Phishing: když si hacker podá ruku se zločincem

Je to vlastně také takové rybaření po Síti – úlovkem jste ale v tomto případě vy.
Phishing: když si hacker podá ruku se zločincem

V nedávno zveřejněném článku jsme se pokusili vykreslit současnou podobu spamů a jiných útoků na internetu; stručně je zde zmíněn i phishing, zřejmě nejnebezpečnější forma využití spamu či jiných útoků, která dnes existuje. Protože obětí phishingu se může stát i česká osoba (byť to není typické), rozhodli jsme se mu věnovat podrobnější článek.

Co to je phishing?

Enormní nebezpečnost phishingu spočívá v tom, že si v něm hackeři – kteří jsou obecně považováni v nejhorším případě za určité „výtržníky“ internetu – podají ruku se skutečnými, protřelými kriminálníky a s kriminálními skupinami. Hacker je expert na softwarové a komunikační systémy, a jeho dosud nejobvyklejší činností je, že prolamováním ochran spíše upozorňuje na jejich slabá místa, ale dále už neškodí (nezneužívá nalezené slabiny). Dokonce i autoři virů, které mezi sebe už hackeři odmítají přijmout, páchají činnost, která je trestná především tím, že ovlivňuje miliony počítačů – kdyby virus „zbořil“ jedno PC, nikdo by se nevzrušoval, zatímco i jediný případ úspěšného phishingu je trestný čin.

Pokud autoři virů a hackeři za svou „práci“ nezískávají mzdu nebo jinou odměnu, není situace až tak kritická, dá se předpokládat, že se jednou budou muset nějak živit a hackování pro zábavu nechají. Jakmile ale začnou kriminální gangy hackery a autory virů najímat a platit – a dodejme, že jsou schopni je zaplatit lépe než ta nejbohatší softwarová firma – jde už do tuhého: vyvine se dobře organizovaný a masivní „průmysl“, hackeři začnou pracovat v týmech vybavených veškerou potřebnou technikou a podporou.

Slovo phishing vzniklo kombinací z fishing (rybaření) a phreaking. I phreaking je relativně nový, slangový výraz, označující krádež telefonní služby (napichování služby, hovor na účet někoho jiného nebo telekomunikační firmy). Phreaking je zde s námi už čtyřicet let a v současné době, díky digitalizaci telefonie, je na značném ústupu – na rozdíl od phishingu.

Phishing je krádež privátní, citlivé informace patřící jedinci, jako jsou kompletní údaje o platební kartě (to je nejčastější) nebo krádež přístupového jména a hesla, s jejichž pomocí lze na dálku manipulovat s financemi. Hlavním problémem phishingu je, že proti němu vlastně neexistuje dobře fungující ochrana, neboť je prováděn s pomocí e-mailů, které vypadají naprosto legitimně a v pořádku – správná adresa odesílatele (na první pohled), veškeré formální náležitosti také splněny, a obsah, který také nevypadá podezřele.

Nejtypičtějším současným phishingem (který se ale stále vyvíjí, takže nikdo neví, co přijde zítra) je falešný e-mail, odeslaný jakoby od vašeho bankovního domu. V něm vás banka zdvořile žádá o ověření totožnosti; záminka je různá, v poslední době často perverzně „protože jste se stali obětí phishingu“. Nejúčinnější ochrana zloděje je křičet byl jsem okraden, chyťte zloděje; známá věc. Po kliknutí na odkaz je uživatel zaveden na falešnou stránku (která ovšem také vypadá, že je v pořádku), kde poslušně kráčí jako tele na porážku – odevzdá své údaje a jeho peníze jsou luxovány.

Phishing v praxi

Zajímavé je použití technik phishermanů. Aby uspěli, musí odeslat obrovské množství falešných mailů (spamů), což už dnes není příliš snadné, protože velké přijímací (SMTP) servery už dokáží mnoho masových mailingů blokovat, „zabít“ hned v počátku. Phisheři nejdříve zavirují tisíce běžných počítačů připojených k internetu; může mezi nimi být i ten váš. Virus, který umí rozesílat maily z daného stroje, zatím spí, a je probuzen právě v okamžiku, kdy phisherman zavelí k masovému mailingu a odešle si svou dávku e-mailů.

Těmto počítačům se říká „botnets“ a počítači, který je hostuje, „zombie machine“: náš neživý nemrtvý se, tak jako ve správném horroru, probudí v tu nejnevhodnější chvíli a začne dělat paseku. Výhoda botnetu pro útočníka je, že je v tom nevinně – i kdyby jej agenti FBI vypátrali a vyslali zásahovou jednotku, najdou naprosto nevinného člověka, který jen klikl na něco, na co neměl.

Při zadávání osobních údajů je nejobtížnějším problémem pro hackery, jak si poradit s internetovou (webovou) adresou, neboť tu zatím, na rozdíl od e-mailové adresy, nelze padělat. Stále nejčastější postup je, že se padělaná část adresy vyskytuje v levé části URL, tj. např. „www.citibank.com“, a za ní je nepřehledná a dlouhá spleť znaků, přičemž skutečná adresa (nejčastěji jen IP číslo) je až úplně vpravo, kam zrak tak často nezavítá.

To je ale dnes už poněkud naivní trik, na který jen tak někdo neskočí: nejnovější vynález je ale opravdu rafinovaný. Spočívá ve vytvoření malého javascriptového okénka, které nenápadně na stránce vyskočí, zakryje řádku s URL a nahradí ji falešným textem, který už nemůže vzbudit žádné podezření, protože se jedná o „správně napsanou“ adresu. Jedinou obranou uživatele je pak vypnout JavaScript – ale to dělá jen málo osob. Dávno už je také marnou ochranou sledovat, zda se jedná o zabezpečenou adresu (https://, ikona „zámečku“ v pravém dolním rohu prohlížeče); i toto už dovedou phisheři hravě napodobit.

Co dál s vašimi daty

V okamžiku, kdy má gang vaše údaje, může postupovat několika způsoby. Třeba zkusí po troškách vytáhnout peníze z vaší platební karty – naúčtuje vám neexistující nákupy v internetových obchodních domech a vaše banka může povolit transfer peněz. Problémem ovšem je, že zde zločinec musí vystoupit z temnot: musí mít účet, na který peníze poputují, musí mít smlouvu s kartářskou společností jako prodejce (merchant). Zatímco vlastní phishing (vyháčkování osobních údajů) se dá provést odkudkoli ze světa.

Toto už dnes prakticky nejde provést se zemí, kde nefungují zákony, neboť kartářské společnosti a banky nepřevedou peníze na účty při online nákupech do těchto částí světa. Zločinecký gang, který má v ruce tisíce čísel od platebních karet, musí volit rafinovanější postupy jak tyto peníze vyluxovat, vyprat a odtransportovat.

FBI udává, že většina gangů pochází z východní Evropy a zejména z Ruska; ti pak nastrčí své „bílé koně“ do civilizovaných zemí, kde si otevřou řádné účty a internetové obchody, vyinkasují peníze, převedou je a zmizí do podzemí. Zde už přicházejí na pořad jednání razie a přepady, bohužel ale běžící policista může těžko konkurovat rychlosti online transferů peněz.

Až neuvěřitelně vysoká čísla účinnosti svědčí o tom, v jak masovém měřítku se phishermanům daří šálit lidi. Studie tvrdí, že se na phishing chytne každý dvacátý oslovený uživatel, tedy jedná se o pětiprocentní účinnost. Autoři výstižně poznamenávají, že za takto vysokou účinnost by každý přímý marketér zardousil vlastní babičku…

Organizace zabývající se phishingem pak říkají, že se každý den rodí několik desítek nových variant útoků – nových pastiček, které někde šikovní psychologové placení kriminálními gangy vymýšlejí. (Řada typických případů je uvedena zde.) Zatím jde nejčastěji o předstírání identity největších amerických bank (Citibank, Bank One, Fleet atd.), kartářských společností (MasterCard, VISA, AmEx) nebo největších internetových obchodů a platebních služeb (Amazon, eBay, PayPal). Ušetřen nezůstal ani Microsoft. Postupně ale zločinci pokračují k méně známým obchodům a službám, což je nebezpečnější – pokud se uživatel trošku zorientuje, budou mu e-maily od velkých bank a obchodů s žádostí o „ověření osobních informací“ brzy podezřelé, ale maily od specializovaných služeb budou působit bohužel věrohodněji.

Jak se bránit

Existuje proti phishingu obrana, ať už na straně uživatele, nebo státu a institucí? Uživatel musí být opatrný a nejlépe odmítat jakýkoli e-mail, který jej nutí na něco kliknout. Samozřejmostí je kvalitní antivirus, neboť jednou z dalších variant phishingu je instalace programu (viru), který zaznamenává a odesílá vše, co napíšete na klávesnici (tedy i čísla karet a hesla).

To vše ale je zatím marné, protože objem phishignu a způsobených škod roste geometrickou řadou. Přes veškerou a zlepšující se snahu policie i napadaných institucí se dnes jako jediná téměř absolutní ochrana jeví zavedení systému, který bude ověřovat pravost obdrženého e-mailu. Vestavba v e-mailovém klientovi nalezne v e-mailu ověřovací kód, bude kontaktovat zdroj a provede ověření; následně uživateli sdělí, zda je odesílatel (uvedený v hlavičce) pravdivý nebo ne a vypíše jeho jméno.

Experti se shodují v tom, že zavedení takovéhoto systému by současný phishing prakticky zlikvidovalo. Je ale náročné, vyžaduje vytvoření a schválení standardů i technickou realizaci systému a následně pak ochotnou a dobrovolnou spolupráci milionů uživatelů. Vytvoření a zavedení tohoto systému je tedy pracné po všech stránkách a zavede do práce s e-mailem další proceduru, ale experti se shodují, že je to zřejmě nevyhnutelné a jediné účinné řešení.

Diskuze (57) Další článek: Režisér Fahrenheit 9/11: stahujte můj film

Témata článku: Microsoft, Prohlížeče, Phishing, Gang, Známý obchod, Fishing, Transfer, Jediný rozdíl, Nejbohatší skupina, Nejnovější vynález, Platební údaj, Největší slabina, Kompletní údaj, AMEX, Současný systém, Enormní množství, Platební systém, Citibank, Hacker, Mastercard, Falešný účet, Fleet, E-mailová adresa, Správná adresa, Osobní údaj


Určitě si přečtěte

Proč je COVID-19 tak nebezpečný, jak se detekuje, jak ničí a máme už pandemii?

Proč je COVID-19 tak nebezpečný, jak se detekuje, jak ničí a máme už pandemii?

** V čem spočívá nebezpečí nemoci COVID-19? ** Jak se testuje její přítomnost v těle? ** Jak se ničí UVC i ozónem a proč už CNN mluví o pandemii?

Jakub Čížek | 73

Windows 10 May 2020 Update je venku. Odstraňuje hesla a přináší Linux

Windows 10 May 2020 Update je venku. Odstraňuje hesla a přináší Linux

** Jarní aktualizace Desítek přináší dost novinek, jsou ale spíš menší ** Zlepšují se stabilita, rychlost i komfort ovládání ** Revoluce ve Windows 10 teprve přijde

Vladislav Kluska | 89

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

** Pochopit techniky a principy A.I. je složité ** Ale nebojte, jde to i bez doktorátu z IT a matematiky ** Vyzkoušíme generátor neuronových sítí od Googlu

Jakub Čížek | 9


Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X