Hlavní navigace

Phishing po česku

 Autor: 29
Zbyněk Pospíchal 6. 3. 2006

Phishing (nebo, chcete-li, rhybaření), tedy podvodné získávání přístupových údajů do různých online služeb zejména finančního charakteru, není nic nového. Přesto dokáže překvapit. Minulý týden tak začaly e-mailové schránky zaplavovat česky psané podvodné e-maily, vydávající se za výzvu banky Citibank k ověření došlé platby - a samozřejmě k zadání přihlašovacích údajů...

Byli jsme zvyklí, že podobné zprávy nám chodí v cizím jazyce, nejčastěji pochopitelně anglickém. Ale český phishing, navíc velmi přesvědčivý, to je novinka a obávám se, že se na ni nachytá nemálo lidí. Ve svém mailboxu jsem nalezl pěkný kousek a nedá mi se o něj nepodělit – patřím totiž mezi zákazníky společnosti Citibank ČR, a ač tam nemám běžný účet, na můj kartový účet tam měla přijít jistá drobná platba ze zahraničí.

Phishing mail

V okamžiku přečtení tohoto e-mailu jsem si tedy nemohl být až tak úplně jist, zda se jedná o podvrh či nikoli. Jistě, banky samotné rozhodně nemají ve zvyku podobným způsobem komunikovat se svými zákazníky a samozřejmě i potvrzování příchozích plateb je nesmysl, nicméně nikdo z nás nemůže vědět, zda banka kvůli zlepšování kvality služeb, boje proti terorismu nebo nějakého podobně smysluplného důvodu podobnou „službu“ právě nezavedla. Naprostou jistotu, že se o podvrh skutečně jedná, jsem získal až ze SMTP hlaviček – což však nelze očekávat od běžného uživatele Internetu.

Received: from localhost (localhost [127.0.0.1])
by XXXXXXXXXXXXXXXXXX (Postfix) with ESMTP id E1F99442434
for <zbynek@dialtelecom.cz>; Fri, 3 Mar 2006 06:37:53 +0100 (CET)
Received: from -1216007800 (cpe-66-25-88-93.satx.res.rr.com [66.25.88.93])
by XXXXXXXXXXXXXXXXXX (Postfix) with SMTP id 52A86442327
for <zbynek@dialtelecom.cz>; Fri, 3 Mar 2006 06:37:53 +0100 (CET)
Received: from citibank.cz (-1215781328 [-1216326080])
by cpe-66-25-88-93.satx.res.rr.com (Qmailv1) with ESMTP id D2929F507D
for <zbynek@dialtelecom.cz>; Fri, 03 Mar 2006 01:38:46 -0500

Z uvedených hlaviček pochopitelně vyplývá, že poslední, třetí záznam, je zcela zjevně falešný (proč by ostatně host citibank.cz vracel jako IP adresu a reverzní záznam nějaké decimální, nota bene záporné, hausnumero) a kromě toho, proč by Citibank posílala e-maily svým klientům přes jakýsi extrémně podezřelý host, vypadající na první pohled jako ADSL či CaTV přípojka.

Po analýze hlaviček jsem dospěl k závěru, že dotyčný e-mail byl odeslán z počítače infiltrovaného nějakým červem v botnetovém stylu, jichž dnes bohužel existují spousty a provozovatel uvedeného stroje pravděpodobně ani netuší, že svůj počítač nemá až tak úplně pod kontrolou on, ale neznámá zločinecká skupina. Přesto i on pochopitelně nese svůj díl viny, protože se o kontrolu nad svým hardwarem nechal připravit (kdyby si lidé nenechávali infiltrovat své systémy, pokoušelo by se o to mnohem méně útočníků) a svůj díl viny za své případné okradení nese samozřejmě i ten, kdo se nechá podvést a své údaje phisherům předá – za blbost se totiž platí od počátku věků, což však pochopitelně nesnižuje vinu pachatelů takového pokusu o podvod (a o tom, že uvedené jednání zakládá důvodné podezření naplnění skutkové podstaty trestného činu podvodu podle §250 odst. 3 nebo 4 trestního zákona ve stádiu přípravy či pokusu, není nejmenších pochyb). A opět – pokud by se nenašel nikdo, kdo by podvodníkům uvedené informace dal, pak by podobný pokus patrně již nebyl opakován, neboť i podvodník má pochopitelný zájem pracovat efektivně.

Zajímavý je i odkaz, na který vás uvedený e-mail pošle. Že tam najdeme přesně okopírovanou homepage české Citibank, to se dalo očekávat. Zajímavější je pátrat po tom, kam nás tento odkaz zavede, a zde si phisher dal opravdu práci:

$ host citi-online.czechrepublic-online.com
citi-online.czechrepublic-online.com has address 12.215.199.187
citi-online.czechrepublic-online.com has address 24.27.32.55
citi-online.czechrepublic-online.com has address 24.243.168.196
citi-online.czechrepublic-online.com has address 65.34.41.53
citi-online.czechrepublic-online.com has address 67.163.124.5

Uvedené adresy jsou opět počítače za ADSL či CaTV přípojkami, tedy patrně zase botnet. Takže zbývá poslední stopa – doména czechrepublic-online.com. Tuto doménu vlastní pravděpodobně falešná identita jistého Travise Godfreye, více informací si ostatně můžete najít na Network Solutions. Nameservery jsou vedeny na my-dns-zone.com, takže poslední případnou stopou (dokud pochopitelně nedojde k prvnímu okradení zákazníka banky), dostupnou ovšem pouze orgánům činným v trestním řízení, jsou platby majitele domény registrátorovi, v tomto případě německé firmě Computer Services Langenbach GmbH. Ani to ovšem nemusí být spolehlivá metoda, pokud doména byla zaplacena převodem z některého nabouraného účtu.

Orgány činné v trestním řízení tak budou mít obtížnou práci, neboť k případnému dovršení skutku je nezbytné, aby proběhly aktivity na území tří různých států (ČR, SRN a USA), a je docela dost možné, že dokud nebude první poškozený klient, nebude existovat vůbec žádný způsob, jak identifikovat a dopadnout pachatele. Možnosti samotného poškozeného klienta jsou pochopitelně ještě menší.

A teď otázka, která by asi běžného českého uživatele Internetu a online finančních systémů bude zajímat asi nejvíce: Jak se phishingu bránit? Zásada je jednoduchá a nevyžaduje žádné sofistikované technické znalosti, postačuje elementární logika – nevěřte žádnému e-mailu, který se tváří tak, že pochází z nějaké finanční instituce, zvláště, obsahuje-li nějaký odkaz na stránku, kde byste se měli nějak přihlašovat svým jménem a heslem. Je to obdobné jako nevěřit někomu, kdo u bankomatu nabízí, že vám pomůže s jeho obsluhou – princip je tentýž, liší se jen použité technické prostředky.


Poznámka redakce: tento aktuální článek o prvním českém phishingu zařazujeme mimořádně místo pravidelného seriálu Stalo se Jiřího Peterky. Jeho další díl si však na Lupě budete moci přečíst již zítra.

Anketa

Dostali jste podobný mail?

Našli jste v článku chybu?

6. 3. 2006 17:16

uživatel si přál zůstat v anonymitě
Spíš kluci pochopili, že když se někdo učí mailovat, tak se nikde nedozví, že dopisy jsou textové soubory s hlavičkami.
Já si myslím, že dokud budou bývalí absolventi "Automatizovaných systému řízení" psát učebnice o Internetu, tak to u nás bude s phishingem číl dál tím lepší.
Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Nestlé vyvinula nový typ „netloustnoucího“ cukru

Nestlé vyvinula nový typ „netloustnoucího“ cukru

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět