Vše nejlepší k narozeninám, r(h)ybáři! Phishingoví útočníci slaví kulaté jubileum

Rok 2006 utkví v paměti navždy jako rok desátého výročí prvníhom phishingového útoku v historii.



Cílem vůbec prvního útočníka bylo v roce 1996 zjistit přihlašovací údaje jiného účastníka, jehož prostřednictvím by mohl v síti AOL získat vyšší limity pro stahování dat. Výraz "phishing" ale spatřil světlo světa až v březnu 1997, kdy jej použil jeden z oblíbených počítačových magazínů. Od té doby se ale mnohé změnilo.
V uplynulých deseti letech jsme byli svědky toho, jak začali útočníci k nalákání nic netušících obětí na speciálně upravené stránky stále více využívat e-mailový spam, IRC, různé komunikátory, webové bannery či dokonce diskuse. Co začalo jako žertík, vedoucí k ziskání cizích přihlašovacích údajů, přerostlo do podoby vysoce organizované činnosti - s využitím mnoha specializovaných nástrojů, s různými způsoby praní peněz, mezinárodními převody peněz, výrobou falešných kreditních karet i krádežemi identit.
V roce 2001, kdy se e-mail stal prakticky po celém světě nedílnou součástí firemní komunikace, začali útočníci rozesílat zprávy elektronické pošty, které ve svém HTML kódu obsahovaly odkazy na weby, jejichž adresa připomínala jiné, hojně navštěvované weby. Jejich cílem bylo získat od uživatelů údaje o jejich bankovním spojení apod. V průběhu let se stala e-mailová komunikace komplexnější a vyspělejší - současně se ale také zlepšovaly triky, jejichž prostřednictvím byli příjemci klamáni. Statistiky dokonce hovoří až o pětiprocentním úspěchu - z dvaceti příjemců podvodných e-mailů se vždy našel alespoň jeden, který určitou stránku navštívil a sdělil útočníkovi své citlivé údaje.
Přestože se zprávy o tomto typu útoků dostaly na titulní stránky časopisů teprve před několika lety, metody a nositelé, jež útočníci ke svým útokům využívají, doznaly výrazného zlepšení. Manipulace s DNS záznamy, jako je například změna IP adresy často navštěvovaných webů na straně hostitelů, které mohou útočníci z pozice ISP ovlivnit, vedly k zavedení nového výrazu ("pharming") a přesnějšímu vytipovávání nic netušících obětí. Úzce specializované typy útoků, známé jako "spear phishing", které využívají upravené trojské koně, snímače stisknutých kláves či různé distribuční seznamy (například přehledy uživatelů konkrétního internetového obchodu, přehledy zákazníků poskytovatelů připojení k internetu apod.), prakticky znemožnily tradičním systémům zabezpečení poskytovat efektivní proaktivní ochranu.
Nyní, deset let po prvním známém výskytu phishingového útoku, lze očekávat, že znalosti útočníků porostou i nadále. Tito lidé rádi využívají nejnovější elektronické komunikační protokoly, aby získali přihlašovací údaje uživatelů či jiné citlivé údaje.
Členové výzkumného a vývojového týmu X-Force techniky phishingu neustále monitorují. Na základě předchozích zkušeností je pravděpodobné, že se útočníci budou snažit využít stále větší oblibu technologie VoIP, a to jak v komerčním, tak v domácím prostředí. Anonymita, kterou technologie VoIP nabízí, k takovým útokům přímo vybízí. Bude zajímavé sledovat, jak bude tento nositel nových typů útoků nazván médii - vždyť jména všech předchozích nositelů využívala písmena "ph-". Máme se tedy obávat "phittingu" (phishingu v prostředí VOIP), "phreakingu" či něčeho zcela jiného?

Katarína Orság pracuje jako regionální manažerka společnosti Internet Security Systems pro východní Evropu 06s0046/jp o

Tři kroky k ochraně proti phishingu

Zavedení technologie
Mnoho podvodníků se otrkává ve spamovém průmyslu, což je důvod, proč se i při útocích vedených metodou phishingu setkáváme s podobnými vzorci a charakteristikami jako u spamu. Hackeři například při přechodu na phishing často využívají stejné servery, software a kompoziční profil zpráv. Tyto charakteristiky zahrnují "otisky prstů" daného hackera a mohou pomoci identifikovat škodlivé zprávy bez nutnosti prověřovat jejich obsah. Mnoho technologií napomáhá v boji s tímto problémem, nejefektivněji však pracují ty, které také kontrolují, zda příchozí zprávy neobsahují známé URL spojené s phishingem a srovnávají podpisy e-mailů se známými phishingovými e-maily. Další slibnou techniku představuje ověřování poštovních serverů, při němž software využívá možnosti DNS k ověření IP adresy poštovního serveru odesílatele. Účinnost této metody však dosud nebyla prokázána.

Poučte zaměstnance
Samotná technologie zdaleka nestačí. Vyškolte své zaměstnance, aby byli vůči podezřelým požadavkům opatrnější. Většina solidních společností - a solidní společnosti jsou ty, jejichž značky jsou zneužívány nejčastěji - by nikdy nerozesílala e-maily s požadavkem na zadání osobních údajů, jako jsou osobní identifikační čísla, hesla nebo uživatelská jména. Ačkoliv jsou hackeři stále šikovnější, nemohou způsobit žádné škody, pokud příjemce podvodnému požadavku nevyhoví. Vydejte proto obecný
pokyn, aby zaměstnanci za žádných okolností nepodnikali žádné kroky v souvislosti s nevyžádanými e-maily a také je upozorněte vždy, když se vyskytne konkrétní hrozba. Pravidelně kontrolujte obsah webových stránek Anti-Phishing Working Group (www.antiphishing.org), kde naleznete varování před konkrétními hrozbami.

Nahlaste zločince
Federální obchodní komise (Federal Trade Commission) vyzývá příjemce phishingových e-mailů k přeposlání podezřelých zpráv na adresu uce@ftc.gov. Můžete také podat stížnost na Centrum pro řešení stížností na internetové podvody u FBI na stránce www.ifccfbi.gov. Pamatujte však vždy na to, že je třeba poskytnout plné záhlaví e-mailu nebo plnou HTML adresu. Pokud tyto údaje nepřipojíte, budou pracovníci snažící se pachatele vystopovat bezmocní. Pouhé zkopírování a vložení textu e-mailu a adresy odesílatele k ničemu nebude.

Deset let phishingu

1996 - První užití výrazu "phishing" v souvislosti s krádeží přihlašovacích údajů.
1997 - První varování médií o hrozbě jménem "phishing".
1998 - Útočníci začínají využívat k nalákání obětí diskusní skupiny.
2000 - První případy využití snímače stisknutých kláves k získání přihlašovacích údajů.
2000 - Využívání hromadných e-mailů k šíření podvodných e-mailů.
2001 - První případy využití klamavých URL adres k lákání obětí.
2002 - První případy využití komunikátorů a IRC k lákání obětí.
2002 - Rozvoj podvodných webů.
2003 - První případy využití snímače obrazovky v reakci na uvedení ochrany před snímači stisknutých kláves.
2003 - Konkrétní případy phishingu dorazily na titulní stránky novin a časopisů.
2004 - První případy využití falešných bannerů k lákání obětí.
2004 - První případy využívání chyb programů k instalaci škodlivého softwaru.
2004 - Rozvoj "pharmingu".
2005 - První užití výrazu "spear phishing".
2005 - Napodobování vzhledu "důvěryhodných" webů.
2006 - První případ phishingu v prostředí VoIP.










Komentáře