Hlavní navigace

Sociální inženýrství na Gmailu se tentokráte zaměřilo na politiky

Pavel Čepský 10. 6. 2011

Někdy se může zdát, že phishing a jemu podobné pokusy jsou dávno za zenitem. Opak je však pravdou, útočníci se těchto levných vějiček tak snadno nevzdají. Tentokráte si vybrali za cíl politiky.

Společnost Google na svém oficiálním blogu minulý týden varovala před phishingovým útokem na klienty Gmailu, který přesně splnil požadavky potenciálně úspěšných pokusů z oblasti phishingu. Postiženy mohly být stovky uživatelů a původní stopy těchto neoprávněných e-mailových lákadel vedly do Číny. Oproti některým jiným útokům nešlo o obecný útok, který by si oběti vybíral bezhlavě, adresáty se stali přímo politici Spojených států, úředníci z Jižní Koreje nebo například zástupci ozbrojených složek.

Podvodné phishingové e-maily se snažily získat hesla jednotlivých uživatelů, stejně tak měly otevřít prostor pro následné monitorování zpracovávaných e-mailů nebo dalších položek v dané poštovní schránce. Útok přitom neměl znaky více sofistikovaného pokusu, jednoduše se ve finále zaměřoval na aktivaci přeposílání obdržených e-mailových zpráv. Gmail se tak stal jedním z objektů stále populárnějších technik zneužití – není zapotřebí prolomit službu jako takovou, ale pomocí vhodného sociálního inženýrství (chcete-li sociotechnik) oblafnout přímo její uživatele.

Schéma phishingového útoku na vybrané uživatele Gmailu z února 2011
Autor: Congagio Blog.

Schéma phishingového útoku na vybrané uživatele Gmailu z února 2011

V oblasti síťové a počítačové bezpečnosti lze najít hned několik klasických scénářů, které se stále dokola objevují, ve vlnách, mírně pozměněných principech. Patří sem například klasický spam, podstrčení malwaru formou trojského koně nebo phishing. Právě posledně zmíněná kategorie prožívá opakovanou resurekci, jakmile dojde k dlouhodobějšímu útlumu, objeví se vzápětí nový pokus, občas i trochu vyšperkovaný pár inovacemi.

Zahraniční uživatelé mají s phishingem již poměrně dlouhodobé zkušenosti, v Česku se lokalizovaná falešná návnada objevuje sporadicky. Navíc se zdejší uživatelé z mezinárodních pokusů mohou obávat hlavně univerzálních vějiček v podobě pokusů o vyloudění informací ke službám PayPal, eBay, Facebook a dalším, ale místní lákadla mají často spíše komický charakter. Ke globálním rizikům se tedy připojil i Gmail, přesněji řečeno phishing, který se jeho klienty snažil zlákat. Navzdory některým zahraničním komentářům v tom však nevidím větší problém – podobné útoky jsou klasikou, nevypovídají o zabezpečení dané služby, a pokud někdo podvodný e-mail spolkne i s navijákem, je to hlavně jeho vlastní problém plynoucí z bezbřehé důvěřivosti.

tak


Dřívější statistiky, které ukazují podíl phishingových e-mailů v celkovém objemu nevyžádané pošty. Zdroj: Symantec

Stačí tak málo

Proti phishingu dnes prohlížeče nebo další prvky obranné barikády chrání uživatele zpravidla pomocí blacklistingu, tedy konfrontací aktuálně navštěvované adresy s centrálně uloženou databází podvodných stránek. Z pohledu praktického použití, kdy je uživatel chráněn proaktivně, jsou a výhledově nadále budou v kurzu doplňky prohlížečů, které spolupracují s vyhledávači. V seznamu výsledků jsou okamžitě ohodnoceny nalezené stránky a uživatel nemusí čekat na kontrolu stránky až po jejím zobrazení. Kvůli obrovskému množství nově přibývajících podvodných stránek a jejich přesouvání na různé servery vše samozřejmě stojí a padá s častou aktualizací centrálního blacklistu (pomineme-li základní heuristické techniky).

V případě aktuální kauzy útoků vedených proti uživatelům Gmailu během pár chvil Google doporučil hlavní prvky obrany, na prvním místě zde figuruje autentizace pomocí osobního verifikačního kódu, stejně jako klasiku: používat silné heslo, sledovat nastavení vlastní poštovní schránky a jeho změny, případně univerzálně nevěřit žádným výzvám pro vložení citlivých údajů prostřednictvím e-mailu. Jde o klasické, samozřejmě vlastní reklamou protkané rady, které ale bohužel řada uživatelů odmítá plnit, a to nejen v případě Gmailu). Dokud uživatelé kliknou na cokoliv a teprve poté začnou přemýšlet, jestli tomu tak bylo správně, sociální inženýrství nevyhyne.

S postupným prorůstáním Internetu do stále většího počtu domácností stoupá také počet lidí, kteří se k němu dostanou z ničeho nic, brány online světa se jim najednou s pořádnou fanfárou naplno otevřou. Tato často opomíjená skupina je ale nejzranitelnější, není proto divu, že si útočníci za nejčastější oběti vybírají právě její zástupce. Aktuální útok na vybrané uživatele Gmailu však v tomto ohledu jde proti proudu, snaží se zlákat úzce specializovanou skupinu, množina obětí je dopředu jasně definována a zúžena.

Většina čtenářů si v tuto chvíli asi říká, že člověk musí být hodně naivní, aby léčku neprohlédl. To samé vás ale přece napadne, když slyšíte o takzvaných nigerijských dopisech – a kolik lidí se nachytalo. V případě phishingu tedy vina z nezanedbatelné části padá na důvěřivost uživatelů a útočník z této lidské slabosti promyšleně těží. Co kdyby ale existovala podobná technika umožňující ještě více skrýt nekalou činnost? Pharming, speciálně upravený a cílený podvod zneužívající DNS, je vyspělým bratříčkem phishingu, nicméně poměr takovýchto útoků je zanedbatelný. Důvod je možná až překvapivě jednoduchý, pharming vyžaduje rozsáhlejší technické znalosti a strategii ze strany útočníky, nestačí jen za dlouhého večera sesmolit podvodný e-mail a hromadně jej rozeslat.

Autor: 121267

Proti phishingu dokáže ochránit i antivir, nicméně mozek je stále nejlepším filtrem

Moderní lákadla

Postupem času se už i začínající surfaři naučili nepovažovat Internet za zdroj pouze důvěryhodných informací a ke stahování dat z nedůvěryhodných zdrojů se staví mnohem skeptičtěji. Podobné návyky však zatím nemají plně osvojeny ve světě podvodných urgentních zpráv, které vyžadují zadání citlivých údajů. Jedná se o stejný problém, jako například v případě hesel na prodej. Dokud budou existovat uživatelé, kteří ochotně vyzradí cokoliv, kdykoliv a kdekoliv, nezbavíme se phishingu sebelepším filtrem.

Základní princip phishingu zůstává stále stejný, nicméně útočníci se snaží měnit cestu, jak jej doručit vyhlédnuté oběti, přesněji řečeno statisícům a milionům potenciálních obětí. Osobně si bohužel myslím, že právě vinou toho bude loudění citlivých informací nadále nesmrtelné. S jakými phishingovými pokusy jste se v nedávné době osobně setkali, jak vidíte jejich budoucnost a možnosti vymýcení? Podělte se o svůj názor a zkušenosti v diskuzi pod článkem.

Našli jste v článku chybu?
DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět