Prohlizece.info

Prohlizece.info → Bezpečnost internetového bankovnictví - Phishing - aneb jak napálit klienta (3.díl)

Anketa: Google Chrome 0.2 beta vs Opera 9.6 pro účely seminární práce

Bezpečnost internetového bankovnictví - Phishing - aneb jak napálit klienta (3.díl)

Máme zasebou dva díly seriálu o bezpečnosti internetového bankovnictví. Dnes je napořadu třetí, který se zaměřuje na fenomén jménem phishing a nabízí rovněž praktické rady, jak se proti němu bránit.

Obsah (datum zveřejnění)

1. Úvod - základní rozdělení útoků (24.října 2008)
2. Hacking a odposlouchávání (31.října 2008)
3. Phishing - aneb jak napálit klienta (Dnes)
4. Zabezpečení počítače potažmo bankovního účtu (14.listopadu 2008)
5. Vyhodnocení ankety (21.listopadu 2008)
6. Závěrečné hodnocení (28.listopadu 2008)

Phishing - aneb jak napálit klienta

První dva typy útoků mohly být prováděny pouze opravdovými experty na IT. O tomto typu útoku se to ale rozhodně tvrdit nedá. Když to přeženu, každý kdo si jednou přečte článek o tom, co to je phishing, tak ho může provozovat. U phishingu totiž nejde o to, nabourat se do cizího účtu nějakými ‚"high-professional" způsoby, nýbrž jde o to, aby vám klient své údaje řekl „dobrovolně".

Nejdříve si vysvětlíme samotné slovo phishing. Toto slovo vzniklo z anglického slova fishing - rybařit. Někdy se tedy phishing překládá jako rybaření, někdy zas jako rhybaření. A proč právě rybaření? Je to jednoduché. Vy jako útočník rozhodíte návnady a poté už jen čekáte, až se vám nevinné rybky chytí do návnady.

Výše zmíněné vysvětlení působí možná lehce dětinsky, ale o to víc je výstižné. Asi nejlepší bude reálný příklad z praxe.

Jistému pánovi dorazila jednoho dne do emailové schránky následující zpráva: „Dobrý den, jsem syn bohatého nigerijského ropného magnáta. Můj otec nedávno umřel a své jmění my ve svém dědictví zanechal. Složitá nigerijská soudní správa po mně požaduje nejprve zaplatit poplatek asi milion nigerijských Nair, což je asi dvě stě tisíc korun. Ale jelikož nemám přístup k otcovým účtům, tyto peníze nemám. Proto Vás prosím o zaslání této částky. Ihned jak bude dědictví v mých rukou, pošlu desetinásobek půjčené částky."

Přijde vám tato zpráva směšná? Mně ano. Ale pěkně popořádku. Útočník si v podobě tohoto emailu připravil návnadu. Tento email pak přímo zaplavil tisíce emailů v ČR, ale i jinde po světě. (Většina phishingu je šířena jako SPAM.) Sítě byly rozhozeny. A teď už jen stačilo až se nebohá rybička chytí. A chytila. Nebyla sama. Několik lidí tomuto emailu opravdu naletělo, začalo s útočníkem komunikovat a následně mu i peníze poslalo. Samozřejmě desetinásobku se už nikdy nedočkali a nedočkali se ani půjčených peněz. Ty skončily někde na účtech v zahraničí, kde k nim české úřady nemají přístup. Rybka skončila na pekáči... (Tento příběh měl navíc ještě své tragické pokračování. Jeden z napálených navštívil nigerijský konzulát, kde proběhla hádka. Ta byla ukončena střelbou. Nigerijský konzul byl zastřelen. Útočník dostal 8 let.
)

Řekli byste si, že šlo o klasický podvod. A taky že ano. Phishing je opravdu klasický podvod. V případě IB má v zásadě dvě podoby.

První typ je velmi jednoduchý na realizaci. Stačí rozeslat email se zhruba takovým to textem: „ Dobrý den, v systému naší banky se vyskytla chyba. Proto prosíme všechny klienty, aby odpověděli na emai:l vas.milosrdny@utocnik.cz a poslali v něm své přihlašovací údaje. Za vzniklé potíže se omlouváme."

Samozřejmě email útočníka není tak nápadný. Celý tento podvod je založen na tom, že email se tváří jako by ho napsali pracovníci banky. Může vám tak přijít email, kde bude adresát admin@servis24.cz. Ptáte se, jak je možné, že útočník použil emailovou adresu admin@servis24.cz. Ono ve skutečnosti podvrhnout adresáta v emailu dokáže každý mírně pokročilejší uživatel internetu. Pokud tedy dostanete email z adresy George.Bush@whitehouse.us, tak nepropadejte panice, prezident USA vám určitě nepíše.

Druhý typ je už o něco sofistikovanější. Znovu je základem nějaká zpráva v emailu, tvářící se jakoby přišla od pracovníků banky: „Dobrý den, v našem internetovém bankovnictví přibylo několik novinek. Neváhejte a vyzkoušejte je." K emailu pak útočník připojí odkaz tvářící se jako odkaz na vaši banku. Ve skutečnosti tento odkaz vede na speciální stránku připravenou útočníkem, která je ale naprosto identická jako stránka vaší banky. Jediný rozdíl najdete v adresovém řádku vašeho prohlížeče. Například pokud jste klientem České spořitelny, v adresní řádce naleznete tuto adresu: http://www.servis24.cz. Pokud jste ale právě narazil na stránku útočníka, adresní řádka bude obsahovat toto: http://210.192.252.214:1090/. Pokud si člověk nevšimne, že je na zcela jiné stránce, v klidu zadá své přihlašovací údaje. V té chvíli, místo toho abyste se přihlásil do svého účtu, jste právě odeslal své přihlašovací údaje útočníkovi.

Proti phishingu není žádná speciální obrana. Stačí dodržovat dvě základní pravidla.

1. Nikdy neodpovídat na emailové výzvy o poslání vašich osobních údajů „pracovníkům banky". Banky, pokud chtějí získat nějaké údaje, používají jiné metody (osobní kontakt, apod.).
2. Při přístupu na stránky vaší banky vyťukejte www adresu do prohlížeče sami.

Další články

• Bezpečnost internetového bankovnictví - Zabezpečení počítače potažmo bankovního účtu (4.díl)
• Bezpečnost internetového bankovnictví - Úvod (1.díl)
• Živě.cz: Flash: nová phishingová hrozba

• Statistiky Prohlizece.info - říjen 2008
• Bezpečnost internetového bankovnictví - Phishing - aneb jak napálit klienta (3.díl)
• Google Chrome 0.3: Vylepšená práce s pluginy
• Opera Dragonfly 0.7 alfa 3

O webu | Mapa stránek | Prohlášení o přístupnosti | ISSN 1802-3584

Copyright © Jan Mikula (2005 - 2009) - Qexy Design