Spočítejte si...

Zavřít

Phishing a rhybaření: Chytněte si českou bankovní rybičku

Podvodné e-maily snažící se vylákat přihlašovací údaje do internetového bankovnictví Servis 24 od České spořitelny v posledních 14 dnech nabraly na síle. Přestože jsou některé z nich zpracované velmi amatérsky, nevyplatí se podceňovat jejich nebezpečí.

Během posledních 14 dnů do redakce Měšce dorazilo 6 různých e-mailů, které se snažily vylákat přihlašovací údaje od klientů České spořitelny. Na odkazy uvedené v mailech jsem okamžitě kliknul, ale téměř všechny byly neaktivní. Vypadá to tak spíše na monitoring situace, než na cílený útok.

Tři typy podvodných e-mailů

CS_Phishing
CS_Phishing3
CS_Phishing2

Bylo otázkou času, kdy i klienti českých bank budou čelit těmto útokům. Všimněte si jedné maličkosti, podobné snahy o podvod postihují velké a známé společnosti s velkým množstvím klientů. Důvod je prostý: statisticky se vždy někdo chytí a celý útok je tak efektivnější, než se snažit lákat klienty malé finanční instituce.

Anketa

Došel vám podvodný mail lákající údaje pro klienty České spořitelny?


Česká spořitelna potřetí

V případě České spořitelny jde o opakovaný pokus o podvod. E-maily, které jsme obdrželi do redakční schránky, byly dvojího typu: čtyři byly v angličtině a jen dva byly v českém jazyce, ovšem s chybami v diakritice. To potvrzuje moji domněnku, že čeština je svojí složitostí prozatím významnou bariérou pro cizince, kteří chtějí zkoušet útoky na české klienty. Navíc v případě klientů České spořitelny je bariérou i angličtina. Jazykově vzdělaní čeští klienti České spořitelny na anglicky psaný e-mail nenaletí a ostatní si ho hned smažou, protože mu nerozumějí. Bezpečnostní prověrku těchto mailů možná provedli i někteří provozovatelé e-mailových serverů, například na můj soukromý e-mail u hotmail.com mnou přeposlaný podvodný e-mail nedorazil a byl automaticky odstraněn.

Stačí jen přemýšlet

Bránit se podobným podvodným e-mailům je velmi snadné. Stačí běžný selský rozum a dobře zabezpečený počítač. Tato kombinace vám nedovolí udělat chybu. Při běžné kontrole e-mailu sami uvidíte, že odesílatelem není Česká spořitelna či jiná banka a před kliknutím na odkaz lze rovněž snadno zjistit, kam skutečně vede. A když už opravdu kliknete, kvalitní bezpečnostní nástroje ve vašem počítači se postarají za vás. Internet Explorer 7 pod hlavičkou Microsoftu mě informoval na možnost podvodného webu a ve Firefoxu 3 mě na web nepustil doplněk Site Advisor. Opera odkaz zablokovala s odkazem na podezření podvodného webu, o kterém informuje Google. Pouze tvrdé ignorování těchto varování mi umožnilo odkazy otevřít. A po otevření se nestalo nic, jen v jednom případě došlo k zobrazení anglické verze stránek České spořitelny, pochopitelně ale ne na oficiálním webu. To opět ukazuje na podezření, že šlo spíše o test, než o cílený útok.

CS_Phishing4

Bezpečná a složitá čeština

Česká spořitelna byla cílem masivního útoku hlavně v říjnu 2006. Tehdy jsem ve večerních hodinách 11. října, jako mnoho dalších uživatelů internetu, obdržel tento mail:

Dobry den vazeni klienti!

Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu. S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem.

Do 1.listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu.

Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich.

Vy jste byl (a) zvolen (a) jako jeden z ucastniku finalniho stadia testovani systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz https://www.servis24.cz/ebanking-s24/ a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system.

V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti. Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji.

Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard.

S pozdravem, Oddeleni Banky pro ochranu pred frodem

Přečtení tohoto podvodného mailu vzbuzuje úsměvy, ale přesto se našlo okolo 50 klientů, kteří na uvedený odkaz skutečně klikli a údaje vyplnili. Nenechejte se zmást, zmiňovaný odkaz po kliknutí vedl jinam, než je uvedeno v tomto textu. Tehdejší útok byl vedený z jistého asijského počítače, kam vedla i IP adresa. Jen o půl roku později v březnu 2007 informovala Česká spořitelna v tiskové zprávě, že neznámí útočníci se opět pokoušeli vylákat údaje od jejich klientů a tentokrát i za pomoci počítačových červů (pharming).

V roce 2006 zkoušeli podvodníci lákat i klienty české Citibank

Phishing - e-mail Citibank

Ohrožená skupina řetězových klientů

Pravidelný čtenář Měšce při obdržení podobných e-mailů nejspíše na klávesnici zmáčkne tlačítko „DELETE“, jenže nestačil jsem ještě ani dopsat tento článek a můj kamarád mi už stačil přeposlat jeden z podvodných mailů v dobré víře, že mi pomůže, protože mám účet u České spořitelny. A současně s tímto mailem mi poslal pár dalších zaručených zpráv o umírající holčičce v nemocnici, kterou zachrání přeposlání dalších 33 e-mailů a podobně.

Noví objevovatelé internetu zvláště s rozšiřujícím se vysokorychlostním připojením jsou právě tou ohroženou skupinou a zároveň nebezpečnými možnými dalšími šiřiteli podobných nesmyslů. Že počítačoví uživatelé – klienti bank umějí být nebezpeční pro banky samotné, potvrzuje i zpráva společnosti Deloitte, která se zabývala bezpečností v oblasti informačních technologií. Zpráva Deloitte uvádí, že k mnoha útokům na banky dochází prostřednictvím klientů, kteří se stávají nevědomými poskytovali citlivých informací a kanály vedoucími do nitra finančních institucích. Avšak přestože jsou finanční instituce těmito útoky přímo ohrožovány, nejsou zatím ochotné přijmout odpovědnost za bezpečnost počítačů svých klientů, zřejmě z důvodů obrovského rozsahu takového podniku. Podle zprávy přes 57 % útoků přišlo přes elektronickou­ poštu.

Nešťastný login a heslo

Je už téměř pravidlem, že opakující se útoky pomocí phishingu mají jedno společné: zaměřují se jen na finanční instituce či společnosti, které pro přihlášení do uživatelského rozhraní využívají pouze uživatelské jméno a heslo a další zabezpečení chybí. Proto kolují miliony podvodných e-mailů mámících přihlašovací údaje pro portály moneybookers.com či PayPal.com, problémy s podvody měla i česká Citibank, než změnila svůj přihlašovací proces (tehdy používala pouze číslo debetní karty a heslo).

cestovko

Anketa

Bojíte se používat internetové bankovnictví?


Proces autentizace klienta jiným způsobem než heslem před samotným přihlášením na účet je dostatečnou bariérou i proti phishingu. A to přestože by došlo ke kliknutí na odkaz. To neznamená, že stávající způsob přihlašování do internetového bankovnictví většiny českých bank je nebezpečný, ale tyto podvodné maily ukazují, že můžeme očekávat jejich zvyšující se intenzitu. A lze předpokládat, že před podvody nemohou být klidní žádní klienti banky, která pro přístup k účtu používá jen uživatelské jméno a heslo. Nemusí sice dojít hned k úbytku financí, ale přístup k historii účtu a získání přehledu obratů a aktiv je rovněž cennou informací.

Internet má své obrovské výhody, ale i rizika, a proto je nutné se na ně připravit. Jenže ani nejlépe zabezpečený počítač neochrání svého uživatele před lidskou blbostí.

Phishing a rhybaření

Slovo phishing je anglický výraz označující nelegální způsob, jak z uživatele internetu získat citlivá data nebo údaje. Nejčastěji jde o získání hesel pro přístup do databází (včetně internetových bankovnictví) a získávání čisel a PINů platebních karet. Phisning funguje na bázi e-mailových zpráv, které se tváří jako zprávy odeslané například bankou uživatele. Odkazy uvedené v těle zprávy vedou na podvodný server, kam se získané údaje odesílají.

Slovo phishing je původem z kořene slova fishing, což znamená rybolov, rybaření. V češtině na internetu zlidověl výraz rhybaření, kterým se phishing označuje. V přeneseném smyslu tak jde o rozesílání e-mailových návnad v naději, že se nějaká oběť chytí.

Nejlepším zabezpečením proti phishingu je osvěta. Snahy o podvod lze omezit i bezpečnostními pravidly, jak se na internetu chovat, případně softwarovými nástroji, které umějí snahy o phishing detekovat.

Anketa

Jaké používáte zabezpečení internetové bankovnictví?

10 názorů Vstoupit do diskuse
poslední názor přidán 8. 3. 2008 16:54