Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák?

Leden kromě jiného přinesl také další phishingový pokus, jenž rozvířil vody bezpečnosti českého Internetu. Jde o povedenou variantu vedenou proti klientům online bankingu, oprášení původního konceptu. Má ale ještě vůbec šanci na úspěch?

reklama

V oblasti síťové a počítačové bezpečnosti lze najít hned několik klasických scénářů, které se stále dokola objevují, ve vlnách, mírně pozměněných principech. Patří sem například klasický spam, podstrčení malwaru formou trojského koně nebo phishing. Právě posledně zmíněná kategorie prožívá opakovanou resurekci, jakmile dojde k dlouhodobějšímu útlumu, objeví se vzápětí nový pokus, občas i trochu vyšperkovanými pár inovacemi. A jednou za dlouhou, opravdu dlouhou dobu zmrtvýchvstání prožijí také čeští tvůrci, naposledy při pokusu o zmatení uživatelů internetového bankovnictví Raiffeisenbank.

Jak jsme vás již informovali v původní zprávičce Phinshingový útok na klienty Raiffeisenbank, upozornila na útoky vedené proti bance sama tato společnost, aby varovala klienty i širší veřejnost. Podle ČTK naštěstí nebyly útoky příliš povedené, jelikož nenašly žádnou oběť, uvedl to mluvčí banky Tomáš Kofroň. Zároveň Raiffeisenbank varovala všechny potenciální oběti přímo na svém webu:

Rádi bychom Vás upozornili, že Raiffeisenbank nikdy neoslovuje své klienty prostřednictvím mailu s žádostí o poskytnutí jakýchkoli citlivých dat umožňující přístup k Vašemu účtu. Na podobné maily proto nikdy nereagujte, případně o podobných mailech informujte banku na standardních kontaktních adresách nebo přeposláním mailu na adresu phishing.repor­t@rb.cz.

Zahraniční uživatelé mají s phishingem již poměrně dlouhodobé zkušenosti, v Česku se lokalizovaná falešná návnada objevuje sporadicky. Navíc se zdejší uživatelé z mezinárodních pokusů mohou obávat hlavně univerzálních vějiček v podobě pokusů o vyloudění informací ke službám PayPal, eBay, Facebook a dalším, ale místní lákadla mají často spíše komický charakter. Stačí vzpomenout na zprávy lámaného automatického překladu při dřívějších útocích na Českou spořitelnu, kromě toho ale vody čeří i povedenější varianty, kam patřily například původní fiktivní výzvy Citibank.

Při detekci phishingu dokáže pomoci i klasický antivir

Achillova pata e-bankingu

Proti phishingu dnes prohlížeče nebo další prvky obranné barikády chrání uživatele zpravidla pomocí blacklistingu, tedy konfrontací aktuálně navštěvované adresy s centrálně uloženou databází podvodných stránek. Z pohledu praktického použití, kdy je uživatel chráněn proaktivně, jsou a výhledově nadále budou v kurzu doplňky prohlížečů, které spolupracují s vyhledávači. V seznamu výsledků jsou okamžitě ohodnoceny nalezené stránky a uživatel nemusí čekat na kontrolu stránky až po jejím zobrazení. Kvůli obrovskému množství nově přibývajících podvodných stránek a jejich přesouvání na různé servery vše samozřejmě stojí a padá s častou aktualizací centrálního blacklistu (pomineme-li základní heuristické techniky).

V případě phishingu vedeného proti internetovému bankovnictví je však hlavní obrana na straně banky, stejně jako rozumného použití koncovým uživatelem. Klasické přihlášení použitím uživatelského jména (typicky pomocí čísla smlouvy) a přidruženého hesla patří do složky s názvem Historie, a proto se dnes s touto formou autentizace setkáte jen na úrovni prvního stupně, autorizace k provádění jednotlivých úkonů pak již probíhá bezpečnější variantou – v Česku nejčastěji pomocí SMS.

Přihlášení použitím loginu a hesla patří mezi běžnou praxi, další transakce jsou pak ověřeny prostřednictvím SMS zprávy

Právě rozlišení autentizace a autorizace během používání internetového bankovnictví patří mezi nejvíce diskutovaná témata. Řada bank (v čele například s Českou spořitelnou) dovoluje přihlášení pomocí klientského čísla a hesla, tedy vyplněním jednoduchého formuláře. I když jsou případné další transakce autorizované pomocí SMS, k prvotnímu nahlédnutí do účtu postačí jednoduché odcizení dvou základních ingrediencí webového přihlášení.

Současný problém nemusí být ani tak v přístupu bank, jako spíš pohodlnosti koncových uživatelů. Čtenáři Lupy asi jen těžko přistoupí na taktiku, aby přístup k přehledu stavu jejich úspor chránilo jen prosté vyplnění dvou polí webového formuláře, nicméně běžní uživatelé hledají co nejméně komplikovanou cestu. Zkuste jim vysvětlit, k čemu je dobrý certifikát, proč ho banka distribuuje tím kterým způsobem, resp. z jakého důvodu je nutné, aby si jej vůbec zřídili. Nalezení kompromisu mezi standardem zabezpečení z pohledu poskytovatele internetových služeb a koncových klientů je Achillovou patou současného i budoucího online bytí.

Nové kanály a návnady

S postupným prorůstáním Internetu do stále většího počtu domácností stoupá také počet lidí, kteří se k němu dostanou z ničeho nic, brány online světa se jim najednou s pořádnou fanfárou naplno otevřou. Tato často opomíjená skupina je ale nejzranitelnější, není proto divu, že si útočníci za nejčastější oběti vybírají právě její zástupce. Jak již bylo zmíněno, drtivá většina z vás, pravidelných čtenářů informací a novinek online světa, se po obdržení e-mailu s žádostí o zadání loginu a hesla k online bankovnictví pouze ušklíbne a poznamená něco o naivních pokusech.

Aktuální podoba falešného formuláře, jenž vystupoval jménem Raiffeisenbank. Zdroj: Hoax.cz

Stejně tak v případech zpráv s příslibem fotky Angeliny Jolie v příloze nebo doručení skvělého prográmku zdarma, od neznámého odesilatele samozřejmě. Ti, kdo mají Internet prvně na dosah, ale takový nadhled nemají, vždy se najde důvěřivec. Vinou toho pokusy o loudění informací nebo podstrčení můžeme výhledově ještě delší dobu očekávat.

Klasický spam již útočníkům začíná být pro phishingové pasti jen málo flexibilní, proto se uchylují například ke SMiShingu (odesílání odkazů na podvodné stránky prostřednictvím SMS zpráv) a vishingu (zneužití VoIP pro podvodné oslovení). Nicméně paralelu tohoto odklonění se od spamu nemusíme pozorovat pouze v případě phishingu, ale i dalších oblastech. Hromadně rozesílanou poštu totiž SMS zprávy „nahrazují“ i v případě klasických reklamních sdělení, VoIP může posloužit v případě většinou tolik nenáviděného telemarketingu.

KL2014

       

Nesmrtelnost na druhou

Postupem času se už i začínající surfaři naučili nepovažovat Internet za zdroj pouze důvěryhodných informací a ke stahování dat z nedůvěryhodných zdrojů se staví mnohem skeptičtěji. Podobné návyky však zatím nemají plně osvojeny ve světě podvodných urgentních zpráv, které vyžadují zadání citlivých údajů. Jedná se o stejný problém, jako například v případě hesel na prodej. Dokud budou existovat uživatelé, kteří ochotní vyzradí cokoliv, kdykoliv a kdekoliv, nezbavíme se phishingu sebelepším filtrem.

Základní princip phishingu zůstává stále stejný, nicméně útočníci se snaží měnit cestu, jak jej doručit vyhlédnuté oběti, přesněji řečeno statisícům a milionům potenciálních obětí. Osobně si bohužel myslím, že právě vinou toho bude loudění citlivých informací nadále nesmrtelné. S jakými phishingovými pokusy jste se v nedávné době osobně setkali, jak vidíte jejich budoucnost a možnosti vymýcení? Podělte se o svůj názor a zkušenosti v diskuzi pod článkem.

Pavel Čepský

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.

Školení: Linux – Zálohování, Vysoká dostupnost, SNMP dohled

  • Úvod do OS Linux RedHat, Disková pole RAID a LVM.
  • Replikace dat, vysoká dostupnost dat.
  • Centrální zálohování, dohledový systém.
´

Zjistěte více informací o školení>>

       
42 názorů Vstoupit do diskuse
poslední názor přidán 15. 1. 2011 22:52

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.

Zasílat nově přidané příspěvky e-mailem