Phishing je snaha o získání citlivých údajů pomocí elektronické komunikace. Nejčastěji se jedná o fiktivní emaily, které útočník zasílá jménem banky. Snaží se vás přesvědčit, že musíte provést nějakou akci, která povede k získání údajů jako je například číslo kreditní karty anebo hesla.
Obecně nebezpečnost phisingu roste s tím, čím více o vás má útočník informací. Například pokud bude vědět, kdy jste se naposledy pokusili přihlásit k bankovnímu účtu anebo jak se jmenuje váš osobní bankéř, dokáže útočník podle toho připravit zprávu, která bude vypadat důvěryhodně.
Naštěstí je většina rozesílaných zpráv, co možná nejuniverzálnějších, protože se snaží zacílit na velkou masu lidí. Nejčastěji se nachytají lidé, kteří jsou naivní anebo nemají s bezpečností na internetu žádné zkušenosti.
Jak to funguje ve velkém
Moderní velkoplošné phisingové útoky provádí botnet. C&C servery dostanou za úkol na velkém počtu napadených webhostingů, kde jsou většinou napadené redakční systémy, vytvořit stránku, která připomíná například přihlašovací stránku banky. Následně C&C servery kontaktuji zombie počítače ať začnou rozesílat phisingové emaily. Pokud takovýto email někdo otevře a uvěří jeho obsahu, klikne na odkaz, dostane se na stránku připomínající jeho banku a zadá přihlašovací jméno a heslo, hosting s padělanou stránkou pak odešle tyto údaje na C&C servery. Ty pak nashromážděná data předají útočníkům.
Útočník většinou využívá vše co jen jde, aby phisingový email vypadal důvěryhodně. Umí například podvrhnout odesilatele. Což je jednoduché, do hlavičky můžete napsat co chcete. Pokud mu to webhosting umožňuje, tak se URL snaží zamaskovat pomocí IDN a/nebo subdomény.
UživatelovaBanka.cz.napadenadomena.cz/prihlaseni-k-bankovnictvi/
Malware i CSRF
Ne vždy je účelem útoku hned získat uživatelova data. Někdy chce útočník jen získat důvěru a donutit uživatele kliknout na odkaz anebo spustit soubor s malware. Ten už se pak o sběr dat postará.
Phising na sociálních sítích
Ačkoliv známe phising hlavně z emailů, setkáme se s ním i na sociálních sítích. Útočník se může pokusit přes falešnou ověřovací stránku získat kontrolu například nad vašim profilem anebo skupinou. Je třeba si uvědomit, že v dnešní době spousta webů umožňuje přihlášení pomocí profilů na sociálních sítích, takže možnosti zneužití jsou zde vysoké.
Dále netřeba brát na lehkou váhu i osobní údaje na sociálních sítích. Z jejich pomocí totiž může útočník získat informace pro vytvoření falešné identity. U nás jsou známé případy, kdy takto získané informace posloužili útočníkům k získání půjčky.
Nejznámější phisingové útoky
V roce 2013 se díky velmi cílenému phisingu dostali útočníci k datům více jak 110 milionů zákazníků společnosti Target. Ředitel společnosti i celé IT oddělení dostalo padáka.
V roce 2014 díky phisingu získali útočníci čísla více jak 100 milionů zákazníků společnosti Home Depot.
Koncem roku 2014 se nevyhnula problémům ani organizace ICANN. Útočníkům se pomocí cíleného phisingu podařilo získat data uživatelů ze souborů zóny a to včetně reálných jmen, příjmení, adres a zahashovaných hesel.
Škody a obrana
Podle výroční zprávy Microsoft Computing Safer Index Report z února 2014 napáchá phising po celém roce škody za 5 miliard dolarů.
Základní obranou je být na phising připraven. Vědět, že něco takového existuje a být na něj připraven. Většina podvodných zpráv se snaží vyvolat dojem časové tísně. Chce vám vnutit, že musíte jednat rychle a na nic nečekat.
Pokud máte v emailu informaci, že je nějaký problém se službou nemusíte v něm na nic klikat. Vždy můžete navštívit službu běžným způsobem.
Dávejte si pozor i na kontaktní údaje v emailu. Telefon může být také podvržený.
Moderní technologie vám dokáží také pomoct. Emailový klient už dokáže nesrovnalosti v hlavičce emailu poznat. Máme tu i technologie DKIM anebo SPF.
Tento článek byl byl přečten 5290 krát