Phishing nevymírá, ale nabaluje na sebe další útoky

Jedním z útoků, na které podvodníci na první pohled nedají dopustit, je bezesporu phishing. Čas od času na sebe výrazně upozorní, jeho tvůrci se snaží být stále rafinovanější.
Phishing nevymírá, ale nabaluje na sebe další útoky

Mezi hrozby, které jsou stále přítomné a jimž se při běžné práci online jen stěží vyhneme, patří kromě jiného stálice jménem phishing. Podvodníci se dokola snaží nalákat přespříliš důvěřivé uživatele do průhledných pastí, nicméně především začátečníci mohou podlehnout. Nesmrtelnost phishingu je však také dána jeho jednoduchým provedením, scénář kompletního podvodu nevyžaduje detailní technické útoky, jak je tomu naopak u některých jiných síťových útoků.

Společnost Symantec nově informovala o aktuální variantě podvodných útoků, podle její zprávy v tomto konkrétním případě phishingová stránka imitovala přihlašovací stránku oblíbené italské banky. Po zadání přihlašovacích údajů byl uživatel vyzván, aby si vybral jednoho ze čtyř mobilních operátorů a následně zadal své číslo mobilního telefonu a zvolil částku pro dobití kreditu mobilního telefonu. Uživatel byl klamán, že dostane k vybrané částce pro dobití zdarma bonus 40 EUR. Tento falešný bonus měl pomoci vylákat citlivé údaje.

Poté, co uživatel zkontroloval zadané údaje, byl požádán k uvedení hesla svého mobilního zařízení, aby transakce mohla být dokončena. Po zadání hesla se zobrazila zpráva, že kredit bude dobitý do 24 hodin a uživatel, aniž by o tom věděl, byl přesměrován na skutečné internetové stránky banky. Phishingová stránka byla provozována na serverech v USA, a její název se velmi podobal originálu, takže se na ni uživatelé mohli dostat i pouhým překlepem.

Pořád stejně, a přitom jinak

Klasický phishing, jenž denně plní e-mailové schránky po celém světě, podvodníci poslední dobou vhodně doplňují vylepšeným SEO odkazovaných podvodných stránek. Ve výsledku vás tak může hledání na webu nenápadně dovést na podvodné stránky, aniž by cesta byla jakkoliv výrazně podezřelá. Podobně i v případě již zmíněného podvodu a útoku na stránky italské banky pokročili útočníci tak, aby uživatel žádnou hrozbu na první pohled nezaregistroval.

Phishingové varianty se v podobném duchu stále častěji stávají součástí i jiných útoků, například v případě dřívějších zpráv vyzývajících k resetu hesla pro Facebook z důvodu bezpečnosti. Nejde o phishing v pravém slova smyslu, jelikož uživatel údaje nemusel zadávat, stačilo prostě spustit speciální kód v příloze.

Klepněte pro větší obrázek
Facebook a jeho bezpečnost daly vzniknout několika službám, jež se snaží zvýšit ochranu soukromí

Asi není žádným překvapením, že se nejednalo o reset hesla, ale podloudnou techniku, jak příjemce donutit, aby si do počítače pozval nechvalně známého trojského koně Bredolab. Ten pak funguje jako klasický downloader, a po své aktivaci tedy zajišťuje pravidelný přísun malwaru do infikovaného počítače. Jiné varianty mohou zase z infikovaného stroje udělat dalšího člena armády zombie počítačů, a tak poskytnout jistotu nebezpečí do budoucna.

Smrtonosné ingredience

Vraťme se zpět k Facebooku, který se od svého rozmachu stal oblíbeným terčem. Dříve podobným útokům stejných sítí čelilo například MySpace, jenž se však rozšířilo hlavně mezi americkými teenagery, a tak u nás podvodné pokusy nemůžeme považovat za příliš předmětné. To Facebook je jiná liga, v Česku se dočkal popularity především díky své lokalizaci, najednou byl i celosvětově zajímavý jak pro začínající uživatele, tak ty pokročilé. A právě to je předpoklad úspěšného hromadného útoku, oslovit co možná nejvíc potenciálních obětí, z nichž se někdo určitě chytne. Pokud půjde o setinu promile z celkového počtu rozeslaných zpráv, je vždy lepší útočit na desítky milionů než pár tisíc.

Z historie specifických útoků proti Facebooku vzpomeňme na červa Koobface, který rozesílal zprávy odkazující na stránky podobné klasickému videoportálu YouTube, ale pokud je příjemce facebookové zprávy následoval, došlo k otevření podvodné kopie. Namísto spuštění videa byl uživatel vyzván ke stažení doplňku pro přehrání, a tedy stažení viru. Podobně jako u e-mailu nebo instant messagingu zde autoři těží z toho, že zprávy na první pohled pocházejí od známého kontaktu.

Úspěšné útoky dneška bývají uvařeny z výše zmíněných ingrediencí: hromadného oslovení případných obětí, jejich oblafnutí v souvislosti s některou známou službou a nakonec vyloudění peněz nebo infiltrace počítače. Oblíbenou variantou jsou tedy spamové zprávy s phishingem/odkazem na nebezpečnou stránku, zneužívající přihlašovací údaje PayPalu, Facebooku a dalších nejrozšířenějších služeb.

Diskuze (1) Další článek: Pitva: All-in-one počítač (video)

Témata článku: Bezpečnost, Phishing, Mobilní Facebook, Downloader, Phishingová stránka, Americký teenager, Útok, Mobilní telefony klasické, Video Downloader, Reset, Ingredience, Bonus, Soukromý telefon, Přihlašovací stránka, NAB, Zombie, Teenager, Klasické telefony, Speciální kód, Falešná zpráva, Oběť, Nebezpečná příloha, Past, Detailní pohled


Určitě si přečtěte

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

Našli jsme 22 schopných internetových prohlížečů: Vyberte si, který vám nejvíc sedne

Našli jsme 22 schopných internetových prohlížečů: Vyberte si, který vám nejvíc sedne

** Není jen Chrome, Firefox, Edge či Opera. Na výběr máte mnohem více! ** Internetové prohlížeče se liší funkcemi, zaměřením i designem. Našli jsme 22 použitelných prohlížečů pro Windows ** Vyberte si prohlížeč, který vám bude nejvíce vyhovovat

Karel Kilián | 30

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

** Dlouho se nevědělo, co to přesně má být ** Pak se s krabičkou Google pochlubil na I/O ** Do „Chromecastu“ vtěsnal celý Android TV

Jakub Čížek | 22

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 121

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 30

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 42

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

** Apple večer představil novinky ** Ukáže nové operační systémy, ale čekala se i nová zařízení ** Začíná vývojářská konference Applu WWDC 2018

Karel Javůrek | 87


Aktuální číslo časopisu Computer

Kdy necháme řídit chytrá auta?

6 Wi-Fi Mesh systémů ve velkém testu

Srovnali jsme 7 sportovních kamer

Znáte pravidla pro létání s drony?