Boj s phishingem
Aleš Padrta
Computerworld, 28. ledna 2011
Čisté sociální inženýrství popsané v minulém díle tohoto seriálu sice funguje velmi pěkně, ale s postupem času dochází ke zvyšování počtu informovaných uživatelů, kteří odmítají komukoliv sdělovat své heslo. Proto se na scéně objevuje sofistikovanější způsob vycházející z jednoduché úvahy: Uživatel sice může odmítnout sdělit heslo, ale vzhledem k tomu, že jej používá pro přihlašování, stačí jej přimět k návštěvě nastrčeného serveru, který si údaje uloží.
Phishing
Samotný pojem phishing je zkratka z anglického termínu password harvesting, tj. sklízení hesel. Výsledek je velmi nápadně podobný anglickému slovíčku pro rybaření (fishing) a na této slovní hříčce stojí také volný překlad rhybaření, se kterým se lze občas setkat v českém jazyce.
Základní princip
Pro správné fungování phishingu je třeba nejprve připravit server, který bude co nejvěrněji napodobovat uživatelem používanou službu, nejčastěji jde o webové stránky bank, zajímavých informačních systémů a podobně. Uživatel si bude myslet, že se přihlašuje k regulérní službě, a nic zlého netuše zadá své jméno a heslo. Phishingová stránka si je následně uloží nebo rovnou pošle svému majiteli. Uživateli je pak zobrazeno hlášení, že se přihlášení nepovedlo, server je nedostupný nebo je přesměrován na originální stránku, aby vůbec nepoznal, že byl podveden.
Neméně důležitým krokem je pak nalákání uživatele na podvrženou stránku. Technicky je možné jej obalamutit manipulací s překladem doménových jmen na IP adresu (tzv. pharming), kdy je uživatel po zadání správného URL připojen k nesprávnému serveru. Útočník se může zaměřit jak na příslušný DNS server, tak i přímo na stanici uživatele, kde lze také lokálně definovat vybrané dvojice IP adresa - doménové jméno. Obě varianty jsou naznačeny na prvním obrázku.
![[Pharming – manipulace s DNS]](cw03_obrazek1.png)
Prakticky je však mnohem jednodušší využít metody sociálního inženýrství z minulého dílu a uživateli podstrčit vhodný odkaz, typicky v patřičně formulovaném e-mailu. Nicméně pro šíření phishingových odkazů lze využívat také další kanály, jako například instant messengery, diskuzní fóra a sociální sítě. Zprávy posílané ve formátu HTML, které umožňují zobrazit u hypertextového odkazu libovolný text, a zamaskovat tak skutečný cíl odkazu, phishingovým trikům velmi nahrávají.
Příklad z praxe
Typický phishingový e-mail je na druhém obrázku. Autor zprávy předpokládá, že adresát je uživatelem služby PayPal, a klikne na nabízený odkaz, aby se podíval, jaké bezpečnostní hrozby se týkají jeho účtu. Pozorný uživatel by si však už na první pohled všiml několika typických znaků pro phishing:
- relativně naléhavý tón zprávy, který očekává okamžitou reakci,
- odesílatel má sice ve svém popisku „PayPal Security Service“, ale jeho adresa je ve skutečnosti na free-mailovém serveru,
- URL v hypertextovém odkazu vede do úplně jiné domény.
![[Příklad phishingového emailu]](cw03_obrazek2.png)
Na třetím obrázku je pak srovnána originální stránka s její phishingovou variantou. Opticky vypadají velmi podobně, takže vizuální porovnání rozhodně není nejlepší způsob, jak phishing odhalit.
![[Porovnání podvržené stránky s
originální]](cw03_obrazek3a.png)
V první řadě by uživatele měla varovat absence zabezpečené komunikace (zde pouze HTTP), kterou současné webové prohlížeče umí pěkně indikovat ikonkami visacích zámků, podbarvením URL apod. Přístupové údaje by vždy měly putovat výhradně zabezpečeným kanálem, takže poučený uživatel takovouto stránku ihned opustí.
Phishing v číslech
Zajímavé statistiky lze nalézt na stránkách komunity PhishTank, která se zabývá nekončícím bojem s rhybařením. Každý měsíc je ověřena existence zhruba deseti tisíc phishingových stránek, které jsou zaměřeny zejména na finanční systémy a sociální sítě. Vlastní phishingové servery jsou fyzicky rozmístěny po celém světě, dlouhodobě však v této statistice vede USA.
| Imitovaná stránka | Počet |
|---|---|
| Paypal | 4 723 |
| 1 214 | |
| Zynga | 590 |
| Vnitřní finanční systémy | 492 |
| Orkut | 379 |
Doporučení
Většina phishingových e-mailů není příliš propracovaná a podvod jde relativně snadno odhalit na první pohled. Občas se ale objeví sofistikovanější verze, která vyžaduje podrobnější prozkoumání.
V první řadě je třeba mít zabezpečený počítač, aby malware nemohl manipulovat s DNS a způsobem ověřování certifikátů. Dále je vhodné zobrazovat e-maily jako čistý text bez HTML nebo si alespoň každý odkaz pečlivě prověřit. Osvědčeným postupem je neklikat přímo na odkaz v e-mailu, ale známé URL do adresního řádku ručně přepsat. Každopádně jedinou jistotu ohledně navštívené stránky dává příslušný certifikát, kterým se server prokazuje. Je třeba se ujistit, že jej webová stránka používá (HTTPS), že byl vystaven pro danou stránku, nevypršela jeho platnost a je podepsán důvěryhodnou certifikační autoritou (tyto podmínky současné prohlížeče kontrolují automaticky) a také že byl vydán pro správnou společnost.
O autorovi
Aleš Padrta
Autor je řešitelem aktivity CESNET CSIRT sdružení CESNET.