„Phishing“ je označení pro získávání citlivých informací podvodnou formou. Nejčastějším způsobem je rozeslání e-mailu, který se tváří jako zpráva z banky a který vyžaduje pod nějakou záminkou sdělení údajů nezbytných k přihlášení k internetovému bankovnictví nebo k použití platební karty na internetu.
Raiffeisenbank a nebezpečná forma phishingu
Středeční případ Raiffeisenbank je o něco nebezpečnější formou phishingu než klasický „e-mailový“ phishing, na který si již, zejména díky rychlé a masivní kampani při útoku na klienty České spořitelny na sklonku loňského léta, převážná většina lidí „zvykla“ a nenechá se tak snadno nachytat.
Nebezpečnost útoku byla především v tom, že se klient standardně přihlásil ke svému účtu a teprve poté byl vyzván, aby sdělil informace o uložení certifikátu a heslo k jeho použití. Naštěstí klient „phishingovou návnadu“ nespolkl a správně ji nahlásil bance.
Obr. 1: Standardní přihlašovací stránka k internetovému bankovnictví Raiffeisenbank
Obr. 2: Podvodná stránka
Banka zaznamenala zatím pouze jeden případ pokusu o získání dat klienta. Podle důvěryhodných zdrojů byl útok umožněn nezabezpečeným počítačem na straně klienta banky, který obsahoval takové množství nežádoucích kódů, že žil vlastním životem…
Obdobný případ se může opakovat, proto Raiffeisenbank vyzývá k obezřetnosti. Doporučuje též využívat další zabezpečení v podobě zasílaného jednorázového kódu prostřednictvím SMS.
A co jiné banky?
Zcela v bezpečí nejsou klienti žádné z bank. U každé formy zabezpečení internetového bankovnictví existuje způsob, jakým lze účet zneužít. „Vyšší“ forma zabezpečení může ale znesnadnit prolomení účtu natolik, že potenciální útočníky odradí.
Donedávna byly terčem útoků především velké české banky (Česká spořitelna a Komerční banka), u nichž velké množství klientů dává větší šanci na úspěch útočníků, a Citibank, která je celosvětově nejčastějším terčem phishingu a jejíž klienti se setkali též s prvním česky psaným podvodným e-mailem.
Dnes klienty neochrání ani jazyková odlišnost malého státu, ani velkost banky, kterou využívají. Raiffeisenbank nepatří zdaleka k největším bankám v České republice, byť v rámci Evropy zaujímá přední místa. Přesto i její čeští klienti se s phishingem již setkali.
Co je účinnou ochranou, je obezřetnost a zabezpečený počítač. Případ Raiffeisenbank ukazuje, že s pomocí virů, trojských koňů a jiných nežádoucích programů lze připravit akci, která je mnohem nebezpečnější a méně očekávaná než již dobře známé e-maily.
Další ochranou je volba silnější verze zabezpečení. Za nejbezpečnější jsou považovány certifikáty uložené na čipové kartě nebo chráněném USB tokenu a PIN kalkulátor či zasílané šifrované SMS zprávy. Ovšem i nešifrované zprávy mohou účet ochránit mnohem lépe než certifikát uložený v souboru. O zabezpečení statickým uživatelským jménem a heslem je lépe raději vůbec neuvažovat.
Phishing – celosvětové nebezpečí
Phishing není nebezpečný jen v České republice, které se navíc dlouhá léta vyhýbal díky jazykové odlišnosti a „malém trhu“. Např. podle Wikipedie mezi květnem 2004 a květnem 2005 utrpělo ztrátu z phishingu ve Spojených státech 1,2 miliony uživatelů počítačů ve výši 929 mil. USD a společnosti ve stejném období tratily cca 2 mld. USD. Ve Velké Británii se škody z roku 2004 do roku 2005 téměř zdvojnásobily na 23,2 mil. GBP.