Co se stalo?
Vše začalo už v úterý 10. října, kdy se v e-mailových schránkách mnoha uživatelů českého internetu objevil na první pohled legitimní e-mail. Zpráva vyzývá uživatele k přechodu na nový bezpečnostní systém z důvodu množících se případů podvodů. Nabízí také přímý odkaz, na kterém by měl údajný systém běžet. Zde je kompletní text zprávy:
Předmět: Ceska sporitelna – Pozor! Nove bezpecnostni standardy.
Od: „Ceska sporitelna“ <servise@csas.cz>
Datum: Wed, 11 Oct 2006 14:45:52 –0500Dobry den vazeni klienti!
Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu.
S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem. Do 1.listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu. Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich.
Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz https://www.servis24.cz/ebanking-s24/ a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti. Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji.
Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard.
S pozdravem, Oddeleni Banky pro ochranu pred frodem.
Podle našich informací existuje i varianta rozesílaná s diakritikou. E-maily přicházely z celého světa z mnoha různých serverů a nebyly doručovány jen klientům České spořitelny, ale obecně na velké množství českých schránek. Podle tiskové mluvčí společnosti Seznam Rity Gabrielové obdrželo podvodný e-mail velké množství uživatelů freemailu na Seznamu a také někteří zaměstnanci. „Podvodných emailů o České spořitelně jsme u nás na portále napočítali cca 100 tisíc kousků. Dostali je i někteří naši zaměstnanci,” sdělila nám Rita Gabrielová.
Podle informací z diskuse pod blogem Františka Fuky se dokonce e-mail dostal i do konference uživatelů distribuce Debian (ibm-pc@debian.cz).
Přišel vám také tento podvodný e-mail?
Odkaz, který je součástí zprávy a na první pohled ukazuje na regulérní stránky České spořitelny, však v sobě skrývá odkaz na úplně jiný server s falešnou webovou stránkou. Odkaz je veden na jednu z mnoha IP adres:
- 210.74.232.53
- 202.83.160.42
- 202.157.132.58
- 210.211.139.140
- a další
V každém případě byl ještě v adrese uveden TCP port 9070. Na všech těchto adresách byl v době rozeslání podvodných e-mailů spuštěn webový server s falešnou stránkou, která se tváří jako přihlašovací stránka České spořitelny. Jednotlivé stránky postupně během čtvrtku mizely a stávaly se nedostupnými. Zřejmě se hostující servery nebo poskytovatelé dozvídali o jejich existenci a podařilo se jim stránky odstranit.
Podoba falešné přihlašovací stránky
Vše vypadá naprosto reálně, stránka dokonce obsahuje odkazy na standardní stránky Servis24 České spořitelny. Při pokusu o zadání smyšleného klientského čísla mě dokonce stránka upozornila na to, že číslo musí mít alespoň deset znaků. Funguje také virtuální klávesnice, s jejíž pomocí je možné zadat heslo.
Co je to phishing?
Slovo phishing vzniklo kombinací z fishing (rybaření) a phreaking. Česky se někdy překládá jako „rhybaření”. Phishing je krádež citlivých informací, např. údajů o platební kartě či krádež jména a hesla k nějaké službě.
Nejtypičtějším současným phishingem je falešný e-mail, tvářící se jako odeslaný z vaší banky, v němž banka žádá o ověření totožnosti. Po kliknutí na odkaz je uživatel zaveden na falešnou stránku (která se ovšem tváří, že je v pořádku), kde odevzdá své údaje a následně přijde o peníze.
Proti reálné přihlašovací stránce je ovšem na té „nové” navíc položka Bezpečnostní kód. Jedná se o nový kód, který byl nedávno rozesílán klientům České spořitelny. Pomocí tohoto kódu je možné změnit telefonní číslo, na které jsou zasílány bankovní bezpečnostní kódy. Je tedy pravděpodobné, že uživatelé mají nedávný dopis ještě v živé paměti a především také někde po ruce.
Dopis ČS s bezpečnostním kódem
Autor podvodných stránek se tak jistě chtěl pojistit a požaduje proto po uživatelích i toto číslo. Pokud by pak chtěl pracovat s cizím účtem, může změnit toto číslo a nechat si zasílat certifikační zprávy na vlastní telefon.
Pokud do stránky zadáte údaje, objeví se prázdná stránka s hlavičkou, pod kterou je vidět jen „Ok” a dál se nic neděje. Právě jste naletěli podvodníkům a vydali jim své přihlašovací informace.
Co na to Česká spořitelna?
Pole informací Pavla Vondrušky, který je spolupracovníkem serveru Crypto-world, banka ve čtvrtek kolem desáté hodiny dopolední na svých stránkách ještě nezobrazovala žádné informace o tomto podvodu.
Konzultant na zákaznické lince ale o problému věděl a tvrdil, že banka už na problému pracuje. Banka také promptně nabídla zablokování ohroženého účtu. „Zkusil jsem proto zavolat na informace Servis24.cz, byl jsem přepnut na konzultanta, který mi sdělil, že již o problému vědí a že jej řeší. Pokud jsem prý vložil své přihlašovací údaje, může mi nabídnout zablokování účtu…, ” řekl nám k problému Pavel Vondruška.
Během dne se na stránce Servis24 objevilo varování pro uživatele. Plné znění upozornění:
Bezpečnostní upozornění
Vážení klienti,
dovolujeme si Vás upozornit, abyste se do aplikace SERVIS 24 Internetbanking vždy přihlašovali pouze zadáním internetové adresy www.servis24.cz nebo prostřednictvím Vašich oblíbených položek. Nereagujte na podvodný e-mail, který Vás odkazuje na webové stránky podobné stránkám České spořitelny a vyžaduje po Vás další zadání osobních údajů.
Česká spořitelna, a.s. od Vás nebude nikdy Vaše údaje touto formou požadovat! Nikdy nezasíláme nevyžádané e-maily s odkazy na internetové adresy. V případě, že obdržíte nevyžádaný e-mail obsahující aktivní internetový odkaz na stránky České spořitelny, na e-mail nereagujte a na odkaz neklikejte.
Česká spořitelna během čtvrtku vydala tiskovou zprávu, ve které informuje, že nemá v souvislosti s phishingem žádné poškozené klienty. Podle spořitelny je většina klientů dobře informovaná a na e-mail nereagovala.
„Většina klientů díky dobré informovanosti na podvodný e-mail nereagovala, ale informovala banku. Česká spořitelna má v současné době informaci, že někteří klienti na e-mail přesto reagovali, avšak počet těchto klientů zatím není znám. Důležité je, že nedošlo k žádnému poškození klienta, tedy nebyly odčerpány neoprávněně žádné finanční prostředky z účtu klientů ČS,” píše se v tiskové zprávě České spořitelny. Případ už byl podle tiskové zprávy předán k šetření Policii ČR.
Jaká jsou rizika?
Jedná se o velmi dobře připravenou akci, která se vyznačuje několika prvenstvími v rámci České republiky. Jednak se jedná o první podobně rozsáhlou phishingovou akci v češtině, což je podstatné pro zasažení co nejširší skupiny uživatelů.
Podvodná stránka je také velmi dobře připravená, na první pohled se jedná o titulní stranu České spořitelny a běžný uživatel nepozná žádný rozdíl. Rozdíl je pouze v zadané adrese a také v chybějícím šifrování, ale to běžný uživatel určitě nezachytí.
Pravá přihlašovací stránka České spořitelny
Dalším specifickým rysem tohoto podvodu je pokrytí skutečně široké skupiny uživatelů. Podle informací, které se objevují na internetu, bylo podvodných e-mailů odesláno skutečně velké množství.
Protože se zde cílí především na běžného uživatele, je pravděpodobné, že v tak ohromném množství uživatelů se našlo mnoho lidí, kteří citlivé informace do podvodné stránky vložilo. Sám vím minimálně o jednom, který to udělal. Samozřejmě se jednalo o běžného „kancelářského” uživatele.
Banka, zdá se, reagovala poměrně rychle nabídkou zablokování účtu. Otázkou je, na kolik je takové řešení účinné v případě uživatelů, kteří si nesrovnalosti neuvědomili a nedošlo jim, že se jedná o podvod.
Jak se můžeme bránit?
Zkušeného uživatele pravděpodobně podobná zpráva nezaskočí a automaticky ji smaže. Problém ale znamená pro někoho, kdo o phishingu dříve neslyšel. Tam nám ale mohou pomoci bezpečnostní upozornění e-mailových klientů a webových prohlížečů.
Při příchodu podvodného e-mailu nám například Thunderbird oznámí, že se podle něj jedná o podvod a měli bychom si dávat pozor.
Upozornění v Thunderbirdu
Rovněž novější Firefox verze 2.0 (v tuto chvíli ještě oficiálně nevydaná) upozorňuje automaticky uživatele na možný podvod a nabízí několik možností řešení.
Upozornění ve Firefoxu
Existuje také několik rozšíření, která tuto funkci přidávají také do stávajících verzí Firefoxu. Jedním z těchto rozšíření je například Google Toolbar.
Závěrem
Jedná se o první podobný útok zaznamenaný v České republice. Podle České spořitelny zatím nebyl žádný klientský účet napaden. Nemusí se ovšem jednat o konečnou bilanci. Zatím je na celkový výsledek příliš brzy.
Bohužel podobných případů napadení uživatelů bankovních případů postupně přibývá i u nás. Budeme proto muset více omílat základní pravidla bezpečnosti i běžným uživatelům a přejít na co možná nejmodernější způsoby obrany.
