pro adresy z freemailových serverů.
- V zápatí je automatická reklama na odesílající freemailový server, tj. zpráva nejspíš nebude z helpdesku.
Subject: Vážený uživateli Date: Mon, 21 Mar 2011 10:00:01 +0100 To: undisclosed-recipients: ; From: "helpdesk@zcu.cz" <helpdesk091@peoplepc.com> Reply-To:"helpdesk@zcu.cz" <acupgrade@superposta.com> Vážený uživateli Naším cílem je poskytovat kvalitní podporu pro naše zákazníky. Takže můžeme nejlépe pomoci, odpovědět na následující poté, co jste obdrželi. V současné době provádí údržbu a aktualizaci našich Služby účtů databáze, a jako výsledek této vaší Účty musí být modernizovány. Omlouváme se za způsobené potíže. Pokud se tak nestane do 72 hodin bude okamžitě vypnuté svůj účet z naší databáze. Prosím, vyplňte formulář níže. Název účtu:. heslo:. Přístupové Členové se dohodli, aby nás následovaly přijatelný Use Policy Podmínky používání (C) 1995-2011, Všechna práva vyhrazena Veškerý obsah na tomto je k dispozici. "Poštovním účtem PODPORA WEBMAIL © ABN 31088377860 Všechna práva vyhrazena ________________________________________ PeoplePC Online A better way to Internet http://www.peoplepc.com
Další případ ze ZČU
Zpráva po uživateli vyžaduje zaslání uživatelského jména a hesla spolu s datem narození, jinak nebude možné přijímat/odesílat emaily a nebude moci být zprovozněna poslední antivirová ochrana. Navíc, pokud se s odesláním požadovaných dat bude otálet, dojde ke zrušení poštovní schránky.
Co je zde podezřelé?
- Jazyk sdělení. Na české univerzitě by jistě byla posílána také česká verze.
- Někdo chce znát Vaše heslo. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo.
- Adresa odesílatele info@webmail.org ani příjemce odpovědi upgradingcenter@sify.com nemá se ZČU nic společného.
- Vyhrožování nutností okamžité reakce.
- Stresování odepřením služby a možností zavirování počítače uživatele (takto se uživatelská podpora nechová)
Subject: Dear Account Owner Date: Sun, 09 Jan 2011 08:58:08 -0600 From: Webmail Upgrading Team <info@webmail.org> Reply-To: upgradingcenter@sify.com Dear Account Owner, It has come to our notice that your email has not passed the verification/Update process that we are presently working on. We are currently upgrading our data base and e-mail account center .We are deleting all Webmail email account to create more space for new accounts. To prevent your account from closing you will have to update it so that we will know that it's a present used account. *********************************************** CONFIRM YOUR EMAIL IDENTITY BELOW Email Username : ......... ..... EMAIL Password : ............... Date of Birth : ................ ************************************************ ****IMPORTANT : This updating is compulsory as a result of our recent server changes. If you fail to update your email address you will soon be unable to receive/send mails.Also your email will not be equipped with the latest anti-virus system in our new servers. This will make your email and PC vulnerable to virus attacks from the internet. ****HOW TO UPDATE: To update simply send the above to upgrading admin as appropriate.Failure to do so immediately will lead to SUSPENSION of your WEBMAIL ACCOUNT. Thanks for your co-operation, Customer Care Team