Nebezpečí jménem phishing

Psal se konec roku 2004, blížila se doba vánoční. Na internetu se objevily statisíce e-mailů s nabídkou velmi levného nákupu příběhů čarodějnického mistra Harry Pottera. (Pomineme v tuto chvíli, že šlo o nevyžádanou elektronickou poštu - spam.) Mnoho lidí na celém světě se touto lákavou nabídkou dalo svést a vyplnilo objednávkový formulář. Nikdy ale žádnou knihu nedostali. Právě se totiž stali obětí PHISHINGU.Phishing je zkomolenina z anglického fishing, což by se dalo přeložit jako "rybaření". To je ale velmi zjednodušené. Ne že by nebylo pravdivé, je však zjednodušené, takže si vyžaduje bližší vysvětlení.
Výraz phishing se poprvé veřejně objevil ve slavné hackerské diskusi alt.2600. Kalendář ukazoval leden 1996, ale je velmi pravděpodobné, že výraz vznikl dříve a dříve byl i používán - jen se nedochoval ve veřejné podobě. Výraz se tehdy uváděl v souvislosti se zneužíváním e-mailových účtů AOL (America On-Line). Hackeři totiž každý uživatelský účet, k němuž získali nelegální cestou přístup, označovali jako rybu - fish (tedy v přeneseném slovy smyslu "úlovek").
A v internetové angličtině se "ph" často používá jako oblíbená náhražka "f". Tak vzniklo slovo "phish" a následně i sloveso "phishing" označující nelegální/neetické získávání informací. Co je zajímavé: od roku 1997 byl každý účet s přídavkem "phish" považován v hackerské komunitě za jakési "platidlo". Kdo chtěl nějaké know-how nebo specializovaný software či další znalosti, mohl jejich majiteli nabídnout v závislosti na hodnotě příslušné komodity odpovídající počet "ryb".
Z původního napadání AOL účtů se ale phishing rozrostl do výrazně větší a nebezpečnější podoby. Přitom už se netýká pouze informačních technologií, ale i tzv. běžného světa. Přes svůj poměrně nevinně vypadající název se nicméně za phishingem neskrývá nic jiného než prachobyčejný podvod.

Příklad phishingu
Jak phishing funguje si můžeme nejlépe ukázat třeba na následujícím příkladu.
Vážení přátelé!

Děkujeme za Vaši dlouholetou důvěru v nákupy prostřednictvím našeho internetového obchodu. Jako výraz naší vděčnosti přijměte prosím dárkový certifikát v hodnotě [takové a makové], který budete moci použít při nákupu nad 1 000 Kč počínaje příštím týdnem. Je ale nutné, abyste certifikát "aktivovali" vyplněním Vašich platných údajů - jinak nárok na slevu nevzniká.
S pozdravem zůstává a hodně úspěchů atd...

Mnoho z nás by se asi nad podobnou zprávou příliš nepozastavovalo. Různé více či méně žádoucí komerční e-maily zaplavují dnes a denně naši elektronickou poštovní schránku, a tak nás několik dalších nepřekvapí. Naopak podobná nabídka dárkového certifikátu nás může i oslovit, zvláště nakupujeme-li v inkriminovaném obchodě častěji.
Nebo je pravda někde úplně jinde? Dost možná, že jste se právě stali cílem phishingového útoku (a pokud vyplníte přiložený formulář, tak i jeho obětí), kdy se neznámá osoba pokouší pomocí podvržené atraktivní nabídky dostat k vašim osobním údajům, s nimiž by pak mohla dále pracovat.
A v tom je právě nebezpečí phishingu: na první pohled nemusí být vůbec patrné, že jde o útok. Obratným využíváním psychologických a technických prostředků se útočník prostě dostane k citlivým informacím cestou nejmenšího odporu. Místo toho, aby je někde pracně doloval, si o ně prostě řekne.
Výše uvedený ukázkový e-mail samozřejmě není jedinou podobou phishingu, těch může být celá řada. Třeba může jít o "zprávu" z banky, že je potřeba po nějaké době z "bezpečnostních" důvodů obnovit údaje o mé osobě. Nebo jde o varování, že v internetovém platebním systému vyprší platnost vašeho účtu a prostředky na něm uložené propadnou. Pokud ovšem nevyplníte příslušný formulář. Někdy jde o e-mail, že jste si objednali určitý výrobek či službu a pokud o něj/o ni nemáte zájem, můžete objednávku uvedeným způsobem stornovat.
Zkrátka a dobře, phishing s oblibou využívá metod sociálního inženýrství. Tedy metod, jejichž cílem je vzbudit nějakým způsobem dojem, že situace je jiná než ve skutečnosti. Jinými slovy: člověk nepozná, že komunikuje s podvodníkem, ale na základě některých uměle vytvořených indicií se domnívá, že komunikuje s někým úplně jiným (důvěryhodným).
Sociální inženýrství je pak bohatě doplněno ještě dalšími prvky zvyšujícími důvěryhodnost - třeba falšovanou e-mailovou adresou, napodobenou grafikou, znalostí terminologie nebo slangu atp.
Phisheři využívají různých způsobů komunikace, a to nejlépe takových, které jsou z hlediska bezpečnostních prvků na počítači či v lokální síti korektní, jsou z hlediska uživatele na první pohled transparentní (ve skutečnosti tomu tak není) a které jsou obtížně sledovatelné.
V prvé řadě to znamená, že se k e-mailu přiloží formulář: jeho vyplnění a následné stisknutí tlačítka "odeslat" nabízí uživateli pohodlí a útočníkovi umožňuje formulář připravit k obrazu svému, včetně "důvěryhodných" grafických prvků (o nichž ovšem uživatel vůbec neví, odkud se ve skutečnosti stahují apod.). Další možností je vyplnění formuláře na www stránkách umístěných ve velmi podobné doméně, jako je doména zájmu útočníka (např. místo www.banka-lidova.cz si zaregistruje doménu www.banka-
-1idova.cz, přičemž záměny písmena "l" za číslici "1" si všimne jen opravdu pozorný uživatel). Velmi jednoduchým způsobem je také formulář na nějaké free stránce a odeslání žádosti o jeho vyplnění. V takovém případě stačí poslat jen odkaz a nějaký důvěryhodný příběh ("bohužel nám momentálně nefunguje počítačová síť" nebo "tuto akci pro nás zajišťuje externí firma" apod.). Fantazie a možnosti phisherů jsou prakticky neomezené.
Upozorňujeme, že antivirové programy si s phishingem zpravidla neporadí, a to z několika důvodů. Phishing má nejčastěji podobu e-mailové zprávy, která však neobsahuje žádný škodlivý kód. A filtrovat textový e-mail je snad úkolem antispamových filtrů, ale rozhodně nikoliv antivirové ochrany. Dále phishing z hlediska antivirového programu má ještě další omezení, že se (na rozdíl od virů, červů a podobných škodlivých kódů) nešíří světem. Jednou je odeslaný a hotovo. Z napadených počítačů zkrátka neputuje dále, takže nelze vytvořit přesně definované detekční řetězce.

Kdo je obětí phishingu?
Oběti můžeme dělit do dvou kategorií. Jednak jsou to lidé, kteří se stanou cílem phishingu a jsou jím přímo postiženi. Pak jsou to instituce, u nichž poškození měli účet, s nimiž spolupracovali apod. Ty jsou také obětí - a to hned několikanásobnou. Díky phishingu musí investovat nemalé prostředky a zdroje do různých reklamací a šetření, klesá jejich důvěryhodnost (ač jsou v celé věci zpravidla nevinně) a v konečném důsledku klesá důvěryhodnost celého internetového prostředí. Je pochopitelné, že taková situace není nikomu příliš po chuti.
U nás zatím phishing není příliš rozšířený. Důvodů je několik. Především jsou zatím na světě větší a ekonomicky silnější oblasti - nekorunovaným králem jsou v dotyčném případě Spojené státy. Čili pokud budeme uvažovat jako phisher, samozřejmě se zaměříme na zajímavější oblast.
Na toto pak navazuje jazyková bariéra: čeština (i slovenština) je dosti specifický jazyk, phisheři zatím raději využívají jazyky univerzálnější (angličtina, španělština, francouzština apod.). Je to dáno třeba i náklady na "lokalizaci". A oblafnout česko-slovenského uživatele anglicky psanou zprávu od renomovaného domácího bankovního domu bude jistě obtížné.
Náš trh je navíc malý - vystopovat phishera (mj. i díky pověstně pomalým mezibankovním převodům) by nebylo při troše dobré vůle nikterak obtížné. Otázkou je, zda by dobrá vůle existovala, ale na druhé straně je pochopitelné, že dokud jsou jiné možnosti, nikdo to pokoušet nebude. Ani phisher nemá důvod jít do většího než nezbytně nutného rizika, protože jinak by o své pracně odcizené prostředky mohl přijít a navíc se dočkat i dalších nepříjemných postihů (omezená svoboda pohybu na několik let nepodmíněně apod.).
Dalším problémem je, že phisheři zatím často útočí "naslepo". Prostě odešlou sto tisíc (milión, deset miliónů apod.) e-mailů a doufají, že mezi příjemci bude dostatek osob, které jsou klienty určité organizace. Takže je celkem jednoduché si uvědomit, že i z tohoto důvodu je malý český trh zatím nezajímavý. I při rozeslání deseti miliónů e-mailů po celém světě - kolik asi bude mezi jejich příjemci zákazníků největších českých bank? Nicméně tento problém brzy díky cílenému oslovování zmizí - viz dále.
A kromě výše uvedeného je zapotřebí zdůraznit, že phisheři nemají žádný důvod opouštět svá stávající teritoria, kde jim stále ještě plynou velmi tučné zisky a kde stále ještě (!) neexistuje dostatečné právní prostředí pro jejich účinný postih.
Nicméně nemá smysl usnout na vavřínech. Všechny výše uvedené bariéry totiž postupně padnou - je to jen otázka času. A i kdyby nepadly, opět je jen otázka času, kdy se některý z lokálních podvodníků rozhodne vyzkoušet v zahraničí tolikrát prověřenou metodu a pokusí se o phishing v domácích podmínkách.
"Světový trh" sice ještě značný prostor pro phishing poskytuje, ale začíná zde být patrný posun svědčící o jeho nasycenosti. Je to jednak rostoucí povědomí uživatelů o phishingu, pro něž se tyto útoky staly běžnou součástí života, takže se je naučili vnímat a rozlišovat. Kdybychom chtěli být hodně ironičtí, tak můžeme říci, že "západní konzument začal vyžadovat velmi sofistikované phishingové útoky, protože běžné způsoby oslovení už mu zevšedněly".
Dále je patrný trend ústupu phisherů od velkých firem k menším institucím. Jednak velké firmy mohou do boje proti phishingu a do následných právních, technických apod. kroků uvolnit značné prostředky. A jednak právě velké firmy začínají přijímat (protože si to mohou dovolit a nehrozí jim ekonomická nestabilita či výrazný odliv klientů) metody autentizace, které jsou výrazně složitější než běžné "jméno a heslo". Takže se pro phishery stávají zbytečně tvrdým oříškem.
Ostatně studie ukazují, že do konce roku 2005 bude prakticky každý obor zasažený phishingem. Proč? Útočníci se totiž budou soustřeďovat na tzv. měkké cíle - nikoliv na čím dál lépe chráněné bankovní účty, ale třeba na osobní účty u malých internetových obchodů, nefinančních organizací apod.
Příkladem budiž třeba služba Amazon "One Click", která se stala v poslední době oblíbeným cílem phisherů. Přímým zneužitím této služby nemůže dojít k žádným škodám, neboť díky dalším autentizačním prvkům nemůže phisher na Amazonu nakupovat. Cíl útoku je ale jiný: tím, že získá přístup k účtu této služby, získá zároveň přístup k osobním datům uživatele! Primárním cílem bylo umožnit uživateli snadnou změnu svých osobních údajů. Phisher tato data právě díky pokročilým kontrolním mechanismům nemůže měnit, ale na druhé straně je může obratně využít na nějakém jiném místě. Informace o kreditní kartě (sériové číslo, expirace, jméno majitele aj.) se mohou vždy hodit...
Často kladenou otázkou je, zda se phishing vyplatí. Námitky mohou být různé - od inteligence uživatelů (zpravidla jde o námitku těch, kteří se sami s phishingem v životě nesetkali, takže jejich komentáře jsou opravdu zasvěcené), přes technickou obtížnost jeho provedení ve velkém měřítku apod. Jednotlivé argumenty nemá smysl dlouze rozebírat a vyvracet. Faktem totiž je, že se phishing vyplatí, a to bohatě. Desetimiliónové škody (zpravidla v dolarech) jsou nejlepším důkazem.
Statisticky je kromě toho prokázáno, že na phishing zareaguje plných pět procent oslovených osob! Na běžný spam se přitom objeví jen jedna reakce na cca dva milióny odeslaných e-mailů. A právě spam dokazuje, jak snadné je milióny zpráv elektronické pošty rozeslat. Ostatně současný světový denní provoz činí kolem sedmdesáti miliard zpráv - z čehož ovšem zhruba tři čtvrtiny připadají právě na spam.
Na internetu se přitom zcela běžně dají koupit tříděné databáze e-mailových adres. Samozřejmě, že zpráva odeslaná jen klientům jed-né konkrétní instituce výrazně zvyšuje pravděpodobnost úspěchu, než zpráva poslaná naslepo velkému počtu osob s nadějí, že je mezi nimi zajímavé procento klientů právě této instituce.


Čím je phishing nebezpečný?
Phishing je nebezpečný v několika rovinách. Některá nebezpečí jsme si naznačili už v pasáži věnované obětem této činnosti. Nicméně skutečné nebezpečí je mnohem širší.
Musíme si totiž uvědomit, co je cílem phishingu. Tedy jaké informace a proč se je útočníci snaží získat. V případě přihlašovacích jmen a hesel k bankovním účtům nebo k internetovým obchodům je to pochopitelné a snadno představitelné.
Velkým nebezpečím je ale třeba to, že si člověk vůbec nemusí uvědomit, že se stal cílem útoku. Vyplnil jen formulář, jehož vyplnění po něm bylo požadováno - no a? To je rozdíl mezi reálným světem: ztrátu či krádež klíčů, dokladů nebo kreditní karty zpravidla odhalíme rychle. Phisher ale získává čas zmapovat si terén a rozhodnout se pro co nejefektivnější využití získaných informací. Navíc si může sám vybrat i čas provedení útoku - třeba v pátek večer, když přes víkend jsou v bankách jen omezené možnosti zablokování karet apod. Díky tomu vznikají mnohem větší škody než v případě klasických kriminálních činů.
Útočníci jsou si také dobře vědomi skutečnosti, že jejich vystopování je krajně obtížné - pokud budou jen trochu obezřetní. V případě phishingu platí na sto procent cimrmanovské heslo "co je to za eso, když se dá chytit". Stačí jen umístit své servery za hranice země, v níž sídlí oběti, a phisher má napůl vyhráno. Bohužel překotný rozvoj informačních a komunikačních technologií lidem s nečestnými úmysly značně nahrává. Zatímco naše klasické právo se zastavuje na hraničních přechodech (které jsou sice čím dále tím více symbolické, ale pro právo stále více neprůchodné), zločinci žádné hranice z principu neznají.
A nejde jen o právo a jeho vymahatelnost. Jde také o technickou stránku zajišťování a získávání důkazů. Zjistit informace o majiteli, provozovateli či poskytovateli obsahu počítačového serveru umístěného fyzicky někde na Dálném Východě, v Malajsii, v Keni (můžete si sami dosadit desítky dalších neméně exotických lokalit) je pro kriminalistu v našich podmínkách opravdu noční můrou. Proto je mnoho případů odloženo - zatímco pro jednotlivce je ztráta částky ve výši tisíců či desítek tisíců korun velmi citelná, pro příslušné orgány není ani v nejmenším důvodem vést složité vyšetřování s velmi nejasným výsledkem, jehož náklady ostatně mnohonásobně překročí částku, o níž na počátku jde.
Výsledkem této skutečnosti je poněkud absurdní situace, kdy se spor o odpovědnost vede mezi oběma poškozenými subjekty. Tedy mezi poškozeným uživatelem a mezi poškozenou institucí. Inu, když není možné najít pachatele, tak se samozřejmě hledá někdo jiný, na kom by bylo možné se hojit. Zatímco uživatelé argumentují tím, že instituce jejich účty apod. dostatečně nezabezpečily, postižené instituce se brání tím, že k úniku informací nedošlo na jejich straně a že se tak stalo chybou právě uživatele.
Objektivně musíme dodat, že pravdu mají obě strany. Uživatel udělal jednoznačně chybu tím, že "skočil na lep" phishingu. Na druhé straně by ale měly existovat takové mechanismy, které by podobným poměrně primitivním útokům zabránily (použití složitějších mechanismů než jméno/heslo). Do toho se ale institucím příliš nechce, protože by tím mohly odradit spoustu zákazníků, kteří by následně třeba přešli ke konkurenci. K zodpovědnosti se tak ani jedna strana (často zastupovaná právníky, kteří o smír vůbec nestojí) jaksi nehlásí.
Mnoho uživatelů dále dělá nešťastnou chybu, že se neobtěžuje vymýšlením a pamatováním si většího počtu přihlašovacích jmen a hesel, ale do různých aplikací používají tytéž identifikační údaje. Této lidské vlastnosti jsou si phisheři velmi dobře vědomi, a tak byly zaznamenány případy, kdy došlo k prozrazení určitých údajů a vzápětí i k pokusům (mnohdy úspěšným) o jejich použití i na dalších místech.
Je zapotřebí si také uvědomit, že škody vzniklé phishingem nemusí mít pouze podobu přímých krádeží či zpronevěr, ale že může docházet i k dalším a mnohdy i závažnějším skutkům. Příkladem budiž odcizení identity - získání osobních údajů může velmi jednoduše posloužit k tomu, aby se útočník v kybernetickém prostoru vydával za někoho jiného, za reálně existující osobu s reálnou historií a reálnými doklady.
Feonomén "identity theft" (odcizení iden-
tity) začíná být v současném kybernetizovaném světě opravdovým problémem. Problematika je natolik závažná, že jsme jí věnovali rozsáhlý materiálu v minulém čísle PC WORLD Security.
Nepřímou škodou je podkopávání důvěry v elektronický svět obecně a odmítání on-line nákupů i dalších služeb stále větším množstvím osob. Na phishing tak nepřímo doplácejí i slušné obchody (a to i takové, které se ani nestaly přímou obětí útoku), jimž může způsobit nezaviněný odchod klientů.


Ochrana a obrana
Stejně jako v případě jakýchkoliv jiných bezpečnostních incidentů platí i v případě phishingu, že nejlepší problém je takový, který vůbec nevznikne. Proto je důležité věnovat se prevenci.
Prevence však není vůbec jednoduchá a velmi špatně se ošetřuje technickými prostředky. Její jádro tedy spočívá v opatrnosti a ověřování. Jak už bylo uvedeno výše, antivirový program není schopen před phishingovými útoky chránit. Na druhé straně se ale v poslední době začínají objevovat ochranné programy (kombinace antivirové ochrany, firewallu a dalších bezpečnostních prvků), které v sobě mají implementované antiphishingové technologie. Třeba tak, že na bázi firewallu monitorují odesílané informace a upozorňují uživatele na možná nebezpečí v případě, že se pokusí třeba i regulérně odeslat své citlivé údaje. Zkrátka, dvakrát měř...
Phishing má dvě základní fáze: získávání informací a nakládání s nimi. Proto je vhodné rozdělit i ochranu, abychom měli dvě bariéry - když už se útočník dostane k určitým informacím, aby s nimi byl schopen způsobit co nejmenší škody. Toto je zapotřebí si uvědomit. Proti phishingu doporučujeme následující kroky:
n Používejte různá přihlašovací jména a hesla do různých aplikací. V případě, že se k nim útočník dostane, použije je maximálně na jednom místě, ale u dalších aplikací mu budou k ničemu. V opačném případě (jedno jméno a heslo) se může dostat do netušených míst. Navíc se doporučuje hesla a jména často měnit.
n Svá přihlašovací jména a hesla nikomu nesdělujte, nikdo nemá právo je vyžadovat. Podívejte se třeba na přísné podmínky sdělování PIN při vydávání nové bankovní karty - a najednou by po vás někdo chtěl tento PIN jen z důvodu nějakého "ověření"?
n Nesdělujte své osobní údaje pod žádnými záminkami! Žádné statistické průzkumy, žádné "doplňující informace". Pozor i na sugestivní dotazy typu "máme problém s počítači - je vaše heslo 1234?" - "ne, moje heslo je 4321".
n Pozor na nabídky ZDARMA! Pokud je něco zdarma, je to doopravdy zdarma, bez nutnosti službu či zboží nějak kompenzovat. Byť třeba "jen" vyplněním nějakého formuláře či dotazníku. V takém případě jsou platidlem osobní údaje a nikoliv peníze. A nepočítejte s tím, že některé údaje jsou "neškodné" a že je prozradit můžete. Phishery těžko přechytračíte - umí číst i mezi řádky nebo si dokáží spojit informace, o nichž se vám ani nesnilo.
n Věnujte určité úsilí ověřování a kontrole. Přišel vám nějaký požadavek (lhostejno zda obvyklý nebo neobvyklý)? Ověřte si, zda jej odesílatel opravdu odeslal. Má právo tyto informace vyžadovat? Možná sice nepomůžete sobě, ale tím, že nebudete lhostejní, pomůžete druhým. A pomůžete vytvořit bezpečnější internet.
n Snažte se používat zabezpečenou komunikaci (SSL protokol apod.). Ale pozor - ani ikonka se zámečkem v liště Internet Exploreru nemusí znamenat důvěryhodnost. Znamená totiž jen bezpečnou komunikaci, ale nikoliv ověření totožnosti příslušného serveru. Bezpečnou komunikaci je totiž možné navázat i s nedůvěryhodnou stranou nebo se stranou, která má problém s certifikáty.
n Pozor na nestandardní formy komunikace. Proč jindy tak opatrná banka najednou chce vyplnit osobní údaje do dotazníku připojeného k tomu nejméně bezpečnému médiu, jakým je e-mail?
n Rozhodně nevyplňujte formuláře obsažené v e-mailech nebo takové, na něž z e-mailu vede odkaz!
n Pravidelně kontrolujte svůj bankovní účet a podobné elektronické prvky. Jednou měsíčně (přišla už výplata?) nestačí - čím dříve odhalíte případné problémy, tím méně bolestivé bývají jejich následky.
Někdy je ale z pochopitelných důvodů nutné citlivé údaje prostřednictvím internetu předávat. V takovém případě je nutné ověřovat v e-mailu popsané skutečnosti - třeba právě absence jakýchkoliv kontaktních údajů a žádost o nezasílání odpovědi na e-mail bývá velkým varováním. Jsou to snad znaky solidního jednání zavedené bankovní instituce?
Uživatelé počítačů jsou stále zkušenější, takže i phisheři hledají nové techniky útoku. Typickým příkladem může být třeba výše zmíněný pharming. Ochranou před ním je důkladné zabezpečení počítače, aby do něj nepronikl žádný škodlivý kód schopný "otrávit" DNS záznamy. Tedy používat antivirový program, antispywarovou ochranu, personální firewall, pravidelně záplatovat systém i jednotlivé aplikace, nenavštěvovat pochybné www stránky apod.
Už jsme uvedli, že odpovědnost za problém phishingu by měly převzít (a podotýkáme, že přebírají) také komerční instituce. Nedělat nic totiž znamená akceptovat podvody. Hlavně velké americké banky už začínají povinně přecházet na silnější ověřování totožnosti než jen pomocí jména a hesla. Stejně tak všechny významné instituce zveřejňují vyhrazené e-mailové adresy, kde je možné ověřovat některé požadavky nebo hlásit podezření na phishing.
Šlo by ale udělat i více: zavést tvrdší pravidla i zákony, a to na nadnárodní úrovni. Je smutné, že většina phisherů operuje v USA a v této zemi mají i své servery. Je zkrátka vidět, že se nebojí. Pomohlo by též zavedení přísnější registrace internetových domén (zvláště pro případné registrace podobných doménových jmen s již existujícími stránkami). To sice nejspíše spustí vlnu protestů svobodomyslných jedinců na internetu, ale na druhé straně přinese v tomto světě větší bezpečí. Správně nastavené podmínky slušné uživatele nikterak nepostihnou, podvodníkům minimálně zkomplikují život. Nicméně na druhé straně uznáváme, že nalézt onu tenkou hranici mezi svobodou a bezpečím je velmi obtížné.
Phishing je bez diskuse velkým problémem současného světa. Svědčí o tom i fakt, že softwarový gigant Microsoft hodlá na současnou situaci reagovat a do připravovaného operačního systému s pracovním názvem Longhorn chce implementovat celou řadu antiphishingových technologií. 05s0021/jp o

Sociální inženýrství obvykle využívá tyt nátlakové metody:
n Limit - člověk s chladnou hlavou samozřejmě reaguje jinak, než osoba pod tlakem. Proto se v sociálním inženýrství (a tedy i v phishingu) často používá alespoň náznak nátlaku (akce je omezena, k dotyčnému úkonu dojde za X hodin apod.).
n Nebezpečí - cíl je podobný jako v případě výše uvedeného limitu. Vyvolat stres, připravit člověka o možnost reakce - to je úkolem uměle vytvořeného nebezpečí (hrozí finanční ztráta, útok viru apod.).
n Vydává se za někoho známého (respektive za něco známé) - samozřejmě, že komunikaci se subjektem blízkým či se subjektem s vyšší autoritou přikládá člověk větší důraz. Nesoustředí se pak na okolnosti, ale na vlastní obsah a rychlost splnění. Je logické, že zprávě od osoby velmi blízké nebo od administrátora sítě budete věnovat větší pozornost než e-mailu od někoho naprosto neznámého.
n Očekávaná činnost - jedním z nejnebezpečnějších způsobů nátlaku je využít ke komunikaci něco, co očekáváme. Třeba před koncem roku posílat podvržená vánoční přání nebo v polovině února valentýnské gratulace. I v takovém případě samozřejmě ostražitost uživatele výrazně klesá.
n Důvěryhodná činnost - přijde-
-li uživateli zpráva s prosbou o ověření nějakých údajů či jejich potvrzení a je od jeho banky či jiného spolupracujícího subjektu, vypadá samozřejmě důvěryhodně (např. jak jinak by někdo mohl vědět, že mám tam a tam účet?). V praxi se ale rozesílá velké množství phishingových e-mailů, takže je logické, že se některé "strefí".
n Lákavá činnost - tzv. lechtivý obsah nebo obsah slibující nějakou zajímavou výhodu (něco zdarma nebo alespoň s výraznou slevou) člověka zpravidla zaujme natolik, že další okolnosti příliš nevnímá a soustředí se na to, aby mu nabízená věc neunikla.

Miliónový phisher zadrženr

Brazilská policie zaznamenala v boji s fenoménem jménem "phishing" velký úspěch v březnu 2005, kdy se jí podařilo na základě dlouhodobého sledování zadržet jistého Valdira Paula de Almeidu. Ten stál v čele (nejméně) osmnáctičlenného týmu organizátorů, programátorů, techniků a dalších pomocníků, kteří byli schopni denně odeslat tři milióny phishingových e-mailů. Způsobená škoda je odhadována na 17 až 50 miliónů dolarů. Phishing je v Brazílii přes velkou snahu represivních složek o jeho potlačení velkým problémem: třeba jen v říjnu loňského roku bylo v souvislosti s touto aktivitou zadrženo přes pět desítek osob.

117 žalob proti podvrženým www stránkám

Největší světový producent softwaru, společnost Microsoft, podala v rámci boje s phishingem sérii celkem 117 žalob proti různým subjektům. Cílem zájmu Microsroftu se staly www stránky, které věrně napodobovaly jeho vlastní webové prezentace. Protože ani v USA nejsou k dispozici efektivní zákony proti phishingu, žaloby byly formulovány jako porušení ochranných známek. Existují sice zákony tvrdě
stíhající odcizování identity, ale to se v podobných případech velmi špatně prokazuje. Nicméně pokud už existuje důvod zahájit vyšetřování, tak se
samozřejmě často "náhodou" přijde také na nejrůznější podvody s identitou.

Anti-Phishing Working Groupr

V rámci boje proti phishingu byla založena organizace Anti-Phishing Working Group, jejíž www stránky je možné najít na adrese www.antiphishing.org. Organizace má v současné době přes 1 200 členů a sdružuje například osm z deseti největších amerických bankovních domů, čtyři z pěti největších poskytovatelů připojení k internetu apod. Cílem Anti-Phishing Working Group je potírání phishingu všemi možnými způsoby: osvětou, zaváděním softwarových prostředků, shromažďováním informací o phishingu, spoluprací s FBI na vyšetřování těchto nelegálních aktivit apod.


Techniky a technologie phishingu

Některé phishery běžně používané triky jsme již naznačili v části "Příklad phishingu". Nyní se podívejme i na další "zbraně", kterými disponují a jimiž se snaží dosáhnout cíle.
Jak už bylo uvedeno výše, základním předpokladem úspěšného phishingu je vypadat důvěryhodně - podvodník bude z pochopitelných důvodů úspěšný jen v případě, že nebude vypadat jako podvodník. K doplnění phishingového útoku, vedeného zpravidla pomocí elektronické pošty, o různé grafické prvky není potřeba žádné umění, neboť stačí buď sprostě vykrást www stránky, které slouží jako záminka k útoku, nebo vytvořit vlastní velmi podobnou grafiku. Průměrný uživatel něco takového zvládne v běžném grafickém editoru během několika hodin...
Kromě toho ale phisheři často využívají falšování elektronické adresy, neboť nefalšovaná by je samozřejmě mohla prozradit. To je technika nesmírně jednoduchá a je dnes součástí "standardní výbavy" drtivé většiny e-mailových červů. Jejím cílem je jednak zvýšit důvěryhodnost zprávy a jednak snížit pravděpodobnost odhalení útoku.
Právě u e-mailových červů je něco podobného velmi krásně patrné. Zpráva z adresy admin@[doména], kde za [doména] dosadíte aktuální pozici uživatele, samozřejmě vypadá velmi důvěryhodně a uživatel nebude dlouho přemýšlet nad tím, proč je "z technických důvodů" vyzýván ke kliknutí na přiložený soubor.
Falšování e-mailu navíc červům umožňuje přežít. Když je totiž zavirovaná zpráva odeslaná z účtu nějaké osoby, je vysoká pravděpodobnost, že tato osoba bude dříve či později adresáty varována a že se alespoň pokusí podniknout nějaké odvetné kroky (odvirování počítače apod.). Pokud ale bude e-mail odesílaný z počítače uživatele A a bude se tvářit jako zpráva z počítače uživatele B, je pochopitelné, že všechna varování budou směřovat na uživatele B. Ten bude na svém počítači marně hledat zdroj nákazy, zatímco infikovaný počítač uživatele A bude dále vesele šířit viry do světa.
Vraťme se ale zpět k phishingu. Tady je třeba si uvědomit, že na zfalšovanou e-mai-
lovou adresu nelze odpovědět. Tedy lze, ale pokud adresa neexistuje, zpráva se vrátí jako nedoručitelná a uživatel může začít být ostražitý. A pokud adresa existuje, samozřejmě může v případě ověřovacího dotazu apod. majitel této existující adresy (třeba banka, internetový obchod apod.) pojmout podezření.
Obě situace jsou pro útočníka nežádoucí a samozřejmě udělá všechno pro to, aby nevznikly. Nejčastěji tak, že do e-mailu připojí výzvu "na tuto adresu neodpovídejte, protože byla generována automatickým počítačovým systémem". Což by pro znalou osobu mělo být velkým varováním, protože jakákoliv absence zpětného kontaktu je v drtivé většině příznakem nějakého typu útoku. A ve zbývajících případech jde o znak naprosté neprofesionality dotyčné instituce.
Na phishing navazuje také ještě jedna nebezpečná technologie, která je sice známá už několik let, ale jejíž rozkvět začíná až v poslední době. Jmenuje se pharming. Je to nesmírně sofistikovaný a obtížně odhalitelný útok. Je sice náročný na provedení, ale na druhé straně svědčí o tom, že phisheři disponují potřebnými finančními prostředky a kapacitami k tomu, aby jej provedli. A rozhodně se jim vyplatí.
V případě pharmingu jde stejně jako u phishingu o zkomoleninu anglického výrazu. V daném případě slova "farming" znamenajícího obdělávání, přeorávání, zemědělství. Dosti dobře to vystihuje podstatu pharmingu, jehož cílem je "vypěstovat" pomocí "překopání" záznamů v počítačích falešnou identitu pro útočníka.
Oč v případě pharmingu jde? Jak už bylo uvedeno, phisheři potřebují, aby jejich útoky vypadaly co nejdůvěryhodněji. Proto se snaží vytvářet www stránky velmi podobné jako stránky jejich obětí (viz třeba příklad s www.banka-lidova.cz vs. www.banka-1idova.cz). Ale i tato metoda má své slabiny. Pozorný uživatel si rozdílu může všimnout a kromě toho někdo musí dotyčnou doménu zaregistrovat, čímž po sobě zanechává stopu. Stopu sice slabou a zpravidla nikam nevedoucí, ale zároveň stopu, kdy může útočník udělat chybu vedoucí až k jeho dopadení.
A teď si představte situaci, kdy se uživatel pokouší připojit na stránku www.banka-lidova.cz, tedy na regulérní web příslušné instituce, a navzdory této snaze skončí na stránce podstrčené (a je už lhostejno, kde umístěné). To je sen každého phishera - a není to sen nesplnitelný. Pharming totiž využívá technologii označovanou jako "DNS cache poisoning" - "otrávení paměti DNS záznamů". Abychom pochopili její princip, podívejme se na podstatu fungování celého internetu. Každý www server má svoji IP adresu, která má podo-
bu kvarteta třímístných čísel. V takové podobě by ale pro nás byl internet hodně
nepřehledný a nezapamatovatelný, proto známe jednotlivé www stránky pod jejich "civilními" názvy (www.pcworld.cz apod.).
Pro každé doménové jméno tak musí počítač kontaktovat DNS (Domain Name Server), což je server, který mu k "civilnímu" názvu sdělí požadovanou IP adresu. Tedy adresu, jíž pro změnu rozumí počítače. A teprve poté dochází ke kontaktování požadované www stránky. Aby se tento proces urychlil, internetové prohlížeče si vytvářejí na lokálním počítači paměť (cache) s IP adresami nejčastěji používaných domén.
A tím se dostáváme k podstatě pharmingu. Jeho principem je totiž modifikace záznamů v této lokální paměti IP adres. Jinými slovy: místo korektní IP adresy je zde záznam změněn na adresu jinou (hackerovu). Uživatel se pak pokusí připojit k nějaké stránce (v našem případě www.banka-lidova.cz), prohlížeč vezme záznam (modifikovaný!) z paměti a na internetu vyhledá příslušný (podvržený) server. Uživatel tuto změnu vůbec nezaregistruje, neboť z jeho pohledu došlo ke korektní operaci: zadal správný název instituce a stránka se mu korektně zobrazila.
Pharming tedy slouží útočníkům k tomu, aby jejich zprávy vypadaly co nejdůvěryhodněji - ostatně možnost je ověřit právě a přímo na mateřských www stránkách nesmírně zvyšuje důvěryhodnost podobných požadavků. Útočníkovi prostě stačí modifikovat záznam IP adresy tak, aby směřoval na jeho stránku - a uživateli pak může poslat důvěryhodný odkaz.
Jak je z výše uvedeného patrné, techniky a technologie phishingu jsou velmi komplexní. Je vidět, že phishing vynáší nemalé finanční prostředky, které je pak možné zpětně investovat - do kvalitního počítačového vybavení, do kvalitních programátorů (kteří jsou královsky a bez zdanění placení), do vývoje nových metod, do monitorování trhu apod. Dnešní phishing je tak prováděn na velmi profesionální úrovni a už se téměř nesetkáme například s pravopisnými chybami v e-mailech. V počátcích této kriminální oblasti se bylo možné běžně setkat třeba s takovými kuriozitami jako oslovení "drahoušku", které se tvářilo jako seriózní bankovní dopis...
Navíc phishing je jedním z důkazů, že kyberkriminalita začíná být zločinem velmi nebezpečným a velmi dobře organizovaným. Nejspíše nejsou daleko od pravdy ti, kdo tvrdí, že výnosy z ní budou na světové úrovni brzy srovnatelné s výnosy z prodeje drog, nelegálního obchodu se zbraněmi nebo se ženami.


Komentáře