Chip
04/2006: antivirový koutek
Dnes se budeme zabývat jednou zvláštní kategorií škodlivých programů, která
v poslední době zažívá nebývalý rozsah. Jde o takzvaný phishing, česky
občas překládaný jako rhybaření. Ano, autoři těchto programů vypadají trochu
jako rybáři, kteří rozhazují své sítě, a pak čekají, jaký úlovek se jim podaří
vytáhnout. Phishing využívá metody sociálního inženýrství a další technické
prostředky k tomu, aby získal od uživatelů citlivé informace, nejčastěji
hesla či detaily o kreditních kartách. Využívá k tomu maskování za
důvěryhodné zdroje. Často k tomuto účelu zneužívá elektronickou poštu či
programy pro instantní výměnu zpráv, ovšem není výjimkou, že pro phishing je
využíván i klasický trojský kůň.
První pokusy o phishing i samotný termín vznikly v polovině
devadesátých let v souvislosti s krádežemi údajů k účtům a
službám u AOL (America On Line). Tehdy někteří uživatelé vystupovali jako členové
týmu AOL a přes instantní zprávy požadovali po jiných heslo k ověření účtu
či ke kontrole zaplacení. Takto „ukradené“ účty pak byly využívány
k distribuci warezu – kradených programů.
V posledních několika letech se však phishing rozšířil daleko více, a
dnes patří k nejrozšířenějším a nejnebezpečnějším formám útoku na nic
netušící uživatele. Velmi jednoduchou a účinnou metodou je zneužití
elektronické pošty – uživatel obdrží zprávu, že jeho banka, ISP provider,
Paypal, eBay či podobně potřebuje ověřit nějaké údaje a že má přejít na
připojený webový link a tam údaje doplnit. Tato adresa však nemá se skutečnou
bankou nic společného, jen její design je velmi věrohodný a vypadá podobně jako
stránky skutečné banky. Když důvěřivý a nic zlého netušící uživatel vyplní
citlivé údaje, získá k nim přístup útočník, který pak může dané konto bez
problémů vybrat či zneužít. Kromě „falešné“ adresy mohou takové zprávy
obsahovat i javaskript, který modifikuje adresu přímo v prohlížeči. Často
je zneužíván i Cross Site Scripting, který pomocí chyby na originálních
stránkách umožní útočníkovi získat citlivá data. Škodlivé programy na počítači
mohou přímo monitorovat data, zadaná uživatelem, a obejít tak zabezpečené
stránky, mohou jednoduše modifikovat speciální soubor hosts, který pak správnou
webovou adresu převede na zcela jiné místo a podobně.
Phishing může mít velmi vážné a nepříjemné důsledky: odcizení identity může
vést ke zneužití účtu, k jeho vykradení a k tomu, že nad ním uživatel
nemá žádnou kontrolu. U kreditních karet a bankovních účtů pak znamená přímou
finanční ztrátu.
Jen v prosinci 2005 bylo zaznamenáno skoro dvacet tisíc nových
unikátních pokusů o phishing, přičemž vzniklo více než sedm tisíc webových
stránek, které se o phishing pokoušely. Tyto stránky často vznikají na
serverech bez vědomí jejich vlastníků či správců – o jednom takovém případu
psala před nedávnem i Lupa.cz. Takřka 90%
pokusů
o phishing se týkalo bankovních a finančních služeb, o služby ISP (Internet
Service Provider) šlo v pěti procentech případů. Takřka polovina webových
stránek se nacházela v USA, následovala Jižní Korea a Čína.
V prosinci bylo zaznamenáno 180 nových trojských koní, přímo souvisejících
s phishingem.
Během posledního roku se mění i metody, které autoři phishingu používají –
zajímavý případ z poslední doby se objevil i ve Washington Post. Útok byl
namířen proti uživatelům malé banky Mountain America ze Salt Lake City.
Útočníci požádali a obdrželi (!) SSL certifikát pro fiktivní firmu, která se
jmenovala stejně a sídlila na stejném místě jako výše uvedená banka. Na fiktivních stránkách, které ale včetně
certifikátu vypadaly naprosto věrohodně, pak byla informace o skutečném bezpečnostním
programu Verified by Visa a požadavek na zadání čísla kreditní karty. Vše
vypadalo naprosto věrohodně a trvalo mnoho hodin, než byl certifikát zrušen a
stránky odstraněny.
Jak se dá proti phishingu bránit? I když existuje řada technických
prostředků, nejdůležitější zbraní je určitě vlastní mozek. Stejně jako kdysi u
AOL, ani dnes neposílají banky žádosti o hesla elektronickou poštou, pokud Vám
nějaká důvěryhodná zpráva přijde, nikdy nevyužívejte přímý link uvnitř takové
zprávy ale obraťte se na banku standardním způsobem, případně si vše i jinak
(třeba telefonicky) ověřte. Nakupujte přes Internet jen u ověřených obchodníků
a vždy si dvakrát rozmyslete, než někam své citlivé údaje (včetně e-mailové
adresy!) napíšete. Přeji Vám, aby Vás žádné phishingové trable nepotkaly a
abyste těmto „rhybářům“ na jejich háčky neskočili!