Hlavní navigace

Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák?

Pavel Čepský

Leden kromě jiného přinesl také další phishingový pokus, jenž rozvířil vody bezpečnosti českého Internetu. Jde o povedenou variantu vedenou proti klientům online bankingu, oprášení původního konceptu. Má ale ještě vůbec šanci na úspěch?

V oblasti síťové a počítačové bezpečnosti lze najít hned několik klasických scénářů, které se stále dokola objevují, ve vlnách, mírně pozměněných principech. Patří sem například klasický spam, podstrčení malwaru formou trojského koně nebo phishing. Právě posledně zmíněná kategorie prožívá opakovanou resurekci, jakmile dojde k dlouhodobějšímu útlumu, objeví se vzápětí nový pokus, občas i trochu vyšperkovanými pár inovacemi. A jednou za dlouhou, opravdu dlouhou dobu zmrtvýchvstání prožijí také čeští tvůrci, naposledy při pokusu o zmatení uživatelů internetového bankovnictví Raiffeisenbank.

Jak jsme vás již informovali v původní zprávičce Phinshingový útok na klienty Raiffeisenbank, upozornila na útoky vedené proti bance sama tato společnost, aby varovala klienty i širší veřejnost. Podle ČTK naštěstí nebyly útoky příliš povedené, jelikož nenašly žádnou oběť, uvedl to mluvčí banky Tomáš Kofroň. Zároveň Raiffeisenbank varovala všechny potenciální oběti přímo na svém webu:

Rádi bychom Vás upozornili, že Raiffeisenbank nikdy neoslovuje své klienty prostřednictvím mailu s žádostí o poskytnutí jakýchkoli citlivých dat umožňující přístup k Vašemu účtu. Na podobné maily proto nikdy nereagujte, případně o podobných mailech informujte banku na standardních kontaktních adresách nebo přeposláním mailu na adresu phishing.repor­t@rb.cz.

Zahraniční uživatelé mají s phishingem již poměrně dlouhodobé zkušenosti, v Česku se lokalizovaná falešná návnada objevuje sporadicky. Navíc se zdejší uživatelé z mezinárodních pokusů mohou obávat hlavně univerzálních vějiček v podobě pokusů o vyloudění informací ke službám PayPal, eBay, Facebook a dalším, ale místní lákadla mají často spíše komický charakter. Stačí vzpomenout na zprávy lámaného automatického překladu při dřívějších útocích na Českou spořitelnu, kromě toho ale vody čeří i povedenější varianty, kam patřily například původní fiktivní výzvy Citibank.

Při detekci phishingu dokáže pomoci i klasický antivir

Achillova pata e-bankingu

Proti phishingu dnes prohlížeče nebo další prvky obranné barikády chrání uživatele zpravidla pomocí blacklistingu, tedy konfrontací aktuálně navštěvované adresy s centrálně uloženou databází podvodných stránek. Z pohledu praktického použití, kdy je uživatel chráněn proaktivně, jsou a výhledově nadále budou v kurzu doplňky prohlížečů, které spolupracují s vyhledávači. V seznamu výsledků jsou okamžitě ohodnoceny nalezené stránky a uživatel nemusí čekat na kontrolu stránky až po jejím zobrazení. Kvůli obrovskému množství nově přibývajících podvodných stránek a jejich přesouvání na různé servery vše samozřejmě stojí a padá s častou aktualizací centrálního blacklistu (pomineme-li základní heuristické techniky).

V případě phishingu vedeného proti internetovému bankovnictví je však hlavní obrana na straně banky, stejně jako rozumného použití koncovým uživatelem. Klasické přihlášení použitím uživatelského jména (typicky pomocí čísla smlouvy) a přidruženého hesla patří do složky s názvem Historie, a proto se dnes s touto formou autentizace setkáte jen na úrovni prvního stupně, autorizace k provádění jednotlivých úkonů pak již probíhá bezpečnější variantou – v Česku nejčastěji pomocí SMS.

Přihlášení použitím loginu a hesla patří mezi běžnou praxi, další transakce jsou pak ověřeny prostřednictvím SMS zprávy

Právě rozlišení autentizace a autorizace během používání internetového bankovnictví patří mezi nejvíce diskutovaná témata. Řada bank (v čele například s Českou spořitelnou) dovoluje přihlášení pomocí klientského čísla a hesla, tedy vyplněním jednoduchého formuláře. I když jsou případné další transakce autorizované pomocí SMS, k prvotnímu nahlédnutí do účtu postačí jednoduché odcizení dvou základních ingrediencí webového přihlášení.

Současný problém nemusí být ani tak v přístupu bank, jako spíš pohodlnosti koncových uživatelů. Čtenáři Lupy asi jen těžko přistoupí na taktiku, aby přístup k přehledu stavu jejich úspor chránilo jen prosté vyplnění dvou polí webového formuláře, nicméně běžní uživatelé hledají co nejméně komplikovanou cestu. Zkuste jim vysvětlit, k čemu je dobrý certifikát, proč ho banka distribuuje tím kterým způsobem, resp. z jakého důvodu je nutné, aby si jej vůbec zřídili. Nalezení kompromisu mezi standardem zabezpečení z pohledu poskytovatele internetových služeb a koncových klientů je Achillovou patou současného i budoucího online bytí.

Nové kanály a návnady

S postupným prorůstáním Internetu do stále většího počtu domácností stoupá také počet lidí, kteří se k němu dostanou z ničeho nic, brány online světa se jim najednou s pořádnou fanfárou naplno otevřou. Tato často opomíjená skupina je ale nejzranitelnější, není proto divu, že si útočníci za nejčastější oběti vybírají právě její zástupce. Jak již bylo zmíněno, drtivá většina z vás, pravidelných čtenářů informací a novinek online světa, se po obdržení e-mailu s žádostí o zadání loginu a hesla k online bankovnictví pouze ušklíbne a poznamená něco o naivních pokusech.

Aktuální podoba falešného formuláře, jenž vystupoval jménem Raiffeisenbank. Zdroj: Hoax.cz

Stejně tak v případech zpráv s příslibem fotky Angeliny Jolie v příloze nebo doručení skvělého prográmku zdarma, od neznámého odesilatele samozřejmě. Ti, kdo mají Internet prvně na dosah, ale takový nadhled nemají, vždy se najde důvěřivec. Vinou toho pokusy o loudění informací nebo podstrčení můžeme výhledově ještě delší dobu očekávat.

Klasický spam již útočníkům začíná být pro phishingové pasti jen málo flexibilní, proto se uchylují například ke SMiShingu (odesílání odkazů na podvodné stránky prostřednictvím SMS zpráv) a vishingu (zneužití VoIP pro podvodné oslovení). Nicméně paralelu tohoto odklonění se od spamu nemusíme pozorovat pouze v případě phishingu, ale i dalších oblastech. Hromadně rozesílanou poštu totiž SMS zprávy „nahrazují“ i v případě klasických reklamních sdělení, VoIP může posloužit v případě většinou tolik nenáviděného telemarketingu.

Nesmrtelnost na druhou

Postupem času se už i začínající surfaři naučili nepovažovat Internet za zdroj pouze důvěryhodných informací a ke stahování dat z nedůvěryhodných zdrojů se staví mnohem skeptičtěji. Podobné návyky však zatím nemají plně osvojeny ve světě podvodných urgentních zpráv, které vyžadují zadání citlivých údajů. Jedná se o stejný problém, jako například v případě hesel na prodej. Dokud budou existovat uživatelé, kteří ochotní vyzradí cokoliv, kdykoliv a kdekoliv, nezbavíme se phishingu sebelepším filtrem.

Základní princip phishingu zůstává stále stejný, nicméně útočníci se snaží měnit cestu, jak jej doručit vyhlédnuté oběti, přesněji řečeno statisícům a milionům potenciálních obětí. Osobně si bohužel myslím, že právě vinou toho bude loudění citlivých informací nadále nesmrtelné. S jakými phishingovými pokusy jste se v nedávné době osobně setkali, jak vidíte jejich budoucnost a možnosti vymýcení? Podělte se o svůj názor a zkušenosti v diskuzi pod článkem.

Našli jste v článku chybu?

11. 1. 2011 14:12

Protože je to nebezpečné.

Jak si můžete chránit privátní klíč v běžném počítači plném internet explorerů, virů a malware?

11. 1. 2011 20:33

Mám pro autory phisingu dobrou zprávu - ano, samozřejmě, že se ještě takoví najdou. A je jich spousta.
K tomuto názoru mě svádí například má nedávná zkušenost s mými rodiči (kteří prominou, v ostatních věcech si jich velmi vážím) a s vánočním emailem:

Prosímtě, přišel mi email, který má v příloze přání k Vánocům ( pozn.: VeseleVanoce.exe ) a já nevím, jak se ta příloha má uložit do počítače. Mohl bys mi s tím pomoct?

Jediným štěstím v této situaci bylo opravdu to, že rodiče neuměli tu přílohu …


DigiZone.cz: Test Philips 24PFS5231 s Bluetooth repro

Test Philips 24PFS5231 s Bluetooth repro

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček