Někdy se může zdát, že phishingové útoky už ztratily lesk, nicméně nesmíme se nechat ukonejšit. Stále se objevují nové techniky podvodu, které sice nemění základní principy od základu, nicméně zvládají inovace podle aktuálního dění. Oblibu phishingu deklaruje i naše nedávná zprávička Phishing mířící na PayPal se odvolává na EU a využívá kopii webu PayPalu, která poukázala na tradiční principy – hromadně rozeslaná pošta s žádostí o následování odkazu a vyplnění na první pohled nevinného formuláře. Kdyby se stále dokola nevyskytovali uživatelé, kteří podobným lákadlům rádi podlehnou, byly by síťový život a spamová složka e-mailové schránky zase o něco lehčí.
Klasika v podobě takto specializovaných podvodných e-mailů má své specifikum, přesněji že útočníci vždy pouze opráší původní koncept, případně uvaří jinou „omáčku“ kolem, základní princip však zůstává stejný. Šablonovité útoky i běžní koncoví uživatelé často odhalí, velkou část navíc odfiltruje antispamový filtr, a tak úspěch podobných podvodů nebývá zrovna velký. Na druhou stranu ale podvodníci vyvíjejí jen malé úsilí, a proto se jim vyplatí zkoušet stejné metody znovu a znovu.
Kolik je vlastně spamu a phishingových zpráv? Odhady se liší podle použité metriky, nicméně aktuálně například dle statistik společnosti Symantec činil celkový podíl spamu v objemu veškeré zaslané pošty přibližně dvě třetiny. To sice oproti dřívějším hranicím atakujícím devadesát procent představuje výrazný pokles, nicméně stále se jedná o výrazné množství. Pro úplnost dodejme, že ani do budoucna nelze očekávat znatelný pokles, jelikož ten je vždy důsledkem odstavení výrazného zdroje – v minulosti například nechvalně proslulého botnetu Rustock.
Phishingové zprávy přitom dle stejných statistik dosahují také zajímavého podílu, v průměru se podvodný phishingový e-mail vyskytne v každé 475. zprávě. Na první pohled se nejedná o nikterak velkou tragédii, nicméně v celkovém objemu rozeslané pošty se ve finále jedná o nezanedbatelné množství. Spam stále zůstává největším nosičem a šiřitelem phishingových podvodů, stále častěji se však prosazují také alternativní kanály. Nezapomínejme tedy na to, že byť je phishing skoro ekvivalentem k podkategorii spamu, nebojí se podvodníci ani dalších variant.
Vývoj spamu a jeho podílu ve veškeré poště. Zdroj: Symantec
Kolotoč nepoučitelných
Ve výše odkazované a dříve publikované zprávičce hrál hlavní roli phishing zneužívající důvěry ve službu PayPal, nicméně vějičky mají různou podobu. Dlouhodobě se na špici s drtivým podílem drží podvodné zprávy zneužívající informační služby, bankovnictví a e-commerce. Tento výběr samozřejmě z pohledu útočníků není náhodný, jelikož zneužité weby mají úzkou souvislost s citlivými údaji a dalším zpeněžením, což je pro podvodníky setrvale největší lákadlo.
Jestliže pečlivě prolistujete spambox ve své e-mailové schránce, máte v posledních dnech a týdnech velkou šanci najít phishingové zprávy, které zneužívají dva tradiční, léty prověřené koncepty – žádost o resetování hesla k internetovému bankovnictví, a tedy i nutnost ověření či změnu kontaktních údajů, jelikož tato dvě témata se zpravidla objevují ruku v ruce. Několik hlavních prvků je shodných s předešlými pokusy, nicméně také nyní podvodníci vsadili na drobné úpravy, aby převážili misky vah pravděpodobnosti úspěchu na svou stranu.
Nutnost resetu hesla je běžnou náplní phishingových e-mailů, většinou se jedná o přesně specifikované služby. Naproti tomu stávající univerzální útoky nemají v těle daného e-mailu jmenovanou konkrétní službu (Facebook, PayPal, …), ale jen univerzální spojení online banking. Podvodníci se tak snaží zaujmout širší spektrum potenciálních obětí, nicméně na druhou stranu jdou aktuálně trochu proti proudu, jelikož úspěchy a výrazné čeření phishingových vod mají na svém kontě hlavně personalizované útoky.
Již před začátkem nedávných her v Londýně i během nich se objevovaly nejen klasické zavirované stránky, ale také čistě phishingové útoky. Scénář se držel vyjetých kolejí a pomocí podvržené cílové adresy chtěl uživatele zlákat k následování odkazu na webové stránky zahrnuté v hromadně rozeslaném e-mailu. Podle typu prohlížeče je díky rychlé aktualizaci odpovídající URL zpravidla zablokována. Přesto ale lidský faktor podobně jako v jiných případech selhává. Dokud budou lidé vypínat antivir kvůli spuštění cracku, deaktivovat firewall pro stažení keygenu a tropit podobné vylomeniny, mají podobné a phishingové techniky dveře dokořán otevřené.
Procento phishingových zpráv v e-mailech. Zdroj: Symantec
Podvody až do kapsy
K personalizovaným variantám útočníci přistupují stále častěji z toho důvodu, že na klasické techniky si již začínající i pokročilí uživatelé i díky osvětě zvykli a dokážou je zdravým rozumem ve velké míře odfiltrovat. Pokud však přijde konkrétní zpráva týkající se některého blízkého tématu například prostřednictvím instant messagingu, speciálně připraveným e-mailem s důvěrným oslovením, nebo dokonce skrze phishingovou SMS zprávu, je ostražitost ta tam.
Infiltrace na základě uživatelova požadavku (i když si myslí, že provádí jinou akci) je nadále velice oblíbená, a tak se jí podvodníci a útočníci drží. Mezi inovované techniky a stále populárnější postupy kromě upraveného phishingu patří například také clickjacking, SMiShing (tedy phishing přes SMS, kdy mají oběti větší pocit důvěrné komunikace) apod.
Kam aktuální phishing směřuje? Na prvním místě se podvodníci budou snažit vyvolat pocit nutné rychlé akce ze strany uživatele, například potřebu změnit heslo do 24 hodin, zkontrolovat data v systému běžným přihlášením, ověřit nastavení profilu apod. Dále lze přisoudit úspěšné zítřky phishingu, který bude personalizovaný, tedy nezacílí na všechny s oslovením „Dear customer“, „Action wanted“ apod., ale zaměří se na menší, o to více propracované skupiny uživatelů, a to tím spíš, pokud podvodníci jakoukoliv cestou získají platnou databázi uživatelů nějaké služby.
Phishingové útoky se zaměřují také na uživatele mobilních zařízení a snaží se objevit zranitelná místa. Zvyšuje se například počet útoků na WAP stránky a weby umístěné v rámci domén s obsahem určeným pro mobilní zařízení (například .mobi). U tohoto útoku je zajímavé, že jde v oblasti mobilních telefonů tak trochu proti proudu, dokáže ale podvodníkům přinést větší množství obětí. Za standard jsou totiž považovány hlavně útoky cílící na chytré mobilní telefony, naproti tomu ataky pomocí zmíněných stránek postihnou i neobezřetné uživatele prakticky všech telefonů, které zvládnou připojení k internetu.