Hlavní navigace

Sociální inženýrství na Gmailu se tentokráte zaměřilo na politiky

10. 6. 2011
Doba čtení: 4 minuty

Sdílet

Někdy se může zdát, že phishing a jemu podobné pokusy jsou dávno za zenitem. Opak je však pravdou, útočníci se těchto levných vějiček tak snadno nevzdají. Tentokráte si vybrali za cíl politiky.

Společnost Google na svém oficiálním blogu minulý týden varovala před phishingovým útokem na klienty Gmailu, který přesně splnil požadavky potenciálně úspěšných pokusů z oblasti phishingu. Postiženy mohly být stovky uživatelů a původní stopy těchto neoprávněných e-mailových lákadel vedly do Číny. Oproti některým jiným útokům nešlo o obecný útok, který by si oběti vybíral bezhlavě, adresáty se stali přímo politici Spojených států, úředníci z Jižní Koreje nebo například zástupci ozbrojených složek.

Podvodné phishingové e-maily se snažily získat hesla jednotlivých uživatelů, stejně tak měly otevřít prostor pro následné monitorování zpracovávaných e-mailů nebo dalších položek v dané poštovní schránce. Útok přitom neměl znaky více sofistikovaného pokusu, jednoduše se ve finále zaměřoval na aktivaci přeposílání obdržených e-mailových zpráv. Gmail se tak stal jedním z objektů stále populárnějších technik zneužití – není zapotřebí prolomit službu jako takovou, ale pomocí vhodného sociálního inženýrství (chcete-li sociotechnik) oblafnout přímo její uživatele.

Schéma phishingového útoku na vybrané uživatele Gmailu z února 2011
Autor: Congagio Blog.

Schéma phishingového útoku na vybrané uživatele Gmailu z února 2011

V oblasti síťové a počítačové bezpečnosti lze najít hned několik klasických scénářů, které se stále dokola objevují, ve vlnách, mírně pozměněných principech. Patří sem například klasický spam, podstrčení malwaru formou trojského koně nebo phishing. Právě posledně zmíněná kategorie prožívá opakovanou resurekci, jakmile dojde k dlouhodobějšímu útlumu, objeví se vzápětí nový pokus, občas i trochu vyšperkovaný pár inovacemi.

Zahraniční uživatelé mají s phishingem již poměrně dlouhodobé zkušenosti, v Česku se lokalizovaná falešná návnada objevuje sporadicky. Navíc se zdejší uživatelé z mezinárodních pokusů mohou obávat hlavně univerzálních vějiček v podobě pokusů o vyloudění informací ke službám PayPal, eBay, Facebook a dalším, ale místní lákadla mají často spíše komický charakter. Ke globálním rizikům se tedy připojil i Gmail, přesněji řečeno phishing, který se jeho klienty snažil zlákat. Navzdory některým zahraničním komentářům v tom však nevidím větší problém – podobné útoky jsou klasikou, nevypovídají o zabezpečení dané služby, a pokud někdo podvodný e-mail spolkne i s navijákem, je to hlavně jeho vlastní problém plynoucí z bezbřehé důvěřivosti.

tak


Dřívější statistiky, které ukazují podíl phishingových e-mailů v celkovém objemu nevyžádané pošty. Zdroj: Symantec

Stačí tak málo

Proti phishingu dnes prohlížeče nebo další prvky obranné barikády chrání uživatele zpravidla pomocí blacklistingu, tedy konfrontací aktuálně navštěvované adresy s centrálně uloženou databází podvodných stránek. Z pohledu praktického použití, kdy je uživatel chráněn proaktivně, jsou a výhledově nadále budou v kurzu doplňky prohlížečů, které spolupracují s vyhledávači. V seznamu výsledků jsou okamžitě ohodnoceny nalezené stránky a uživatel nemusí čekat na kontrolu stránky až po jejím zobrazení. Kvůli obrovskému množství nově přibývajících podvodných stránek a jejich přesouvání na různé servery vše samozřejmě stojí a padá s častou aktualizací centrálního blacklistu (pomineme-li základní heuristické techniky).

V případě aktuální kauzy útoků vedených proti uživatelům Gmailu během pár chvil Google doporučil hlavní prvky obrany, na prvním místě zde figuruje autentizace pomocí osobního verifikačního kódu, stejně jako klasiku: používat silné heslo, sledovat nastavení vlastní poštovní schránky a jeho změny, případně univerzálně nevěřit žádným výzvám pro vložení citlivých údajů prostřednictvím e-mailu. Jde o klasické, samozřejmě vlastní reklamou protkané rady, které ale bohužel řada uživatelů odmítá plnit, a to nejen v případě Gmailu). Dokud uživatelé kliknou na cokoliv a teprve poté začnou přemýšlet, jestli tomu tak bylo správně, sociální inženýrství nevyhyne.

S postupným prorůstáním Internetu do stále většího počtu domácností stoupá také počet lidí, kteří se k němu dostanou z ničeho nic, brány online světa se jim najednou s pořádnou fanfárou naplno otevřou. Tato často opomíjená skupina je ale nejzranitelnější, není proto divu, že si útočníci za nejčastější oběti vybírají právě její zástupce. Aktuální útok na vybrané uživatele Gmailu však v tomto ohledu jde proti proudu, snaží se zlákat úzce specializovanou skupinu, množina obětí je dopředu jasně definována a zúžena.

Většina čtenářů si v tuto chvíli asi říká, že člověk musí být hodně naivní, aby léčku neprohlédl. To samé vás ale přece napadne, když slyšíte o takzvaných nigerijských dopisech – a kolik lidí se nachytalo. V případě phishingu tedy vina z nezanedbatelné části padá na důvěřivost uživatelů a útočník z této lidské slabosti promyšleně těží. Co kdyby ale existovala podobná technika umožňující ještě více skrýt nekalou činnost? Pharming, speciálně upravený a cílený podvod zneužívající DNS, je vyspělým bratříčkem phishingu, nicméně poměr takovýchto útoků je zanedbatelný. Důvod je možná až překvapivě jednoduchý, pharming vyžaduje rozsáhlejší technické znalosti a strategii ze strany útočníky, nestačí jen za dlouhého večera sesmolit podvodný e-mail a hromadně jej rozeslat.

BRAND24

Autor: 121267

Proti phishingu dokáže ochránit i antivir, nicméně mozek je stále nejlepším filtrem

Moderní lákadla

Postupem času se už i začínající surfaři naučili nepovažovat Internet za zdroj pouze důvěryhodných informací a ke stahování dat z nedůvěryhodných zdrojů se staví mnohem skeptičtěji. Podobné návyky však zatím nemají plně osvojeny ve světě podvodných urgentních zpráv, které vyžadují zadání citlivých údajů. Jedná se o stejný problém, jako například v případě hesel na prodej. Dokud budou existovat uživatelé, kteří ochotně vyzradí cokoliv, kdykoliv a kdekoliv, nezbavíme se phishingu sebelepším filtrem.

Základní princip phishingu zůstává stále stejný, nicméně útočníci se snaží měnit cestu, jak jej doručit vyhlédnuté oběti, přesněji řečeno statisícům a milionům potenciálních obětí. Osobně si bohužel myslím, že právě vinou toho bude loudění citlivých informací nadále nesmrtelné. S jakými phishingovými pokusy jste se v nedávné době osobně setkali, jak vidíte jejich budoucnost a možnosti vymýcení? Podělte se o svůj názor a zkušenosti v diskuzi pod článkem.

Byl pro vás článek přínosný?

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).