Phishing

z Wikipédie, slobodnej encyklopédie
Skočit na navigaci Skočit na vyhledávání
Oznam na háčiku: potrebujeme overiť číslo vašej kreditnej karty. Ryba hovorí: nezožer každú návnadu. Chráň svoje dôverné (finančné) informácie.

Phishing je typ počítačového útoku, pri ktorom sa podvodník snaží pomocou návnady v elektronickej komunikácii vylákať a neoprávnene získať[1] od používateľov osobné údaje ako sú heslá, používateľské mená a ďalšie podrobnosti napríklad o platobných kartách, aby ich mohol zneužiť na nekalé účely ako vydieranie, krádež peňazí alebo identity.

Názov[upraviť | upraviť kód]

Výraz „phishing“ je v angličtine novotvar, ktorý vznikol na základe homofónnej podoby so slovom „fishing“, ktoré znamená rybolov, a naznačuje podobný význam chytania obete na návnadu. (Tiež zjednodušene interpretované aj ako angl. password fishing – doslova (rybo)lovenie hesiel.) Začiatočné písmená „ph-“ sú odkazom na "phreaking”, ktorý využívali v minulom storočí pri svojom experimentovaní s možnosťami telekomunikačných systémov hakeri, ktorí zašli až za hranice legálnosti.[2] Do slovenčiny sa zatiaľ neprekladá. Podvodník, ktorý využíva phishing sa nazýva phisher.

Princíp[upraviť | upraviť kód]

Existuje viacero spôsobov lovenia hesiel. Najčastejšie však phishing prebieha tak, že podvodník (útočník) sa pomocou podvodného (klamlivého) e-mailu (z angl. email spoofing – doslova vodiť za nos, všeobecnejšie email od falošného odosielateľa) alebo instant messagingu, SMS (smishing) alebo inej komunikácie napríklad na sociálnej sieti alebo weboch alebo v internetových reklamách alebo v malware snaží nasmerovať používateľa na webstránku alebo všeobecnejšie URL adresu, ktorú pripravil práve na tento podvodný účel. Takáto falošná webstránka môže vyzerať ako presná kópia už existujúcej dôveryhodnej stránky, ktorú bežne používateľ navštevuje (napríklad stránka banky[1] vrátane loga a pod.) alebo ponúka nejaké výhody po prihlásení. Meno a heslo a ostatné údaje zadané do takejto phishingovej stránky, sa dostanú k podvodníkovi, ktorý ich môže zneužiť sám alebo predať iným. Inou častou možnosťou je formulár (zameraný podobne ako spomínaná falošná webstránka), ktorý je priamo v e-mailovej správe alebo v jej prílohe.[3]

Phishing môže byť súčasťou kampane - sérii viacerých viacerých útokov. Napríklad kampaň EMOTET, šíriaca sa v septembri 2020 začína, phishingom a končí poslednou fázou, ktorou je inštalácia ransomvéru Ryuk, ktorý zašifruje vybrané súbory na zariadeniach a vyžaduje platbu v bitcoinoch.[4] SK-CERT varuje, že EMOTET sa primárne šíri prostredníctvom vierohodne vyzerajúcej správy od organizácie, v ktorej vás upozorňujú na rôznu škálu podnetov – od neuhradenej faktúry, až po nové pravidlá týkajúce sa šírenia ochorenia Covid-19. Infikovanie napadnutého systému sa následne vykonáva prostredníctvom škodlivého skriptu, dokumentov s povolenými makrami alebo prostredníctvom iného škodlivého obsahu. Emaily sa môžu javiť legitímne a často nabádajú k okamžitému otvoreniu správy resp. prílohy bez preverenia. Po infekcii sa prehľadá zoznam kontaktov a rozošlú ďalšie phishingové e-maily, typicky adresátom z okruhov rodina, známi a kolegovia. Keďže e-mail príde od známeho a legitímneho odosielateľa, adresáti sú potom náchylnejší ho otvoriť.[4]

Osobné informácie, na ktoré býva phishing zameraný[upraviť | upraviť kód]

Podľa Google[1] ide o snahu neoprávnene získať najmä tieto údaje:

Typické znaky phishingu[upraviť | upraviť kód]

Phishing môže prebiehať aj tak, že sa rozposielajú správy, ktoré oznamujú používateľom zmenu účtu alebo jeho obnovenie a tak lákajú citlivé údaje. Phishingové stránky môžu po registrácii ponúkať rôzne „skvelé“ služby alebo výhody (napr. vzácne predmety do MMORPG hier, download hier zdarma atď.) alebo vás phisher kontaktuje ako člen support teamu (podpora), admin a podobne a chce od vás údaje (heslá, čísla účtov), pre overenie. Ponuka, ktorá sa neodmieta: “Vážený zákazník. Gratulujeme! Vyhrali ste najnovší smartfón. Zašlite nám Vaše kontaktné údaje.” znie až príliš dobre na to, aby to bola pravda, takmer vždy ide o podvod.[3]

V skutočnosti ide útočníkovi o získanie používateľské mena a hesla, ktoré potom skúša na prístup do banky (alebo viacerých bánk). Banky sa bránia proti phishingu tak, že verejne oznamujú, že nikdy osobné údaje nežiadajú týmto spôsobom.

Typickými znakmi phishingu sú:

  • Falošná emailová adresa odosielateľa. Doména v adrese nezodpovedá organizácii, za ktorú odosielateľ píše. Viditeľný je nesúlad medzi textovou časťou adresy a domény. V dole uvedených príkladoch sú v textovej časti adresy uvedené slovenské banky avšak domény im nezodpovedajú, ba dokonca ani doména najvyššej úrovne nie je .sk.
  • Obsah sa týka informácií, na ktoré býva phishing zameraný (pozri hore).
  • V prípade e-mailu chýba v správe osobnejší prístup - obsahuje všeobecné oslovenie, napr. „Vážený zákazník, nie vaše konkrétne meno”.[3]
  • Obsah môže byť skomolený, pretože často býva len strojovým prekladom do slovenčiny (pozri príklady). Eset v roku 2020 píše, že slovenčina v niektorých mailoch sa zlepšila.[5]
  • Je zdôrazňovaná urgentnosť správy, tak aby používateľ nad textom veľmi nerozmýšľal a hneď emocionálne konal[6]. Väčšinou na konci býva vyzýva k akcii, ktorá spočíva v kliknutí na link (odkaz URL, obrázok, text a pod.). Namiesto kliknutia je však najlepšou akciou nahlásiť[1] podozrivý email (komunikáciu) prevádzkovateľovi (napríklad ako spam).
  • Spomínaný odkaz URL zvyčajne nevyužíva zabezpečené, šifrované spojenie – adresa sa nezačína reťazcom „https“ (ale len http) [6]. Ak adresa nezačína „https“, tak v adresnom riadku prehliadača chýba ikona (zvyčajne zeleného) zámku.[6]
  • Po kliknutí na spomínaný odkaz URL sa môže zobraziť web stránka, ktorá môže byť graficky nedokonalá, pôsobí ako zle načítaná, nefungujú na nej všetky odkazy alebo obsahuje gramatické chyby.

Ochrana pred phishingom[upraviť | upraviť kód]

  • Nepoužívať to isté heslo (PIN) pre viacero služieb. (Pozri hore phishingové stránky môžu po registrácii ponúkať rôzne „skvelé“ služby alebo výhody...) Najmä pre operácie s peniazmi (internet banking) majte jedinečné heslo, ktoré je dostatočne "silné" a bezpečne uchované.
  • Najlepšia ochrana proti phishingu je nedôverovať stránkam a správam, ktoré chcú vylákať citlivé údaje, hlavne heslá. Zároveň sa odporúča nepoužívať rovnaké prihlasovacie údaje do rôznych služieb. (Chráňte si svoje heslá a nikomu ich neprezrádzajte. Nezverejňujte vaše citlivé osobné informácie na webe, po telefóne, osobne ani emailom v žiadnom prípade aj keď výzva môže pôsobiť veľmi urgentne.) Podozrivé požiadavky emailom, telefonicky alebo sms na poskytnutie citlivých informácií radšej najprv overiť na zákazníckej linke banky[7] alebo ich ignorovať.[8]
  • Niekde už po prezretí URL adresy, ktorú vyžaduje phisher navštíviť, je zrejmé že ide o podvod (adresa nie je na doméne firmy, ktorej by mala byť, text odkazu nezodpovedá URL adrese). Po zájdení myšou nad adresu sa táto zobrazuje celá na spodku prehliadača (v stavovom riadku). Deje sa tak však len na počítačoch (a nie na mobiloch) a existujú možnosti ako v niektorých prehliadačoch skutočnú adresu zmeniť alebo zamaskovať.
  • Pri práci s internetbankingom používajte len šifrované spojenie - stránky s adresou začínajúcou https:// . V prípade pochybností skontrolujte (platnosť) bezpečnostného certifikátu (zvyčajne kliknutím na zobrazený zámok).[7]
  • Nikdy nepoužívajte internetbanking cez nezabezpečené wifi siete (tzv. freewifi).[7]
  • Niektoré prehliadače a emailové klienty (s funkciou DMARC) ako napr. Gmail[9] obsahujú ochranu proti phishingu, ktorú tiež ponúkajú výrobcovia antivírusového softvéru[2] (napr. Eset[10]).
  • Viaceré prehliadače obsahujú ochranu proti phishingu.[1] Po kliknutí najprv zobrazia upozornenie, že užívateľ sa chystá prejsť na nebezpečné alebo klamlivé webové stránky.[11]
  • Pravidelne aktualizujte operačný a antivírusový systém.[8]

Obete phishingu[upraviť | upraviť kód]

Klientov, ktorí majú podozrenie, že na podvod naleteli, banky vyzývajú, aby:

  • Pokiaľ si nie sú istí, ako postupovať, kontaktovali banku.[8]
  • Túto okolnosť banke nahlásili.[12] (Banka sa môže snažiť falošné weby zablokovať.)
  • Skontrolovali si stav svojho účtu (napríklad pozrieť SMS notifikácie).[12]
  • Zmenili si prihlasovacie údaje.
  • Prípadne zvýšili stupeň overenia identity na dvojstupňové overenie, čo však od bánk už od 14. septembra 2019 vyžaduje Európska smernica o platobných službách týkajúca sa bezkontaktných platieb a platieb prostredníctvom internetu.[13]
  • Polícia nabáda k obozretnosti avšak nevyzýva k nehlasovaniu podozrení z phishingu (stačí nahlásiť banke). Polícii treba nahlásiť podvodné prevody peňazí.[14]

Iné spôsoby krádeže identity[upraviť | upraviť kód]

Spear phishing[upraviť | upraviť kód]

Phishing je príkladom techniky sociálneho inžinierstva[15] používanej na oklamanie používateľov zameraný na využitie slabých miest súčasných bezpečnostných technológií (a ich implementácií). Špeciálnym prípadom phishingu je spear phishing, ktorý je útokom na úzku skupinu potenciálnych obetí, väčšinou takých, ktorí majú prístup k citlivým informáciám o organizácii a spravidla sú v organizačnom rebríčku vyššie postavení. Takéto emaily sú úzko zamerané a personalizované. Útočníci sa pri tejto technike zvyčajne spoliehajú na diery v systéme (tzv. „exploity“), čiže škodlivé kódy, ktoré využívajú zraniteľnosti softvéru vo vyhliadnutom počítači.“[16]

Iné spôsoby phishingu (vishing a pod.)[upraviť | upraviť kód]

Na podobnom princípe ako phishing sú založené aj ďalšie podvody, keď sa podvodníci snažia vylákať dáta prostredníctvom telefonátu (vishing - Voice phishing), či cez sms správu s URL odkazom na podvodnú stránku alebo výzvou na odpovedanie na telefónne číslo (smishing - SMS phishing[3]). Útočníci citlivé údaje skúšajú získať aj cez zavírený počítač alebo mobilné zariadenie prostredníctvom podvodného presmerovania web stránok (pharming).[7]

Skimming bankových kariet[upraviť | upraviť kód]

V roku 2014 slovenské banky zaznamenali 52 prípadov skimmingu (v bankomate nainštalované podvodné zariadenie na snímanie platobných kariet).[17] V roku 2017 v Bulharsku a Španielsku zadržali podvodníkov, ktorí inštalovali zariadenia na skimming kariet do viac než štyroch stoviek bankomatov ročne. Kopírovali a klonovali kreditné karty a použili ich na nelegálne transakcie. Počty skimmingových útokov v Európe postupne klesajú a počet incidentov v roku 2019 bol najnižší od roku 2005. V roku 2015 ich bolo zhruba 3 300.[18] Slovenská banková asociácia odporúča tieto základné opatrenia ako sa brániť proti skimmingu:[17]

  • Pri zadávaní PIN čísla treba druhou rukou dôsledne zakryť klávesnicu, aby kód nedokázala nasnímať prípadná skrytá kamera.
  • Pred použitím bankomatu ho vizuálne skontrolovať, či nebol upravený (pohyblivé časti, ťažšia manipulácia s kartou a pod.).
  • Pravidelne kontrolovať obraty na svojom účte. Nastaviť si sms notifikácie o pohyboch na účte a zároveň kontrolovať aktuálnosť telefonického kontaktu uvedeného v banke.

Príklady podvodného e-mailu (niektoré údaje sú zmenené)[upraviť | upraviť kód]

Správy z banky: nová funkcia, zabezpečenie, chybná platba[upraviť | upraviť kód]

Falošná správa 1 - url adresa otvorí elektronické bankovníctvo ak ste klientom tejto banky a snaží sa previesť z vášho účtu 1,34€
Od: Tatra banka <a @ japanlokad.com>
Predmet: Nova funkcia
Dátum: Sob, 5.Jan 2019 04:38:10
Vážený pán / pani,
Radi by sme Vás informovali, že sme pridali novú funkciu na ochranu vášho účtu pred podvodným pokusom a neoprávneným používaním vašej bankovej karty.
Táto prísada je veľmi dôležitá pre vašu ochranu a pohodlie našich zákazníkov.
Aktivujte ho na svojej banke a odpočítajte veľmi jednoduchú sumu:
1,34 EUR
Ak chcete svoju kreditnú kartu overiť a aktivovať ju vo svojom účte.
Na platbu a aktiváciu :
https: / / moja.tatrabanka.sk/cgi-bin/blablablablablablablablab
Funkcia sa po zaplatení automaticky aktivuje.
Zuzana Povodová
Falošná správa 2 - url adresa otvára nib.vub.sk, ktorý je presmerovaný na ib.vub.sk
Od: VUB Banka <test @ wizgreeting.company>
Predmet: oznámenia
Dátum: Sob, 29.Dec 2018 11:09:47
Komu: <monika.perez @ gmail.com>
Vážený zákazník,
Teraz sme aktualizovali naše ďalšie bezpečnostné prvky v bezpečné a bezpečné zabezpečenie online bankovníctva. Ostatní, ktorí čakajú na aktualizáciu, by mali posilniť autentifikáciu prostredníctvom on-line bankovníctva. Ak chcete potvrdiť svoju totožnosť a zabrániť blokovaniu účtu, navštívte stránku:
https: // nib.vub.sk/portal/blablablb
Toto sú pokyny zaslané všetkým klientom VUB a musia byť dodržané.
Vďaka,
VÚB Banka

Falošná správa 3 - Slovenska Sporitelna - zrušený prevod

Od: SLSP <slsp1@cluster007.hosting.ovh.net>

Predmet: Slovenska Sporitelna

Dátum: Ned, 22.Mar 2020 08:01:22

Vazeny klient,

Vas posledny bankovy prevod bol zruseny z bezpecnostnych dovodov. Kliknite sem a postupujte podla pokynov na okamzite vratenie vasich penazí.

Dolezite: Ak nebudete postupova podla pokynov do 24 hodín, vase peniaze v nas zostanu v bezpecí, kym nevykonate potrebne kroky.

S pozdravom.

Falošná správa 4 - OTP BANKA - DÔLEŽITÉ SPRÁVY

Od: OTP BANKA SK <blblbla@servis369.com>
Predmet: DÔLEŽITÉ SPRÁVY
Dátum: Pia, 20.Sep 2019 13:37:23
Vážený zákazník, Z dôvodu našej nedávnej bezpečnostnej kontroly vašich služieb OTP BANKA požadujeme, aby ste si overili údaje o vašom účte zaregistrované u nás, aby ste sa uistili, že váš účet nebol porušený. Jednoducho kliknite na náš odkaz na zabezpečený server a prihláste sa a overte svoje údaje. ZOBRAZIŤ NA BEZPEČNÝ SERVER:https: //otpdirekt.otpbanka.sk/login/login_main_jelszoalapu.jsp Zabezpečenie účtu je jednou z našich najvyšších priorít. Ak neoveríte svoj účet do 48 hodín, povedie to k pozastaveniu prístupu k vášmu online účtu. Ospravedlňujeme sa za nepríjemnosti. S pozdravom, OTP BANK SK

Vydieranie e-mailom[upraviť | upraviť kód]

Falošná správa 5 - "návšteva webu pro dospělé" (sex blackmail) - môže byť anglicky a obsahovať aj vaše heslo)[5][19]

Predmet: Bezpečnostní upozornění
Dátum: Február 2019
Ahoj! Jak jste si možná všimli, poslal jsem vám e-mail z vašeho účtu. To znamená, že mám plný přístup k vašemu účtu. Díval jsem se na tebe už několik měsíců. Skutečnost je, že jste byli nakaženi škodlivým softwarem prostřednictvím webu pro dospělé, který jste navštívili.
...
Pokud to chcete zabránit, přeneste částku 252€ na svou adresu bitcoin (pokud nevíte, jak to udělat, pak napište na Google: "Koupit Bitcoin").
...
S pozdravem!

Falošný e-mailový oznam napodobňujúci online platformu[upraviť | upraviť kód]

Falošný oznam 6 - upozornenie z platformy Microsoft Teams

Subject: Offline Message in Teams
Sender: Chat Content <_...

Od apríla 2020 sa šíri phishing (okolo 15 000 prípadov do prvého mája 2020)[20] [21], ktorý sa snaží pôsobiť ako oficiálne e-mailové upozornenie z platformy Microsoft Teams o file share (zdieľané súbory) alebo offline audio chat (nevypočuté audio správy). Zatiaľ len po anglicky (slovenský preklad môže byť odlišný). Po kliknutí je užívateľ (bez ohľadu na to, či je prihlásený alebo nie) presmerovaný na presnú kópiu prihlasovacej stránky Open (Otvoriť) Microsoft Teams, ktorá ďalej smeruje na vizuálne presnú kópiu prihlásenia do Microsoftu Office 365 account. Podľa Zive.sk[22]: "Prihlasovacia stránka predstavuje naozaj vydarený podvrh. Odlíšiť sa dá len URL adresou." Skutočné prihlasovacie stránky majú adresy „login.microsoftonline.com“ alebo „login.live.com“, ľubovoľná iná adresa znamená, že ide o phishing.[22] [20] [21]

Falošný odkaz, prekrytý iným[upraviť | upraviť kód]

Falošný oznam 7 - Váš balík čaká na potvrdenie platby[23]

Subject: Predmet: Váš balík čaká na potvrdenie platby
Sender: Slovenská pošta <support@blaorlandowelcomecenterbla.com> Dátum: Uto, 6.Okt 2020 05:31:06


Vážený zákazník,

Vaše balenie čaká na doručenie

Prepravný kód: 293845678

Posledná aktualizácia: prijaté na pošte (08:15AM | 06-10-2020).

Stav zásielky: čaká na platbu.

Platbu 4,99 EUR potvrďte nasledujúcim odkazom:

https://www.posta. blablabla adresa na ktorú odkaz skutočne smeruje (bit.ly/3lcabzn) je prekrytá adresou akože textu na stránke pošty https://www.posta.sk/Track=2938456778

Poznámka: Do odoslania vám neúčtujeme žiadne poplatky.

©Slovenská pošta

Pošta sama upozorňuje na tento podvod.[23]


alebo


„Vážený zákazník, váš balík sa nedávno dostal do nášho triediaceho centra Slovenská pošta. Aby ste dostali balík, je dôležité zaplatiť náklady na dopravu. Po zaplatení nákladov na dopravu pošleme váš balíček,“ píše sa v podvodnej správe.[24]

Referencie[upraviť | upraviť kód]

  1. a b c d e Zabránenie phishingovým útokom a ich nahlásenie [online]. support.google.com, [cit. 2019-01-18]. Dostupné online.
  2. a b What are Phishing scams and anti-phishing protection [online]. www.eset.com, [cit. 2019-05-05]. Dostupné online.
  3. a b c d Ako rozpoznať phishing? [online]. eset.com, [cit. 2020-05-13]. Dostupné online.
  4. a b SK-CERT varuje – EMOTET je znova na vzostupe [online]. SK-CERT, 2020-09-24, [cit. 2020-09-25]. Dostupné online.
  5. a b TASR. Vydierači pornom si zlepšili slovenčinu. pravda.sk (Bratislava: Perex), 2020-01-14. Dostupné online [cit. 2020-01-14]. ISSN 1336-197X.
  6. a b c KOSNO, Lukáš. Tatra banka eviduje nárast podvodných e-mailov, vystríha klientov [online]. Živé.sk, [cit. 2019-01-18]. Dostupné online.
  7. a b c d Ako to je naozaj. Opatrenia proti phishingu [online]. www.sbaonline.sk, [cit. 2019-09-23]. Dostupné online.
  8. a b c Nenechajte sa dolapiť lovcami údajov | mBank.sk [online]. www.mbank.sk, [cit. 2019-10-02]. Dostupné online.
  9. Manage suspicious emails with DMARC - G Suite Admin Help [online]. support.google.com, [cit. 2019-05-05]. Dostupné online.
  10. Ako funguje Anti-Phishing v produktoch ESET Smart Security a ESET NOD32 Antivirus? [online]. support.eset.com, [cit. 2019-12-11]. Dostupné online.
  11. Manage warnings about unsafe sites - Computer - Google Chrome Help [online]. support.google.com, [cit. 2019-01-18]. Dostupné online.
  12. a b Martin Hodás: Podvodníci vraj zlepšili svoju slovenčinu, Zive.sk, 2019/01/19 online
  13. PSD2: Aké novinky v platobných službách prináša? [online]. banky.sk, [cit. 2019-12-11]. Dostupné online.
  14. Podvodné prevody peňazí [online]. Bratislava : Ministerstvo vnútra SR, [cit. 2020-06-01]. Dostupné online.
  15. Bezpečnostná študovňa » Bezpečnostné hrozby a zraniteľnosti » Sociálne inžinierstvo [online]. Computer Security Incident Response Team Slovakia - csirt.gov.sk, [cit. 2019-10-09]. Dostupné online.
  16. ŽIVÉ.SK. Spear phishing: Cielený podvod priamo na vás [online]. Živé.sk, 2019-10-09, [cit. 2019-10-09]. Dostupné online.
  17. a b Ako ochrániť svoje peniaze. Opatrenia proti skimmingu [online]. www.sbaonline.sk, [cit. 2019-09-23]. Dostupné online.
  18. TREND.SK. Zatkli kartový gang. Na klonovanie zneužíval bankomaty [online]. www.etrend.sk, [cit. 2019-05-05]. Dostupné online.
  19. SLÍŽEK, David. "Poslal jsem vám e-mail z vašeho účtu." E-maily se šíří další vlna vyděračského spamu [online]. Lupa.cz, [cit. 2019-06-19]. Dostupné online. (po česky)
  20. a b GATLAN, Sergiu. Convincing Office 365 phishing uses fake Microsoft Teams alerts [online]. bleepingcomputer.com, [cit. 2020-05-13]. Dostupné online.
  21. a b Tricky phishing attack targets Microsoft Teams users — here's how to protect yourself [online]. windowscentral.com, 2020-05-04, [cit. 2020-05-13]. Dostupné online.
  22. a b Pozor na phishingové e-maily akoby z Microsoft Teams, kradnú údaje. Aktuality.sk (Bratislava: Ringier Axel Springer Slovakia), 2020-05-04. Dostupné online [cit. 2020-05-13].
  23. a b Slovenská pošta - Pozor na podvody! [online]. www.posta.sk, [cit. 2020-10-07]. Dostupné online.
  24. ŽIVÉ.SK. E-mailový podvod zneužívajúci Slovenskú poštu naďalej úraduje, buďte opatrní [online]. Živé.sk, 2020-11-16, [cit. 2020-11-18]. Dostupné online.

Pozri aj[upraviť | upraviť kód]