Když ony občas ty organizace (banky...) tomu jsou naproti a "nezablokují" si doménu, která přímo vybízí k tomu, aby ji nějakej rhybář
použil (buď klasický typo-squating
s přelkepem, nebo opticky podobná varianta). A když je člověk upozorní, dostane zdvořilou odpověď, že to předají odborníkům...
Schválně zkuste: "rnoneta.cz", "rnbank.cz", "rnojebanka.cz" - ta kombinace "r"+"n" prostě ve spoustě fontů vypadá jako "m".
Komerčka má plus alespoň za "ojebanka.cz" - to člověka přesměruje na jejich "login", žel, bez upozornění, takže úplně stejně, jako by to dělal podvodník....
Zrovna u těch kombinací „rn“ je nepravděpodobné, že by to někdo napsal, spíš by to byl cílený útok. A na to stačí monitorovat vznik webů na takových adresách (z CT listu) a nechat to zablokovat. V případě chybějícího prvního písmena nebo častěji třeba pomlčka/bez-pomlčky se nejspíš stává, že to někdo omylem napíše – pak je to služba pro zákazníka, že je rovnou přesměrován na správný web.
Jenže mně jde právě o ty cílené útoky
.
Mám plný spambox
zpráv od různých bank: tento týden mi zablokovali účty v Monetě, Raiffeisen bank, Spořitelně, ČSOB, Poštovní spořitelně (!), AirBank, Fio - a to jsem u nich nikdy žádnej účet neměl!
Jednou se třeba trefí, a až mi přijde informace od "rnbank.cz", že je potřeba se okamžitě přihlásit a zablokovat si kartu, protože s ní někdo nakupuje v Číně ajfouny na kila, honem na to kliknu - nebo zavolám na uvedené telefonní číslo, kde mi to milá operátorka potvrdí a ještě mne navede, jak si můžu udělat sám.
Jasně - těm bankám to může být jedno, odnesou to jen jejich klienti - a to ještě jenom ti, kteří si nepojistili internetová rizika
, pořádně si nepřečetli všechny podmínky a bezpečnostní upozornění, a navíc blbě vidí. Ale myslím, že za ty peníze, které na svých klientech vydělají, by takovou doménu vyblokovat mohli. Zlounům by to alespoň trošku zkomplikovalo práci.
A jak by jste si takove blokovani predstavoval? Ze si banka zaregistruje 3400 domen ktere muzou vzniknout nejakou kombinaci jejiho jmena? A co kdyz utocnik prida interenetbanking-mbank.cz? A dalsich 100000 moznych kombinaci? A co kdyz misto .cz pouzijou .eu? Tohle zadna firma nema sanci efektivne resit, jedine mozne reseni je nechat lidem plnou odpovednost a jejich edukace o konkretni domene.
Jednak banky učí své klienty, že nemají klikat v e-mailu na odkaz na bankovní web a že pokud je v e-mailu odkaz na banku, je ten e-mail falešný.
Za druhé, nedává smysl předem si zaregistrovat všechny možné domény, protože i kdybyste jich vymyslel tisíce, podvodníci vymyslí další. Jediný reálný postup je sledovat, jak ty weby vznikají (což naštěstí jde díky CT listu), a pak je hned blokovat.
Těch kombinací je hodně, ale hlavně proto, že ty banky samy používají spousty domén - takže pak nevíte, co je pravé a co podvodné (Komerčka se se svým mojebanka.cz
je přímo ukázková.)
Kdyby důsledně používaly adresy ve stylu mbank.cz
, stačí registrovat v podstatě jen nejběžnější záměny a chytáky typu rnbank.cz
, www-mbank.cz
a třeba login-mbank.cz
(používají-li login.mbank.cz
). Na takové domény bych pak umístil statickou webovku
s upozorněním, že adresa není úplně správná a po chvíli přesměrováním na hlavní stránku. Takových variant už je podstatně méně a věřím, že udržovat by se to dalo.
Ono sledovat seznamy a reagovat až na situaci, kdy si tu doménu někdo zkusí registrovat, může být pozdě.
Teď je pátek večer. Když budu mít připravenou podvodnou prezentaci, registruji si doménu, za hodinu mám funkční past, v sedm ráno rozešlu návnadu (banky obvykle posílají maily touhle dobou, to není podezřelé...) - a než to v pondělí někdo začne řešit, může být pár kont vybílených.
První, kdo se o tom dozví, bude jejich call centrum
, od naštvaných klientů. Upozornění o registraci domény si zřejmě někdo přečte nejdřív v pondělí...
Banky sice klienty vychovávají, posílají e-maily, varují na stránkách, rozesílají edukační SMS, ale, slovy klasika: Je to marný, je to marný... - je to marný!
Mimochodem: www-csas.cz
přesměruje (bez upozornění) na stránky Spořitelny, www-mbank.cz
odkazuje na mbank.ehub.cz
s certifikátem od Let'sEncrypt a jakousi prezentací osobního konta (což "vypadá podezřele"). Další namátkově zkoušené jsou volné...
Proč by na to někdo měl reagovat až v pondělí ráno? Myslíte, že bankovní systémy nemají nonstop dohled?
Jenom z toho, co jste napsal, se dají generovat názvy login-mbakn.cz, online-mbank.cz, mbank.online, login-mbank,online, prihlaseni-mbank.cz, ucet-mbank.cz, e-mbank.cz, smart-mbank.cz, dál to můžete kombinovat s TLD .com, .eu., .bank, se slovy pujcka, hypoteka, uver, splatka, splatky, ucet, pojisteni, a další a další. Pak můžete začít přidávat překlepy a jenom z tohohle se dostanete na stovky domén.
Podívejte se na ten seznam zablokovaných domén, kolik je tam variant domén s MPSV, a to tam nejsou domény mimo TLD .cz.
No, jakej mají (některé) naše banky dohled
trochu povědomí mám. Přesto jsem optimisticky napsal, že by se to dozvěděli už v pondělí.
Stále si myslím, že kdyby důsledně používaly české domény a pouze varianty typu mbank.cz
a www.mbank.cz
, byla by ta výchova klientů podstatně jednodušší a potřebných blokování možná něco přes deset.
Chápu, že phishingové kampaně mohou používat stovky variant, ale vtip spočívá i v tom, že jsou zcela záměrně nastavené tak, aby je jen průměrně znalý a průměrně obezřetný adresát snadno detekoval - protože hloupá oběť je prostě snadnějším cílem.
Pravidlo jen
tu laťku zase o kus sníží, protože mbank.cz
nebo www.mbank.cz
to pochopí i blbej jako já
. ;o)