Phishing: On-line krádež identity

DEFINICE Jako phishing je označována technika využívaná k získání osobních údajů člověka, která využívá fale...


DEFINICE
Jako phishing je označována technika využívaná k získání osobních údajů
člověka, která využívá falešných e-mailových zpráv. Ty se tváří, jako by
pocházely od skutečných firem, se kterými příjemce běžně komunikuje.
V Shakespearově hře říká Jago Othellovi: "Leč kdo ukradne mi mé dobré jméno/
vezme mi, čím si nepomůže/mne však učiní vskutku chudým." Bohužel, technologie
a naše stále více propojená společnost jsou nyní v rozporu s prvním
předpokladem, neboť dnes se zloděj může odcizením něčího dobrého jména výrazně
obohatit.
Jde o takzvanou krádež identity. Je-li někdo schopen získat důležité
autentizační údaje, pak se může dostat k cizímu bankovnímu či úvěrovému účtu
nebo k informacím o schopnosti potenciálního zákazníka splácet úvěry.
Instituce v Evropě i v USA obracejí k tomuto problému již delší dobu svou
pozornost. V roce 1998 například americký Kongres schválil Identity Theft and
Assumption Deterrence Act, který z krádeže identity učinil federální zločin,
jehož pachateli hrozí až 15 let vězení. Přesto krádeže identity vzkvétají, a
jednou z jednoduchých a stále oblíbenějších cest získání osobních dat je
phishing.

Nic nového
Nejde o nic nového stejné podvody existují již po mnoho let a ve skutečnosti
jsou ještě starší než počítače. Zákeřní crackeři tyto podvody páchali celá léta
po telefonu a nazývali je sociálním inženýrstvím. Nyní se jejich novým
nástrojem stal spam a podvržené webové stránky.
Phishing (někdy též carding nebo brand spoofing) využívá e-mailových zpráv,
které předstírají, že byly odeslány legitimní firmou, s níž může být adresát ve
styku může jít o banky jako Citibank, on-line firmy jako eBay a PayPal, o
poskytovatele internetových služeb například AOL, MSN, Yahoo či EarthLink, o
on-line obchody typu Best Buy či o pojišťovací společnosti. Jejich vzhled může
být velmi autentický, může využívat firemních log a formátů podobných těm,
které jsou součástí skutečných zpráv těchto subjektů.
Podvržené e-maily typicky žádají o ověření určitých informací, jako jsou čísla
účtů a hesel, údajně třeba pro účely auditu. A jelikož tyto e-maily vypadají
tak oficiálně, až 20 % důvěřivých příjemců na ně odpovídá, přičemž výsledkem
jsou krádeže identity, finanční ztráty a další škody.

Rybářská návnada
Uveďme zde jeden příklad, jak phishing může fungovat. 17. listopadu 2003
dostalo mnoho zákazníků firmy eBay e-mailem upozornění, že došlo ke
kompromitaci jejich účtů a tyto účty byly zablokovány. Zpráva obsahovala odkaz,
který se tvářil tak, že směřuje na web eBay, kde se mohou zákazníci znovu
zaregistrovat. Horní část stránky vypadala přesně jako web eBay a obsahovala
interní odkazy na eBay. Pro opětovnou registraci byly od zákazníků požadovány
údaje o kreditní kartě, o PINu k této kartě, o číslu sociálního pojištění, o
datu narození a o rodném příjmení matky. Jediným problémem bylo, že původní
e-mail neodeslala firma eBay a webová stránka také nepatřila eBay šlo o
modelový příklad phishingu.
V září 2003 vydala Federal Trade Commission zprávu, že obětí krádeže identity
se za uplynulý rok stalo 9,9 milionu obyvatel USA, přičemž náklady firem a
finančních institucí s tím spojených dosáhly 48 miliard dolarů a zákazníci
přišli o 5 miliard dolarů.
Při on-line rozhovoru pro The Washington Post v červenci loňského roku J.
Howard Beales, ředitel Federálního úřadu pro ochranu zákazníků, řekl, že krádež
identity je se 43% podílem nejčastějším problémem, jímž se jeho organizace
zabývá.
Podle Anti-Phishing Working Group, zájmové organizace průmyslu založené
kalifornskou společností Tumbleweed Communications, byla obětí podvodného
jednání vůči zákazníkům při útocích typu phishing většina velkých bank v USA,
ve Velké Británii a v Austrálii.

Jak se nenechat podvést
Mnozí zákazníci jsou natolik důvěřiví, že se stávají snadným terčem útoku. Řada
z nich si neuvědomuje, že solidní firmy a finanční instituce by se stěží kdy
ptaly na osobní informace prostřednictvím e-mailu. A to platí dnes, v době kdy
hrozí phishing, a platilo to dokonce ještě dříve, než se tento problém objevil.
Jestliže tedy někdo takový požadavek obdrží, měl by zavolat do příslušné firmy
a ujistit se, zda se jedná skutečně o požadavek instituce, která je v e-mailu
uvedena. Neuškodí také zkontrolovat její pravé webové stránky.
Mnohé mohou napovědět také chyby v pravopisu a v gramatice. Přestože jeden
překlep může uklouznout jakékoliv firmě, pokud je jich více, je zde důvod k
obezřetnosti.
Pokud e-mail odkazuje na webové stránky, vždy je vhodné si pozorně prohlédnout
jejich adresu (URL). Zamaskovat odkaz na podvržené stránky je snadné. Je třeba
si dát pozor na znak @v adrese. Většina prohlížečů ignoruje znaky předcházející
symbolu @, takže webová adresa http://www. duveryhodnafirma.com@podvodnik.com
se může pro oběť tvářit jako stránka důvěryhodné firmy, avšak ve skutečnosti
vede návštěvníky na adresu http://podvodnik.com. Čím delší je URL, tím snazší
je zakrýt skutečnou adresu.
Dalšími způsoby zmatení obětí jsou podobně vypadající znaky, takže paypal.com
lze (a skutečně se to stalo) podvrhnout jako paypaI.com či paypa1.com. Podobě
lze v URL nahradit například písmeno O nulou.

Původ slova phishing
Slovo phishing bylo vymyšleno zhruba v roce 1996 hackery, kteří odcizili seznam
uživatelských jmen a hesel America Online. Analogicky s rybáři tito internetoví
podvodníci využili e-mailových návnad, čímž nahodili háčky "rybám" (fish), aby
získali hesla a finanční údaje z "moře" internetových uživatelů. Věděli, že i
když většina uživatelů návnadu nespolkne, několik obětí na ni skočí. Termín
phishing byl zmíněn v hackerské diskusní skupině alt.2600 v lednu 1996, ale je
možné, že byl použit již dříve v časopise 2600, The Hacker Quarterly.
Hackeři často nahrazují písmeno f dvojhláskou ph odkazují tak na původní formu
hackingu, známou jako phone phreaking. Phreaking "vynalezl" John Draper, známý
pod přezdívkou Captain Crunch, když vytvořil neblaze proslulý Blue Box,
vydávající slyšitelné tóny, s jehož pomocí se počátkem 70. let minulého století
nabourával do telefonních systémů.
V roce 1996 se hackerským účtům říkalo phish, v roce 1997 se s těmito účty
obchodovalo jako s určitým druhem měny lidé běžně měnili 10 fungujících AOL
účtů za software sloužící pro hacking.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.