Sebeobrana proti phishingu

V posledních letech zaznamenaly různé útoky typu phishing nárůst co do objemu i rafinovanosti, on-line obchodníci na to...


V posledních letech zaznamenaly různé útoky typu phishing nárůst co do objemu i
rafinovanosti, on-line obchodníci na to však odpovídají vzděláváním zákazníků a
novými autentizačními nástroji. K dispozici je tak nová bezpečnostní technika i
software, který útoky tohoto druhu dokáže značně eliminovat.

Nejprve dobrá zpráva: od chvíle, kdy jsme poprvé informovali o hrozbě
phishingu, udělal segment e-businessu velký pokrok v boji proti útočníkům.
Zákazníci jsou také instruováni, aby byli více obezřelí, a výrobci začínají
nabízet nástroje a služby namířené právě proti phishingu.
A nyní ta špatná zpráva: hrozba phishingu i nadále roste znepokojivým tempem. V
lednu 2004 bylo známo pouze 198 falešných webů, v únoru to podle Anti-Phishing
Working Group (Pracovní skupina zaměřená na boj proti phishingu) bylo již 2 625
webů. Počet unikátních e-mailů obsahujících nějaký typ phishingu dosáhl v únoru
tohoto roku ohromující hodnoty 13 141. Firma Symantec také oznámila, že její
nástroj Brightmail během loňského prosince týdně zablokoval oproti červencovým
průměrným 9 milionům pokusů o phishing již 33 milionů.
Ale absolutní počet útoků je pouze část problému. Útočníci jsou čím dál
vynalézavější a využívají techniky "rybaření bez návnady", jakými jsou
například přesměrování provozu na jiné, a to podvodné stanice či proxy servery
(pharming), získávání informací z vnitřní podnikové sítě (spear phishing) nebo
zneužití důvěry ve vyhledávací systémy Googlu (Google phishing). Roste i
zneužívání prostřednictvím přístupových bodů bezdrátových sítí (Wi--phishing),
díky čemuž narušitelé mohou získat požadovaná data, aniž by je zákazníci museli
vkládat do falešné webové aplikace (viz tabulku).
Symantec dále upozorňuje, že hackeři zřejmě přesouvají svůj zájem od
znefunkčnění webových stránek k získávání přístupu k důvěrným informacím. Mezi
červencem a prosincem loňského roku tvořily zákeřné kódy vyprojektované pro
získání důvěrných informací přibližně 54 % ze vzorku 50 druhů nejvýznamnějšího
malwaru, které Symantec obdržel. V první polovině loňského roku to bylo 44 % a
ve druhé polovině roku 2003 jen 36 %.
Podvodníci také rozšiřují seznam svých cílů mimo velké banky jde i o zdánlivě
neomezené množství menších finančních institucí a elektronických obchodů.
"Funguje tady metoda opakování," vysvětluje Mark Schull, prezident a výkonný
ředitel společnosti MarkMonitor, která se zabývá bojem proti on-line podvodům.
Útočníci se zaměří na banku A. Banka A se brání. Útočníci se přesunou k bance
B, ale pak vyzbrojeni ještě důmyslnějšími zbraněmi se za pár měsíců jejich
pozornost vrací zpět k bance A.
Ačkoli se podle expertů v současnosti nechá nachytat pouze malé procento
uživatelů, finanční škody z on-line bankovních podvodů jsou značné. Nedávný
průzkum provedený firmou Ponemon Institute uvádí, že o peníze přišly 2 %
dotázaných lidí. Studie také odhaduje, že díky útokům typu phishing přišli
zákazníci v roce 2004 o 500 milionů dolarů. Ještě více znepokojující je však
to, že z 1 335 dotázaných lidí jich 70 % uvedlo, že navštívili falešné webové
stránky, a 15 % se o svá soukromá data dokonce podělilo.
Pro on-line obchodníky je však závažný i psychologický dopad. Ve studii
provedené službou Cyota, jež se zabývá prevencí podvodů, více než polovina z
655 respondentů uvedla, že se kvůli obavám z podvodů typu phishing bojí použít
elektronické obchodování. Studie firmy Symantec navíc ukázala, že téměř jedna
třetina respondentů nemá kvůli phishingu o on-line banking vůbec zájem.
"Pokud jste finanční instituce, která vidí, že elektronické bankovnictví je pro
růst tržeb zásadní, a zároveň slyší, že 31,5 % potenciálních on-line zákazníků
elektronické bankovnictví nepoužije, pak je nutné podniknout nějaké kroky, aby
se tento stav změnil," vysvětluje Kim Legelis, ředitel řešení pro bankovnictví
a finanční služby ve společnosti Symantec.
"Phishing je spíše útokem na firemní image než na samotné zákazníky," říká Dave
Cullinane, šéf informační bezpečnosti ve firmě Washington Mutual, jež si útoku
proti značce své firmy všiml vloni v říjnu. "Útočníci se snaží využít výhod
nastalých zmatků a jsou velmi dobří v oblasti sociálního inženýrství (klamání)
to vede k tomu, že se lidé vzdávají právě těch věcí, jakých by neměli."

Kdo vlastně jsi?
Není tedy překvapením, že výrobci přikročili k nabídce autentizačních schémat.
Problémem ale je, že většina on-line zákazníků se jednoduše nechce učit, jak
zvládnout různé autentizační metody, ani nechtějí mít spousty různých tokenů a
karet jen proto, aby mohli elektronicky nakupovat, tvrdí Cullinane i další.
To je důvod, proč je o první implementace dvoufaktorové autentizace zákazníků
jen omezený zájem. Například firma AOL spustila vloni v září svou službu
PassCode Premium Service s tokeny SecurID od firmy RSA, a to za jednorázový
poplatek 9,95 dolaru a za 2-5 dolarů měsíčně v závislosti na počtu
podporovaných uživatelů. "Navzdory této možnosti učinit krádežím identit
přítrž, rychlost osvojování je malá," říká Tatiana Plattová z firmy AOL.
Nejdále jsou v tomto směru podle výrobců autentizačních technologií zahraniční
banky zejména v Africe, Asii a Evropě. Ale nalézají jen částečné uplatnění.
"Dvoufázová autentizace spolehlivě chrání uživatele před phishingem, protože
útočník nemůže zachytit a pak znovu použít heslo generované pouze na jedno
použití," vysvětluje Roland Le Sueur, šéf internetového bankovnictví ve firmě
First National Bank of South Africa v Johannesburgu, která začala nabízet svým
klientů tokeny ActivCard přesně před rokem.
Podle Le Sueura nyní tokeny využívá pouze 12 % jejich zákazníků on-line
bankovnictví. Novější a jednodušší metody typu výzva-odpověď by mohly být pro
uživatele snazší, a díky tomu i šířeji podporované. V říjnu loňského roku
představila firma Entrust svůj systém IdentityGuard. V rámci přihlašování je
uživatel požádán o tři z čísel vytištěných na předem vydané kartě. Firma
LyfeCard z Phoenixu, která vydává bankovní karty a systémy elektronické
peněženky lidem se špatným kreditním hodnocením, zase používá dvoufaktorovou a
dvoukanálovou autentizaci od firmy StrikeForce zvanou ProtectID. Ta pracuje
tak, že uživateli zavolá na přednastavené telefonní číslo a požádá o přístupový
kód. V tomto případě je skutečným přístupovým kódem série otázek vybraných z
databáze, na které by měl znát odpověď pouze klient. Systém ProtectID, který
stojí 80 000 dolarů, rovněž zahrnuje 256bitové kódování pro přenos mezi
klávesnicí a databází, a tak obchází systémy zaznamenávající stisky kláves.

Odkud jsi?
Dvoufaktorová autentizace znemožňuje útočníkům přístup k účtům uživatelů i v
případě, že ti jsou phishingem ošáleni. Stále to ale pro uživatele není
autentizace on-line značky. V současnosti je již e-mailový kanál považován za
natolik nedůvěryhodný, že 70 % účastníků průzkumu Cyota uvedlo, že na e-mail od
své banky kvůli strachu z phishingu pravděpodobně neodpoví.
Naštěstí jsou zde nové autentizační standardy pro e-mail, jako je například
Sender ID. Podle Microsoftu již 750 000 domén uveřejnilo své záznamy Sender
Policy Framework (SPF). Rozesílatelé spamů a útočníci provádějící phishing
neuspěli, když SPF záznamy nesouhlasily s jejich falešnými zpátečními adresami.
Během testování tohoto standardu systém Microsoft Hotmail zachytil denně
přibližně 3,2 miliardy spamových zpráv.
Sdružení poskytovatelů e-mailových služeb (Email Service Provider Coalition,
ESPC) začalo řešení Sender ID podporovat. Tento standard je implementován také
v produktech třetích stran, jako je IronMail od firmy CipherTrust, kde slouží
především pro zamezení phishingu a dalších forem podvodů. I poskytovatelé
internetu (například AOL) jsou připraveni Sender ID začít podporovat.
"Jakmile bude standard SPF více rozšířen, budete schopni říci, zda je e-mail
odeslán z pravého serveru, či nikoliv," říká Plattová z firmy AOL. "Pokud
nepřijde z ověřeného serveru banky, budeme jej moci zablokovat a našim
uživatelům nebude nikdy doručen."
Mezitím některé velké společnosti vyvíjejí vlastní proprietární e-mailové
systémy pro přímou komunikaci se svými zákazníky. Například AOL používá
bezpečný e-mail, který má oproti jiným zprávám poslaným mimo poštovní systém
AOL zcela odlišný vzhled. Protože není v HTML kódu, nelze modrou obálku, tmavě
modrý panel dopisu a logo "Official AOL Mail" zfalšovat.
Vloni v prosinci společnost eBay spustila první verzi interního systému
elektronických zpráv, do kterého mají přístup pouze uživatelé přihlášení pomocí
svých účtů registrovaných u firmy eBay. Zdroj z této firmy uvádí, že systém je
navržen tak, aby uživatelé přestali shromažďovat poštu z eBay ve svých běžných
e-mailových schránkách a komunikovali s firmou eBay pouze prostřednictvím
jejího proprietárního systému.
Dalším trendem je to, že uživatelé si autentizaci e-mailů provádějí sami.
Používají například systém SpamBlocker od firmy EarthLink, který prověřuje
e-maily přicházející z adres, jež nejsou v uživatelově adresáři, a to tak, že
na ně posílá výzvu k odpovědi. Dokud odpověď nepřijde a příjemce ji neschválí,
je původní e-mail uložen ve složce Podezřelá pošta.
Podobným systémem je ChoiceMail od firmy DigiPortal Software. Ten v kalifornské
společnosti Taylor Guitars řeší 99 % spamových problémů. Přitom odstraňuje
e-maily obsahující podvodné informace s cílem oklamat jejich adresáty. "Většina
rozesílatelů spamů nepoužívá platné zpáteční e-mailové adresy, takže nesedí u
počítače a nečekají na odpověď," vysvětluje Bret Houston, manažer IS ve firmě
Taylor Guitars. Tato společnost využívá mechanismus výzva-odpověď u 50 z celkem
150 zaměstnanců firmy (DigiPortal nabízí program rovněž pro domácí uživatele, a
to zdarma).
Zatímco firmy a zákazníci nalézají další možnosti autentizace e-mailů, ověření
pravosti webového serveru je mnohem obtížnější. Protože však phishing využívá
přesměrování prohlížeče a falšování webových adres, firmy potřebují nalézt i
způsoby, jak dokázat, že jejich servery jsou pravé.
Firma PassMark Security nabízí dvoufaktorovou autentizaci, jež je založena na
unikátních obrázcích, které mohou být zákazníky využity pro ověření webových
serverů při přihlašování. Uživatel například obdrží obrázek se západem slunce
nebo borovým lesem, a když vstoupí na přihlašovací obrazovku, je osloven
stejným obrázkem na důkaz toho, že server je pravý. PassMark nabízí podobný
systém i pro e-mailovou autentizaci.
Další možností je detekce toho, zda je webový server pravý. To vyžaduje, aby si
uživatel do svého prohlížeče nainstaloval lištu pro detekci podvodů, která
pomocí takzvané černé listiny ukazuje uživateli, že se případně nachází na
podvodném serveru. Takové lišty nabízejí svým uživatelům například firmy AOL,
eBay či EarthLink. Další výrobci také vytvářejí rozšiřující moduly prohlížečů,
jako je SpoofStick či FraudEliminator. Produkty třetích stran rovněž filtrují
falešné webové adresy tím, že vyhledávají chyby v adresách URL, v překrývání
adres nebo v IP adresách či další podezřelé znaky falešných URL.




Útočníci provádějící phishing se stávají rafinovanějšími, organizovanějšími a
obratnějšími v obcházení různých filtrů. K získání důvěrných dat využívají
celou škálu malwaru včetně červů, virů či spywaru, a to i pro případ, že jejich
oběť neklikne na odkaz a sama informace neprozradí. Také využívají
zranitelnosti webových serverů a DNS a rovněž útočí z důvěryhodných serverů.
Jak to dělají a jak proti tomu bojovat, popisují následující řádky.
Pharming
Jak to dělají: Hackeři zaútočí na DNS servery, aby přesměrovali návštěvníky
pravých serverů na ty falešné. Zprávy, které se objevily v lednu, popisují, že
úprava DNS záznamů byla použita k přesměrování uživatelů serverů Google a
Amazon na stránky lékařských firem. Řešení: Uzamkněte DNS servery a zajistěte
autentizaci webových serverů.
Spear phishing
Jak to dělají: Útočníci nahrají program pro záznam stisků kláves do počítače
oběti prostřednictvím náhledových panelů e-mailu, zpráv Instant Messagingu
(IM), pop-up oken či kompromitovaných webových serverů. Tyto programy jsou
aktivovány v případě, kdy jsou do prohlížeče napsána určitá klíčová slova.
Řešení: Přimějte zákazníky udržovat aktuální antispyware, firewally a
antivirové programy. Naučte je neklikat na pop-up okna a na odkazy ve zprávách
IM. Otestujte, zda nejsou webové aplikace zranitelné.
Google phishing
Jak to dělají: Podvodníci využívají internetové vyhledávače k přesměrování
návštěvníků na nelegální servery. Řešení: Přezkoumejte možné zneužití jména
firmy a nelegální servery nechte odpojit. Zaregistrujte si všechny podoby svého
doménového jména tak, aby je podvodníci nemohli využít.
Neefektivní spamové filtry
Jak to dělají: Útočníci používají netypické způsoby komunikace k proniknutí
filtry. Řešení: Sledujte nejnovější techniky používané rozesílateli spamů
obsahujících phishing. Nastavte podle toho své spamové filtry.
Falšování webové adresy
Jak to dělají: Útočníci využívají zranitelností prohlížečů a nově povolených
mezinárodních znaků. Řešení: Vytvořte webové aplikace, které podporují další
prohlížeče mimo Internet Exploreru (ten je nejvíce zranitelný). Přimějte
uživatele, aby aplikovali záplaty hned, jakmile jsou zveřejněna bezpečnostní
varování.
Wi-phishing
Jak to dělají: Získávání hesel a osobních informací "z éteru". Řešení:
Doporučte uživatelům, aby si ve svých domácích bezdrátových sítích zapnuli
šifrování a vypnuli Bluetooth, pokud právě nepoužívají mobilní telefon.
Zdroj: SurfControl, Websense, Anti-PhishingWorking Group, Digital Phishnet,
Symantec, Teros









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.