Hlavní navigace

Phishing v Česku: napodruhé lépe

9. 3. 2008
Doba čtení: 3 minuty

Sdílet

V současnosti Internetem hýbe další vlna útoků na klienty České spořitelny. Po první dávce velmi naivních e-mailových zpráv z ledna 2008, psaných neumělou a směšnou češtinou, přicházejí další, rafinovanější. Tentokrát jsou zprávy psané anglicky. V čem spočívá jejich vyšší sofistikovanost?

Jazyk

Phishingové zprávy si nehrají s češtinou. Ta byla a asi stále je pro tvůrce podvrhu zatím natolik obtížná, že je prozrazovala. Místo toho teď sází na angličtinu. Ani ta zdaleka není ryzí, ale na první pohled českému rodilému mluvčímu nenabízí tolik do očí bijících nesmyslů a chyb. Tomu, kdo denně v práci přechází v komunikaci mezi dvěma jazyky a je po dlouhém pracovním dnu unaven, možná ani nepřijde, že mu Česká spořitelna, patřící zahraničnímu vlastníkovi, nepíše česky. Ale musela by to být hodně velká únava…

Odkaz

Technicky uvažujícímu člověku je nebezpečnější druhá léčka, spočívající ve vloženém hypertextovém odkazu. Ten se zdá být velmi věrohodný. Posuďte sami:

https://www.csas­.cz/reward_sur­vey.html?ssl=1

Zcela jednoznačně je zapsána pravá doména České spořitelny. Odkazovaný soubor reward_survey.html se musí nacházet na jejím serveru a nepatří útočníkům.
Podvod se zdá proveditelný např. těmito způsoby:

  1. Podvržením DNS A-záznamu pro Českou spořitelnu tak, aby ukazoval na jiný — cizí server. Předpokládá to např. napadení DNS serverů nebo jiný poměrně brutální síťový útok. To vůbec není snadné a běžné.
  2. Napadením pravého spořitelního serveru a přepsáním jeho obsahu. To je také velmi nepravděpodobné.

Kde je tedy čertovo kopýtko? Jak tušíte, odpověď přinese až rozbor zdrojového textu e-mailu.

Rarášek v hypertextu

Zde mají mírnou výhodu ti uživatelé, kteří dostávají poštu pomocí POP3 klientů nebo mají přístup na vlastní SMTP server. Nejen že si mohou změnit zobrazení těla zprávy, ale v internetové hlavičce snadno vysledují, odkud a jakou cestou k nim zpráva připutovala. Naproti tomu webové rozhraní pro správu pošty běžně nenabízí pohled na úplný zdrojový text.

Ale ani weboví čtenáři pošty nejsou v koncích. Předmětem výzkumu je hypertextový odkaz. Stačí si příslušný úsek zprávy zkopírovat a prohlédnout zdroj běžným „newebovým“ textovým editorem. Vypadá asi takto:

Phishing CS - screenshot 1

Barvy jsem přidal já pro zvýraznění obou složek tagu. Zeleně vyznačená je maskující viditelná a zdánlivě správná část odkazu. Žlutě pak skutečný skrytý link na cílový server. A ten je pochopitelně úplně jinam než na Českou spořitelnu.

Odkaz v jiné zprávě směřuje zase jinam, ale opět ne do Spořitelny, ač se tak tváří. Podobně v dalších zprávách.

Phishing CS - screenshot 2

To je vše. Kdo klikne, dostane se na server ovládaný útočníkem.

Obrana

Věřím, že se nikdo z čtenářů nenapálil. Je zbytečné psát, že Česká spořitelna nikdy podobné zprávy nerozesílá a je nebezpečné řídit se instrukcemi v nich obsaženými.

Soustředím se na možná technická opatření. Patří k nim:

  • Zablokování e-mailového účtu, z něhož jsou rozesílány podvodné zprávy.
  • Zablokování cílového serveru v moci útočníka.
  • Zablokování komunikace směřující na server.

Existují ještě další způsoby, ale ty ponechávám fantazii čtenářů.

První možnost jsem již v nedávné minulosti úspěšně využil. Zjistil jsem, že lednová vlna podvodných zpráv je rozesílána z účtu nacházejícího se na serveru Seznam.cz. Stačilo pak poslat správci stručný e-mail s uvedením okolností a s přílohou zdrojového textu podvodné zprávy. Během jedné hodiny jsem měl od administrátora serveru zpětnou informaci, že účet byl zablokován. Tak si představuji dobrou službu. Všechna čest.

Druhá varianta je těžší. Webový server nacházející se v moci účastníka je obvykle mimo území ČR a je s ním náročnější práce. Bylo docela zajímavé analyzovat z dopředných a zpětných DNS záznamů a z IP adresy další údaje. Závěr pro mě byl, že praví správci serveru ani netuší, k čemu je jejich mašinka zneužita. Nedostatek času mi zabránil, abych korespondoval s poskytovateli internetových služeb a správci hostingu ve věci zneužití. Je to běh na delší trať než v předchozím odstavci. Myslím, že prostor pro dotažení do úspěšného konce zde je, ale chce to vynaložit dostatečné úsilí a vytrvalost.

Třetí teoretická možnost, kterou jsem zatím nevyužil, je požádat národní poskytovatele (ISP) o blokádu komunikace směřované na podvodný server. Za příznivých okolností stačí přidat položku do seznamu zakázaných cílů a je to. Jenže jsou zde i obtíže:

        Zdaleka jsem nevyčerpal možnosti obrany a uvítám, když se podělíte o své zkušenosti s bojem a ochranou proti podobným útokům.

        BRAND24

        Závěrem chci čtenářům popřát, abys si svůj bankovní účet vždy spravovali sami a neudělali z něj pro vlastní nepozornost sdílenou položku na webu.

        Aktuální doplnění: další vývoj přinesl ještě lépe technicky provedené phishingové zprávy, vedoucí snad někam do Itálie:

        Phishing CS - screenshot 3

        Dostali jste některou z uvedených phishingových zpráv?

        Byl pro vás článek přínosný?

        Autor článku

        Autor je absolventem VUT Brno. Nyní pracuje jako systémový inženýr v oblasti síťové komunikace, věnuji se zejména kabelovým a bezdrátovým sítím s protokolem IP, komunikačním systémům VoIP, SIP a FM...
        Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).