Výsledky jarního rhybaření načerno

Přelomem dubna a května se na stránkách sdružení Anti-Phishing Working Group (APWG), které shromažďuje informace o phishing útocích a pokouší se proti nim bojovat, objevila studie [PDF, 243 kB, EN] shrnující trendy a výsledky odpovídajících útoků v březnovém období. APWG vycházela ze svých údajů, tedy spektra phishing útoků nahlášených prostřednictvím domovské stránky www.phishing.org nebo skrze pro tento účel vytvořený e-mail reportphishin­g@antiphishin­g.org. Pokud se i vy setkáte tváří v tvář s phishingem, můžete jeho přeposláním APWG přispět svou troškou do mlýna a rozšířit archív phishing útoků. Následující tabulka shrnuje získané výsledky řečí čísel:

Nejčastěji používaným portem, na kterém phishingový server naslouchá, je podle očekávání standardní HTTP port číslo 80, celkově byla procenta rozložena takto:

Oblíbeným cílům útoků s přehledem vévodil finanční sektor, na nějž směřovalo 81 procent všech pokusů o podvod. Jak již první tabulka naznačila, nejvíce podvržených stránek pochází ze Spojených států (více než 34 procent), druhé místo si s dvanácti procenty vysloužila Čína a pomyslná bronzová příčka patří Jižní Koreji (devět procent). Suma sumárum bylo během března zaznamenáno 66 různých zemí s podvrženými stránkami.

Prostředkem phishingu po dlouhou dobu byly především podvržené e-maily, které jednotlivé uživatele lákaly na falešné stránky, z nichž se následně získané údaje automaticky odesílaly k útočníkovi. Za poslední dva měsíce však útočníci stále více inklinují k použití trojských koňů, zejména se snaží o jejich podstrčení prostřednictvím příloh portugalsky psaných e-mailů. Po své aktivaci trojský kůň potichoučku čeká, až se uživatel připojí na předem určenou stránku, monitoruje stisknuté klávesy a odešle je útočníkovi. Během listopadu a prosince minulého roku byly v průměru odhaleny jedna až dvě varianty nových phishing keyloggerů týdně a počet nových serverů distribuujících tento záškodnický kód se pohyboval v rozmezí mezi deseti až patnácti za týden. Naproti tomu za únor a březen se týdenní průměr nových keyloggerů pohyboval mezi osmi až deseti, průměrný týdenní počet nových stránek pak za stejné období přesáhl stovku. Pro šíření zmiňovaných keyloggerů se nejvíce používají tyto možnosti:

• stránky s pornografickým nebo warez obsahem, které zneužívají známých chyb prohlížeče Internet Explorer k tomu, aby bez uživatelova vědomí spustily škodlivý kód,
• zprávy instant messagingu (IM) a trojské koně pro IM, které lákají uživatele k návštěvě a spuštění kódu na vzdálené webové stránce,
• zprávy IM obsahující keylogger jako přílohu a navádějící uživatele k jejímu otevření,
• zaplavování e-mailových schránek zprávami, které obsahují škodlivý kód ve své příloze,
• zasílání e-mailových zpráv s odkazem na nějaký webový server, součástí jehož obsahu je kromě jiného také keylogger,
• zasílání e-mailových zpráv obsahujících odkaz na webový server, po jehož následování se ke spuštění škodlivého kódu bez vědomí uživatele využívají známé chyby prohlížeče Internet Explorer.

Ukázka phishing útoku s využitím keyloggeru:
Uživatelé obdrželi e-mail z podvržené adresy radio@terra.com.br a s předmětem „Dedicaram uma Musica Para voce“. Veškerý obsah byl psán portugalsky, přičemž uvedený předmět v překladu znamená „Věnovali jsme ti hudbu“.

Český překlad: Přítel ti věnoval písničku. Pro její poslech klikni sem. Také ty můžeš věnovat píseň.
Po následování odkazu clique acqui dojde ke stažení spustitelného souboru z jednoho kalifornského serveru, a pokud je spuštěn, také následné instalaci keyloggeru. Získané informace jsou poté zasílány útočníkovi.

Na konci zprávy APWG je dále uveden ještě jeden podobný útok, kdy se ovšem jedná o portugalskou zprávu falšující bezpečnostní upozornění společnosti Symantec. Ať už se princip phishing útoků bude ubírat kterýmkoliv směrem, lze se poměrně úspěšně bránit použitím onoho pověstného selského rozumu a nedůvěřovat neznámým zprávám z nedůvěryhodných zdrojů. Použití pravidelně aktualizovaného antiviru a správně nakonfigurovaného firewallu by už v dnešní době internetového divokého západu také mělo být samozřejmostí.