Na Česko opět útočí phishing. Oběti si za to mohou samy

Na Česko útočí další phishing. Tentokrát podvodný e-mail varuje před nesplacenou pohledávkou a jako řešení nabízí virus. Lidé jsou nepoučitelní a opět jej spouštějí.

Jedním z témat včerejšího dne byl nesporně e-mail od Beáty Kalivodové a dalších vedoucích pracovníků odboru vymáhání pohledávek fiktivní banky, kteří zahltili české příjemce žádostmi o co nejrychlejší uhrazení dluhu. K tomu měla dopomoci i příloha, která obsahovala vábničku ve formě zcela běžného RTF souboru s návrhem smlouvy a ještě jeden EXE soubor.

Klepněte pro větší obrázek 
Podvodný e-mail se zavirovanou přílohou

Uvnitř se podle záznamu na Viry.cz skrývala jedna z mnoha mutací trojského koně. Tento malware většinou pouze otevírá dvířka do systému pro další svinčík, může se ale specializovat i na odposlech toho, co se děje uvnitř webového prohlížeče. Tyto údaje včetně vyplněných formulářů pak může posílat kamsi na neznámý server. Takto včera na vir zareagoval jeden z antivirových multiskenerů.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
Alternativní podoba e-mailu a obsah přílohy s virem (Zdroj: Lukáš Plný v diskuzi na Živě.cz

Skrze trojského koně se pak do počítače může dostat třeba Zbot – univerzální Zeus a jeho mutace, které jsou pro svou rozšířenost dobře zmapované, i když se snaží schovávat. Rizikem mohou být hlavně pro starší verze Windows. Ostatně programátoři najdou zdrojové kódy jednoho takového Dia i na GitHubu a mohou si postavit vlastní modifikaci. Zeus umí zapojit počítač do botnetu, rozesílat spam, sledovat činnost prohlížeče a instalovat další svinčík.

Vcelku běžný phishing

Způsobený humbuk byl snad až nemístný, na první pohled se totiž jednalo o zcela běžný phishing se zavirovanou přílohou. Jistě, text samotný byl napsaný poměrně dobře, pakliže však příjemci berou vážně jakýkoliv e-mail, který je napsaný česky, tuzemská elementární počítačová gramotnost má opravdu vážné trhliny. Pokud jste přesto přílohu EXE spustili, CSIRT.CZ radí, co vše je třeba napravit.

Odesílatel se dokonce nesnažil napodobovat e-mailové adresy bank, ale namísto toho používal všemožné domény. V našem případě se jednalo o e-mail odeslaný z domény Guns.cz, která patří Asociaci výrobců a prodejců zbraní a střeliva. Pokud je mi známo, tato organizace žádné bankovní služby neposkytuje.

Nevěřte e-mailové adrese, zneužití je jednoduché

Nutno nicméně podotknout, že ani pohled na adresu odesílatele nezaručuje naprosto nic. Poštovní protokoly fungují diametrálně odlišně než třeba WWW. Pokud budete chtít používat doménu banka.cz, musíte si ji pronajmout, případně na počítači oběti nejrůznějším způsobem podvrhnout doménový systém (úprava souboru hosts, použití vlastního DNS serveru, který bude na dotaz banka.cz odpovídat IP adresou jiného stroje apod.). Jenže pokud budete chtít odeslat e-mail z adresy beata.kalivodova@banka.cz, stačí tuto hodnotu jednoduše vyplnit do hlavičky poštovního protokolu a zprávu odeslat. V oblíbeném webovém programovacím jazyku PHP je to jeden jediný řádek kódu s vyplněnými kolonkami „Od“, „Komu“ a „Co“, no a pro ty méně zdatné je tu pak celý zástup webovým anonymních e-mailerů.

Klepněte pro větší obrázek Klepněte pro větší obrázek
V této podobě by byl včerejší phishing ještě důvěryhodnější. Zneužití cizího e-mailu je na internetu velmi jednoduché, e-mail odesílatele je totiž pouhá textová položka, kterou doplní při odesílání poštovní klient. Standardně nedochází k žádné formě kontroly identity.

Že tu něco nehraje, zjistí příjemce leda v případě, když si zobrazí zdrojový kód zprávy a zkontroluje políčko odesílajícího serveru. Pakliže nemá nic společného s doménou banka.cz, respektive s provozovatelem, bude to nanejvýš podezřelé. Jenže zkušený surfař se nenapálí a ten běžný tomu zase nebude vůbec rozumět. Jednoduché poštovní klienty třeba v mobilech zároveň tuto pokročilou funkci zpravidla nenabízejí. 

Právě toto velmi snadné zneužití adresy odesílatele by mělo být varovným majáčkem pro klíčové instituce, aby používaly digitální podpis a další ochranné prvky, stejně jako se prosadilo používání HTTPS certifikátů na webu.

Elementární počítačová gramotnost

Zodpovědnost je však nakonec vždy a pouze na příjemci. Domnívám se, že takový člověk nemusí být žádný odborník, aby měl přehled o tom, jestli má nějaké nesplacené dluhy, a už vůbec by jej nemělo napadnout, aby spouštěl EXE programy v přílohách, pakliže žádné EXE programy nečeká. Žádná finanční instituce tímto způsobem se svými klienty nekomunikuje a je to natolik rozšířený bezpečnostní evergreen, že je spíše látkou pro skutečné odborníky na lidskou duši, jak je možné, že se i po deseti – patnácti letech někdo opět chytí do pasti.

Tiché viry

Dejme ale tomu, že opravdu nevíte, co je uvnitř neznámého programu, nebo si to chcete alespoň vyzkoušet. Pokud očekáváte, že po spuštění zavirované aplikace nastane nějaké dechberoucí divadlo, nejspíše příliš koukáte na filmy.

Dnešní viry fungují jinak než v dřevních počítačových dobách. Tehdy to byly často vtípky, které chtěly upozornit na autora, nebo opravdu ublížit a třeba smazat nějaká data. Dnešní viry určené pro veřejné počítače chtějí ve většině případů naopak docílit toho, abyste si jich pokud možno vůbec nevšimli. Je tedy docela možné, že jste roky zapojení v nějakém botnetu, ale nemáte o tom nejmenší tušení.

Takový tichý virus nejčastěji zneužívá vaši internetovou konektivitu a rozesílá skrze vaši IP adresu spam, případně můžete být součástí nějakého organizovaného DDoS útoku. Pokud už na vás virus opravdu útočí, tak spíše způsobem, že se bude pokoušet upravit nastavení nejpoužívanějších prohlížečů, může se pokoušet upravit vaše nastavení DNS a může odposlouchávat vyplněné webové formuláře a hledat hesla, čísla kreditních karet a tak dále.

Čili pokud klepnete na podobný EXE program, spustí se, uloží do registru několik hodnot, vyseparuje ze sebe nějaké další podprogramy, ale to vše je vlastně na první pohled zcela neviditelné.

Pískoviště

Abyste si to vyzkoušeli a celý proces monitorovali, můžete použít třeba virtuální Windows ve VirtualBoxu. Není to sice stoprocentně bezpečné – můžete narazit na virus, který chce využít zranitelnosti virtualizačního systému, ale je to spíše nepravděpodobné.

Virtualizace je tedy typickým příkladem tzv. sandboxu – izolovaného pískoviště. No a co se stane na pískovišti, také zůstane na pískovišti. Na pískovišti můžete blbnout, jak chcete, ale nijak se to nedotkne hostitelského systému.

Klepněte pro větší obrázek
Regshot porovná dva stavy systémového registru...

Na sledování změn v systémovém registru se hodí třeba program Regshot. V prvním kroku provede kompletní analýzu stromu registru, poté uděláte nějaké změny – třeba spustíte zavirovaný EXE program, no a následně provedete další analýzu a program oba soubory porovná a vypíše, co se v registru změnilo.

Klepněte pro větší obrázek
A zobrazí rozdíl. Z tohoto seznamu je patrné, že jsem v mezidobí instaloval Operu Next

Pokud pro vás bude virtualizace příliš velký kalibr a chcete monitorovat nějaký méně závažný malware, který neprovádí sofistikovanější ilegální systémové operace, mohlo by postačit i populární Sandboxie.

Sandboxie je speciální aplikace, která přesměruje systémová volání pro zápis do registru a zápis dat na disk. Pokud běžným způsobem spustíte program X, může něco zapsat do systémového registru a uložit nějaké soubory do uživatelského adresáře. Sandboxie tyto žádosti zachytí a hodnoty uloží do svého vlastního falešného registru a adresářové struktury. To v praxi znamená, že když tento falešný registr a adresář smažete, po programu spuštěném skrze Sandboxie opravdu nezůstane žádný svinčík v systému.

Klepněte pro větší obrázek Klepněte pro větší obrázek 
Spuštění Opery v ískovišti Sandboxie – nyní Opera zapisuje do fiktivního systémového registru a do izolovaného adresáře

Pokud byste tedy v Sandboxie spustili nějaký nedůvěryhodný program, mohli byste sledovat, jak ukládá hodnoty do falešného registru a soubory do adresáře. Jak jsem však zmínil výše, na hrátky s pokročilými sofistikovanými viry, které mohou zneužívat různých chyb přímo v operačním systému, se Sandboxie určitě nehodí.

Klepněte pro větší obrázek
Sandboxie umožňuje monitorovat všechna systémová volání programu a kontrolovat, jaké soubory vytváří

Multiskenery: všechny antiviry v jendom a online

Nakonec je tu ještě web. Pokud nehodláte experimentovat s pochybným programem na svém počítači – i kdyby byl třeba celý virtualizovaný, můžete jej zkontrolovat pomocí některého z mnoha webových antivirů. Soubor stačí přes formulář nahrát na server a záhy se dozvíte výsledek.

U nového malwaru však nemusí webový antivirus vůbec zareagovat, poněvadž ještě nemá uložený jeho otisk. Proto je vhodné použít nějaký „multiskener“, který zkontroluje soubor (klidně celý balík ZIP/RAR) pomocí až několika desítek antivirových programů. Umí to třeba Virscan.org, VirusTotal.com a další.

Klepněte pro větší obrázek Klepněte pro větší obrázek
VirusTotal přehledně zkontroluje soubor pomocí několika desítek antivirů a podá i přehledné informace o obsahu

Nejlepším antivirovým programem je však přirozený selský rozum uživatele. I když se virus do vašeho počítače může dostat skrze zranitelnost v Javě, Flash Playeru a dalších doplňcích prohlížeče, kdy opravdu stačí navštívit jen nějakou problematickou stránku, podobný svinčík se zpravidla nenachází na běžném webu, ale na jeho periferiích, kde vždy surfujete na své vlastní riziko. A to nakonec platí i o klepání na každou přílohu a odkaz v e-mailu bez jakéhokoliv rozmyslu.

Na stranu druhou, pakliže jsou lidé přes veškerou medializaci dodnes schopni podlehnout lákadlům nigérijských e-mailů, nic lepšího než zavirovaný počítač si nejspíše ani nezaslouží.

Témata článku: Web, Bezpečnost, Kauzy, Phishing

64 komentářů

Nejnovější komentáře

  • Przemysławs Stasiła 31. 8. 2014 12:09:03
    Dostal jsem e-mail z této adresy . Google našel www.prima-cr.cz. prodej...
  • dolph1888 29. 4. 2014 23:28:51
    :-O Na to někdo skočila? Japato? To nemohla být normální člověka zde...
  • mungo 29. 4. 2014 21:55:57
    Samozřejmě na Česko nikdo neútočí. To je pouze bulvární titulek.

Určitě si přečtěte


Nejlepší programy pro střih videa na doma: 10 video editorů, ze kterých si vyberete

Nejlepší programy pro střih videa na doma: 10 video editorů, ze kterých si vyberete

** Adobe Premiere Pro ani Final Cut se pro běžné uživatele příliš nehodí ** Programy na domácí střih většinou stojí do dvou tisíc ** V desítce nejzajímavějších najdete i 3 videoeditory dostupné zdarma

19.  9.  2016 | Stanislav Janů | 37

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

** Budeme odposlouchávat IR ovladač klimatizace ** Vyrobíme laciný rádiový vysílač ** Vyzkoušíme komunikaci pomocí Bluetooth a v pásmu 433 MHz

21.  9.  2016 | Jakub Čížek | 18

Vymazat se z internetu není možné, velkou část osobního obsahu však odstranit můžete

Vymazat se z internetu není možné, velkou část osobního obsahu však odstranit můžete

** Online stopy i se svým jménem zanechá většina uživatelů internetu ** Jejich smazání nikdy nebude stoprocentní ** Poradíme, jak odstranit jejich větší část

20.  9.  2016 | Stanislav Janů | 21

Zoner Photo Studio X: Umí vrstvy, vyrobí fotoknihu a získáte jej za roční paušál

Zoner Photo Studio X: Umí vrstvy, vyrobí fotoknihu a získáte jej za roční paušál

** Je to největší aktualizace za poslední roky ** Konečně umí vrstvy, vyrobí fotoknihu i obraz ** Nově pouze jako předplatné s průběžnými upgrady

19.  9.  2016 | Jakub Čížek | 67

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

** V systému se mohou periodicky spouštět nechtěné aplikace ** Anebo si vyberou tu nejméně vhodnou chvíli ** Prozkoumejte Plánovač úloh na Windows

23.  9.  2016 | Jakub Čížek | 106


Aktuální číslo časopisu Computer

Srovnání výhodných 27" monitorů

Velký test levných rychlých routerů

Jak nastavit Android, aby vás nesledoval

45 podrobných testů a recenzí