Hlavní navigace

Příchod hackerů: rhybáři na AOL

15. 4. 2014
Doba čtení: 10 minut

Sdílet

Americký fenomén AOL nemá bohužel v naší kultuře srovnatelný protějšek, nejblíže by mu ale asi byl kdysi nenáviděný SPT Telecom. Zvláštní je že AOL bylo nenáviděno, zároveň se k němu ale všichni chtěli připojovat. A protože někteří nechtěli platit, vznikl phishing: chytání uživatelských „rhyb“.

Určitě jste někdy byli na rybách. Postup je, přinejmenším teoreticky, jednoduchý: nahodit návnadu a počkat, co zabere. Nahraďte červa podvrženou zprávou technické podpory, nebo falešnou přihlašovací stránkou, místo nebohého šupináče dejte nic netušícího uživatele a z rybaření je rázem rhybaření (phishing). Některé příběhy jsou o nečekaných souvislostech. Příběh phishingu je právě takový – na konci jsou statisíce a miliony ukradených hesel, identit a platebních údajů, na začátku byl génius s vizí poskytování hudby na vyžádání a online distribuce her, který o třicet let předběhl svou dobu.

Internet, warez a AOL

Když jste se chtěli počátkem devadesátých let přihlásit k službě AOL, která se pro mnoho uživatelů v USA stala prvním „oknem“ do světa počítačových sítí a posléze i internetu a „warezu“, potřebovali jste k tomu kreditní kartu. Přesněji řečeno potřebovali jste věrohodně vyhlížející číslo kreditní karty, čehož si vynalézaví hackeři záhy všimli a naprogramovali generátory, s jejichž pomocí bylo možné spočítat věrohodně vyhlížející platební údaje, které systémy AOL přinejmenším na čas „spolkly“.

V roce 1995 ale AOL své systémy opravilo a falešná čísla kreditek nebylo možné dále používat. AOL v té době ale za přístup účtovalo po minutách (Američané naštěstí neměli po minutách účtovány místní hovory, jejichž prostřednictvím se přes modem připojovali ke službě AOL), a nikoliv formou měsíčního paušálu. Ti, kdo nechtěli platit, měli jedinou možnost: ukrást přístupové informace jiných uživatelů nebo získat číslo jejich kreditní karty. A tak se zrodil první phishing.

Osvědčeným postupem bylo zneužívání chatu AOL IM (AIM), v němž se „rhybář“ vydával za zaměstnance podpory AOL a vylákal z nic netušícího platícího uživatele jeho heslo. Již na samém počátku byly „vynalezeny“ chytlavé phishingové fráze, které se v různých obměnách objevují v IM aplikacích či e-mailu pravidelně dodnes – například:

Verify you account. / Ověřte svůj účet.

Confirm your billing information / Potvrďte své platební údaje

Your password may be compromised, change it / Vaše heslo může být prozrazeno, změňte si jej

V případě chatovací aplikace AIM byl problém i v tom, že ji mohli používat nejen „dohledatelní“ uživatelé přihlášení přes AOL, ale i uživatelé připojení online přes jiné poskytovatele. Útočníky tak bylo jen velmi těžké dohledat. Z phishingu se v případě AOL a jejich chatovacího rozhraní stal takový problém, že při každém spuštění IM se uživateli objevil vzkaz upozorňující, že se jej „nikdo pracující v AOL nebude nikdy ptát na jeho heslo nebo platební údaje“.

Proč rhybaření?

I když se může zdát, že anglický termín „phishing“, tedy zkomolení slova fishing (rybaření) souvisí s nahozením „udičky“ uživateli a čekáním zda zabere, historka pojící se k jeho původu je mnohem zajímavější. AOL začalo záhy s hackery, kteří kradli jeho uživatelům přístupová hesla a platební údaje bojovat a sledovat diskuse a chaty, zda někdo nenabízí zcizené „identity“. Hackeři proto začali používat alternativní označení pro ukradené uživatelské účty – zatímco slova bylo možné v chatech snadno monitorovat, běžné znaky používané HTML kódem byly prakticky nevysledovatelné. Pro označení cizích účtů se tak začala používat kombinace závorek <><, tedy symbol, který připomíná rybu. Kombinace ryby, rybaření (fish a fishing) a populárního termínu phreaking (tedy nabourávání se či hackování telefonních sítí) dala vzniknout slovu phishing, jehož údajným „vynálezcem“ se někdy v polovině 90. let stal známý spammer a hacker Khan C Smith. Český přepis rhybaření si pak už jen hraje po vzoru angličtiny s přidaným písmenem h.

Jestliže zpočátku sloužilo kradení hesel a platebních informací převážně k tomu, aby se útočníci dostali zdarma ke službě AOL, záhy si uvědomili, že, na rozdíl od falešných čísel kreditních karet, ta skutečná (odcizená) lze využít i jinak. Z phishingu se tak stal vážný problém a fenomén nezávislý na AOL, odkud mezitím zmizel warez, protože našel lepší útočiště na „volném“ Internetu či Usenetu – a tak vlastně pro mnoho mladých „hackerů“ nebyl důvod, proč se k nejodpornějšímu ISP planety připojovat.

Nyní je asi na místě udělat krátkou odbočku a věnovat se krátce historii AOL i tomu, proč se právě z této společnosti, kterou založil geniální vizionář William von Meister, stal jeden z nejúspěšnějších a zároveň nejnenáviděnějších poskytovatelů internetového přípojení konce 90. let a posléze internetová a mediální mega korporace.

Příběh AOL

Příběh AOL se začal psát počátkem 80. let, když William von Meister přemýšlel, jak naložit s technologií, jejímž prostřednictvím chtěl distribuovat hudbu a následně ji v prostředí kabelových sítí nabízet posluchačům „na přání“. Meister nebyl žádným zelenáčem, svou první společnost TDX založil a posléze úspěšně prodal během 70. let a v roce 1979 spustil The Source, jednu z prvních firem poskytujících online služby (jejím propagátorem byl například Isaac Asimov) – ta se stala nakonec součástí Compuserve.

Z plánů na distribuci hudby na přání přes kabelové operátory ale sešlo především díky odporu právníků Warner Bros., a tak Meistera napadlo, že by možná šlo upravit vše tak, aby se pomocí modemů distribuovaly hry pro herní konzole (ne neděláme si legraci, první předchůdce Steamu se zrodil skutečně před více než 30 lety díky tomu, že Meisterovi o rok či dva dříve nepodařilo vytvořit prvního předchůdce iTunes).

Vše fungovalo tak, že herní konzole (v té době nejpopulárnější ale velmi primitivní Atari 2600) byla vybavena speciální modemovou cartridgí, do níž se hra po telefonu stáhla z centrálního serveru a bylo možné ji 5× – 10× hrát. Poté bylo třeba se znovu připojit a „obnovit“ předplatné nebo si stáhnout hru jinou. Služba dostala název GameLine a společnost, která ji provozovala, se jmenovala Control Video Corporation (CVC).

Atari 2600 – konzole, pro niž William von Meister stvořil prvního předchůdce služeb jako je Steam.

Vše nakonec nedopadlo slavně jednak proto, že se se CVC nepodařilo uzavřít smlouvy s velkými vydavateli her a výrobci konzolí a především kvůli tomu, že v roce 1983 prošel trh herních konzolí kolapsem, z něhož se vzpamatoval až v roce 1985. Původní plány uvést na trh další služby zahrnující zpravodajství, ceny akcií, sportovní výsledky, e-mail, online bankovnictví či diskusní fóra tak musely být na pár let odloženy „k ledu“.

Když bylo jasné, že trh videoher se jen tak nevzpamatuje, vznikla na troskách CVC v roce 1985 společnost Quantum Computer Services, která mířila na majitele domácích a osobních počítačů. Prvními produktem byla služba Quantum Link pro populární Commodore 64/128, následovaná AppleLink pro majitele Apple II a Maců. Kouzlo online služeb QCS (později AOL) spočívalo v tom, že byly navrženy pro „normální“ lidi. Zatímco Compuserve byl určen technicky zdatným uživatelům, kteří se vyznali v terminálovém prostředí, QCS mělo mnohem přehlednějšího „klienta“ a se změnou názvu na America On Line v roce 1991 přišlo i první grafické rozhraní jako GeoWorks aplikace pro DOS – to vše v době, kdy Windows používalo jen pár prvních šílenců, nebo možná nadšenců.

Commodore 64 byl prvním počítačem pro který QCS (později AOL) poskytovala své první síťové služby.

QCS a později i AOL nabízelo řadu vlastních funkcí a služeb, řadu z nich provozovalo ve spolupráci se slavnými institucemi jako byla Smitsonian, National Geographic nebo NPR. Nechyběly ani online hry – ty první již od roku 1986, v roce 1991 zde měla premiéru původní Neverwinter Nights, první multiplayer online hra s grafikou. Nicméně od devadesátých let (zejména po roce 1993, kdy se objevily verze AOL pro Windows a Mac) byla stále důležitější jeho role coby poskytovatele přístupu k Internetu, ale také USENETu. AOL rychle rostlo a v polovině 90. let bylo největším ISP v severní Americe a fungovalo v několika desítkách dalších zemí.

V roce 1996 přišla zásadní změna – AOL přestalo účtovat své služby po minutách, ale nabídlo měsíční paušál za 20 dolarů. To sice představovalo menší revoluci v poskytování vytáčeného internetu (u nás ji nabídl, tuším že v roce 1997, Volny.cz), zároveň to ale způsobilo obrovské přetížení modemů a AOL se poprvé setkalo s velmi silnou negativní odezvou uživatelů, kritizujících neschopnou a neochotnou technickou podporu a nefunkční služby. Ani to ale nezabránilo tomu, aby společnost během následujících tří let dále rostla a překročila metu deseti milionů zákazníků.

Byl to mimo jiné výsledek až neuvěřitelně vlezlé (a ekologicky nešetrné) reklamní kampaně, která zahrnovala rozesílání disket a CD s demo verzí služby – koncem 90. let na sobě polovina všech CD lisovaných ve světě údajně nesla logo AOL a časopis PC World je „ocenil“ jako nejotravnější produkt IT odvětví. Právě tato kampaň se společně s notoricky nepřátelským přístupem k zákazníkům, neochotou vypovídat smlouvy a nefunkční technickou podporou postupně staly synonymem AOL právě v době, kdy společnost po roce 2000 směřovala ke svému pomyslnému vrcholu. Tím bylo spojení s Time Warner a vytvoření megakorporace AOL Time Warner. Zhruba o rok později dosáhlo AOL maxima zhruba 27 milionů předplatitelů. V následujících letech se internet příliš měnil a kdysi vizionářská AOL se coby obří mediálně-internetová korporace nedokázala měnit s ním, aniž by přitom ztratila značnou část své někdejší slávy.

Ukázka reklamních CD AOL. V roce 2001 vznikl projekt, jehož cílem bylo posbírat milion CD a poslat je kamionem do sídla AOL. Během pouhých několika měsíců se sešlo přes 400 tisíc CD.

V roce 2009 došlo k opětnému odštěpení od Time Warner a posléze i k ozdravení AOL, které dnes působí relativně úspěšně (čistý příjem 1 miliarda dolarů v roce 2012) v oblasti Online médií (Huffington Post Media Group) a Online reklamy.

Zakladatel CVC William F. Von Meisner zemřel v květnu 1995 a naplnění svých vizí se tak vlastně nedočkal, bylo mu pouhých 53 let.

Zpátky za rhybáři

S tím jak se měnilo AOL i svět internetu, měnily se i cíle rhybářů. Kreditní karty byly nadále zajímavé, jejich lovení ve vodách AOL a dalších poskytovatelů vytáčeného internetu bylo ale stále složitější a riskantnější. Lepší bylo zaútočit na systémy, které se platbami přímo zabývaly, nebo využít události, které si doslova „říkaly“ o trochu toho rhybaření.

Jednou z prvních obětí se stal v červnu 2001 platební systém E-Gold, který vznikl v roce 1996, tedy celé dva roky před zrodem Paypalu, a nabízel online převody denominované v gramech zlata (nebo jiných cenných kovů). Není divu, že právě taková služba se stala cílem hackerů a rhybářů zejména z Ruska a Ukrajiny, kteří vedle podvodných zpráv a e-mailů využívali i slabiny ve Windows a Exploreru. Uživatelé E-Goldu vůči sobě navíc vystupovali anonymně (podobně jako u Paypalu), což zájem hackerů jen zvyšovalo. Když už neútočili na systém samotný, využívali službu k rychlému a snadnému převodu zcizených peněz z USA do zemí, odkud byly útoky vedeny (Rusko, Rumunsko). Nebyli to ale hackeři, co nakonec službě E-Gold zlomilo vaz. Změny legislativy po 11. září znamenaly, že americké ministerstvo financí nově definovalo pojmy a pravidla pro převod peněz a v prosinci 2011 tak musela služba ukončit svůj provoz.

Nechvalně známé 11. září se ale stalo skvělou záminkou i pro rhybáře, kteří začali s oblibou rozesílat spam o „kontrole dokladů po 11. září“. Rozvoj internetového bankovnictví, které bývalo zejména v USA zpočátku velmi neadekvátně zabezpečeno (Evropa a zejména Česko bylo v tomto směru kupodivu značně napřed) vedl logicky k prvním phishingovým útokům na zákazníky komerčních bank – ty začaly v roce 2003 a o rok později již byly prakticky „normou“ – a tak je tomu dodnes, koneckonců každý z nás dostane občas do emailu lépe čí hůře vyvedenou návnadu pro potvrzení svých údajů do Paypalu či online bankovnictví. Stále častější je pochopitelně phishing v prostředí sociálních sítí (poprvé ve velkém v roce 2006 na MySpace) nebo služeb typu RapidShare. Cílem nemusí být vždy jen čísla kreditních karet, svou cenu mají i další osobní údaje jako jsou SSN (čísla sociálního pojištění v USA), adresy, jména, data narození, telefonní čísla či jiné osobní informace).

Z rhybáře velrhybářem

Zvláštní kategorií phishingu se před zhruba pěti či šesti lety stal Whaling, tedy cílené útoky na „tučné ryby“ – zejména ředitele nebo členy vedení velkých korporací. Cílem jednoho z velkých útoků se již v roce 2008 stalo na 20 tisíc top manažerů, v něm se patrně čínským útočníkům údajně podařilo „zaseknout“ zhruba desetinu příjemců. V případě velrhybaření nebývá cílem zcizení platebních údajů, ale spíše cenných obchodních informací.

UX DAy - tip 2

Až vám tedy přijde do mailu zas nějaká ta výzva k ověření přístupových či platebních informací, buďte opatrní. Koneckonců u renomovaných obchodníků či služeb by se vás nikdo neměl ptát na přihlašovací nebo platební údaje.

Dnešní téma bylo zaměřeno především na vznik rhybaření a související historii AOL. Phishing je pochopitelně velmi rozsáhlé téma, jehož novější historii a především metodám a postupům se můžeme časem věnovat v některém z dalších dílů seriálu.

Odkazy

Byl pro vás článek přínosný?