Web, který se neubránil phishingu

Jako jeden ze správců jednoho českého geologického webu jsem v posledních sedmi dnech získal velice zajímavou zkušenost z prostředí internetových podvodů. V prostoru tohoto webu se bez našeho vědomí objevily aplikace pro získávání citlivých údajů klientů společnosti PayPal a jiných bankovních ústavů. Výsledkem této kauzy je několikadenní zastavení provozu celé domény, nepříjemnosti na straně správců stránek i poskytovatele webhostingu a nelze vyloučit ani finanční ztráty klientů a bankovních společností.

Dovolte mi, abych vám nejdříve popsal situaci a události, které v tomto případě nastaly. Následně se budu věnovat příčině tohoto problému a na závěr se pokusím uvést několik doporučení pro případné další postižené společnosti a vlastníky stránek.

Po několika letech vcelku spokojeného provozu stránek na doméně www.gweb.cz jsem v pátek 25. listopadu 2005 ve večerních hodinách zjistil, že náš web je mimo provoz. Protože se i během soboty situace nezměnila, začali jsme s kolegou pátrat po příčině problému a s dotazem jsme se obrátili na technickou podporu společnosti FORPSI, která zajišťuje webhosting této domény. Ta nám sdělila, že je webhosting zastaven z důvodu nahrání stránek pro odchytávání hesel uživatelů systému PayPal – jde o protizákonné jednání, které je zároveň v rozporu se smluvními podmínkami dané společnosti. Je však zarážející, že nás tato společnost označila za jediné možné viníky celého problému, neboť vyloučila, že by podvodnou aplikaci mohl na web nahrát někdo jiný než my, jako správci celého webu. Toto tvrzení společnost opřela o zjištění, že aplikace byla nahrána FTP účtem, který používáme ke správě webu, a že aplikace byla nahrána ze sítě stejného poskytovatele připojení jako ostatní stránky v doméně gweb.cz. Společnost nám také oznámila, že je záležitost předána obchodnímu oddělení a že nevylučují další postup soudní cestou.

Ve chvíli, kdy jsme obdrželi tuto informaci, našel zároveň jeden z nás ve svém e-mailu varování od poskytovatele webhostingu o umístění ilegální aplikace s žádostí o nápravu. Tento e-mail ležel nijak nezdůrazněn (tedy s normální prioritou) ve schránce obklopen spamem od pátečního dopoledne. Bohužel jsme však e-mail v pátek nevybrali – kdybychom tak učinili, jistě bychom předešli řadě problémů. V pátek v odpoledních hodinách byl však hosting zastaven a FTP přístup k doméně zablokován.

Nyní nám nezbylo nic jiného než jednat s poskytovatelem webhostingu o dalším postupu. Ještě v sobotu večer jsme požádali o konkrétní adresu, ze které měla být aplikace na web nahrána. Rovněž společnosti sdělujeme naše stanovisko – tedy že jsme danou aplikaci na server nenahráli, ani jsme o ní nevěděli. Zároveň jsme požádali o odstranění problémového adresáře a zprovoznění domény. Přestože máme zaplacenu variantu s plnou nonstop technickou podporou, nedostáváme do nedělního dopoledne žádnou zprávu. Proto posíláme společnosti další e-mail, ve kterém žádáme vyjádření, zejména nás zajímá časový výhled situace.

V tomto okamžiku také zprovozňujeme náhradní webový server, který od nedělního dopoledne informuje návštěvníky domény gweb.cz o vzniklé situaci, a také na něm zveřejňujeme informace o celé kauze, abychom se tak veřejně bránili nepravdivému obvinění od poskytovatele webhostingu. Na adrese údajné podvodné aplikace (adresu nám sdělila webohostigová společnost) jsme pro případné potenciální oběti podvodu umístili informace, že se jedná o podvodnou stránku včetně odkazů na oficiální materiály společnosti PayPal k problematice phishingu. Na této stránce také žádáme návštěvníky o zaslání informací, kdo a jakým způsobem je do podvodné aplikace láká. Díky této výzvě jsme doposud obdrželi tři kopie podvodné zprávy šířené e-mailem, odkazující na aplikaci v doméně gweb.cz, které nabízejí klientům společnosti PayPal vstup do programu Super PayPal Silver Program.

podvodný mail

V pondělí 28. listopadu 2005 je již pracovní den a obchodní oddělení, kterému byla záležitost předána, s námi stále nekomunikuje. Posíláme proto společnosti další e-mail, ve kterém žádáme o přístup k našim datům, vyzýváme společnost ke spolupráci při pátrání po možném místu či způsobu proniknutí do našeho FTP prostoru a opětovně žádáme o přesné informace ohledně nahrání aplikace na server, tedy informace, na jejichž základě jsme byli označeni za viníky v případě nahrání aplikace.

V pondělí ve 13:45 dostáváme konečně e-mail. Je nám sděleno, že situaci řeší specialisté společnosti, kteří se nám ozvou, až budou mít veškeré nutné informace z logů. Protože se údajně jedná o velký objem dat, která musejí prostudovat, nemohou zaručit dodržení námi stanoveného termínu (dvě hodiny). Dle vyjádření v e-mailu řeší společnost celou situaci jako velmi závažný problém vzniklý na naší straně. Technikům je údajně předán požadavek na odstranění závadných aplikací a obnovení provozu webhostingu.

Na tento e-mail reagujeme s tím, že trváme na tom, že jsme problém nezavinili ani jsme podvodnou aplikaci na stránky nenahráli. Dále konstatujeme, že zásadně nesouhlasíme s dosavadním postupem – nedostatečná informovanost, pozdní řešení problému a označení nás za viníky. Argument ohledně studia velkého množství dat z logů se nám zdá minimálně pochybný – ta měla mít dle našeho názoru společnost nastudována v okamžiku, kdy tvrdila, že aplikaci jsme do domény nahráli my jako správci celého webu.

Dále s námi webhostingová společnost komunikuje až další den (úterý 29. listopadu 2005), kdy po páté hodině odpolední dostáváme e-mail vyzývající nás k odstranění textu z domény gweb.cz, kterým (jak jsem již zmínil) informujeme návštěvníky stránek o vzniklé situaci a kterým se také veřejně bráníme proti křivému obvinění. Společnost opět argumentuje tím, že my sice tvrdíme, že jsme v tom nevinně, ale podvodná aplikace je údajně nahrána ze stejné IP adresy jako jiné části našich stránek. To má potvrzovat, že podvodnou aplikaci musel nahrát někdo z nás – údajně i kdyby došlo k vyzrazení hesla k FTP, je shoda IP adres více než výmluvná. My však zatím sdělení odstraňovat nehodláme a stále si stojíme za svým. Žádáme o urychlené dodání již několikrát požadovaných údajů ohledně nahrání podvodné aplikace na server.

Zdá se, že se celá záležitost po čtyřech dnech začíná ubírat lepším směrem. Společnost sice trvá na tom, že údaje mluví jednoznačně proti nám, ale konečně nám zasílá IP adresu, ze které byla podvodná aplikace nahrána. Okamžitě začínáme danou IP adresu analyzovat a zjišťujeme, že nepatří poskytovateli připojení ani jednoho z nás a vylučujeme jakoukoliv naší spojitost s touto adresou. Jedná se o adresu, která náleží americké společnosti AOL America On Line. V tuto chvíli žádáme od webhostingové společnosti údaje o dalších stránkách, které byly z této IP adresy do domény gweb.cz nahrány a které jsou dle vyjádření společnosti oficiální součástí našich stránek.

Dále zasíláme společnosti naše vyjádření, které si vyžádala, včetně návrhů, kterými hodláme v budoucnu obdobným situacím předcházet. V tomto směru jsme toho názoru, že hlavní krok by měla provést sama společnost zavedením a preferováním šifrovaného FTP přístupu. Samozřejmě i z naší strany po této zkušenosti by bylo vhodné změnit jisté drobnosti (např. zavést pravidelnou změnu hesla či být obezřetnější).

Společnost na náš požadavek rychle reaguje a my získáváme podrobnější údaje. Dozvídáme se, že z oné IP adresy byl nahrán ještě adresář suffolkf, který však společnost mylně považuje za oficiální součást serveru gweb.cz. Na něm také staví své tvrzení, že jsme nahráli podvodnou aplikaci my, neboť z dané IP adresy byla nahrána i tato, dle jejich názoru oficiální, část stránek. My toto stanovisko odmítáme – tento adresář oficiální není.

Dokonce později po opětovném získání FTP přístupu (ještě týž večer) zjišťujme, že se jedná o další podvodnou aplikaci, která sbírá data klientů společnosti Suffolk Federal Credit Union a odesílá je prostřednictvím e-mailu.

Opět nám nezbývá než se veřejně bránit nepravdivému obvinění a konstatovat, že jsme nenahrávali žádný takový obsah. Dokonce jsme podobných adresářů objevili více, avšak žádná předložená data původem z uvedené IP adresy nemůžeme považovat za oficiální součást stránek. Jedná se tedy o rozsáhlejší podvod, než se zdálo. Několik aplikací je cíleno na klienty různých bankovních společností.

Následně jsem se dohodl s webhostingovou společností na archivaci podezřelých položek pro případné další účely. Vzhledem k tomu, že jsem byl svědkem pokusu o podvod, obrátil jsem se také na místní oddělení Policie ČR, kde jsem žádal doporučení ohledně dalšího postupu (nerad bych byl případně obviněn z neoznámení těchto pokusů o podvod).

Po několika dalších e-mailech webhostigová společnost připouští, že nám mohla požadované údaje dodat rychleji, a také již netrvá na tvrzení, že jsme na server podvodné aplikace nahráli sami. Nyní spočívá řešení celého problému na nás – je nutné odstranit závadný obsah. Teprve poté požádáme společnost o zprovoznění webové služby v rámci domény gweb.cz.

Následně ještě z logů náhradního serveru (na kterém jsou nyní k dispozici jen informace k celé kauze) zjišťuji, že i na adresy dalších podvodných aplikací přicházejí návštěvníci – tedy i tyto aplikace měly zřejmě aktivně sloužit k získávání citlivých údajů. Na adresu totožnou s adresou podvodné aplikace na klienty společnosti PayPal jsem v neděli v poledních hodinách umístil počítadla návštěvníků a odhaduji, že tuto stránku do čtvrtečního večera (1. prosince 2005) navštívilo přibližně 150 – 200 unikátních návštěvníků.

Vzhledem ke vzniklým skutečnostem, zejména našemu obvinění od webhostingové společnosti, jsme většinu dostupných materiálů o celé této kauze zveřejnili na doméně gweb.cz, a tyto informace, kterými prokazujeme svoji nevinu, ponecháme ještě několik dní po spuštění stránek gweb.cz přístupné na adrese http://info.gweb­.cz/ (záleží na možnostech náhradního serveru).

K uvedenému případu jsem obdržel i stanovisko společnosti FORPSI, které bych zde rád uvedl:

"Situace ohledně spoofingu je taková, ze jakýkoli web, na němž je toto zjištěno, je okamžitě pozastaven, zákazník upozorněn na jím zadaném kontaktním e-mailu a pak se věc řeší individuálně. U vás je to delší řešení způsobeno tím, že kromě spoof stránek je ze stejné IP nahrána i ‚oficiální‘ část webu. Pokud by tomu tak nebylo a spoof stránky pocházely z IP odlišné, pak se věc řeší upozorněním zákazníka a výmazem patřičné části (zde je jedno, zda výmaz provede zákazník, nebo my).

Co bylo příčinou a o jaký podvod se jedná?

Ve čtvrtek ve večerních hodinách byly protokolem FTP do domény gweb.cz nahrány stránky, které jsou vizuálně nerozlišitelné od oficiálních stránek příslušných společností. Tyto podvodné, ač věrné kopie oficiálních stránek obsahují formuláře pro zadání citlivých údajů (osobní údaje, čísla platebních karet, PIN kódy apod.) a aplikaci, která je odesílá prostřednictvím e-mailu na předem určenou adresu. V pátek dopoledne již dostávali uživatelé Internetu e-maily nabízející klientům společnosti PayPal vstup do jakéhosi klientského programu Super PayPal Silver Program. Pro zájemce byl v e-mailu uveden odkaz, který však směřoval na podvodnou aplikaci v doméně gweb.cz.

Uživatel tak byl záměrně uveden v omyl, a to hned několikrát: e-mail nepocházel od společnosti PayPal, stránky, na které odkaz směřoval, nebyly stránkami společnosti, a údaje, které poskytl, měly být zaslány do cizích rukou. Aniž by si to tedy uživatel uvědomil, mohl své údaje (včetně čísla platební karty a PIN kódu) poskytnout podvodníkům.

Toto jednání se označuje jako phishing (neboli krádež identity) a nepostihuje jen podvedené osoby. Velké škody vznikají i společnostem, jejichž klienti jsou terčem útoku. Bohužel se však nejedná o první ani ojedinělý případ, spíše lze konstatovat, že tyto podvody jsou na denním pořádku. Zřejmě je za účelem podvodu jednodušší přelstít uživatele než důmyslně zabezpečené systémy bankovních ústavů. Naštěstí však společnost FORPSI celou doménu zablokovala a zabránila tak dalším možným škodám (byť jsme tuto společnost za blokaci celé domény nejprve kritizovali, nyní uznáváme, že vzhledem k většímu množství podvodných aplikací v různých adresářích byl tento postup rychlý a efektivní).

Zda mohl být někdo podveden, bohužel nevím. Bližší informace by v tomto směru mohl poskytnout log webového serveru domény gweb.cz (původního serveru ve správě společnosti FORPSI, nikoliv toho náhradního), ve kterém by měly být zaznamenány požadavky na spuštění skriptů, které údaje z formuláře odesílají. Bylo by tedy pravděpodobně možné znát alespoň přibližný počet uživatelů, kteří odeslali podvodný formulář. Také by zřejmě bylo možné zjistit poměr uživatelů, kteří podvodnou stránku jen otevřeli, a těch, kteří formulář i odeslali, což by možná poskytlo zajímavé informace o obezřetnosti uživatelů.

Poučení a závěry

Byť jsem o této problematice již několikrát četl, je tato zkušenost pro mě osobně naprosto nenahraditelná. Měl jsem totiž možnost proniknout až k jádru celého podvodu – tedy k podvrženým aplikacím a e-mailům, což může být třeba námětem nějakého dalšího článku. Dá se říci, že jsem jako obyčejný student geologie zevnitř poznal způsoby a triky, jak získat od uživatelů údaje, které by jinak neposkytli. Mohu být tomu vlastně docela rád, neboť člověk si uvědomuje, že musí být stále opatrnější. I lidé z mého blízkého okolí, kteří se o tomto případu dozvěděli, přiznávají, že o ničem podobném zatím neslyšeli, a já doufám, že budou v podobných záležitostech opatrní.

Pro mě jako majitele a správce (stejně tak pro návštěvníky) je výpadek provozu webu jistě nepříjemný, nicméně jedná se stále o menší škodu, než kdyby byl někdo podveden. Snahou by však mělo být, aby byl tento výpadek provozu co nejkratší. Jelikož případ stále není uzavřen, mohu vlastníkům stránek nyní snad jen doporučit, aby si co nejvíce chránili údaje k FTP přístupu k jejich stránkám, a pokud je to možné, aby využívali šifrované spojení.

Poskytovatelům webhostingových služeb bych jako klient jedné z nich doporučil, aby v takovýchto případech postupovali takovým způsobem, který by způsobil na všech stranách co nejméně komplikací. Klienti jistě ocení, když s nimi v takto závažné situaci bude společnost komunikovat a přistoupí k dohodě, aby byl provoz stránek co nejrychleji obnoven. Každopádně by si daná společnost měla řádně prověřit všechny dostupné údaje než z nahrání podobných problémových aplikací obviní svého klienta. Provozovatelé webhostingových služeb by si měli uvědomit, že údaje zasílané nezabezpečeným spojením je možné cestou odchytit a v budoucnu je zneužít. Jako obyčejný student geologie nemám zatím osobní zkušenosti s jinými společnostmi, ale doufám, že by v podobné situaci postupovali lépe, nebo se alespoň z tohoto případu poučí – osobně si myslím, že dokud budou tyto podvody efektivní, budeme se těžko podobným případům bránit.

UX16

A uživatelům? Těm lze samozřejmě jen doporučit, aby byli opatrní a nenechali se jen tak něčím zviklat, i když budou vystaveni jistému nátlaku či sebevýhodnějším nabídkám. Dokud budou uživatelé ochotni takto údaje poskytovat, bude snaha je i získávat.


Poznámka redakce: k případu jsme požádali o vyjádření společnost FORPSI, avšak do stanoveného termínu jsme neobdrželi odpověď. 

Anketa

Máte zkušenosti s phishingem?

170 názorů Vstoupit do diskuse
poslední názor přidán 23. 1. 2006 12:43
Zasílat nově přidané názory e-mailem

Školení: Měření a vyhodnocování kampaní

  •  
    Jak připravit a plánovat kampaně
  • Jak vyhodnocovat a využít důležité metriky
  • Jak to dělat u různých obchodních aktivit

Detailní informace o školení Měření a vyhodnocování kampaní»