Z předchozích článků věnovaných phishingu (Jak se dělá phishing a Botnet: armáda phishingových otroků) je jasné, že se při boji s phishingem stavíte proti organizovanému zločinu. Čas od času se sice do phishingových aktivit zamotá nějaký ten začátečník, ale většina phishingových útoků je dílem velmi dobře organizovaných skupin. Ty pochopitelně mají velmi dobré technické vybavení, zejména možnost využívat tisíce až desetitisíce počítačů v botnetu.
Osobní ochrana – desatero
Phishing je součástí celkového problému počítačové bezpečnosti a věčného boje se spamem. Pokud si vzpomenete na minulé články, je vám jistě jasné, že bez spamu a bez možnosti ovládat cizí počítače by phishing nebyl možný. A protože se nemůžete spoléhat na to, že vás „někdo“ ochrání, je prvním důležitým krokem osobní ochrana. Protože drtivá většina phishingových útoků je zaměřena na Windows uživatele, bude následující text zaměřen hlavně na ně.
1) antivirový program
2) firewall
3) antispyware
První tři věci, které byste měli mít bez ohledu na to, jestli zrovna bojujete s phishingem či nikoliv. Jakkoliv vás nikdy žádná ochrana nemůže ochránit 100%, bez těchto tří programů si doslova říkáte o to, aby váš počítač byl hacknut, využit pro botnet a ještě vám někdo začal přesměrovávat či falšovat internetové adresy. Antivirové programy jsou dostupné i zdarma (např. AVG, Avast), takže se není na co vymlouvat. Firewall je již nyní běžnou součástí operačního systému (XP, Vista) a antispyware je rovněž dostupné zdarma (S&D, Ad-Aware, Windows Defender).
Běžnou součástí antivirových programů je ochrana proti phishingu.
Ekonomika phishingu
Podle společnosti MailFrontier je na spuštění phishingové kampaně potřeba zhruba dvě stě dolarů (čistý vstupní náklad).Spamem je rozesláno na 2 miliony e-mailů se zhruba 5% úspěšností. Z výsledných 100 tisíc e-mailů může reagovat 5 % lidí a pouze 2 % z nich je dostatečně nezkušených, aby poskytli požadované údaje. Dostáváme se na zhruba stovku lidí.
Pokud vezmeme vážně společnost FTC, která v roce 2006 uváděla, že průměrná škoda z phishingu je 1200 dolarů, má útočník šanci vydělat až 120 000 dolarů.
4) základní bezpečnostní návyky
Sebelepší software nepomůže, pokud se nebudete chovat alespoň trochu předvídavě. V souvislosti s phishingem je jasné, že nejdůležitější je se naučit neklikat na každý odkaz v e-mailu, paranoidně se dívat na došlé e-maily a pokud už používáte internetové bankovnictví, tak na něj chodit sám a pomocí vám známé adresy – nikoliv kliknutím na odkaz, který na vás vykoukl z pošty.
Doporučovat sledování adresy v prohlížeči je pochopitelně možné, částečně i vhodné. V okamžiku, kdy phishing využívá malware přesměrovávajících bankovní adresy kdesi v nitru TCP/IP, je pochopitelně toto doporučení diskutabilní. V prohlížeči můžete vidět adresu zcela správnou, přesto být na phishingových stránkách.
Daleko důležitější je ale získání jednoho prostého návyku – nikdy nespouštět z Internetu žádné programy, neinstalovat žádné programy, nevěřit slovům musíte spustit tento DivX kodek, abyste viděli toto video
, atd. Stahovat a instalovat nové programy v principu můžete jenom z míst, která jsou důvěryhodná, známá a široce používaná – a ani tam nemůžete mít jistotu. K legitimnímu software se čas od času „přibalí“ nějaký malware.
Mezi základní návyky ale patří i taková maličkost, jako že nikdy nebudete zadávat PIN vaší karty online (a pokud jste klienty Citibank, tak budete tak dlouho požadovat, aby s tím přestali, až konečně Citibank přestane). A když už někde zadáváte číslo karty, vlastníka, expiraci a verifikační kód (ze zadní strany), tak si musíte být velmi dobře jisti, že to děláte na správném místě.
5) nepracovat jako administrátor
Ve Windows bohužel běžná věc – administrátorský účet je možné používat pro běžnou práci. A řada uživatelů si sice vytvoří vlastní účet, ale pro zjednodušení života mu přidělí administrátorská práva. Nepracovat s počítačem jako administrátor je jeden z nejdůležitějších bezpečnostních návyků. Případnému útočníkovi můžete hodně zkomplikovat život, pokud pracujete pod účtem běžného uživatele.
6) aktualizovat, aktualizovat, aktualizovat
Kromě antiviru, firewallu a antispywaru existuje další způsob, jak minimalizovat riziko, že vám někdo hackne počítač. Aktualizovat operační systém a programy, které v počítači máte. A pokud máte v počítači příliš mnoho programů, tak zkusit jejich počet zmenšit – čím méně programů v počítači máte, tím menší je šance, že mezi nimi bude právě ten, který mohou útočníci použít pro hacknutí vašeho počítače. A nesmíte zapomenout aktualizovat databáze antivirových a antispyware programů.
7) používat bezpečný prohlížeč
Možná by mělo toto doporučení být uvedeno již někde na počátku. Každopádně, bez dodržení předchozích doporučení by vám ani toto nepomohlo (snad jedině pokud byste používali prohlížeč běžící v textovém režimu a zobrazující stránky v Notepad.exe).
Bezpečný prohlížeč je samozřejmě aktualizovaný. A prozatím je bezpečný prohlížeč například daleko spíše FireFox či Opera než Internet Explorer. Stejně tak je bezpečnější IE7 než IE6. A ještě jedna věc je důležitá, bezpečný prohlížeč je takový, který je bezpečně nastavený – tj. používá, pokud mluvíme o IE, vyšší nastavení bezpečnosti pro internetovou zónu.
Používání bezpečného prohlížeče je nejdůležitější z hlediska možnosti toho, že právě skrz chyby prohlížeče může dojít k hacknutí – stačí návštěva nevhodné stránky.
8) používat phishingovou ochranu v prohlížeči
IE7, FireFox, stejně tak Opera – všechny prohlížeče postupně doplňují phishingovou ochranu. V některých případech je ale nutné ji aktivně zapnout, protože po instalaci může být vypnutá – a měli byste ji rozhodně mít zapnutou. A když už ji budete mít zapnutou, nepodlehnout falešnému pocitu bezpečnosti – ochrana ve Firefoxu se dá například snadno obejít (stačí použit dvě lomítka v adrese místo jednoho). Rovněž je dobré mít na paměti, že pokud se objeví nějaký phishingový útok, bude trvat hodiny až dny, než se adresa webů použitých v phishingu objeví v příslušných databázích.
Pokud chcete větší míru ochrany v prohlížeči, je více než vhodné zkusit některý z plug-in programů. Příklady:
- SpoofGuard
- TrustToolbar
- VerificationEngine
- Netcraft Toolbar
- McAfee SiteAdvisor (dostupný i v češtině)
- Google Toolbar
9) ochrana proti spamu a bezpečná pošta
Užitečným pomocníkem je i dobrá ochrana proti spamu, ať již na firemním či veřejném poštovním serveru, nebo přímo ve vašem vlastním poštovním klientu. Některé možná řešení najdete v článku Kolik to bude stát právě vás?. Dobrá ochrana proti spamu pomůže už jenom tím, že většina phishingových zpráv bude označena jako spam. Zejména ty z nich, které se již měsíce či roky opakují pořád dokola.
A pokud dokážete používat bezpečnějšího poštovního klienta, budete na tom ještě lépe. Zejména takového, který neumožní spouštět HTML skripting ani aktivní komponenty v náhledových oknech. A navrch přidá nemožnost otevírat odkazy přímo kliknutím v e-mailu (nápověda, opravdu není řeč o Microsoft Outlook ani Outlook Express).
10) bezpečné bankovnictví
Nemusíte skočit na lep phishingu, aby někdo zneužil vaši platební kartu. Stačí, aby se údaje o platbách z internetového obchodu dostaly do rukou hackerům. Stačí, aby online obchod zkusil stáhnout z karty rozdílnou částku, případně zkusil opakované stažení peněz. Nebo nerespektoval pokyny k ukončení opakovaných plateb. Ještě horší by to mohlo být, pokud by někdo získal váš PIN a další údaje o kartě a ta měla jenom běžný magnetický proužek.
Bezpečné bankovnictví může pomocí v případech, kdy už je pozdě na prevenci. Karta s čipem je nepochybně mnohem hůře falšovatelná (byť v případě její krádeže je díky absenci použití podpisu její zneužití mnohem snazší). Online platby spočívají v blokování částky a teprve pozdějšímu stažení této částky – pokud tedy vaše bankovnictví umožňuje (alespoň) informaci o blokacích a změnách na účtu na mobil, vůbec neváhejte a aktivujte si to. A pokud by umožňovalo schvalování takovýchto plateb, je to ještě lepší – vždy si tak budete moci zkontrolovat, zda je vše v pořádku (a schvalování může být třeba mobilním telefonem, tedy rychlé a snadné).
Falešné bezpečí https://
Internetové bankovnictví by pochopitelně mělo umět se svými uživateli komunikovat pomocí https://, tedy „bezpečné“ internetové komunikace. Je ale třeba si uvědomit, že může jít o falešné bezpečí a jediné, proti čemu skutečně toto řešení chrání, je možnost odchycení komunikace někde cestou.
Běžný uživatel je zpravidla plně uspokojen, pokud vidí https:// v adrese – neumí rozpoznat, jestli je skutečně na správných stránkách a spokojí se s libovolným certifikátem. Tedy pokud vůbec dokáže certifikát prozkoumat.
Samotné internetové bankovnictví vyhledávejte takové, které je opravdu bezpečné. Přihlašujete se číslem účtu? Zapomeňte na to, jde o fatální bezpečnostní chybu. Přihlašujete se pořád stále stejným jménem či kódem a heslem? Zapomeňte na to a vůbec neváhejte, pokud je možné investovat pár stokorun do „kalkulačky“ umožňující bezpečné přihlašování. A pokud si stále myslíte, že mobilní bankovnictví je bezpečné, tak je lépe změnit názor. Něco, co vám někdo může ukradnout a využít, není dobrý nápad.
Užitečné mohou být i možnosti nastavení nízkého limitu na online platby, případně možnost zapínat a vypínat možnost online plateb.
Aktivní ochrana
Pokud vás snad vyděsilo deset doporučení a začínáte přemýšlet, jestli by náhodou nebylo lepší aby to někdo vyřešil za vás, uvažujete správně. Boj proti phishingu je bohužel stejně marný jako boj proti spamu – i přes stále se zvyšující ochrany proti spamu, aktivní i pasivní, objem spamu nezadržitelně stoupá (dnes může být někde mezi 75 % až 90 % celosvětové pošty tvořeno pouze spamem). Cokoliv se udělá v rámci ochrany, spameři velmi brzo najdou řešení, jak to obejít. A jak už bylo zmiňováno v prvních článcích tohoto seriálu, velký problém je i v legislativě – řada států prostě phishing ani spam za problém nepovažuje, někdy nemá proti této činnosti legislativu, jindy je jim to prostě jedno.
Je nutné si uvědomit, že proti phishingovým aktivitám nebojují amatéři. Radek Smolík, ředitel české pobočky společnosti Symantec, minulý týden na tiskové konferenci uváděl zajímavá čísla – Symantec má v 180 zemích po celém světě až 40 tisíc senzorů umístěných v různých sítích. K tomu připočítejte 180 milionů klientů antivirového software. A navrch přidejte Symantec Probe Network – síť s přibližně dvěma miliony klamných systémů (honeypot) v 30 zemích – dva miliony systémů jsou používány k lapání pokusů o hacking a další podobné činnosti. A v roce 2007 vznikla i aktivita Symantec Phish Report Network (viz pár odstavců níže).
1) Antispamová řešení
Phishingové maily je potřeba odstranit ještě předtím, než se dostanou k uživateli – spamová/phishingová řešení na úrovní poštovních serverů jsou jediné možné řešení (MTA filtering). A metody jsou prakticky stejné jako u běžného spamu, navíc je potřeba doplnit IP/HTTP filtraci, která bude kontrolovat poštu na známé prvky botnet sítí a obsah pošty na výskyt již známých phishingových adres.
Zajistit e-mail proti masovému zneužívaní spammery je jedním z nejpodstatnějších způsobů obrany proti phishingu – byť je potřeba si uvědomit, že phishing je možný i v instant messagingu či na samotných webových stránkách. A má své metody i v podobě smishingu (pomocí sms) či vishingu (pomocí hlasové komunikace). Více viz
- Sender Policy Framework (SPF),
- Cisco's Identified Internet Mail,
- Sender ID Framework (Microsoft),
- Yahoo!’s DomainKeys.
2) Antiphishingová řešení
Phishingová ochrana zabudovaná do prohlížečů a dostupná jako samostatné plug-iny musí být dále rozvíjena – hlavně v rychlosti doplňování nových webových adres, na kterých běží phishingové stránky.
3) Aktivní vyhledávání hrozícího phishingu
Phishingové aktivity běžně používají překlepová doménová jména, případně doménová jména tvářící se dostatečně podobně kýženému jménu originálnímu. Antivirové společnosti již dnes monitorují registrovaná doménová jména a srovnávají je vůči seznamu domén a jmen finančních institucí. Lze tak s předstihem odhalit budoucí phishingové aktivity. A zmíněná aktivita Symantec Phish Report Network dělá právě to – sleduje defraudační weby, IP adresy, značky, na které se phishing zaměřuje. A velmi rychle dokáže komunikovat s bankami i institucemi.
pořadí | značka |
---|---|
1. | PayPal |
2. | eBay |
3. | Barclays Bank |
4. | Bank of America |
5. | Fifth Third Bank |
6. | JPMorgan Chase |
7. | Wells Fargo |
8. | Volksbanken Raiffeisenbanken |
9. | Branch Banking and Trust |
10. | Regions Bank |
11. | Wachovia |
12. | HSBC Group |
13. | National City |
14. | Amazon.com |
15. | Poste Italiane |
16. | Citibank |
17. | US Bank |
18. | Capital One |
19. | HSBC |
20. | Western Union |
Zdroj: PhishTank [PDF, 150 kB]
4) Aktivní detekce probíhajícího phishingu
Zvýšené mailové aktivity v síti mohou být příznakem phishingu, stejně tak velké množství vracejících se nedoručitelných mailů – případně využití těchto příznaků je jenom otázkou vhodné obsahové a kontextové analýzy. Samozřejmě v tomto bodě se lze snadno dostat do konfliktu s ochranou soukromí.
V tomto i předchozím případě je tento systém „včasného varování“ využít pro další bezpečnostní opatření – zejména na straně banky, ale také u ISP.
5) Útok proti aktivnímu phishingu
Není výjimkou, že aktivní phishingové stránky jsou použity těmi, kdo proti phishingu bojují – stejně jako útočníci mají své automatizované nástroje, mají je i bojovníci proti nim. Například takové, které umožní phishingové stránky zahltit falešnými a náhodnými údaji. Pokud je phishingem získána v praxi nepoužitelná databáze, bude se phishing míjet účinkem – nebude totiž možné získaná data prodat.
Stejně tak jsou vkládány „označené“ údaje, tedy taková čísla účtů, která je možná později ve spolupráci banky a bezpečnostních složek použít k polapení těch, kdo se je pokusí využít.
Využívána je i možnost zahltit phishingový web požadavky tak, že dojde k efektivnímu DoS (Denial of Service) a web přestane fungovat.
země | % |
---|---|
US | 30,5 % |
KR | 14,4 % |
CN | 7,1 % |
TR | 5,0 % |
FR | 4,8 % |
CA | 3,9 % |
DE | 3,3 % |
RU | 2,9 % |
NL | 2,6 % |
CL | 2,4 % |
CZ | 0,5 % |
Zdroj: PhishTank [PDF, 150 kB]
Podle statistik aktivity PhishTank je nejvíce phishingových webů paradoxně v USA. Korea a Čína, tradiční země pro řadu podivných aktivit, jsou na druhém a třetím místě. A ze statistik se mimo jiné dozvíte i to, že 18 % phishigových webů bylo umístěno na pouze třech webových adresách. Pro představu o závažnosti problému: každé dvě minuty je spuštěn nový unikátní phishingový útok. PhishTank samozřejmě není jediný, kdo poskytuje podobné statistiky – podívejte se například na http://www.sitetruth.com/reports/phishes.html. Případně na interaktivní reporty společnosti Avira (světová mapa, denní statistiky, značky).
6) Zapojení samotných uživatelů
Zapojit samotné uživatele, tedy cíle phishingu, je velmi dobrá myšlenka. Zejména pokud jde o ohlašování phishingu, ať již jde o předávání phishingových e-mailů (lze z nich hlavně zjistit, odkud phishing přišel) nebo pouze phishingových webových adres. Podívejte se například na
- www.phistank.com,
- US-Cert Report phishing,
- Anti-Phishing Working Group,
- Symantec Phish Report Network,
- Internet Crime Complaint Center,
- Netract Report a Phishing URL,
- McAfee SiteAdvisor,
- Yahoo! Security Phishing Report Form,
- Google phishing report.
7) Spolupráce poskytovatelů internetových služeb a připojení
Phishing je umožněn spamem a také tím, že je „někde“ možné hostovat phishingové weby (zakoupení domény a hosting, hacknuté weby a počítače zapojené do botnetů).
Poskytovatelé internetových služeb a připojení jsou jedním z nejdůležitějších součástí boje proti phishingu – rozesílání spamu je pro samotné ISP problematická aktivita a je v jejich zájmu aktivně proti spamu bojovat. Stejně tak jako je nutné vytvářet efektivní mechanismy, které umožní odstavit weby, domény i počítače používané pro hosting phishingových stránek.
Největším problémem v této oblasti je přimět příslušené ISP či provozovatele webů ke spolupráci. Problém začíná na klasické nemožnosti příslušné společnosti kontaktovat (a závažnou informaci vůbec dostat k zodpovědným lidem schopným okamžité akce). Nemusí přitom vůbec být řeč o praktické nemožnosti kontaktovat jakési čínské či korejské webmastery – zkuste si někdy na vlastní kůži kontaktovat největší české webhostingy. Ve většině případů se setkáte s efektem „černá díra“, pokud se vám tedy vůbec podaří najít potřebné kontakty.
Boj s větrnými mlýny
Boj s phishingem a spamem je skoro jako boj s větrnými mlýny. Jednu phishingovou aktivitu se podaří zlikvidovat, deset dalších se objeví. Přílišná svoboda uživatele v rámci používání jeho software (prohlížeče, poštovní klienti, operační systémy) je jedním z faktorů, které velmi aktivně napomáhají tomu, že phishing má zelenou.
Pokud by boj proti spamu a phishingu byl efektivní, nebylo by dost dobře možné již dva měsíce sledovat neustávající záplavu phishingu mířícího na klienty České spořitelny. Určitým způsobem se Česká republika (a Česká spořitelna) konečně staly součástí vyspělého internetového světa. Phishing mířící na Citibank, PayPal či Amazon.com se objevuje den co den už několik let. A množství se nijak nezmenšuje.