Phishing čili rhybhaření má v současnosti významný podíl mezi levárnami, jimiž nám Internet znepříjemňuje život. Krátce po jeho příchodu na svět se pochopitelně objevily i aktivity zaměřené na boj proti němu. Nejznámější je nepochybně Anti-Phishing Working Group, jejíž archivy rhybhářských útoků sahají do září 2003.
APWG se zaměřuje na osvětu, vypracovávání metodik pro ochranu před rhybháři, shromažďování informací o uskutečněných útocích a také na související právní kroky. Tato činnost je nepochybně vysoce užitečná, nicméně podle názoru Paula Landanskiho nepříliš efektivní při eliminaci známých útoků. Proto společně s Alexem Eckleberrym založili PIRT.
Inspirací jim byla osobní zkušenost, kdy se jim během pár hodin podařilo pomocí několika dopisů a telefonátů ukončit provoz rhybhářského serveru. Usoudili, že podobný model by se dal uplatnit univerzálně. Proto založili organizaci, jež reaguje na aktivity rhybhářů s cílem je co nejrychleji zastavit.
Podstatnou skutečností je, že rhybháři se snaží skrývat svou totožnost, a proto velmi často napadají počítače jiných subjektů, které pak zneužívají pro své účely – rozesílání dopisů či předstírání stránek subjektů, jejichž uživatele loví. Vlastník serveru bývá nemile překvapen a ochotně spolupracuje na nápravě věcí. Proto je úspěšnost snah o zastavení rhybhářských útoků dost vysoká.
Jak pracuje PIRT
Případ začíná ohlášením útoku pomocí webového formuláře či elektronického dopisu. Ohlášení se chopí jeden z členů PIRTu a nejprve ověří, zda se skutečně jedná o phishing (jinými typy neplech se PIRT programově nezabývá, viry či spamy jej nechávají chladným) a zda nejde o duplicitní ohlášení již známého útoku. Pokud se skutečně jedná o nový rhybhářský útok, zjišťuje podrobnosti, především kde se nacházejí zúčastněné servery a které organizace jsou do útoku zataženy.
Následuje rozesílání informací partnerům PIRTu i organizacím, jichž se útok týká. Další akce pak zahrnují kontaktování vlastníků serverů, jejich poskytovatelů Internetu a dalších osob či subjektů, jež mohou útok zastavit. Dopis obsahuje informace o útoku s adresami inkriminovaných stránek a žádost dotyčnému subjektu, aby pomohl s vyšetřením útoku a zajistil důkazy – rhybhářovy soubory, logy a podobně. O aktuální úspěšnosti svého snažení se nezmiňují. V dobách začátků se jim dařilo zastavit přibližně 40 procent ohlášených útoků.
PIRT se pyšní svou otevřeností. Informace o otevřených případech a změnách jejich stavu posílá bezplatně všem organizacím bojujícím proti phishingu – v současnosti jich odebírá tyto zprávy zhruba padesát. Zdůrazňuje, že likvidaci serverů provádí výhradně regulérními prostředky: prostřednictvím vlastníků serverů, poskytovatelů Internetu a podobně. Neprolamují se do serverů a nesnaží se je ukončit podobně nekorektními prostředky, jimiž byly přivedeny na svět.
Zajímavý je finanční model, protože zatím celý PIRT funguje na bázi čiré dobrovolnosti. Provozní náklady na servery a připojení hradí CastleCops Paula Landanskiho, lidé pro PIRT pracují dobrovolně. Nicméně zvažují založení nadace či podobnou cestu k získání finančního zázemí.
Osobně mi je tato aktivita velmi sympatická, protože vhodně doplňuje ty existující. Zatímco APWG se zaměřuje zejména na prevenci a dokumentaci, PIRT snižuje počty postižených a škody. Obojí je potřeba.