Online krádeže citlivých údajů: dobrý byznys pro hackery

7. 8. 2007 6:30 Helena Nykodýmová

Skutečnost, že Internet je stále častěji využíván profesionálními hackery a organizovaným zločinem, znalé uživatele nepřekvapí. Dnešní internetové útoky jsou přesně cílené a finančně motivované. Internetové prostředí je zamořeno škodlivým software, který je z velké části zaměřen výhradně na získávání citlivých informací, které útočník využívá k vlastnímu obohacení.

Tento sílící trend několika posledních let potvrzují průzkumy – s krádeží důvěrných informací má zkušenost každý desátý obyvatel západní Evropy a USA. Krádeže identit a citlivých informací nejsou na Internetu ničím novým. Důvěrná osobní data jsou pro zloděje vždy vítaným artiklem, ať už je prodají jako zboží, nebo je využijí k vlastnímu obohacení.

Krádeže identity a citlivých údajů patří mezi nejzávažnější útoky prováděné online. Podle červnové zprávy americké federální služby Internet Crime Complaint Center, IC3, mezi nejčastější problémy na webu patří krádeže identity, zneužití platební karty či bankovního účtu. Střední výše nahlášené škody je podle IC3 270 dolarů. Údaje vycházejí z podnětů, které byly nahlášeny IC3 podvedenými uživateli.

Krádež důvěrných informací může mít mnoho podob

Samotná virtuální identita, kterou uživatelé používají v prostředí Internetu, není nebezpečná z hlediska ochrany osobních údajů. Nebezpečí vzniká tehdy, když chce někdo záměrně získat informace za účelem vydávání se za někoho jiného.

V květnu 2005 došlo k průniku do databáze společnosti CardSystems Solutions, která se zabývá zpracováním platebních transakcí prováděných kartami. Podvodníci zneužili slabiny v bezpečnostním systému společnosti a získali přístup k identifikačním údajům (číslo karty, datum expirace a bezpečnostní kódy) asi osmi milionů platebních karet. Databáze naštěstí neobsahovala informace o datu narození čí čísle sociálního pojištění, takže útočník nemohl zneužít identitu majitele karty. Co ale mohl provést, bylo zneužití karty ve svůj finanční prospěch.

V elektronickém světě se krádeží identity rozumí zejména neoprávněné užívaní nekalým způsobem získaných hesel, kódů, uživatelských jmen, případně i bezpečnostních předmětů včetně platebních karet a elektronických průkazů. Smyslem je provedení transakce – elektronické komunikace jménem jiné osoby, zpravidla za účelem obohacení (převod finančních prostředků, získání chráněných informací), ale i například za účelem poškození dobrého jména (použití firemního e-mailu).

Nejcitlivěji je tato problematika vnímána ve finančním sektoru, kde terčem zájmu útočníka jsou přihlašovací a ověřovací údaje s cílem neoprávněně manipulovat s finančními prostředky oběti. To ovšem neznamená, že by se jiných oblastí problém netýkal. Stejně tak se může jednat o možné zneužití přístupu k uživatelským účtům poskytovatelů telekomunikačních služeb, utilit, ale i databázových celků veřejné správy (katastry, evidence) s dálkovou formou přístupu. Samostatnou kapitolou by bylo zneužití elektronického podpisu při podání (daňového přiznání, správní řízení), podvržení právních úkonů činěných elektronicky, uzavírání spotřebitelských smluv a specificky smluv o finančních službách prostředky elektronické komunikace na dálku. Jedná se o vážná rizika v oblasti bezpečí klientských dat či finančních prostředků, která ovlivňují i důvěryhodnost elektronické komunikace.

Minulý rok americká FBI vyšetřovala případ, kdy došlo ke zneužití osobních informací, které se nacházely v životopisech posílaných online. Zloději je zneužívali k získání falešných kreditních karet a úvěrů. V jiných případech podvodníci sami posílali uchazečům o zaměstnání e-maily, v nichž se vydávali za zaměstnanecké agentury nebo podniky a požadovali od nich osobní detaily pro přijímací řízení.

V dnešní době sféra hackingu dospěla do dalšího stupně: hackeři mohou hledat důvěrné informace ve veřejně přístupných online profilech uživatelů. Lidé tráví stále více času v blozích, online komunitách a na stránkách společenských sítí, jako jsou MySpace, Facebook, Hi5 nebo Tagged. Uživatelé si zde tvoří vlastní profily a často v nich prezentují své koníčky, domácí mazlíčky, oblíbené celebrity nebo týmy – a příslušná slova se běžně používají také jako hesla. Uživatelé sociálních sítí jsou zvyklí na neformální komunikaci a nedovedou posoudit legitimnost komunikující strany nebo např. hypertextových odkazů a ve své důvěřivosti se mohou stát obětí podvodu.

Podobně tomu může být při účasti v online diskusních skupinách, blozích nebo při komunikaci přes instant messengery, jako je ICQ či Jabber. Tato prostředí přinášejí pocit nezávazné konverzace, a mohou tak být zdrojem citlivých informací. Někdy i zdánlivě základní informace mohou hackerům stačit ke krádeži citlivých osobních údajů. Tak jako v reálném světě záleží na nás, komu otevřeme dveře, s kým se bavíme a komu důvěřujeme, záleží i v online světě na nás, s kým chceme komunikovat a jaké informace mu poskytneme. Online svět je svět tak trochu pro sebe a citlivé osobní údaje do něj nepatří.

JAK SE BRÁNIT

Neuvádějte citlivé osobní údaje v žádné internetové komunikaci.
Při zadávání citlivých informací, například čísla kreditní karty, se vždy přesvědčete, zda pracujete se zabezpečeným serverem.
Pozor na odkazy a přílohy. Nikdy neotvírejte soubor od někoho, koho neznáte. Neklikejte na odkazy, které dostanete např. v chatu.
Nereagujte na spam.
Buďte opatrní při komunikaci pomocí programů typu instant messaging.
Chraňte svou e-mailovou adresu.
Dejte si pozor na podvody typu phishingu.
Před odstraněním starého počítače vždy vymažte bezpečným způsobem obsah pevných disků.
Používejte silná hesla.
Nainstalujte si komplexní software nebo služby zajišťující zabezpečení počítače, včetně antiviru, antispywaru a firewallu, a pravidelně je aktualizujte.
Udržujte v nejnovějším stavu i chatovacího klienta.
Udržujte si přehled o stavu financí na svém bankovním účtu.
Používejte zdravý rozum.

Nelze nezmínit i další formu získání důvěrných informací – proniknutí do firemní sítě zvenku nebo ztrátu firemních notebooků apod.

Útočníci využívají celou škálu nástrojů

Způsobů, jak odcizit počítačovou identitu, je hodně. Útočníci využívají rozmanité prostředky, od konvenčních hrozeb, jako jsou viry a trojské koně, až po spyware či robotické sítě v kombinaci s technikami sociálního inženýrství. Mezi nejčastěji používané cesty, jak odcizit snadno a rychle osobní údaje, patří škodlivý kód typu keylogger, který monitoruje stisky kláves. Podle společnosti McAfee množství těchto kódů vzrostlo od roku 2004 do roku 2006 o 250 procent.

Několik kont uživatelů internetového bankovnictví Komerční banky bylo loni vykradeno. Jednalo se o částky v řádu stovek tisíc korun, které byly klientům nahrazeny. Internetovým útočníkům se podařilo získat citlivé údaje (klientský certifikát a heslo) v důsledku nedostatečného zabezpečení klientských počítačů, čímž získali přístup k účtu. Banka reagovala posílením bezpečnosti přímého bankovnictví o kód nutný pro potvrzení transakce, který zasílají klientům na mobilní telefon.

Dalším velmi oblíbeným způsobem, jak ukrást osobní údaje uživatelů Internetu, je phishing, resp. pharming. V souvislosti s tím se zvětšuje množství falešných webových stránek (zejména bankovních a nákupních webů) a rozšiřuje se mnoho typů škodlivého sociálního inženýrství – ovlivňování a přesvědčování lidí s cílem oklamat je a navodit situaci, v níž člověk jedná jinak než za normálních okolností. Podvodníci mají své aktivity dobře promyšlené a mohou úspěšně používat takové způsoby manipulace, které zatím nejsou uživatelům příliš podezřelé.

Efektivní je i pouhé pasivní sledování uživatelů a jejich zvyklostí speciálním softwarem – spywarem a využití těchto znalostí k vlastnímu prospěchu.

Ukradené „kreditky“ lze koupit za dolar

Kolik bude stát vaše odcizená „identita“, pokud bude nabídnuta na specializovaných serverech, kde se s kradenými údaji obchoduje? Možná budete zklamáni, jedná se o levné zboží. Získat a koupit důvěrné informace není těžké ani drahé. Firma Symantec odhaduje, že zločinci prodali během druhého pololetí loňského roku skoro pět tisíc odcizených čísel kreditních karet za cenu od jednoho do šesti dolarů.

Skoro všichni provozovatelé IM služeb se letos setkali s případem, kde se útočník vydával za pracovníka příslušného provozovatele a od uživatelů se snažil získat jejich přihlašovací jméno, heslo, případně i čísla bankovních účtů či kreditních karet.
V dubnu 2007 také firma Symantec odhalila, že několik uživatelů IM zadalo své přihlašovací údaje do podvržených webových stránek, čímž bylo možné využít přístup k jejich seznamu kontaktů. Z takto zneužitých účtů pak škodlivý kód dostupným uživatelům rozesílal zprávu se zahrnutým URL na podvodnou webovou stránku. Jednalo se o schéma klasického útoku, kdy je využita důvěra ve zprávy, jež přicházejí od známého kontaktu.

Počítačoví zločinci dále nabízejí zcizená čísla amerického sociálního pojištění, kódy PIN ke kreditním kartám, seznamy funkčních emailových adres nebo čísla bankovních účtů. Další položkou na prodej jsou např. přístupová data ke kontům služby PayPal. Na ruském serveru brute.ru se dají koupit uživatelská čísla ICQ, v nabídce jsou i poměrně zajímavá unikátní ICQ čísla. Více než polovina specializovaných serverů, které se specializují na prodej osobních údajů, se nachází v USA, dále pak ve Švédsku a Kanadě.

Závěr

Hackeři pracují méně nahodile a vyvíjejí stále nové způsoby ve snaze zcizovat údaje, které mohou zneužít ve svůj prospěch. Počet případů ukradených informací stoupá úměrně s rostoucími službami na Internetu. Předpovědi odborných firem varují – útoky budou v budoucnu sofistikovanější a cílenější.

Existuje nějaké řešení, jak se proti tomu bránit? Možností je několik, od použití vhodných technologických nástrojů až po použití obyčejného selského rozumu. Opatrné, neukvapené a promyšlené jednání na Internetu by mělo být samozřejmostí. Pokud se budete držet dobře známého hesla „dvakrát měř, jednou řež“, riziko krádeže identity bude podstatně menší.

Jak být na Internetu v bezpečí?
Pro klidné užívání internetové sítě se vyplatí myslet na bezpečnost. Užíváte-li na svém počítači operační systém Windows, můžete základní informace o bezpečnosti na Internetu načerpat v tutoriálu, , který kromě přehledu rizik obsahuje i praktické rady pro jejich minimalizaci.

Anketa

Obáváte se online krádeže citlivých údajů?

	Ano,
	Ne.
	Nevím.

Zobraz výsledek

Helena Nykodýmová

Autorka se zabývá informační bezpečností v oblasti zpracování utajovaných informací v informačních systémech. Specializuje se na certifikaci IS, zpracování bezpečnostní dokumentace a návrhu opatření.