V nedávném bezpečnostním komentáři s názvem Sportem ku zdraví a počítačové invaliditě jsme se podrobně věnovali aktuálnímu trendu, jehož průvodním jevem je zneužití sportovních událostí a podvodných aktivit útočníků všeho druhu. S tímto tématem velice úzce souvisí také univerzální phishingové e-maily, kterým už plno odborníků kdysi předpovědělo konec, přesto se však podvodníci zuby nehty drží, a dokonce i nápaditě inovují. Co nás tedy v této oblasti falešných vějiček čeká a proč ještě neskončily na smetišti síťového zapomnění?
V oblasti síťové a počítačové bezpečnosti lze najít hned několik klasických scénářů, které se stále dokola objevují, ve vlnách, mírně pozměněných principech. Patří sem například klasický spam, podstrčení malwaru formou trojského koně nebo phishing. Hlavně posledně zmíněná kategorie prožívá opakovanou resurekci, jakmile dojde k dlouhodobějšímu útlumu, objeví se vzápětí nový pokus, občas i trochu vyšperkovaný pár inovacemi.
Klasika v podobě takto specializovaných podvodných e-mailů má své specifikum, a sice, že útočníci vždy pouze opráší původní koncept, případně uvaří jinou „omáčku“ kolem, základní princip však zůstává stejný. Šablonovité útoky naštěstí již i běžní koncoví uživatelé odhalí, velkou část navíc odfiltruje antispamový filtr, a tak je úspěch podvodů ne zrovna velký. Na druhou stranu ale podvodníci díky starému modelu vyvinou malé úsilí, proto se jim vyplatí zkoušet stejné metody stále dokola.
Jestliže pečlivě prolistujete spambox ve své e-mailové schránce, máte v posledních dnech a týdnech velkou šanci najít phishingové zprávy, které zneužívají dva tradiční, léty prověřené koncepty – žádost o resetování hesla k internetovému bankovnictví, a tedy i nutnost ověření či změnu kontaktních údajů, jelikož tato dvě témata se zpravidla objevují ruku v ruce. Několik hlavních prvků je shodných s předešlými pokusy, nicméně také nyní podvodníci vsadili na drobné úpravy, aby převážili misky vah pravděpodobnosti úspěchu na svou stranu.
Aktuální phishing, který používá standardní lákadlo v podobě resetování hesla. Zdroj: AVG
Hopem do pasti
Nutnost resetu hesla je běžnou náplní phishingových e-mailů, většinou se jedná o přesně specifikované služby. Naproti tomu stávající univerzální útoky nemají v těle daného e-mailu jmenovanou konkrétní službu (Facebook, PayPal, …), ale jen univerzální spojení online banking. Podvodníci se tak snaží zaujmout širší spektrum potenciálních obětí, nicméně na druhou stranu jdou aktuálně trochu proti proudu, jelikož úspěchy a výrazné čeření phishingových vod mají na svém kontě hlavně personalizované útoky.
K personalizovaným variantám útočníci přistupují stále častěji z toho důvodu, že na klasické techniky si již začínající i pokročilí uživatelé i díky osvětě zvykli a dokážou je zdravým rozumem ve velké míře odfiltrovat vlastním úsudkem. Pokud však přijde konkrétní zpráva týkající se některého blízkého tématu například prostřednictvím instant messagingu, speciálně připraveným e-mailem s důvěrným oslovením, nebo dokonce skrze phishingovou SMS zprávu, je ostražitost ta tam. Dokáže se vůbec ještě na univerzální phishingovou zprávu, jak byla zobrazena a popsána výše, ještě někdo nachytat? Osobně jsem v tomto ohledu naštěstí hodně skeptický, a tak jen ať si to útočníci dál zkouší – pokud už na „technickou podporu DigitalInsight.com“ ve své falešné víře přejdou, šance na zneužití nijak drasticky nestoupá.
Druhou variantu phishingového e-mailu, který v nevyžádané poště aktuálně koluje, představuje historka o změně kontaktních údajů. Zde je již léčka o něco sofistikovanější, jelikož uživateli přijde zpráva upozorňující na změněný e-mail, který se váže k jeho účtu, a pokud souhlasí, tak nemusí provádět žádnou akci. V opačném případě je zapotřebí následovat odkaz ve zprávě, přihlásit se pomocí korektních údajů a chybu opravit. Finta zde spočívá v tom, že nový e-mail zaslaný jakože z banky je pokaždé neplatný, a tak přespříliš dychtivý uživatel své správné přihlašovací údaje po následování podvodného odkazu zadá do formuláře přímo podvodníkům.
Útoky (ať už prostřednictvím sociálního inženýrství nebo více automatizované) mají společný prvek: podvodníci i pokročilejší útočníci se snaží zapůsobit tak, že první kontakt a pokus o podvržení informací nebo podstrčení podvodné stránky na první pohled vypadá, jako by šlo o korektní zprávu od běžné finanční instituce. Procento úspěchu v takovýchto případech stále nebude lámat žebříčky efektivních útoků, nicméně podvodníkům nezabere příliš času takovéto techniky převést do praxe.
S dobře známými phishingovými podvody se vypořádají i antiviry
Pro telefony všeho druhu
Uvedené pokusy však již patří mezi poměrně zprofanované a řada potenciálních obětí, které by se nechaly nachytat, již okatá lákadla rychle prohlédne. Nicméně infiltrace na základě uživatelova požadavku (i když si myslí, že provádí jinou akci) je nadále velice oblíbená, a tak se jí podvodníci a útočníci drží. Mezi inovované techniky a stále populárnější postupy kromě upraveného phishingu patří například také clickjacking, SMiShing (tedy phishing přes SMS, kdy mají oběti větší pocit důvěrné komunikace) apod.
Kam aktuální phishing směřuje? Na prvním místě se podvodníci budou snažit vyvolat pocit nutné rychlé akce ze strany uživatele, například potřeba změnit heslo do 24 hodin, zkontrolovat data v systému běžným přihlášením, ověřit nastavení profilu apod. Dále lze přisoudit úspěšné zítřky phishingu, který bude personalizovaný, tedy nezacílí na všechny s oslovením „Dear customer“, „Action wanted“ apod., ale zaměří se na menší, o to více propracované skupiny uživatelů, a to tím spíš, pokud podvodníci jakoukoliv cestou získají platnou databázi uživatelů čehokoliv.
A v neposlední řadě nové vlny phishingu nezapomeňme ani na zneužití mobilních telefonů. Nedávná analýza ukazuje, že se phishingové útoky zaměřují na uživatele mobilních zařízení a snaží se objevit zranitelná místa. Zvýšil se například počet útoků na WAP stránky a weby umístěné v rámci domén s obsahem určeným pro mobilní zařízení (například .mobi). U tohoto útoku je zajímavé, že jde v oblasti mobilních telefonů tak trochu proti proudu, dokáže ale podvodníkům přinést větší množství obětí. Za standard jsou totiž považovány hlavně útoky cílící na chytré mobilní telefony, naproti tomu ataky pomocí zmíněných stránek postihnou i neobezřetné uživatele prakticky všech telefonů, které zvládnou připojení k internetu.
