Phishing po česku

Byli jsme zvyklí, že podobné zprávy nám chodí v cizím jazyce, nejčastěji pochopitelně anglickém. Ale český phishing, navíc velmi přesvědčivý, to je novinka a obávám se, že se na ni nachytá nemálo lidí. Ve svém mailboxu jsem nalezl pěkný kousek a nedá mi se o něj nepodělit – patřím totiž mezi zákazníky společnosti Citibank ČR, a ač tam nemám běžný účet, na můj kartový účet tam měla přijít jistá drobná platba ze zahraničí.

V okamžiku přečtení tohoto e-mailu jsem si tedy nemohl být až tak úplně jist, zda se jedná o podvrh či nikoli. Jistě, banky samotné rozhodně nemají ve zvyku podobným způsobem komunikovat se svými zákazníky a samozřejmě i potvrzování příchozích plateb je nesmysl, nicméně nikdo z nás nemůže vědět, zda banka kvůli zlepšování kvality služeb, boje proti terorismu nebo nějakého podobně smysluplného důvodu podobnou „službu“ právě nezavedla. Naprostou jistotu, že se o podvrh skutečně jedná, jsem získal až ze SMTP hlaviček – což však nelze očekávat od běžného uživatele Internetu.

Z uvedených hlaviček pochopitelně vyplývá, že poslední, třetí záznam, je zcela zjevně falešný (proč by ostatně host citibank.cz vracel jako IP adresu a reverzní záznam nějaké decimální, nota bene záporné, hausnumero) a kromě toho, proč by Citibank posílala e-maily svým klientům přes jakýsi extrémně podezřelý host, vypadající na první pohled jako ADSL či CaTV přípojka.

Po analýze hlaviček jsem dospěl k závěru, že dotyčný e-mail byl odeslán z počítače infiltrovaného nějakým červem v botnetovém stylu, jichž dnes bohužel existují spousty a provozovatel uvedeného stroje pravděpodobně ani netuší, že svůj počítač nemá až tak úplně pod kontrolou on, ale neznámá zločinecká skupina. Přesto i on pochopitelně nese svůj díl viny, protože se o kontrolu nad svým hardwarem nechal připravit (kdyby si lidé nenechávali infiltrovat své systémy, pokoušelo by se o to mnohem méně útočníků) a svůj díl viny za své případné okradení nese samozřejmě i ten, kdo se nechá podvést a své údaje phisherům předá – za blbost se totiž platí od počátku věků, což však pochopitelně nesnižuje vinu pachatelů takového pokusu o podvod (a o tom, že uvedené jednání zakládá důvodné podezření naplnění skutkové podstaty trestného činu podvodu podle §250 odst. 3 nebo 4 trestního zákona ve stádiu přípravy či pokusu, není nejmenších pochyb). A opět – pokud by se nenašel nikdo, kdo by podvodníkům uvedené informace dal, pak by podobný pokus patrně již nebyl opakován, neboť i podvodník má pochopitelný zájem pracovat efektivně.

Zajímavý je i odkaz, na který vás uvedený e-mail pošle. Že tam najdeme přesně okopírovanou homepage české Citibank, to se dalo očekávat. Zajímavější je pátrat po tom, kam nás tento odkaz zavede, a zde si phisher dal opravdu práci:

Uvedené adresy jsou opět počítače za ADSL či CaTV přípojkami, tedy patrně zase botnet. Takže zbývá poslední stopa – doména czechrepublic-online.com. Tuto doménu vlastní pravděpodobně falešná identita jistého Travise Godfreye, více informací si ostatně můžete najít na Network Solutions. Nameservery jsou vedeny na my-dns-zone.com, takže poslední případnou stopou (dokud pochopitelně nedojde k prvnímu okradení zákazníka banky), dostupnou ovšem pouze orgánům činným v trestním řízení, jsou platby majitele domény registrátorovi, v tomto případě německé firmě Computer Services Langenbach GmbH. Ani to ovšem nemusí být spolehlivá metoda, pokud doména byla zaplacena převodem z některého nabouraného účtu.

Orgány činné v trestním řízení tak budou mít obtížnou práci, neboť k případnému dovršení skutku je nezbytné, aby proběhly aktivity na území tří různých států (ČR, SRN a USA), a je docela dost možné, že dokud nebude první poškozený klient, nebude existovat vůbec žádný způsob, jak identifikovat a dopadnout pachatele. Možnosti samotného poškozeného klienta jsou pochopitelně ještě menší.

A teď otázka, která by asi běžného českého uživatele Internetu a online finančních systémů bude zajímat asi nejvíce: Jak se phishingu bránit? Zásada je jednoduchá a nevyžaduje žádné sofistikované technické znalosti, postačuje elementární logika – nevěřte žádnému e-mailu, který se tváří tak, že pochází z nějaké finanční instituce, zvláště, obsahuje-li nějaký odkaz na stránku, kde byste se měli nějak přihlašovat svým jménem a heslem. Je to obdobné jako nevěřit někomu, kdo u bankomatu nabízí, že vám pomůže s jeho obsluhou – princip je tentýž, liší se jen použité technické prostředky.

Poznámka redakce: tento aktuální článek o prvním českém phishingu zařazujeme mimořádně místo pravidelného seriálu Stalo se Jiřího Peterky. Jeho další díl si však na Lupě budete moci přečíst již zítra.