Hlavní navigace

Phishing po česku

 Autor: 29
Zbyněk Pospíchal 6. 3. 2006

Phishing (nebo, chcete-li, rhybaření), tedy podvodné získávání přístupových údajů do různých online služeb zejména finančního charakteru, není nic nového. Přesto dokáže překvapit. Minulý týden tak začaly e-mailové schránky zaplavovat česky psané podvodné e-maily, vydávající se za výzvu banky Citibank k ověření došlé platby - a samozřejmě k zadání přihlašovacích údajů...

Byli jsme zvyklí, že podobné zprávy nám chodí v cizím jazyce, nejčastěji pochopitelně anglickém. Ale český phishing, navíc velmi přesvědčivý, to je novinka a obávám se, že se na ni nachytá nemálo lidí. Ve svém mailboxu jsem nalezl pěkný kousek a nedá mi se o něj nepodělit – patřím totiž mezi zákazníky společnosti Citibank ČR, a ač tam nemám běžný účet, na můj kartový účet tam měla přijít jistá drobná platba ze zahraničí.

Phishing mail

V okamžiku přečtení tohoto e-mailu jsem si tedy nemohl být až tak úplně jist, zda se jedná o podvrh či nikoli. Jistě, banky samotné rozhodně nemají ve zvyku podobným způsobem komunikovat se svými zákazníky a samozřejmě i potvrzování příchozích plateb je nesmysl, nicméně nikdo z nás nemůže vědět, zda banka kvůli zlepšování kvality služeb, boje proti terorismu nebo nějakého podobně smysluplného důvodu podobnou „službu“ právě nezavedla. Naprostou jistotu, že se o podvrh skutečně jedná, jsem získal až ze SMTP hlaviček – což však nelze očekávat od běžného uživatele Internetu.

Received: from localhost (localhost [127.0.0.1])
by XXXXXXXXXXXXXXXXXX (Postfix) with ESMTP id E1F99442434
for <zbynek@dialtelecom.cz>; Fri, 3 Mar 2006 06:37:53 +0100 (CET)
Received: from -1216007800 (cpe-66-25-88-93.satx.res.rr.com [66.25.88.93])
by XXXXXXXXXXXXXXXXXX (Postfix) with SMTP id 52A86442327
for <zbynek@dialtelecom.cz>; Fri, 3 Mar 2006 06:37:53 +0100 (CET)
Received: from citibank.cz (-1215781328 [-1216326080])
by cpe-66-25-88-93.satx.res.rr.com (Qmailv1) with ESMTP id D2929F507D
for <zbynek@dialtelecom.cz>; Fri, 03 Mar 2006 01:38:46 -0500

Z uvedených hlaviček pochopitelně vyplývá, že poslední, třetí záznam, je zcela zjevně falešný (proč by ostatně host citibank.cz vracel jako IP adresu a reverzní záznam nějaké decimální, nota bene záporné, hausnumero) a kromě toho, proč by Citibank posílala e-maily svým klientům přes jakýsi extrémně podezřelý host, vypadající na první pohled jako ADSL či CaTV přípojka.

Po analýze hlaviček jsem dospěl k závěru, že dotyčný e-mail byl odeslán z počítače infiltrovaného nějakým červem v botnetovém stylu, jichž dnes bohužel existují spousty a provozovatel uvedeného stroje pravděpodobně ani netuší, že svůj počítač nemá až tak úplně pod kontrolou on, ale neznámá zločinecká skupina. Přesto i on pochopitelně nese svůj díl viny, protože se o kontrolu nad svým hardwarem nechal připravit (kdyby si lidé nenechávali infiltrovat své systémy, pokoušelo by se o to mnohem méně útočníků) a svůj díl viny za své případné okradení nese samozřejmě i ten, kdo se nechá podvést a své údaje phisherům předá – za blbost se totiž platí od počátku věků, což však pochopitelně nesnižuje vinu pachatelů takového pokusu o podvod (a o tom, že uvedené jednání zakládá důvodné podezření naplnění skutkové podstaty trestného činu podvodu podle §250 odst. 3 nebo 4 trestního zákona ve stádiu přípravy či pokusu, není nejmenších pochyb). A opět – pokud by se nenašel nikdo, kdo by podvodníkům uvedené informace dal, pak by podobný pokus patrně již nebyl opakován, neboť i podvodník má pochopitelný zájem pracovat efektivně.

Zajímavý je i odkaz, na který vás uvedený e-mail pošle. Že tam najdeme přesně okopírovanou homepage české Citibank, to se dalo očekávat. Zajímavější je pátrat po tom, kam nás tento odkaz zavede, a zde si phisher dal opravdu práci:

$ host citi-online.czechrepublic-online.com
citi-online.czechrepublic-online.com has address 12.215.199.187
citi-online.czechrepublic-online.com has address 24.27.32.55
citi-online.czechrepublic-online.com has address 24.243.168.196
citi-online.czechrepublic-online.com has address 65.34.41.53
citi-online.czechrepublic-online.com has address 67.163.124.5

Uvedené adresy jsou opět počítače za ADSL či CaTV přípojkami, tedy patrně zase botnet. Takže zbývá poslední stopa – doména czechrepublic-online.com. Tuto doménu vlastní pravděpodobně falešná identita jistého Travise Godfreye, více informací si ostatně můžete najít na Network Solutions. Nameservery jsou vedeny na my-dns-zone.com, takže poslední případnou stopou (dokud pochopitelně nedojde k prvnímu okradení zákazníka banky), dostupnou ovšem pouze orgánům činným v trestním řízení, jsou platby majitele domény registrátorovi, v tomto případě německé firmě Computer Services Langenbach GmbH. Ani to ovšem nemusí být spolehlivá metoda, pokud doména byla zaplacena převodem z některého nabouraného účtu.

Orgány činné v trestním řízení tak budou mít obtížnou práci, neboť k případnému dovršení skutku je nezbytné, aby proběhly aktivity na území tří různých států (ČR, SRN a USA), a je docela dost možné, že dokud nebude první poškozený klient, nebude existovat vůbec žádný způsob, jak identifikovat a dopadnout pachatele. Možnosti samotného poškozeného klienta jsou pochopitelně ještě menší.

CIF16

A teď otázka, která by asi běžného českého uživatele Internetu a online finančních systémů bude zajímat asi nejvíce: Jak se phishingu bránit? Zásada je jednoduchá a nevyžaduje žádné sofistikované technické znalosti, postačuje elementární logika – nevěřte žádnému e-mailu, který se tváří tak, že pochází z nějaké finanční instituce, zvláště, obsahuje-li nějaký odkaz na stránku, kde byste se měli nějak přihlašovat svým jménem a heslem. Je to obdobné jako nevěřit někomu, kdo u bankomatu nabízí, že vám pomůže s jeho obsluhou – princip je tentýž, liší se jen použité technické prostředky.


Poznámka redakce: tento aktuální článek o prvním českém phishingu zařazujeme mimořádně místo pravidelného seriálu Stalo se Jiřího Peterky. Jeho další díl si však na Lupě budete moci přečíst již zítra.

Anketa

Dostali jste podobný mail?

Našli jste v článku chybu?
Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Slevu na dani na EET neuplatní každý

Slevu na dani na EET neuplatní každý

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban