Ochrana proti podvodným e-mailům stojí banky miliony

Jan Chvojka, 26. září 2007 00:00 3 komentářů
Rubriky: Security, Internet

Klic
Dokud po Internetu kolovaly podvodné emaily pouze v angličtině, byl phishing pro české uživatele něco naprosto exotického. První český podvodný email zacílený na klienty Citibank rozvířil dosud poklidné vody českého Internetu. Po něm následovaly další, více či méně povedené případy. Jedna z námi oslovených českých bank uvedla, že je ochrana proti internetové kriminalitě stojí stovky milionů korun ročně. Banky také nemají jednotný postup při odškodnění poškozených klientů a každý případ posuzují samostatně.

Anglický název phishing má svůj původ ve spojení slov fishing (rybaření) a phreaking (hacking telefonních služeb). Česky jsou tyto podvodné praktiky označovány jako rhybaření. Phishing je vlastně rozesílání falešných e-mailů za účelem získání citlivých informací uživatele a jejich následného zneužití. Uživatel většinou dostává falešný email, který předstírá, že je odesílatelem důvěryhodná instituce. V textu e-mailu je často pod záminkou nových bezpečnostních opatření, ověření účtu nebo příchozí platby vybídnut ke kliknutí na odkaz a zadání přihlašovacích údajů.

Odkaz ale ve skutečnosti vede na falešné stránky přesně kopírující původní web. Většinou se může jednat právě o banku, finanční instituci nebo internetový mikroplatební systém. Podvodníci také často využívají techniku označovanou jako sociální inženýrství, kdy se například snaží příjemce dostat do časové tísně. Uživateli například hrozí údajným zablokováním bankovního účtu. Jestliže uživatel zadá své osobní údaje nebo nahraje vlastní certifikát, podvodný e-mail splnil svůj cíl.

Zadané údaje jsou totiž zaslány útočníkovi, který je zneužije k okradení klienta či jejich prodeji. Například podle studie společnosti Symantec tvoří celkem 22 % ze všech nabídek na černém trhu čísla kreditních karet. Druhým nejčastějším nabízeným zbožím jsou v 21 procentech bankovní účty. Není tedy divu, že kyberzločinci vydělávají více než prodejci drog. Pokud uživatel zjistí, že došlo ke zneužití jeho přístupu k bankovnímu účtu, může pomoci jeho okamžité zablokování. Studie kriminalistické firmy 1871 Ltd. říká, že v loňském roce došlo prostřednictvím sítě Internet ke spáchání neuvěřitelných tří milionů kriminálních činů.

Zkušení uživatelé útok neodhalí

Falešný e-mail
Ukázka falešného e-mailu

Mnohem zákeřnější formou útoku je pharming. V tomto případě ani nemusí mít útočník žádné psychologické cítění pro vytváření podvodných zpráv. Pokud se mu totiž podaří ve vhodné vrstvě narušit systém DNS a změnit přiřazení IP adresy k určité URL (což je právě principem pharmingu), nemusí ani vymýšlet vábničku v podobě lživého emailu s odkazem na vytvořené falešné stránky.

Stačí, aby uživatel na svém prohlížeči někdy zadal standardní adresu internetového bankovnictví a přihlásil se. Přitom však netuší, že byl přesměrován na podvodné stránky vytvořené útočníkem. Tato mnohem nebezpečnější varianta phishingu dokáže obelstít i zkušeného uživatele počítače. Není totiž možné ani pomocí adresy v adresním řádku prohlížeče ověřit původ stránek. Naštěstí se ale jedná pro útočníka o mnohem složitější počin než v případě obyčejného phishingu.

Jakým způsobem pharmingový útok probíhá? Abychom si mohli popsat způsob útoku, je třeba vědět, co to vlastně DNS je. DNS je databáze obsahující seznam URL a odpovídajících IP adres. Na DNS serverech tak dochází k překladu adresy zadané uživatelem (např. www.Itbiz.cz) na IP adresu (v tomto případě 195.70.150.3).

První metoda útoku spočívá v tom, že by se útočníkovi podařilo dostat na nějaký DNS server a změnit položky v seznamu překladů - poté by se všem uživatelům připojeným na tento DNS server skutečně při zadání adresy www.itbiz.cz mohla objevit například titulní stránka portálu Seznam.cz. Tato metoda je ale velmi těžko proveditelná, protože servery DNS jsou velmi dobře zabezpečenými systémy.

Proto se útočník uchýlí spíše k druhé metodě. Ta spočívá v otevření souboru hosts v adresáři Windows, který je jakousi lokální obdobou DNS serverů a obsahuje překladové dvojice URL a IP. Stačí do uživatelova počítače "vpašovat" škodlivý kód, který provede v souboru hosts změnu a efekt je stejný, jako v případě napadení samotného DNS serveru.

Na rozdíl od něj je ale v tomto případě obrana jednoduchá – řádně zabezpečený počítač s aktivním antivirem, firewallem a antispywarovým programem. Soubor hosts je možné i uzamknout, to ale může způsobovat problémy při běhu některých síťových aplikací.

Záleží na počtu

Platí ovšem pravidlo, že čím více lidí podvodný email dostane, tím větší je pravděpodobnost, že bude útok nahlášen a brzy odhalen. Například podvodný email rozeslaný klientům Deutsche Bank v Německu tak může být prozrazen o několik hodin dříve, než stejně povedený klon, určený zákazníkům České spořitelny.

Těch několik hodin přitom může hrát celkem podstatnou roli z hlediska úspěšnosti útoku a počtu nachytaných uživatelů. Z této skutečnosti těží i nový trend v oblasti phishingových útoků, který se v poslední době rozmáhá. Falešné e-maily jsou zasílány pouze k malému okruhu lidí. Díky tomu je riziko včasného odhalení mnohem menší a útočník má tak více času na nastřádání citlivých informací a jejich využití.

Jak dlouho vydrží falešná webová stránka na Internetu? Podle informací společnosti Anti-Phishing Working Group se od dubna 2006 do dubna 2007 pohybuje životnost těchto stránek pod hranicí čtyř dní. To je sice stále poměrně dost, ale ve srovnání se šesti dny z období 2004 – 2005 se jedná o dobrý pokles.

Historie českých rhybářů

Falešná stránka České spořitelny
Falešná služba Servis24.cz

Jako první se do historie českého phishingu zapsal útok směřující na klienty Citibank, mimochodem světově nejčastěji napadané banky. Ten se odehrál v březnu 2006 a přestože se jednalo pouze o průměrný pokus, způsobil v Česku poměrně velké pozdvižení. Policii se ale podařilo útočníka dopadnout a žádný z uživatelů poškozen nebyl.

Takové štěstí už nemělo deset klientů Komerční banky, kteří se stali terčem phishingového podvodu v létě minulého roku. Nad celým jeho provedením ale visí otazník, protože policie ani Komerční banka nezveřejnily způsob, jakým k získání citlivých údajů došlo. Jisté ale je, že zmíněných deset klientů bylo skutečně okradeno a z jednoho z účtů zmizela prý částka o velikosti 1 milion korun. Komerční banka se v tomto případě zachovala velmi zodpovědně – všechny ztracené peníze klientům v plné výši nahradila.

V říjnu roku 2006 se na českém Internetu objevil další pokus o získání citlivých údajů. Tentokrát se terčem stali klienti České spořitelny a útok měl podobný průběh jako u prvního českého phishingu v Citibank. Zaujal především velmi kvalitní napodobeninou stránek Servis24. Mnohem nebezpečnější se ale ukázal útok z března letošního roku, který má nejspíš i mezinárodní rozsah. Z nevýrazného případu se totiž vyklubal mnohem závažnější, který postihl klienty České spořitelny i Raifeisenbank.

O skutečné propracovanosti hovoří fakt, že o získání údajů od uživatele se pokoušel webový formulář zobrazující se klientovi až po přihlášení do systému internetového bankovnictví, přičemž útočníci využili metody pharmingu a přesměrování internetových adres.

Těch několik případů se však vůbec nedá srovnávat se situací v zahraničí, a to ani množstvím, ani úspěšností. Jinde jsou phishingové útoky prakticky denním chlebem a případy se počítají po stovkách ročně. Phishingovým útokům se v zahraničí věnuje server Millersmiles.

Uživatelé se brání


Můj názor


Neustálé připomínání zásadních bezpečnostních pravidel přináší své ovoce a čeští uživatelé už si pořádně rozmyslí, jestli zadají své citlivé informace kdejakému webovému formuláři.

Přesto ale není pochyb o tom, že počet phishingových útoků bude narůstat a budou čím dál tím rafinovanější a zákeřnější. Doufejme jen, že díky osvětě široké veřejnosti jim ani to nepomůže.

V boji proti phishingu nejsou uživatelé sami. Existuje několik organizací, které se do něj aktivně zapojují. Asi nejznámější je Anti-Phishing Working Group, která se zabývá odhalováním phishingových útoků, jejich dlouhodobými studiemi a seznamováním veřejnosti s problematikou phishingu.

Další organizací zabývající se bojem proti phishingu je PIRT, neboli Phishing Incident Reporting and Termination Squad. Jak už název napovídá, hlavním cílem této organizace je zlikvidování podvodných stránek pomocí legálních prostředků místo násilných útoků na servery, jejichž správci často nevědomky poskytují prostor pro podvodné stránky.

Tak jako v případě jiných bezpečnostních hrozeb, velmi důležitá je osvěta široké veřejnosti a seznámení s praktikami útočníků. Tato forma prevence je nejúčinnější obranou, jakou je možné proti phishingovým útokům postavit. Jedině neustálé nabádání uživatelů k větší obezřetnosti při nakládání s citlivými daty a budování širokého povědomí o základních bezpečnostních pravidlech povede ke snížení úspěšnosti phishingových útoků. Základní obranou je zamyslet se nad smysluplností zprávy a v žádném případě nezadávat nikam na vyžádání informace jako PIN a číslo karty. Důležité je také neklikat na odkazy umístěné v emailových zprávách, ale zadat standardní adresu do prohlížeče ručně.

Kromě zmíněných organizací, které napomáhají v boji proti phishingu, jsou užitečnou ochranou antiphishingové filtry zabudované v internetových prohlížečích. Ty vás, v případě podezření, že navštívená stránka obsahuje falešné informace a jedná se o podvrh, okamžitě upozorní. Tato ochrana ale není stoprocentní a rozhodně nespoléhejte jen na ni. Velmi oblíbenou alternativní pomůckou je Netcraft Toolbar, aplikace která se v podobě panelu integruje do prohlížeče a zobrazuje užitečné bezpečnostní informace a upozorňuje na podezřelé prvky stránky.

Banky bojují hlavně osvětou


Oslovili jsme také zástupce bank, které mají své zastoupení v České republice. Banky shodně potvrzují, že nemalou pozornost věnují bezpečnosti svých webových aplikací a zároveň se snaží vzdělávat své klienty. "Částky na ochranu proti internetové kriminalitě každoročně rostou a pohybují se v řádu stovek milionů korun ročně," prozradila ITBIZu Klára Gajdušková, tisková mluvčí České spořitelny.

Tato banka používá vzájemně provázané ochranné prvky. Uživatel musí před vstupem do aplikace internetového bankovnictví zadat klientské číslo a zvolené heslo. Kromě tohoto typu přihlášení je rovněž možné zadat stejné údaje a zároveň kód vytvořený pomocí autentizačního kalkulátoru, což je přístroj o velikosti kalkulačky, který vytváří unikátní kód. Mezi další bezpečnostní ochranu patří grafická klávesnice pod polem pro přihlašování, možnost zablokování účtu, změny hesla nebo bezpečnostního kódu. Jednotlivé transakce je navíc nutné ověřovat podle nastavení autorizační SMS, případně číslem z autentizačního kalkulátoru.

Zákazník Citibank používá jím zvolené Uživatelské jméno, heslo a jednorázový bezpečnostní kód generovaný přiděleným bezpečnostním klíčem. Při zahájení spojení zašle server banky klientovi náhodné číslo. Na straně klienta je toto náhodné číslo zašifrováno pomocí algoritmu Triple DES s využitím uživatelského jména a vstupního hesla do Citibank Online. Takto zašifrované náhodné číslo je vráceno zpět serveru pro ověření oprávněnosti přístupu. Veřejnou sítí proto neprochází uživatelské heslo, ale pouze šifrované náhodné číslo.

Druhou úrovní ochrany je vytváření jednorázového bezpečnostního kódu. Tento kód se generuje na základě času, přihlašovacího pořadí a unikátního klíče nahraného do bezpečnostní klíče. Server ověří, zda se jednorázový bezpečnostní kód shoduje s očekávaným kódem pro příslušného klienta.

Podobný postup nabízí také HVB Bank. Bezpečnostní klíč (token) generuje v každém okamžiku jedinečný bezpečnostní kód s platností v řádu sekund. V případě, že by útočník získal tento kód, příliš si nepomůže, protože již nebude funkční. Standardem je rovněž i šifrování.

Komerční banka zatím podporuje u svého internetového bankovnictví pouze webový prohlížeč Internet Explorer. Další prohlížeče jsou v plánu údajně v prosinci tohoto roku. Podrobnější informace k bezpečnostním prvkům banka neposkytla. "Vzhledem k tomu, že phishingové útoky jsou spojeny se sociálním inženýrstvím a odehrávají se mimo servery banky, je nutná především včasná detekce a rychlá komunikace směrem ke klientům," píše ve svém vyjádření Zuzana Čepelková z tiskového oddělení banky.


Komentáře

jirina #1
jirina 15. leden 2009 16:21

Dobrý den.Též už jsem dostala několik mailu od bank a podobně,nikdy jsem nereagovala protože když nemáte učet,nemuže Vám nikdo hrozit blokováním a podobně.Ted už po několikáté mi přišel mail AUSTRALIA LOERY INTERNATIONAL <ausl0tt0@aol.com>,v tomto znění:
Reference: 435062725 šarže: ne 7050470902/189 vítezné no:
GB8101/LPRC

Jsme rádi, informuje vás o vaši cenu, která byla
dnes od australské mezinárodní Lottery
programme.You byly schváleny v této paušální cástku ve výši $ 200.000,00
USD (dve ste tisíc dolarech) v hotovosti, kreditní souboru:
MPL / HW 47509 / 09.
JAK SE ŽALOBNÍ VAŠE CENA: Stací kontaktovat naše fiduciární agent,
REV MIKE OBI na obrázek pro vaše tvrzení, zašlete svuj vítezný
informací, které obsahuje váš odkaz, šarže, výherní císlo
a telefonní císlo, které mu prostrednictvím e-mailovou adresu. email:
revobimike_1978@yahoo.com

Gratulujeme opet na vaši výhru!
Best Regards (koordinátor).Samozřejmě ani na toto nereaguji,ale už se podvodníci snaží být přesvědčivější.S pozdravem Jiřina

bejcek69 #3
bejcek69 29. leden 2009 17:18

Dobrý den.Též už jsem dostala několik mailu od bank a podobně,nikdy jsem nereagovala protože když nemáte učet,nemuže Vám nikdo hrozit blokováním a podobně.Ted už po několikáté mi přišel mail AUSTRALIA LOERY INTERNATIONAL ,v tomto znění:
Reference: 435062725 šarže: ne 7050470902/189 vítezné no:
GB8101/LPRC

Jsme rádi, informuje vás o vaši cenu, která byla
dnes od australské mezinárodní Lottery
programme.You byly schváleny v této paušální cástku ve výši $ 200.000,00
USD (dve ste tisíc dolarech) v hotovosti, kreditní souboru:
MPL / HW 47509 / 09.
JAK SE ŽALOBNÍ VAŠE CENA: Stací kontaktovat naše fiduciární agent,
REV MIKE OBI na obrázek pro vaše tvrzení, zašlete svuj vítezný
informací, které obsahuje váš odkaz, šarže, výherní císlo
a telefonní císlo, které mu prostrednictvím e-mailovou adresu. email:
revobimike_1978@yahoo.com

Gratulujeme opet na vaši výhru!
Best Regards (koordinátor).Samozřejmě ani na toto nereaguji,ale už se podvodníci snaží být přesvědčivější.S pozdravem Jiřina


to jsem taky dostal...a ted chce moje jmeno atd...:))

Inka #2
Inka 05. únor 2009 14:51

Dobry den,take mi tento email dosel,ale zaujalo me to,protoze jeste nejsem zletila.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů