10. října ve večerních hodinách zaplavily e-mailové schránky podvodné e-maily, tvářící se jako zprávy z České spořitelny. Vybízejí k přihlášení na stránky služby „Servis24 – Internetbanking“ a zadání vstupních údajů. Jedná se o tzv. phishing, kterým se skupina podvodníků snaží získat identifikační údaje klientů banky a následně vykrást jejich účty.
Podle informací z České spořitelny jsou již klienti, kteří údaje na podvržené stránce vyplnili a banku o svém kroku informovali. Jejich počet není zatím znám.
Stránky, na které jsou důvěřiví klienti přesměrováni, jsou velmi vydařenou kopií stránek České spořitelny. Na první pohled tak klient může nabýt dojmu, že je na správné adrese a že se tedy nemá čeho obávat. Přesto lze odhalit řadu rozdílů, podle nichž přesměrování snadno zjistíte.
Poznámka: Vlevo – podvodné stránky, vpravo – pravé stránky ČS.
Některé rozdíly jsou patrné na první pohled. První je přímo v url (adrese odkazu). Zatímco pravé stránky ukazují jméno serveru servis24.cz, falešné jsou nahrazeny číselným odkazem. To sice může potenciální oběti varovat, ale pokud uvěřily podvodnému e-mailu, mohou to přisuzovat technickým potížím, na něž se e-mail odvolává.
Za povšimnutí stojí i to, že podvodná adresa běží na nezabezpečeném protokolu http, kdežto pravá adresa na zabezpečeném kanálu https. To lze ale poměrně snadno přehlédnout.
Druhý rozdíl je ve funkčnosti. Klienti, kteří využívají virtuální klávesnici, zjistí, že ani tato nefunguje. Opět to lze ale považovat za technickou chybu, byť v tomto případě by měla „sofistikovaná“ napodobenina být hlasitým varováním. Proč by banka dávala na stránky nefunkční napodobeninu klávesnice?
Nefunguje ani většina odkazů vedoucích ze stránky.
Některé antivirové programy jsou schopny nebezpečné stránky identifikovat a svého uživatele varovat.
Nejdůležitější rozdíl – a zásadní – je v certifikátu stránky. Každá banka má své stránky podepsané certifikátem, ověřeným některou certifikační autoritou (české banky nejčastěji VeriSign – případ i České spořitelny, nebo I. CA). Podvodné stránky certifikát nemají žádný. Přihlašovat se k internetovému bankovnictví na nepodepsaných stránkách je základní chyba.
Poznámka: Vlevo – podvodné stránky (nemají certifikát), vpravo – pravé stránky ČS (mají certifikát).
Pokud si nejste jisti, zda certifikát stránka má či nikoli a jaký je, nechte si zobrazit informace o stránce. Např. v prohlížeči MS Internet Explorer klikněte pravým tlačítkem myši na stránku, zvolte „Vlastnosti“ a následně „Certifikáty“, nebo u prohlížeče Firefox po kliknutí pravým tlačítkem myši zvolte „Informace o stránce“ a záložku „Zabezpečení“, z níž vede odkaz k certifikátům.
Podvodné stránky si mohou také nechat vystavit certifikát. Proto je u nich důležité zkontrolovat organizaci, pro kterou byl vydán, organizaci, která certifikát vydala, a datum platnosti certifikátu.
Základem bezpečnosti je ale v každém případě neodpovídání na nevyžádané e-maily z banky. Podobné e-maily jsou poměrně časté a e-mail v českém jazyce není zdaleka první. Nejčastějším terčem se stávají klienti Citibank, která registruje snad největší množství phishingových pokusů a která byla prvním terčem česky psaných phishingových e-mailů.
Pachatelé se připravovali
Českou spořitelnu si pachatelé nevybrali náhodou. Jedná se o největší českou retailovou banku, jejíž klienti v hojné míře využívají internetové bankovnictví. V nedávné době došlo k několika pokusům o zneužití účtů Komerční banky i České spořitelny, což mohlo být testování mnohem větší akce – ovšem souvislost není prokázána.
Pachatelé se pravděpodobně na akci dobře připravovali. Od pátku 29.9. se objevují nové e-maily, které hledají „spolupracovníky“, kteří mají v ČR bankovní účet a rychle jej mohou obsluhovat. Podle mých zkušeností se s největší pravděpodobností jedná o přípravu nové vlny podvodů,
uvedl již 30. září 2006 Jiří Nápravník ze společnosti Salamandr.
Podstatná informace v tomto e-mailu je to, že odesilatel hledá někoho, kdo má bankovní účet v ČR a pohotově z něho může došlé peníze vybrat a převést jiným způsobem do zahraničí,
zdůraznil Jiří Nápravník. Opět ale zatím nelze prokázat přímou souvislost mezi inzeráty a phishingovými e-maily. E-mail přišel z počítače v USA, přes e-mail server v Jižní Americe a stránka www.shipitinc.com je registrována pro čínskou firmu,
doplnil.
Najatí „spolupracovníci“, alias „bílí koně“, se následně využívají k výběru ukradených peněz a jejich převodu do zahraničí, odkud po dalších převodech a transakcích plynou do kapes organizátorů zločinu. Bílí koně, jakožto nejsnadněji polapitelné články zločinecké organizace, končí v lepším případě ve vězení (pokud nemají možnost odhalit totožnost dalších členů „společenství“), v horším případě na dnech vodních děl.
Kdo jsou pachatelé?
Odpověď na tuto otázku by rádo znalo více lidí a bohužel ji nejsem schopen poskytnout. Serverů, na které jsou přesměrovány podvržené stránky, je celá řada. Pachatelé se tak pojistili proti případnému zablokování jedné stránky. Stránky jsou umístěné na serverech v různých zemích.
Osobně jsem „otestoval“ stránky v Singapuru (202.157.132.58) a Shanghai (210.74.232.53), několik čtenářů blogu Františka Fuky označilo další server v Indii (210.211.139.140 – ten byl v době psaní tohoto článku nedostupný) a aktualita na serveru Lupa.cz hovoří též o Pákistánu. Samotné phishingové e-maily odcházejí z celého světa. To samozřejmě neznamená, že by pachatelé museli mít v celém světě komplice. Znamená to jen, že jejich vypátrání bude velmi obtížné…