Jak se bránit phishingu

Boj s phishingem je do značné míry podobný jako ten se spamem: ochrana je nutná v pasivní i aktivní formě. Výsledky jsou však často komplikované faktem, že uživatel zde stojí proti organizovaným skupinám, vybavených silným technickým zázemím. Přesto lze definovat některá základní pravidla, jak phishingu nenaletět i jak mu předcházet.

Z předchozích článků věnovaných phishingu (Jak se dělá phishing a Botnet: armáda phishingových otroků) je jasné, že se při boji s phishingem stavíte proti organizovanému zločinu. Čas od času se sice do phishingových aktivit zamotá nějaký ten začátečník, ale většina phishingových útoků je dílem velmi dobře organizovaných skupin. Ty pochopitelně mají velmi dobré technické vybavení, zejména možnost využívat tisíce až desetitisíce počítačů v botnetu.

Osobní ochrana – desatero

Phishing je součástí celkového problému počítačové  bezpečnosti a věčného boje se spamem. Pokud si vzpomenete na minulé články, je vám jistě jasné, že bez spamu a bez možnosti ovládat cizí počítače by phishing nebyl  možný. A protože se nemůžete spoléhat na to, že vás „někdo“ ochrání, je prvním důležitým krokem osobní ochrana. Protože drtivá většina phishingových útoků je zaměřena na Windows uživatele, bude následující text zaměřen hlavně na ně.

1) antivirový program

2) firewall

3) antispyware

První tři věci, které  byste měli mít bez ohledu na to, jestli zrovna bojujete s phishingem či nikoliv. Jakkoliv vás nikdy žádná ochrana nemůže ochránit 100%, bez těchto tří programů si doslova říkáte o to, aby váš počítač byl hacknut, využit pro botnet a ještě vám někdo začal přesměrovávat či falšovat internetové adresy. Antivirové programy jsou dostupné i zdarma (např. AVG, Avast), takže se není na co vymlouvat. Firewall je již nyní běžnou součástí operačního systému (XP, Vista) a antispyware je rovněž dostupné zdarma (S&D, Ad-Aware, Windows Defender).

Běžnou součástí antivirových programů je ochrana proti phishingu.

Ekonomika phishingu

Podle společnosti MailFrontier je na spuštění phishingové kampaně potřeba zhruba dvě stě dolarů (čistý vstupní náklad).

Spamem je rozesláno na 2 miliony e-mailů se zhruba 5% úspěšností. Z výsledných 100 tisíc e-mailů může reagovat 5 % lidí a pouze 2 % z nich je dostatečně nezkušených, aby poskytli požadované údaje. Dostáváme se na zhruba stovku lidí.

Pokud vezmeme vážně společnost FTC, která v roce 2006 uváděla, že průměrná škoda z phishingu je 1200 dolarů, má útočník šanci vydělat až 120 000 dolarů.

4) základní bezpečnostní návyky

Sebelepší software nepomůže, pokud se nebudete chovat alespoň trochu předvídavě. V souvislosti s phishingem je jasné, že nejdůležitější je se naučit neklikat na každý odkaz v e-mailu, paranoidně se dívat na došlé e-maily a pokud už používáte internetové bankovnictví, tak na něj chodit sám a pomocí vám známé adresy – nikoliv kliknutím na odkaz, který na vás vykoukl z pošty.

Tip: obecné rady a doporučení, jak zabezpečit počítač s Windows, naleznete v tutoriálu Zabezpečujeme počítač. V několika kapitolách rozebírá základní typy ohrožení a možnosti ochrany, přičemž svými nároky je vhodný i pro začínající uživatele.

Doporučovat sledování adresy v prohlížeči je pochopitelně možné, částečně i vhodné. V okamžiku, kdy phishing využívá malware přesměrovávajících bankovní adresy kdesi v nitru TCP/IP, je pochopitelně toto doporučení diskutabilní. V prohlížeči můžete vidět adresu zcela správnou, přesto být na phishingových stránkách.

Daleko důležitější je ale získání jednoho prostého návyku – nikdy nespouštět z Internetu žádné programy, neinstalovat žádné programy, nevěřit slovům musíte spustit tento DivX kodek, abyste viděli toto video, atd. Stahovat a instalovat nové programy v principu můžete jenom z míst, která jsou důvěryhodná, známá a široce používaná – a ani tam nemůžete mít jistotu. K legitimnímu software se čas od času „přibalí“ nějaký malware.

Mezi základní návyky ale patří i taková maličkost, jako že nikdy nebudete zadávat PIN vaší karty online (a pokud jste klienty Citibank, tak budete tak dlouho požadovat, aby s tím přestali, až konečně Citibank přestane). A když už někde zadáváte číslo karty, vlastníka, expiraci a verifikační kód (ze zadní strany), tak si musíte být velmi dobře jisti, že to děláte na správném místě.

5) nepracovat jako administrátor

Ve Windows bohužel běžná věc – administrátorský účet je možné používat pro běžnou práci. A řada uživatelů si sice vytvoří vlastní účet, ale pro zjednodušení života mu přidělí administrátorská práva. Nepracovat s počítačem jako administrátor je jeden z nejdůležitějších bezpečnostních návyků. Případnému útočníkovi můžete hodně zkomplikovat život, pokud pracujete pod účtem běžného uživatele.

6) aktualizovat, aktualizovat, aktualizovat

Kromě antiviru, firewallu a antispywaru existuje další způsob, jak minimalizovat riziko, že vám někdo hackne počítač. Aktualizovat operační systém a programy, které v počítači máte. A pokud máte v počítači příliš mnoho programů, tak zkusit jejich počet zmenšit – čím méně programů v počítači máte, tím menší je šance, že mezi nimi bude právě ten, který mohou útočníci použít pro hacknutí vašeho počítače. A nesmíte zapomenout aktualizovat databáze antivirových a antispyware programů.

7) používat bezpečný prohlížeč

Možná by mělo toto doporučení být uvedeno již někde na počátku. Každopádně, bez dodržení předchozích doporučení by vám ani toto nepomohlo (snad jedině pokud byste používali prohlížeč běžící v textovém režimu a zobrazující stránky v Notepad.exe).

Bezpečný prohlížeč je samozřejmě aktualizovaný. A prozatím je bezpečný prohlížeč například daleko spíše FireFox či Opera než Internet Explorer. Stejně tak je bezpečnější IE7 než IE6. A ještě jedna věc je důležitá, bezpečný prohlížeč je takový, který je bezpečně nastavený – tj. používá, pokud mluvíme o IE, vyšší nastavení bezpečnosti pro internetovou zónu.

Používání bezpečného prohlížeče je nejdůležitější z hlediska možnosti toho, že právě skrz chyby prohlížeče může dojít k hacknutí – stačí návštěva nevhodné stránky.

8) používat phishingovou ochranu v prohlížeči

IE7, FireFox, stejně tak Opera – všechny prohlížeče postupně doplňují phishingovou ochranu. V některých případech je ale nutné ji aktivně zapnout, protože po instalaci může být vypnutá – a měli byste ji rozhodně mít zapnutou. A když už ji budete mít zapnutou, nepodlehnout falešnému pocitu bezpečnosti – ochrana ve Firefoxu se dá například snadno obejít (stačí použit dvě lomítka v adrese místo jednoho). Rovněž je dobré mít na paměti, že pokud se objeví nějaký phishingový útok, bude trvat hodiny až dny, než se adresa webů použitých v phishingu objeví v příslušných databázích.

Pokud chcete větší míru ochrany v prohlížeči, je více než vhodné zkusit některý z plug-in programů. Příklady:

9) ochrana proti spamu a bezpečná pošta

Užitečným pomocníkem je i dobrá ochrana proti spamu, ať již na firemním či veřejném poštovním serveru, nebo přímo ve vašem vlastním poštovním klientu. Některé možná řešení najdete v článku Kolik to bude stát právě vás?. Dobrá ochrana proti spamu pomůže už jenom tím, že většina phishingových zpráv bude označena jako spam. Zejména ty z nich, které se již měsíce či roky opakují pořád dokola.

A pokud dokážete používat bezpečnějšího poštovního klienta, budete na tom ještě lépe. Zejména takového, který neumožní spouštět HTML skripting ani aktivní komponenty v náhledových oknech. A navrch přidá nemožnost otevírat odkazy přímo kliknutím v e-mailu (nápověda, opravdu není řeč o Microsoft Outlook ani Outlook Express).

10) bezpečné bankovnictví

Nemusíte skočit na lep phishingu, aby někdo zneužil vaši platební kartu. Stačí, aby se údaje o platbách z internetového obchodu dostaly do rukou hackerům. Stačí, aby online obchod zkusil stáhnout z karty rozdílnou částku, případně zkusil opakované stažení peněz. Nebo nerespektoval pokyny k ukončení opakovaných plateb. Ještě horší by to mohlo být, pokud by někdo získal váš PIN a další údaje o kartě a ta měla jenom běžný magnetický proužek.

Bezpečné bankovnictví může pomocí v případech, kdy už je pozdě na prevenci. Karta s čipem je nepochybně mnohem hůře falšovatelná (byť v případě její krádeže je díky absenci použití podpisu její zneužití mnohem snazší). Online platby spočívají v blokování částky a teprve pozdějšímu stažení této částky – pokud tedy vaše bankovnictví umožňuje (alespoň) informaci o blokacích a změnách na účtu na mobil, vůbec neváhejte a aktivujte si to. A pokud by umožňovalo schvalování takovýchto plateb, je to  ještě lepší – vždy si tak budete moci zkontrolovat, zda je vše v pořádku (a schvalování může být třeba mobilním telefonem, tedy rychlé a snadné).

Falešné bezpečí https://

Internetové bankovnictví by pochopitelně mělo umět se svými uživateli komunikovat pomocí https://, tedy „bezpečné“ internetové komunikace. Je ale třeba si uvědomit, že může jít o falešné bezpečí a jediné, proti čemu skutečně toto řešení chrání, je možnost odchycení komunikace někde cestou.

Běžný uživatel je zpravidla plně uspokojen, pokud vidí https:// v adrese – neumí rozpoznat, jestli je skutečně na správných stránkách a spokojí se s libovolným certifikátem. Tedy pokud vůbec dokáže certifikát prozkoumat.

Samotné internetové bankovnictví vyhledávejte takové, které je opravdu bezpečné. Přihlašujete se číslem účtu? Zapomeňte na to, jde o fatální  bezpečnostní chybu. Přihlašujete se pořád stále stejným jménem či kódem a heslem? Zapomeňte na to a vůbec neváhejte, pokud je možné investovat pár stokorun do „kalkulačky“ umožňující bezpečné přihlašování. A pokud si stále myslíte, že mobilní bankovnictví je bezpečné, tak je lépe změnit názor. Něco, co vám někdo může ukradnout a využít, není dobrý nápad.

Užitečné mohou být i možnosti nastavení nízkého limitu na online platby, případně možnost zapínat a vypínat možnost online plateb.

Aktivní ochrana

Pokud vás snad vyděsilo deset doporučení a začínáte přemýšlet, jestli by náhodou nebylo lepší aby to někdo vyřešil za vás, uvažujete správně. Boj proti phishingu je bohužel stejně marný jako boj proti spamu – i přes stále se zvyšující ochrany proti spamu, aktivní i pasivní, objem spamu nezadržitelně stoupá (dnes může být někde mezi 75 % až 90 % celosvětové pošty tvořeno pouze spamem). Cokoliv se udělá v rámci ochrany, spameři velmi brzo najdou řešení, jak to obejít. A jak už bylo zmiňováno v prvních článcích tohoto seriálu, velký problém je i v legislativě – řada států prostě phishing ani spam za problém nepovažuje, někdy nemá proti této činnosti legislativu, jindy je jim to prostě jedno.

Je nutné si uvědomit, že proti phishingovým aktivitám nebojují amatéři. Radek Smolík, ředitel české pobočky společnosti Symantec, minulý týden na tiskové konferenci uváděl zajímavá čísla – Symantec má v 180 zemích po celém světě až 40 tisíc senzorů umístěných v různých sítích. K tomu připočítejte 180 milionů klientů antivirového software. A navrch přidejte Symantec Probe Network – síť s přibližně dvěma miliony klamných systémů (honeypot) v 30 zemích – dva miliony systémů jsou používány k lapání pokusů o hacking a další podobné činnosti. A v roce 2007 vznikla i aktivita Symantec Phish Report Network (viz pár odstavců níže).

1) Antispamová řešení

Phishingové maily je potřeba odstranit ještě předtím, než se dostanou k uživateli – spamová/phishingová řešení na úrovní poštovních serverů jsou jediné možné řešení (MTA filtering). A metody jsou prakticky stejné jako u běžného spamu, navíc  je potřeba doplnit IP/HTTP filtraci, která bude kontrolovat poštu na známé prvky botnet sítí a obsah pošty na výskyt již známých phishingových adres.

Zajistit e-mail proti masovému zneužívaní spammery je jedním z nejpodstatnějších způsobů obrany proti phishingu – byť je potřeba si uvědomit, že phishing je možný i v instant messagingu či na samotných webových stránkách. A má své metody i v podobě smishingu (pomocí sms) či vishingu (pomocí hlasové komunikace). Více viz

2) Antiphishingová řešení

Phishingová ochrana zabudovaná do prohlížečů a dostupná jako samostatné plug-iny musí být dále rozvíjena – hlavně v rychlosti doplňování nových webových adres, na kterých běží phishingové stránky.

3) Aktivní vyhledávání hrozícího phishingu

Phishingové aktivity běžně používají překlepová doménová jména, případně doménová jména tvářící se dostatečně podobně kýženému jménu originálnímu. Antivirové společnosti již dnes monitorují registrovaná doménová jména a srovnávají je vůči seznamu domén a jmen finančních institucí. Lze tak s předstihem odhalit budoucí phishingové aktivity. A zmíněná aktivita Symantec Phish Report Network dělá právě to – sleduje defraudační weby, IP adresy, značky, na které se phishing zaměřuje. A velmi rychle dokáže komunikovat s bankami i institucemi.

Nejvíce napadané značky (PhishTank)
pořadí značka
1. PayPal
2. eBay
3. Barclays Bank
4. Bank of America
5. Fifth Third Bank
6. JPMorgan Chase
7. Wells Fargo
8. Volksbanken Raiffeisenbanken
9. Branch Banking and Trust
10. Regions Bank
11. Wachovia
12. HSBC Group
13. National City
14. Amazon.com
15. Poste Italiane
16. Citibank
17. US Bank
18. Capital One
19. HSBC
20. Western Union

Zdroj: PhishTank [PDF, 150 kB]

4) Aktivní detekce probíhajícího phishingu

Zvýšené mailové aktivity v síti mohou být příznakem phishingu, stejně tak velké množství vracejících se nedoručitelných mailů – případně využití těchto příznaků je jenom otázkou vhodné obsahové a kontextové analýzy. Samozřejmě v tomto bodě se lze snadno dostat do konfliktu s ochranou soukromí.

V tomto i předchozím případě je tento systém „včasného varování“ využít pro další bezpečnostní opatření – zejména na straně banky, ale také u ISP.

5) Útok proti aktivnímu phishingu

Není výjimkou, že aktivní phishingové stránky jsou použity těmi, kdo proti phishingu bojují – stejně jako útočníci mají své automatizované nástroje, mají je i bojovníci proti nim. Například takové, které umožní phishingové stránky zahltit falešnými a náhodnými údaji. Pokud je phishingem získána v praxi nepoužitelná databáze, bude se phishing míjet účinkem – nebude totiž možné získaná data prodat.

Stejně tak jsou vkládány „označené“ údaje, tedy taková čísla účtů, která je možná později ve spolupráci banky a bezpečnostních složek použít k polapení těch, kdo se je pokusí využít.

Využívána je i možnost zahltit phishingový web požadavky tak, že dojde k efektivnímu DoS (Denial of Service) a web přestane fungovat.

Phishing podle zemí (PhishTank)
země %
US 30,5 %
KR 14,4 %
CN 7,1 %
TR 5,0 %
FR 4,8 %
CA 3,9 %
DE 3,3 %
RU 2,9 %
NL 2,6 %
CL 2,4 %
CZ 0,5 %

Zdroj: PhishTank [PDF, 150 kB]

Podle statistik aktivity PhishTank je nejvíce phishingových webů paradoxně v USA. Korea a Čína, tradiční země pro řadu podivných aktivit, jsou na druhém a třetím místě. A ze statistik se mimo jiné dozvíte i to, že 18 % phishigových webů bylo umístěno na pouze třech webových adresách. Pro představu o závažnosti problému: každé dvě minuty je spuštěn nový unikátní phishingový útok. PhishTank samozřejmě není jediný, kdo poskytuje podobné statistiky – podívejte se například na http://www.si­tetruth.com/re­ports/phishes­.html. Případně na interaktivní reporty společnosti Avira (světová mapa, denní statistiky, značky).

6) Zapojení samotných uživatelů

Zapojit samotné uživatele, tedy cíle phishingu, je velmi dobrá myšlenka. Zejména pokud jde o ohlašování phishingu, ať již jde o předávání phishingových e-mailů (lze z nich hlavně zjistit, odkud phishing přišel) nebo pouze phishingových webových adres. Podívejte se například na

7) Spolupráce poskytovatelů internetových služeb a připojení

Phishing je umožněn spamem a také tím, že je „někde“ možné hostovat phishingové weby (zakoupení domény a hosting, hacknuté weby a počítače zapojené do botnetů).

Poskytovatelé internetových služeb a připojení jsou jedním z nejdůležitějších součástí boje proti phishingu – rozesílání spamu je pro samotné ISP problematická aktivita a je v jejich zájmu aktivně proti spamu bojovat. Stejně tak jako je nutné vytvářet efektivní mechanismy, které  umožní odstavit weby, domény i počítače používané pro hosting phishingových stránek.

Největším problémem v této oblasti je přimět příslušené ISP či provozovatele webů ke spolupráci. Problém začíná na klasické nemožnosti příslušné společnosti kontaktovat (a závažnou informaci vůbec dostat k zodpovědným lidem schopným okamžité akce). Nemusí přitom vůbec být řeč o praktické nemožnosti kontaktovat jakési čínské či korejské webmastery – zkuste si někdy na vlastní kůži kontaktovat největší české webhostingy. Ve většině případů se setkáte s efektem „černá díra“, pokud se vám tedy vůbec podaří najít potřebné kontakty.

EBF16

Boj s větrnými mlýny

Boj s phishingem a spamem je skoro jako boj s větrnými mlýny. Jednu phishingovou aktivitu se podaří zlikvidovat, deset dalších se objeví. Přílišná svoboda uživatele v rámci používání jeho software (prohlížeče, poštovní klienti, operační systémy) je jedním z faktorů, které velmi aktivně napomáhají tomu, že phishing má zelenou.

Pokud by boj proti spamu a phishingu byl efektivní, nebylo by dost dobře možné již dva měsíce sledovat neustávající záplavu phishingu mířícího na klienty České spořitelny. Určitým způsobem se Česká republika (a Česká spořitelna) konečně staly součástí vyspělého internetového světa. Phishing mířící na Citibank, PayPal či Amazon.com se objevuje den co den už několik let. A množství se nijak nezmenšuje.

Anketa

Používáte již některá ze jmenovaných opatření ochrany proti phishingu?

18 názorů Vstoupit do diskuse
poslední názor přidán 27. 3. 2008 9:09

Školení Jak vytvořit rychle jednoduchý web

  •  
    Jak mít na Internetu blog.
  • Jak si založit web na Wordpressu.
  • Jak pokračovat v jeho provozování.

Detailní informace o školení Jak vytvořit rychle jednoduchý web »