přejít na obsah přejít na navigaci

Linux E X P R E S, Phishing je útok na klienta, ne na banku…

VariCAD

Phishing je útok na klienta, ne na banku…

phishing100.png

...říká Marek Zeman z Tatrabanky. Ale banka na něj může doplatit negativními dopady na reputaci. Právě phishing byl jedním z témat konference SECURITY 2016.


Konference SECURITY 2016

Tuto středu (17. února) se v Praze konal letošní ročník pravidelné konference SECURITY zaměřené na bezpečnost v informatice. Konference má velmi dlouhou tradici, poprvé se konala už v roce 1992. Každoročně se na ni sjíždějí jak čeští a zahraniční odborníci na bezpečnost ICT, tak i mnoho zájemců o tuto oblast.

Clarion Congress Hotel letos hostil akci, kde na účastníky čekaly dva paralelní přednáškové streamy (technický a manažerský), dva workshopy, hackerská soutěž a závěrečná „tombola“ (losování anketních lístků o hodnotné ceny). Mezi mediálními partnery byly i magazíny IT Systems a LinuxEXPRES, které měly na konferenci stánek, u něhož mohli zájemci například konzultovat výběr vhodné linuxové distribuce nebo se na něco zeptat ohledně našich článků.

Předsálí na konferenci SECURITY 2016 Předsálí na konferenci SECURITY 2016

Trendy ve phishingu

Jedním z přednáškových témat byl phishing, česky někdy označovaný jako „rhybaření“. Phishing se velmi často objevuje tam, kde jde o peníze – u bank, provozovatelů platebních služeb, karetních firem apod. Cílem záškodníka je v takových případech vylákání údajů (uživatelské jméno, heslo, číslo karty, kód CVC/CVV apod.), které následně zneužije ke svému obohacení.

O phishingu na konferenci hovořil Marek Zeman ze slovenské Tatrabanky. Tato banka se – podobně jako řada jiných – setkala s phishingem a bylo zajímavé sledovat, jak útočníci postupovali a jak se jejich útoky postupem času (v jednotlivých vlnách) vyvíjely.



Phishing a Tatrabanka

Tatrabanka se setkala s phishingem na své klienty. Útočník využil dlouhodobě známé zranitelnosti v CMS WordPress na různých webech (kde WordPress nebyl aktualizován), přes niž umísťoval na tyto weby svůj phishingový kód. Na napadené weby útočník lákal prostřednictvím desítek tisíc e-mailových zpráv rozeslaných na všemožné adresy v doméně .sk – obdrželi je příjemci bez ohledu na to, zda byli klienty banky či nikoli.

V každé zprávě byl samozřejmě odkaz, na který když se kliklo, uživatel se dostal na falešný formulář. Protože Tatrabanka používá pro přihlašovací formulář Flash, nešel tento formulář přímo použít (v HTML stačí zkopírovat ten originální a jen změnit cíl odesílání, případně upravit/injektovat JavaScript). Útočník si ho tedy vytvořil znovu a po svém (i s dalšími, podivně označenými poli včetně telefonních čísel).

Marek Zeman hovoří o phishingu Marek Zeman hovoří o phishingu

Každá phishingová stránka byla samostatně generovaná a byla napojená na svůj vlastní účet na GMailu. Po vyplnění přesměrovávala na skutečnou přihlašovací stránku Tatrabanky (čímž banka získala informace o tom, kolik lidí phishingový formulář opravdu vyplnilo, ať již skutečnými údaji nebo ze zvědavosti nesmyslnými).

Je zajímavé, že lidé, kteří phishingový formulář vyplňují „ze zvědavosti“, mnohdy používají výrazivo, které by pravděpodobně nevypustili z úst.

V dalším kroku útočník zavolal na získané telefonní číslo, představil se jako zaměstnanec Tatrabanky (hovořil přitom špatnou češtinou) a zeptal se na jednorázové heslo (OTP) z kalkulačky, které je dalším bezpečnostním prvkem. Po přihlášení do internetového bankovnictví si útočník aktivoval také mobilní přístup (s virtuální mobilní kartou a kalkulačkou OTP).

Druhá vlna phishingu přinesla menší počet e-mailových zpráv, ale lépe cílených. Pokusy o platby byly obvykle pod obvyklým limitem pro platby. Vyskytl se i úspěšný případ, kdy klient podle telefonických instrukcí autorizoval platbu ve výši 25 tisíc eur.

Tatrabanka řešila phishing nejprve reaktivně (podle vývoje událostí), následně přešla na proaktivní přístup. Problémem samozřejmě je, jak dostat ke klientům informace o tom, že se mohou stát obětí phishingu. E-mail ani telefon použít nelze, protože je používal i útočník.

Proto byla informace šířena prostřednictvím televizí (což ale nebylo příliš efektivní), hlavně ale SMS (klientům, kteří nejvíce odpovídali profilu dosavadních obětí) – s tím, že kdo se „nechal chytit“, nechť zavolá do banky. Volalo mnoho klientů, drtivá většina ale s informací, že do phishingového formuláře nic nezadali.

Účastníci konference sledují přednášku o phishingu Účastníci konference sledují přednášku o phishingu

Proběhla ještě třetí phishingová vlna, ale ta už byla v podstatě jen dozníváním. Na konci druhé vlny útoků byly po celé Evropě zatčeny desítky nigerijců (což mohlo s útoky souviset) a zřejmě v té době došlo k prodeji útočných skriptů, které pak byly použity ve vlně třetí.

Z dalších opatření proti následkům phishingu banka zesílila monitoring podezřelých plateb, posunula mobilní OTP v čase (takže jich bylo k úspěšnému útoku potřeba více) a monitoringu byly podrobovány i okamžité platby.

Shrnutí

„Bankovní“ phishing je útok na klienta banky (ne na samotnou banku), ale banka na něj může doplatit zhoršením své reputace. Proto je v jejím zájmu na takové útoky reagovat rychle a využívat proaktivní přístup. Je při tom třeba počítat s tím, že útočníci mohou využívat stále nové metody a že někteří lidé jsou ve vztahu k phishingovým metodám až neuvěřitelně naivní.

Nahoru

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

5 důvodů, proč si pořídit řešení Juniper s Mist AI

JuniperI když jsou kabelové a bezdrátové sítě pro podnikání důležitější než kdykoli dříve a stávají se kritickou infrastrukturou i pro malé podniky, je udržování provozu sítě vzhledem k velkému počtu mobilních zařízení, internetu věcí (IoT) a škále hardwaru, operačních systémů a aktuálně používaných aplikací stále těžší a těžší.

Pokračování ...


Arrow

Public Relations

Úsměv namísto podpisu a robot na místě prodavače

IT Systems 11/2020V novém vydání IT Systems se věnujeme trendům v digitalizaci bankovnictví a finančního sektoru, který je sice vnímán jako velmi konzervativní odvětví, ale ve vztahu k informačním technologiím patří naopak mezi ty nejprogresivnější. Tlak konkurence i nebankovních institucí a požadavky zákazníků totiž nutí celé odvětví, aby přijímalo nejnovější technologie.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 21. August

Sayonara Player 1.5.1

Přehrávač, jak má být. Poslední dobou vývoj šlape


Pavel Fric

Pavel Fric, 26. January

MuseScore 3

První aktualizace třetí řady notačního editoru MuseScore


Redakce

Redakce, 21. December

Pište pro LinuxEXPRES

Baví vás Linux? Pište o něm, není to nic těžkého. LinuxEXPRES hledá nové autory.


Všechny blogy »

ZWsoft