Phishing

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Phishing (někdy převáděno do češtiny jako rybaření) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů,úřadů státní správy nebo od IT administrátorů.

Principem phishingu je typicky rozesílání e-mailových zpráv nebo instant messaging, které často vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je takřka identická s tou oficiální. Stránka může například napodobovat přihlašovací okno internetového bankovnictví. Uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.

Phishing je příkladem techniky sociálního inženýrství používané k oklamání uživatelů za využití slabých míst současných bezpečnostních technologií (jejich implementací). Ochrana proti rostoucímu množství nahlášených případů phishingu zahrnuje legislativu, trénování uživatelů, veřejnou osvětu a technická opatření.

Název[editovat | editovat zdroj]

Anglické slovo fishing znamená rybaření, rybolov, což v tomto kontextu označuje rozesílání „návnady“ (e-mailových zpráv) v naději, že „se chytí“ některé oběti. Náhrada prvního f za homofonní ph má několik vysvětlení; nejpravděpodobnější je přirovnání k tzv. phreakingu, resp. obecně je záměna f za ph běžná v tzv. leetspeaku (též lama), slangu používaném v jisté internetové subkultuře.[1] Objevuje se i teorie[2] s významem zkratky password harvesting fishing, tzn. zhruba „rybolov sklízením hesel“, ta je však chybná.

V češtině se slovo používá velmi často neupravené, případně se používá „počeštěná“ varianta rhybaření, případně rhybhaření, rhybolov, rhybholov. Inspirací pro českou variantu se stal Kantůrkův překlad jazyka zeměplošských Igorů, který češtinu komolí podobným způsobem jako originál angličtinu.

Historie[editovat | editovat zdroj]

Technika phishingu byla detailně popsána v roce 1987 v práci a prezentaci předané International HP Users Group, Interex.[3] Poprvé byl termín phishing použit v usenetové skupině alt.online-service.america-online dne 2. ledna 1996,[4] ačkoli se označení mohlo objevil již dříve v tištěném magazínu 2600: The Hacker Quarterly.[5]

Začátky phishingu na AOL[editovat | editovat zdroj]

Phishing na AOL byl úzce spjat s warez komunitou, jež si vyměňovala pirátský software, a scénou crackerů, která padělala kreditní karty a páchala jiné internetové zločiny.

Phisher (původce phishingu) se mohl vydávat za pracovníka AOL a odeslat zprávu potenciální oběti, ve které žádal odhalení jejího tajného hesla. Ve zprávě byly většinou žádosti jako „ověřit účet“, nebo „potvrdit informace“, což by vedlo samozřejmě k prozrazení choulostivých informací oběti. Jestliže se útočník dozvěděl heslo, mohl disponovat účtem oběti, nebo rozesílat nevyžádanou poštu (spam). Oboje, jak phishing, tak warez na AOL, obecně vyžadovaly programy napsané uživateli, jako například AOHell. Phishing začal být tak častý, že byl do všech zpráv přidán řádek: „Žádný pracovník AOL se vás nemůže nikdy ptát na heslo, ani údaje ohledně vašeho účtu.“

Po roce 1997 AOL zpřísnila svůj pohled na phishing a warez, tudíž všechen pirátský software odstranila ze svých serverů. Současně vyvinula AOL systém pro okamžitou deaktivaci účtů spojených s phishingem, aniž by oběti mohly nějakým způsobem odpovědět. Zakázaní warez scény vedlo k tomu, že většina phisherů opustila služby AOL.

Přechod z AOL na finanční instituce[editovat | editovat zdroj]

Zmocnění se informací z AOL účtu mohlo vést útočníky ke zneužití informací z kreditních karet. Tím si útočníci uvědomili, že jsou proveditelné i útoky na platební systémy.

První známka o přímém pokusu napadnout platební systém je z června 2001, kdy se cílem stal e-gold. Tento pokus byl následován „post-9/11 ID kontrolou“ krátce po útocích 11. září 2001 na Světové obchodní centrum.[6] Oba pokusy prakticky ztroskotaly, ale lze na ně pohlížet jako na prvotní pokusy vůči následným plodnějším útokům na přední banky.

K roku 2004 byl již phishing považován za plně rozvinutou ekonomiku zločinu, která poskytovala za hotovost součásti, které byly shromažďovány na konečný útok. Odhaduje se, že mezi květnem 2004 a květnem 2005 se vinou phishingu ztratilo 929 milionů USD. Z té doby je známá spousta různých technik.[7][8][9]

Příklady útoků[editovat | editovat zdroj]

Útočníci se převážně zaměřují na zákazníky bank a on-line platebních služeb. E-maily zdánlivě od IRS (finanční úřad USA) sbíraly citlivá data amerických daňových poplatníků.[10] Zatímco první takové pokusy byly rozesílány náhodně s očekáváním, že některé přijdou zákazníkům dané banky nebo služby, novodobý výzkum ukazuje, že útočníci v principu dokáží rozpoznat, jaké banky potenciální oběti používají a příslušně falešné e-maily přizpůsobují.[11] Takto cílenému phishingu se říká spear phishing (z anglického oštěp).[12] Jsou známé případy útoků směřovaných specificky na nejvyšší management a jiné vysoké cíle z hlediska byznysu. Pro takový druh útoků se ustálil pojem whaling (z anglického velryba).[13]

Jedním z hlavních cílů současného phishingu jsou služby sociálních sítí, neboť osobní detaily z těchto sítí mohou být použity k odcizení identity;[14] koncem roku 2006 počítačový červ převzal kontrolu nad službou MySpace a pozměnil odkazy, aby přesměrovaly návštěvníky na adresu navrženou k odcizení přihlašovacích údajů.[15] Experimentální phishing na sociální sítě ukazuje úspěšnost přesahující 70 %.[16]

Phishing se zaměřil i na stránky služby pro sdílení souborů RapidShare, aby tak získával prémiové účty, které odstraňují rychlostní omezení během stahování, automatické odstraňování nahraných souborů, čekání na spuštění stahování a časové prodlevy mezi stahováními.[17]

Následující e-mail obdrželo velké množství českých uživatelů na začátku října 2006:[18]

Dobry den vazeni klienti!

Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich
operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich
zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku
nebezpeci ztraty peneznich prostredku z uctu.

S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje
s frodem. Do 1.listopadu musi vsechny nasi klienti aktivovat novy system
bezpecnosti vlastnich uctu.

Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan
uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli
experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho
zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych
zdrojich.

Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani
systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz
podvržený odkaz
a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy
bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere
nesrovnalosti.

Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy
vznikajicich potizi, prace na jejich odstraneni jiz probihaji.

Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu,
v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace
Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy
bezpecnostni standard.

S pozdravem, Oddeleni Banky pro ochranu pred frodem.

Techniky phishingu[editovat | editovat zdroj]

Hacking sdíleného virtuálního serveru[editovat | editovat zdroj]

Každoročně vznikají nové a nové taktiky útoků, které drasticky ovlivňují statistiky. V roce 2011 dominuje taktika, která je ve skutečnosti stará, avšak do té doby spíše povrchní. V tomto případě útočník vnikne do webového serveru, který hostuje mnoho domén - tzv. sdílený virtuální server. Jakmile je útočník uvnitř takového serveru, namísto vložení své „návnady“ (stránka s falešným obsahem) napřed na server nahraje svůj obsah. Následně změní konfiguraci serveru tak, aby všechny obsažené weby začaly jeho obsah zobrazovat. To je standardní schopnost webových serverů, která umožňuje administrátorům nastavovat sdílené informační stránky, administrační zařízení a chybové stránky („stránka nenalezena“ a další).

Takže místo nabourávání se do jedné stránky po druhé, útočník může infikovat stovky až tisíce webů naráz, podle velikosti daného serveru. V první polovině roku 2011 bylo identifikováno přes 40.000 unikátních útoků používajících tuto taktiku. Každý z nich pomocí jiné domény. To je 37 % všech útoků celosvětově. Hromadných útoků bylo identifikováno celkem 122, každý zahrnující minimálně 50 domén. Útoky zahrnovaly jen 25 institucí; z toho nejčastější byly PayPal (přes 23.000 domén/útoků) a Wells Fargo (přes 6.500 domén/útoků).[19]

Využití poddomén[editovat | editovat zdroj]

Většina metod phishingu využívá některou z forem technického oklamání navrženého tak, aby odkazy v e-mailech (a příslušné falešné stránky) vypadaly, že náleží falšované organizaci. Následující odkaz http://www.konkretnibanka.novasluzba.cz/ vypadá, jako by vedl na sekci nová služba na webu konkrétní banky; ve skutečnosti tento odkaz míří na sekci „konkrétní banka“ (tedy phishing) stránky „nová služba“.

Překlepy a zkreslení odkazů[editovat | editovat zdroj]

Běžným trikem bývají překlepy v odkazech. Dalším běžným trikem je, aby text odkazu vypadal jinak, než skutečný odkaz. Následující odkaz http://cs.wikipedia.org/wiki/Radost vypadá, že vede na stránku „Radost“, avšak ve skutečnosti vede na stránku „Smutek“. V levém dolním rohu většiny prohlížečů se zobrazuje skutečný cíl daného odkazu, na který právě ukazuje myš.[20]

Využití slabin IDN[editovat | editovat zdroj]

Další problém s odkazy vznikl v souvislosti se zpracováním internacionalizovaných doménových jmen (IDN). Ve webových prohlížečích je možné docílit, aby vizuálně identické adresy vedly na různé, potenciálně nebezpečné, weby. Některá písmenka vypadají totiž skoro (nebo úplně) stejně a rozdíl adres nemusí být patrný. Jindy se může jednat o adresu s diakritikou - přičemž v originále diakritiku postrádá.

Navzdory publicitě této vady známé jako IDN spoofing[21] či homografový útok,[22] zneužívají útočníci tohoto rizika použitím otevřeného URL přesměrování na stránkách důvěryhodné organizace k zamaskování škodlivého obsahu s důvěryhodnou doménou.[23][24][25] Ani digitální certifikát neřeší tento problém, protože pro útočníka je možné si pro tyto účely pořídit platný certifikát a následně měnit obsah, aby důvěryhodnou stránku zfalšoval.

Zkracování domén[editovat | editovat zdroj]

Zkracování domén je taženo popularitou Twitteru a dalších sociálních sítí a mobilních telefonů a dalších zařízení. Uživatelé těchto služeb mohou získat velmi krátký odkaz pro vložení do svých (znakově omezených) zpráv, které automaticky přesměrují návštěvníka na o mnoho delší „skrytý“ odkaz.

Někteří poskytovatelé zkracování agresivně zbrojí proti škodlivému přesměrování a vydávají pravidla, kterými komplikují případné zneužití jejich systému. Řada poskytovatelů zkracování domén však je na černé listině.

Unikání filtrům[editovat | editovat zdroj]

Útočníci začali používat obrázky místo textů, aby tak zkomplikovali anti-phishingovým filtrům detekovat běžně používané texty nebezpečných e-mailů.[26]

Padělání stránek[editovat | editovat zdroj]

Navštívením podvržené stránky klamání nekončí. Některé podvodné stránky používají JavaScript pro změnu adresního řádku.[27] Toho je docíleno buďto umístěním obrázku legitimní adresy přes adresní řádek nebo zavřením původního adresního řádku a otevření nového s legitimní adresou.[28]

Útočník může dokonce využít chyby ve skriptu důvěryhodné stránky proti oběti.[29] Tento typ útoku (známý jako cross-site scripting) je částečně problematický, protože nabádají uživatele k přihlášení na stránce banky nebo služby, kde se všechno od webové adresy po bezpečnostní certifikát jeví korektně. Ve skutečnosti je však odkaz na stránku vytvořený tak, aby provedl útok. Bez specializovaných znalostí je velmi obtížné útok vystopovat. Právě taková vada byla použita v roce 2006 proti společnosti PayPal.[30]

V roce 2007 byl odhalen univerzální balíček Man in the middle (MITM) Phishing Kit, poskytující jednoduše použitelné rozhraní, díky kterému útočník přesvědčivě zreplikuje webové stránky a zaznamená přihlašovací údaje vložené na falešné stránce.[31]

Aby se vyhnuli technikám skenujícím weby pro odhalování phishingu, začali útočníci vytvářet falešné stránky v technologii Flash. Ty vypadají jako skutečné stránky, ale skrývají text v multimediálním objektu.[32]

Telefonický phishing[editovat | editovat zdroj]

Ne všechny metody phishingu vyžadují falešné stránky. Zprávy, které tvrdí, že jsou z banky nabádaly uživatele, aby zavolali na určité číslo s odvoláním na problémy s jejich bankovními účty.[33] Jakmile klient zavolal na uvedené číslo (vlastněné útočníkem a poskytované službou Voice over IP), byl vyzván k vložení čísla účtu a PINu. Takzvaný Vishing (z anglického voice phishing) někdy používá zfalšovanou identifikaci volajícího. Vyvolá tak dojem, že volá z důvěryhodné organizace.[34]

Další techniky phishingu[editovat | editovat zdroj]

  • Úspěšně se používá přesměrování klienta na legitimní stránku banky s následným otevřením vyskakovacího okna požadujícího přihlašovací údaje. Okno vyskočí na povrchu stránky s bankou, takže vzniká dojem, že citlivé údaje požaduje banka.[35]
  • Technika tabnabbing zneužívá záložek, které oběť používá a tiše přesměruje uživatele na falešnou stránku.
  • Technika Evil twin (wireless networks) se těžko detekuje. Útočník vytvoří falešnou bezdrátovou síť, která vypadá stejně jako legitimní veřejná síť, kterou je možné najít na veřejných místech jako jsou letiště, hotely nebo kavárny. Kdykoli se někdo připojí do této sítě, podvodníci se pokusí zachytit jejich důvěrné informace.

Boj s phishingem[editovat | editovat zdroj]

Existuje několik úrovní boje s phishingem: na uživatelské úrovni zejména osvěta a dodržování bezpečnostních pravidel, na softwarové úrovni je možno používat specializované nástroje, které phishingové útoky umožňují detekovat a upozorňovat na ně. Také existují organizace, které se bojem s phishingem zabývají cíleně a stránky využívané k těmto útokům odstraňují. Některé státy už dokonce vytvořily specializovanou legislativu zaměřenou na phishing.[36]

Odkazy[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

  1. Anti-Phishing Working Group: Origins of the Word „Phishing“. Navštíveno 13. 10. 2006
  2. Know your Enemy: Phishing, The Honeynet Project & Research Alliance. Navštíveno 13. 10. 2006
  3. Felix, Jerry and Hauck, Chris. System Security: A Hacker's Perspective. 1987 Interex Proceedings. September 1987, roč. 1, s. 6.  
  4. "phish, v." OED Online, March 2006, Oxford University Press. [online]. [cit. 2006-08-09]. (Oxford English Dictionary Online.) Dostupné online.  
  5. Ollmann, Gunter. The Phishing Guide: Understanding and Preventing Phishing Attacks [online]. [cit. 2006-07-10]. (Technical Info.) Dostupné online.  
  6. GP4.3 - Growth and Fraud — Case #3 - Phishing [online]. December 30, 2005. Dostupné online. (anglicky) 
  7. In 2005, Organized Crime Will Back Phishers [online]. December 23, 2004. Dostupné online. (anglicky) 
  8. Abad, Christopher. The economy of phishing: A survey of the operations of the phishing market [online]. 2005-September. Dostupné online. (anglicky) 
  9. A Brief History of Phishing [online]. May 24, 2011. Dostupné online. (anglicky) 
  10. Suspicious e-Mails and Identity Theft [online]. [cit. 2006-07-05]. Dostupné online. (anglicky) 
  11. "Phishing for Clues", Indiana University Bloomington, September 15, 2005. 
  12. What is spear phishing? [online]. [cit. 2011-06-11]. Dostupné online. (anglicky) 
  13. Goodin, Dan."Fake subpoenas harpoon 2,100 corporate fat cats", The Register, April 17, 2008.Archived from the original on 2011-01-31. 
  14. Kirk, Jeremy."Phishing Scam Takes Aim at MySpace.com", IDG Network, June 2, 2006. 
  15. Malicious Website / Malicious Code: MySpace XSS QuickTime Worm [online]. [cit. 2006-12-05]. Dostupné online. (anglicky) 
  16. Tom Jagatic and Nathan Johnson and Markus Jakobsson and Filippo Menczer. Social Phishing [PDF]. [cit. 2006-06-03]. Dostupné online. (anglicky) 
  17. 1-Click Hosting at RapidTec — Warning of Phishing! [online]. [cit. 2008-12-21]. Dostupné online. (anglicky) 
  18. iDnes: Falešný e-mail z České spořitelny láká čísla účtů. Nikdo nebyl poškozen. Navštíveno 13. 10. 2006
  19. Rod Rasmussen, Greg Aaron. Global Phishing Survey: Trends and Domain Name Use in 1H2011 [online]. [cit. 2011-11-07]. [www.antiphishing.org/reports/APWG_GlobalPhishingSurvey_1H2011.pdf Dostupné online.] (anglicky) 
  20. HSBCUSA.com
  21. Johanson, Eric. The State of Homograph Attacks Rev1.1 [online]. [cit. 2005-08-11]. Dostupné online. (anglicky) 
  22. Evgeniy Gabrilovich and Alex Gontmakher(February 2002)."The Homograph Attack"(PDF). Communications of the ACM45(2). 
  23. Leyden, John."Barclays scripting SNAFU exploited by phishers", The Register, August 15, 2006. 
  24. Levine, Jason. Goin' phishing with eBay [online]. [cit. 2006-12-14]. Dostupné online. (anglicky) 
  25. Leyden, John."Cybercrooks lurk in shadows of big-name websites", The Register, December 12, 2007. 
  26. Mutton, Paul. Fraudsters seek to make phishing sites undetectable by content filters [online]. [cit. 2014-07-10]. Dostupné online. (anglicky) 
  27. Mutton, Paul. Phishing Web Site Methods [online]. [cit. 2006-12-14]. Dostupné online. (anglicky) 
  28. "Phishing con hijacks browser bar", BBC News, April 8, 2004. 
  29. Krebs, Brian. Flaws in Financial Sites Aid Scammers [online]. [cit. 2006-06-28]. Dostupné online. (anglicky) 
  30. Mutton, Paul. PayPal Security Flaw allows Identity Theft [online]. [cit. 2006-06-19]. Dostupné online. (anglicky) 
  31. Hoffman, Patrick."RSA Catches Financial Phishing Kit", eWeek, January 10, 2007. 
  32. Miller, Rich. Phishing Attacks Continue to Grow in Sophistication [online]. [cit. 2007-12-19]. Dostupné online. (anglicky) 
  33. Gonsalves, Antone."Phishers Snare Victims With VoIP", Techweb, April 25, 2006. 
  34. "Identity thieves take advantage of VoIP", Silicon.com, March 21, 2005. 
  35. Internet Banking Targeted Phishing Attack [online]. Metropolitan Police Service, 2005-06-03, [cit. 2009-03-22]. Dostupné online. (anglicky) 
  36. InformationWeek: Phishers Would Face 5 Years Under New Bill. Navštíveno 13. 10. 2006

Související odkazy[editovat | editovat zdroj]

Externí odkazy[editovat | editovat zdroj]