Internetové podvody postupem času získávají novou a pravděpodobně také nebezpečnější tvář. S tím, jak se informační dálnice stále více rozvětvuje a zvětšuje, přibývají pokusy o digitální krádeže – ať už identity nebo „pouze“ peněz. Jedněmi z neblaze proslulých technik jsou také phishing ruku v ruce s pharmingem.
Získávání citlivých informací nic netušících uživatelů vždy bylo jedním z nejvíce probíraných praktik temnější strany pomyslné počítačové barikády, přičemž poslední dobou se stále více diskutuje zejména o takzvaném phishingu a pharmingu. Co se skrývá za dvojicí slov, které při vyslovení připomínají výlet do světa flory a fauny? Díky oběma technikám může útočník velice elegantně a na první pohled téměř nepozorovaně získat například přihlašovací jména nejrůznějších webových služeb, jim odpovídající hesla nebo čísla kreditních karet.
Jak se rybaří načerno
Phishing má své lingvistické kořeny ve spojení anglických slov fishing (rybaření) a phreaking (nabourávání telefonních služeb), co do počítačové bezpečnosti se pak jedná o trik s rozesíláním podvodných e-mailových zpráv. Ve skutečnosti celá situace na první pohled opravdu připomíná zmiňované rybaření – podvodník totiž jako návnadu použije lživé e-maily a pouze čeká, kdo se chytí.
| Phishing řečí čísel |
|
Phishingoví podvodníci začínají v poslední době využívat také trojské koně, především tzv. keyloggery. Tyto trojani potichoučku čekají, až se uživatel přihlásí na určenou stránku, poté monitorují stisknuté klávesy a odešlou je útočníkovi.
Podle studie Anti-Phishing Working Group (www.antiphishing.org) narůstal počet phishing stránek od července 2004 do března 2005 průměrně o 28 % měsíčně a průměrná doba online stavu podvodné stránky se vyšplhala na necelých šest dní. Statistiky také ukazují, že nejčastěji používaným portem, na kterém phishingový server naslouchá, je standardní HTTP port číslo 80 (celkem 96%). |
Běžný scénář vypadá tak, že uživateli přijde e-mail informující o chybě na straně jeho banky – hlavička, adresa odesilatele a formální podoba zprávy přesně kopírují zvyky dotyčného finančního ústavu. Po přečtení právě obdržené zprávy uživatel nabude dojmu, že jeho peníze jsou v ohrožení, vyplní proto všechny požadované údaje a po stisknutí tlačítka „Odeslat“ si oddechne. Citlivé informace však neputují do banky, nýbrž do rukou podvodníků.
Na první pohled je vidět, že nezanedbatelná část viny padá na hlavu důvěřivého klienta, který neprohlédl lest a zahrával si s ohněm v podobě vyplňování podezřelého webového formuláře. Proti některým phishing útokům se lze tedy do jisté míry bránit použitím onoho příslovečného selského rozumu a nerozdávat citlivé informace prakticky komukoli na vyžádání.
Moderní farmaření
Pharming ve srovnání s phishingem volí odlišný způsob klamání uživatelů, díky němuž se útočník dokonce ani nepotřebuje vyznat v psychologii a myšlení začínajících internetových uživatelů. To je ovšem vyváženo faktem, že pouhé rozesílání e-mailů úspěch slavit nebude a útočník musí mít dostatečné znalosti o systému DNS (Domain Name System), který zajišťuje překlad doménových jmen na odpovídající IP adresy.
| Netcraft Toolbar |
| Proti pharmingu se lze do jisté míry bránit použitím aplikace Netcraft Toolbar, kterou je možné zdarma získat na internetové adrese toolbar.netcraft.com. V současné době bohužel existuje pouze verze pro Internet Explorer. Netcraft Toolbar se ve webovém prohlížeči objeví jako nový panel nástrojů a během surfování neustále poskytuje informace o právě navštívené stránce, mezi nimiž nechybí například země, do které daná stránka náleží, nebo její hodnocení od jiných uživatelů. |
Pokud uživatel ve správně nakonfigurovaném systému zadá URL computer.cpress.cz, DNS zajistí, že bude kontaktován počítač s IP adresou 194.213.53.220. Dojde-li však k záludné modifikaci techniky překladu adres útočníkem, může po zadání naprosto stejného URL v internetovém prohlížeči dojít ke spojení prakticky s libovolným strojem. Útočník si pak tedy na počítači s IP adresou například 123.123.123.123 spustí vlastní webovou službu zobrazující na první pohled naprosto stejné stránky jako některá banka. Takto nastražená varianta však nebude zadané přihlašovací údaje zasílat do žádného finančního ústavu, ale schraňovat je pro svého zlomyslného tvůrce.
| Domain Name System (DNS) |
| Každý počítač má v internetu přiřazenu unikátní IP adresu, s jejíž pomocí může být jednoznačně identifikován. Pro uživatele by ovšem bylo krajně nepraktické, kdyby do svého webového prohlížeče musel zadávat například stěží zapamatovatelné 194.213.53.220 místo srozumitelného computer.cpress.cz, a proto existuje mechanismus provádějící překlad pro uživatele srozumitelného tvaru na odpovídající IP adresu – jedná se o Domain Name System, častěji označovaný zkratkou DNS. K transparentnímu překladu dochází nejčastěji na takzvaném DNS serveru, takže není divu, že právě tyto stanice se mohou stát vyhledávaným cílem útoků při pharmingu. |
Doposud nezodpovězenou otázkou ovšem stále zůstává, jak může záškodník zajistit, že bude při zadání určitého URL kontaktován falešný server. Existuje několik technik, jejichž popis však do značné míry přesahuje jak rozsah, tak zaměření tohoto článku. Zvídaví čtenáři mohou alespoň přičichnout k jedné z variant tím, že si zobrazí obsah textového souboru hosts, který naleznou v adresáři C:\%WINDIR%\system32\drivers\etc\, kde %WINDIR% je instalační složka Windows. Zmiňovaný soubor hosts obsahuje „natvrdo“ definované dvojice IP adresa – název hostitele, takže si můžete sami vyzkoušet, jak lze ovlivnit surfování pouhým přidáním řádku s údaji například 82.208.28.130 a computer.cpress.cz.
Ačkoli se v tomto případě jedná spíše o žertovný příklad, který může pobavit kolegy v zaměstnání nebo spolužáky ve škole, pokud by se k podobné modifikaci dopracoval skutečný útočník, dokáže napáchat nemalou škodu.
Článek vznikl
ve spolupráci
s časopisem
Computer
a čerpá
z čísla 11/05.
