Phishing

Z Wikipedie, otevřené encyklopedie

Phishing (někdy převáděno do češtiny jako rhybaření) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.

Obsah 1 Historie 1.1 Začátky phishingu na AOL 1.2 Přechod z AOL na finanční instituce 2 Princip útoku 2.1 Příklad e-mailu 3 Název 4 Boj s phishingem 5 Reference 6 Externí odkazy

[editovat] Historie

Technika phishingu byla detailně popsána v roce 1987 v práci a prezentaci předané International HPUsers Group, Interex.^[1] Poprvé byl termín phishing použit v usenetové skupině alt.online-service.America-online dne 2. ledna 1996,^[2] ačkoli se označení mohlo objevil již dříve v tištěném magazínu 2600: The Hacker Quarterly.^[3]

[editovat] Začátky phishingu na AOL

Phishing na AOL byl úzce spjat s warez komunitou, jež si vyměňovala pirátský software, a scénou crackerů, která padělala kreditní karty a páchala jiné internetové zločiny.

Phisher (původce phishingu) se mohl vydávat za pracovníka AOL a odeslat zprávu potencionální oběti, ve které žádal odhalení jejího tajného hesla. Ve zprávě byly většinou žádosti jako „ověřit účet“, nebo „potvrdit informace“, což by vedlo samozřejmě k prozrazení choulostivých informací oběti. Jestliže se útočník dozvěděl heslo, mohl disponovat s účtem oběti, nebo rozesílat nevyžádanou poštu (spam). Oboje, jak phishing, tak warez na AOL, obecně vyžadovaly programy napsané uživateli, jako například AOHell. Phishing začal být tak častý, že byl do všech zpráv přidán řádek: „Žádný pracovník AOL se vás nemůže nikdy ptát na heslo, ani údaje ohledně vašeho účtu.“

Po roce 1997 AOL zpřísnila svůj pohled na phishing a warez, tudíž všechen pirátský software odstranila ze svých serverů. Současně vyvinula AOL systém pro okamžitou deaktivaci účtů spojeních s phishingem, aniž by oběti mohli nějakým způsobem odpovědět. Zakázaní warez scény vedle k tomu, že většinu phisherů opustila služby AOL.

[editovat] Přechod z AOL na finanční instituce

První známka o přímém pokusu napadnout platební systém je z června roku 2001, kdy se cílem stal E-gold. Tento pokus byl následován "post-9/11 id šekem" krátce po útocích 11. září 2001 na Světové obcodní centrum. Oba útoky byly zachyceny ještě dřív, než stačily napáchat škody. Do roku 2004 byl phishing brán jako plně průmyslová část ekonomiky zločinu, která poskytovala součásti za hotovost, jež byla shromážděna na konečný útok.

[editovat] Princip útoku

[editovat] Příklad e-mailu

Následující e-mail obdrželo velké množství českých uživatelů na začátku října 2006:^[4]

Dobry den vazeni klienti!

Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich
operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich
zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku
nebezpeci ztraty peneznich prostredku z uctu.

S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje
s frodem. Do 1.listopadu musi vsechny nasi klienti aktivovat novy system
bezpecnosti vlastnich uctu.

Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan
uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli
experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho
zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych
zdrojich.

Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani
systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz
podvržený odkaz
a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy
bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere
nesrovnalosti.

Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy
vznikajicich potizi, prace na jejich odstraneni jiz probihaji.

Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu,
v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace
Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy
bezpecnostni standard.

S pozdravem, Oddeleni Banky pro ochranu pred frodem.

[editovat] Název

Anglické slovo fishing znamená rybaření, rybolov, což v tomto kontextu označuje rozesílání „návnady“ (e-mailových zpráv) v naději, že „se chytí“ některé oběti. Náhrada prvního f za homofonní ph má několik vysvětlení; nejpravděpodobnější je přirovnání k tzv. phreakingu, resp. obecně je záměna f za ph běžná v tzv. leetspeaku (viz též heslo leet na anglické Wikipedii [3]), slangu používaném v jisté internetové subkultuře.^[5] Objevuje se i teorie^[6] s významem zkratky password harvesting fishing, tzn. zhruba „rybolov sklízením hesel“, ta je však chybná.

V češtině se slovo používá velmi často neupravené, případně se používá „počeštěná“ varianta rhybaření, případně rhybhaření, rhybolov, rhybholov. Tento kalk je však poněkud umělý, anglická homofonie ph↔f v češtině protějšek nemá.

[editovat] Boj s phishingem

Existuje několik úrovní boje s phishingem: na uživatelské úrovni zejména osvěta a dodržování bezpečnostních pravidel, na softwarové úrovni je možno používat specializované nástroje, které phishingové útoky umožňují detekovat a upozorňovat na ně. Také existují organizace, které se bojem s phishingem zabývají cíleně a stránky využívané k těmto útokům odstraňují. Některé státy už dokonce vytvořily specializovanou legislativu zaměřenou na phishing.^[7]

[editovat] Reference

1. ↑ Felix, Jerry and Hauck, Chris (September 1987). "System Security: A Hacker's Perspective". 1987 Interex Proceedings 1: 6. 
2. ↑ "phish, v." OED Online, March 2006, Oxford University Press. [online]. [s.n.], [cit. 2006-08-09]. Dostupné: <[1]>.
3. ↑ Ollmann, Gunter. The Phishing Guide: Understanding and Preventing Phishing Attacks [online]. [s.n.], [cit. 2006-07-10]. Dostupné: <[2]>.
4. ↑ iDnes: Falešný e-mail z České spořitelny láká čísla účtů. Nikdo nebyl poškozen. Navštíveno 13. 10. 2006
5. ↑ Anti-Phishing Working Group: Origins of the Word „Phishing“. Navštíveno 13. 10. 2006
6. ↑ Know your Enemy: Phishing, The Honeynet Project & Research Alliance. Navštíveno 13. 10. 2006
7. ↑ InformationWeek: Phishers Would Face 5 Years Under New Bill. Navštíveno 13. 10. 2006

[editovat] Externí odkazy

• www.antiphishing.org – Anti-Phishing Working Group (anglicky)
• Rachna Dhamija, J. D. Tygar, Marti Hearst: Why Phishing Works (anglicky)
• Interval.cz: Phishing aneb rhybaření 1.
• Co je to phishing Blok informací o phishingu na serveru HOAX.cz
• Lupa.cz, Jak se dělá phishing: http://www.lupa.cz/…
• eMag.cz: Phishing - co je phishing, jeho formy, z čerpá, jak proti němu bojovat