Phishing

Co je to phishing?

Pod pojmem phishing se skrývá technika podvodu a vymámení citlivých údajů (číslo kreditní karty, heslo, přihlašovací údaje, osobní údaje a tak dále) od uživatele. Útočník se vydává za důvěryhodný subjekt (vaše banka, správce sociální sítě, policie, úřad, IT správce a tak dále) a útočí většinou pomocí emailu nebo osobních správ na daných stránkách. Samotné slovo phishing má napodobovat anglické slovo „fishing“, v překladu rybařit, kdy útočník se snaží na návnadu nachytat nic netušící uživatele.

Techniky Phishingu

Útočníci využívají nevědomosti a nepozornosti uživatelů a útočí pomocí důvěryhodně vypadajících jmen a webů.

Takový nejklasičtější případ phishingu je email, který žádá uživatele o změnu hesla na jeho bankovním účtu. Email je poslán z dobře vypadající emailové adresy, která připomíná oficiální email banky. Má také veškeré náležitosti, jako správnou grafickou úpravu, podpis a většinou urgenci uživatele ve vyplnění „požadavků“, aby zapůsobil, že změna hesla musí být okamžitá a velmi opodstatněná. Taková zpráva většinou odkazuje na stránku, kde uživatel údaje má zadat. Stránka často také vypadá jako originální stránka banky (toho se dá docílit zkopírováním stránek) a často má podobný nebo téměř stejný odkaz. Tomuto cílenému útoku se říká „spear phishing“.

Další z phishingových technik používaných hlavně na stránkách s instantními zprávami nebo privátními zprávami je, kdy útočník kontaktuje uživatele a vyžaduje po uživateli určitou akci (přístupové informace k účtu, návštěvu určitého webu a podobně). Útočník se znovu vydává pod jménem/přezdívkou, která navozuje pocit, že je správcem daného webu („facebook správce“, „admin-názevwebu“ a podobně). Ke zprávě je většinou připojena také výhružka/ultimátum, které má donutit uživatele k akci.

Phishing se provádí i skrz telefon, což dodává útoku víc legitimnosti. Uživatel je nabádán k zavolání na určité číslo, kvůli problému s jeho bankovním účtem, kde je poté dotázán na jeho pin a údaje. Tomuhle druhu phishingu se říká „vishing“ (voice phishing/hlasový phishing).

 

Jak poznat phishing

Občas phishingové pokusy jsou až skoro k nepoznání od reálných útoků a jak je tedy poznat?

Základem je pozornost. Většina technik zakládá na pocitu uživatele, že útočník je opravdu důvěryhodná stránka, za kterou se vydává.  Zaměřit se na znění uživatelského jména/emailové adresy, zda opravdu odpovídá reálné adrese banky. Zaměřit se na znění emailu. Phishingové emaily často obsahují gramatické chyby a jiné nedostatky, které oficiální emaily nemají. Také odkazy na weby, na které zprávy odkazují, jsou většinou jen pozměněné oficiální adresy. Často se k tomuhle používá jen prohození písmen v odkazu (například „http://mojebankajenjlepsi.cz/“, místo oficiálního „http://mojebankajenejlepsi.cz/“) nebo poddomény, které ačkoli navozují pocit oficiálnosti, se odkazují na web útočníka (například „http://mojebanka.ucet.cz/“ odkazuje na stránku „mojebanka“ na doméně „ucet.cz“ – phishingová stránka).

Dalším znakem phishingové zprávy je urgence a výhružky. Často útočník přidá k emailu jistou výhružku, aby dodal poselství jistou váhu a donutil uživatele kliknout na jeho odkaz. Většinou vyhrožující vymazáním účtu, zablokováním účtu nebo jinými omezeními.

Opatrnosti není nikdo dost, proto nejlehčí, jak zabránit phishingu, je být obezřetný a ověřovat si informace. Většina bank a stránek se na phishing adaptovala a ke změně hesla pomocí emailu uživatele nikdy nežádá. Pokud byste si stále nebyli jistí, není nic lehčího, než si na oficiálním webu banky/stránky najít oficiální kontakt (telefon/email) a informovat je o vaší situaci.

 

Příklad phishing emailu

 I takhle může vypadat phishingový email. Už na první pohled adresa odesílatele „ge@certwizard-local.cz“ nevypadá moc důvěryhodně. Dále text emailu je strohý, krátký a bez absence detailů nebo podpisu odesílatele. Naposled email odkazuje na stránku, kde se musíte přihlásit.

Známé případy phishingu

Target, 2013 – obětí jednoho z největších phishing útoků se stal Americký řetězec supermarketů Target. Skrz phishing útok na sub kontraktora Targetu útočník získal přístup do celé sítě, což poté využil k ukradení 40 milionů údajů o kreditních kartách.

RSA, 2011 – tentokrát obětí se stala společnost RSA, která vytváří „SecurID“ (dvoufázový ověřovací systém). Útočníci se dostali k hlavnímu klíči skrz nakažený excel soubor, který se dostal do systému pomocí phishing útoku na zaměstnance RSA. Útočníci se díky klíči dostali do systému Amerických obraných složek.

ICANN, 2014 – ICANN je společnost spravující internetové protokoly a DNS. Útočníci skrz phishing útok získali přístup k osobním informacím uživatelů.