Lovení v digitálních vodách — téma phishingu
V dnešní době je snadné přijímat a zároveň i šířit nepřeberné množství informací. Žádný posel za Vámi v roce 2017 nemusí jet dva dny na koni s depeší, že české parlamentní volby vyhrálo hnutí ANO. Ani nemusíte znát Morseovu abecedu, abyste oznámili svým příbuzným z Jižních Čech, že svatba se konat nebude, protože ženich není k nalezení. Díky moderním technologiím může přesun informací z odesílatele na příjemce trvat pouhých několik sekund. Tento proces výměny dat však může mít svá negativa.
Virtuální kriminalita a její historie
S kriminalitou ve virtuálním prostředí se setkávali lidé již v 90. letech minulého století. Situace v této oblasti byla však dosti odlišná od té dnešní. Hackeři neměli sofistikované nástroje a dostatek zkušeností. „Virtuální zločin existoval, to ano, to nikdo nepopírá: nebyl však tak troufalý jako dnes. Vloupání do počítače bylo motivováno potřebou něco objevit, získat informace nebo se poučit. To byl ještě svět těch hackerů, kteří seděli u počítače pozdě do noci a pro zábavu (…).“(1, s. 26) Také se většina z nich nezaměřovala na osobní počítače. Soustředili svou pozornost na počítače firem, knihoven, úřadů nebo univerzit. Pouhá zvídavost virtuálních zločinců se vytratila se zaváděním šírokopásmého připojení. Kybernetické útoky se rozšířily na cokoli, co je zranitelné a není dostatečně chráněné. V současnosti se důvody ke spáchání takovéhoto činu mohou různit. „Od něčeho tak naprosto hloupého, jako je využít váš počítač jako pevný disk a širokopásmové připojení pro potřeby ukládání a obchodování s hudebními soubory (MP3), až po zajištění aktivit v oblasti spamu a phishingu.“ (2, s. 28)
Phishing
V definici phishingu nelze nalézt podobná slova jako: příroda, voda, prut, háček, dobrý oběd nebo klid. Protože pokud se nějaká osoba setká s phisingem a není na straně hackera, rozhodně klidná nezůstane. Tento pojem je možné stručně popsat jako podvodnou metodu pro získání citlivých údajů uživatelů internetu prostřednictvím e-mailu. Na webových stránkách HOAX.CZ je pak zveřejněna následující definice: „PHISHING je druh internetového podvodu, kterým se podvodníci snaží z uživatelů internetového bankovnictví vylákat přístupové údaje k účtům a zneužít je pro svoje obohacení. K získání těchto důvěrných informací využívají podvodné e-maily, které na první pohled vypadají, že jsou odeslány přímo z banky a snaží se přesvědčit uživatele, aby kliknul na odkaz.” (3)
Tento nezákonný způsob obohacení se praktikuje ve virtuální prostředí od roku 1995 k rozsáhlejšímu šíření došlo o sedm let později, kdy byly napadeny velké bankovní společnosti. Phishing neboli také brand spoofing (falšování názvu firmy) však nemusí být spjat pouze s bankovními institucemi.
Příklady útoků phisherů ve virtuálním rybníčku
V říjnu loňského roku. Firma Apple zaznamenala virtuální útoky na své uživatele. Hackeři důmyslným způsobem získali některá Apple ID a hesla. Následně byl na internetu Applem zveřejněn dokument s názvem Avoid phishing emails, fake „virus“ alerts, phony support calls, and other scams. V něm pravá firma podává konkrétní typy, jak rozpoznat falešné e-maily a důrazně upozorňuje, že společnost své uživatele nikdy nepožádá o Apple ID nebo ověřovací kódy.
O pár let dříve přesněji na podzim roku 2014 se pozornost hackerů upřela na univerzitu v Severní Arizoně. Proběhly zde pokusy o získání hesel k účtům studentů, které nebyly příliš úspěšné. Přesto univerzita na oficiálních webových stránkách školy apelovala na každého, kdo v tehdejší době otevřel podobný e-mail, aby kontroval pohyby na účtu kvůli případné krádeži identity. Na těchto stránkách je také uvedeno, že phishing může projít telefonním hovorem nebo textovou zprávou. Tato informace by se dala označit za poněkud matoucí a zavádějící. V situaci, kdy se hackeři snaží uskutečnit podvod prostřednictvím mobilního telefonu, nelze mluvit o phishingu. Jedná se totiž o takzvaný vishing. “Podvodníci uživatele přesvědčí, aby zatelefonoval na údajné telefonní číslo své banky. Místo toho je ale přesměrován na jiné číslo, kde je vyzván k zadání svého číselného hesla. Telefon na druhé straně linky pak toto heslo zaznamená.” (4)
V České republice je velice známý případ z roku 2006, kdy lovení důvěřivců probíhalo pod jménem jedné z velkých bankovních společností. . Internetem se začaly šířit podvodné e-maily v českém jazyce, což do té doby nebylo obvyklé. Zpráva se tvářila, že pochází od firmy CityBank. Podvodníci v ní vyzívali, aby příjemce potvrdil převod peněz v cizí měně na jeho účet. Součástí e-mailu byl odkaz, který přesměroval adresáta na stránky CityBank a vzápětí se otevřelo vyskakovací okno, kde bylo požadováno zadání PINu. Po kliknutí tedy klient společnosti v první fázi viděl oficiální web, a až poté se otevřelo falešné okno, jehož prostřednictvím získali phisheři citlivé údaje. Tento postup zvýšení důvěryhodnosti a minimální zkušenosti českého uživatele internetu s phishingem mohl zapříčinit, že se mnozí příjemci zprávy “chytili na háček zkušeným rybářům”.
Trochu odlišný druh rybolovu
Přestože je brand spoofing úspěšný, většího počtu okradených osob nebo institucí dosahuje metoda phishigového malwaru. “Rozdíl mezi phishingovým e-mailem a malwerem zachycujícím stisky kláves v podstatě tkví v požadovaném typu informace. (…) Metoda malwaru vyhledává jakoukoli informaci od jakékoli oběti. Oběti se vybírají náhodně a typ kompromitující informace nemusí mít pro fishera okamžitou hodnotu. I když jsou zde vysoké náklady na vývoj a omezená doba úspěšnosti, míra návratnosti je velmi vysoká. .(…) Průměrný týdenní počet nakažených účtů je 500 000.”(5, str. 36) Rozesílání phisingových zpráv není zdaleka tak nákladné jako předchozí působ, útok lze opakovat měsíce, ale míra návratnosti je v dnešní době skutečně malá.
Jak se nechytnout na háček?
I když je šance na provedení úspěšného podvodu prostřednictvím e-mailu malá, přece zde existuje. Bylo by tedy příhodné, aby běžný uživatel elektronické komunikace znal určité tipy, jak falešnou zprávu rozpoznat.
Žádná soukromá ani právní osoba by příjemce v e-mailu nevyzívala k vyplnění citlivých a důvěrných informací. Jak upozorňuje společnost na svých webových stránkách Apple, nikdy by své klienty nežádala o poskytnutí Apple ID nebo ověřovacích kódů.
Po rozkliknutí odkazu v podvodné zprávě a přesměrování na určitou webovou stránku, by si měl příjemce zkontrolovat adresu, která se objeví v prohlížeči. Ta totiž mnohdy neodpovídá organizaci, za niž se podvodníci vydávají.
Adresa také může začínat na http:// místo klasického https:// a v pravém rohu se zobrazí ikonka zámku.
Vzhled stránek, na které odkazuje zpráva, se může v určitých aspektech lišit od oficiálního webu společnosti. V mnoha případech jsou primitivnější než originál.
Ale tyto čtyři předchozí rady nemusí platit za každých okolností. Důkazem toho je příklad ukradení identity společnosti CtyBank uvedený v jedné z předchozích částí článku. V první fázi útoku byl uživatel přesměrován z falešné zprávy na oficiální stránky. Nemohl si všimnout některých aspektů nasvědčujících podvodnému jednání. Až poté se v prohlížeči objevilo vyskakovací okno, které oběť nabádalo vyplnit citlivá data. V takových případech je tedy nutné především neposkytovat žádné důvěrné informace.
Závěr a budoucnost phishingu
Phishing zůstává i nadále velmi nebezpečný. Postižená osoba nemusí zaznamenat, že byla napadena i půl roku. Hledání pachatele pak může trvat několik let a často se nenalezne vůbec. Případ jak si říká „vychladne“. V zákonech jednotlivých států je zřídka, kdy možné nalézt informace o postizích lidí, jenž se dopustí phishingu. „Málokteré státní a federální zákony USA řeší přímo phishing — spíše se zabývají krádeží identity a podvodem, což jsou v podstatě vedlejší produkty phishigu (…).“(6, str.37)
Přesto se dnes tento druh virtuálního zločinu vyskytuje stále méně a méně. Lidé v 21. století jsou srozuměni s faktem, že nemusí být oloupeni pouze na ulici člověkem, který má na hlavě punčochu s dvěma otvory v horní části pro lepší výhled. Současný uživatel internetu má mnohem více zkušeností s nástrahami elektronické komunikace než před dvaceti lety a je o nich také více informován. A kdo ví? Je možné, že živočišný druh známí jako phisher, vyhyne jednou docela úplně.
Použité zdroje:
1. JAMES, Lance. Phishing bez záhad. Praha: Grada, 2007. ISBN 978–80–247–1766–1.
2. Tamtéž.
3. Phishing. Hoax [online]. DIGITAL ACTION, 2000 [cit. 2017–10–28]. Dostupné z: http://www.hoax.cz/phishing/
4. SLÍŽEK, David. Co je to phishing? Aktuálně.cz [online]. Economia [cit. 2017–12–01]. Dostupné z: https://zpravy.aktualne.cz/ekonomika/ceska-ekonomika/co-je-to-phishing/r~i:article:221550/
5. JAMES, Lance. Phishing bez záhad. Praha: Grada, 2007. ISBN 978–80–247–1766–1.
6. Tamtéž.
Použité zdroje k poznámkám:
AKERLOF, George A. a Robert J. SHILLER. Jak se loví hlupáci: ekonomie manipulace a klamu : nenechte sebou manipulovat. Praha: Management Press, 2017. ISBN 978–80–7261–478–3.
Avoid phishing emails, fake ‘virus‘ alerts, phony support calls, and other scams: Use these tips to avoid scams and learn what to do if you think your Apple ID has been compromised. Apple [online]. 2017 [cit. 2017–12–01]. Dostupné z: https://support.apple.com/en-us/HT204759
ITS Info now. Northen Arisona university [online]. Northen Arisona university, 2017 [cit. 2017–10–27]. Dostupné z: https://nau.edu/its/newsletter/fall2014/phish/
JAMES, Lance. Phishing bez záhad. Praha: Grada, 2007. ISBN 978–80–247–1766–1.
MACICH, Jiří. První český phishing? Lupa.cz: Server o českém internetu [online]. Internet Info [cit. 2017–10–28]. ISSN 1213–0702. Dostupné z: https://www.lupa.cz/clanky/prvni-cesky-phishing/
Obrázky:
- VPN Unlimited [online]. [cit. 28.10.2017]. Dostupný na WWW: https://www.vpnunlimitedapp.com/blog/5-tips-identify-apple-fraudulent-phishing-emails/
- HROŠKOVÁ, Ivana. Piktochart [online]. [cit. 1.12.2017]. Dostupný na WWW: https://create.piktochart.com/output/25704163-phishing
