Formy phishingu:
- Rozesílání podvodných e-mailů (spam, phishing mail), vytvářejících dojem, že se jedná o důvěryhodnou zprávu známé instituce, většinou obsahuje odkaz na podvodné internetové stránky:
- Ty mohou být vizuálně přesnou kopií originálních, kdy na tyto stránky uživatel pod nějakou záminkou zadá své citlivé informace.
- Další variantou tohoto útoku je, že na cílovém odkazu se nachází nebezpečný malware nebo trojský kůň. Takový program pak umožní útočníkovi nepozorovaně získat tyto citlivé informace (např. sledováním zmáčknutých kláves, převzít vzdáleně kontrolu nad napadeným počítačem apod.).
- Případně může útočník požadovat odpověď na zaslaný e-mail.
- Spear phishing je cílenou a komplexní formou podvodu, kdy je zpravidla cíl útoku po určité časové období sledován s cílem získat co nejvíce osobních informací. Takovým zdrojem mohou být všechny veřejně dostupné informace, osobní webové stránky, profil na sociálních sítích, diskuzní fóra nebo i účast cíle na konkrétní akci nebo eventu (např. zaměřená konference). Pomocí těchto údajů lze vytvořit zajímavý nebo důvěrnější obsah e mailu nebo sms zprávy, který je „ušitý na míru“ pro konkrétní cíl, a existuje tak větší pravděpodobnost, že se tento cíl stane obětí útoku.
- Sociální sítě, Instant messaging (chatovací aplikace např. MSN messenger, Twitter…). Jedná se o formu útoku, kdy oběť obdrží odkaz na nebezpečný software prostřednictvím těchto komunikačních sítí (Facebook, Twitter, ICQ,…). V roce 2014 se také hojně útočníci vydávali za některého z přátel oběti (ať už pod podobným, či odcizeným účtem) a požadovali zaslání finančního obnosu skrze fiktivní bankovní aplikaci, která následně odcizila přístupové údaje k bankovním účtům.
- Přes textové zprávy v telefonu (SMS). Přijatá SMS obsahuje link na webovou stránku s nebezpečným programem (malware, trojský kůň). Takový program umožní útočníkům přístup k citlivým informacím umístěných v mobilním telefonu. Navíc se tímto způsobem podařilo obejít hojně využívanou dvou faktorovou autentizaci - uživatel „něco ví“ (jméno a heslo) a „něco má“ (SMS, Smart kartu, USB token nebo generátor jednorázových hesel).
- Prostřednictvím VoIP, pevné telefonní linky. Po telefonátu ze „své banky“, kdy je klient informován (automatem) o podezřelé aktivitě na jeho bankovním účtu. Nejčastěji je oběť tohoto útoku vyzvána k zpětnému zavolání na určité telefonní číslo (zobrazující se na displeji). Při provedení zpětného volání dochází k vyzrazení citlivých informací.
- Jak se data dostanou zpět k útočníkovi?
- Pokud uživatel obdržel od útočníka e-mailovou zprávu, může útočník po uživateli požadovat odpovědět na odchozí e-mailovou adresu. Uživatel mu takto sdělí citlivé informace.
- Obsahuje-li e-mail odkaz na podvržené webové stránky, je po uživateli požadováno vyplnění webového formuláře (jmen, hesel apod.).
- Obdrží-li uživatel odkaz, na jehož konci se nachází nebezpečná aplikace ve formě malwaru nebo trojského koně (může se jednat i o škodlivou přílohu e-mailu), pak jsou data předávána komunikací vytvořenou mezi aplikací a útočníkem.
- V případě využití pevné telefonní linky, případně technologie VoIP, jsou tato data získána prostřednictvím zpětné komunikace uživatele s domnělým operátorem.
Jak lze rozeznat phishing?
V případě phishingového e-mailu existuje několik možností, jak lze takový podvodný e-mail odhalit. Důležité je být vždy k takovým e-mailům obezřetný a podezíraví. Phishingový e-mail může obsahovat některé z těchto nápadných znaků:
- Oslovení: je nejčastěji psáno formou „Vážený pane/í“ bez uvedeného jména, případně „Vážený zákazníku“.
- Dalším takovým výrazným znakem podvrženého e-mailu je lámaná a často nepříliš dokonalá čeština obsahující gramatické a stylistické chyby. Grafická úprava často neodpovídá dosavadní komunikaci.
- Žádná vám známá organizace po vás při vzájemné komunikaci nikdy nesmí chtít vaše přihlašovací údaje, osobní údaje, ověření informací o účtu s pohrůžkou jeho zablokování apod. Pro tuto komunikaci jsou ve většině případů používána speciální hesla, která si zákazník zvolil při zřizování účtu pro danou službu.
- Nachází-li se v obdrženém e-mailu odkaz na nějaké webové stránky, je důležité si zkontrolovat správnost takového odkazu. Útočníci totiž nejčastěji používají velmi podobné či téměř identické odkazy lišící se v doméně např. místo ceskaposta.cz je použito ceskaposta.org případně domény ceskaposta.info. Fiktivní odkazy mohou také obsahovat nějaký nenápadný překlep (změna n na m) apod. V případě, že je doména jiná než obvykle, je možné, že se nacházíte na podvodných stránkách. Dobré je také nad odkazem chvíli ponechat kurzor a zkontrolovat si, kam bude uživatel skutečně přesměrován. Důležité je v případě více odkazů zkontrolovat všechny, protože všechny až na jeden mohou vést na skutečné webové stránky dané organizace. Příklady jak takové odkazy mohou vypadat:
- hxxps://109.123.223.76/www.xbanka.cz
- uživatel je přesměrován na adresu 109.123.223.76
- hxxps:// www.xbamka.cz/www.xbanka.cz
- uživatel je přesměrován na web www.xbamka.cz
- hxxps:// www.xbanka.cz@www.xbamka.cz
- uživatel je přesměrován na web www.xbamka.cz , to před zavináčem je uživatelské jméno, které může být na daném webu jakékoliv
- hxxps:// www.xbanka.cz.www.xbamka.cz
- uživatel je přesměrován na web www.xbamka.cz
- hxxps:// www.xbanka.cz.login.cc
- uživatel je přesměrován na web login.cc
- hxxps:// www.xbanka.cz-login.eu
- uživatel je přesměrován na web cz-login.eu
- Další možností je kontrola správnosti bezpečnostního certifikátu zobrazeného v prohlížeči. Případně zkontrolovat zda další uvedené kontakty v e-mailu odpovídají kontaktům, které organizace uvádí na svých stránkách. Mnohé z těchto bodů platí i pro zasílané phishingové SMS zprávy. Převážně ty týkající se formy a gramatiky zaslané SMS a také odkazů uvedených ve zprávě.
Obrana proti phishingu
Základ obrany proti metodám phishingu tvoří zdravý selský rozum. Uživatel by si měl vždy v duchu odpovědět na prostou otázku: „Opravdu by mi banka (nebo jiná podobná instituce) posílala nešifrovaný e-mail a chtěla po mně takovéto důvěrné údaje?“ Tuto úvahu v drtivé většině případů zodpovíte negativně. Žádná instituce, a už vůbec ne bankovní instituce, po vás nikdy nebude žádat přihlašovací údaje e-mailem. Toto řeší oficiální formou, nikoli e-mailem. Mějte na paměti, že phishing nemusí být spojen jen s tématem elektronického bankovnictví, ale je to např. i snaha o získání hesla do e-mailu nebo jiných služeb, kde se dají zjistit další Vaše důvěrné údaje.
Obrana proti phishingu v bodech:
Jednoduchý a jednotný recept na obranu proti phishingu neexistuje. Vždy jde o použití zdravého rozumu a souhrnu několika bezpečnostních pravidel:
- Doručené podezřelé e-maily ignorujte, neklikejte na žádné odkazy v takovém e-mailu.
- Pro přihlášení do služby použijte standardní způsob, ruční zadání adresy www přímo do adresního řádku internetového prohlížeče.
- U podezřelých e-mailů kontrolujte podrobnosti (kudy e-mail putoval, přes jaké IP adresy - položky „Received“, které obsahují záznamy o „cestě“ zprávy mezi jednotlivými přenosovými uzly, atp.).
- Při nestandardním požadavku na osobní údaje či finanční obnos od vašich známých a přátel skrze e-maily či sociální sítě vše ověřujte (např. osobně, nebo telefonicky).
- Pravidelně aktualizovaný internetový prohlížeč, antivirový program a e-mailový klient ve většině případů informují uživatele, že se jedná o phishing.
- Na možné zneužití může upozorňovat také adresní řádek (tam, kde zadáváte webovou adresu). Pokud neobsahuje obvyklou webovou adresu vaší banky, je to známka, že může jít o podvodnou webovou stránku.
- Používejte zabezpečená - šifrovaná spojení.
- Sledujte certifikát zabezpečení vaší banky.
- Při přihlašování, pokud je to možné, používejte dvou faktorovou autentizaci. Při autorizaci transakcí pomocí autorizačních SMS věnujte pozornost celému textu autorizační SMS, kterou obdržíte od banky.
- Aktivujte si anti-phishingovou technologii v prohlížeči.
- Můžete využívat i doplňky prohlížečů, např. NetCraft, antivirové moduly, PhishPatrol, atd.
- V případě pochybností si obsah podezřelého e-mailu ověřte telefonátem do zákaznického centra instituce.
Příklady phishingu:
1. podvodný e-mail
- špatná čeština, obsahuje překlepy
2. podvodný e-mail
- odkaz směruje na špatnou adresu, doménové jméno v adrese e-mailu se neshoduje s oficiálním názvem domény společnosti.
3. phishingová stránka
- v adresním řádku je uvedena podezřelá webová adresa, která nesouhlasí s oficiální adresou společnosti.
- chybí bezpečnostní certifikát.
4. phishingová stránka
- v adresním řádku je uvedena podezřelá webová adresa, která nesouhlasí s oficiální adresou společnosti.
- chybí bezpečnostní certifikát.
5. originální stránka společnosti (k bodu 4).
- adresní řádek ukazuje validní webovou adresu společnosti.
- zobrazuje se bezpečnostní certifikát společnosti (ikona zámku a se jménem společnosti v zeleném podbarvení).
Odkazy
http://cs.wikipedia.org/wiki/Phishing
http://office.microsoft.com/cs-cz/excel-help/ochrana-pred-utoky-phishing-a-jinymi-formami-online-podvodu-HA010354320.aspx
http://www.itbiz.cz/phishing-check-point
http://voip.about.com/od/security/a/VoIPPhishing.htm
http://www.cleverandsmart.cz/phishing-prichazi-nova-generace-phishingu/
http://hoax.cz/phishing/servis-24-internetbanking-2622008/