Čím je některá webová služba více oblíbená, tím se také stává atraktivnější pro útoky a podvody. Facebook se stal současným fenoménem mas, a tak i hitem z pohledu útočníků.
Pamatujete na doby, kdy se především ve Spojených státech a dalších anglicky mluvících zemích začal objevovat phishing? Podvodné e-maily, které loudily přihlašovací údaje nebo další citlivé informace, nám zprvu připadaly tak vzdálené, jako z jiného světa. Postupně se phishing a další různé metody sociálního inženýrství (chcete-li, tak sociotechniky) staly nedílnou součástí každodenních pokusů o elektronické podvody, e-maily s nimi plní naše schránky. A čím populárnější některá služba je, tím spíše se dostane do hledáčku podvodníků. Není proto divu, že se oblíbeným terčem poslední dobou stále více stává i Facebook.
Během minulého týdne se e-mailové schránky opět plnily novým pokusem, možná jste i vy dostali zprávu vyzývající k resetu hesla pro Facebook z důvodu bezpečnosti. Nešlo o phishing v pravém slova smyslu, jelikož uživatel údaje nemusel zadávat, stačilo prostě spustit speciální kód v příloze. Asi není žádným překvapením, že se nejednalo o reset hesla, ale podloudnou techniku, jak příjemce donutit, aby si do počítače pozval nechvalně známého trojského koně Bredolab. Ten pak funguje jako klasický downloader, a po své aktivaci tedy zajišťuje pravidelný přísun malwaru do infikovaného počítače, stejně jako by šlo o sychravě podzimní nezbytnost v podobě zvýšených dávek vitaminu C.
Miliony větší pár tisícovek
Připadá vám to až neuvěřitelně jednoduché, jeví se vám princip naprosto stupidním? Bohužel právě zde platí, že v jednoduchosti je síla, a řada uživatelů tak opravdu přiložený soubor spustí. Vždyť co kdyby se něco mělo stát s jejich Facebookem, nerozlučným druhým já, které je reprezentuje v online světě… Pak už se mohou chytit stébla jen díky antiviru, který malware odhalí. Samozřejmě by bylo chybou myslet si, že podobně triviální útoky směřují jen proti uživatelům Facebooku, genialita jednoduchosti motivuje i ostatní. Kolega Pavel Nygrýn mně přeposlal e-mail, který mu dorazil a jenž se také nepokoušel vymýšlet žádné složitosti. Redakčně kráceno, původní význam byl následující: „Tady podpora Microsoftu, abyste byli chráněni před nejnovějšími hrozbami, spusťte program v příloze“. Kromě pár jazykových a stylistických kudrlinek nic víc a nic míň, jednoduchý přímý pokus. Uživatel se buď nechytne, z pohledu útočníka žádná tragédie, nebo vějičku spolkne i s navijákem a útočníkovi přibude další ochočená ovečka, třebas z druhého konce světa.
Na bezpečnost sociálních sítí lze nahlížet ze dvou základních úhlů: jednak je důležité, co komu o sobě dobrovolně prozradíte, a jednak záleží na tom, jak vás dokážou zpracovat sami útočníci
Vraťme se zpět k Facebooku, který se od svého rozmachu stal oblíbeným terčem. Dříve podobným útokům stejných sítí čelilo například MySpace, jenž se však rozšířilo hlavně mezi americkými teenagery, a tak u nás podvodné pokusy nemůžeme považovat za příliš předmětné. To Facebook je jiná liga, v Česku se dočkal popularity především díky své lokalizaci, najednou byl i celosvětově trendy a in jak pro začínající uživatele, tak starými dobrými „BBSkami“ odchovanými geeky. A právě to je předpoklad úspěšného hromadného útoku, oslovit co možná nejvíc potenciálních obětí, z nichž se někdo určitě chytne. Pokud půjde o setinu promile z celkového počtu rozeslaných zpráv, je vždy lepší útočit na desítky milionů než pár tisíc.
Z historie specifických útoků proti Facebooku vzpomeňme na červa Koobface, který rozesílal zprávy odkazující na stránky podobné klasickému videoportálu YouTube, ale pokud je příjemce facebookové zprávy následoval, došlo k otevření podvodné kopie. Namísto spuštění videa byl uživatel vyzván ke stažení doplňku pro přehrání, a tedy stažení viru. Podobně jako u e-mailu nebo instant messagingu zde autoři těží z toho, že zprávy na první pohled pocházejí od známého kontaktu.
Evoluce uživatelská i bezpečnostní
Facebook jsem si v tomto článku vybral jako příklad jedné z masově rozšířených služeb, která je právě na vrcholu. Osobně svou míru optimismu praktičnosti a opravdového přínosu této služby vždy mírním – stále mně neoslovila a ani magická čísla aktuálního počtu uživatelů mě nenutí k tomu, abych se ke stádečku přidal. Z pohledu bezpečnosti však určitě bude zajímavé, jaké další techniky a podvody se objeví. Nové možnosti útoku přinesly e-maily, pak se k nim přidal instant messaging, stranou kvůli SMiShingu nezůstaly ani podvodné SMS vlaštovky, nyní jsou na řadě sociální sítě. Prozatím jde o jednoduché útoky, které vycházejí ze starších scénářů, ale více paranoidní uživatelé nebo prozíraví útočníci již jistě mají své vlastní.
Nakolik považujete klasický phishing za stále aktuální techniku? Stanou se sociální sítě rejdištěm útočníků v blízké době, které útoky byste proti nim čekali? Nebo jsou Facebook a jemu podobné služby jen přespříliš nafouknutou bublinou? Podělte se s ostatními čtenáři v diskuzi pod článkem!
