Proč rhybaření funguje?

31. 3. 2006

Rhybaření neboli phishing je způsob získávání citlivých dat pomocí falešných emailů nebo webových stránek. Harvard a Berkeley společně vydaly studii, která ukazuje proč právě tyto útoky fungují (pdf). Její autoři postavili uživatele před webovou stránku a zeptali se, zda je pravá nebo falešná.

Přibližně 23 % uživatelů využilo k rozhodování jen samotný obsah stránky. Většina dotazovaných pak naprosto ignorovala SSL ukazatele a adresu (!) zadanou v prohlížeči. Někteří uživatelé se rozhodli na základě ikonky stránky (favicon) a obrázku malého visacího zámku na stránce.

Ještě se toho budeme muset hodně naučit.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

31. 3. 2006 16:25

Lukas Kalista (neregistrovaný)

Ja nevim, ale podle meho to je problem predevsim banky. A pokud u ni lze timto zpusobem ziskat pristup, rychle bych od ni mazal pryc...
Treba do eBanky takto pristup ziskat nejde, ne?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
31. 3. 2006 16:32

bez přezdívky

Takhle do banky přístup přímo nezískáte.
Ale když udělám stránky, které budou vypadat úplně stejně jako stránky eBanky (čemuž eBanka zabránit nemůže) a uživateli na ně pošlu odkaz, tak je budou někteří uživatelé považovat za pravé a tak od nich můžu získat citlivá data, např. přístupové údaje.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
31. 3. 2006 21:32

dan (neregistrovaný)

Pristupove udaje (kod z sifrovaciho klice pro pristup) vam v tomto pripade budou k nicemu, jakoukoli dalsi operaci je treba znovu autorizovat klicem k jehoz generovani se pouziji vlozene udaje (napriklad castka). Leda ze by uzivatel dobrovolne vplnil a autorizoval prikaz k uhrade...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 4. 2006 21:52

laoce (neregistrovaný)

No a ked budem frajer a urobim stranku ktora sa bude tvarit ako orig. stranka nejakej banky a poskytnem uzivatelovi moznost zadat autentifikacne udaje po ktorych zobrazim stranku zase na nerozoznanie od tej orig. a uzivatel napr. zada prikaz na uhradu ja ho v pohode akceptujem ako original a nasledne vsetko naozaj vykonam (ved mam vsetky potrebne udaje a session s orig. strankou je v mojich rukach)?? Budem tzv Man-in-the-middle ... to predsa ide lahko .. potom mam viacero moznosti ... bud ho nechat odhlasit..ale len z mojej stranky a session do banky nechat otvorenu...alebo ak je potrebne este dalsie autorizacne zariadenie na vykonanie prevodu tak prevod vykonam vtedy ked ho bude chciet vykonat nicnetusiaci klikac ale s inou sumou. Ked doverne poznam stranku danej banky da sa pekne vyhrat s tym co secko budem vediet na 100% suplovat...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2006 9:57

Jakub Hegenbart

Asi ho s jinou sumou nevykonáš, protože nebude sedět autorizační kód.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2006 10:13

Petr Krčmář

To je sice pravda, ale co takový postup: Uživatel chce převést 150 Kč na účet 123. Zadá to do falešné stránky. Ta ovšem bance pošle informace o převodu 10000 Kč na účet 456 a nechá mu poslat SMSku s novým autentizačním kódem. Teď přichází kritická fáze. V té SMS je nejen autorizační kód, ale i informace o tom, k čemu se vztahuje, takže jsou tam znovu částky, čísla účtů a podobně. Otázka ale zní, kolik procent lidí to skutečně z té SMS přečte a znovu překontroluje. Podle mě většina odscrolluje dolů, opíše kód a tečka. V tu chvíli jsi přibral 10000 Kč.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2006 10:41

anonymní

Já tedy nevím jak je to bez "kalkulačky" přes mobil ale pochybuju že tak jak píšete, ten kód vám příde na základě údajů které zadáte vy, né do formuláře, ale do aplikace v mobilu. Takže váš scénář je nepoužitelný, celý ten systém je naprosto robusní a odolný proti takovémuto útoku.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2006 10:45

Petr Krčmář

Samozřejmě se mýlíte. eBanku s mobilem používám už dlouho a skutečně SMS dorazí s údaji, které jste zadal do webového formuláře. Do mobilu zadáváte jen PIN, který vás k té SMS pustí.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2006 13:53

Jakub Hegenbart

Jenže já mám kalkulačku a do kalkulačky zadávám naprosto přesně odkud, kam, kolik a s jakými symboly peníze chci poslat. ;-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 4. 2006 9:46

Stefan (neregistrovaný)

Aha tak to jsem netušil. Co dodat? Snad jenom dobře tak všem kdo chtějí ušetřit za kalkulačku ? :O))) Ne to ne, příde mi to zvláštní, je to hrubé snížení bezpečnosti které vám asi nikdo nikde neřekne když se vás ptají jestli chcete kalkulačku nebo ne :O(
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 4. 2006 10:16

cooler (neregistrovaný)

Overovanie cez mobil je rovnako bezpecne ako kalkulacka, ked uzivatel neni blby a prekontroluje si udaje ktore overuje.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 4. 2006 9:48

Stefan (neregistrovaný)

Ještě mi to nedá a nezdá se mi to, můžete prosím popsat postup od otevření třeba nového převodu ?? Něco tam musí být, nevěřím že by takhle hrozně snížili bezpečnost.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 4. 2006 11:09

Petr Krčmář
Samozřejmě můžu:

vyplníte uživatelské jméno

přijde SMS, zadáte PIN, opíšete do browseru autentizační číslo

zadáte vytvoření nového příkazu

vyplníte formulář s číslem účtu, částkou a podobně

klepnete na autorizaci

přijde SMS, zadáte PIN, (možná) zkontrolujete údaje v SMS a opíšete z jejího konce autentizaci

příkaz odešlete

odhlašujete se

To je celý postup. Dvě SMSky, dvakrát zadávání PINu do mobilu. Nic víc není potřeba dělat. Jak říkám, je to bezpečné, pokud není uživatel hloupý a kontroluje obsah SMSek.

Obecně existují ale jednodušší formy útoku a získávání citlivých informací. Když na uživatele vyskočí varování o tom, že nebylo možno ověřit SSL certifikát, kolik procent lidí volá do banky a ptá se na fingerprinty? Já to dělám, moje přítelkyně taky, vy možná ano, ale BFU určitě ne.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 4. 2006 10:19

cooler (neregistrovaný)

Takto to funguje v ebanke. V csob je to ale uplne inak. Zalogujete sa iba pod userom a heslom. Ked zadate prikaz k uhrade dojde normalnou smskou kod (IBA KOD!), ktory nasledne zadate do formulara. Takze je to uplne nadherne napadnutelne systemom MitM
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2006 10:02

Jakub Hegenbart

Jo, mimochodem, jak obejdeš kontrolu autenticity webových stánek eBanky, která se po přihlášení taky ověruje?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2006 10:42

anonymní

Osobně používám Ebanku mnoho let ale tuhle kontrolu prostě nedělám, musí jí udělat uživatel a ten je jak známo líný
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2006 10:46

Petr Krčmář

Přesně tak, musíte si jako vzorek představit Běžného Frantu Uživatele, který ani netuší, že je něco takového možné, natožpak že je to potřeba.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 4. 2006 1:02

TheJumbo (neregistrovaný)

Odbornik sice nejsem, ale tak nejak laicky bych cekal, ze rhybarici stranka si rekne hlavne o udaje o kreditni karte a zneuzije pak je.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
31. 3. 2006 16:51

bez přezdívky

proc myslite ze by neslo aplikovat phishing na ebanku? pokud rhybar zneuzije naivity klienta ebanky, tak zjiska byt' casove oemzeny pristup.

staci kdyz za Vas provede prvni cast autorizace a pak si Vam rekne o rozkodovani. pokud bude uspesny a stihne tyto kroky v historicky kratke dobe, zjiska docasne pristup.
timto nechci nikterak znevazovat autorizacni proceduru ebanky (sam ji s vdecnosti pouzivam). znacne minimalizuje mnohe bezpecnostini rizika, za velmi nizkou ztratu pohodli. nekdy ale ani to nestaci.

imho to neni problem banky. to je jako pustit zlodeje do baraku a rici ze je to problem alarmu, protoze alarm nerozpoznal, ze se nejedna o pracovnika plynaren, prestoze neexistuje plynova pripojka.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
31. 3. 2006 22:33

drin (neregistrovaný)

...to by se mu taky muselo podarit poslat klic na mobil, jehoz cislo by musel uhodnout, nebo vygenerovat nejaky pouzitelny klic pro kalkulacku 8-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 4. 2006 8:42

anonymní

No, mohl by komunikovat s puvodnim rozhranim, kteremu by preposlal vyplnene uzivatelske cislo. Ale muselo by to byt dobre pripravene.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 4. 2006 11:01

51>< (neregistrovaný)

to phising vetsinou bejva ;))
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 4. 2006 1:29

Lukas Kalista (neregistrovaný)

Podle meho to nepujde, protoze nez zakaznik vyplni udaje k platbe, na ktere musi byt take vygenerovany kod, prestane pro zmenu platit pristupovy kod k uctu (je casove omezeny). Navic proc by uzivatel potvrzoval nejakou platbu. A bez toho si zase zadne penize neprevedete, protoze nebudete mit aktivacni kod.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 4. 2006 7:57

Bobinnho

Podle me to nejde. Mam taky eBanku a mobilni klic.
Uz jenom ziskat cislo mobilu a pak cekat, kdy se zrovna rozhodnu delat operace pres web (protoze dost casto je delam jenom z telefonu). Navic predpokladam, ze banky provozujici i-banking (tudiz skoro vsechny) maji spustenu nejakou perzistentni kontrolu toho, zda napr. DNS zaznamy na siti odkazuji na opravdu jejich stranky.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 4. 2006 11:59

anonymní

Jde všechno, rozdíl je jen v usílí na to vynaloženém. A kontrola jejich dns je zbytečná, protože pravděpodobně mají dns server pod svou kontrolou. A myslím, že to bylo myšleno spíš něco jako ebanka.zde.cz ..
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 4. 2006 12:51

anonymní

No podle me bude radove mensi problem zmenit delegaci z .cz nez nabourat se do bankovniho systemu, takze podvrzeni domeny zase tak nerealne neni.
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Líbí

Nelíbí

Petr Krčmář

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář

Proč rhybaření funguje?

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář

Dále u nás najdete

Výrobce koupelnového vybavení Laufen čeká oživení poptávky

Vesna a další, kdo přežili volný pád z několika kilometrů

ČT musela upravit reportáž v iVysílání

Motání hlavy může být způsobeno problémy s krčními tepnami

Plavání s hlavou nad vodou vám ubližuje

Labioplastika neslouží jen vyššímu sebevědomí

Vypněte si sledování v novém Firefoxu

Jednu vanilkovou, nebo spíš kopeček slaného karamelu?

Změny v českém maloobchodu, Electro World se mění na Datart

Výrobci nemusí udávat přesné složení parfémů

„Letní sádra“ sice může do vody, na plavání a tobogány ale zapomeňte

Revmatická horečka už nepatří mezi běžná onemocnění

Trdlokafe otevřelo první pobočku v USA

Musk: Humanoidní roboty začne Tesla používat už příští rok

Jejich čaje mají poctivé složení i originální názvy

Propagační leták v Canvě zvládnete za pár minut

Proč vystavujeme zápočtový list a proč ho vyžadujeme?

Češi spoluvyvíjí technologii, která může změnit mobilní sítě

Albert testuje umělou inteligenci, ušetří čas pokladním i zákazníkům

S haluxy můžete mít boty na pojišťovnu