Dokud po Internetu kolovaly podvodné emaily pouze v angličtině, byl phishing pro české uživatele něco naprosto exotického. První český podvodný email zacílený na klienty Citibank rozvířil dosud poklidné vody českého Internetu. Po něm následovaly další, více či méně povedené případy. Jedna z námi oslovených českých bank uvedla, že je ochrana proti internetové kriminalitě stojí stovky milionů korun ročně. Banky také nemají jednotný postup při odškodnění poškozených klientů a každý případ posuzují samostatně.
Anglický název phishing má svůj původ ve spojení slov fishing (rybaření) a phreaking (hacking telefonních služeb). Česky jsou tyto podvodné praktiky označovány jako rhybaření. Phishing je vlastně rozesílání falešných e-mailů za účelem získání citlivých informací uživatele a jejich následného zneužití. Uživatel většinou dostává falešný email, který předstírá, že je odesílatelem důvěryhodná instituce. V textu e-mailu je často pod záminkou nových bezpečnostních opatření, ověření účtu nebo příchozí platby vybídnut ke kliknutí na odkaz a zadání přihlašovacích údajů.
Odkaz ale ve skutečnosti vede na falešné stránky přesně kopírující původní web. Většinou se může jednat právě o banku, finanční instituci nebo internetový mikroplatební systém. Podvodníci také často využívají techniku označovanou jako sociální inženýrství, kdy se například snaží příjemce dostat do časové tísně. Uživateli například hrozí údajným zablokováním bankovního účtu. Jestliže uživatel zadá své osobní údaje nebo nahraje vlastní certifikát, podvodný e-mail splnil svůj cíl.
Zadané údaje jsou totiž zaslány útočníkovi, který je zneužije k okradení klienta či jejich prodeji. Například podle studie společnosti Symantec tvoří celkem 22 % ze všech nabídek na černém trhu čísla kreditních karet. Druhým nejčastějším nabízeným zbožím jsou v 21 procentech bankovní účty. Není tedy divu, že kyberzločinci vydělávají více než prodejci drog. Pokud uživatel zjistí, že došlo ke zneužití jeho přístupu k bankovnímu účtu, může pomoci jeho okamžité zablokování. Studie kriminalistické firmy 1871 Ltd. říká, že v loňském roce došlo prostřednictvím sítě Internet ke spáchání neuvěřitelných tří milionů kriminálních činů.
Zkušení uživatelé útok neodhalí
Ukázka falešného e-mailu
Mnohem zákeřnější formou útoku je pharming. V tomto případě ani nemusí mít útočník žádné psychologické cítění pro vytváření podvodných zpráv. Pokud se mu totiž podaří ve vhodné vrstvě narušit systém DNS a změnit přiřazení IP adresy k určité URL (což je právě principem pharmingu), nemusí ani vymýšlet vábničku v podobě lživého emailu s odkazem na vytvořené falešné stránky.
Stačí, aby uživatel na svém prohlížeči někdy zadal standardní adresu internetového bankovnictví a přihlásil se. Přitom však netuší, že byl přesměrován na podvodné stránky vytvořené útočníkem. Tato mnohem nebezpečnější varianta phishingu dokáže obelstít i zkušeného uživatele počítače. Není totiž možné ani pomocí adresy v adresním řádku prohlížeče ověřit původ stránek. Naštěstí se ale jedná pro útočníka o mnohem složitější počin než v případě obyčejného phishingu.
Jakým způsobem pharmingový útok probíhá? Abychom si mohli popsat způsob útoku, je třeba vědět, co to vlastně DNS je. DNS je databáze obsahující seznam URL a odpovídajících IP adres. Na DNS serverech tak dochází k překladu adresy zadané uživatelem (např. www.Itbiz.cz) na IP adresu (v tomto případě 195.70.150.3).
První metoda útoku spočívá v tom, že by se útočníkovi podařilo dostat na nějaký DNS server a změnit položky v seznamu překladů – poté by se všem uživatelům připojeným na tento DNS server skutečně při zadání adresy www.itbiz.cz mohla objevit například titulní stránka portálu Seznam.cz. Tato metoda je ale velmi těžko proveditelná, protože servery DNS jsou velmi dobře zabezpečenými systémy.
Proto se útočník uchýlí spíše k druhé metodě. Ta spočívá v otevření souboru hosts v adresáři Windows, který je jakousi lokální obdobou DNS serverů a obsahuje překladové dvojice URL a IP. Stačí do uživatelova počítače „vpašovat“ škodlivý kód, který provede v souboru hosts změnu a efekt je stejný, jako v případě napadení samotného DNS serveru.
Na rozdíl od něj je ale v tomto případě obrana jednoduchá – řádně zabezpečený počítač s aktivním antivirem, firewallem a antispywarovým programem. Soubor hosts je možné i uzamknout, to ale může způsobovat problémy při běhu některých síťových aplikací.
Záleží na počtu
Platí ovšem pravidlo, že čím více lidí podvodný email dostane, tím větší je pravděpodobnost, že bude útok nahlášen a brzy odhalen. Například podvodný email rozeslaný klientům Deutsche Bank v Německu tak může být prozrazen o několik hodin dříve, než stejně povedený klon, určený zákazníkům České spořitelny.
Těch několik hodin přitom může hrát celkem podstatnou roli z hlediska úspěšnosti útoku a počtu nachytaných uživatelů. Z této skutečnosti těží i nový trend v oblasti phishingových útoků, který se v poslední době rozmáhá. Falešné e-maily jsou zasílány pouze k malému okruhu lidí. Díky tomu je riziko včasného odhalení mnohem menší a útočník má tak více času na nastřádání citlivých informací a jejich využití.
Jak dlouho vydrží falešná webová stránka na Internetu? Podle informací společnosti Anti-Phishing Working Group se od dubna 2006 do dubna 2007 pohybuje životnost těchto stránek pod hranicí čtyř dní. To je sice stále poměrně dost, ale ve srovnání se šesti dny z období 2004 – 2005 se jedná o dobrý pokles.
Historie českých rhybářů
Falešná služba Servis24.cz
Jako první se do historie českého phishingu zapsal útok směřující na klienty Citibank, mimochodem světově nejčastěji napadané banky. Ten se odehrál v březnu 2006 a přestože se jednalo pouze o průměrný pokus, způsobil v Česku poměrně velké pozdvižení. Policii se ale podařilo útočníka dopadnout a žádný z uživatelů poškozen nebyl.
Takové štěstí už nemělo deset klientů Komerční banky, kteří se stali terčem phishingového podvodu v létě minulého roku. Nad celým jeho provedením ale visí otazník, protože policie ani Komerční banka nezveřejnily způsob, jakým k získání citlivých údajů došlo. Jisté ale je, že zmíněných deset klientů bylo skutečně okradeno a z jednoho z účtů zmizela prý částka o velikosti 1 milion korun. Komerční banka se v tomto případě zachovala velmi zodpovědně – všechny ztracené peníze klientům v plné výši nahradila.
V říjnu roku 2006 se na českém Internetu objevil další pokus o získání citlivých údajů. Tentokrát se terčem stali klienti České spořitelny a útok měl podobný průběh jako u prvního českého phishingu v Citibank. Zaujal především velmi kvalitní napodobeninou stránek Servis24. Mnohem nebezpečnější se ale ukázal útok z března letošního roku, který má nejspíš i mezinárodní rozsah. Z nevýrazného případu se totiž vyklubal mnohem závažnější, který postihl klienty České spořitelny i Raifeisenbank.
O skutečné propracovanosti hovoří fakt, že o získání údajů od uživatele se pokoušel webový formulář zobrazující se klientovi až po přihlášení do systému internetového bankovnictví, přičemž útočníci využili metody pharmingu a přesměrování internetových adres.
Těch několik případů se však vůbec nedá srovnávat se situací v zahraničí, a to ani množstvím, ani úspěšností. Jinde jsou phishingové útoky prakticky denním chlebem a případy se počítají po stovkách ročně. Phishingovým útokům se v zahraničí věnuje server Millersmiles.
Uživatelé se brání
Můj názor
Neustálé připomínání zásadních bezpečnostních pravidel přináší své ovoce a čeští uživatelé už si pořádně rozmyslí, jestli zadají své citlivé informace kdejakému webovému formuláři.
Přesto ale není pochyb o tom, že počet phishingových útoků bude narůstat a budou čím dál tím rafinovanější a zákeřnější. Doufejme jen, že díky osvětě široké veřejnosti jim ani to nepomůže.
V boji proti phishingu nejsou uživatelé sami. Existuje několik organizací, které se do něj aktivně zapojují. Asi nejznámější je Anti-Phishing Working Group, která se zabývá odhalováním phishingových útoků, jejich dlouhodobými studiemi a seznamováním veřejnosti s problematikou phishingu.
Další organizací zabývající se bojem proti phishingu je PIRT, neboli Phishing Incident Reporting and Termination Squad. Jak už název napovídá, hlavním cílem této organizace je zlikvidování podvodných stránek pomocí legálních prostředků místo násilných útoků na servery, jejichž správci často nevědomky poskytují prostor pro podvodné stránky.
Tak jako v případě jiných bezpečnostních hrozeb, velmi důležitá je osvěta široké veřejnosti a seznámení s praktikami útočníků. Tato forma prevence je nejúčinnější obranou, jakou je možné proti phishingovým útokům postavit. Jedině neustálé nabádání uživatelů k větší obezřetnosti při nakládání s citlivými daty a budování širokého povědomí o základních bezpečnostních pravidlech povede ke snížení úspěšnosti phishingových útoků. Základní obranou je zamyslet se nad smysluplností zprávy a v žádném případě nezadávat nikam na vyžádání informace jako PIN a číslo karty. Důležité je také neklikat na odkazy umístěné v emailových zprávách, ale zadat standardní adresu do prohlížeče ručně.
Kromě zmíněných organizací, které napomáhají v boji proti phishingu, jsou užitečnou ochranou antiphishingové filtry zabudované v internetových prohlížečích. Ty vás, v případě podezření, že navštívená stránka obsahuje falešné informace a jedná se o podvrh, okamžitě upozorní. Tato ochrana ale není stoprocentní a rozhodně nespoléhejte jen na ni. Velmi oblíbenou alternativní pomůckou je Netcraft Toolbar, aplikace která se v podobě panelu integruje do prohlížeče a zobrazuje užitečné bezpečnostní informace a upozorňuje na podezřelé prvky stránky.
Banky bojují hlavně osvětou
Oslovili jsme také zástupce bank, které mají své zastoupení v České republice. Banky shodně potvrzují, že nemalou pozornost věnují bezpečnosti svých webových aplikací a zároveň se snaží vzdělávat své klienty. „Částky na ochranu proti internetové kriminalitě každoročně rostou a pohybují se v řádu stovek milionů korun ročně,“ prozradila ITBIZu Klára Gajdušková, tisková mluvčí České spořitelny.
Tato banka používá vzájemně provázané ochranné prvky. Uživatel musí před vstupem do aplikace internetového bankovnictví zadat klientské číslo a zvolené heslo. Kromě tohoto typu přihlášení je rovněž možné zadat stejné údaje a zároveň kód vytvořený pomocí autentizačního kalkulátoru, což je přístroj o velikosti kalkulačky, který vytváří unikátní kód. Mezi další bezpečnostní ochranu patří grafická klávesnice pod polem pro přihlašování, možnost zablokování účtu, změny hesla nebo bezpečnostního kódu. Jednotlivé transakce je navíc nutné ověřovat podle nastavení autorizační SMS, případně číslem z autentizačního kalkulátoru.
Zákazník Citibank používá jím zvolené Uživatelské jméno, heslo a jednorázový bezpečnostní kód generovaný přiděleným bezpečnostním klíčem. Při zahájení spojení zašle server banky klientovi náhodné číslo. Na straně klienta je toto náhodné číslo zašifrováno pomocí algoritmu Triple DES s využitím uživatelského jména a vstupního hesla do Citibank Online. Takto zašifrované náhodné číslo je vráceno zpět serveru pro ověření oprávněnosti přístupu. Veřejnou sítí proto neprochází uživatelské heslo, ale pouze šifrované náhodné číslo.
Druhou úrovní ochrany je vytváření jednorázového bezpečnostního kódu. Tento kód se generuje na základě času, přihlašovacího pořadí a unikátního klíče nahraného do bezpečnostní klíče. Server ověří, zda se jednorázový bezpečnostní kód shoduje s očekávaným kódem pro příslušného klienta.
Podobný postup nabízí také HVB Bank. Bezpečnostní klíč (token) generuje v každém okamžiku jedinečný bezpečnostní kód s platností v řádu sekund. V případě, že by útočník získal tento kód, příliš si nepomůže, protože již nebude funkční. Standardem je rovněž i šifrování.
Komerční banka zatím podporuje u svého internetového bankovnictví pouze webový prohlížeč Internet Explorer. Další prohlížeče jsou v plánu údajně v prosinci tohoto roku. Podrobnější informace k bezpečnostním prvkům banka neposkytla. „Vzhledem k tomu, že phishingové útoky jsou spojeny se sociálním inženýrstvím a odehrávají se mimo servery banky, je nutná především včasná detekce a rychlá komunikace směrem ke klientům,“ píše ve svém vyjádření Zuzana Čepelková z tiskového oddělení banky.