Phishing: přichází nová generace phishingu
Položme si otázku, co by se stalo, kdyby byl phishing útok realizován opravdu na profesionální úrovni.
To znamená, že by byla použita perfektní čeština, mail by neobsahoval žádné gramatické ani stylistické chyby a použitý jazyk a grafická úprava by odpovídala dosavadní komunikaci, kterou např. banka se svými klienty vede. V zaslaném mailu by byl uveden i funkční odkaz na webové stránky na internetu s EV certifikátem, e-mailová adresa a telefonní číslo pro ověření zaslané zprávy, na které by se dalo opravdu dovolat, a kde by byl klient ubezpečen, že je vše v pořádku. Kolik klientů by bylo postiženo v takovém případě? Jak by takový útok mohl vypadat, a na co by si měl klient dát pozor, to se pokusí nastínit tento článek.
První, co by si měl klient uvědomit, je, že slušná banka ho nebude nikdy prostřednictvím mailu nabádat k přihlášení se na své stránky a k zadání přihlašovacích údajů. Ale platí toto opravdu vždy? Řekl bych, že nikoliv. Co když v mailu bude uvedeno, že z nějakých důvodů by se měl klient přihlásit, aby si ověřil, že mu přihlášení stále funguje. V mailu bude zcela jistě uveden odkaz na první pohled se tvářící jako odkaz na stránky banky, ovšem pokud nad odkazem na chvíli ponecháte kurzor myši, tak uvidíte, kam budete po kliknutí opravdu přesměrováni. V mailu může být kromě toho i několik odkazů a všechny až na tento povedou skutečně na stránky dané banky.
Většina doposud rozeslaných phishingových mailů v ČR se až na výjimky naštěstí vyznačovala velice mizernou češtinou. Zaslané maily obsahovaly nejen gramatické a stylistické chyby, ale mnohé informace uvedené v mailu byly navíc i nesprávné. Úsměv mnohdy vyvolávaly i formulace a obraty v mailu použité. A přesto se našlo dost klientů, kteří klikli na odkaz v mailu a na stránce, na kterou byli přesměrováni, zadali své přihlašovací údaje. Představte si, že máte internetové bankovnictví u Xbanky, která ho provozuje na internetové adrese https://www.xbanka.cz/, a že vám jednoho dne prostě přijde e-mail, který se na první pohled tváří, že je opravdu od vaší finanční instituce.
A vězte, že pokud jde o samotný útok, nemusí mít tradiční podobu. Uvědomte si, že cílem útočníka je nejen přesměrovat co nejvíce uživatelů na své falešné stránky, ale zároveň vzbudit co nejmenší pozornost. Může si např. za tímto účelem založit na Facebooku nebo jiné komunitní síti účet a skupinu a v té se pak jen zmínit, že jeho banka připravuje novou službu nebo produkt. Zcela jistě kolem tohoto tématu vznikne nějaká diskuse. Časem pak útočník vloží odkaz na web, na kterém je možné novou službu vyzkoušet.
Tato informace může být doprovázena i komentářem, že daná služba je sice dostupná, ale zatím ne přímo pro veřejnost, ale především pro zaměstnance, a že k oficiálnímu představení dojde asi o měsíc později. Stejně tak může útočník vypustit informaci, že se daná banka rozhodla nabízet své služby celosvětově a že kopii svého webu umístila na doménu com, a že si každý může vyzkoušet, zdali mu vše bude fungovat i na těchto nových stránkách, kde je dostupná i nová verze. Všimněte si, že se jedná o úplně jiný přístup. Útočník oběť k ničemu nenutí, nevyhrožuje, že něco přestane fungovat, neomezuje platnost nabídky. Spoléhá jen čistě na lidskou zvědavost, a že se odkaz bude sám šířit.
Určitě víte, že si máte dávat pozor, na jakých stránkách se nacházíte, ale myslím, že vám nikdo dosud pořádně nevysvětlil, na co přesně. Jak taková podvodná adresa může vypadat a jak ji tedy odhalit? URL, která se zobrazují v adresním řádku prohlížeče, obvykle začínají http:// nebo https:// čtěte zleva doprava tak dlouho, dokud nenarazíte na první lomítko nebo konec URL. Tam se zastavte a začněte číst zprava doleva. Před první tečkou se nachází doména prvního řádu. Pokud je jiná než obvykle, např. místo .cz je tam .cc nebo se za druhou tečkou nachází něco jiného, než očekáváte, tak se s největší pravděpodobností nacházíte na stránkách podvodníka. Uvědomte si, že jako oddělovač domén se používá pouze tečka, nic jiného!
Pojďme se podívat, jak by takové odkazy mohly vypadat. V níže uvedených příkladech URL webu obsahuje správný název stránek banky, ale bohužel na špatném místě. Podstatné je, co se nachází před prvním lomítkem, tedy pokud URL nějaké obsahuje.
- https://109.123.223.76/www.xbanka.cz – zde bude uživatel přesměrován na web 109.123.223.76
- https://www.xbamka.cz/www.xbanka.cz – zde bude uživatel přesměrován na web www.xbamka.cz. To, co se nachází za lomítkem, je jen adresář na daném webu, a ten se může jmenovat jakkoliv.
- https://www.xbanka.cz@www.xbamka.cz – zde bude uživatel přesměrován na web www.xbamka.cz. To, co se nachází před zavináčem, to je jen uživatelské jméno na daném webu a to může být jakékoliv.
- https://www.xbanka.cz.www.xbamka.cz – zde bude uživatel přesměrován na web www.xbamka.cz
- https://www.xbanka.cz.login.cc – zde bude uživatel přesměrován na jiný web a to login.cc
- https://www.xbanka.cz-login.eu – zde bude uživatel přesměrován na jiný web a to cz-login.eu
Dále může útočník zaregistrovat doménu, která bude mít podobný název, a vězte, že byť bude adresa jen trochu odlišná, skončíte na úplně jiných stránkách, takže si URL pozorně prohlédněte.
- https://www.xbanka.com – útočník využívá skutečnosti, že banka má doménu 2. řádu xbanka registrovanou pouze na doméně cz. Nic mu tedy nebrání v tom zaregistrovat si doménu stejného jména na jiné doméně prvního řádu.
- https://www.xbanka.eu – totéž jako předchozí případ, ale pro mnohé věrohodnější
- https://www.xbamka.cz – místo písmene n je ve slově banka písmeno m
- https://www.xbnaka.cz – je pouze prohozeno pořadí dvou písmen
- https://wwwxbanka.cz – za www chybí tečka, takže název domény je jiný
- https://www-xbanka.cz – oddělovačem domén může být jen tečka, ne pomlčka
- https://www.x-banka.cz – je zde navíc pomlčka mezi písmeny x a b
- https://www.xbannka.cz – v názvu je o jedno písmeno více
- https://www.xbank.cz – v názvu je o jedno písmeno méně
- https://www.xbanca.cz – místo písmene k, je zde písmeno c
Poznámka: Na tomto místě bych chtěl také upozornit na skutečnost, že na podvodnou stránku se uživatel může dostat i tak, že se při ručním zadáváním adresy uklepne. Jedná se o tzv. typosquatting, což je jedna z forem cybersquattingu. I této skutečnosti podvodníci využívají a tyto domény si registrují především za účelem zobrazování reklam. Pokud vás problematika typosquattingu zajímá, dovoluji si vás odkázat na bakalářskou práci „Možné ohrožení elektronického bankovnictví“, kterou vypracoval Jan Antonín Kolář, a který mimo jiné doporučuje registraci překlepových domén.
Dalším způsobem, jak se oběť může dostat na podvodnou stránku je, že si útočník stáhne reklamní banner, který daná společnost vypustila na internet za účelem propagace své značky, produktu nebo služby a pozmění odkaz, který povede nikoliv na oficiální stránky, ale na jeho stránky. Upravený banner pak začne zobrazovat na jím hacknutých webech. Vzhledem k tomu, že banner bude na první pohled vypadat úplně stejně, tak si toho ani zadavatel reklamní kampaně nemusí všimnout.
Závěr: V tomto příspěvku jsme použili jako příklad fiktivní banku Xbank, ale může se prakticky jednat o jakýkoliv web a službu na internetu, ke které se uživatel hlásí. Výše uvedená doporučení, jak URL vyhodnocovat, jsou ale obecně platná. A proto znovu opakuji, vždy si zkontrolujte webovou adresu, a pokud máte nějaké pochybnosti, pokuste se dané informace nejprve ověřit.
Štítky: cybercrime
K článku “Phishing: přichází nová generace phishingu” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.