Hlavní navigace

Phishing: Přehlížená hrozba chytá druhý dech

Pavel Čepský 18. 5. 2012

Stálice v podobě podvodných e-mailů se občas zdají být zapomenuty, nicméně neměli bychom je podceňovat. Kdy je zapotřebí zbystřit a co na nás útočníci chystají do budoucna?

V nedávném bezpečnostním komentáři s názvem Sportem ku zdraví a počítačové invaliditě jsme se podrobně věnovali aktuálnímu trendu, jehož průvodním jevem je zneužití sportovních událostí a podvodných aktivit útočníků všeho druhu. S tímto tématem velice úzce souvisí také univerzální phishingové e-maily, kterým už plno odborníků kdysi předpovědělo konec, přesto se však podvodníci zuby nehty drží, a dokonce i nápaditě inovují. Co nás tedy v této oblasti falešných vějiček čeká a proč ještě neskončily na smetišti síťového zapomnění?

V oblasti síťové a počítačové bezpečnosti lze najít hned několik klasických scénářů, které se stále dokola objevují, ve vlnách, mírně pozměněných principech. Patří sem například klasický spam, podstrčení malwaru formou trojského koně nebo phishing. Hlavně posledně zmíněná kategorie prožívá opakovanou resurekci, jakmile dojde k dlouhodobějšímu útlumu, objeví se vzápětí nový pokus, občas i trochu vyšperkovaný pár inovacemi.

Klasika v podobě takto specializovaných podvodných e-mailů má své specifikum, a sice, že útočníci vždy pouze opráší původní koncept, případně uvaří jinou „omáčku“ kolem, základní princip však zůstává stejný. Šablonovité útoky naštěstí již i běžní koncoví uživatelé odhalí, velkou část navíc odfiltruje antispamový filtr, a tak je úspěch podvodů ne zrovna velký. Na druhou stranu ale podvodníci díky starému modelu vyvinou malé úsilí, proto se jim vyplatí zkoušet stejné metody stále dokola.

Jestliže pečlivě prolistujete spambox ve své e-mailové schránce, máte v posledních dnech a týdnech velkou šanci najít phishingové zprávy, které zneužívají dva tradiční, léty prověřené koncepty – žádost o resetování hesla k internetovému bankovnictví, a tedy i nutnost ověření či změnu kontaktních údajů, jelikož tato dvě témata se zpravidla objevují ruku v ruce. Několik hlavních prvků je shodných s předešlými pokusy, nicméně také nyní podvodníci vsadili na drobné úpravy, aby převážili misky vah pravděpodobnosti úspěchu na svou stranu.

Podvodný e-mail
Aktuální phishing, který používá standardní lákadlo v podobě resetování hesla. Zdroj: AVG

Hopem do pasti

Nutnost resetu hesla je běžnou náplní phishingových e-mailů, většinou se jedná o přesně specifikované služby. Naproti tomu stávající univerzální útoky nemají v těle daného e-mailu jmenovanou konkrétní službu (Facebook, PayPal, …), ale jen univerzální spojení online banking. Podvodníci se tak snaží zaujmout širší spektrum potenciálních obětí, nicméně na druhou stranu jdou aktuálně trochu proti proudu, jelikož úspěchy a výrazné čeření phishingových vod mají na svém kontě hlavně personalizova­né útoky.

K personalizovaným variantám útočníci přistupují stále častěji z toho důvodu, že na klasické techniky si již začínající i pokročilí uživatelé i díky osvětě zvykli a dokážou je zdravým rozumem ve velké míře odfiltrovat vlastním úsudkem. Pokud však přijde konkrétní zpráva týkající se některého blízkého tématu například prostřednictvím instant messagingu, speciálně připraveným e-mailem s důvěrným oslovením, nebo dokonce skrze phishingovou SMS zprávu, je ostražitost ta tam. Dokáže se vůbec ještě na univerzální phishingovou zprávu, jak byla zobrazena a popsána výše, ještě někdo nachytat? Osobně jsem v tomto ohledu naštěstí hodně skeptický, a tak jen ať si to útočníci dál zkouší – pokud už na „technickou podporu DigitalInsight.com“ ve své falešné víře přejdou, šance na zneužití nijak drasticky nestoupá.

Druhou variantu phishingového e-mailu, který v nevyžádané poště aktuálně koluje, představuje historka o změně kontaktních údajů. Zde je již léčka o něco sofistikovanější, jelikož uživateli přijde zpráva upozorňující na změněný e-mail, který se váže k jeho účtu, a pokud souhlasí, tak nemusí provádět žádnou akci. V opačném případě je zapotřebí následovat odkaz ve zprávě, přihlásit se pomocí korektních údajů a chybu opravit. Finta zde spočívá v tom, že nový e-mail zaslaný jakože z banky je pokaždé neplatný, a tak přespříliš dychtivý uživatel své správné přihlašovací údaje po následování podvodného odkazu zadá do formuláře přímo podvodníkům.

Útoky (ať už prostřednictvím sociálního inženýrství nebo více automatizované) mají společný prvek: podvodníci i pokročilejší útočníci se snaží zapůsobit tak, že první kontakt a pokus o podvržení informací nebo podstrčení podvodné stránky na první pohled vypadá, jako by šlo o korektní zprávu od běžné finanční instituce. Procento úspěchu v takovýchto případech stále nebude lámat žebříčky efektivních útoků, nicméně podvodníkům nezabere příliš času takovéto techniky převést do praxe.

Detekce nebezpečí
S dobře známými phishingovými podvody se vypořádají i antiviry

Pro telefony všeho druhu

Uvedené pokusy však již patří mezi poměrně zprofanované a řada potenciálních obětí, které by se nechaly nachytat, již okatá lákadla rychle prohlédne. Nicméně infiltrace na základě uživatelova požadavku (i když si myslí, že provádí jinou akci) je nadále velice oblíbená, a tak se jí podvodníci a útočníci drží. Mezi inovované techniky a stále populárnější postupy kromě upraveného phishingu patří například také clickjacking, SMiShing (tedy phishing přes SMS, kdy mají oběti větší pocit důvěrné komunikace) apod.

Kam aktuální phishing směřuje? Na prvním místě se podvodníci budou snažit vyvolat pocit nutné rychlé akce ze strany uživatele, například potřeba změnit heslo do 24 hodin, zkontrolovat data v systému běžným přihlášením, ověřit nastavení profilu apod. Dále lze přisoudit úspěšné zítřky phishingu, který bude personalizovaný, tedy nezacílí na všechny s oslovením „Dear customer“, „Action wanted“ apod., ale zaměří se na menší, o to více propracované skupiny uživatelů, a to tím spíš, pokud podvodníci jakoukoliv cestou získají platnou databázi uživatelů čehokoliv.

A v neposlední řadě nové vlny phishingu nezapomeňme ani na zneužití mobilních telefonů. Nedávná analýza ukazuje, že se phishingové útoky zaměřují na uživatele mobilních zařízení a snaží se objevit zranitelná místa. Zvýšil se například počet útoků na WAP stránky a weby umístěné v rámci domén s obsahem určeným pro mobilní zařízení (například .mobi). U tohoto útoku je zajímavé, že jde v oblasti mobilních telefonů tak trochu proti proudu, dokáže ale podvodníkům přinést větší množství obětí. Za standard jsou totiž považovány hlavně útoky cílící na chytré mobilní telefony, naproti tomu ataky pomocí zmíněných stránek postihnou i neobezřetné uživatele prakticky všech telefonů, které zvládnou připojení k internetu.

Našli jste v článku chybu?

18. 5. 2012 19:41

MCE (neregistrovaný)

Ano, pomalu přichází nová vlna, otázka je, kam až to může zajít, viz http://www.cleverandsmart.cz/phishing-prichazi-nova-generace-phishingu/.
SMiShing též docela jede, zatímco o Vishingu http://www.cleverandsmart.cz/vishing/ se v poslední době už vůbec nemluví.


Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem