Jak se ubránit phishingu

Uživatelé jsou vystaveni nové formě ohrožení přicházející z internetu. Bývá označována jako phishing a jedná se...


Uživatelé jsou vystaveni nové formě ohrožení přicházející z internetu. Bývá
označována jako phishing a jedná se o tzv. krádež identity, která může způsobit
značné škody. A to nejen uživatelům samotným, ale také firmám, které jim
prostřednictvím této sítě poskytují své služby. Situace přitom začíná být na
pováženou a je nejvyšší čas hledat vhodné řešení, které zabrání potencionálním
škodám nepředstavitelných rozměrů.
25. června byli e-mailem, který se jevil jako zpráva z centra podpory
společnosti PayPal, osloveni uživatelé registrovaní jako členové využívající
tuto internetovou platební službu, aby aktualizovali informace na svých účtech,
aby se tak mohli chránit proti případným podvodům. Pokud tak neučiní do 15.
července, stálo ve zprávě, dojde k pozastavení tohoto účtu. Příjemcům, kteří
vzápětí klikli na odkaz vložený v e-mailu, se na monitoru následně objevila
důvěrně známá obrazovka pro přihlášení na stránky PayPal.
Zákazníci, již svědomitě vyplnili on-line formulář, který následoval a v němž
vyzradili svoji e-mailovou adresu a heslo pro přístup do systému PayPal, číslo
kreditní karty i dobu její platnosti, adresu pro fakturaci s telefonním číslem,
číslo účtu, kód pro výběr hotovosti z bankomatu, datum narození či rodné jméno
matky pak byli přivítáni obrazovkou s upozorněním, že probíhá aktualizace účtu.
Po několika sekundách pak byli přesměrováni na repliku běžné stránky PayPal.
Každý, komu není neznámý rychle se rozrůstající fenomén zvaný "phishing", už se
pochopitelně dovtípil, že ani onen e-mail, a už vůbec ne zmíněná webová stránka
neměly se službou PayPal nic společného. V tomto případě byla veškerá data na
cestě k podvodníkovi ze Soulu v Jižní Koreji. V tom tedy spočívá phishing:
on-line metoda krádeže identity využívající falešné e-maily, weby a dnes už
dokonce i zprávy programů pro instant messaging, pro jejíž využití je potřeba
jen minimální námahy i finančního zázemí. "Phishingem se dnes začínají zabývat
například i drogoví magnáti," tvrdí Avivah Litanová, ředitelka výzkumu ve
společnosti Gartner. "Jde o snazší a mnohem lukrativnější cestu, jak přijít k
penězům, než prodávat kokain."
V červnu tohoto roku napočítala skupina subjektů zabývajících se pod jménem
Anti-Phishing Working Group (APWG) tímto problémem celkem 1 422 útoků, což je
12krát více oproti počtu napadení, která byla provedena v prosinci 2003. Dosud
byly útoky cíleny většinou na zákazníky velkých bank, firem poskytujících
platební služby pomocí kreditních karet či on-line systémů, poskytovatelů
internetových služeb (ISP) nebo on-line maloobchodních prodejců. Ve zmíněném
měsíci byla samotná Citibank cílem 492 útoků, zatímco společnost eBay byla
předmětem 285 pokusů. PayPal byl postižen ve 42 případech během února, 63krát v
březnu, 135krát v dubnu, 149krát v květnu a 163krát během června.
Dalším cílem se však může v budoucnu stát kterákoliv firma a především se to
týká známých značek. Vládní agentury v USA (včetně IRS nebo FBI) byly vystaveny
pokusům útočníků (označovaným termínem phisher), kteří chtěli za účelem
snadného zisku zneužít vládní autoritu. V srpnu několik e-mailů žádalo o
příspěvky na prezidentskou kampaň Johna Kerryho.
Cílem některých podvodníků se stávají dokonce i interní data firem, jak
zjistili například manažeři ve společnosti Wyndham International, když e-maily,
jež se tvářily jako zprávy odeslané z IT oddělení tohoto hotelového řetězce,
požadovaly po zaměstnancích verifikaci jejich hesel. "Takové šprýmy či útoky
představují potencionální hrozbu pro každou firmu s velkou zákaznickou
základnou," varuje Ken Miller, viceprezident pro řízení rizik v PayPal. Dave
Jevans, předseda APWG, zase říká, že některé uživatele vyděsil phishing do té
míry, že už podle svého tvrzení nadále vůbec nechtějí využívat on-line
bankovnictví.
Specifické právní nástroje jsou sice postupně připravovány (příkladem může být
Anti-Phishing Act of 2004, návrh zákona předložený americkému senátu), avšak
jejich přijetí a uplatnění si ještě vyžádá nějakou dobu. Ačkoliv se na
horizontu začínají objevovat také technologická řešení, nebudou zřejmě k
dispozici dříve než za rok, možná se však neobjeví ani za dva nebo za tři roky.

Peníze i důvěra
Přijetím vhodných opatření však mohou bezpečnostní manažeři přesto zabránit
potencionálním milionovým ztrátám u svých zaměstnanců, zákazníků i firem.
Podívejme se tedy na aktuální situaci ohledně phishingu proč se jedná o tak
vážnou hrozbu pro celou oblast e-commerce a co dělají firmy, které jsou na
předních příčkách v seznamu ohrožených či napadených institucí, aby
minimalizovaly související rizika.
Zatímco ranné pokusy o phishing byly ještě poněkud nedokonalé, plné
pravopisných či gramatických chyb, které uživatele upozornily, že něco není v
pořádku, v posledních měsících jsou již dosti sofistikované a odkazují příjemce
na weby, které jsou velmi zdařilými kopiemi těch, které si berou za cíl svých
"šprýmů".
Díky falešným stavovým řádkům se zdá, že je daný web naprosto bezpečný, e-maily
nebo webové stránky přitom mohou obsahovat viry s nástroji pro sledování a
záznam úhozů do klávesnice za účelem zachycení hesel používaných pro on--line
bankovnictví. Věrohodně vyhlížející domény typu aolaccountupdate.com nebo
mycitibank.net jsou však registrovány samozvanými zloději, nikoliv společnostmi
America Online (AOL) či Citibank. Odkazy v e-mailech posílají zákazníky na
podvržené přihlašovací stránky, které obsahují logo poškozené firmy i grafiku
imitující její web. Útočníci využívající phishing někdy dokonce přesměrují
uživatele na skutečný web určité populární firmy, ale osobní data sbírají
prostřednictvím falešného pop-up okna, jež je následně pošle cizímu serveru
využívanému útočníkem.
"Zúčastnil jsem se setkání s oborovými experty, kterým trvalo několik minut,
než prostudovali e-mail od podvodníka, aby zjistili, že nejde o originální
web," upozorňuje John Curran, speciální agent úřadu Internet Crime Complaint
Center náležícího pod FBI. "Těžko lze tedy očekávat, že běžný uživatel
surfující doma v obývacím pokoji internetem nebo provádějící operace při
on-line bankovnictví bude podezřívavý vůči přesvědčivě vyhlížejícímu e-mailu."
Náklady, které firmám vznikají kvůli takovým útokům, mohou velmi rychle
narůstat. Organizace, které se stanou cílem podvodníků, jsou vystaveny
špičkovému vytížení call center zahlcených telefonáty zákazníků, kteří mají
podezření o důvěryhodnosti e-mailu nebo se jednoduše chtějí zeptat, k čemu
firma potřebuje data týkající se jejich účtu. Jevans z APWG se setkal s firmou
poskytující finanční služby, která když se stala obětí phishingu, byla zhruba
půl dne vystavena 70 tisícům telefonátů za hodinu. Navíc firma musí sama
varovat své zákazníky, ve spolupráci s ISP se postarat o rychlé zrušení webu
útočníka a následně se zabývat právními otázkami ve snaze dopadnout pachatele.
Pro uživatele, kteří sedli útočníkům na lep, je pak třeba zajistit resetování
jejich hesel a pomoci jim vyrovnat se s následky. Například ve společnosti
EarthLink, která bývá vystavena v průměru osmi útokům měsíčně, představují
náklady na jediný z nich více než 40 tisíc dolarů.
Pro finanční instituce jsou potenciální ztráty vyšší než pro ISP či další typy
firem, neboť v podstatě musejí nahradit i náklady jakéhokoliv souvisejícího
podvodu. Průzkum Litanové ukázal, že internetoví uživatelé, kteří na falešných
stránkách prozradili své osobní údaje se více než v polovině případů stali
obětí podvodu navazujícího na krádež identity. Odhaduje, že náklady bank a
společností vydávajících platební karty související s podvody založenými na
phishingu představovaly v loňském roce 1,2 miliardy dolarů. Přesné metriky pro
měření ztrát je nicméně těžké určit, neboť firmy nemají zájem, aby jejich
konkurence, potažmo zákazníci věděli, jakých rozměrů může tento problém nabýt.
Citibank, jedna z nejvíce postižených, dokonce ani nechce poskytovat přesnější
informace o protiopatřeních vůči phishingu.
Škody však přesahují skutečné finanční ztráty někteří z postižených zákazníků
jsou totiž natolik znepokojeni, že odmítají dále využívat služeb těchto firem.
"Je to otázka důvěry a značky," vysvětluje Tom Salmond, který řídí skupinu
E-Banking Fraud Liaison Group v rámci Association for Payment Clearing Services
(APACS), což je obchodní asociace britských finančních institucí.

Čekání na autentizaci
Litanová varuje, že phishing a podobné typy útoků by v příštím roce mohly
zpomalit růst e--commerce ve Spojených státech o 1-2 %. "Důsledkem je, že nikdo
již nemůže bezmezně důvěřovat internetové komunikaci," říká. "Veškeré výhody
e-commerce, tj. nižší náklady, vyšší příjmy či rychlejší realizace na míru
šitých marketingových kampaní, jsou pryč, pokud uživatelé nebudou věřit
e-mailovým zprávám."
Jedním z důvodů, proč jsou e--maily reprezentující phishing tak přesvědčivé,
je, že více než 95 % z nich obsahuje zfalšovanou adresu odesílatele v poli "Od"
("From"), takže zpráva vypadá, jako by skutečně pocházela od postižené firmy.
Pokud by byla e--mailová brána schopna ověřit, že zpráva, která má v poli
odesílatele uvedeno, že je zaslána například ze Citibank, skutečně pochází z
legitimního serveru této společnosti, e-maily z nedůvěryhodných adres by byly
automaticky označeny jako podvodné a vytříděny z běžné komunikace. Před
doručením zprávy by ISP mohl porovnat IP adresu serveru, který ji posílá, se
seznamem validních adres pro doménu odesílatele podobně jako vyhledává IP
adresu domény pro zaslání e-mailu. Litanová takovou technologii popisuje jako
ekvivalent technologie Caller ID používané jako obranu proti spamu.
Ačkoliv je tento koncept přímočarý, jeho implementace nebude nijak rychlá,
neboť přední hráči na poli internetu mají různé představy o tom, jak problém
řešit. Společnost Microsoft vyvinula systém pro verifikaci adres v reálném čase
zmíněný Caller ID, zatímco poskytovatelé EarthLink a AOL prosazují přístup
označovaný Sender Policy Framework (SPF). Společnost Yahoo přišla se třetím
standardem pojmenovaným DomainKeys. V květnu byly Caller ID a SPF sloučeny do
jednotného standardu Sender ID a o měsíc později se všechny zmíněné firmy
dohodly na vzájemném testování standardů. Taková úroveň spolupráce je sice
povzbuzující, nicméně zřejmě bude trvat nejméně rok (ovšem v horším případě to
může být i 5 až 7 let), než budou doladěny všechny detaily a bude možné
standard implementovat. Nasazení bude vyžadovat upgrady doménových serverů i
e-mailového softwaru či internetových prohlížečů.
"Jedinou nevýhodou je, že každý e-mailový server bude třeba upgradovat," říká
Jevans. "Jak dlouho to však může trvat?" Naštěstí však lze už dnes provést
některá opatření, která firmy před hrozbou phishingu pomohou ochránit. Zde je
tedy několik osvědčených praktik.

1. Pečujte o IP adresy
Někteří z výrobců již začali do svých produktů začleňovat zmíněný standard
Sender ID, takže by se firmy měly ujistit, zda jsou IP adresy jejich
e-mailových serverů odesílajících poštu směrem ven zaznamenány se jménem jejich
ISP nebo domény. Firmy už registrují jména svých domén a odpovídající IP
adresy, aby mohly přijímat elektronickou poštu. Shromáždění IP adres všech
serverů autorizovaných pro odesílání pošty jménem dané společnosti (včetně
těch, které jsou spravovány firmami zajišťujícími outsourcované služby) je
relativně jednoduchým krokem, který bude užitečný alespoň do té doby, než
útočníci přijdou na to, jak zfalšovat také příslušné IP adresy.
Další myšlenka vztahující se k adresám pochází z centra ISC (Internet Storm
Center, isc.sans.org): Mnohé phishingové weby svoji oběť poté, co o ní
shromáždí informace, přesměrují na přihlašovací stránku skutečného webu, který
útočník falšuje. Přezkoumáním logů s údaji o webovém provozu a vyhledáním
špiček v odkazování ze specifických, dříve neznámých IP adres na web firmy pak
budou bezpečnostní manažeři schopni zaostřit na útoky prováděné ve velkém
měřítku prostřednictvím phishingu.

2. Vzdělávání zákazníků
Lidé, kteří o hrozbě phishingu vědí, mají mnohem lepší šanci se této návnadě
ubránit. "Zatímco čekáte na potřebné technologie, je nejlepší obranou to, že se
váš zákazník o tomto riziku dozví, a je tedy nepravděpodobné, že se nechá
nachytat," říká Patricia Possová, zástupkyně úřadu pro ochranu spotřebitelů ve
Federal Trade Commission. "Potom si dvakrát rozmyslí, zda reagovat na jakýkoliv
e-mail nebo pop-up, který po něm chce osobní informace."
Proškolte proto své zaměstnance, jak rozpoznat podvrženou zprávu, varujte
zákazníky před tímto nebezpečím a upozorněte je, že po nich nikdy nebudete
chtít číslo účtu, heslo ani jiné osobní informace přes e-mail. Přesvědčete je,
aby se vyhnuli klikání na odkazy v e-mailu pokud s vámi budou chtít
komunikovat, je lepší vepsat URL vaší firmy přímo do řádku adresy v novém okně
prohlížeče.
PayPal své přihlašovací obrazovky periodicky přerušuje varováním před
phishingem. "Uživatelé musejí kliknout skrze varování, aby se dostali na hlavní
obrazovku," popisuje Miller. Security Center na webu firmy pak zahrnuje
bezpečnostního průvodce, tipy nakupujícím i prodávajícím pro ochranu před
podvody či odkaz na stránku, kde mohou uživatelé na falešné e-maily upozornit.
EarthLink, který je od dubna 2003 také terčem útoků, se rovněž zaměřuje na
větší povědomí zákazníků týkající se těchto problémů. Linda Becková, výkonná
viceprezidentka tohoto ISP, říká, že kromě vzdělávání uživatelů vyvinuli
nástrojovou lištu ScamBlocker, jež je volně dostupná pro kohokoliv. Její funkce
je založena na černé listině známých webů využívaných pro phishing při pokusu o
přístup k takovému webu dostane uživatel varování. (Používaný blacklist sdílí
EarthLink s firmou eBay, která využívá vlastní nástroj podobného typu.) Tyto
snahy se poskytovateli vyplácejí zatímco dříve obdržel okolo 40 tisíc
telefonátů při každém útoku, dnes tento počet poklesl na 10-12 tisíc. Náklady
způsobené těmito incidenty se tak snížily ze 115 na 40 tisíc dolarů.
Firmy dále mohou zákazníky upozornit na existenci volně dostupného rozšíření
prohlížeče s označením SpoofStick, které lze stáhnout z www.corestreet.com/
spoofstick. Tento nástroj uživatelům pomáhá detekovat zfalšované weby pomocí
identifikace jména domény každé navštívené stránky jestliže se dostanete na
nepravý web eBay, obdržíte upozornění typu "jste na 10.19.32.4" namísto "jste
na eBay.com".

3. Vhodná komunikace
Když se stal phishing denní realitou, musejí být organizace při e-mailové
komunikaci se zákazníky maximálně opatrné.
Všechny e-maily a webové stránky by například měly mít konzistentní vzhled a
styl, veškeré zprávy by měly zákazníka oslovovat nejprve křestním jménem a pak
příjmením, přičemž o osobní data není vhodné žádat prostřednictvím elektronické
pošty (v případě nutnosti by měly být časově omezené osobní informace v e-mailu
šifrovány).
Smysluplné je také přehodnotit, jaké operace mohou uživatelé na webu provádět.
Pokud třeba chtějí provést změny svých osobních dat, nemělo by být jediným
způsobem ověření jejich totožnosti pouze heslo. "Samotné heslo nelze považovat
za dostatečnou ochranu proti sofistikovanému útoku," říká Litanová. Vhodná je
silnější forma autentizace, firmy by však měly veškeré on-line transakce
potvrzovat prostřednictvím e-mailu a pokud možno ještě další zvolené metody
(například telefonátem), aby měl zákazník pod kontrolou veškeré on-line
aktivity na svém účtu.

4. Plán odezvy
Ještě než se stanete terčem útoku, je vhodné sestavit tým odborníků, kteří
budou připraveni v případě potřeby ihned reagovat. Do něj by měli být začleněni
pracovníci z různých oblastí z IT, interního auditu, komunikací, marketingu,
zákaznické služby atd. "Chcete-li čekat, až útok přijde, bude už nepochybně
pozdě," varuje Salmond. Je vhodné především naplánovat, jakým způsobem budou v
případě útoku informováni zákazníci. Nové formy zfalšovaných e-mailů by měly
být průběžně zveřejňovány na webu společnosti. Stejně tak je třeba myslet na
komunikaci s ISP.
Je známo, že útočníci spouštějí weby určené ke sběru odpovědí na své zfalšované
e-maily několik dnů předem je tedy vhodné provádět průběžné monitorování
výskytu takových stránek a v případě jejich objevení ihned zajistit jejich
zneškodnění. Tuto úlohu lze zpravidla outsourcovat poskytovatelům příslušných
služeb. Ti pro podobné účely využívají technologie typu crawler, které
procházejí web a hledají například neautorizované použití loga společnosti,
nově registrované domény obsahující její jméno apod. To vše může indikovat
chystaný útok. Někteří poskytovatelé jsou při nalezení takového webu schopni
provést protiútok formou DoS útoku, který příslušnému serveru znemožní
vykonávat původní funkci.

5. Obtížný cíl
Jestliže má phishing nějakou dobrou stránku, pak je to fakt, že některé z firem
konečně přinutí implementovat dvoufaktorovou autentizaci nebo jinou ze
silnějších forem identifikace uživatelů. Miller tvrdí, že PayPal se poohlíží po
lepších možnostech ochrany, jako je například využívání tokenů firmy RSA
Security, které by pro uživatele vytvářely nové heslo každých 60 sekund. Dále
pak zvažují nasazení biometrických metod, nejspíše v podobě hlasové autorizace.
Některé z evropských bank, konkrétně třeba skandinávská Nordea, už při on--line
bankovnictví či platbách využívají jednorázová hesla kombinovaná s heslem
definovaným uživatelem.
Klíčovým momentem ovšem bude přesvědčit zákazníky, aby takové nástroje
využívali. "Můžete jim nabídnout bezpočet různých možností identifikace," říká
Salmond. "Jestliže však následně postoupí heslo nebo číslo kreditní karty třetí
straně, přijde veškerá snaha vniveč. A jestliže se útočník dostane k účtům nebo
osobním datům uživatelů, případně zaměstnanců, bude v sázcee jméno vaší firmy
či značky.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.