Phishing po česku

Phishing (nebo, chcete-li, rhybaření), tedy podvodné získávání přístupových údajů do různých online služeb zejména finančního charakteru, není nic nového. Přesto dokáže překvapit. Minulý týden tak začaly e-mailové schránky zaplavovat česky psané podvodné e-maily, vydávající se za výzvu banky Citibank k ověření došlé platby - a samozřejmě k zadání přihlašovacích údajů...

Byli jsme zvyklí, že podobné zprávy nám chodí v cizím jazyce, nejčastěji pochopitelně anglickém. Ale český phishing, navíc velmi přesvědčivý, to je novinka a obávám se, že se na ni nachytá nemálo lidí. Ve svém mailboxu jsem nalezl pěkný kousek a nedá mi se o něj nepodělit – patřím totiž mezi zákazníky společnosti Citibank ČR, a ač tam nemám běžný účet, na můj kartový účet tam měla přijít jistá drobná platba ze zahraničí.

Phishing mail

V okamžiku přečtení tohoto e-mailu jsem si tedy nemohl být až tak úplně jist, zda se jedná o podvrh či nikoli. Jistě, banky samotné rozhodně nemají ve zvyku podobným způsobem komunikovat se svými zákazníky a samozřejmě i potvrzování příchozích plateb je nesmysl, nicméně nikdo z nás nemůže vědět, zda banka kvůli zlepšování kvality služeb, boje proti terorismu nebo nějakého podobně smysluplného důvodu podobnou „službu“ právě nezavedla. Naprostou jistotu, že se o podvrh skutečně jedná, jsem získal až ze SMTP hlaviček – což však nelze očekávat od běžného uživatele Internetu.

Received: from localhost (localhost [127.0.0.1])
by XXXXXXXXXXXXXXXXXX (Postfix) with ESMTP id E1F99442434
for <zbynek@dialtelecom.cz>; Fri, 3 Mar 2006 06:37:53 +0100 (CET)
Received: from -1216007800 (cpe-66-25-88-93.satx.res.rr.com [66.25.88.93])
by XXXXXXXXXXXXXXXXXX (Postfix) with SMTP id 52A86442327
for <zbynek@dialtelecom.cz>; Fri, 3 Mar 2006 06:37:53 +0100 (CET)
Received: from citibank.cz (-1215781328 [-1216326080])
by cpe-66-25-88-93.satx.res.rr.com (Qmailv1) with ESMTP id D2929F507D
for <zbynek@dialtelecom.cz>; Fri, 03 Mar 2006 01:38:46 -0500

Z uvedených hlaviček pochopitelně vyplývá, že poslední, třetí záznam, je zcela zjevně falešný (proč by ostatně host citibank.cz vracel jako IP adresu a reverzní záznam nějaké decimální, nota bene záporné, hausnumero) a kromě toho, proč by Citibank posílala e-maily svým klientům přes jakýsi extrémně podezřelý host, vypadající na první pohled jako ADSL či CaTV přípojka.

Po analýze hlaviček jsem dospěl k závěru, že dotyčný e-mail byl odeslán z počítače infiltrovaného nějakým červem v botnetovém stylu, jichž dnes bohužel existují spousty a provozovatel uvedeného stroje pravděpodobně ani netuší, že svůj počítač nemá až tak úplně pod kontrolou on, ale neznámá zločinecká skupina. Přesto i on pochopitelně nese svůj díl viny, protože se o kontrolu nad svým hardwarem nechal připravit (kdyby si lidé nenechávali infiltrovat své systémy, pokoušelo by se o to mnohem méně útočníků) a svůj díl viny za své případné okradení nese samozřejmě i ten, kdo se nechá podvést a své údaje phisherům předá – za blbost se totiž platí od počátku věků, což však pochopitelně nesnižuje vinu pachatelů takového pokusu o podvod (a o tom, že uvedené jednání zakládá důvodné podezření naplnění skutkové podstaty trestného činu podvodu podle §250 odst. 3 nebo 4 trestního zákona ve stádiu přípravy či pokusu, není nejmenších pochyb). A opět – pokud by se nenašel nikdo, kdo by podvodníkům uvedené informace dal, pak by podobný pokus patrně již nebyl opakován, neboť i podvodník má pochopitelný zájem pracovat efektivně.

Zajímavý je i odkaz, na který vás uvedený e-mail pošle. Že tam najdeme přesně okopírovanou homepage české Citibank, to se dalo očekávat. Zajímavější je pátrat po tom, kam nás tento odkaz zavede, a zde si phisher dal opravdu práci:

$ host citi-online.czechrepublic-online.com
citi-online.czechrepublic-online.com has address 12.215.199.187
citi-online.czechrepublic-online.com has address 24.27.32.55
citi-online.czechrepublic-online.com has address 24.243.168.196
citi-online.czechrepublic-online.com has address 65.34.41.53
citi-online.czechrepublic-online.com has address 67.163.124.5

Uvedené adresy jsou opět počítače za ADSL či CaTV přípojkami, tedy patrně zase botnet. Takže zbývá poslední stopa – doména czechrepublic-online.com. Tuto doménu vlastní pravděpodobně falešná identita jistého Travise Godfreye, více informací si ostatně můžete najít na Network Solutions. Nameservery jsou vedeny na my-dns-zone.com, takže poslední případnou stopou (dokud pochopitelně nedojde k prvnímu okradení zákazníka banky), dostupnou ovšem pouze orgánům činným v trestním řízení, jsou platby majitele domény registrátorovi, v tomto případě německé firmě Computer Services Langenbach GmbH. Ani to ovšem nemusí být spolehlivá metoda, pokud doména byla zaplacena převodem z některého nabouraného účtu.

Orgány činné v trestním řízení tak budou mít obtížnou práci, neboť k případnému dovršení skutku je nezbytné, aby proběhly aktivity na území tří různých států (ČR, SRN a USA), a je docela dost možné, že dokud nebude první poškozený klient, nebude existovat vůbec žádný způsob, jak identifikovat a dopadnout pachatele. Možnosti samotného poškozeného klienta jsou pochopitelně ještě menší.

CIF16

A teď otázka, která by asi běžného českého uživatele Internetu a online finančních systémů bude zajímat asi nejvíce: Jak se phishingu bránit? Zásada je jednoduchá a nevyžaduje žádné sofistikované technické znalosti, postačuje elementární logika – nevěřte žádnému e-mailu, který se tváří tak, že pochází z nějaké finanční instituce, zvláště, obsahuje-li nějaký odkaz na stránku, kde byste se měli nějak přihlašovat svým jménem a heslem. Je to obdobné jako nevěřit někomu, kdo u bankomatu nabízí, že vám pomůže s jeho obsluhou – princip je tentýž, liší se jen použité technické prostředky.


Poznámka redakce: tento aktuální článek o prvním českém phishingu zařazujeme mimořádně místo pravidelného seriálu Stalo se Jiřího Peterky. Jeho další díl si však na Lupě budete moci přečíst již zítra.

Anketa

Dostali jste podobný mail?

20 názorů Vstoupit do diskuse
poslední názor přidán 12. 3. 2006 19:01

Školení SEO - jak na optimalizaci pro vyhledávače

  •  
    Analýza klíčových slov - jaká slova vybrat.
  • Metody linkbuildingu - jak získat zpětné odkazy.
  • Vyhodnocování SEO - nesledujte jen pozice.

Detailní informace o školení SEO »