Hlavní navigace

Phishing v Česku: napodruhé lépe

Jiří Sluka 9. 3. 2008

V současnosti Internetem hýbe další vlna útoků na klienty České spořitelny. Po první dávce velmi naivních e-mailových zpráv z ledna 2008, psaných neumělou a směšnou češtinou, přicházejí další, rafinovanější. Tentokrát jsou zprávy psané anglicky. V čem spočívá jejich vyšší sofistikovanost?

Jazyk

Phishingové zprávy si nehrají s češtinou. Ta byla a asi stále je pro tvůrce podvrhu zatím natolik obtížná, že je prozrazovala. Místo toho teď sází na angličtinu. Ani ta zdaleka není ryzí, ale na první pohled českému rodilému mluvčímu nenabízí tolik do očí bijících nesmyslů a chyb. Tomu, kdo denně v práci přechází v komunikaci mezi dvěma jazyky a je po dlouhém pracovním dnu unaven, možná ani nepřijde, že mu Česká spořitelna, patřící zahraničnímu vlastníkovi, nepíše česky. Ale musela by to být hodně velká únava…

Odkaz

Technicky uvažujícímu člověku je nebezpečnější druhá léčka, spočívající ve vloženém hypertextovém odkazu. Ten se zdá být velmi věrohodný. Posuďte sami:

https://www.csas­.cz/reward_sur­vey.html?ssl=1

Zcela jednoznačně je zapsána pravá doména České spořitelny. Odkazovaný soubor reward_survey.html se musí nacházet na jejím serveru a nepatří útočníkům.
Podvod se zdá proveditelný např. těmito způsoby:

  1. Podvržením DNS A-záznamu pro Českou spořitelnu tak, aby ukazoval na jiný — cizí server. Předpokládá to např. napadení DNS serverů nebo jiný poměrně brutální síťový útok. To vůbec není snadné a běžné.
  2. Napadením pravého spořitelního serveru a přepsáním jeho obsahu. To je také velmi nepravděpodobné.

Kde je tedy čertovo kopýtko? Jak tušíte, odpověď přinese až rozbor zdrojového textu e-mailu.

Rarášek v hypertextu

Zde mají mírnou výhodu ti uživatelé, kteří dostávají poštu pomocí POP3 klientů nebo mají přístup na vlastní SMTP server. Nejen že si mohou změnit zobrazení těla zprávy, ale v internetové hlavičce snadno vysledují, odkud a jakou cestou k nim zpráva připutovala. Naproti tomu webové rozhraní pro správu pošty běžně nenabízí pohled na úplný zdrojový text.

Ale ani weboví čtenáři pošty nejsou v koncích. Předmětem výzkumu je hypertextový odkaz. Stačí si příslušný úsek zprávy zkopírovat a prohlédnout zdroj běžným „newebovým“ textovým editorem. Vypadá asi takto:

Phishing CS - screenshot 1

Barvy jsem přidal já pro zvýraznění obou složek tagu. Zeleně vyznačená je maskující viditelná a zdánlivě správná část odkazu. Žlutě pak skutečný skrytý link na cílový server. A ten je pochopitelně úplně jinam než na Českou spořitelnu.

Odkaz v jiné zprávě směřuje zase jinam, ale opět ne do Spořitelny, ač se tak tváří. Podobně v dalších zprávách.

Phishing CS - screenshot 2

To je vše. Kdo klikne, dostane se na server ovládaný útočníkem.

Obrana

Věřím, že se nikdo z čtenářů nenapálil. Je zbytečné psát, že Česká spořitelna nikdy podobné zprávy nerozesílá a je nebezpečné řídit se instrukcemi v nich obsaženými.

Soustředím se na možná technická opatření. Patří k nim:

  • Zablokování e-mailového účtu, z něhož jsou rozesílány podvodné zprávy.
  • Zablokování cílového serveru v moci útočníka.
  • Zablokování komunikace směřující na server.

Existují ještě další způsoby, ale ty ponechávám fantazii čtenářů.

První možnost jsem již v nedávné minulosti úspěšně využil. Zjistil jsem, že lednová vlna podvodných zpráv je rozesílána z účtu nacházejícího se na serveru Seznam.cz. Stačilo pak poslat správci stručný e-mail s uvedením okolností a s přílohou zdrojového textu podvodné zprávy. Během jedné hodiny jsem měl od administrátora serveru zpětnou informaci, že účet byl zablokován. Tak si představuji dobrou službu. Všechna čest.

Druhá varianta je těžší. Webový server nacházející se v moci účastníka je obvykle mimo území ČR a je s ním náročnější práce. Bylo docela zajímavé analyzovat z dopředných a zpětných DNS záznamů a z IP adresy další údaje. Závěr pro mě byl, že praví správci serveru ani netuší, k čemu je jejich mašinka zneužita. Nedostatek času mi zabránil, abych korespondoval s poskytovateli internetových služeb a správci hostingu ve věci zneužití. Je to běh na delší trať než v předchozím odstavci. Myslím, že prostor pro dotažení do úspěšného konce zde je, ale chce to vynaložit dostatečné úsilí a vytrvalost.

Třetí teoretická možnost, kterou jsem zatím nevyužil, je požádat národní poskytovatele (ISP) o blokádu komunikace směřované na podvodný server. Za příznivých okolností stačí přidat položku do seznamu zakázaných cílů a je to. Jenže jsou zde i obtíže:

        Zdaleka jsem nevyčerpal možnosti obrany a uvítám, když se podělíte o své zkušenosti s bojem a ochranou proti podobným útokům.

        Závěrem chci čtenářům popřát, abys si svůj bankovní účet vždy spravovali sami a neudělali z něj pro vlastní nepozornost sdílenou položku na webu.

        Aktuální doplnění: další vývoj přinesl ještě lépe technicky provedené phishingové zprávy, vedoucí snad někam do Itálie:

        Phishing CS - screenshot 3

        Anketa

        Dostali jste některou z uvedených phishingových zpráv?

        Našli jste v článku chybu?

        9. 3. 2008 9:52

        Se smutkem musím konstatovat, že už jsem hodně dlouho neviděl tak naivní a mylný článek, jako je tento. Autor vůbec netuší jak phishingové útoky fungují a nemá zjevně ani nejmenší ponětí o rozměrech sítí se kterými phishingové aktivity operují. Zjevně má pocit, že to je nějaký jednotlivec a ten se loguje na schránky v seznamu aby "odtamtud" odesílal spam a k chytání hlupáků mu slouží vlastní hostingové aktivity.

        Bohužel, pokud by autor jenom trochu tušil, tak by nenavrhoval taková nes…

        9. 3. 2008 8:23

        Bohuzel navrhovana protiopatreni jsou trochu mimo.

        1. opatreni, tedy zablokovani e-mailoveho uctu svedci o autorove nepochopeni protokolu SMTP. Ve skutecnosti je mozne podvrhnout adresu odesilatele tak jednoduse, ze se kvuli tomu nemusite prihlasovat na seznam. Takto jste jenom pripravil nevinnou obet o jeji ucet.

        2. opatreni nefunguje, protoze utok zpravidla probehne behem nekolika hodin. Tak kratky cas obvykle nestaci k nalezeni majitele daneho serveru.

        3. toto je velmi vazne naruseni sitov…





        Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

        Kdy vám stát dá na stěhování 50 000 Kč?

        DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

        Mňam TV splnila slib a odešla z DVB-T

        Podnikatel.cz: Přehledná titulka, průvodci, responzivita

        Přehledná titulka, průvodci, responzivita

        Vitalia.cz: To není kašel! Správná diagnóza zachrání život

        To není kašel! Správná diagnóza zachrání život

        Root.cz: Nová třída SD karet A1 s vysokým výkonem

        Nová třída SD karet A1 s vysokým výkonem

        Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

        Na poslední chvíli šokuje vyjímkami v EET

        Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

        Spor o mortadelu: podle Lidlu falšovaná nebyla

        Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

        3, 2, 1..EET startuje. Na co nezapomenout?

        Root.cz: Telegram spustil anonymní blog Telegraph

        Telegram spustil anonymní blog Telegraph

        Podnikatel.cz: Víme první výsledky doby odezvy #EET

        Víme první výsledky doby odezvy #EET

        Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

        Chtějí si léčit kvasinky. Lék je jen v Německu

        Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

        Zavře krám u #EET Malá pokladna a Teeta?

        120na80.cz: Rakovina oka. Jak ji poznáte?

        Rakovina oka. Jak ji poznáte?

        Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

        Babiše přesvědčila 89letá podnikatelka?!

        Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

        Znáte „černý detox“? Ani to nezkoušejte

        Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

        Google měl výpadek, nejel Gmail ani YouTube

        120na80.cz: Pánové, pečujte o svoje přirození a prostatu

        Pánové, pečujte o svoje přirození a prostatu

        Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

        U levneELEKTRO.cz už reklamaci nevyřídíte

        Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

        Air Bank zruší TOP3 garanci a zdražuje kurzy

        Podnikatel.cz: EET zvládneme, budou horší zákony

        EET zvládneme, budou horší zákony