Jsou to již tři měsíce, kdy jsme v díle nazvaném „Rhybáři na AOL“ vyprávěli o zrodu fenoménu zvaného phishing, či česky rhybaření (a věnovali jsme se také historii AOL samotného). Případy kradení přístupových hesel k AOL či čísel kreditních karet nebo plateb ze služby E-Gold byly totiž jen počátkem záplavy phisingových útoků, které se dnes a denně objevují v našich e-mailových schránkách nebo na sociálních sítích.
Například v první polovině minulého roku proběhlo podle zprávy APWG přes 70 tisíc útoků na 702 různých služeb (počet útoků na jejich uživatele pak byl o několik řádů vyšší), pro ně bylo registrováno více než 12 tisíc „škodlivých“ domén. Vůbec největší počet útoků směřoval proti službě PayPal (přes 18 % všech útoků), obecné rovině byly v tomto období nejčastějšími cíli banky (40 %), následovány platebními službami (20 %), e-commerce (17 %) a sociálními sítěmi (12 %). Většina útoků je přitom aktivní řádově 10–40 hodin. Útočníci také často zneužívají hostingové služby, do nichž pronikají a instalují zde phishingové funkce na všechny hostované servery (těch bývají desítky až stovky). To je stav, do kterého jsme se dostali za necelých deset let.
PayPal i jeho uživatelé jsou řadu let vůbec nejčastějším cílem phishingových útoků. Obětí jedné ze sofistikovanějších technik se stal v roce 2006.
Od rhybaření k harpunářství
Vedle tradičního necíleného rhybaření došlo v oblasti phishingu k řadě inovací. Minule jsme již zmínili tzv. velrhybaření, při němž jsou phishingové útoky cíleny na „VIP“ oběti – například manažery konkrétní společnosti. Další metodou, která byla postupně značně rozpracována, je harpunářství – jedná se o cílené útoky, které často probíhají ve druhé vlně, poté co pomocí prvního útoku byly získány například e-maily uživatelů konkrétní služby nebo zákazníků určité firmy, je následný útok cílen pouze na oběti, pro které je relevantní a může být také do značné míry „personalizován“ – například uveden správným oslovením jménem. Něco takového se v masivním měřítku stalo v roce 2007 více než šesti milionům zákazníků brokerské firmy TD Ameritrade, jejichž e-mailové adresy se hackerům podařilo získat. Na ně pak mířily podvodné e-maily tematicky zaměřené na obchodování s akciemi.
Jinou zajímavou metodou je klonové rhybaření (clone phishing), při němž není rozesílána fiktivní zpráva (email), ale kopie zprávy skutečné (autentické), která byla rozeslána o chvíli dříve. V kopii zprávy je ale například pozměněn odkaz vedoucí na podvodné stránky, nebo příloha e-mailu, jejichž prostřednictvím je následně proveden útok.
S tím, jak rostla ostražitost uživatelů i účinnost spamových filtrů, museli útočníci přicházet se stále důmyslnějšími způsoby, jak uživatele přesvědčit, aby na odkaz či přílohu mailu klikl. Mezi ty nejjednodušší patří registrace domény s podobným názvem (například záměna jednoho či prohození dvou písmen), případně domény nazvané www.banka.login.cz, které pochopitelně nevedou na doménu banka.cz, ale na pristup.cz. Dalším výtečným trikem je skrytí skutečného odkazu v HTML kódu – na první pohled to vypadá že odkaz vede na www.banka.cz, ale ve skutečnosti se jedná jen o „štítek“, který směřuje na www.login.cz (jména domén jsme vybrali ukázkově).
Jistě si pamatujete, jak se spam začal postupně měnit – jednoduché texty, které snadno odhalily filtry, byly nahrazeny texty podivnými nebo obrázky, když byly filtry vybaveny OCR technologií, aby dokázaly přečíst i text na obrázku, začaly se používat například texty psané „rukou“ nebo různě natočené a upravené – a ty opět začaly luštit novější filtry vybavené technikou IWR (inteligentní detekce slov).
Vítejte ve své bance. Opravdu?
Postupem času se phishingové útoky musely stát sofistikovanější především proto, že nebylo možné získat potřebné údaje (přístupová jména, hesla, osobní data) jen pomocí podvodné výzvy v e-mailu, chatu nebo na sociální síti. První fází útoku se tak typicky stal phishingový e-mail či zpráva a jestliže „rhybka“ zabrala a klikla na podvržený odkaz nebo přílohu, přicházela v různých podobách fáze druhá – podvržené či falešné stránky. Tedy web, který se tváří například jako stránky banky, ve skutečnosti jej ale provozují zločinci – obvykle je označován jako „spoofed“, tedy falešný, podvržený. (Anglické slovíčko „spoof“ neznamená jen „falešný“, ale také „parodie“ – existují případy, kdy spoofing pouze paroduje určitou stránku, aniž by měl nějaké nekalé cíle). Asi nejstarší formou spoofingu bylo skrývání IP adres při komunikaci v rámci IP protokolu – zejména při útocích DoS/DDoS. Spoofing celých webů představuje jinou ligu.
eKonto (dříve eBanka a ještě dříve Expandia Banka) nabízí vícefaktorové ověření pomocí hardwarového (a později též mobilního či internetového) klíče již od roku 1999. Nová mobilní aplikace je ale chráněna jen samostatným pin kódem, případně kombinací/faktorem dalšího zabezpečení mobilního přístroje.
Jinou metodou je takzvaný „cross-site-scripting“, kdy útočník využije slabiny v kódu originální stránky a ten tak vlastně může proběhnout v „autentickém“ prostředí. Právě to se stalo v roce 2006 službě PayPal, na jejíchž serverech si tak útočníci mohli vytvářet vlastní stránky včetně platného SSL šifrování. Ty sloužily pouze k tomu, aby uživatele přesvědčily, že jeho účet byl kvůli bezpečnosti zablokován, a následně jej odvedly na stránky mimo službu PayPal, kde byl vyzván aby zadal své přihlašovací údaje (a ty mu následně byly zcizeny). Jiný podobný trik spočívá v tom, že odkaz vede skutečně na stránky banky či e-commerce služby, nicméně následně je zobrazeno podvržené pop-up okno s výzvou k zadání přihlašovacích údajů.
Podobně jako v jiných oblastech i v případě phishingu a podvržených webů se objevily nástroje, které celý proces dokáží do značné míry automatizovat. Mezi ty slavné patří MTM (Man-in-the-middle) phishing kit z roku 2007 objevený společností RSA, s jehož pomocí bylo možné přesvědčivě replikovat vybraný web a následně „odchytávat“ přihlašovací údaje.
Podobně jako v případě podvodných e-mailů i v oblasti podvržených webů se antivirové a bezpečnostní aplikace postupně začaly učit, jak potenciální „spoofing“ odhalit. Na to pro změnu útočníci reagovali tím, že kopie původních stránek dělali z valné části pomocí Flash technologie, aby antiviry nemohly snadno „číst“ a analyzovat jejich text.
Phishing se pochopitelně nemusí týkat jen e-mailů, zpráv na sociálních sítí a podvržených webů. Existují případy phishingu v prostředí zákaznických telefonních linek nebo phishing prováděný pomocí podvržených WiFi sítí. Na druhou stranu existují aktivity podobné spoofingu, které ale nemusí mít tak zločinný cíl – únosy prohlížeče či stránek, bomby ve vyhledávačích, spamdexování, mousetrapping a další, které by vydaly na samostatný díl o „měkkém“ hackingu.
Cena za phishing
Už před deseti lety – tedy v roce 2004 – se odhadovalo, že jen ve Spojených státech bylo phishingem poškozeno přes milion uživatelů a celkové škody dosáhly bezmála miliardy dolarů. O tři roky později vzrostla obě tato čísla přibližně na trojnásobek, nicméně podle některých se jednalo o značně nadsazená čísla. Přesto i relativně konzervativní odhady ze zprávy Microsoftu z počátku letošního roku uvádějí, že celosvětové škody napáchané phishingem byly v minulém roce až pět miliard dolarů.
Bylo by to mnohem víc, nebýt usilovného boje, který s phishingem vedou tvůrci spamových filtrů, bezpečnostního software ale i operačních systémů či prohlížečů. Vůbec nejlepší je ale vzdělávání uživatelů – řadu útoků lze odhalit (případně na ně nenaletět) a používání více faktorových identifikačních metod používajících různé kanály (například SMS nebo hardwarové klíče) výrazně zvyšuje úroveň bezpečnosti. Ani ty pochopitelně nepředstavují stoprocentní ochranu, nicméně jsou mnohem bezpečnější než klasická kombinace uživatelského jména a hesla (které navíc většina z nás používá na řadě míst stejné, nebo v drobných obměnách). Existují ale pochopitelně i kroky zpět – typickým příkladem mohou být aplikace mobilního bankovnictví, které bezpečnost často redukují na několikamístný pin (případně kombinovaný se zámkem přístroje).
