Hlavní navigace

Výsledky jarního rhybaření načerno

Ondřej Bitto 10. 5. 2005

Počet phishing útoků se nejen neustále zvyšuje, ale mění se také používané praktiky - už to nejsou jen obyčejné e-maily s linkem na web útočníka. Jaké byly trendy v této oblasti internetových podvodů během března a kolik jich bylo zaznamenáno? To vše a ještě něco navíc se lze dočíst ve zprávě zveřejněné skupinou Anti-Phishing Working Group.

Přelomem dubna a května se na stránkách sdružení Anti-Phishing Working Group (APWG), které shromažďuje informace o phishing útocích a pokouší se proti nim bojovat, objevila studie [PDF, 243 kB, EN] shrnující trendy a výsledky odpovídajících útoků v březnovém období. APWG vycházela ze svých údajů, tedy spektra phishing útoků nahlášených prostřednictvím domovské stránky www.phishing.org nebo skrze pro tento účel vytvořený e-mail reportphishin­g@antiphishin­g.org. Pokud se i vy setkáte tváří v tvář s phishingem, můžete jeho přeposláním APWG přispět svou troškou do mlýna a rozšířit archív phishing útoků. Následující tabulka shrnuje získané výsledky řečí čísel:
Počet v březnu nahlášených aktivních phishing stránek 2870
Průměrný měsíční nárůst phishing stránek od července 2004 do března 2005 28 %
Stát s nejvíce podvrženými phishing stránkami USA
Průměrný počet dní online stavu podvodné stránky 5,8
Nejdelší doba online stavu podvodné stránky (dny) 31

Nejčastěji používaným portem, na kterém phishingový server naslouchá, je podle očekávání standardní HTTP port číslo 80, celkově byla procenta rozložena takto:

1627

Oblíbeným cílům útoků s přehledem vévodil finanční sektor, na nějž směřovalo 81 procent všech pokusů o podvod. Jak již první tabulka naznačila, nejvíce podvržených stránek pochází ze Spojených států (více než 34 procent), druhé místo si s dvanácti procenty vysloužila Čína a pomyslná bronzová příčka patří Jižní Koreji (devět procent). Suma sumárum bylo během března zaznamenáno 66 různých zemí s podvrženými stránkami.

Prostředkem phishingu po dlouhou dobu byly především podvržené e-maily, které jednotlivé uživatele lákaly na falešné stránky, z nichž se následně získané údaje automaticky odesílaly k útočníkovi. Za poslední dva měsíce však útočníci stále více inklinují k použití trojských koňů, zejména se snaží o jejich podstrčení prostřednictvím příloh portugalsky psaných e-mailů. Po své aktivaci trojský kůň potichoučku čeká, až se uživatel připojí na předem určenou stránku, monitoruje stisknuté klávesy a odešle je útočníkovi. Během listopadu a prosince minulého roku byly v průměru odhaleny jedna až dvě varianty nových phishing keyloggerů týdně a počet nových serverů distribuujících tento záškodnický kód se pohyboval v rozmezí mezi deseti až patnácti za týden. Naproti tomu za únor a březen se týdenní průměr nových keyloggerů pohyboval mezi osmi až deseti, průměrný týdenní počet nových stránek pak za stejné období přesáhl stovku. Pro šíření zmiňovaných keyloggerů se nejvíce používají tyto možnosti:

  • stránky s pornografickým nebo warez obsahem, které zneužívají známých chyb prohlížeče Internet Explorer k tomu, aby bez uživatelova vědomí spustily škodlivý kód,
  • zprávy instant messagingu (IM) a trojské koně pro IM, které lákají uživatele k návštěvě a spuštění kódu na vzdálené webové stránce,
  • zprávy IM obsahující keylogger jako přílohu a navádějící uživatele k jejímu otevření,
  • zaplavování e-mailových schránek zprávami, které obsahují škodlivý kód ve své příloze,
  • zasílání e-mailových zpráv s odkazem na nějaký webový server, součástí jehož obsahu je kromě jiného také keylogger,
  • zasílání e-mailových zpráv obsahujících odkaz na webový server, po jehož následování se ke spuštění škodlivého kódu bez vědomí uživatele využívají známé chyby prohlížeče Internet Explorer.

Ukázka phishing útoku s využitím keyloggeru:
Uživatelé obdrželi e-mail z podvržené adresy radio@terra.com.br a s předmětem „Dedicaram uma Musica Para voce“. Veškerý obsah byl psán portugalsky, přičemž uvedený předmět v překladu znamená „Věnovali jsme ti hudbu“.

1628

Český překlad: Přítel ti věnoval písničku. Pro její poslech klikni sem. Také ty můžeš věnovat píseň.
Po následování odkazu clique acqui dojde ke stažení spustitelného souboru z jednoho kalifornského serveru, a pokud je spuštěn, také následné instalaci keyloggeru. Získané informace jsou poté zasílány útočníkovi.

Na konci zprávy APWG je dále uveden ještě jeden podobný útok, kdy se ovšem jedná o portugalskou zprávu falšující bezpečnostní upozornění společnosti Symantec. Ať už se princip phishing útoků bude ubírat kterýmkoliv směrem, lze se poměrně úspěšně bránit použitím onoho pověstného selského rozumu a nedůvěřovat neznámým zprávám z nedůvěryhodných zdrojů. Použití pravidelně aktualizovaného antiviru a správně nakonfigurovaného firewallu by už v dnešní době internetového divokého západu také mělo být samozřejmostí.

Anketa

Setkali jste se v praxi někdy s keyloggerem?

Našli jste v článku chybu?

11. 5. 2005 13:52

PaJaSoft (neregistrovaný)
No ja treba pokazde, kdyz opustim astalavistu apod...:-)

10. 5. 2005 19:07

edois (neregistrovaný)
odesílal mi to jednou za hodinku přes namapovanej síťovej adresář na serveru (novell netware 4.x)
jinak s tou statistikou je to imho dost jasný :)


Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Nestlé vyvinula nový typ „netloustnoucího“ cukru

Nestlé vyvinula nový typ „netloustnoucího“ cukru

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu