Konference SECURITY 2016
Tuto středu (17. února) se v Praze konal letošní ročník pravidelné konference SECURITY zaměřené na bezpečnost v informatice. Konference má velmi dlouhou tradici, poprvé se konala už v roce 1992. Každoročně se na ni sjíždějí jak čeští a zahraniční odborníci na bezpečnost ICT, tak i mnoho zájemců o tuto oblast.
Clarion Congress Hotel letos hostil akci, kde na účastníky čekaly dva paralelní přednáškové streamy (technický a manažerský), dva workshopy, hackerská soutěž a závěrečná „tombola“ (losování anketních lístků o hodnotné ceny). Mezi mediálními partnery byly i magazíny IT Systems a LinuxEXPRES, které měly na konferenci stánek, u něhož mohli zájemci například konzultovat výběr vhodné linuxové distribuce nebo se na něco zeptat ohledně našich článků.
Předsálí na konferenci SECURITY 2016
Trendy ve phishingu
Jedním z přednáškových témat byl phishing, česky někdy označovaný jako „rhybaření“. Phishing se velmi často objevuje tam, kde jde o peníze – u bank, provozovatelů platebních služeb, karetních firem apod. Cílem záškodníka je v takových případech vylákání údajů (uživatelské jméno, heslo, číslo karty, kód CVC/CVV apod.), které následně zneužije ke svému obohacení.
O phishingu na konferenci hovořil Marek Zeman ze slovenské Tatrabanky. Tato banka se – podobně jako řada jiných – setkala s phishingem a bylo zajímavé sledovat, jak útočníci postupovali a jak se jejich útoky postupem času (v jednotlivých vlnách) vyvíjely.
Phishing a Tatrabanka
Tatrabanka se setkala s phishingem na své klienty. Útočník využil dlouhodobě známé zranitelnosti v CMS WordPress na různých webech (kde WordPress nebyl aktualizován), přes niž umísťoval na tyto weby svůj phishingový kód. Na napadené weby útočník lákal prostřednictvím desítek tisíc e-mailových zpráv rozeslaných na všemožné adresy v doméně .sk – obdrželi je příjemci bez ohledu na to, zda byli klienty banky či nikoli.
V každé zprávě byl samozřejmě odkaz, na který když se kliklo, uživatel se dostal na falešný formulář. Protože Tatrabanka používá pro přihlašovací formulář Flash, nešel tento formulář přímo použít (v HTML stačí zkopírovat ten originální a jen změnit cíl odesílání, případně upravit/injektovat JavaScript). Útočník si ho tedy vytvořil znovu a po svém (i s dalšími, podivně označenými poli včetně telefonních čísel).
Marek Zeman hovoří o phishingu
Každá phishingová stránka byla samostatně generovaná a byla napojená na svůj vlastní účet na GMailu. Po vyplnění přesměrovávala na skutečnou přihlašovací stránku Tatrabanky (čímž banka získala informace o tom, kolik lidí phishingový formulář opravdu vyplnilo, ať již skutečnými údaji nebo ze zvědavosti nesmyslnými).
Je zajímavé, že lidé, kteří phishingový formulář vyplňují „ze zvědavosti“, mnohdy používají výrazivo, které by pravděpodobně nevypustili z úst.
V dalším kroku útočník zavolal na získané telefonní číslo, představil se jako zaměstnanec Tatrabanky (hovořil přitom špatnou češtinou) a zeptal se na jednorázové heslo (OTP) z kalkulačky, které je dalším bezpečnostním prvkem. Po přihlášení do internetového bankovnictví si útočník aktivoval také mobilní přístup (s virtuální mobilní kartou a kalkulačkou OTP).
Druhá vlna phishingu přinesla menší počet e-mailových zpráv, ale lépe cílených. Pokusy o platby byly obvykle pod obvyklým limitem pro platby. Vyskytl se i úspěšný případ, kdy klient podle telefonických instrukcí autorizoval platbu ve výši 25 tisíc eur.
Tatrabanka řešila phishing nejprve reaktivně (podle vývoje událostí), následně přešla na proaktivní přístup. Problémem samozřejmě je, jak dostat ke klientům informace o tom, že se mohou stát obětí phishingu. E-mail ani telefon použít nelze, protože je používal i útočník.
Proto byla informace šířena prostřednictvím televizí (což ale nebylo příliš efektivní), hlavně ale SMS (klientům, kteří nejvíce odpovídali profilu dosavadních obětí) – s tím, že kdo se „nechal chytit“, nechť zavolá do banky. Volalo mnoho klientů, drtivá většina ale s informací, že do phishingového formuláře nic nezadali.
Účastníci konference sledují přednášku o phishingu
Proběhla ještě třetí phishingová vlna, ale ta už byla v podstatě jen dozníváním. Na konci druhé vlny útoků byly po celé Evropě zatčeny desítky nigerijců (což mohlo s útoky souviset) a zřejmě v té době došlo k prodeji útočných skriptů, které pak byly použity ve vlně třetí.
Z dalších opatření proti následkům phishingu banka zesílila monitoring podezřelých plateb, posunula mobilní OTP v čase (takže jich bylo k úspěšnému útoku potřeba více) a monitoringu byly podrobovány i okamžité platby.
Shrnutí
„Bankovní“ phishing je útok na klienta banky (ne na samotnou banku), ale banka na něj může doplatit zhoršením své reputace. Proto je v jejím zájmu na takové útoky reagovat rychle a využívat proaktivní přístup. Je při tom třeba počítat s tím, že útočníci mohou využívat stále nové metody a že někteří lidé jsou ve vztahu k phishingovým metodám až neuvěřitelně naivní.