Minulý týden Česká republika žila útoky, kterými neznámí hackeři napadli či se pokusili napadnout statisíce uživatelů Internetu u nás a přesvědčit je, aby odevzdali své přihlašovací údaje do internetového bankovnictví falšovaným stránkám České spořitelny.
Česká spořitelna vydala spoustu stanovisek a prohlášení, jež popírají, že by šlo o nějaký problém či indiskreci jmenovaného bankovního ústavu – třeba o krádež databáze klientů. Všechno, co jsem zjistil při přípravě této reportáže, ukazuje, že spořitelna je v celé cause skutečně nevinně. Prostě doplácí na skutečnost, že má milióny klientů, takže láká počítačové piráty. Teoreticky totiž mohou piráti neboli hackeři napadnout opravdu velké množství lidí.
Ale co se vlastně minulý týden stalo?
„Drahou?ek Zákazník, Tato is tvuj funkcionár oznámení dle Ceská Sporitelna aby clen urcitý služba dát pozor pod vule být deactivated a odstranit kdyby nedošlo k obnovit se bezprostrední,“ napsal mi neznámý autor tvářící se jako Česká spořitelna. „Musit obnovit se clen urcitý služba dát pozor pod ci ono vule být deactivated a odstranit. Obnovit se Ted tvuj SERVIS 24 Internetbanking,“ pokračoval a opravdu mne ani na chvíli nenapadlo, že by takový mail mohl být odeslán z České spořitelny. Tam totiž umějí česky.
Přesto to vypadalo, že je skutečně odeslán z e-mailové adresy ceskasporitelna@csas.cz. Také v něm byl odkaz, který směřoval kamsi na Tchaj-wan. Na stránku, co vypadala jako stránka České spořitelny, jen trochu pozměněná. Druhý mail, jenž přišel, už byl propracovanější. „Varování pred novou verzí podvodných e-mailu.
Vážení klienti, rádi bychom Vás upozornili na novou verzi podvodného e-mailu (tzv. phishingu). Nová verze e-mailu má jako ty predešlé vzbudit dojem, že byla odeslána z e-mailové adresy Ceské sporitelny, tentokrát však z ofi ciální e-mailové adresy banky csas@ csas.cz. Obsahuje odkaz v tele na údajné webové stránky internetového bankovnictví banky a uživatel je vyzván k prihlášení, tedy zadání osobních bankovních údaju.“
Až na drobné chyby v diakritice správná čeština, věrohodně znějící sdělení a samozřejmě odkaz, který jako by byl nasměrován na server České spořitelny. Ve skutečnosti však ukazoval na tchajwanský server kbronet.com.tw, provozovaný společností TUNGHO-NET.
Tam byla připravena falešná stránka České spořitelny. Čeština na ní byla v pořádku, až na částečně chybějící diakritiku, a stránka po uživateli chtěla, aby zadal do formuláře klientské číslo a heslo k účtu internetového bankovnictví, a hlavně PIN platební karty.
Zadal jsem do kolonek samé nuly – chtěl jsem vyzkoušet, kam mne to po odeslání dat přesměruje – a byl jsem rázem na pravé stránce České spořitelny, kde byly vypsány zásady správného zabezpečení klientských přihlašovacích údajů.
Tedy například to, že spořitelna s klienty zásadně podobnými maily nekomunikuje. Počítačový podvodník nejspíš má smysl pro humor.
Jeho činnost se jmenuje rhybaření, anglicky phishing. Dnes je jako phishing označována technika používaná k získání osobních údajů člověka, která využívá falešných e-mailových zpráv. Ty se tváří, jako by pocházely od skutečných firem, s nimiž příjemce běžně komunikuje. Získané údaje jsou pak většinou použity k převodu peněz oběti na konto útočníka. Původně bylo slovo phishing, obdoba anglického slova pro rybaření fishing, vymyšleno zhruba v roce 1996 hackery, kteří odcizili tímto způsobem seznam uživatelských jmen a hesel společnosti America Online, poskytující připojení k Internetu.
K obeslání klientů spořitelny potřebujete nejprve seznam e-mailových adres. Získat ho není problém.
Na světě existují celé obří adresáře internetových adres nasbíraných na Internetu nebo koupených na černém trhu uspořádané podle zemí či internetových domén. Neznámý hacker využil seznam adres pro Českou republiku, neboť získat seznam adres skutečně jen klientů České spořitelny by bylo nesrovnatelně těžší. Proto dostávají maily „od spořitelny“ i lidé, kteří u ní nemají účet.
Druhá věc už je těžší. K tomu, aby phishing přinesl útočníkovi požadovaná data, je třeba velmi intenzívní, byť nevědomé spolupráce oklamaného. Jenže všechny finanční instituce dnes upozorňují, že jejich klient by na podobný mail neměl vůbec reagovat, protože finanční ústavy k podobné komunikaci maily nevyužívají. Nicméně rhybaření je útokem na lidský faktor, a tak se přes všechno poučování klientů vždy najde alespoň několik zoufalců, již své osobní údaje rádi vydají. Je to přímo úměrné počtu počítačově zcela negramotných uživatelů počítačů.
A těch není úplně málo. Například podle zprávy americké Federal Trade Commission, vládní agentury zaobírající se v USA mimo jiné ochranou zákazníků, se obětí krádeže identity za rok 2002 stalo 9,9 miliónu obyvatel USA, kteří přišli o pět miliard dolarů (dnes asi 80 miliard korun).
V březnu 2005 brazilská policie zadržela Valdira Paula de Almeidu, hlavu osmnáctičlenného týmu organizátorů, programátorů a techniků, již denně odesílali tři milióny phishingových e-mailů. Způsobená škoda byla odhadnuta na padesát miliónů dolarů. Švédská banka Nordea přišla díky phishingu za rok 2006 skoro o osm miliónů švédských korun – více než milión amerických dolarů. Podle serveru zive.cz v roce 2006 napáchal phishing škody za 2,3 miliardy, loni už za 3,2 miliardy amerických dolarů. A to přesto, že se finanční instituce při každé cause snaží pomocí specializovaných firem zablokovat falešnou webovou stránku.
Podle knihy Lance Jamese Phishing bez záhad na světě operuje asi třicet šest aktivních skupin phisherů, kteří denně odešlou asi pětadvacet miliónů mailů. Většina zásilek je rozesílána do skupiny adresátů o sto tisících adresách.
Míra návratnosti se pohybuje mezi 0,01 až 0,1 procenta. Na každou „standardní“ hromadnou zásilku se tedy může nachytat deset až sto adresátů. K provozování phishingu jsou potřebné v podstatě jen průměrné znalosti počítačů a programování.
Je samozřejmé, že v zemích s vyspělejšími a rozšířenějšími informačními technologiemi, jako jsou například USA, má phishing tradici a tamní phisheři už dokázali ukrást pěkné peníze. V České republice (pokud jej finanční instituce neutajily, to nelze v této oblasti podnikání nikdy vyloučit) prý dosud nějaká „velká rána“ neproběhla. „Komerční banka upozorňuje klienty na výskyt neoprávněných e-mailových požadavků na zaslání údajů o platební kartě včetně osobního identifi kačního čísla (PIN),“ najdeme dodnes na Internetu zprávu z 11. 6. 2004. To byl asi první zaznamenaný případ u nás. Jak to bylo s Českou spořitelnou, nynějším nejčastějším cílem?
„První útok na Českou spořitelnu přišel na podzim roku 2006,“ říká její tisková mluvčí Klára Gajdušková. „Vzhledem k počtu našich klientů má odesilatel phishingového spamu jistotu, že značná část jeho českých adresátů bude právě zde mít účet.
Vrcholná phisherská sezóna u nás nastala letos šestého ledna. Tehdy phisheři rozeslali e-mail lákající na falešné stránky spořitelny, ale bohužel azbukou. Nenachytal se nikdo.
U tohoto mailu – a stejně i u dalšího, který tituloval adresáty slovy „drahou?ek zákazník“ – bylo otázkou, zda se jedná o skutečný pokus vylákat z klientů jejich hesla, nebo o pokus poškodit pověst spořitelny. Maily byly totiž tak blbé, že se nedalo se získáním hledaných údajů počítat.
Letos poprvé čtvrtého března upozornili spořitelnu klienti na další mail a to už je ten, který inicioval napsání tohoto článku – mail varující před sebou samým. Jeho text vznikl okopírováním varování na pravém webu České spořitelny. Podle Gajduškové mu uvěřily „jednotky klientů“ a „škody nejsou nijak závratné“. Spořitelna se obrátila na policii, jíž se prý už podařilo v minulosti v některých honech na hackery uspět. Nic bližšího mi prý mluvčí spořitelny nesdělí s výmluvou na ochranu soukromí klientů.
Poslední phisherský e-mail, který mi v období, kdy připravuji tento článek, přijde, se tváří, že je odeslán z mailu message@csas.cz. Je v angličtině a vybízí mne, abych klikl na link. Link je opravdový a směrovaný na doménu ceskasporitelna.info. Ne někam na Tchaj-wan na freeweb, ale na konkrétní doménu v Americe, kde je snadno možné vyžádat právní pomoc tamních úřadů. Stránka už nefunguje, ale jde zaměřit. Konzultuji to s naším firemním IT oddělením a zjistíme, že jde o doménu, již má zaregistrovanou konkrétní osoba. Cathline Ritter, P. O. Box 99800, EmeryVille, California, a uvádí i telefon. Když tam zavoláme, ozve se záznamník pravící, že je hlasová schránka plná. Někdo si tedy dal tu práci, že alespoň uvedl skutečný telefon, a tak alespoň nějakou stopu k phisherovi by tam snad úřady mohly dohledat.
Tak se optám opět paní Gajduškové, zda o serveru ceska-sporitelna.info ve spořitelně něco vědí. Jsem prý první, kdo jim informaci o něm přináší. Zavolám tedy ještě na Policejní prezídium a vznesu dotaz, jestli o té doméně, a především jejím majiteli něco vědí alespoň oni, nebo zda například požádali o spolupráci americký FBI. Do uzávěrky listu policie neodpověděla.
Jaké jsou vaše zkušenosti s útoky hackerů a phishingem?
Ale co se vlastně minulý týden stalo?
PRVNÍ VAROVÁNÍ
„Drahou?ek Zákazník, Tato is tvuj funkcionár oznámení dle Ceská Sporitelna aby clen urcitý služba dát pozor pod vule být deactivated a odstranit kdyby nedošlo k obnovit se bezprostrední,“ napsal mi neznámý autor tvářící se jako Česká spořitelna. „Musit obnovit se clen urcitý služba dát pozor pod ci ono vule být deactivated a odstranit. Obnovit se Ted tvuj SERVIS 24 Internetbanking,“ pokračoval a opravdu mne ani na chvíli nenapadlo, že by takový mail mohl být odeslán z České spořitelny. Tam totiž umějí česky.
Přesto to vypadalo, že je skutečně odeslán z e-mailové adresy ceskasporitelna@csas.cz. Také v něm byl odkaz, který směřoval kamsi na Tchaj-wan. Na stránku, co vypadala jako stránka České spořitelny, jen trochu pozměněná. Druhý mail, jenž přišel, už byl propracovanější. „Varování pred novou verzí podvodných e-mailu.
Vážení klienti, rádi bychom Vás upozornili na novou verzi podvodného e-mailu (tzv. phishingu). Nová verze e-mailu má jako ty predešlé vzbudit dojem, že byla odeslána z e-mailové adresy Ceské sporitelny, tentokrát však z ofi ciální e-mailové adresy banky csas@ csas.cz. Obsahuje odkaz v tele na údajné webové stránky internetového bankovnictví banky a uživatel je vyzván k prihlášení, tedy zadání osobních bankovních údaju.“
Až na drobné chyby v diakritice správná čeština, věrohodně znějící sdělení a samozřejmě odkaz, který jako by byl nasměrován na server České spořitelny. Ve skutečnosti však ukazoval na tchajwanský server kbronet.com.tw, provozovaný společností TUNGHO-NET.
Tam byla připravena falešná stránka České spořitelny. Čeština na ní byla v pořádku, až na částečně chybějící diakritiku, a stránka po uživateli chtěla, aby zadal do formuláře klientské číslo a heslo k účtu internetového bankovnictví, a hlavně PIN platební karty.
Zadal jsem do kolonek samé nuly – chtěl jsem vyzkoušet, kam mne to po odeslání dat přesměruje – a byl jsem rázem na pravé stránce České spořitelny, kde byly vypsány zásady správného zabezpečení klientských přihlašovacích údajů.
Tedy například to, že spořitelna s klienty zásadně podobnými maily nekomunikuje. Počítačový podvodník nejspíš má smysl pro humor.
Jeho činnost se jmenuje rhybaření, anglicky phishing. Dnes je jako phishing označována technika používaná k získání osobních údajů člověka, která využívá falešných e-mailových zpráv. Ty se tváří, jako by pocházely od skutečných firem, s nimiž příjemce běžně komunikuje. Získané údaje jsou pak většinou použity k převodu peněz oběti na konto útočníka. Původně bylo slovo phishing, obdoba anglického slova pro rybaření fishing, vymyšleno zhruba v roce 1996 hackery, kteří odcizili tímto způsobem seznam uživatelských jmen a hesel společnosti America Online, poskytující připojení k Internetu.
BEZ BLBOSTI TO NEJDE
K obeslání klientů spořitelny potřebujete nejprve seznam e-mailových adres. Získat ho není problém.
Na světě existují celé obří adresáře internetových adres nasbíraných na Internetu nebo koupených na černém trhu uspořádané podle zemí či internetových domén. Neznámý hacker využil seznam adres pro Českou republiku, neboť získat seznam adres skutečně jen klientů České spořitelny by bylo nesrovnatelně těžší. Proto dostávají maily „od spořitelny“ i lidé, kteří u ní nemají účet.
Druhá věc už je těžší. K tomu, aby phishing přinesl útočníkovi požadovaná data, je třeba velmi intenzívní, byť nevědomé spolupráce oklamaného. Jenže všechny finanční instituce dnes upozorňují, že jejich klient by na podobný mail neměl vůbec reagovat, protože finanční ústavy k podobné komunikaci maily nevyužívají. Nicméně rhybaření je útokem na lidský faktor, a tak se přes všechno poučování klientů vždy najde alespoň několik zoufalců, již své osobní údaje rádi vydají. Je to přímo úměrné počtu počítačově zcela negramotných uživatelů počítačů.
A těch není úplně málo. Například podle zprávy americké Federal Trade Commission, vládní agentury zaobírající se v USA mimo jiné ochranou zákazníků, se obětí krádeže identity za rok 2002 stalo 9,9 miliónu obyvatel USA, kteří přišli o pět miliard dolarů (dnes asi 80 miliard korun).
V březnu 2005 brazilská policie zadržela Valdira Paula de Almeidu, hlavu osmnáctičlenného týmu organizátorů, programátorů a techniků, již denně odesílali tři milióny phishingových e-mailů. Způsobená škoda byla odhadnuta na padesát miliónů dolarů. Švédská banka Nordea přišla díky phishingu za rok 2006 skoro o osm miliónů švédských korun – více než milión amerických dolarů. Podle serveru zive.cz v roce 2006 napáchal phishing škody za 2,3 miliardy, loni už za 3,2 miliardy amerických dolarů. A to přesto, že se finanční instituce při každé cause snaží pomocí specializovaných firem zablokovat falešnou webovou stránku.
Podle knihy Lance Jamese Phishing bez záhad na světě operuje asi třicet šest aktivních skupin phisherů, kteří denně odešlou asi pětadvacet miliónů mailů. Většina zásilek je rozesílána do skupiny adresátů o sto tisících adresách.
Míra návratnosti se pohybuje mezi 0,01 až 0,1 procenta. Na každou „standardní“ hromadnou zásilku se tedy může nachytat deset až sto adresátů. K provozování phishingu jsou potřebné v podstatě jen průměrné znalosti počítačů a programování.
PHISHING PO ČESKU
Je samozřejmé, že v zemích s vyspělejšími a rozšířenějšími informačními technologiemi, jako jsou například USA, má phishing tradici a tamní phisheři už dokázali ukrást pěkné peníze. V České republice (pokud jej finanční instituce neutajily, to nelze v této oblasti podnikání nikdy vyloučit) prý dosud nějaká „velká rána“ neproběhla. „Komerční banka upozorňuje klienty na výskyt neoprávněných e-mailových požadavků na zaslání údajů o platební kartě včetně osobního identifi kačního čísla (PIN),“ najdeme dodnes na Internetu zprávu z 11. 6. 2004. To byl asi první zaznamenaný případ u nás. Jak to bylo s Českou spořitelnou, nynějším nejčastějším cílem?
„První útok na Českou spořitelnu přišel na podzim roku 2006,“ říká její tisková mluvčí Klára Gajdušková. „Vzhledem k počtu našich klientů má odesilatel phishingového spamu jistotu, že značná část jeho českých adresátů bude právě zde mít účet.
Vrcholná phisherská sezóna u nás nastala letos šestého ledna. Tehdy phisheři rozeslali e-mail lákající na falešné stránky spořitelny, ale bohužel azbukou. Nenachytal se nikdo.
U tohoto mailu – a stejně i u dalšího, který tituloval adresáty slovy „drahou?ek zákazník“ – bylo otázkou, zda se jedná o skutečný pokus vylákat z klientů jejich hesla, nebo o pokus poškodit pověst spořitelny. Maily byly totiž tak blbé, že se nedalo se získáním hledaných údajů počítat.
Letos poprvé čtvrtého března upozornili spořitelnu klienti na další mail a to už je ten, který inicioval napsání tohoto článku – mail varující před sebou samým. Jeho text vznikl okopírováním varování na pravém webu České spořitelny. Podle Gajduškové mu uvěřily „jednotky klientů“ a „škody nejsou nijak závratné“. Spořitelna se obrátila na policii, jíž se prý už podařilo v minulosti v některých honech na hackery uspět. Nic bližšího mi prý mluvčí spořitelny nesdělí s výmluvou na ochranu soukromí klientů.
POSLEDNÍ ÚTOK
Poslední phisherský e-mail, který mi v období, kdy připravuji tento článek, přijde, se tváří, že je odeslán z mailu message@csas.cz. Je v angličtině a vybízí mne, abych klikl na link. Link je opravdový a směrovaný na doménu ceskasporitelna.info. Ne někam na Tchaj-wan na freeweb, ale na konkrétní doménu v Americe, kde je snadno možné vyžádat právní pomoc tamních úřadů. Stránka už nefunguje, ale jde zaměřit. Konzultuji to s naším firemním IT oddělením a zjistíme, že jde o doménu, již má zaregistrovanou konkrétní osoba. Cathline Ritter, P. O. Box 99800, EmeryVille, California, a uvádí i telefon. Když tam zavoláme, ozve se záznamník pravící, že je hlasová schránka plná. Někdo si tedy dal tu práci, že alespoň uvedl skutečný telefon, a tak alespoň nějakou stopu k phisherovi by tam snad úřady mohly dohledat.
Tak se optám opět paní Gajduškové, zda o serveru ceska-sporitelna.info ve spořitelně něco vědí. Jsem prý první, kdo jim informaci o něm přináší. Zavolám tedy ještě na Policejní prezídium a vznesu dotaz, jestli o té doméně, a především jejím majiteli něco vědí alespoň oni, nebo zda například požádali o spolupráci americký FBI. Do uzávěrky listu policie neodpověděla.
Jaké jsou vaše zkušenosti s útoky hackerů a phishingem?
