Hlavní navigace

Rhybaření střídá pharming

Ondřej Bitto

Nejen přespříliš důvěřiví uživatelé Internetu se opět, nebo lépe řečeně stále, musí mít na pozoru. Phishing (neboli rhybaření), kterému bylo věnováno mnoho prostoru na různých serverech zabývajících se děním v oblasti bezpečnosti webového surfování, má svého modernějšího a nebezpečnějšího nástupce - pharming. Zde už nestačí pouhá opatrnost.

Není tomu zase až tak dávno, co Internetu vládly zprávy o fenoménu s názvem phishing. Původ tohoto označení má kořeny v anglickém slově fishing, značícím rybaření, což je více než výstižné, protože jeho podstatou je nachytávání počítačových uživatelů na falešné e-maily, podobně jako se chytají ryby na lákavou návnadu.

Ve vodách Internetu takovouto návnadou phishingu bývají na první pohled důvěryhodné zprávy, v nichž je na místě odesílatele uvedena například uživatelova banka, administrator@i­netbanka.com. V textu e-mailové zprávy se pak nic netušící oběť dočte, že se vyskytly problémy s jeho přihlašovacím heslem, a musí proto vyplnit speciálně pro tento účel vytvořený WWW formulář. Design, grafika, údaje, text a další informace na stránce s tímto formulářem přesně odpovídají zvykům dané banky, takže ani v tomto závěrečném kroku mnoho uživatelů nepojme podezření a ochotně vyplní i odešle všechny požadované informace. Ty ale díky této umně vykonstruované návnadě neputují do banky, protože ryba-uživatel se chytla na háček a citlivé informace putují bez větších problémů k útočníkovi.

Takový je příklad scénáře phishingu. Většina čtenářů si v tuto chvíli asi říká, že člověk musí být hodně naivní, aby léčku neprohlédl. To samé vás ale přece napadne, když slyšíte o takzvaných nigerijských dopisech – a kolik lidí se nachytalo. V případě phishingu tedy vina z nezanedbatelné části padá na důvěřivost uživatelů a útočník z této lidské slabosti promyšleně těží. Co kdyby ale existovala podobná technika umožňující ještě více skrýt nekalou činnost? Proč se piplat se sociálním inženýrstvím – je tu pharming!

Pharming je takovým bratříčkem phishingu, mladším, sofistikovanějším a především nebezpečnějším. Ke své činnosti využívá překladu jména serveru na odpovídající IP adresu, útočí tedy na DNS (Domain Name System). Pokud pak uživatel ve svém internetovém prohlížeči zadá adresu například www.lupa.cz, nedojde k překladu na odpovídající IP adresu 81.31.5.18, nýbrž nějakou jinou, podvrženou – a zde je kámen úrazu. Pokud by se totiž útočníkovi podařilo změnit DNS záznam výše zmiňované imaginární banky www.inetbanka.com, přesměruje se komunikace na jiný stroj, jiné stránky, které však na první pohled nelze rozpoznat od originálu. Nic netušící uživatel tedy zadá požadované přihlašovací údaje a bez větších překážek jimi obdaruje útočníka.

Pokud vám celý postup nápadně připomíná techniku DNS spoofingu, máte pravdu. Pharming lze s trochou „štěstí“ provést také lokálně modifikací souboru hosts a případným vytvořením podvržené WWW stránky. Zmiňovaný soubor hosts můžete pod operačním systémem Windows nalézt v adresáři C:%WINDIR%system32driversetc, kde %WINDIR% je instalační adresář Windows. Hosts může obsahovat například tyto údaje:


127.0.0.1           localhost
81.31.5.18          www.lupa.cz

(v prvním sloupci jsou uvedeny IP adresy odpovídající názvům vpravo).

Pokud uživatel zadá ve svém webovém prohlížeči URL www.lupa.cz, pak bude přesně podle údaje v souboru hosts kontaktován stroj s adresou 81.31.5.18. Phar­ming spočívající v modifikaci souboru hosts by pak mohl vypadat takto:

  1. Útočník si vytvoří na první pohled identickou kopii stránek www.inetbanka.com, díky které bude po nic netušícím uživateli požadovat zadání citlivých údajů o jeho osobě.
  2. Tyto podvodné stránky umístí například na stroj s IP adresou 111.222.33.44.
  3. Přidá do souboru hosts na vybraném počítači řádek
     111.222.33.44 www.inetbanka.com
  4. Čeká, až se oběť přihlásí ke „svému“ účtu na adrese www.inetbanka.com.

Přístup do souboru hosts na vzdáleném počítači může útočník získat například použitím trojského koně, kterého předtím uživateli podstrčil.

Proti tomuto způsobu se můžete bránit kvalitním antivirovým systémem a jeho pravidelnou aktualizací. Cestu za úspěchem útočníkovi dále může ztížit správně nakonfigurovaný firewall, nicméně obrana proti pharmingu není v globále vůbec jednoduchá.

1595

Za vyzkoušení stojí také aplikace Netcraft Toolbar, která však funguje bohužel pouze v prohlížeči Internet Explorer – její rozšíření také pro jiné browsery by „nebylo od věci“. Při jejím použití se u každé zobrazované stránky vypíší doplňující informace – např. země, do které navštívená adresa náleží, nebo hodnocení jiných uživatelů. S Netcraft Toolbar se zvyšují vaše šance na odhalení snah o phishing a pharming, případně rovnou můžete nějaký nově odhalený podvodnický server udat.

Anketa

Už jste se setkali s phishingem či s pharmingem?

Našli jste v článku chybu?

17. 8. 2006 10:18

maikee (neregistrovaný)
Ono je to trosku jinak, dostat se mezi standardni seznam uznavanych autorit je hlavne otazkou penez a ne kvalitou CA

4. 4. 2005 17:40

(Dan Lukes) dan&obluda.cz (neregistrovaný)
"Duveryhodnost" neni objektivni kategorie sam o sobe. Duvera je vec kontextova. Samotny fakt, ze by nekdo centralne dokazal rozhodovat, kdo je pro koho duveryhodny, kdyz nevime v co ma ona duvera byt osvedcovana zni dost pochybne.

Je pro vas Komercni banka duveryhodna firma ? Ano ? Takze byste si od ni nechal vyrobit nabytek do obyvaku ? Ja myslim, ze ne - vzdyt tomuhle vubec nerozumeji. Komercni banka je celkem duveryhodna banka, ale jako truhlari jsou na houby. Takze - patri tedy Komercni banka…

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách