Close
PHISHING – STÁLE AKTUÁLNA HROZBA
Michal Juranyi

PHISHING – STÁLE AKTUÁLNA HROZBA

Phishing – pojem, s ktorým sa už stretla väčšina internetových používateľov, no stále predstavuje významnú hrozbu v prostredí internetu. V tomto blogu by sme sa s Vami radi podelili o naše skúsenosti s phishingom, priblížili používané metódy útokov a načrtli možné spôsoby obrany.

Princípy a metódy phishingových útokov

Phishing – slovná hračka s anglickým slovom fishing (lov rýb). Pri phishingu ide zväčša o lov hesiel – útoky spočívajú najmä v získavaní citlivých údajov uvedením obetí do omylu – navodením dojmu, že citlivé údaje poskytujú legitímnej autorite. Najčastejšie zneužívaným komunikačným kanálom je v tomto prípade e-mail, v dnešnej dobe sa však vyskytujú aj prípady využitia textových SMS správ.

Kľúčom k úspechu phishingového útoku je zlyhanie ľudského faktora, pričom jeho následky môžu spôsobiť obetiam nemalú finančnú ujmu, zneužitie identity, či osobných údajov. Táto kombinácia robí z phishingu jednu z najnebezpečnejších druhov útoku, najmä medzi laickou verejnosťou. Technické prostriedky, ako bezpečnostný softvér, digitálne certifikáty, či elektronické podpisy môžu pomôcť odhaliť útok, no nie je možné spoľahlivo zabrániť používateľovi stať sa obeťou. Najčastejšie dnes používanou metódou phishingových útokov je rozposlanie e-mailu, ktorý vyzerá ako keby pochádzal od dôveryhodnej inštitúcie (banka, kuriérska spoločnosť, sociálna sieť a pod.). Pre zvýšenie dôveryhodnosti sa okrem dôsledne okopírovaného dizajnu používa aj dôveryhodne vyzerajúci odosielateľ (v e-mailovej adrese odosielateľa figuruje názov zneužitej inštitúcie). A keďže sa od obete očakáva rýchla reakcia (zverenie citlivých údajov), treba ju podporiť zdanlivo závažným dôvodom – zvýšenie bezpečnosti bankového účtu, zmeškaná zásielka, atď. Potom už stačí len doplniť odkaz na stránku, kde treba potrebné údaje zadať a správa je kompletná. Stránka, na ktorú odkaz s správe smeruje, je samozrejme vytvorená a kontrolovaná útočníkom. Aby však navodená situácia nestratila na vážnosti, podvodná stránka je takisto zvyčajne vernou kópiou tej pravej. Po pár kliknutiach je možné takúto stránku často jednoducho odhaliť, o tom ale neskôr.

História a vývoj

Počiatky phishingu siahajú do 90-tych rokov, keď sa začal internet rozširovať aj mimo akademickej a výskumnej sféry. Malo to dva dôvody. Jednak vznikol web, ktorý poskytoval rôzne služby, ku ktorým sa útočníkom oplatilo získať prístup a okrem toho rozšírenie internetu medzi laickou verejnosťou znamenalo obrovský nárast potenciálnych obetí, ktorých neznalosť a neskúsenosť bolo možné využiť.

V počiatkoch phishingu bol celý „útok“ uskutočňovaný iba pomocou e-mailu – obeť odpovedala na podvodný e-mail uvedením svojich citlivých údajov. Postupne sa zavádzali nové metódy, pričom doteraz najpoužívanejšia je kombinácia e-mailu, ktorý slúži na uvedenie obete do omylu a vytvorenie nenápadného nátlaku na ďalšiu akciu a podvodnej internetovej stránky, ktorá slúži na samotné odcudzenie údajov – obeť ich dobrovoľne vyplní. V tejto oblasti útočníci dokonca nielen že nemusia, ale ani nemôžu sami prichádzať s príliš novými inovatívnymi metódami. Musia totiž čo najvernejšie kopírovať aktuálne trendy v internetových službách, aby si zachovali nenápadnosť. Sociálny aspekt útoku dokonca ostáva takmer nemenný, pretože v tomto smere sa ľudia veľmi nevyvíjajú. Mohli sme sledovať trend zavádzania grafických e-mailov, rozkvet sociálnych sietí v komunikácii, príchod SMS notifikácií, rozmach využívania kuriérskych služieb bežnými občanmi, lokalizácie služieb v neanglicky hovoriacich krajinách a dnes dokonca aj zabezpečenia stránok protokolom HTTPS. Dnes tak ani na Slovensku nie je nič nezvyčajné, že podvodná stránka s Vami komunikuje v rodnom jazyku, bez vážnych nedostatkov, ba dokonca, že sa Vám pri jej prehliadaní zobrazí povestný zámok, signalizujúci zabezpečené spojenie. Obozretnosti preto nikdy nie je dosť a preto rovnako, ako neuveríte čokoľvek náhodným okoloidúcim na ulici, aj v digitálnom svete treba byť opatrný a to o to viac, že v tomto prípade absentuje fyzický kontakt, ktorý môže čo-to napovedať.

Ako sa brániť?

Obrana proti phishingovým útokom nie je z pohľadu technických prostriedkov triviálna. V tomto prípade, na rozdiel od vírusov, nepomôže aktualizovaný operačný systém a dokonca ani kvalitný bezpečnostný softvér nie je zárukou úspechu, i keď môže pomôcť prebudiť používateľa z bezmyšlienkovitého klikania a upozorniť ho na potenciálne číhajúce nebezpečenstvo. V ranných dobách phishingu bola obrana relatívne jednoduchá – stačilo neklikať na odkazy v cudzojazyčných e-mailoch a v prípade internet bankingu sa spoliehať na symbol zámku, ktorý značil dôveryhodné zabezpečené spojenie. Dnes je situácia oveľa komplikovanejšia – internet je súčasťou nášho každodenného života a tak pri využívaní množstva služieb cez neho poskytovaných, často zabúdame na zdravý rozum. Útočníkom to množstvo služieb umožňuje jednoduchšie zostať nenápadnými a tiež sa zvyšuje pravdepodobnosť, že ak zneužijú identitu náhodnej služby pre účely phishingu, trafia niektorú zo služieb, ktorú potenciálna obeť skutočne používa.

Ochrana zákazníkov z pohľadu ISP nie je dosť dobre možná. Vyžadovalo by si to neustále monitorovanie sieťovej prevádzky zákazníkov a filtrovanie ich e-mailovej komunikácie. Monitorovanie a filtrovanie internetovej prevádzky by si vyžadovalo nemalé náklady a vzhľadom na krátku životnosť phishingových útokov, by nemuselo priniesť želané výsledky, ba dokonca, mohlo by spôsobiť nedostupnosť neškodných stránok. Navyše dnes čoraz častejšie použitie šifrovaného spojenia takéto aktivity ISP značne sťažuje, až znemožňuje. S ochranou e-mailovej komunikácie potom môže pomôcť iba prevádzkovateľ e-mailových služieb, ktorý v dnešnej dobe často nie je totožný s poskytovateľom internetového pripojenia. Ochrániť používateľov sa v malej miere môžu pokúsiť aj prevádzkovatelia internetových služieb, ktorí vedia svojim používateľom poskytnúť zabezpečenú komunikáciu s webovým serverom cez HTTPS, či podpisovanie e-mailových správ odosielaných svojim používateľom. Okrem toho môžu nakúpiť domény podobné ich hlavnej doméne, aby sa vyhli sprevádzkovaniu podvodnej stránky na takejto doméne.

Najlepšia je v tomto smere individuálna ochrana jednotlivých používateľov, pri ktorej samozrejme môže pomôcť aj bezpečnostný softvér, ktorý do určitej miery môže nahradiť chýbajúce vedomosti používateľa. Odborníci v IT nepotrebujú na ochranu pred takýmto druhom útokov žiaden špecializovaný softvér, riadia sa iba svojím rozumom a skúsenosťami. V nemalej miere to aj bez veľkých skúseností, môže urobiť každý z nás a vyhnúť sa tak útoku. Stačí sa vo vhodnej chvíli zastaviť a spomenúť si na nasledujúce body:

  • poctivo si všimnúť odosielateľa e-mailu a doménu, z ktorej bol odoslaný (nie len meno, ale aj adresu – mala by obsahovať doménu, ktorú používa samotná služba/spoločnosť)
  • v prípade našej spoločnosti by odosielateľ mal byť v tvare @vnet.eu, nie napr. @vnet.podvodnik.sk
  • overiť, si, či je správa elektronicky podpísaná 
  • všimnúť si, či kvalita textu zodpovedá odosielateľovi (veľké spoločnosti, obzvlášť banky by mali odosielať pekne štylizované e-maily bez gramatických chýb a preklepov)
  • v prípade, že e-mail od nás žiada vykonať nejakú akciu, niekoľko krát sa nad tým zamyslieť (legitímne služby od Vás nikdy nebudú chcieť, aby ste e-mailom zasielali citlivé informácie)
  • ak je súčasťou správy výrazný odkaz/tlačidlo, na ktoré treba kliknúť, overiť si kam odkaz smeruje a v prípade potreby navštíviť stránku priamo v novom okne, bez použitia odkazu, napísaním Vám známej adresy
  • odkaz smerujúci na vnet.zone.customer.fx.com by mal byť okamžitým varovaním (cieľom prevádzkovateľov internetových služieb nie je vytvoriť čo najzložitejšiu adresu pre služby bežne využívané zákazníkmi)
  • skontrolovať prípadné preklepy v adrese stránky (napr. facebnook.com, www.gogle.com, či facebook.net)
  • overiť údaje v SSL certifikáte
  • kliknúť na niekoľko informačných odkazov na podozrivej stránke (na podvodných stránkach smerujú pre jednoduchosť naspäť na „prihlasovaciu“ stránku)
  • v prípade pochybností je vždy možné využiť nezávislý kanál a napr. telefonicky si overiť situáciu priamo v dotknutej inštitúcii

Nové trendy

Ako som spomenul v predchádzajúcich častiach, nové trendy vo phishingu v podstate nepredstavujú žiadne veľké inovácie, iba dôslednejšie napodobňovanie skutočných webov, za účelom lepšieho maskovania. V posledných rokoch išlo napríklad o zavedenie HTTPS na podvodných stránkach, čo umožnil najmä vznik služieb ako Let’s Encrypt, ktoré umožňujú komukoľvek jednoducho a rýchlo zriadiť SSL certifikát. Zabezpečenie tak v tomto prípade znamená iba to, že útočníkovi odovzdáte svoje údaje zabezpečenou cestou a nikto ďalší vás pri tom nebude „odpočúvať“.

Falošná stránka PayPal využívajúca zabezpečovacie spojenie

Druhou novinkou, ktorú útočníci začali zneužívať, sú tzv. IDN domény – domény, ktoré môžu obsahovať diakritiku. Toto umožnilo registrovať domény s iným názvom, ako má oficiálna doména, ktoré sa v internetovom prehliadači zobrazujú takmer alebo úplne totožne. Takéto maskovanie nemusia spoľahlivo odhaliť ani skúsení používatelia, či menej skúsení profesionáli. Na obrázku nižšie sú dve zabezpečené domény. Iba jedna z nich je pravá. Je to tá druhá (všimnite si písmeno „l“ v slove „apple“).

 

Útočníci sú pri phishingu čím ďalej, tým dôslednejší pri falšovaní internetových stránok. Čo sa však veľmi nemení, sú základné možnosti obrany a nutnosť byť obozretný. 

Zdroje:

[1]: https://www.root.cz/clanky/postrehy-z-bezpecnosti-vzdyt-tam-byla-ta-zelena-ikonka/

[2]: https://www.root.cz/clanky/phishingovy-utok-vymenou-idn-znaku-v-domene-znovu-na-scene/

[3]: https://www.root.cz/clanky/cesky-phishing-v-akci/

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Close