Pharming je zpět a silnější

Ještě relativně nedávno jsme mohli konstatovat, že útoky směřované proti uživatelům webových služeb v Česku nejsou tak velikým nebezpečím jako v zahraničí. Důvodů bylo více. Útoky, jejichž součástí jsou podvodné e-maily, byly směřovány proti globálním webovým službám, jako je například PayPal. Tyto služby ale v ČR nefungovaly, nebo je čeští uživatelé mohli využívat jen v omezené míře. Podvodné e-maily přicházely v angličtině, což podstatně omezovalo jejich úspěšnost. Lidé, kteří by na útok zareagovali, vesměs neumí anglicky, zatímco ti gramotnější bývají také zběhlejší v oblasti informační bezpečnosti a žádné své citlivé údaje cizím lidem nepošlou.

S tímto falešným pocitem bezpečí je podle všeho definitivní konec. Pro elektronické (tím mám na mysli v elektronickém světě působící) zločince jsme se definitivně stali vhodnou a vyhledávanou klientelou. V poslední době došlo k několika útokům zaměřeným na zákazníky bank. Obětí zatím posledního z nich se stala Česká spořitelna, jedna z nejvyužívanějších bank v zemi. O útoku vás informoval server Měšec.cz a k dispozici byla také oficiální tisková zpráva z banky.

Zajímavostí tohoto útoku bylo, že ačkoliv se podvodník pokoušel dostat k přihlašovacím údajům do elektronického bankovnictví aplikace Servis24, nešlo v jeho případě o klasický útok metodou phishingu, ale byla také jiná z digitálně zločineckých technik – zvaná pharming. Ta je poměrně zajímavá a v ČR relativně řídká. Přitom dokáže poškodit i ty uživatele, kteří jsou poučeni o zásadách elektronické bezpečnosti a běžnému útočníkovi by „na špek“ prostě neskočili. Podívejme se na to, jak pharming funguje a proč je třeba se ho bát.

Hurá na údaje

Cílem činnosti internetových podvodníků je v případě útoků proti aplikacím oslovit jejich regulérní uživatele. Podvodník z uživatele elektronického bankovnictví, platebního systému, aukčního serveru, obchodu a podobně, nejprve vymámí jeho přihlašovací údaje. Díky tomu se pak může do příslušné aplikace přihlásit sám a získat benefit. Prakticky vzato vám může vybrat účet, okopírovat e-maily, ukrást identitu a vydávat se za vás.

Jak se uživatelé Internetu stávají více a více erudovanými v oblasti bezpečnosti, útočníkům se komplikuje přístup k jejich údajům. Nejstarší podvod zvaný phishing (česky asi nejlépe „rhybaření“) se stává neúčinným.

Na počátku tohoto druhu zločinnosti v zásadě stačilo, aby útočník poslal oběti e-mail, ve kterém se vydával za banku. Pod smyšlenou historkou žádal „ověření“ přihlašovacích údajů k elektronickému, nebo třeba telefonnímu bankovnictví. E-mail vypadal důvěryhodně, a mnozí uživatelé na něj skutečně odpověděli v domnění, že komunikují s bankou (nebo třeba s eBay). V současnosti ale málokterý uživatel na podobný e-mail odpoví, aniž by se pozastavil nad jeho pravostí. Prostě proto, že vzdělávání uživatelů v bezpečnosti je prioritou nejenom bank, ale také zaměstnavatelů, je to součást základních kurzů pro oblast IT a věnují se mu rovněž obecná média.

Takže útočníci přešli k sofistikovanější metodě „balamutění“. Přestali po obětích požadovat údaje do e-mailu a místo toho připravují napodobeniny autentických webových aplikací. Podvodné e-maily obsahují odkaz na stránky, které jsou kopiemi reálného rozhraní, například bankovnictví, a mohou dokonce odkazovat na skutečné servery provozovatelů služeb. Jediný rozdíl spočívá v tom, že uživatel svá přihlašovací data neposílá organizaci, jejíž služby potřebuje, ale podvodníkovi. Čím zdařilejší je podvodníkova stránka a e-mail, tím vyšší je pravděpodobnost úspěchu.

I proti této metodě existuje laicky snadno zapamatovatelná metoda ochrany. Neklikat na odkazy v e-mailech, ale vždy zadávat URL autentické aplikace do adresního řádku prohlížeče. Tím je možnost, že by otevřel server podvodníka a následně mu sdělil své důvěrné údaje v případě klasického útoku metodou phishing, v podstatě eliminována. Ochrana uživatele je dále posílena tím, že mnohé poštovní aplikace ve výchozím nastavení odkazy v e-mailech jednoduše blokují a laika tak k ručnímu zadání adresy nepřímo nutí.

Inovace

Internetoví zločinci tak přešli k mnohem sofistikovanější metodě získávání přihlašovacích informací z uživatelů, tato metoda se jmenuje pharming („pharmaření“) a má dvě podoby. První z nich je značně efektivní, ale také pro útočníka neobyčejně obtížná, což její užití omezuje. Druhá je jednodušší, nicméně se jí lze snáze bránit. Popišme si obě.

Pharming v „globálním“ měřítku spočívá v tom, že útočník neoslovuje přímo jednotlivé uživatele služby, ale napadne vybraný DNS server. DNS (Domain Name System) je hierarchická databáze, která udržuje seznam internetových domén a příslušných DNS adres. Pokud se podvodníkovi zdaří změnit záznam v hůře zabezpečeném DNS serveru, pak všichni uživatelé, kteří jsou napojeni na tento DNS server a zadají do adresního řádku prohlížeče správnou adresu třeba internetového bankovnictví, dostanou falešnou stránku. Jestliže je tato falešná stránka dobře vypracovaná, pak je šance, že by uživatel, byť i erudovaný, na podvod přišel, velmi nízká. Musel by totiž kontrolovat certifikát, kterým je podepsána, a kterým se šifruje přenos dat. Tento certifikát se všemi náležitostmi není podvodník schopen padělat, nicméně může navodit stav, kdy je z pohledu uživatele, který netrvá na velmi podrobném průzkumu, vše v pořádku.

Druhá metoda, můžeme ji nazvat lokální pharming, je založena na útoku proti jednotlivým počítačům. PC s operačními systémy Windows obsahují takzvaný hosts soubor, který funguje obdobně jako DNS server. Tedy, obsahuje IP adresy a korespondující domény. Jestliže se útočníkovi podaří do tohoto souboru zapsat adresu své podvodné stránky a doménou bankovnictví, pak je efekt pro uživatele stejný jako v předchozím případě. Tedy i po zadání korektní URL adresy je zobrazena podvodná stránka a přihlašovací údaje skončí v rukách zločince.

První metoda je nezávislá na klientských počítačích, nicméně je potřeba zdolat ochranu DNS serveru. Vzhledem k tomu, že DNS tvoří páteř Internetu, jsou tyto servery jedny z nejvíce chráněných. Objevit v nich zneužitelnou chybu a využít ji, aniž by si toho správci všimli, je extrémně obtížná záležitost. A tak se útočníci uchylují ke druhé metodě.

Pharming až do vašeho PC

Změna souboru hostitelů je možná pouze tehdy, když má podvodník možnost do něj zapisovat. To webová stránka či e-mail neumí, takže přichází na řadu škodlivé kódy. Pokud útočník do PC nainstaluje trojského koně, který změnu provede, v ideálním případě na základě dálkového povelu a opakovaně, pak má vyhráno. Trojský kůň se může maskovat za doplněk softwaru, může být přibalen k reálným aplikacím, může být poslán v příloze e-mailu, a nebo si jej oběť může stáhnout z webu na základě podvržené zprávy. Po úspěšném nainstalování a změně seznamu hostitelů následuje efekt, který jsem popsal výše, krádež přihlašovacích dat a následně i třeba peněz může být dokonána.

Ochrana

Jak je zřejmé, pharming je podstatně nebezpečnější než phishing. Lze jím oklamat i zkušeného uživatele webových služeb. Nemusí jej odhalit dokonce ani ochrana před podvodnými weby, jež je součástí posledních verzí webových prohlížečů. Nicméně to, že je boj proti němu obtížnější, neznamená, že by bylo nutné jej vzdát.

Možnosti správců uživatelských PC a samotných uživatelů postupovat proti pharmingu založenému na napadení DNS serveru jsou v podstatě minimální. Ochrana proti lokální formě útoku je založena především na aktivním, správně nastaveném a hlavně aktuálním antivirovém programu. Ten by měl kontrolovat nejen všechny soubory posílané elektronickou poštou, ale také vše, co je spouštěno a stahováno z webu. Útočník se může snažit škodlivý kód zabalit do šifrovaného archivu, takže antivirus musí kontrolovat archivy v okamžiku jejich otevření.

Druhým krokem ochrany je samotný soubor s názvy hostitelů. Některé bezpečnostní aplikace jej umožňují uzamknout a chránit před změnou. Takže i kdyby došlo k instalaci trojského koně, tento se seznamem hostitelů nic nezmůže. Nevýhodou této metody je, že do seznamu potřebují zapisovat také některé regulérní aplikace, služby s webovým rozhraním spouštěné z místního počítače a některé síťové technologie. Ty je pro některé uživatele obtížné odlišit od škodlivého kódu a uzamčení souboru s hostiteli snižuje použitelnost regulérních programů.

Třetí možností, která je vhodná spíše pro technicky zdatnější a aktivní uživatele, je používání nástrojů, které zobrazují doplňující informace o právě zobrazovaných webových stránkách. Například produkt Netcraft Toolbar byl již na našem serveru zmiňován ve starším článku popisujícím technickou podstatu pharmingu.

Moderní webové prohlížeče obsahují už zmíněnou ochranu před podvodnými stránkami. Aby tato ochrana fungovala, musí být stránka odhalena a označena za nebezpečnou. Z tohoto důvodu nelze zejména v případě útoků, které jsou směřovány na konkrétní uživatele na malém území (například elektronického bankovnictví České spořitelny v ČR), spoléhat na její dostatečnou rychlost.

Posledním (ale vlastně spíše prvním) důležitým faktorem je informování uživatelů a určitá hygiena práce s počítačem. Uživatelé by měli vědět, že nesmí bezhlavě klikat na odkazy v e-mailech, stahovat z Internetu neznámé aplikace, i kdyby se tvářily sebelépe, a že banka (ani jiná služba) jim kvůli „kontrole“ údajů nikdy žádný e-mail nepošle.

Pharming je nebezpečný, ale lze jej zvládnout obdobně jako phishing nebo červy rozesílané e-mailem. Tím nejdůležitějším je ale nepodcenit problém a hlavně co nejvyšší informovanost koncových uživatelů.