Rybářská sezóna vrcholí, aneb phishing je stále s námi…

… a asi ještě nějakou dobu bude, proto určitě není od věci přečíst si následující řádky a pokud nejste v IT kovaní, tak snad se i něco přiučit.

Načasování hraje svou roli

Z naší zkušenosti se podvodné akce dějí často mimo pracovní dobu. Lidé už jsou myšlenkami jinde a snáze přehlídnou detaily, kterých by si jindy všimli. Také čas reakce firmy, jejíž identita je podvržena, je delší. Jak tedy obvykle probíhají phishingové útoky? Ukážeme si to na případu, který ve FORPSI právě řešíme. Útočník zasílá adresátům podvodné e-maily, které vypadají, jako by byly zaslány naší společností, ale samozřejmě to tak není.

V textu vyvíjí časový tlak na majitele sdělením, že jeho služba (např. doména) brzy expiruje a vyzývá ho k co nejrychlejší úhradě. Kliknutím na link v e-mailu je zákazník směrován na podvrženou stránku, která vypadá stejně jako stránka FORPSI. Cílem phishingového útoku může být získání a následné zneužití přístupových údajů ke službám, nebo získání finančního prospěchu anebo obojí. V aktuálním případě je majitel domény po zadání přihlašovacích údajů přesměrován na platební bránu, která také není reálná. Po vyplnění údajů platební karty a zadání 3D secure kódu je z účtu stržena částka ve prospěch podvodníka – mnohdy mnohanásobně vyšší oproti běžné ceně služby (nyní např. ve srovnání s prodloužením domény).

I když je všude uvedena naše značka, je zobrazována kopie našeho webu a napodoben proces objednání, nebo v tomto případě prodloužení služby, naše společnost nemá s tímto podvodným jednáním nic společného a bohužel neexistuje účinný prostředek, který by takovému podvodnému jednání zabránil.

Jak tedy chránit zákazníky když už k phishingu dojde?

Zákazníky, kteří používají naše e-mailové řešení, můžeme ochránit odfiltrováním podvodných e-mailů. Spojili jsme se s největšími poskytovateli e-mailových služeb v České republice s žádostí o přijetí stejných opatření. Abychom zjistili data potřebná k odfiltrování zpráv, je nutná součinnost s uživateli, kterým už byl e-mail doručen. Potřebujeme od nich detailní informace obsažené v tzv. hlavičce e-mailu. Poté probíhá sběr dat a jejich analýza. Útočník ale nebývá hloupý, proto e-maily odesílá z více míst a mění parametry, takže uvedená opatření je potřeba neustále aktualizovat a podnikat další kroky, aby podvodné e-maily byly odfiltrovány.

Dále je potřeba dosáhnout zajištění nedostupnosti podvodné stránky. Útočník totiž napadne web, kam umístí škodlivý kód. Na tomto webu vytvoří kopii stránky, případně platební brány a z e-mailu tento web odkazuje. Majitel zpravidla nemá tušení o tom, že na jeho webu běží podvržená stránka. Webů může být i více. Je potřeba kontaktovat majitele domény, majitele webu, jeho provozovatele a požádat je o odstranění škodlivého obsahu.

No a v neposlední řadě informovat. V našem případě je informace včetně aktualizací publikována na portálu zákaznické podpory s prolinkem na detailní informace ve znalostní bázi a na sociálních sítích. Pokud jste jedním z uživatelů Twitteru a pomáhali jste nám informaci šířit, děkujeme. Výrazné tlačítko s prolinkem na více informací je umístěno na naší homepage. Několik zákazníků se nás ptalo, proč jsme okamžitě neinformovali hromadným e-mailem. Je to z důvodu obtížného zacílení e-mailu. Nikdy nevíte, kolik zákazníků a kdo podvodný e-mail dostal. V posledním případě byly podvodné e-maily rozeslány i majitelům domén, kteří u nás žádné služby nemají. Oslovit databázi více než 100 tisíc zákazníků, z nichž možná 99 % podvodný e-mail nedostalo a tedy neví oč jde, by bylo matoucí a kontraproduktivní.

Co tedy dělat, když už podvodný e-mail dostanete?

Řiďte se pravidlem 3N: Neodpovídat, Neklikat, Nevyplňovat.

Pokud máte pochybnosti o tom, zda je vaši službu (např. doménu) opravdu potřeba prodloužit, vypište do prohlížeče naši adresu admin.forpsi.com (chráněno SSL certifikátem vystaveným na naši společnost INTERNET CZ, a. s.), přihlaste se do administrace a zkontrolujte datum expirace. Pokud si nevíte rady, pošlete tiket naší zákaznické podpoře s žádostí o prověření potřeby prodloužit službu. Přepošlete podvodný e-mail společnosti, jejímž jménem byl odeslán. Můžete tím pomoci odfiltrování podvodných e-mailů od dalších uživatelů a minimalizovat tak celkový dopad podvodu.

Jak je možné identifikovat podvod?

I když se útočníci hodně snaží a podvodné e-maily jsou stále věrnějšími napodobeninami těch reálných, dokonce i jazykové formulace jsou už téměř bezchybné, pozorné oko většinou nějaké rozdíly odhalí.

Podvodný e-mail

Skutečný e-mail

Důležité je věnovat pozornost už odesílateli zprávy. Naše e-maily jsou odesílány z adresy is@forpsi.com, podvodné e-maily přišly z adresy forpsi@vasedomena.xx. Dále je potřeba pozorně číst text, formulace „abyste se vyhnuli a servisní střih“ by vám měla připadat podezřelá. Další výrazný rozdíl je v linku k prodloužení domény, útočníci použili delší link s uvedením názvu domény na konci, v pravém e-mailu je tlačítko „Objednat prodloužení“. Pak jsou samozřejmě i rozdíly v textu, ten reálný je delší a obsahuje různá upozornění.

Jak odhalit podvrženou stránku?

Podvržená stránka

Pravá stránka

Dle vzhledu velmi těžko. Pokud se přihlašujete na stránku, tedy zadáváte svůj login a heslo, vždy si zkontrolujte, že je zabezpečena SSL certifikátem, který je vystavený na správnou společnost. Nestačí, že je zobrazena ikonka zámku v adresním řádku. V našem případě je na pravé stránce zobrazeno, že se informace týká serveru admin.forpsi.com a certifikát je vystaven na společnost INTERNET CZ, a. s., kdežto podvržená stránka poskytuje informace o serveru forpsipaiement-com-názevdomény a není uvedena žádná firma. Na podvržené stránce také nefunguje přihlášení přes Moje ID.

Příklady správných URL (text za lomítkem není podstatný pro rozlišení phishingu):

admin.forpsi.com/domain/domains-list.php

admin.forpsi.com/payment/select_payment.php

Příklady podvržených URL (pozor, můžou obsahovat i text forpsi.com):

admin-forpsi.com.podvod.com

payment-forpsi.com.napadeny-web.bf

V aktuálním podvodném procesu byl zákazník po přihlášení do administrace přesměrován ihned na platební bránu. Reálně probíhá na FORPSI vždy ještě mezikrok, kdy si zákazník vybírá platební metodu.

Podvržené rozhraní:

Pravé rozhraní:

Pokud jste nezbystřili vaše smysly už při přihlašování, tak v tomto kroku, kdy jde o platbu už byste měli být stoprocentně pozorní. Platební brána na pohled vypadá dost podobně, ale opět je rozdíl v url. Zatímco pravé platební rozhraní je na url gate.gopay.cz a opět si můžete zobrazit informace o certifikátu, podvržené rozhraní je na „divné“ adrese, v našem případě https://giuliodrei.it/cz/57e8c010e4092fed196102beab359da6/index_1.php.

Nepravé rozhraní navíc obsahuje obchod, ID platby, ID objednávky, text „doména obnovy“ a zopakovanou částku. Čtěte pozorně i texty bezpečnostní SMS. V tomto případě podvržené rozhraní zobrazovalo uhrazení částky 8 €, nicméně SMS už obsahovala kód k uhrazení částky 800 €, která pak byla z účtu skutečně odečtena. Ač platba proběhla úspěšně, zobrazila se chybová hláška, že nebyla provedena a uživatel ji má zopakovat. Dalším kliknutím se provedla opakovaná platba a odečetlo se dalších 800 €. Velmi drahá nepozornost, že?

Takto vypadala ukázka sms, která přišla na telefon. Všimněte si rozdílu v částce v platebním rozhraní (8 €) a v sms (800 €).

Jediné spolehlivé prostředky, kterými se můžete bránit, jsou vaše oči a vaše ruce. Zejména pokud jde o platby, je nutno být soustředěný a číst texty, všímat si detailů. Neklikat bezmyšlenkovitě a neprovádět platby ve spěchu.

Co dělat, pokud už jsem platbu uhradil/a?

Kontaktujte co nejrychleji po provedení platby vaši banku s informací, že bylo uhrazeno na základě podvodného jednání a dále postupujte podle jejích pokynů.

Co je to hlavní, co si z článku zapamatovat?

  • Věnujte pozornost e-mailům, všímejte si odesílatele i textu, neklikejte bezmyšlenkovitě na linky a neodepisujte, pokud je vám cokoliv podezřelé.
  • Máte-li pochybnost ohledně informace zaslané v mailu, ověřte správnost přihlášením k poskytovateli služby, nebo kontaktujte jeho zákaznickou podporu.
  • Při přihlašování nebo online placení zkontrolujte existenci a správnost certifikátu.
  • Pokud jde o platbu, čtěte pozorně všechny texty.

Diskuze

    • operator

Vložit příspěvek