Fenomén podvodných e-mailů (phishing) se již objevil i v České republice. V tomto článku se dozvíte jakým způsobem je možné se bránit a jaké prostředky ochrany před podvodnými e-maily nabízí moderní řešení poštovních serverů.
Základy o phishingu
Phishing (občas počešťovaný jako rhybaření) je název pro kriminální aktivitu, která má za cíl krádež cizí identity, zejména za účelem finančního zisku. Nejčastěji se pro získání osobních informací používá metoda rozesílání podvodných e-mailů, které mají přimět uživatele aby tyto informace útočníkovi dobrovolně poskytl. E-maily většinou vyzývají adresáty, aby zadali své přihlašovací údaje, čísla kreditních karet, PIN kódy a jiné zabezpečovací kódy a hesla k různým internetovým službám, včetně on-line bankovnictví.
Pro větší přesvědčivost obsahují e-maily často také klamné zdůvodnění takového požadavku, kterým může být údajná kontrola přihlašovacích údajů nebo změna v zabezpečení internetové služby. Tělo e-mailu se snaží kopírovat grafický styl používaný danou institucí nebo serverem a zpravidla obsahuje odkaz na podvodnou webovou stránku, která je pak téměř identickou kopií dané služby. Uživatel, který na takové stránce vyplní požadované informace, je prakticky sám odevzdá do rukou útočníka. Obětí se stává nejen uživatel ale i provozovatel služby.
Může se to stát i mně?
Až do nedávné doby se problematika podvodných e-mailů České republice poměrně vyhýbala. Bylo to dáno zejména jazykovou bariérou, protože většina phishingových e-mailů je v angličtině, a také relativní nezajímavostí tuzemských služeb. Vše se ale změnilo a na tyto podvody mohou snadno skočit i čeští uživatelé. Svědčí o tom i nedávný útok snažící se získat přístup k účtům České spořitelny a také rostoucí počet domácích uživatelů používajících známé internetové služby (eBay, PayPal apod.).
Jak se bránit
V případě, že uživatel má podezření, že se stal obětí takového podvodu, měl by se okamžitě obrátit na provozovatele dané služby a nechat kompromitovaný účet zablokovat. V případě bankovních účtů nebo platebních karet je třeba vše ihned řešit s bankou.
Existuje ale několik způsobů jak se dá této situaci předejít a nenechat se napálit. Základním kamenem je opatrnost uživatele a jeho proškolení. Oproti běžnému chování v životě mívají uživatelé při práci s počítačem tendenci všemu co přijde elektronickou poštou více důvěřovat.
Kromě legislativních kroků a tvrdých postihů pro pachatele je také možné použít technické prostředky pro odhalení podvodných e-mailů. Nejlepší ochranou je situace, kdy podvodný e-mail není uživateli vůbec doručen. Obranu je možné realizovat přímo u uživatele v jeho emailovém klientu, nebo v poštovním serveru. Druhá možnost je mnohem více zajímavá pro správce firemních sítí, protože dovoluje provádět filtrování na jednom místě pro všechny uživatele. Také jsou zde mnohem větší možnosti detekce.
Obrana v poštovním klientu
Základní obranou bývá poměrně jednoduchý filtr v poštovním programu, který má za úkol upozornit uživatele pokud se takový e-mail pokusí otevřít. Princip odhalení podvodného e-mailu je jednoduchý a spočívá v kontrole odkazu (URL) v těle e-mailu a jeho textu. Emailový klient pak upozorní uživatele, pokud se URL odkazu výrazně liší od textové části nebo pokud URL v odkazu obsahuje IP adresu a tato adresa neodpovídá DNS záznamu domény v textové části odkazu. Takový filtr je obsažen např. v poštovním klientu Thunderbird.
Mozilla Thunderbird upozorňuje na možnot, že otevřený e-mail je podvodný
Podobnou ochranu založenou na kontrole URL poskytují také novější internetové prohlížeče (FireFox 2, Microsoft Explorer 7, Opera 9.1). Zde se však adresa odkazu testuje proti databázi známých serverů s podvodnými stránkami v okamžiku, kdy uživatel oklamaný dobře vypadajícím e-mailem klikne na uvedený odkaz. Databáze se automaticky aktualizuje z Internetu.
Internet Explorer 7 ani Firefox 2.0 uživatele
Stejnou ochranu lze doinstalovat i do starších prohlížečů jako rozšíření (např. Netcraft Anti-Phishing Toolbar):
Likvidace podvodných e-mailů na poštovním serveru
Oproti klientským stanicím je možné při přijímání e-mailu poštovním serverem podvodný e-mail odhalit mnohem snadněji. Moderní řešení podnikového poštovního serveru totiž standardně obsahuje anti-spamový a antivirový filtr. Vhodnou kombinací metod pro detekci spamu a antivirové kontroly lze podvodný e-mail snadno detekovat a odstranit.
Podvodník, snažící se získat cizí identitu, musí vynaložit určitou míru úsilí, aby byl úspěšný. E-mail musí na první pohled působit věrohodně a naléhavě. Vysoce sofistikované podvody dokonce používají i věrohodně vypadající jména serverů v odkazech (často podvodně registrovaná). Nejčastějším způsobem odesílání podvodných e-mailů je však použití sítě infikovaných počítačů. Existují způsoby jak si takovou síť koupit nebo pronajmout, nejčastěji od skupiny spammerů. Samotný podvodný e-mail se pak podobá spamu, protože používá stejnou metodu šíření.
Jaké metody je možné použít pro odhalení podvodného e-mailu?
-
Ověření odesílatele. Pro snadnější oklamání uživatele obsahují e-mailové adresy odesílatele skutečnou doménu. Použitím kontroly SPF (Sender Policy Framework) nebo Sender-ID (případně staršího Caller-ID) lze snadno ověřit, jestli je odesílací server oprávněn posílat e-maily pro tuto doménu.
-
Kontrola odesílatele v DNS blacklistech. Podvodné e-maily se šíří stejným kanálem jako spamy. Většina odesílacích serverů a infikovaných počítačů bývá zanesena v DNS blacklistech (Spamhaus, SORBS) díky předchozímu rozesílání spamů.
-
Kontrola odkazu v HTML těle e-mailu. Princip je stejný jako při detekci v emailovém klientu. Text odkazu je porovnán se skutečným URL odkazu. Detekují se i takové rozdíly, kdy text obsahuje https:// a skutečný odkaz vede na nezabezpečenou stránku (http://).
-
Kontrola odkazu v e-mailu v URL blacklistech. Odkaz uvedený v e-mailu vedoucí na zfalšovanou internetovou stránku se vyhledává ve volně dostupných databázích (např. SURBL Spam URI Realtime Blocklists). Tyto databáze jsou někdy přímo specializované na podvodné stránky (ph.surbl.org).
Vhodným spojením všech výše popsaných metod je možné převážnou většinu podvodných e-mailů identifikovat ještě před tím, než je doručen uživatelům. Každá kontrola přidává spamové skóre k hodnocené zprávě. Při dosažení určité hodnoty celkového skóre se zpráva přesune do zvláštní složky nebo ji server odmítne. Je vhodné používat řešení s víceúrovňovým filtrováním, kde zprávy se skóre nižším než je určitá hranice jsou doručeny uživateli a označeny jako podezřelé a e-maily s vyšším hodnocením jsou rovnou zahozeny.
[11/Oct/2006 21:46:19][43184128] {spam} Spam Filter: calculating spam rating for message 452d4a08-00000a8f from <servise@csas.cz> to <xxx@xxx.cz>...
[11/Oct/2006 21:46:19][43184128] {spam} Spam Filter: SPF check failed, adding score 3.00
[11/Oct/2006 21:46:19][43184128] {spam} Spam Filter: Sender IP is on blacklists, adding score 6.00 (DNSBL_SBL-XBL.SPAMHAUS.ORG: 3.00,DNSBL_DNSBL.SORBS.NET: 3.00)
[11/Oct/2006 21:46:20][43184128] {spam} SpamAssassin result string for message file /Volumes/XServe-RAID/mailstore/queue/0f/452d4a08-00000a8f.eml, time 0.52s: Yes, 5.083,5,BAYES_00: -1.665,HTML_IMAGE_ONLY_20: 1.157,HTML_MESSAGE: 0.001,HTML_TITLE_EMPTY: 0.214,HTTPS_IP_MISMATCH: 2.4,MIME_HTML_ONLY: 0.001,NORMAL_HTTP_TO_IP: 0.175,URIBL_PH_SURBL: 2.8
[11/Oct/2006 21:46:20][43184128] {spam} Spam Filter: SpamAssassin check finished, adding score 5.08
[11/Oct/2006 21:46:20][43184128] {spam} Spam Filter: Custom spam rules check finished, adding score 0.00
[11/Oct/2006 21:46:20][43184128] {spam} Spam Filter: Message 452d4a08-00000a8f from <servise@csas.cz> to <xxx@xxx.cz> got 10.00 hits, total spam score is 14.083
Příklad výstupu kontroly na poštovním serveru.
Do boje s podvodnými e-maily je vhodné zapojit i antivirový filtr. Podvodné e-maily představují pro uživatele mnohem větší nebezpečí než obyčejný spam. Není proto divu, že se k válečnému tažení proti podvodným e-mailům připojili i známí výrobci antivirových programů. Antivirové programy (např. McAfee, NOD32 a další) jsou schopny phishingové e-maily rozpoznat a označit. Samozřejmě je nutné udržovat antivirový program neustále aktualizovaný. Opět se zde vyplatí používat antivirové programy které dokáží spolupracovat přímo s poštovním serverem. Praxe ukazuje, že je výhodné kombinovat dva různé antiviry na poštovním serveru tak, aby se vzájemně doplňovaly. Každý antivir má jiný interval aktualizací a také mohou mít různé definiční soubory se vzorky phishingových e-mailů s ohledem na region, pro který je antivir určen, nebo kde se nachází výrobce.
Závěr
Úspěšnost odhalení podvodného e-mailu je nepřímo úměrná jeho rozšíření a mazanosti podvodníka. Technická opatření na straně poštovního serveru a poštovního programu pomáhají výrazně snížit riziko, že se uživatelé nechají oklamat. Jako vždy však platí, že nejlepší obranou je prevence. Neznámému člověku na ulici také neříkáme svůj PIN k platební kartě jenom proto, že je hezky oblečen a představil se jako zástupce naší banky. K e-mailovým zprávám je třeba se chovat stejně a používat zdravý rozum.
Přesto však několik rad pro uživatele na závěr:
-
Nikdy neklikejte na podezřelé odkazy přímo v těle e-mailu. Přepište je do adresního řádku prohlížeče ručně.
-
Do svého online bankovnictví přistupujte vždy ručním zadáním adresy nebo kliknutím na předem uloženou záložku v prohlížeči.
-
Vždy zkontrolujte, zda je připojení zabezpečené (https://, symbol zámečku v okně prohlížeče).
-
Pokud obdržíte podvodný e-mail, můžete jej nahlásit na některý z odkazů uvedených níže.
Autor pracuje ve firmě Kerio Technologies na vývoji zabezpečeného groupwarového a poštovního serveru.
