Phishing
Author
Albert FloresPhishing (někdy převáděno do češtiny jako rhybaření) je typ internetového podvodu, používaný k získávání citlivých údajů (hesla, čísla kreditních karet apod.) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů, úřadů státní správy nebo od IT administrátorů.
Ukázka typického phishing e-mailu s vysvětlením.
Principem phishingu je typicky rozesílání e-mailových zpráv nebo instant messaging, které často vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je takřka identická s tou oficiální. Stránka může například napodobovat přihlašovací okno internetového bankovnictví nebo e-mailové schránky. +more Uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří je mohou zneužít (např. mu z účtu vykrást peníze nebo z jeho e-mailu rozesílat další podvodné e-maily). Obdobně může prozradit jiné citlivé (osobní) údaje, které pak útočníci mohou zneužít (např. vzít si půjčku na jméno oběti).
Phishing je příkladem techniky sociálního inženýrství používané k oklamání uživatelů za využití slabých míst současných bezpečnostních technologií (jejich implementací). Ochrana proti rostoucímu množství nahlášených případů phishingu zahrnuje legislativu, trénování uživatelů, veřejnou osvětu a technická opatření.
Název
Anglické slovo fishing znamená rybaření, rybolov, což v tomto kontextu označuje rozesílání „návnady“ (e-mailových zpráv) v naději, že „se chytí“ některé oběti. Náhrada prvního f za homofonní ph má několik vysvětlení; nejpravděpodobnější je přirovnání k tzv. +more phreakingu, resp. obecně je záměna f za ph běžná v tzv. leetspeaku, slangu používaném v jisté internetové subkultuře. Objevuje se i teorie s významem zkratky password harvesting fishing, tzn. zhruba „rybolov sklízením hesel“, ta je však chybná.
V češtině se slovo používá velmi často neupravené, případně se používá „počeštěná“ varianta rhybaření, případně rhybhaření, rhybolov, rhybholov. Inspirací pro českou variantu se stal Kantůrkův překlad jazyka zeměplošských Igorů, který češtinu komolí podobným způsobem jako originál angličtinu.
Historie
Technika phishingu byla detailně popsána v roce 1987 v práci a prezentaci předané International HP Users Group, Interex. Poprvé byl termín phishing použit v usenetové skupině alt. +moreonline-service. america-online dne 2. ledna 1996, ačkoli se označení mohlo objevit již dříve v tištěném magazínu 2600: The Hacker Quarterly.
Začátky phishingu na AOL
Phishing na AOL byl úzce spjat s warez komunitou, jež si vyměňovala pirátský software, a scénou crackerů, která padělala kreditní karty a páchala jiné internetové zločiny.
Phisher (původce phishingu) se mohl vydávat za pracovníka AOL a odeslat zprávu potenciální oběti, ve které žádal odhalení jejího tajného hesla. Ve zprávě byly většinou žádosti jako „ověřit účet“, nebo „potvrdit informace“, což by vedlo samozřejmě k prozrazení choulostivých informací oběti. +more Jestliže se útočník dozvěděl heslo, mohl disponovat účtem oběti, nebo rozesílat nevyžádanou poštu (spam). Oboje, jak phishing, tak warez na AOL, obecně vyžadovaly programy napsané uživateli, jako například AOHell. Phishing začal být tak častý, že byl do všech zpráv přidán řádek: „Žádný pracovník AOL se vás nemůže nikdy ptát na heslo, ani údaje ohledně vašeho účtu. “.
Po roce 1997 AOL zpřísnila svůj pohled na phishing a warez, tudíž všechen pirátský software odstranila ze svých serverů. Současně vyvinula AOL systém pro okamžitou deaktivaci účtů spojených s phishingem, aniž by oběti mohly nějakým způsobem odpovědět. +more Zakázaní warez scény vedlo k tomu, že většina phisherů opustila služby AOL.
Přechod z AOL na finanční instituce
Zmocnění se informací z AOL účtu mohlo vést útočníky ke zneužití informací z kreditních karet. Tím si útočníci uvědomili, že jsou proveditelné i útoky na platební systémy.
První známka o přímém pokusu napadnout platební systém je z června 2001, kdy se cílem stal e-gold. Tento pokus byl následován „post-9/11 ID kontrolou“ krátce po +more_září_2001'>útocích 11. září 2001 na Světové obchodní centrum. Oba pokusy prakticky ztroskotaly, ale lze na ně pohlížet jako na prvotní pokusy vůči následným plodnějším útokům na přední banky.
K roku 2004 byl již phishing považován za plně rozvinutou ekonomiku zločinu, která poskytovala za hotovost součásti, které byly shromažďovány na konečný útok. Odhaduje se, že mezi květnem 2004 a květnem 2005 se vinou phishingu ztratilo 929 milionů USD. +more Z té doby je známá spousta různých technik.
Příklady útoků
Útočníci se převážně zaměřují na zákazníky bank a on-line platebních služeb. E-maily zdánlivě od IRS (finanční úřad USA) sbíraly citlivá data amerických daňových poplatníků. +more Zatímco první takové pokusy byly rozesílány náhodně s očekáváním, že některé přijdou zákazníkům dané banky nebo služby, novodobý výzkum ukazuje, že útočníci v principu dokáží rozpoznat, jaké banky potenciální oběti používají a příslušně falešné e-maily přizpůsobují. Takto cílenému phishingu se říká spear phishing (podle spear fishing, tedy rybaření harpunou). Jsou známé případy útoků směřovaných specificky na nejvyšší management a jiné vysoké cíle z hlediska byznysu. Pro takový druh útoků se ustálil pojem whaling (tedy lov velryb).
Jedním z hlavních cílů současného phishingu jsou služby sociálních sítí, neboť osobní detaily z těchto sítí mohou být použity k odcizení identity; koncem roku 2006 počítačový červ převzal kontrolu nad službou MySpace a pozměnil odkazy, aby přesměrovaly návštěvníky na adresu navrženou k odcizení přihlašovacích údajů. Experimentální phishing na sociální sítě ukazuje úspěšnost přesahující 70 %.
Phishing se zaměřil i na stránky služby pro sdílení souborů RapidShare, aby tak získával prémiové účty, které odstraňují rychlostní omezení během stahování, automatické odstraňování nahraných souborů, čekání na spuštění stahování a časové prodlevy mezi stahováními.
Následující e-mail obdrželo velké množství českých uživatelů na začátku října 2006:
Dobry den vazeni klienti!
Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku. +more Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu.
S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem. Do 1. listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu.
Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. +more Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich.
Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz podvržený odkaz a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system. +more V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti.
Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji.
Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard.
S pozdravem, Oddeleni Banky pro ochranu pred frodem.
Techniky phishingu
Hacking sdíleného virtuálního serveru
Každoročně vznikají nové a nové taktiky útoků, které drasticky ovlivňují statistiky. V roce 2011 dominuje taktika, která je ve skutečnosti stará, avšak do té doby spíše povrchní. +more V tomto případě útočník vnikne do webového serveru, který hostuje mnoho domén - tzv. sdílený virtuální server. Jakmile je útočník uvnitř takového serveru, namísto vložení své „návnady“ (stránka s falešným obsahem) napřed na server nahraje svůj obsah. Následně změní konfiguraci serveru tak, aby všechny obsažené weby začaly jeho obsah zobrazovat. To je standardní schopnost webových serverů, která umožňuje administrátorům nastavovat sdílené informační stránky, administrační zařízení a chybové stránky („stránka nenalezena“ a další).
Takže místo nabourávání se do jedné stránky po druhé, útočník může infikovat stovky až tisíce webů naráz, podle velikosti daného serveru. V první polovině roku 2011 bylo identifikováno přes 40. +more000 unikátních útoků používajících tuto taktiku. Každý z nich pomocí jiné domény. To je 37 % všech útoků celosvětově. Hromadných útoků bylo identifikováno celkem 122, každý zahrnující minimálně 50 domén. Útoky zahrnovaly jen 25 institucí; z toho nejčastější byly PayPal (přes 23. 000 domén/útoků) a Wells Fargo (přes 6. 500 domén/útoků).
Využití poddomén
Většina metod phishingu využívá některou z forem technického oklamání navrženého tak, aby odkazy v e-mailech (a příslušné falešné stránky) vypadaly, že náleží falšované organizaci. Následující odkaz
vypadá, jako by vedl na sekci nová služba na webu konkrétní banky; ve skutečnosti tento odkaz míří na sekci „konkrétní banka“ (tedy phishing) stránky „nová služba“.
Překlepy a zkreslení odkazů
Běžným trikem bývají překlepy v odkazech. Dalším běžným trikem je, aby text odkazu vypadal jinak, než skutečný odkaz. +more Následující odkaz http: vypadá, že vede na stránku „Radost“, avšak ve skutečnosti vede na stránku „Smutek“. V levém dolním rohu většiny prohlížečů se zobrazuje skutečný cíl daného odkazu, na který právě ukazuje myš.
Využití slabin IDN
Další problém s odkazy vznikl v souvislosti se zpracováním internacionalizovaných doménových jmen (IDN). Ve webových prohlížečích je možné docílit, aby vizuálně identické adresy vedly na různé, potenciálně nebezpečné, weby. +more Některá písmenka vypadají totiž skoro (nebo úplně) stejně a rozdíl adres nemusí být patrný. Jindy se může jednat o adresu s diakritikou - přičemž v originále diakritiku postrádá.
Navzdory publicitě této vady známé jako IDN spoofing či homografový útok, zneužívají útočníci tohoto rizika použitím otevřeného URL přesměrování na stránkách důvěryhodné organizace k zamaskování škodlivého obsahu s důvěryhodnou doménou. Ani digitální certifikát neřeší tento problém, protože pro útočníka je možné si pro tyto účely pořídit platný certifikát a následně měnit obsah, aby důvěryhodnou stránku zfalšoval.
Zkracování domén
Zkracování domén je taženo popularitou Twitteru a dalších sociálních sítí a mobilních telefonů a dalších zařízení. Uživatelé těchto služeb mohou získat velmi krátký odkaz pro vložení do svých (znakově omezených) zpráv, které automaticky přesměrují návštěvníka na o mnoho delší „skrytý“ odkaz.
Někteří poskytovatelé zkracování agresivně zbrojí proti škodlivému přesměrování a vydávají pravidla, kterými komplikují případné zneužití jejich systému. Řada poskytovatelů zkracování domén však je na černé listině.
Unikání filtrům
Útočníci začali používat obrázky místo textů, aby tak zkomplikovali anti-phishingovým filtrům detekovat běžně používané texty nebezpečných e-mailů.
Padělání stránek
Navštívením podvržené stránky klamání nekončí. Některé podvodné stránky používají JavaScript pro změnu adresního řádku. +more Toho je docíleno buďto umístěním obrázku legitimní adresy přes adresní řádek nebo zavřením původního adresního řádku a otevření nového s legitimní adresou.
Útočník může dokonce využít chyby ve skriptu důvěryhodné stránky proti oběti. Tento typ útoku (známý jako cross-site scripting) je částečně problematický, protože nabádají uživatele k přihlášení na stránce banky nebo služby, kde se všechno od webové adresy po bezpečnostní certifikát jeví korektně. +more Ve skutečnosti je však odkaz na stránku vytvořený tak, aby provedl útok. Bez specializovaných znalostí je velmi obtížné útok vystopovat. Právě taková vada byla použita v roce 2006 proti společnosti PayPal.
V roce 2007 byl odhalen univerzální balíček Man in the middle (MITM) Phishing Kit, poskytující jednoduše použitelné rozhraní, díky kterému útočník přesvědčivě zreplikuje webové stránky a zaznamená přihlašovací údaje vložené na falešné stránce.
Aby se vyhnuli technikám skenujícím weby pro odhalování phishingu, začali útočníci vytvářet falešné stránky v technologii Flash. Ty vypadají jako skutečné stránky, ale skrývají text v multimediálním objektu.
Telefonický phishing
Ne všechny metody phishingu vyžadují falešné stránky. Zprávy, které tvrdí, že jsou z banky nabádaly uživatele, aby zavolali na určité číslo s odvoláním na problémy s jejich bankovními účty. +more Jakmile klient zavolal na uvedené číslo (vlastněné útočníkem a poskytované službou Voice over IP), byl vyzván k vložení čísla účtu a PINu.
Takzvaný Vishing (z anglického voice phishing) jsou podvodné praktiky telefonování nebo zanechání hlasových zpráv, které předstírají, že pocházejí od renomovaných společností, s cílem přimět jednotlivce k prozrazení osobních údajů, jako jsou bankovní údaje a čísla kreditních karet. V roce 2021 zaznamenala Česká republika vlnu vishingu cílícího na zákazníky lokálních bank. +more Útočníci se vydávali za zaměstnance banky nebo policii.
Další techniky phishingu
Úspěšně se používá přesměrování klienta na legitimní stránku banky s následným otevřením vyskakovacího okna požadujícího přihlašovací údaje. Okno vyskočí na povrchu stránky s bankou, takže vzniká dojem, že citlivé údaje požaduje banka. +more * Technika tabnabbing zneužívá záložek, které oběť používá a tiše přesměruje uživatele na falešnou stránku. * Technika Evil twin (wireless networks) se těžko detekuje. Útočník vytvoří falešnou bezdrátovou síť, která vypadá stejně jako legitimní veřejná síť, kterou je možné najít na veřejných místech jako jsou letiště, hotely nebo kavárny. Kdykoli se někdo připojí do této sítě, podvodníci se pokusí zachytit jejich důvěrné informace. * SMS phishing nebo smishing je typ phishingového útoku, který využívá textové zprávy z mobilního telefonu nebo chytrého telefonu k doručení falešné návnady. Oběť je obvykle požádána, aby klikla na odkaz, zavolala na telefonní číslo nebo kontaktovala e-mailovou adresu poskytnutou útočníkem. Potíže s identifikací nelegitimních odkazů se mohou na mobilních zařízeních ještě zhoršit kvůli omezenému zobrazování adres URL v mobilních prohlížečích. Práci útočníkům významně ulehčuje fakt, že SMS zprávy neprocházejí žádnou kontrolou.
Příklad phishingové stránky
Na stránkách připomínajících stránky kulinářské společnosti se nacházel dotazník, návštěvník stránky byl k vyplnění dotazníku motivován šancí získat Iphone z nejnovější řady. Na podvodný formulář přesměrovávaly české stránky používající redakční systém WordPress. +more Stránky používaly protokol url=https,]a aby přesměrování nebylo nápadné, docházelo k němu pouze občas. URL stránky s dotazníkem, na kterou se přesměrovávalo, byla platná pouze hodinu. Dotazník obsahoval čtyři otázky a byl personalizovaný městem uživatele a prohlížečem, který uživatel používal. Po odeslání dotazníku byl uživatel přesměrován na stránku, která oznamovala, že dochází k ověřování odpovědí, [[IP adresa|IP adresy[/url]] uživatele a ověřování, zda jsou dostupné ještě nějaké dárky.
Na uživatele vždy zbyl jeden iphone a pro jeho získání bylo nutné zaplatit pouze 25 Kč místo původní ceny 40 460 Kč. Pod oznámením o výhře bylo několik komentářů imitující komentáře z Facebooku, které se uživatele snažily přesvědčit o důvěryhodnosti celé akce. +more Po určitém časovém intervalu se objevovaly nové komentáře.
Po stisku velkého zeleného tlačítka Klikněte zde byl uživatel přesměrován na stránku, která se z uživatele snažila vylákat osobní údaje. Stránka používala url=https,]certifikát ke stránce byl vydaný certifikační autoritou [[Comodo[/url]]. +more Záznam o vydaném certifikátu se nacházel v Certificate Transparency. Stránka obsahovala kontakt a možnost refundace peněz a byla v pořádku indexována vyhledávačem Google.
Po vyplnění osobních údajů byl uživatel přesměrován na stránku imitující platební bránu. Stránka obsahovala text Bezpečná platba a loga Verified by VISA a MasterCard SecureCode. +more Po zadání jakéhokoliv čísla platební karty vygenerované pomocí PayPal Credit Card Generatoru byl výsledek vždy, že „Platba byla zamítnuta. Zkuste to prosím znovu nebo použijte jinou kartu“. Hlavní stránka domény, na které byla falešná platební brána, byla prázdná, obsahovala pouze kód pro Google Analytics.
Stránka s formulářem pro zadání osobních údajů běžela na několika doménách, které byly zabezpečeny důvěryhodným certifikátem. Na hlavních stránkách na jednotlivých doménách byl různorodý obsah, např. +more stránky nabízející psí žrádlo, populární knihy, potřeby pro miminka, stránky přepravní společnosti, stránky pro nákup kadeřnických nástrojů a jiné. Na všech doménách ale bylo uvedené stejné VAT. Na některých doménách byly uvedeny i kontaktní údaje, ale tak, aby se uživateli zobrazily ve správné podobě, ale vyhledávač je zaindexoval tak, jak požadoval autor stránek. Kontaktní údaje proto byly vloženy do stránky buď jako obrázek nebo jako zrcadlově obrácený text pro zobrazení transformovaný pomocí CSS vlastností direction: rtl a unicode-bidi: bidi-override. Na všech doménách byly v patičce uvedena loga Visa a MasterCard.
Boj s phishingem
Existuje několik úrovní boje s phishingem: na uživatelské úrovni zejména osvěta a dodržování bezpečnostních pravidel, na softwarové úrovni je možné používat specializované nástroje, které phishingové útoky umožňují detekovat a upozorňovat na ně. Také existují organizace, které se bojem s phishingem zabývají cíleně a stránky využívané k těmto útokům odstraňují. +more Některé státy už dokonce vytvořily specializovanou legislativu zaměřenou na phishing. Jeden z největších poskytovatelů antivirových řešení ESET z dlouhodobé zkušenosti a testování doporučuje běžným uživatelům tři jednoduché kroky k předcházení phishingových útokům.
* Snažte se co nejméně poskytovat citlivé údaje. * Pečlivě čtěte emailové adresy i domény. +more Podvodné stránky mají často jen drobné odchylky. * Udržujte ve svých zařízeních kvalitní a aktualizovaný antivirový program, který dokáže odhalit rafinované techniky phishingu.
Odkazy
Reference
Související články
Phreaking * Pharming * Bankomaty, platební karty a trestná činnost
Externí odkazy
[url=https://apwg. org/]Anti-Phishing Working Group[/url] (anglicky) * [url=https://www. +morephishtank. com/]PhishTank[/url], databáze odhalených pokusů o phishing (anglicky) * [url=https://www. hoax. cz/phishing/]Phishing[/url] na serveru HOAX. cz * Daniel Dočekal: [url=http://www. lupa. cz/clanky/jak-se-dela-phishing/]Jak se dělá phishing[/url], Lupa. cz * Kamil Kopecký: [url=https://www. youtube. com/watch. v=se9brduFanA]Prevíti na síti #01 - Phishing[/url] (video na YouTube).
Kategorie:Elektronická pošta Kategorie:Internetová kultura Kategorie:Počítačová kriminalita Kategorie:Podvody Kategorie:Anglická slova a fráze