Celý život se něco učíme – prakticky nic, až na pár výjimek souvisejících s genetikou, neumíme sami od sebe. Kupříkladu taková jízda na kole – když to umíme, je to jednoduché. Ale vzpomeňme si na to, jak bylo obtížné se této dovednosti naučit. Museli jsme se s kolem seznámit, zvládnout základní ovládání a pak cvičit a cvičit. Stejné je to i s počítačovou bezpečností, objevují se stále nová a nová rizika. Musíme být nejen ostražití, ale také mít ty správné informace o tom, na co si dát pozor. Platí to i v případě phishingu – či hezky česky – rhybaření.
Podstata této podvodné techniky je sice dostatečně známá, ale opětovně se setkáváme s nemalým procentem obalamutěných uživatelů. Počítačoví zločinci slaví v této oblasti úspěch díky neustálému vylepšování obsahové stránky podvodných e-mailů a stránek – uživatelé si tak nevšimnou určitých příznaků. A proč? Protože neví, že jde o příznaky typické pro zdokonalené formy phishingu. Od věci není ani přirovnání obrany proti rhybaření k imunitnímu systému. Ten se také učí a učí…
Vždy bychom měli mít na paměti snahu podvodníků přesvědčit nás o tom, že jsou ve skutečnosti někým jiným – například u podvodných e-mailů s falešnou transakcí z iTunes/Apple Store musíme získat pocit, že nám píše opravdu někdo (nebo něco) z Apple. Mimochodem, příklad s Apple jsme nezvolili náhodou. Doména apple.com patří mezi nejčastěji používaný vzor pro tzv. typosquatting, tedy pro zneužití cílených překlepů při zadávání URL adresy.
Pojďme se podívat na typický phishingový e-mail zneužívající značku Apple podrobněji a ukažme si, čemu bychom měli věnovat zvýšenou pozornost. Vzhledem k tomu, že tento konkrétní příklad se týká výzvy k platbě za služby na iTunes, je opravdu hodně příjemců, kteří takový e-mail mohou považovat za zcela regulérní zprávu.
První skupina varování souvisí přímo se zprávou, která je vlastně jakousi vstupní branou útočníků na rhybaření. Varovat by nás měly zejména špatné odkazy (nepravděpodobné doménové názvy či chybějící zabezpečení https), chybný obsah (zkomolené názvy, podivná identifikace odesilatele apod.) a přítomnost informací, které v takové elektronické zprávě zpravidla nebývají (například požadavek na ověření hesla).
Vzhledem k tomu, že cílem útočníků je donutit nás navštívit infikované stránky, nechybí ani výzva ve stylu podrobnosti o transakci získáte zde… Necháme-li se ke klinutí zlákat, budeme přesměrováni skrze infikované regulérní stránky přímo na rhybařící web, který je k nerozeznání od originálu. Podvodníci ale ještě nemají vyhráno, pořád máme šanci všimnout si řady varovných příznaků. Jde například o již dobře známou absenci protokolu, nesprávný doménový název, nesrovnalosti v obsahu (výzva k potvrzení transakce následovaná tlačítkem pro její zrušení) nebo o otázky, které v e-mailu s transakcí opravdu nebývají (výše kreditního limitu, rodné příjmení matky apod.)
Pokračování v rhybaření souvisí s výzvou k verifikaci platební karty. Zde bychom si měli všimnout především toho, že stránka informuje o dalším kroku potvrzení transakce a neobsahuje informace, které platební brána důvěryhodné třetí strany obvykle zobrazuje – jde například o osobní textovou zprávu zadanou při registraci. Důvod je jednoduchý, podvodný web tyto informace nemá k dispozici. Nebudeme-li dostatečně ostražití, určitě přejdeme i na další stránku, kde nás počítačoví zločinci informují o zrušení transakce. Co na tom, že jde opět o stránku s na první pohled špatnou adresou. Kyberzločinci již požadované údaje mají. Poslední naší šancí může být závěrečné přesměrování na oficiální stránky Apple, tedy na ty skutečně pravé. Všimneme-li si rozdílů oproti předchozím stránkám, stále ještě můžeme něco udělat – například zablokovat platební kartu.
Vypadá to jednoduše, že? Nenechme se ale zmást „falešným uklidněním“, když v nějakém e-mailu či na webových stránkách výše popsané rozpory nenajdeme. Absence nedostatků a chyb nemusí nutně znamenat, že nejde o phishingové stránky. S včasnou identifikací nám pomohou specializované bezpečnostní programy. Podstatnou výhodou těchto programů je, že automaticky zablokují phishingové odkazy. Přehlédneme-li totiž varování, dál se v procesu rhybaření nedostaneme. A to je dobře.
Paul Ducklin, technologický ředitel pro asijsko-pacifickou oblast ve společnosti Sophos
