E-banking
17. 4. 2007
Phishing
Phishing (někdy převáděno do češtiny jako rhybaření) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.
Princip útoku
Příklad e-mailu
Následující e-mail obdrželo velké množství českých uživatelů na začátku října 2006
Dobry den vazeni klienti!
Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich
operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich
zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku
nebezpeci ztraty peneznich prostredku z uctu.
S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje
s frodem. Do 1.listopadu musi vsechny nasi klienti aktivovat novy system
bezpecnosti vlastnich uctu.
Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan
uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli
experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho
zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych
zdrojich.
Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani
systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz
podvržený odkaz
a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy
bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere
nesrovnalosti.
Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy
vznikajicich potizi, prace na jejich odstraneni jiz probihaji.
Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu,
v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace
Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy
bezpecnostni standard.
S pozdravem, Oddeleni Banky pro ochranu pred frodem.
Název
Anglické slovo fishing znamená rybaření, rybolov, což v tomto kontextu označuje rozesílání „návnady“ (e-mailových zpráv) v naději, že „se chytí“ některé oběti. Náhrada prvního f za homofonní ph má několik vysvětlení; nejpravděpodobnější je přirovnání k tzv. phreakingu, resp. obecně je záměna f za ph běžná v tzv. leetspeeku, slangu používaném v jisté internetové subkultuře. Objevuje se i teorie s významem zkratky password harvesting fishing, tzn. zhruba „rybolov sklízením hesel“, ta je však chybná.
V češtině se slovo používá velmi často neupravené, případně se používá „počeštěná“ varianta rhybaření, případně rhybhaření, rhybolov, rhybholov. Tento kalk je však poněkud umělý, anglická homofonie ph↔f v češtině protějšek nemá.
Boj s phishingem
Existuje několik úrovní boje s phishingem: na uživatelské úrovni zejména osvěta a dodržování bezpečnostních pravidel, na softwarové úrovni je možno používat specializované nástroje, které phishingové útoky umožňují detekovat a upozorňovat na ně. Také existují organizace, které se bojem s phishingem zabývají cíleně a stránky využívané k těmto útokům odstraňují. Některé státy už dokonce vytvořily specializovanou legislativu zaměřenou na phishing.
Phishing (někdy převáděno do češtiny jako rhybaření) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.Princip útoku
Příklad e-mailu
Následující e-mail obdrželo velké množství českých uživatelů na začátku října 2006
Dobry den vazeni klienti!
Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich
operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich
zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku
nebezpeci ztraty peneznich prostredku z uctu.
S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje
s frodem. Do 1.listopadu musi vsechny nasi klienti aktivovat novy system
bezpecnosti vlastnich uctu.
Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan
uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli
experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho
zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych
zdrojich.
Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani
systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz
podvržený odkaz
a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy
bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere
nesrovnalosti.
Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy
vznikajicich potizi, prace na jejich odstraneni jiz probihaji.
Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu,
v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace
Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy
bezpecnostni standard.
S pozdravem, Oddeleni Banky pro ochranu pred frodem.
Název
Anglické slovo fishing znamená rybaření, rybolov, což v tomto kontextu označuje rozesílání „návnady“ (e-mailových zpráv) v naději, že „se chytí“ některé oběti. Náhrada prvního f za homofonní ph má několik vysvětlení; nejpravděpodobnější je přirovnání k tzv. phreakingu, resp. obecně je záměna f za ph běžná v tzv. leetspeeku, slangu používaném v jisté internetové subkultuře. Objevuje se i teorie s významem zkratky password harvesting fishing, tzn. zhruba „rybolov sklízením hesel“, ta je však chybná.V češtině se slovo používá velmi často neupravené, případně se používá „počeštěná“ varianta rhybaření, případně rhybhaření, rhybolov, rhybholov. Tento kalk je však poněkud umělý, anglická homofonie ph↔f v češtině protějšek nemá.
Boj s phishingem
Existuje několik úrovní boje s phishingem: na uživatelské úrovni zejména osvěta a dodržování bezpečnostních pravidel, na softwarové úrovni je možno používat specializované nástroje, které phishingové útoky umožňují detekovat a upozorňovat na ně. Také existují organizace, které se bojem s phishingem zabývají cíleně a stránky využívané k těmto útokům odstraňují. Některé státy už dokonce vytvořily specializovanou legislativu zaměřenou na phishing.
Komentáře
Přehled komentářů
Dobrý článek.
Divím se, že na tu návnadu někdo skočil, ale i to se může stát.
poučné :-)
(David, 24. 4. 2007 19:46)