přejít na obsah přejít na navigaci

Linux E X P R E S, Phishing je útok na klienta, ne na banku…

Phishing je útok na klienta, ne na banku…

phishing100.png

...říká Marek Zeman z Tatrabanky. Ale banka na něj může doplatit negativními dopady na reputaci. Právě phishing byl jedním z témat konference SECURITY 2016.


reklama

Konference SECURITY 2016

Tuto středu (17. února) se v Praze konal letošní ročník pravidelné konference SECURITY zaměřené na bezpečnost v informatice. Konference má velmi dlouhou tradici, poprvé se konala už v roce 1992. Každoročně se na ni sjíždějí jak čeští a zahraniční odborníci na bezpečnost ICT, tak i mnoho zájemců o tuto oblast.

Clarion Congress Hotel letos hostil akci, kde na účastníky čekaly dva paralelní přednáškové streamy (technický a manažerský), dva workshopy, hackerská soutěž a závěrečná „tombola“ (losování anketních lístků o hodnotné ceny). Mezi mediálními partnery byly i magazíny IT Systems a LinuxEXPRES, které měly na konferenci stánek, u něhož mohli zájemci například konzultovat výběr vhodné linuxové distribuce nebo se na něco zeptat ohledně našich článků.

Předsálí na konferenci SECURITY 2016 Předsálí na konferenci SECURITY 2016

Trendy ve phishingu

Jedním z přednáškových témat byl phishing, česky někdy označovaný jako „rhybaření“. Phishing se velmi často objevuje tam, kde jde o peníze – u bank, provozovatelů platebních služeb, karetních firem apod. Cílem záškodníka je v takových případech vylákání údajů (uživatelské jméno, heslo, číslo karty, kód CVC/CVV apod.), které následně zneužije ke svému obohacení.

O phishingu na konferenci hovořil Marek Zeman ze slovenské Tatrabanky. Tato banka se – podobně jako řada jiných – setkala s phishingem a bylo zajímavé sledovat, jak útočníci postupovali a jak se jejich útoky postupem času (v jednotlivých vlnách) vyvíjely.



Phishing a Tatrabanka

Tatrabanka se setkala s phishingem na své klienty. Útočník využil dlouhodobě známé zranitelnosti v CMS WordPress na různých webech (kde WordPress nebyl aktualizován), přes niž umísťoval na tyto weby svůj phishingový kód. Na napadené weby útočník lákal prostřednictvím desítek tisíc e-mailových zpráv rozeslaných na všemožné adresy v doméně .sk – obdrželi je příjemci bez ohledu na to, zda byli klienty banky či nikoli.

V každé zprávě byl samozřejmě odkaz, na který když se kliklo, uživatel se dostal na falešný formulář. Protože Tatrabanka používá pro přihlašovací formulář Flash, nešel tento formulář přímo použít (v HTML stačí zkopírovat ten originální a jen změnit cíl odesílání, případně upravit/injektovat JavaScript). Útočník si ho tedy vytvořil znovu a po svém (i s dalšími, podivně označenými poli včetně telefonních čísel).

Marek Zeman hovoří o phishingu Marek Zeman hovoří o phishingu

Každá phishingová stránka byla samostatně generovaná a byla napojená na svůj vlastní účet na GMailu. Po vyplnění přesměrovávala na skutečnou přihlašovací stránku Tatrabanky (čímž banka získala informace o tom, kolik lidí phishingový formulář opravdu vyplnilo, ať již skutečnými údaji nebo ze zvědavosti nesmyslnými).

Je zajímavé, že lidé, kteří phishingový formulář vyplňují „ze zvědavosti“, mnohdy používají výrazivo, které by pravděpodobně nevypustili z úst.

V dalším kroku útočník zavolal na získané telefonní číslo, představil se jako zaměstnanec Tatrabanky (hovořil přitom špatnou češtinou) a zeptal se na jednorázové heslo (OTP) z kalkulačky, které je dalším bezpečnostním prvkem. Po přihlášení do internetového bankovnictví si útočník aktivoval také mobilní přístup (s virtuální mobilní kartou a kalkulačkou OTP).

Druhá vlna phishingu přinesla menší počet e-mailových zpráv, ale lépe cílených. Pokusy o platby byly obvykle pod obvyklým limitem pro platby. Vyskytl se i úspěšný případ, kdy klient podle telefonických instrukcí autorizoval platbu ve výši 25 tisíc eur.

Tatrabanka řešila phishing nejprve reaktivně (podle vývoje událostí), následně přešla na proaktivní přístup. Problémem samozřejmě je, jak dostat ke klientům informace o tom, že se mohou stát obětí phishingu. E-mail ani telefon použít nelze, protože je používal i útočník.

Proto byla informace šířena prostřednictvím televizí (což ale nebylo příliš efektivní), hlavně ale SMS (klientům, kteří nejvíce odpovídali profilu dosavadních obětí) – s tím, že kdo se „nechal chytit“, nechť zavolá do banky. Volalo mnoho klientů, drtivá většina ale s informací, že do phishingového formuláře nic nezadali.

Účastníci konference sledují přednášku o phishingu Účastníci konference sledují přednášku o phishingu

Proběhla ještě třetí phishingová vlna, ale ta už byla v podstatě jen dozníváním. Na konci druhé vlny útoků byly po celé Evropě zatčeny desítky nigerijců (což mohlo s útoky souviset) a zřejmě v té době došlo k prodeji útočných skriptů, které pak byly použity ve vlně třetí.

Z dalších opatření proti následkům phishingu banka zesílila monitoring podezřelých plateb, posunula mobilní OTP v čase (takže jich bylo k úspěšnému útoku potřeba více) a monitoringu byly podrobovány i okamžité platby.

Shrnutí

„Bankovní“ phishing je útok na klienta banky (ne na samotnou banku), ale banka na něj může doplatit zhoršením své reputace. Proto je v jejím zájmu na takové útoky reagovat rychle a využívat proaktivní přístup. Je při tom třeba počítat s tím, že útočníci mohou využívat stále nové metody a že někteří lidé jsou ve vztahu k phishingovým metodám až neuvěřitelně naivní.

Nahoru

(Jako ve škole)
Průměr: 1,00 | Hodnotilo: 2
 

Top články z OpenOffice.cz

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Lukáš Jelínek

Lukáš Jelínek

Šéfredaktor LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře a podniká v oblasti informačních technologií. Ve volném čase rád fotografuje, natáčí a stříhá video a také se věnuje (v Čechách poměrně málo známému) powerkitingu.


  • Distribuce: Debian, Kubuntu
  • Grafické prostředí: KDE
  • Hodnocení autora: ***

| proč linux | blog



Public Relations

QNAP uvedl novou modelovou řadu NAS TVS-x82T

Společnost QNAP uvedla na trh novou modelovou řadu NAS TVS-x82T, kterou tvoří tři různé modely (TVS-1282T, TVS-882T a TVS-682T). Nová řada je založena na vícejádrových procesorech Intel Core aktuální generace se 14nm výrobním procesem. Díky nim mohou nové NASy nabídnout dostatek výkonu i pro aplikace náročné na CPU.

Pokračování ...


CIO Agenda 2016