Jak se dělá phishing

Snahy zmást klienty České spořitelny jsou staré už více jak dva měsíce. A z počáteční frekvence pár phishingových e-mailů za týden se v březnu tato aktivita přehoupla přes stovku e-mailů týdně. Jde o praktický příklad toho, jak nebezpečný a obtěžující může být současný největší problém na Internetu - phishing kombinovaný se spamem a malwarem. Jaké šance proti němu mají banky a policie?

Už jenom množství variant textů a webů spojených s phishingem na klienty České spořitelny (ČS) je alarmující, jde o desítky různých e-mailů spojených s desítkami různých verzí webů.

Ty střídají využití přihlášení do internetového bankovnictví, ověření údajů platební karty z nějakého pro klienta významného důvodu i skvělou možnost získat 1500 až 2500 korun jako odměnu za vyplnění dotazníků o spokojenosti se službami.

 Zatímco webové stránky jsou zpravidla perfektní kopií skutečných stránek České spořitelny (až na několik exemplářů, kde došlo ke ztrátě některých českých znaků), e-maily jsou na tom hůře. Většina z nich je výplodem automatického překladače, přesto se najdou perfektně zpracované e-maily, na kterých je vidět, že se na jejich tvorbě musel podílet někdo, kdo zná češtinu. Ne všechny e-maily je totiž možné získat z nějakého vzoru, který by ČS používala.

Organizovaný zločin

Právě na příkladu tohoto phishingu je vidět, že jde o organizovaný zločin, byť je velmi pravděpodobné, že za některými vlnami e-mailů stojí velmi nezkušení autoři. Odvážím se dokonce tvrdit, že je velmi pravděpodobné, že jde o výsledek volně dostupného toolkitu, který byl (konečně) zpracován i pro Českou spořitelnu – podobné kity jsou totiž již dávno hotové a používané pro většinu světově známých bank. A lze je stáhnout z Internetu.

Phishingový toolkit je psán na míru určité bance či finančnímu ústavu. Z Internetu si stáhnete jak hotové texty e-mailů, tak hotové stránky. Ty potom postačí umístit na jakýkoliv hosting zvládající PHP a postarat se o rozeslání velkého počtu e-mailů. Praktický příklad nabídky je možné objevit snadno, na thebadboys.or­g/Brain/ tak můžete získat phishingové kity pro Bank Of America, Chase, eBay, HSBC, PayPal, Western Union a řadu dalších finančních ústavů. Je ale potřeba ještě vědět, že tyto konkrétní toolkity jsou ve skutečnosti určeny k okrádání těch, kteří se pokusí použít – veškeré zjištěné informace zároveň předávají tvůrcům toolkitů (viz Mr-Brain, phishing toolkit s vedlejšími účinky).

Na existenci phishingových toolkitů není ostatně nic nového, už někdy v roce 2004 na jejich existenci upozorňuje Sophos – není přitom řeč o něčem takovém jako Mr-brain, skutečné phishingové toolkity se  běžné prodávají – tzv. „Universal Man-in-the-Middle Phishing Kit“ se v roce 2007 prodával za tisícovku dolarů a umožňuje útok na desítky cílů. Phishingové toolkity napsané na míru jednomu určitému cíli se prodávají zpravidla za 100 až 200 dolarů.

Zmíněný „Man-in-the-middle“ je zajímavý i tím, že nefunguje tak primitivně, jak fungují současné pokusy mířící na Českou Spořitelnu. V tomto případě je vytvářeno skutečné zrcadlo webu instituce. Klient pak ve skutečnosti prostřednictvím tohoto zrcadla, chovajícího se jako proxy server, komunikuje se skutečným webem instituce. A toolkit pouze zaznamenává veškerou komunikaci. A ani v tomto případě nejde o horkou novinku – jde o objev RSA z ledna loňského roku. A podle dostupných informací byla tato metoda použita například pro útok na uživatele Amazon.com.

Stejně tak jsou k dispozici toolkity, které umožňují využít známých bezpečnostních chyb v prohlížečích i operačních systémech. Cena podobných „pomůcek“ se pohybuje od 30 dolarů. Čím „novější“ bezpečnostní chyby jsou využití, tím může být cena za toolkit větší. Používají se k doplnění webových stránek o útok na počítač návštěvníky, kdy s pomocí bezpečnostní chyby je zpravidla instalováno malware (virus, trojský kůň, spyware, keylogger) a to následně použito pro další zásahy do systémů – přesměrování stránek, změny v HOSTS souboru, získávání údajů o uživateli či zařazení počítače do botnet aktivit. V takovém případě pak počítače slouží k rozesílání spamu, hledáním nezabezpečných počítačů či DoS (Denial of Service) útokům.

Ve všech případech nejde o nic jiného, než o organizovaný zločin, který funguje stejně jako běžné podnikání. Phishingové i jiné toolkity jsou tvořeny lidmi, kteří se tomu věnují doslova na celý úvazek.

Stejná situace je i v oblasti rozesílky spamů a získávání počítačů do botnet aktivit – znamená to tedy i to, že si můžete objednat rozeslání e-mailů na pár milionů adres, včetně různých druhů výběru (minimálně například chtít všechny .cz e-maily). A v e-mailových databázích spamerů jsou desítky až stovky milionů e-mailových adres. Jejich získávání z webových stránek, hacknutých počítačů i databází se věnuje další software. 

botnet schéma

Síť botnetů

Hra na kočku a myš

Skutečnost, že Česká spořitelna podala trestní oznámení na „neznámého pachatele“, je ve světle těchto poznatků poměrně úsměvnou záležitostí. Pravděpodobnost, že by došlo k vypátrání jedné ze skupin či některého jednotlivce je mizivá. Organizovaný charakter této činnosti mimo jiné znamená i to, že je provozována tak, aby byla prakticky nevystopovatelná.

Napomáhají tomu i základní principy fungování Internetu a obrovské rozdíly v legislativě jednotlivých zemí. Vezmeme-li si právě ČS phishing jako příklad, tak se případné vyšetřování bude muset týkat těchto záležitostí:

  • Phishingový e-mail je rozesílán z hacknutého počítače, který se stal součástí botnet aktivit. Vlastník počítače o této aktivitě neví, jediné, co ho může trápit, je zpomalení počítače a pomalé spojení do Internetu. Vyhledat, jakým způsobem byl hacknut a kdo to způsobil, je prakticky nemožné. A takto hacknuté počítače se nacházejí po celém světě. Najdete je jak v domácnostech, tak ve firmách či státních institucích. Takto postižených počítačů jsou odhadem minimálně miliony.
  • Phishingové stránky jsou umístěny na nějakém hacknutém webu a jejich umístění se neustále mění – zejména proto, že se daří je po několika dnech či týdnech najít a zklikvidovat. Počty hacknutých (či díky bezpečnostní chybě volně využitelných) webů se pohybuje běžně ve stovkách tisíc a hacknuty byly zpravidla opět automaticky fungujícími programy, velmi pravděpodobně použitím některé z botnet aktivit.
  • Phishingové stránky mohou být v některých případech umístěny na vlastní doméně i hostingu. Útočníci pochopitelně neuvádějí kontaktní údaje, platí zpravidla z ukradené kreditní karty a hosting i doména je v natolik problematických zemích, že je prakticky nemožné legálně (i jakkoliv jinak) dosáhnout likvidace podobných stránek.
  • Phishingové stránky mohou také být umístěny na počítačích, které jsou součástí botnet aktivit. V takovém případě se k nim zpravidla přistupuje přes IP adresu a k nalezení vlastníka počítače budete opět potřebovat mezinárodní kontakty a spolupráci příslušných orgánů v dané zemi. Jediné, co se pak jakž takž podaří, je odstranění napadeného počítače; vystopovat, odkud se tam obsah dostal, je prakticky nemožné.

Je nutné si uvědomit, že botnetové sítě, které jsou jedním z nejdůležitějších nástrojů pro rozesílání spamu, vyhledávání napadnutelných webů i DoS útoky, se skutečně skládají z tisícovek až desítek tisíc počítačů. A celosvětově podobných sítí mohou operovat desítky. Využívají rootkity, pokročilé metody ukrývání před antivorovým i bezpečnostním software a decentralizované řízení.

phishing graf

Naivní představy TV Nova z tohoto úterý patří pouze do kategorie filmové tvorby. Hacker připojující se přes telefonní sítě a fikaný kyber kriminalista sledující jeho skákání z jednoho státu do druhého je opravdu jenom výsada filmařů. Neexistují zde žádné e-maily z Barbadosu (jak TV Nova uváděla), není zde žádná snadno použitelná možnost, jak vysledovat toho, kdo celou aktivitu řídí. Něco takového by vyžadovalo součinnost bezpečnostních složek z až desítek zemí po celém světě. A nutno dodat, že tato součinnost by musela probíhat v reálném čase.

K botnet operacím se ještě vrátím, v tomto okamžiku je pro představu důležitá jenom jedna základní věc – fungují například přes IRC (legitimní sítě pro chatování mezi uživateli) kde na určitém kanále jsou šířeny pokyny pro jednotlivé prvky sítě. Vystopovat toho, kdo do této sítě pokyny umisťuje, by znamenalo najít počítače, odkud pokyny odesílá – a nemůžete si myslet, že tak činí z jednoho počítače. Počítačů umisťujících pokyny je více a opět vstupuje do hry to, že jde většinou o hacknuté počítače, na které je přistupováno opět pomocí hacknutých počítačů – a jde rozhodně o počítače umístěné tam, kam „rameno spravedlnosti“ hned tak nedosáhne.

A nedosáhne tam buďto z důvodu absence potřebných právních úprav, které by jakoukoliv takovouto činnost mohly označit ze nezákonnou, nebo z důvodu nemožnosti efektivně navázat spolupráci s tamními orgány. Spolupráci, opět to připomenu, v reálném čase, případně s velmi rychlou odezvou.

Phising, vishing, phaxing

Aktuální cíle phishingu
cíl procento útoků
PayPal 24,30 %
Natwest 23,80 %
Citibank 18,85 %
Wachovia 7,38 %
Carerbuilder.com 6,70 %
Lloyds TSB 5,34 %
JP Morgan 4,00 %
Ebay 3,70 %
Wells Fargo 1,52 %
Ostatní 4,41 %

Zdroj: Marshal.com

Jak vlastně funguje vishing a jaké další varianty má, je poměrně triviální, nicméně důležitá otázka. Phishing, kterému se český říká rhybaření, je souhrnné označení pro jakékoliv aktivity, které vedou k získávání osobních informací, zejména uživatelských jmen, hesel, čísel kreditních karet či přístupových kódů. Probíhá většinou s využitím elektronické pošty, ale může využít i instant messaging či hlasovou počtu (vishing). Slovo samotné pravděpodobně vzniklo jako spojení slov fishing (rybaření) a phreaking (slangový výrat pro aktivity související s zneužíváním telekomunikačních systémů, spojení slov phone a freak).

Phishing v e-mailech, instant messagingu a na webu využívá hlavně možnosti zveřejnit odkaz, který ve skutečnosti vede někam jinam, než jak se tváří (link manipulation). V dřívější době se v odkazech snažili útočníci zachovat alespoň část adresy skutečného webu, aktuální vlny phishingu se s tím ale přestávají zatěžovat – uživatelé totiž zpravidla stejně nedokáží správně odlišit, jak má či nemá vypadat internetová adresa.

Hojně je využíván i JavaScript, který umožňuje manipulovat s obsahem adresové řádky v prohlížeči a dobře slouží i zneužívání bezpečnostních nedostatků (umístění falešných IP adres do Hosts souboru či manipulaci s TCP/IP vrstvou tak, aby falšovala adresy, není nic složitého).

Mimo phishingu se předpokládá, že v budoucnu dojde k rozmachu phishingových aktivit využívajících běžné hlasové služby, hlasové schránky i VoIP komunikaci. Pro tento druh aktivit se vžilo označení vishing (voice phishing) a zpravidla fungují tak, že robot telefonuje uživatelům (případně vkládá zprávy do hlasové schránky) a jménem „jejich banky“ je žádá o zatelefonování na „bankovní číslo“. Případně rovnou žádá o zadání čísla účtu a PIN s pomocí klávesnice telefonu. Phishing ostatně může fungovat i s pomocí SMS, i zde je možné někoho požádat o zaslání „autorizačních“ údajů pro platbu (či odblokování účtu, atd).

Phishing je občas kombinován s vishingem. Je totiž jednodušší využívat e-mail pro klasický spam, který žádá uživatele, aby kontaktoval „banku“ na určitém telefonním čísle.

Phaxing (fax phising) funguje obdobně. Faxová zpráva žádá uživatele, aby „své bance“ odfaxoval údaje o platební kartě.

Co se phishingem vlastně sleduje?

Phishing se používá pro sběr informací, které umožní uživateli vybrat konto. Prosté a jednoduché. Proto se v rámci ČS phishingu sbírají informace sloužící pro vstup do internetového bankovnictví (již v menší míře) a informace o bankovní kartě. Je důležité si uvědomit, že pokud naletíte na phishing a zadáte číslo své bankovní karty, PIN kód a CCV, tak jste s největší pravděpodobností na dobré cestě k tomu, aby z vašeho účtu zmizely peníze. Většina bank v takovém případě využije chytré klauzule, která jasně říká, že transakce provedené s použitím PIN nepodléhají ochraně proti zneužití karty. Což bude mimo jiné znamenat, že poměrně čerstvě platné omezení výše škody hrazené klientem nebude platit. A vy přijdete o všechno, co díky znalosti PIN někdo vyčerpal.

Mezi zářím 2006 a 2007 se oběťmi phishingu v USA stalo 3,6 milionu lidí. Na jednoho poškozeného připadá ztráta 866 dolarů (1244 v roce 2006). V roce 2007 se phishing postaral o celkové ztráty ve výši 3,2 miliardy dolarů (2,3 miliardy v roce 2006).

V roce 2006 získalo zpět  64% svých peněz 1.5 milionu postižených (1,5 milionu a 54 % v roce 2006).

Měsíčně je rozesláno na 2,2 miliardy phishingových e-mailů, 1 % oslovených na ně reaguje. Útočníci tímto způsobem „vydělají“ až 80 milionů dolarů měsíčně.


Zdroj: Gartner

Cílem phishingu není nic jiného než získat co nejvíce údajů o kartách a ty použít buď pro přímé čerpání nebo je prodat někomu dalšímu, kdo je použije k čerpání. Nikde není zaručeno, že z vašeho účtu bude čerpáno bezprostředně poté, co jste naletěli. Může se to stát dny až týdny poté a vy si zpravidla už ani nevzpomenete, co jste kdy udělali špatně.

Znalost PIN umožní útočníkům využít kartu, jako kdyby ji měli. Znalost CCV jim umožní kartu využít pro online nákupy. Záleží na smluvních podmínkách vaší banky a také na dalších bezpečnostních opatřeních, jak vše nakonec dopadne. Zda o všechny peníze přijdete, či nikoliv.

Čerpání peněz  z takto získaných karet je samozřejmě také organizováno. Využívají se k tomu například velké nákupy na Internetu. Zakoupené zboží je poté zasíláno na jednorázově používané adresy a následně zpeněžováno. S využitím aukčních síní útočníci kupují „vlastní“ zboží – tím, že platí sami sobě, tak snadno získávají potřebné finance. Tímto způsobem získávají až 40 % z původní částky.

Zajímají vás názory člověka, který se vykrádáním účtů přes Internet živí? Přečtěte si exkluzivní rozhovor s crackerem, podle něhož na podvodné e-maily naletí až dvacet procent příjemců.

Znalost údajů pro přístup k online bankovnictví může být stejně nebezpečná. Je potřeba si uvědomit, že řada online bankovních služeb není nijak dodatečně zabezpečena – opravdu prostě někdy stačí zadat údaje a uskutečnit převod peněz. Vystopovat majitele případného účtu, kam byly přesunuty vaše peníze, se pak může změnit ve stejnou hru na kočku a myš jako hledání útočníků. Je důležité, aby internetové bankovnictví mělo dodatečné bezpečnostní prvky – například kalkulačku, bez které nejde udělat nic, nebo schvalování transakcí se  zapojením mobilního telefonu.

MIF16

Důležité pravidlo, banka nikdy nic neposílá e-mailem

V ideálním případě by mělo platit pravidlo, že banka nikdy nic neposílá elektronickou poštou. Pochopitelně ne tak absolutně, jak je naznačeno. Přesněji by mělo platit, že banka nikdy neposílá elektronickou poštou nic, co souvisí s penězi a transakcemi. Většina bank se podobných pravidel drží a své klienty se snaží v tomto směru dostatečně vychovávat.

Poznámka: na tento článek navazují další dvě pokračování. V tom příštím se blíže podíváme na to, jak fungují a k čemu jsou používané botnety a na roli hacknutých webů. Třetí díl se zaměří na praktické rady na obranu před phishingem.

Anketa

Znáte někoho, kdo se stal obětí phishingu, tj. poskytl neoprávněným osobám své údaje?

52 názorů Vstoupit do diskuse
poslední názor přidán 30. 4. 2014 20:48

Školení: Měření a vyhodnocování kampaní

  •  
    Jak připravit a plánovat kampaně
  • Jak vyhodnocovat a využít důležité metriky
  • Jak to dělat u různých obchodních aktivit

Detailní informace o školení Měření a vyhodnocování kampaní»