Internetová hrozba - phishing

Internetová hrozba - phishing

Ing. Radomír Orkáč VŠB-TUO, CIT 9872 14.4.2011, Ostrava [email protected]

Nevyžádaná sdělení (spam) 

Nevyžádané sdělení (nejčastěji reklamní): 

email, diskuzní fora, návštěvní knihy, komentáře, služby rychlých zpráv, sociální sítě, sms.



Spam pochází především z botnet sítí (83,1 %).



Botnet Rustock:  

v březnu 13,82 miliard nev. emailů denně, v průměru 28,5 % z celosvětového podílu spamu rozesílaného všemi botnety,



snížení celosvětový objem spamu o třetinu,



zdroj: Symantec, březen 2011.

Spam v číslech (svět 2010) 

Z celk. počtu zpráv je 89.1% nevyžádaná pošta,



72% spamu mělo velikost menší než 5kB,



90% spamu bylo psáno v angličtině, zatímco v roce 2009 to bylo 96%,



64.2% spamu se týkalo farmaceutiky,



1 z 284.2 e-mailů obsahoval malware,



1 z 444.5 e-mailů byl phishing,



0.7% spamu bylo posláno přes webmail.

Rybaření / phishing 

r(h)ybaření, rybolov, phishing 

Útočníci ”nachytají” uživatele podobně, jako rybáři – pomocí ”návnady”.



Wikipedia: Technika phishingu byla popsána již v roce 1987.



Sociotechnika - metoda využívána k získávání důležitých informací od uživatelů „bez jejich vědomí”.

Rybaření / phishing 

Ztráta identity (jméno a heslo): rozesílaní zpráv,  získání přístupu ke službám. Ztráta peněz (číslo karty, PIN). 

 

Ovládnutí PC útočníkem (falešný antivirus, …).



…

Phishing - ukázky From: To: Subject:

System Administrator undisclosed-recipients: ; Mailbox Quota Exceeded

You have exceeded the storage limit on your mailbox. You will not be able to send or receive new mail until you upgrade your email quota. Copy the below link and paste it in your browser to upgrade your email quota. http://webmail-accountquotalimit.9hz.com/

System Administrator 192.168.0.1.

Phishing - ukázky From: To: Subject:

Radomír Orkáč undisclosed-recipients: ; E-mailový účet reaktivace

P?ekro?ili jste limit úlo?i?t? na po?tovní schránce. Nebudete moci odesílat nebo p?ijímat novou po?tu dokud upgrade va?í e-mailové kvóty. Zkopírujte ní?e odkaz a vypl?te formulá? pro upgrade svého ú?tu. http://sgipromis.com/phpFormGenerator/use/ebay/form1.html

System Administrator 192.168.0.1

Phishing - ukázky Datum: Thu, 27 Jan 2011 10:42:59 +0100 Od: "e-mail.cz" Odpovědět-komu: "e-mail.cz" Předmět: Aktualizace Vážení e-mail.cz uživatele HTK4S virus byl zjištěn u e-mail.cz Webmail server, a e-mail.cz všechny webmail účetní závěrka musí být aktualizován okamžitě, aby se zabránilo poškození webmail e-mail.cz. Jste požádáni o identifikaci účtu uvedené níže, které nám umožňují kontrolovat a udržovat svůj účet s novou verzí anti-virus/anti-Spam HTK4S 2011. neposkytnutí platné informace, bude váš účet dočasně pozastaven z našich služeb. Jméno :.................. Uživatelské jméno ............... Heslo :............ Datum narození :........... Webmail Copyright © e-mail.cz 2011 Všechna práva vyhrazena

Phishing - ukázky From: To: Subject:

Radomír Orkáč undisclosed-recipients: ; E-mailový účet reaktivace

Překročili jste limit úložiště na poštovní schránce. Nebudete moci odesílat nebo přijímat novou poštu dokud upgrade vaší e-mailové kvóty. Zkopírujte níže odkaz a vyplňte formulář pro upgrade svého účtu. http://sgipromis.com/phpFormGenerator/use/ebay/form1.html

System Administrator 192.168.0.1

podvodná stránka

podvodná stránka

podvodná stránka

podvodná stránka

podvodná stránka

originální stránka

podvodná stránka

podvodná stránka

podvodná stránka

Zdroj: www.computersecurityarticles.info

Zdroj: www.computersecurityarticles.info

Zdroj: www.computersecurityarticles.info

Falešný antivirus

video ukázka

Pharming/farmaření 

Rhybaření/phishing ve velkém.



Přesměrování komunikace na falešné stránky.



Útok těžce rozpoznatelný i pro zkušené uživatele.



Globální a lokální farmaření.

Příčiny úspěchu  



Mě se to netýká.. . 2/3 uživatelů si myslí, že se v internetové bezpečnosti vyznají ”velmi” nebo ”spíše” dobře. Každý šestý uživatel si spam otevře: 

17% omylem,



12% nabízený produkt zaujal,



13% neví proč zprávu od neznámého otevřelo,



6% chtělo vědět co se stane.

Zdroj: Messaging Anti-Abuse Working Group, 2009 .

Příčiny úspěchu V SUOIVSOLTSI S VZÝUKEMM NA CMABRIDGE UINERVTISY VLŠYO NJAVEO, ŽE NZEÁELŹÍ NA POŘDAÍ PSÍEMN VE SOLVĚ. JEDNINÁ DLEUITŽÁ VĚC JE, ABY BLYY PNVRÍ A PSOELNDÍ PÍMESNA NA SRPVÁÉNM MSTÍĚ. ZYBETK MŽUE BÝT TOTÁNLÍ SĚMS A TY TO PŘOÁD BEZ PORLBMÉU PEŘČETŠ. JE TO PROTO, ŽE LDIKSÝ MEZOK NETČE KDAŹÉ PENSÍMO, ALE SVOLO JKAO CLEEK. ZJÍAMVAÉ, ŽE ???

Vážený uživateli elektronické pošty, velikost Vaší poštovní schránky na VŠB-TU Ostrava se blíží ke svému limitu 2000 MB. V tuto chvíli Vaše schránka zabírá 1932 MB, což je 96% z dostupné kapacity schránky. Prosím, prot i te si Vaši schránku. Pokud si ji neprot ídíte, nebude Vám po zapln ní Vaší schránky doru ována pošta, a to až do doby než si ji prot ídíte a uvolníte tak místo pro nové zprávy. Návody, jak odzálohovat Vaši poštu ze serveru imap.vsb.cz na lokální po íta naleznete zde: Mozilla Thunderbird http://idoc.vsb.cz/cit/uzivatel/email/email_klienti/moz_thund_imap/moz_thund_imap_zaloha/ MS Outlook 2007 http://idoc.vsb.cz/cit/uzivatel/email/email_klienti/outlook_2007_imap/zaloha/ Velikost Vaší poštovní schránky se ídí sm rnicí rektora o elektronické pošt ze dne 15.10.2009 (https://www.vsb.cz/shared/uploadedfi les/portal/SME_09_002.pdf) a Provozním ádem elektronické pošty ( http://idoc.vsb.cz/fi les/cit/private_ldap/smernice/Provozni_rad_MAIL.pdf). Maximální velikost diskového prostoru poštovní s chránky je stanovena pro zam stnance ve výši 2000 MB, pro studenty ve výši 500 MB. V p ípad , že si nejste jisti, co po Vás chceme, m žete kontaktovat odd lení Helpdesku CIT na telefonu 5666 nebo e-mailem na adrese [email protected]. Za správce poštovních server VŠB-TU Ostrava Bc. Lumír Jasiok VŠB-TU Ostrava Centrum informa ních technologií Tel: 597 323 189 E-mail: [email protected]

originální zpráva

Jak se chránit?  

 

Neposílat citlivé údaje emailem. Nikdo by neměl neposílat emaily, které by obsahovaly odkaz na stránku pro přihlášení. Kontrolovat URL adresu. Nevyžádané zprávy ignorovat: 



Nezveřejňovat emailovou adresu na Internetu: 



používat dva emaily, adresy maskovat.

Používat bezpečné/bezpečnostní nástroje: 



neodpovídat, neklikat na odkazy, ”neodhlašovat” odebírání reklamních zpráv.

antivirus, firewall, nepoužívat warez.

Aktualizovat systém a všechny programy.

Jak můžete pomoci? 

Na [email protected] zašlete zprávu s hlavičkou: 

návody pro zjištění hlavičky na idoc.vsb.cz .



Nahlaste nám, že jste se stali obětí podvodu.



Bavte se o této hrozbě s ostatními.



Při podezření neodpovídat! Ukázka reakce: ”Cosi mongól nic nebude. A jestli mi ten mail smazes tak at ti pitbull nohu postrika. S uctou majitel učtu a pásovce”

Co dále zajistíme 



 





Zabráníme dalšímu doručování zprávy ostatním uživatelům a přesměrujeme zasílání odpovědí. Zablokujeme z naší sítě přístup k podvodné stránce. Stránku nahlásíme dále (Google, Phishtank, ..). Má-li to smysl, upozorníme příslušný abuse tým (ISP, postmaster, webmaster). Byl-li k odeslání použit webmail, přidáme adresu odesílatele na blacklist. Podstrčíme útočníkům vymyšlené údaje.

Dotazy?

Děkuji za pozornost.

Autorská práva 

© Radomír Orkáč Prezentaci lze šířit pod licencí Creative Commons Attribution 2.5 http://creativecommons.org/licenses/by/2.5/