Kde všude se dnes můžeme s phishingem setkat?

Alexej: Pokud se bavíme o phishingu na webu, tak v drtivě většině případu se stále jedná o jednoduchý formulář, kam zadáte informace a následně je obyčejný skript vezme a odešle na e-mail. Hraje se více na kvantitu než na kvalitu, což potvrzuje i krátká doba životnosti phishingu.

V Avastu denně zaznamenáme na 250 tisíc nově registrovaných domén a tisícovka z nich vykazuje známky podezření. Na té doméně nemusí být žádný obsah, ale už vidíme, že samotný název je zavádějící – nejčastěji kopíruje nějakou velkou firmu jako PayPal nebo Microsoft, Yahoo.

Někdy se zdá, že o kvalitu tvůrcům moc nejde, což dokládá i fakt, že se v praxi často setkáváme s kódem stránky, který známe z pozdních devadesátých let minulého století. Nicméně můžeme nalézt i identické kopie, které nekončí jenom přihlašovací stránkou, ale mají i jakousi uživatelskou administraci, aby co nejvíce zažehnali podezření oběti.

Robert: Kromě klasického phishingu, šířeného e-mailem, určitě stojí za zmínku i možnosti šíření přes sociální sítě a telefony. Když jde totiž o metodu, jak získat z lidí citlivé informace, tak phishing nemusí být jen čistě o fyzických souborech umístěných na serveru, ale jakákoliv metoda pro získání důvěry a následné sdělení osobních informací.

Alexej: Phishing neni jenom o přihlašovacích údajích uživatele, jde i o sběr skutečných dat. To znamená telefonní čísla, adresy a podobně. Produktem veškerého kyberzločinu jsou skutečná data. Vše ostatní se poté točí už jen kolem nich.

Robert: Když někomu řeknete své jméno a ten člověk si vás ještě ten den najde na sociálních sítích, může si pohodlně dohledat vše ostatní. Útočník získá důležité indicie, které vyústí v to, že vydedukuje, že uživatel XY může mít stejné heslo na různé služby. Útočník pak získá přístup k - pro vás - minoritní záležitosti, ale díky tomu se dostane do služby, o kterou má opravdu zájem.

Alexej: Existují stránky (https://haveibeenpwned.com/), kde si na základě svého e-mailu můžete ověřit, jak jsou na tom služby, kam jste se v minulosti registrovali. Já sám jsem si to vyzkoušel a zjistil jsem, že na jednom fóru, kde jsem se kdysi registroval, byla data ukradená.

Jaké jsou možnosti obrany z pohledu uživatelů?

Robert: Běžný člověk využívající moderní technologie a internet, se bude bránit velice těžko. Ne každý má čas řešit, jestli stránka, odkaz či aplikace jsou korektní či nikoliv. Možnost obrany rozhodně spočívá v několikanásobném způsobu autorizace a ověření adresy v prohlížeči. A samozřejmě je důležité vzdělávat se v oblasti online bezpečnosti, správně volit hesla a podobně. V neposlední řadě využívat aktualizované antivirové aplikace.

Alexej: Stačí být skutečně pozorný a všímat si drobností, třeba když vás prohlížeč upozorní, že se jedná o nezabezpečené připojení, tak to dále nepokoušet. I e-mailový klient umí blokovat podezřelý obsah. Phishingový útočník spoléhá na to, že člověk nemá tendenci číst obsah vyskakovacího okénka s hláškou – většinou okamžitě ťukne na křížek vpravo a pokračuje. 

Máte nějaké rady a tipy, jak rozeznat podezřelou stránku od korektní?

Alexej: Lidé by se především měli řídit selským rozumem. Na stránkách e-shopů můžete i dnes očekávat, že zabezpečení nebude úplně dostačující, ale například u banky by 100% zabezpečení mělo být samozřejmostí. Vždy lze nahlédnout do zdrojového kódu stránky. Neni nic víc podezřelejšího, než vidět volání SAVE.PHP v části přihlašovacího formuláře.

Jak přemýšlí člověk, který vytváří phishing?

Alexej: Phishingový tvůrce musí vědět jaká data chce získat a jak dostat co nejvíce lidí na jeho podvodnou stránku.

Robert: Nejjednodušší varianta pro phishingového tvůrce je vzít seznam e-mailových kontaktů a poslat jim odkaz na svou stránku, to je tzv. surová metoda útoku. Větší potenciál na úspěch má varianta nabourání do webového serveru, využití jeho chyby a podstrčení falešné adresy, na kterou přivedou návštěvníky. Například web využívající WordPress, který je jinak dobře zabezpečeným redakčním systémem, má jednu velkou slabinu - pluginy.

Když už jsme u toho vžívání se do kůže phishingového pisálka, tak co třeba zfalšování obchodního newsletteru?

Alexej: Zfalšovat newsletter a tvářit se jako pravá firma, to je velmi banální úkon. Navíc můžete v kódu maskovat i e-mail, takže vše vypadá na první pohled důvěryhodně. Třeba sám LinkedIn láká uživatele e-mailem a říká jim, podívejte se, kdo si prohlíží váš profil. Takže věřím, že by člověk ani nezpozoroval rozdíl mezi phishingovým e-mailem a korektním oznámením z této sítě.

Robert: Je třeba vzbudit u lidí důvěru. Když se vám to povede, máte vyhráno.

Už na začátku jste zmiňovali, že phishing zasahuje i právě sociální sítě. Jak se to dělá a jaké s tím máte osobní zkušenosti?

Robert: Mně přijde hodně zajímavá situace, když Facebook napíše, že stránka vypršela a odhlásí vás. A nyní pozor! Existují metody, jak zobrazit dialog, že stránka vypršela a je potřeba se znovu přihlásit do účtu na Facebooku. Takže útočník se pokusí zfalšovat tuto stránku, která poté získané informace uloží někam na server a samozřejmě k žádnému opětovnému přihlášení nedojde a vaše přihlašovací údaje jsou již poslány útočníkovi.

Alexej: Vybavuji si jeden případ phishingové aplikace na Facebookové doméně. Útočníkům se podařilo vložit iFrame do kvízové aplikace. To by poznal málokdo. Aplikace byla jednoduchá, vlastně jen formulář, takže skutečně nic světoborně sofistikovaného, ale překvapení bylo, že se povedlo dát do oficiálního prostředí Facebooku. Samozřejmě to umřelo hodně rychle.

Jak vlastně vypadá každodenní práce lovců phisnigu?  

Alexej: Je to především práce s různým softwarem. Základ je editor, následně se hodí nějaký virtuální stroj a nutná je v našem případě i databáze. Do ní ukládáme informace o nalezených vzorcích.

Robert: Díky těmto nástrojům získáváme postupně informace, které pak zpracováváme. To je moment, kdy jsme my sami aktivně na stopě phishingu. Dále máme podporu od našich zákazníků, kteří nás zásobují stále novými daty. A když to celé shromáždíme a začneme analyzovat, jsme schopni predikovat, která stránka by mohla být phishing, protože je podobná stránce, kde už phishing byl. Ať už obsahem, velikostí nebo něčím jiným nestandardním.

Alexej: Phishing je o kvantitě, ne o kvalitě, a my bychom nezvládli projíždět ručně každý soubor zvlášť. Nejvíce našeho času zabere právě ta práce s daty ve velkých blocích. A zaměřujeme se u nich na charakteristiku podobností. Interní nástroje, které v Avastu tvoříme, si hrají pak právě s tou podobností a se shlukováním prvků v daných stránkách nebo odkazech.

Robert: Kromě analýzy phishingu se zabýváme i analýzou skriptů, které obsahují infikovaný kód. A pak je tu fáze vzdělávací. Sledujeme Twitter a světové blogy, abychom byli neustále v obraze.

Alexej: Potřebujeme zamezit šíření phishingu. Ten se šíří za pomocí URL adresy, takže spolupracujeme i s kolegy z jiných oddělení. A jedině díky spolupráci dokážeme včas detekovat phishing. 

Robert: Phishing je první věc, kterou autoři virů zneužijí, aby získali přístup a následně šířili malware, nebo z počítače udělali botnet. Takže zamezovat šíření phishingu je velmi důležitý krok.

Alexej: Stačí být o něco více obezřetnější. Někdy hledání pro nás důležité informace, může vést k tomu, že na bezpečnost až tolik nedbáme. Dosti často to končí například registraci na nějakém pofidérním fóru, kde je slabé zabezpečení. Uživatelé při registraci použiji svoji obvyklou kombinaci přihlašovacích údajů a už maji zaděláno na možné problémy. Je ale pravda, že někdy při surfování na internetu, postupuji sám dosti podobně (směje se).