Bankovní institut vysoká škola Praha
Možná ohrožení elektronického bankovnictví Bakalářská práce
Jan Štěrba
Duben 2014
Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod
Možná ohrožení elektronického bankovnictví
Bakalářská práce
Autor:
Jan Štěrba Informační technologie, SIS
Vedoucí práce:
Praha
Ing. Antonín Vogeltanz
Duben, 2014
Prohlášení: Prohlašuji,
ţe
jsem
bakalářskou
práci
zpracoval
samostatně
a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Teplicích dne
Jan Štěrba
Poděkování Touto cestou bych rád poděkoval mému vedoucímu práce panu Ing. Antonínu Vogeltanzovi za vedení této bakalářské práce. Velké díky patří také mým rodičům za obrovskou podporu při studiu. Děkuji.
Anotace Cílem této bakalářské práce je analyzovat moţnosti elektronického bankovnictví, uvést jeho výhody a nevýhody v podobě hrozeb, které s sebou elektronické bankovnictví přináší. Práci začínám stručnou charakteristikou elektronického bankovnictví a heslovitě uvádím, jaké výhody můţe jeho uţivateli přinést. Dále uţ se věnuji hlavní části práce, kde popisuji jednotlivé hrozby a bezpečnostní útoky na elektronické bankovnictví, které pak uzavírám obranou proti nim. V samotném závěru uvádím bezpečnostní prvky, které můţe uţivatel u jednotlivých bank vyuţít. Klíčová slova: elektronické bankovnictví, hrozby, phishing, pharming, DoS útoky, sociální inţenýrství, skimming. Annotation The aim of this bachelor’s thesis is to analyze the possibilities provided by electronic banking and describe the advantages and disadvantages in the form of various threats that are connected to it. The thesis begins with brief characteristics of electronic banking along with the list of advantages that it can provide for its users. Then, I devote to the main part of thesis, where I describe the various security threats and security attacks against electronic banking, which then I am closing with defense against them. The last part of this thesis contains the description of security features available to clients of various banks. Key words: electronic banking, threats, phishing, pharming, DoS attacks, social engineering, skimming.
Obsah ÚVOD ............................................................................................................................. 9 Zvolené metody zpracování .......................................................................................... 10 1
Elektronické bankovnictví ..................................................................................... 11
2
Hrozby elektronického bankovnictví ..................................................................... 13 2.1
Libanonská smyčka ......................................................................................... 14
2.2
Skimming ........................................................................................................ 15
2.2.1 Magnetický prouţek .................................................................................. 15 2.2.2 Jak se dělá Skimming? .............................................................................. 19 2.3
Sociální inţenýrství, aneb řekněte si o heslo .................................................. 24
2.4
Phishing .......................................................................................................... 25
2.5
SMiShing ........................................................................................................ 30
2.6
Pharming ......................................................................................................... 31
2.6.1 Domain Name Server – DNS .................................................................... 31 2.6.2 Hosts soubor .............................................................................................. 32 2.6.3 Co je to ten Pharming? .............................................................................. 33 2.6.4 Jak pomáhá „hosts“ soubor farmaření...................................................... 33 2.6.5 Napadení serveru DNS.............................................................................. 34 2.7
Vishing ............................................................................................................ 35
2.8
Denial of Service (DoS) .................................................................................. 36
2.8.1 Druhy DoS ................................................................................................ 36 2.8.2 Proč lidé dělají DoS?................................................................................. 37 2.8.3 Záplavové útoky ........................................................................................ 38 2.8.4 Záplava ICMP pakety ............................................................................... 40 2.8.5 Zacyklení pomocí sluţeb echo a chargen ................................................. 41 2.8.6 DoS s vyuţitím chyby ............................................................................... 41 2.8.7 Vyčerpání systémových prostředků .......................................................... 42 6
2.8.8 Distribuovaný DoS .................................................................................... 45 2.8.9 Distributed Reflection Denial of Service .................................................. 48 2.9 3
Trojské koně ................................................................................................... 49
Moţné bezpečnostní útoky ..................................................................................... 51 3.1
Phishingové útoky........................................................................................... 51
3.1.1 Četnost phishingových útoků dále stoupá ................................................. 53 3.2
Skimmingové útoky a manipulace bankomatů ............................................... 54
3.3
DoS útoky ....................................................................................................... 55
3.3.1 Březnový DDoS den po dni ...................................................................... 55 4
Obrana proti bezpečnostním útokům a incidentům................................................ 57 4.1
Internetové bankovnictví a jeho nástrahy ....................................................... 57
4.1.1 Přihlašovací údaje ..................................................................................... 58 4.1.2 Obrana proti sociálnímu inţenýrství ......................................................... 58 4.1.3 Nenechte se ulovit ..................................................................................... 59 4.1.4 Odstřihnutí útočníka na drátě .................................................................... 61 4.1.5 Kontrola hosts souboru ............................................................................. 61 4.2
Obrana proti DoS útokům ............................................................................... 63
4.2.1 Aktualizace................................................................................................ 63 4.2.2 Záplavová opatření .................................................................................... 64 4.3
Nechte Trojské koně před Trojou ................................................................... 65
4.3.1 Placené antiviry ......................................................................................... 66 4.3.2 Jde to i zadarmo ........................................................................................ 66 4.4 5
Nenechte si oskimmovat kartu ........................................................................ 67
Vyhodnocení bezpečnostních prvků bank ze strany uţivatele ............................... 68 5.1
Moţné bezpečnostní prvky ............................................................................. 68
5.1.1 Uţivatelské jméno a heslo......................................................................... 69 5.1.2 Autorizační SMS ....................................................................................... 69 7
5.1.3 Osobní certifikát ........................................................................................ 70 5.1.4 Elektronický bezpečnostní klíč ................................................................. 70 5.1.5 Bankami nabízené bezpečnostní prvky ..................................................... 72 Závěr ............................................................................................................................. 74 Seznam pouţité literatury: ............................................................................................ 75 Seznam obrázků, tabulek a pouţitých zkratek:............................................................. 81
8
ÚVOD Elektronické bankovnictví se stalo běţnou součástí ţivota většiny z nás a přitom si často neuvědomujeme co nám vedle všech těch uţitečných věcí, kvůli kterým ho vyuţíváme, hrozí a na co bychom si měli dávat pozor. Proto cílem mé práce bude analyzovat moţnosti elektronického bankovnictví, uvést jeho výhody a nevýhody v podobě hrozeb, které s sebou elektronické bankovnictví přináší. Za osobní cíl si pak kladu práci koncipovat tak, aby byla co nejvíce srozumitelná i těm, kteří mají i minimum zkušeností s počítači, ale zároveň se tématu věnovat dostatečně podrobně a poskytnout tak komplexní pohled na téma, které se dotýká všech uţivatelů jakékoli formy elektronického bankovnictví. První kapitola se věnuje vymezení elektronického bankovnictví a poukazuje na výhody, které s sebou elektronické bankovnictví přináší. Informuje o nutnosti identifikace a autentizace uţivatele a upozorňuje i na to, ţe ne vţdy jsou jeho uţivatelé v bezpečí. Druhá kapitola je uţ věnována samotným hrozbám a tvoří hlavní část práce. Budu se snaţit podrobně a srozumitelně popsat jednotlivé hrozby, které uţivatele elektronického bankovnictví mohou postihnout a to nejen na internetu, ale i mimo něj. Konkrétní podobu některých z nich pak uvedu v třetí kapitole, která se věnuje samotným útokům, které vznikly v nedávné minulosti, které jsou stále aktuální a u kterých se předpokládá, ţe budou vznikat i nadále. Další, v pořadí jiţ čtvrtá kapitola by pak měla odpovědět na otázku, jakým způsobem se dá jednotlivým hrozbám bránit a upozornit čtenáře na to, ţe mnohé z hrozeb, se kterými se mohou setkat, se dá plně odstranit pouhou obezřetností a selským rozumem, coţ však závisí na informovanosti dané osoby o moţných ohroţeních elektronického bankovnictví. V závěrečné páté kapitole se pak budu věnovat konkrétním bezpečnostním prvkům bank, které můţe uţivatel vyuţít, přičemţ se pokusím vyhodnotit jejich bezpečnostní přínosnost uţivateli v závislosti na ceně, za kterou jsou tyto prvky nabízeny jednotlivými bankami a poskytnout tak čtenáři moţnost, udělat si svůj obrázek o tom, zda se mu takové zabezpečení vyplatí, nebo ne.
9
Zvolené metody zpracování Při zpracování této bakalářské práce jsem k řešení dané problematiky zvolil hlavně analýzu internetových zdrojů, ze kterých jsem se snaţil vybrat relevantní informace, coţ nebylo vţdy snadné, jelikoţ v některých oblastech se názory na danou problematiku dosti různí. Na tyto různorodé názory a mnohdy tedy i zavádějící informace, jsem narazil hlavně ve čtvrté kapitole, kdyţ jsem se zabýval obranou proti DoS útokům, kde obrané metody existují, ale samotná obrana je velice sloţitá a můţe se různit u kaţdé specifické situace. Celá kapitola pak pojednává o zapojení samotného uţivatele do, ve směs, preventivních opatření, která nejen ţe jsou pro uţivatele nesmírně uţitečná, důleţitá a hrozby redukující, ale jsou k dostání i v nízkonákladových provedeních. V kapitole třetí, která popisuje bezpečnostní útoky, které se v nedávné minulosti staly a která upozorňuje na to, ţe jsou pořád aktuální, jsem vyuţil hlavně zpravodajské zdroje, které o těchto útocích informovaly. Nevynechal jsem však ani samotné banky, které taktéţ upozorňovaly především na phishing a skimming, ať uţ z důvodu prevence, nebo kvůli aktuálně probíhajícím útokům mířeným přímo na danou banku. V poslední kapitole, která obsahuje vyhodnocení bezpečnostních prvků bank, jsem tak pro jistotu vsadil nejen na webové stránky bank, ale i na jejich konkrétní pracovníky, kteří byli ochotni podat informace o tom, jaké bezpečnostní prvky internetového bankovnictví nabízejí. Následné vyhodnocení jsem pak zaloţil na komparaci takto získaných dat.
10
1
Elektronické bankovnictví „Nejkomfortnější formou přímého (elektronického) bankovnictví je komunikace
prostřednictvím osobního počítače klienta, který se do příslušné banky napojuje přes internet.“1 Elektronické bankovnictví je relativně nová, avšak velice efektivní forma komunikace klienta s bankou. K takovéto komunikaci se vyuţívají moderní komunikační technologie, a ač si spousta lidí pod pojmem elektronické bankovnictví vybaví pouze internetové bankovnictví, není tomu tak. Elektronické bankovnictví spočívá v tom, ţe klient nemá přímý osobní kontakt s bankou, ale komunikuje s ní nejen přes internet, ale jakýmkoli komunikačním kanálem jako je GSM síť, ale i ATM terminál. Aby však bylo moţné navázat bezpečné spojení pro komunikaci, musí banka zajistit identifikaci klienta, aniţ by s ním byla v osobním kontaktu. K takovéto identifikaci je tedy potřeba nějaká metoda, pomocí které se klient vzdáleně bance autentizuje. Taková to metoda samozřejmě není jen jedna. Je jich více a některé banky dokonce poskytují několik autentizačních metod klientovi najednou a je pak na něm, které si zaktivuje a bude se jimi postupně autentizovat. Jak jsem jiţ avizoval, autentizačních metod je celá řada. Jsou to například certifikační ověření, autentizace pomocí SMS zprávy, PIN kódy nebo třeba elektronické podpisy. V dnešní době, kdy je komunikace díky internetu, mobilním telefonům, tabletům a dalším technologickým vychytávkám relativně snadná, je bankovnictví zase o něco jednodušší. Kaţdý jistě ocení, ţe nemusí kvůli kaţdé transakci, ať uţ je to koupě nové televize, postele nebo grafické karty do banky a papírově vyplňovat příkaz k úhradě, ale má moţnost odkudkoliv provést převod, dotázat se na zůstatek nebo se například podívat na výpis z účtu pomocí internetového bankovnictví, GSM bankingu nebo třeba Homebankingu. Takové metody přímého bankovnictví šetří nejen peníze, ale hlavně drahocenný čas. Se stále rychlejším rozvojem komunikačních technologií, musí společnosti, které tyto technologie vyuţívají, čelit nejrůznějším kybernetickým útokům, které nespočívají pouze v přímém napadení systému banky, ale z velké části sází na neobezřetnost, neinformovanost a někdy aţ hloupost lidí.
1
Přímé bankovnictví: Přímé (elektronické) bankovnictví. Finanční Vzdělavání [online]. 2007 [cit.
2014-02-22]. Dostupné z: http://www.financnivzdelavani.cz/webmagazine/page.asp?idk=306
11
Jak uţ jsem zmiňoval, tak jednou z hlavních výhod elektronického bankovnictví je značná úspora času a nákladů a to nejen na straně klienta, ale i banky. Není to však jediná výhoda. Další velice příjemnou součástí elektronického bankovnictví je dostupnost komunikace s bankou, která je oproti osobnímu kontaktu s bankéřem oproštěna o otevírací dobu. Jinými slovy můţete pomocí některých forem elektronického bankovnictví, zejména toho internetového, provádět jakékoli operace na svém účtu 24 hodin denně / 7 dní v týdnu a po celý rok, ať uţ je víkend, Vánoce, Velikonoce nebo státní svátek. Jelikoţ to zní aţ příliš dobře asi uţ očekáváte nějaký háček a máte pravdu, nic není dokonalé a v našem světě plném podvodů si na několik věcí ohledně elektronického bankovnictví musíme dávat pozor a právě na to se zaměříme v několika příštích kapitolách.
12
2
Hrozby elektronického bankovnictví „Pojmem hrozba označujeme možnost využitkovat zranitelné místo IS k útoku na něj –
ke způsobení škody na aktivech.“2 Přičemţ zranitelným místem nazýváme slabinu informačního systému (IS) vyuţitelnou ke způsobení škod nebo ztrát útokem na IS.3 Podoba hrozeb elektronického bankovnictví je opravdu pestrá a útočníci nelení ve vymýšlení nových a nových způsobů, které by mohli elektronické bankovnictví ohrozit. V základu tyto hrozby můţeme rozdělit na ty, se kterými se můţeme setkat na internetu a mimo internet. Mimo internet se podíváme na techniku Libanonské smyčky a také se budeme zabývat skimmingem, dále se začneme přibliţovat k hrozbám panujícím na internetu v podobě Sociálního inţenýrství a technikám jako je velice známý phishing a pharming a jejich modifikované podoby. Po tom, co si řekneme několik slov o Vishingu se přesuneme k DoS útokům, u kterých vysvětlím, o co obecně útočníkům jde, čeho chtějí dosáhnout a dále se podíváme na některé konkrétní techniky a typy DoS útoků. Kapitolu zakončíme několika málo slovy o Trojských koních, kteří nejenţe napomáhají samotným DoS útokům, ale jsou přímo nebezpeční i pro samotného uţivatele, jehoţ počítač je trojským koněm infikován.
2
HANÁČEK, Petr a Jan STAUDEK. Bezpečnost informačních systémů: Metodická příručka
zabezpečování produktů a systémů budovaných na bázi informačních technologií. Praha: Úřad pro státní informační systém, 2000, s. 13. ISBN 80-238-54003
Tamtéţ, s. 15
13
2.1 Libanonská smyčka Tato hrozba se netýká internetového bankovnictví, netýká se důmyslného hackování do informačních systémů, ale přímo vaší platební karty a bankomatu, ze kterého si chcete vybrat peníze. Libanonská smyčka je totiţ technické zařízení, které útočník nepozorovaně umístí na štěrbinu ATM4, kam se vkládají platební karty. Toto zařízení je konstruováno tak, aby ATM nebyl schopen kartu přijmout, ale ani navrátit. Karta se totiţ, díky pásce připevněné na plastovém zařízení připomínající ústí otvoru pro vkládání platebních karet do ATM, zasekne v podstatě na půli cesty a ATM ji pak není schopen jak zasunout dovnitř, tak ani vysunout zpátky k drţiteli karty. Obrázek 1: Libanonská smyčka
Zdroj: http://www.ics.muni.cz/bulletin/articles/clanky_img/562_1.jpeg
V tuto chvíli přichází na scénu pachatel, který nejspíš libanonskou smyčku instaloval, či o ní minimálně ví a chce jí zneuţít ve svůj prospěch a oběť okrást. Udělá to tak, ţe vyuţije zmatenosti oběti z nefunkčnosti bankomatu, který si v tu chvíli nemůţe vybrat své peníze a zároveň mu ATM nechce, resp. nemůţe vrátit jeho platební kartu. Útočník tedy poradí oběti, aby zadala PIN s uklidněním, ţe je to běţné a po zadání pinu se ATM "rozběhne", ale samozřejmě je to jen podlý trik, který pachateli slouţí, buďto k osobnímu odpozorování PINu, případně si zadávání PINu nahraje předem připravenou kamerou, umístěnou také někde na 4
ATM zkratka anglického Automated Teller Machine je mezinárodním označením pro bankomat
14
bankomatu. Pokud oběť PIN zadá a útočníkovi se ho podaří vypozorovat, má na půl vyhráno. ATM samozřejmě dále nefunguje, jelikoţ je platební karta zachycena libanonskou smyčkou. Útočník tedy následně, dle své improvizace či připraveného plánu, oběti například řekne, aby šla chybu nahlásit do banky a ţe on ATM zatím pohlídá, aby ho nikdo nepouţíval. Ve chvíli, kdy oběť odejde a jelikoţ útočník jiţ zná PIN platební karty oběti, stačí mu, aby sám kartu získal k následnému pouţití. Kdyţ je tedy oběť z dohledu, sundává libanonskou smyčku z ATM a díky pásce, která kartu zachytila, vyndává spolu s libanonskou smyčkou i platební kartu, kterou vzhledem k tomu, ţe zná PIN kód, můţe zneuţít ve svůj prospěch a oběť konečně okrást.5
2.2
Skimming
Tato podvodná technika by se dala popsat několika slovy a to tak, ţe sbírá data z platební karty. Pro toho, kdo skimming uţ zná, jen si tuto techniku momentálně nedokázal s ničím určitým spojit, tomu tento, do jisté míry, překlad z angličtiny dosti pomohl. Pro Vás, kteří jste o skimmingu nikdy neslyšeli, nebo si pořád nejste jistí, o co se to vlastně jedná, mám dobrou zprávu, podíváme se na tuto, jíţ dlouhá léta pouţívanou a stále a stále vylepšovanou, techniku blíţe.6 Oskimmování platební karty spočívá v tom, ţe se útočník snaţí nějakým způsobem dostat k platební kartě oběti a následně získat pomocí svého skimmovacího zařízení data z magnetického prouţku karty, kde jsou zaznamenány například informace o číslu karty, časové platnosti karty, jinými slovy do kdy karta platí, kdy expiruje. Dále se v záznamu rozlišuje, zda se jedná o kartu tuzemskou či mezinárodní, nebo další doplňující údaje jako je CVC či CVV bezpečnostní kód.
2.2.1 Magnetický proužek Magnetický prouţek platební karty je obdobou pásky uţívané v disketách nebo magnetofonových kazetách a v současné době je definován ISO normou, která však 5
SALMON, Michal. Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem. Měšec.cz
[online]. 2010 [cit. 2014-02-22]. Dostupné z: http://www.mesec.cz/clanky/nejcastejsi-podvodyplatebnimi-kartami/ 6
KALAMÁR, Štěpán a Miroslav PETRÁK. Skimming jako jeden z druhů kybernetické kriminality.
Kybernetická
bezpečnost
[online].
2012
http://www.cybersecurity.cz/data/skimming.pdf
15
[cit.
2014-02-22].
Dostupné
z:
bankovním platebním systémům nechává dostatek prostoru k tomu, aby definovaná pole pouţívala tak, jak potřebuje. Magnetický prouţek obsahuje tři záznamové stopy se specifickým účelem při čemţ: V roce 1969 Mezinárodní asociace leteckých dopravců IATA (International Air Transportation Association) definovala první stopu magnetického prouţku. Cílem bylo usnadnit automatické odbavení leteckých cestujících. První stopa obsahuje číslo karty (maximálně osmnáct číslic) a jméno klienta (maximálně dvacetšest alfanumerických znaků). Druhá stopa je nejvíce vyuţívaná v bankovnictví a slouţí pro online finanční transakce, ať uţ tuzemské či mezinárodní. Tata stopa byla vytvořena American Bankers Association (ABA) a obsahuje 40 numerických znaků včetně čísla karty (maximálně 19 číslic). Třetí stopu pak vyvinuly banky pro finanční transakce a od první a druhé stopy liší tím, ţe její záznam můţe být přepisován, kdyţto u dvou předchozích stop, byl záznam určen pouze pro čtení. Dle parametru, který byl na třetí stopě přítomen, bylo moţné verifikovat PIN-kód. Informace jako je PIN-kód, finanční limit nebo kód země byly zaznamenány pomocí sto sedmi numerických znaků. Abychom měli nějakou představu o tom, jak mohou vypadat data přečtená z magnetického prouţku, ukáţeme si praktický příklad, který díky platební kartě VISA Electron od dnes jiţ neexistujícího účtu České Spořitelny není cenzurovaný. Přečtená data: Tabulka 1: Data v magnetickém proužku – Stopy 1, 2 a 3
1. Stopa
%B4406160384321844^NOVOTNY/ZDENEK.MR ^0212521165260000000000191000000?;
2. Stopa
4406160384321844=02125211652619120?+
3. Stopa
014406160384321844=2030000200000000305012005713100200002122=2031621 6181471803==1=70000000000000000000? Zdroj: http://pandatron.cz/?535&karty_s_magnetickym_pruhem
16
A co to všechno znamená? Následuje legenda, která popisuje, co jednotlivé části stop znamenají. Stopa 1: Tabulka 2: Význam údajů v magnetickém proužku - Stopa 1
%
Začátek stopy
B
Formát (pro platební karty "B")
4406160384321844
Základní číslo karty (natištěno i na kartě)
^
Oddělovač
NOVOTNY/ZDENEK.MR
Majitel karty, titul
^
Oddělovač
0212
Datum platnosti (12/2002)
521
Servisní kód VISA Electron
1
PVKI: Indikátor čísla PIN
6526
PVV: PIN (viz poznámka) Zdroj: http://pandatron.cz/?535&karty_s_magnetickym_pruhem
Stopa 2: Tabulka 3: Význam údajů v magnetickém proužku - Stopa 2
4406160384321844
Základní číslo karty (natištěno i na kartě)
=
Oddělovač
0212
Datum platnosti (12/2002)
521
VISA Electron
1
PVKI: Indikátor čísla PIN
6526
PVV: PIN
191
CVV: Ověřovací kód karty
20
Rozšiřující data
?
Konec stopy Zdroj: http://pandatron.cz/?535&karty_s_magnetickym_pruhem
Stopa 3: Tabulka 4: Význam údajů v magnetickém proužku - Stopa 3
01
Formát
4406160384321844
Základní číslo karty (natištěno i na kartě)
=
Oddělovač
203
Země
17
000
Kód měny
0
Exponent měny
2000
Částka schválená na cyklus
0000
Zbývající částka tohoto cyklu
0305
Zahájení cyklu (den)
01
Délka cyklu (dnů)
2
Počet opakování
005713
Kontrolní parametr PIN
1
Interchange control
00
PAN - servisní omezení
2000
FSAN - servisní omezení
0212
Datum platnosti (12/2002)
2
Pořadové číslo karty vydané k účtu
=
Oddělovač
20316246181471803
Primární číslo účtu
=
Oddělovač Sekundární číslo účtu (není)
=
Oddělovač
1
Relay marker
=
Oddělovač
700000
Šifrovací kontrolní data
00000000000000
Výplň
?
Konec stopy Zdroj: http://pandatron.cz/?535&karty_s_magnetickym_pruhem
PVV (PIN Verification Value): „Tato hodnota uvedená shodně na první i druhé stopě není přímo číslo PIN, které je zadáváno například při výběru hotovosti. Tato hodnota vznikne výběrem číslic menších než 9 z výsledku procesu zakódování otevřeného hesla PIN pomocí dvojice klíčů při vícenásobném průchodu algoritmem DES (Decrypt-Encrypt-Standard). Neexistuje algoritmus, který by mohl odhalit ze znalosti tohoto údaje uvedeného na kartě výchozí PIN asociovaný s kartou.“7
7
Karty s magnetickým pruhem. Pandatron.cz [online]. 2008 [cit. 2014-02-22]. Dostupné z:
http://pandatron.cz/?535&karty_s_magnetickym_pruhem
18
2.2.2 Jak se dělá Skimming? Skimming dat z platebních karet se ve světě těší velké oblibě a to nejen díky tomu, ţe zejména v USA se pořád pouţívají ve velkém platební karty chráněné pouze magnetickým prouţkem, ale i díky jednoduchému pořízení skimmovacího zařízení, které si útočník nemusí doma tajně vyrábět, ale má moţnost si ho koupit v obchodě a vzhledem k výdělkům, kterých touto podvodnou technikou můţe dosáhnout je pořizovací cena zařízení zanedbatelná.8 Potenciální oběti mající svou platební kartu „vybavenou“ pouze magnetickým prouţkem, mohou být skimmingem ohroţeni prakticky kdekoli, kde pouţijí svou platební kartu, ať uţ je to k zaplacení nákupu v jejich oblíbeném supermarketu, večeře s rodinou, nebo třeba při Obrázek 2: Čtečka magnetických karet
zdroj: http://img.datacomp.sk/hp-mini-citacka-magnetickych-kariet-3-stopa-usb_i136686.jpg
výběru z bankomatu. Platební karty s magnetickými prouţky se hojně pouţívají v USA, kde přechod na tzv. „Chip and PIN“ technologii je pro tamní společnosti a hlavně banky finančně natolik náročná, ţe k plošné výměně, nejen všech platebních karet, ale i terminálů v obchodech, na benzínových pumpách, nemluvě o všech bankomatech a obecně všude, kde se dá pouţít platební karta, prozatím nedochází.9
8
SALMON, Michal. Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem. Měšec.cz
[online]. 2010 [cit. 2014-02-22]. Dostupné z: http://www.mesec.cz/clanky/nejcastejsi-podvodyplatebnimi-kartami/ 9
HRADECKÝ, Michal. Skimming 2011. In: Padělání peněz a skimming [online]. 2011-2014 [cit.
2014-02-22]. Dostupné z: http://www.karty-penize.webgarden.name/thema/skimming-2011
19
To však neplatí o České republice, kde naopak veškeré platební karty „Chip and PIN“ technologii jiţ zavedenou mají. Tato technologie je dalším stupněm zabezpečení v oblasti platebních karet. Zde se dostáváme k dalšímu rozdělení, na karty elektronické a embosované. Elektronické karty jsou vyuţitelné pouze u obchodníků, kteří mají elektronický online terminál, a u tohoto typu karty je tedy vyţadováno online ověření transakce. Pomocí karet embosovaných můţeme platit stejně jako kartami elektronickými, avšak navíc na sobě mají reliéfně vytištěné údaje, které jsou potřebné pro offline transakce, tedy pro pouţití u obchodníků, kteří mají pouze imprinter a nemají online terminál, těch je však v ČR jiţ jen málo.Vzhledem k tomu, ţe skimming se v ČR zaměřuje hlavně na bankomaty, které ve sto procentech případů PIN k pouţití platební karty vyţadují, útočníci museli skimming posunout na novou úroveň a vymyslet, jak PIN, který není uloţen na magnetickém prouţku karty, a oskimmováním karty ho tedy znát nebudou, získat a v této podvodné technice pokračovat.Na obrázku č. 3 vidíme, jak můţe vypadat nástavec na skimmovací zařízení Obrázek 3: Skimmovací nástavec na bankomat
Zdroj: http://img.ct24.cz/cache/616x411/article/28/2710/270902.jpg?1310497909
pouţitelné na bankomatu, které se nasazuje přímo na štěrbinu pro vloţení platební karty. Jak sami můţete vidět, zařízení vizuálně působí jako běţná část bankomatu a pro oběť je jen těţko rozeznatelné, ţe jde o podvodné zařízení, které má za úkol přečíst data z magnetického prouţku její platební karty. Jak jsem jiţ uvedl, bankomaty v ČR vyţadují pro přístup k účtu pomocí platební karty kód PIN, a jelikoţ ho útočník oskimmováním platební karty nezíská, musí ho zjistit jinak. V praxi se můţeme setkat s jednoduchými technikami, jako je vypozorování PINu osobně útočníkem, od kterých však útočníci odstoupili, jelikoţ je to pro ně riziko a raději volí 20
techniky, u kterých jsou méně nápadní, nebo ideáně PIN zjišťují vzdáleně a osobně nejsou přítomni vůbec.10 V ČR se tedy můţeme běţně setkat s případy, kdy je skimming na takové úrovni, ţe útočník všechna data získá tzv. „z pohodlí domova“. Skimmovací zařízení má doplněno o velice kvalitně vyrobený nástavec, který jak tvarově, tak barevně odpovídá komponentě bankomatu a pro získání PINu pak pouţije například mini kameru nebo třeba i termovizuální kameru, kterou taktéţ umístí na bankomat. Vyskytují se dokonce případy, kdy útočník Obrázek 4: Podvodný PIN pad
Zdroj: https://www.europol.europa.eu/sites/default/files/images/card_skimming_02.preview.jpg
nainstaloval na bankomat vizuálně podobný, či aţ identický PIN-pad11, který umístil nad originální a který je velice špatně zjistitelný i pro obezřetné uţivatele. Falešný PIN-pad je zkonstruován tak, aby stále fungoval i PIN-pad pravý. Při zmáčknutí tlačítka falešného PIN-padu se tlačítko promáčkne aţ na pravý PIN-pad a bankomat tedy funguje bezproblémově a nic netušící oběti tak odevzdávají své ověřovací přístupové kódy (PINy) do rukou útočníků. Podvodný PIN pad můţeme vidět na obrázku č. 4
10
KALAMÁR, Štěpán a Miroslav PETRÁK. Skimming jako jeden z druhů kybernetické kriminality.
Kybernetická
bezpečnost
[online].
2012
[cit.
2014-02-22].
Dostupné
http://www.cybersecurity.cz/data/skimming.pdf 11
PIN pad je klávesnice bankomatu, pomocí které uţivatel zadává přístupový kód (PIN kód)
21
z:
Také jsem zmínil způsob odsledování PINu miniaturní kamerou, coţ můţeme vidět na obrázku č. 5, u které je vše asi jasné. Je to obyčejná kamera, pomocí které můţe útočník Obrázek 5: Kamera na zmanipulovaném bankomatu
Zdroj: http://www.chip.cz/obrazky/pages/11490/bankomati-nahled.jpg
vzdáleně sledovat zadávání PINu své oběti, která je však prostě miniaturizována do, na první pohled, neviditelných rozměrů. Zmínil jsem však také termokameru, pomocí které má útočník moţnost vidět, co jeho oběť na PIN-padu namačkala i v případě, ţe si velmi pečlivě PIN-pad kryje, ať uţ rukou, peněţenkou, nebo čímkoli jiným, co má momentálně po ruce a pomáhá mu to zakrýt stisk tlačítek PIN-padu. Termokamera totiţ zachycuje tepelnou stopu a to aţ 40 sekund po stisku, coţ je pro útočníka v případě zakrytí výhledu na PIN-pad velice výhodné, jelikoţ moţnost útoku pomocí termovize si uvědomuje jen málokterá oběť a tedy téměř nikdo nebude vědomě aplikovat taková opatření, která by moţnost odsledování termokamerou znemoţnila. Ve skutečnosti člověk PIN-pad přestane krýt ve chvíli, kdy PIN namačká, v tu chvíli uţ termokamera má výhled na PIN-pad, a zobrazí tepelnou stopu na klávesách, které oběť zmáčkla. Teď jistě můţete namítnout, ţe PIN je několika místný, obvykle čtyř a ţe útočník nezná kombinaci, ve které má PIN pouţít. Není to úplně pravda, jelikoţ při chladnutí 22
tepelné stopy se dá do jisté míry odhadnout, jak oběť klávesy mačkala za sebou.12 To můţeme vidět na obrázku č. 6. Důleţitou a pro útočníky dnes uţ nepostradatelnou součástí skimmingu je, ţe data z oskimmované platební karty a údaje o PINu, ať uţ získaná pomocí falešného PIN-padu, miniaturní obyčejné nebo i termovizuální kamery, jsou nejen zaznamenána, ale rovnou i online posílána útočníkovi, coţ mu zajištuje nejen to, ţe se na místo činu jiţ nemusí vracet, ale můţe být na druhém konci světa, kde svůj skimmovací podvod dokončí. Nejčastěji je však za skimmingem organizovaná skupina a tedy útočník, který skimmovací sadu zařízení v blízkosti či přímo na bankomatu instaloval, zpravidla není útočníkem, který i kartu pouţije k výběru peněz, ale spíše tím, kdo zařízení zase sundá a pouţije jinde tak, aby bylo obtíţnější zařízení odhalit. Obrázek 6: Získání PINu termokamerou
zdroj: http://i.dailymail.co.uk/i/pix/2011/08/19/article-2027699-0D7C052300000578-707_468x286.jpg
Kdyţ uţ jsme si pověděli o nejrůznějších vychytávkách a metodách, které útočníci pouţívají ke skimmingu, můţeme tuto podvodnou metodu uzavřít tím, jak vlastně útočník nakonec získá to, o co mu celou dobu jde, peníze. Jak uţ z výše uvedeného textu vyplývá, útočník dokáţe získat údaje o platební kartě a dokáţe získat i PIN, aby však toho mohl nyní vyuţít ve svůj prospěch, potřebuje tato data přenést. K tomuto účelu si vyrobí svou platební kartu, na kterou nahraje získané údaje a se znalostí PINu si uţ kráčí k bankomatu, třeba i na druhém konci světa, kde si peníze vybere.
12
KALAMÁR, Štěpán a Miroslav PETRÁK. Skimming jako jeden z druhů kybernetické kriminality.
Kybernetická
bezpečnost
[online].
2012
http://www.cybersecurity.cz/data/skimming.pdf
23
[cit.
2014-02-22].
Dostupné
z:
2.3 Sociální inženýrství, aneb řekněte si o heslo „Sociotechnika je ovlivňování a přesvědčovaní lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný využit lidi, se kterými hovoří, případně dodatečné technologické prostředky, aby získal hledané informace.“13 Sociální inţenýrství je dnes jedním z nejpopulárnějších a zároveň nejúčinnějších typů útoku, kdy hackeři zneuţívají našich chyb v uvaţování, nedokonalostí lidské psychiky, lidských vlastností jako je důvěra a zvědavost, a snaţí se tak dosáhnout úspěchu. Oblíbené je hlavně takzvané sociální inţenýrství. Útočník totiţ nemusí získávat citlivé informace a vnikat do zabezpečených systému pomocí nejrůznějších hackerských metod, nemusí být programátorským guru, stačí mu se nebát, mít kuráţ, působit důvěryhodně a o přístupová hesla, přihlašovací jména a jiné citlivé informace si prostě a jednoduše říct. K provedení pouţívají útočníci e-maily, telefonní hovory, SMS zprávy, sociální sítě, webové stránky firem či osobní webové stránky jejich zaměstnanců, či jakékoli jiné metody, které jim umoţní komunikací či vypozorováním získat citlivé údaje. 14 V dnešní době, kdy jsou sociální sítě a zejména tedy Facebook obrovským boomem, kdy účet na sociální síti má více jak miliarda lidí, jsou sociální sítě, díky neobezřetnosti jejich uţivatelů doslova rájem „Sociálních inţenýrů“. Kaţdý den jsme tak na sociálních sítích svědky milionů kliknutí na podvrţená a zavirovaná videa lákající na nahé fotky známých hereček, na „zaručené“ rady o tom, jak zhubnout za jeden týden 10 kg nebo jak rodiče 20 let den co den fotili svého potomka. Určitě to některé lidi naláká a teď bychom mohli potenciální oběti rozdělit do tří skupin: Znalí uţivatelé, kteří si opravdu při „pohybu“ na internetu dávají pozor a jsou obezřetní. Uţivatelé, kteří jsou sice znalí a ví, ţe jim můţe něco hrozit, avšak to ignorují, často s myšlenkami „mě se to přeci stát nemůţe“. Nakonec tu máme uţivatele, kteří jsou v oblasti hrozeb na internetu naprosto neznalí a o hrozbách na internetu netuší.
13
MITNICK, Kevin. Umění klamu. Vyd. 1. Gliwice: Helion, 2003, s. 2. ISBN 83-7361-210-6.
14
ERBEN, Lukáš. Příchod hackerů: Kevin Mitnick, Stanley Mark Rifkin a sociální inţenýrství. Root.cz
[online]. 2014 [cit. 2014-02-22]. Dostupné z: http://www.root.cz/clanky/prichod-hackeru-kevinmitnick-stanley-mark-rifkin-a-socialni-inzenyrstvi/
24
Pro druhou a třetí skupinu uţivatelů jsou pak takové podvrhy velice nebezpečné, jelikoţ si svou neznalostí či ignorací a neopatrností během pár minut mohou zavirovat počítač. Hackeři také vyuţívají sociální sítě proto, ţe jejich uţivatelé jsou obklopeni svými přáteli a v domnění, ţe jim od nich nic nehrozí, kliknou na jakékoli video či odkaz, který jim pošlou. Hackeři toto vědí a zdatně toho vyuţívají ve svůj prospěch, nabourávají se do účtů a rozeslání podvodné odkazy ať uţ je to na zavirovanou webovou stránku či aplikaci se škodlivým kódem. Neuvedením si na profilu sociální sítě citlivé informace jako je telefonní číslo, e-mail či adresa, se značně sniţuje riziko, ţe Vás zasáhnou některé níţe popsané hrozby.15
2.4
Phishing
„Původ tohoto označení má kořeny v anglickém slově fishing, značícím rybaření, což je více než výstižné, protože jeho podstatou je nachytávání počítačových uživatelů na falešné e-maily, podobně jako se chytají ryby na lákavou návnadu.“16 Pro pochopení následujícího ohroţení, Phishingu, coţ je asi nejznámější podvodná technika související s elektronickým bankovnictvím, je třeba vysvětlit několik pojmů, které bychom si s phisingem mohli plést. Většina lidí, která přišla do styku s počítačovou technikou a hlavně tedy s internetem, uţ nejspíše slyšela i o phishingu. Pro vysvětlení a hlubšího ponoření do phishingu si nejdříve řekneme, co phishing není, aby následující phishingová fakta nebyla zavádějící a nepřipisovali bychom na vrub elektronického bankovnictví, vedle jeho mnoha výhod, i nevýhody, které s ním nesouvisí. To však neznamená, ţe nejsou nebezpečné a nemusí nás tedy zajímat, ba naopak musíme si na ně dávat velký pozor! Scam typu Nigerian 419 – Tento spamm se snaţí oběť podvést tak, ţe pomocí faxu, dopisu či e-mailu (v případě e-mailu by se dal zaměnit za phishing, ale není tomu tak) ji vyzývá k darování peněţitého obnosu s příslibem návratu mnohonásobně vyšší sumy. Jelikoţ je tato podvodná technika vyuţívána uţ od 80. let, je logické, ţe prošla nějakým vývojem a od faxů a dopisů se posunula k efektivnějšímu způsobu kontaktování lidí za účelem podvodu a to 15
HAVLOVÁ, Alţběta. Sociální inţenýrství aneb nástrahy Facebooku. Český
rozhlas [online]. 2011 [cit. 2014-0222]. Dostupné z: http://www.rozhlas.cz/zpravy/technika/_zprava/socialni-inzenyrstvi-aneb-nastrahyfacebooku--862705 16
Rhybaření střídá pharming. BITTO, Ondřej. Lupa.cz [online]. 2005 [cit. 2014-02-22]. Dostupné z:
http://www.lupa.cz/clanky/rhybareni-strida-pharming/
25
e-mailem. V průběhu let se posunula aţ k formě, kde oběti vyzývá k navštívení, v e-mailu zmíněné, země, kde se pak oběť stala rukojmím a byla propuštěna aţ po výplatě vysokého výkupného. Některé zdroje dokonce uvádí, ţe nejedna z obětí, které výkupné nezaplatili, byli zavraţděni. Podvodná internetová aukce – Za 64% internetových podvodů můţe tento scam, podvodníci dostali moţnost růstu s narůstající popularitou online aukcí jako je například e-bay nebo aukro.17 Většinou podvodníci jednají tak, ţe nabízejí zboţí za velmi nízkou cenu, coţ přitáhne spoustu lidí, kteří díky své neopatrnosti a tím, ţe nedají na své pochyby o příliš nízké ceně, se stanou oběťmi podvodu. Po zaplacení částky předem na účet podvodníka, pak oběti samozřejmě zboţí nepřijde, v případě jiné formy platby podvodník objednávku zruší, nebo pošle jinou, úhledně zabalenou avšak bezcennou věc. To však není tak časté, jelikoţ nejdřív musí podvodník zaplatit určitou sumu za poštovné, balné a ještě ho to stojí čas.18 Některé prvky tohoto scamu, jako třeba klamná sdělení, jsou společná s phishingem. Další prvky jako prodej kradeného zboţí, však s phishingem nemají nic společného a proto tyto podvody za phishing označovány nejsou.4 Jak jsem jiţ naznačil, téměř všichni lidé, pouţívající internet jiţ ví, ţe phishing existuje, něco o něm slyšeli, moţná i četli, někteří se s podvodnou technikou setkali a někteří i moţná phisherům (jak se lidem, kteří podvodnou techniku - „phishing“ pouţívají, říká a kterou si v několika příštích odstavcích popíšeme) na jejich podvod naletěli. Pokusím se tedy vysvětlit co phishing je, jak ho poznat, na co si dávat pozor a ve čtvrté kapitole si pak i povíme, jak se proti této a dalším podvodným technikám bránit. Ti co se jiţ s phishingem setkali jistě alespoň částečně tuší, jak se elektronického bankovnictví dotýká a není pro ně zde tedy tento pojem překvapením. Pro Vás ostatní, kteří jste se s phishingem prozatím nesetkali a tedy ani netušíte jak velká je to hrozba, se Vám ji pokusím vysvětlit od základu.
17
JAMES, Lance. Phishing bez záhad. 1. vyd. Praha: Grada, 2007, Co není phish, Scam typu Nigerian,
Podvodná internetová aukce. ISBN 978-80-247-1766-1. 18
VYLEŤAL, Martin. Inzertní a aukční weby bojují proti podvodným nabídkám, předcházet jim ale
zatím neumí. Lupa.cz [online]. 2010 [cit. 2014-02-22]. Dostupné z: http://www.lupa.cz/clanky/inzertniweby-bojuji-s-podvody-nepredchazi-jim/
26
Phishing, o kterém můţeme slyšet také jako cardingu nebo brand spoofingu19, má mnoho definic a my si jednu z nich určitě uvedeme, ale co bude pro nás důleţitější, je ţe si ho definujeme jeho popisem, coţ je pro uţivatele, dle mého názoru, mnohem cennější, jelikoţ tím pochopí, jak phishing funguje a následně bude i schopen logicky odvodit, jaká je základní obrana proti této podvodné technice, namísto toho, aby si přečetl i třeba tu nejlepší definici, která existuje a kterou však do druhého dne zapomene. „Slovem PHISHING označujeme podvodné e-mailové útoky na uživatele Internetu, jejichž cílem je vylákat důvěrné informace.“20 Phishing obvykle začne tak, ţe potencionální oběť dostane e-mailovou zprávu, která se tváří jako zpráva z banky. Pokud máte své účty otevřené u jiné banky, neţ je uvedena v emailu, zřejmě ho nebude řešit, protoţe Vám hned bude jasné, ţe je to buď podvod, nebo si budete myslet, ţe se stala někde chyba a e-mail není určen Vám. V případě, ţe u banky, na jejíţ klienty je cílen phishingový útok, otevřený jakýkoli účet máte a navíc máte aktivní internetové bankovnictví, prostřednictvím kterého se Vás phisheři snaţí okrást, můţe takový e-mail, pro neznalého a phishingem neposkvrněného uţivatele, na první pohled vypadat důvěryhodně a oběť si tedy můţe myslet, ţe e-mail opravdu pochází z banky. Ve phishingových e-mailech však phisheři oběť vyzývají k zadání citlivých údajů, jako je unikátní přihlašovací jméno a k němu přiřazené heslo oběti, která účet vlastní. Takové údaje však po Vás banka nikdy chtít nebude! Phishingová zpráva, kterou můţete vidět na obrázku č. 7, dále obvykle obsahuje odkaz na podvodně vytvořenou webovou stránku, na kterou jsou oběti phishingového e-mailu směřovány a vyzývány k zadání zmíněných citlivých údajů. Jak si můţete všimnout, překlad do češtiny dělal v tomto případě phisherům problémy a pokud si zprávu přečteme a neklikneme rovnou bezmyšlenkovitě na odkaz „Obnovit se Ted“, dojde nám, ţe zprávu rozhodně nepsal ani podprůměrně nadaný pracovník banky. Existují však i případy, kdy i v češtině vypadají e-maily opravdu důvěryhodně, tentokrát se pouţitá čeština phisherům moc nepovedla a o důvěryhodnosti takového e-mailu se snad nedá hovořit ani při letmém
19
JAMES, Lance. Phishing bez záhad. 1. vyd. Praha: Grada, 2007, Co je to phishing?. ISBN 978-80-
247-1766-1. 20
Co
je
to
phishing.
Hoax
[online].
2000-2014
http://www.hoax.cz/phishing/co-je-to-phishing
27
[cit.
2014-02-22].
Dostupné
z:
prvním pohledu. Obrázek 7: Phishingový e-mail
Zdroj: http://www.bezpecnyinternet.cz/images/e-mail/phishing.jpg
Abychom si tedy popsali, co by se dělo po kliknutí na jiţ výše zmíněný odkaz „Obnovit se Ted“, budeme předpokládat, ţe je pro nás e-mailová zpráva pořád důvěryhodná. Po kliknutí na odkaz budeme přesměrováni na podvodnou www stránku, kterou můţete vidět na obrázku č. 8 a kterou si později popíšeme a naučíme se je rozeznávat od těch pravých, nepodvodních, bankovních stránek. Podvodná stránka, na kterou budeme po kliknutí na odkaz přesměrováni, zabezpečena není, ba naopak, při zadání vašich citlivých údajů, nejčastěji přihlašovací jméno a heslo, se data odešlou phisherům. Ti se pak mohou, pokud nemáte aktivní další úroveň zabezpečení, nejčastěji certifikát, či sms zprávu s unikátně vygenerovaným dalším přístupovým kódem, který je při kaţdém přihlášení jiný a má omezenou časovou platnost, přihlásit do Vašeho internetového bankovnictví, kde nejenţe získávají další citlivé údaje, ale je to pro ně i prvním krokem k vytunelování Vašeho účtu.
28
Phisheři v tuto chvíli obvykle na peníze ještě nedosáhnou, jelikoţ k peněţité transakci je v drtivé většině aplikací internetového bankovnictví potřeba další ověření, ke kterému prozatím phisheři přístup nemají, avšak i ten dokáţí získat. Nyní si však povíme o dalších hrozbách elektronického bankovnictví, které povětšinou také mají za cíl od uţivatelů získat citlivé údaje, avšak k tomu vyuţívají jiné technické prostředky či metody, jimiţ se snaţí podvést uţivatele.21 Obrázek 8: Phishingová webová stránka
Zdroj: http://blog.zarohem.cz/images/images/phishing_ceska_1_big.png
21
Co
je
to
phishing.
Hoax
[online].
2000-2014
http://www.hoax.cz/phishing/co-je-to-phishing
29
[cit.
2014-02-22].
Dostupné
z:
2.5 SMiShing Slovo SMiShing je sloţeninou anglické zkratky pro SMS a anglického slova phishing. Jak uţ název tedy napovídá, tato hrozba bude kombinovat phishing a SMS zprávy. Konkrétně se tedy jedná o to, ţe hackeři pouţijí phishingovou metodu podvodu, která je výše popsána, avšak pro šíření nevyuţijí e-mail, ale SMS zprávy. Jelikoţ je posílání textových zpráv po hlasových hovorech nejčastější typem komunikace skrz mobilní telefon, jsou pro hackery SMS zprávy ideální příleţitostí, jak podvést uţivatele. Kaţdý den se po celém světě pošlou miliardy SMS zpráv, při čemţ více a více z nich je klasifikováno jako spam nebo phishingový útok. Zpráva z Pew Internet and American Life Project tvrdí, ţe 73 procent dospělých Američanů v průměru odešle a přijme skrz mobilní telefon 41,5 zprávy denně. Tento průměr velice zvedají lidé ve věku 18-24 let, u kterých je, jak můţete vidět na obrázku č. 9, průměr Obrázek 9: Počet odeslaných a přijatých sms zpráv denně
Zdroj: http://www.marketingcharts.com/wp/wp-content/uploads/2011/09/pew-research-text-messaging-use-by-agesept11.gif
odeslaných a přijmutých SMS zpráv 110 za den. Uţivatelé jsou obvykle zvyklí na podezřelé zprávy a bezpečnostní hrozby při práci na počítačích, proto na nich často mívají bezpečnostní software za účelem detekce škodlivého softwaru a prevenci útoků a jsou i celkově 30
obezřetnější. Méně z nich si však uvědomuje, ţe malware a phishingové útoky jsou problémem i pro mobilní zařízení. Jelikoţ jsou lidé zvyklí na příjem textových zpráv a jsou často v domnění, ţe skrz mobilní telefon jim ţádná nebezpečí nehrozí, hackeři toho zdatně vyuţívají. Pokud je totiţ oběť neobezřetná a nepřemýšlí nad hrozbami, které mohou z jejího jednání plynout, jsou pro hackery ideálními zákazníky, kteří pak často smishingové zprávě podlehnou, na odkaz kliknou a v klidu udělají to, co po nich útočník ţádá. Dále uţ je scénář stejný jako u phishingu, útočník se snaţí získat citlivé údaje a oběť okrást.22
2.6 Pharming Stejně jako jsme si v minulé kapitole z důvodů moţné záměny ne-phishingových technik s těmi phishingovými vysvětlili některé pojmy, zde si stručně charakterizujeme a vysvětlíme základní princip fungování DNS (Domain Name Server) a řekneme si, co je to „hosts“ soubor, avšak ne z důvodu zaměnitelnosti tohoto pojmu s pharmingem, ale proto, ţe je to nutné k pochopení této podvodné techniky.
2.6.1 Domain Name Server – DNS Pro pochopení definice tohoto pojmu bychom si nejdříve museli vysvětlit, jak se pracuje s dvojkovou soustavou, co je to IP adresa a jakým protokolem je vyuţívána, coţ je to pro toto téma irelevantní, a my definici můţeme obejít popisem fungování. Pro začátek si řekneme, ţe DNS překládá IP adresu domény na název. To běţnému uţivateli asi moc neřekne a tato věta pro něj nebude zrovna smysluplná, ale nechci Vás pojmem IP adresa, který patří spíše do jiné práce, nijak zvlášť zatěţovat, a proto tento pojem budeme vnímat pouze jako čtyři čísla oddělená tečkou – například „77.75.72.323“. Takováto čtyři čísla pod sebou skrývá kaţdá webová stránka. Vzhledem k tomu, ţe je takové číslo špatně zapamatovatelné člověku, vytvořil se systém DNS, který toto číslo přeloţí na název, v tomto konkrétním případě IP adresa domény „77.75.72.3“ odpovídá názvu seznam.cz, který si téměř kaţdý zapamatuje mnohem snáz, neţ výše zmíněné číslo (IP adresu).
22
BRADLEY, Tony. 'Smishing' Attacks Are on the Rise. PCWorld [online]. 2012 [cit. 2014-02-22].
Dostupné z: http://www.pcworld.com/article/254979/smishing_attacks_are_on_the_rise.html 23
Odborně IP adresa rozhraní či přeneseně IP adresa počítače.
31
Ohledně serverů na kterých běţí systém DNS je potřeba říct, ţe poţadavky, které jsou kladeny na jejich zabezpečení, míří opravdu vysoko a tyto servery jsou tedy velice dobře zabezpečeny, aby se pokud moţno zamezilo veškerým hackerským útokům. Tyto servery totiţ nesou databázi, v níţ jsou zaznamenány IP adresy domén a k nim příslušný název tak, abychom místo „77.75.72.3“ mohli do webového prohlíţeče napsat „seznam.cz“
2.6.2 Hosts soubor Soubor „hosts“ slouţí k rychlejšímu vyhledávání a překladu IP adresy domény na název. Pokud máte v souboru „hosts“ IP adresu a k ní přiřazený název, nebude se IP adresa zadávaného názvu do webového prohlíţeče vyhledávat na DNS serveru, ale pouţije se ta, která je zapsána v souboru hosts. To se dá vyuţít k zablokování určitého webu, přesměrování jinam, ale také to má výhodu rychlosti jelikoţ web nevyhledáváte na vzdálením DNS serveru v internetu a máte překlad IP adresy na jmennou adresu ve svém počítači. Moţnost nastavení zablokování či přesměrování určitého webu je pro nás výhodou a jistým stupněm ochrany. Pokud například víme, ţe stránka „www.zavirovanyweb.com“ je plná virů, můţeme ji v “hosts“ souboru zablokovat tak, ţe jí přiřadíme IP adresu localhostu, tedy lokální IP adresu našeho počítače, která je vţdy „127.0.0.1“ a kterou ţádná webová doména mít nemůţe. Co se týče přesměrování jinam, například na naši vytvořenou stránku na které bude například napsáno: „Tato stránka je zablokována, jelikoţ je plná virů!“ dosáhneme úplně stejně, ale místo IP adresy localhostu tedy místo „127.0.0.1“ zadáme IP adresu naší stránky, kterou můţeme zjistit například v příkazovém řádku pomocí příkazu ping nebo nslookup.24 Soubor
„hosts“
lze
v operačním
systému
Windows
nalézt
v
C:\%WINDIR%\system32\drivers\etc, kde %WINDIR% je instalační adresář Windows. „Hosts“ můţe obsahovat například tyto údaje: Tabulka 5: Příklad obsahu hosts souboru
IP Adresa
Jmenný název
Popis
127.0.0.1
localhost
Adresa Vašeho počítače
194.50.240.71
servis24.cz
Adresa internetového bankovnictví české spořitelny Zdroj: Vlastní tvorba
24
HOSTS
soubor.
In:
Zajímavosti
[online].
http://nej-zpravy.blogspot.cz/2009/09/hosts-soubor.html
32
2009
[cit.
2014-02-22].
Dostupné
z:
Bohuţel a jak uţ to tak bývá, má zapisování do „hosts“ souboru i stinné stránky. Hacker, který by se nám dostal do počítače, můţe stejně jako my soubor „hosts“ upravit a přesměrovat nás na svou podvodnou stránku a právě tuto metodu si rozebereme ve pharmingu.
2.6.3 Co je to ten Pharming? Jelikoţ s rostoucí informovaností potenciálních obětí přestal phishing dosahovat takových úspěchů, vymysleli hackeři další podvodnou techniku, která je pro oběti mnohem nebezpečnější, protoţe je sofistikovanější a hůře odhalitelná.25 Stejně jako u phishingu si hacker vytvoří podvodnou stránku například pro internetové bankovnictví české spořitelny, a cílí na to, aby oběť na této podvodné stránce zadala své citlivé údaje. Asi se teď ptáte, v čem se tedy ten pharming liší od jiţ výše popsaného phishingu. Rozdíl je v metodě, pomocí které hacker dosahuje, chcete-li, láká oběti, aby zadali své citlivé údaje26. V případě pharmingu nemají podvodné metody nic společného se spammování e-mailů vypadajících jako e-maily z banky, hackeři v tomto případě vyuţívají mnohem méně okatý způsob, který si popíšeme v několika následujících odstavcích. Kdyţ uţ má hacker vytvořenou a umístěnou podvodnou stránku, na nějakém serveru například pod IP adresou „210.74.232.53“ a je tato stránka vzhledově identická s webovou stránkou, na níţ je cílen útok, můţe hacker přistoupit k druhému kroku – přesměrovat uţivatele na jím vytvořenou podvodnou stránku tak, aby si oběť myslela, ţe je na té správné. Toho můţe dosáhnout v zásadě dvěma způsoby. Jednak lokální modifikací souboru „hosts“ a druhou moţností je značně efektivnější, avšak mnohem náročnější způsob a tím je napadení DNS serveru.27 Popíšeme si obě metody a začneme s lokálním napadením „hosts“ souboru.
2.6.4 Jak pomáhá „hosts“ soubor farmaření První metodou farmaření, jak se pharming do češtiny někdy překládá, je lokální modifikace „hosts“ souboru hackerem. Kdyţ jsme si definovali co je to „hosts“ soubor, co 25
BITTO, Ondřej. Rhybaření střídá pharming. Lupa.cz [online]. 2005 [cit. 2014-02-22]. Dostupné z:
http://www.lupa.cz/clanky/rhybareni-strida-pharming/ 26 27
Stejně jakou u phishingu je to obvykle přihlašovací jméno a heslo k účtu internetového bankovnictví. BEDNÁŘ, Vojtěch. Pharming je zpět a silnější. Lupa.cz [online]. 2007 [cit. 2014-02-22].
Dostupné z:
http://www.lupa.cz/clanky/pharming-je-zpet-a-silnejsi/?do=articleText-pollInText2785-
viewVote
33
obsahuje a k čemu se dá vyuţít, mluvili jsme hlavně o věcech nám prospěšných, které můţeme vyuţít ke své ochraně. Teď se však zaměříme na jiţ avizovanou stinnou stránku věci, při které hacker infikuje náš počítač škodlivým softwarem, například trojským koněm, který bude mít za úkol změnit host soubor tak, aby nás přesměroval například ze stránky našeho internetového bankovnictví na jeho podvodnou stránku, aniţ bychom si toho byli vědomi. Popsal jsem metodu, pomocí které můţeme přesměrovat stránku, o které víme, ţe je například zavirována. Prostě zapíšeme jmenný název domény k IP adrese, která danému názvu nepřísluší a ze které nám nehrozí ţádné nebezpečí. Tuto metodu však můţe pouţít i hacker, a jelikoţ e-mail nebo webová stránka přepisovat „hosts“ soubor neumí, hacker pouţije škodlivý kód, který náš počítač napadne a „hosts“ soubor přepíše. Takovýto škodlivý kód můţe být součástí přílohy e-mailu, aplikace nebo ho oběť například stáhne z webu na základě podvodné zprávy.28 Přepisování „hosts“ souboru je tedy nutné udělat lokálně na kaţdém počítači, jehoţ uţivatel by se později mohl stát obětí. Tuto nevýhodu odstraňuje druhá metoda, kterou hackeři mohou vyuţít k pharmingu. Tato metoda spočívá v napadení samotného DNS serveru, coţ je naštěstí mnohem obtíţnější, bohuţel ne nemoţné a proto si tuto metodu také popíšeme.
2.6.5 Napadení serveru DNS Jak uţ název napovídá, hackeři se při vyuţití této metody snaţí nabourat do samotného DNS serveru. Jak jsem jiţ zmiňoval, servery DNS jsou výborně zabezpečeny a pro hackery je tedy velice obtíţné najít a následně vyuţít nějakou skulinku v zabezpečení tak, aby si toho nikdo nevšiml. Toto zabezpečení značně omezuje vyuţívání této metody, která by byla nesmírně efektivní, pokud by se hackerům povedlo zabezpečení prolomit. Hackeři by totiţ v takovém případě mohli, stejně jako v „hosts“ souboru, změnit IP adresu domény u jmenného názvu serveru. To by však udělali přímo na DNS serveru, tudíţ by jim odpadla nutnost nabourávat se do Vašeho počítače, aby Vás přesměrovali na svou podvodnou stránku. Namísto toho by zdárné provedení takového útoku znamenalo, ţe všechny oběti, které by byly připojeny na napadený DNS server, by v případě zadání, jmenného názvu adresy přiřazeného k hackery změněné IP adrese, byly nevědomky přesměrovány z původní domény na jinou, podvodnou doménu, na které uţ běţí pharmingová webová stránka, která je 28
BEDNÁŘ, Vojtěch. Pharming je zpět a silnější. Lupa.cz [online]. 2007 [cit. 2014-02-22].
Dostupné z:
http://www.lupa.cz/clanky/pharming-je-zpet-a-silnejsi/?do=articleText-pollInText2785-
viewVote
34
totoţná s původní avšak opět není zabezpečena příslušným certifikátem a po zadání citlivých údajů Vás nepřihlásí do ţádné aplikace, ale údaje pošle hackerům, kteří se pak mohou do aplikace pod Vašimi údaji přihlásit.29
2.7 Vishing Nyní se blíţe podíváme na méně známou, avšak na hrozbu, která rozhodně stojí za pozornost, je jí Vishing. Tuto hrozbu většina široké veřejnosti nezná, jelikoţ je pro útočníka, který se opět snaţí získat citlivé údaje od své oběti, celkem náročná a nedá se realizovat plošně jako phishing, nebo pharming. Tentokrát se totiţ útočník zaměřuje na svou oběť pomocí telefonního hovoru. V praxi se setkáváme s případy, kdy osoba, na kterou je útok cílen, je pomocí e-mailu nebo SMS zprávy kontaktována hackerem o nestandardním pohybu na jeho účtu nebo s oznámením technických problémů, kdy je potřeba okamţitě kontaktovat banku na přiloţeném, avšak podvodném čísle. Pokud takovému útoku oběť podlehne a zavolá na uvedené podvodné číslo, útočník má lehčí půlku útoku splněnou. Nyní však musí působit důvěryhodně v očích oběti a tvářit se, jako příslušný pracovník banky. Útočník se tedy představí jménem banky a snaţí se z oběti vytáhnout citlivé údaje telefonicky, coţ na někoho můţe působit natolik důvěryhodně, ţe údaje útočníkovi sdělí. Útočník se obvykle ptá na přihlašovací jméno a heslo do internetového bankovnictví, číslo platební karty, její expiraci a CVC či CVV kód případně další citlivé údaje, které mu mají pomoci k vyřešení výše zmíněných vymyšlených technických či jiných problémů, či jako kontrolu, ţe po telefonu opravdu mluví s majitelem bankovního účtu, na kterém byly zaznamenány podezřelé transakce. Pokud oběť naletí na SMS zprávu či e-mail podobného rázu a na podvrhnuté číslo zavolá, tak by se měl kaţdý člověk zarazit ve chvíli, kdy útočník začne vyzvídat citlivé údaje, ať uţ jde o vyzvídání telefonicky, e-mailem, SMS zprávou nebo i dokonce při osobním kontaktu v bance. Takovéto údaje po Vás ţádný skutečný pracovník banky s dobrými úmysly, za účelem vyřešení jakéhokoli problému, chtít nikdy nebude. Abychom však dokončili popis průběhu Vishingového útoku, který opravdu záleţí pouze na vybudování si důvěry obětí k útočníkovi, je pro útočníka velice výhodné, aby oběť neměla o podvodu tušení, ani po skončení hovoru. Útočník proto hovor končí tím, ţe oběť
29
BEDNÁŘ, Vojtěch. Pharming je zpět a silnější. Lupa.cz [online]. 2007 [cit. 2014-02-22].
Dostupné z:
http://www.lupa.cz/clanky/pharming-je-zpet-a-silnejsi/?do=articleText-pollInText2785-
viewVote
35
ujišťuje, ţe se vše vyřešilo a to díky jeho bezproblémové spolupráci a hlavně díky včasnému zásahu banky, která odstranila technické problémy nebo třeba zablokovala podezřelou transakci dříve, neţ se stihla uskutečnit. Klient banky je pak naopak nadšený dobrou prací banky, vstřícností pracovníka a o tom, ţe byl právě okraden, vůbec netuší. Útočníci jsou díky tomuto typu kyberútoku často úspěšní, jelikoţ oběti o takovém typu útoku na rozdíl třeba od phishingu a pharmingu nikdy ani neslyšeli. Na tento typ útoku bychom si tedy také měli dávat pozor, i kdyţ pravděpodobnost, ţe zasáhne právě nás je o proti phishingu nesrovnatelně menší. Jelikoţ však počet klientů vyuţívajících ke svému bankovnímu kontu elektronické bankovnictví roste a roste a útočníci dnes mají moţnost vyuţívat k hovorům VoIP30 technologie, je Vishing pro hackery další příleţitostí, která stojí za pozornost.
2.8 Denial of Service (DoS) Denial of Sevice (DoS) je útok, pomocí kterého se „hackeři“ snaţí o znepřístupnění dané sluţby, počítače nebo dokonce celé sítě. DoS útoky nejsou ţádnou novinkou a proto druhů těchto útoků je spoustu, přičemţ se dále a dále rozvíjejí. Ačkoli je tedy tento typ útoků uţ nějaký ten pátek na světě, dávnou minulostí prozatím rozhodně není.
2.8.1 Druhy DoS Velká spousta lidí jiţ o DoS útocích slyšela. Slyšela i o útocích DDoS, které můţeme povaţovat za jakousi podmnoţinu těchto útoků a můţeme ji tedy označit i jako první základní rozdělení a to v závislosti na počtu počítačů, kterými je útok iniciován. DoS útoky jsou iniciovány jedním jediným počítačem. Do DDoS útoků jsou pak zapojeny dva a více počítačů, přičemţ v praxi počet zapojených počítačů do distribuovaného DoS útoku se pohybuje v řádech statisíců. Útoky dále můţeme rozdělit na lokální a vzdálené. Lokálním DoS se myslí útok, při kterém musí mít hacker přímý přístup k počítači, na který je útok namířen. Při vzdáleném útoku, jak uţ název napovídá, přistup k počítači, na který útočíme, nepotřebujeme, útočíme vzdáleně.
30
VOIP - Voice over Internet Protocol
36
Dále existují záplavové, reflektivní, typy vyuţívající chyb a vyčerpání systémových prostředků nebo DoS útoky, vyuţívající techniky man-in-the-middle. Tyto techniky si na následujících stranách dále rozebereme a popíšeme. DoS útoky jsou velice nebezpečné a jejich počet stále roste. V dnešní době jsou však k vidění buďto záplavové útoky nebo DoS útoky, které vyuţívají nějaké chyby, nejčastěji v aplikaci. Takováto chyba není nijak extrémně nebezpečná z toho důvodu, ţe aplikaci ve verzi, ve které se chyba vyskytuje, nemá nainstalovanou na počítače zas tak velké mnoţství uţivatelů. Problémy však nastávají ve chvíli, kdy se objeví chyba v něčem, čeho vyuţívá ke své plně funkčnosti kaţdý počítač. To můţe být například operační systém, kterých je však několik a pořád tedy nejsou zasaţeny všechny počítače. Nejhorší situací je pak chyba v některém ze sítových protokolů, které jsou klíčové pro připojení k internetu, na kterém denně „visí“ stamilióny lidí.31
2.8.2 Proč lidé dělají DoS? Důvodů a motivací, které lidi vedou k uskutečnění DoS útoků, je hned několik. 2.8.2.1 Snížení konkurence schopnosti DoS útoky mohou poškodit či dokonce zničit konkurenční společnosti. Pokud úspěšně napadnete společnost specializující se na obranu proti DoS útokům a zmedializujete to, moc zákazníků jí asi nezůstane a noví se k ní rozhodně nepohrnou. 2.8.2.2 Seberealizace Důvodem realizace útoku, a to nejen DoS útoku, ale jakýkoli útok obecně proto, můţe být také to, ţe si chce útočník dokázat, ţe útok zvládne, či aby to dokázali někomu jinému a zvýšili si tak svůj společenský kredit. 2.8.2.3 Z pomsty Někteří labilní jedinci pak mohou přistoupit i k takovýmto způsobům jako k formě pomsty například za propuštění ze zaměstnání.
31
HALLER, Martin. Denial of Service (DoS) útoky: úvod. Lupa.cz [online]. 2006 [cit. 2014-03-04].
Dostupné z: http://www.lupa.cz/clanky/denial-of-service-dos-utoky-uvod/
37
2.8.2.4 DoS útok jako forma demonstrace Sem spadají politicky motivované útoky, typicky směřované na vládní a stranické systémy či politické strany. 2.8.2.5 Kyber terorismus Tyto útoky jsou směřovány na systémy, které jsou důleţité pro fungování státu a jeho infrastruktury. DoS útok můţe také poslouţit k zamaskování jiného útoku na infrastrukturu. Pokud útočník najde chybu, která mu dovolí proniknout do systému, avšak jejíţ zneuţití můţe vzbudit pozornost správců, tak podnikne DoS útok na jinou část sítě a odvede pozornost. Pak uţ má dostatek času na vyuţití chyby, přičemţ správcům se nemusí vůbec podařit primární útok odhalit, jelikoţ mají dost práce s DoS a kontrola všech logů po takovém útoku trvá dny i týdny.32
2.8.3 Záplavové útoky Prvním druhem DoS útoku, na který se podíváme, je útok záplavový. Všechny typy záplavových útoků si jsou velice podobné a liší se pouze pouţitým protokolem nebo nastaveným příznakem. Tyto útoky nemají téměř ţádný historický vývoj, který se nedá očekávat ani do budoucna. Záplavové neboli DoS flood útoky jsou jedny z nejprostších útoků, kdy se útočník snaţí poslat na linku své oběti takové mnoţství dat, které ji zahltí a znemoţní tak její provoz. Tento útok se realizuje spíše distribuovaně, coţ, jak jsem jiţ uvedl výše, znamená, ţe jsou k takovému útoku pouţity dva a více počítačů. Kdybychom tento útok přirovnali k situaci z běţného ţivota, mohli bychom ho znázornit například na odtoku vody v umyvadle. Pokud pustíte kohoutek, odtok umyvadla je navrţen tak, aby voda plynule odtékala. Pokud však do umyvadla najednou vylejete desetilitrový kýbl vody, tak se odtok touto vodou zahltí a voda tekoucí z kohoutku odtékat dočasně přestane a přesně takhle funguje i zahlcení sítové linky.
32
ČMELÍK, Martin. Seznamte se – DoS a DDoS útoky. Security-portal.cz [online]. 2013
[cit. 2014-03-04]. Dostupné z: http://www.security-portal.cz/clanky/seznamte-se-–-dos-ddos-útoky
38
Obrázek 10: Zahlcení linky
Zdroj: http://i.iinfo.cz/urs/zahlceni-115795665642264.GIF
V dnešní době to uţ platí jen napůl, jelikoţ oběť, coţ je obvykle nějaký server, je připojen k internetu pomocí linek o rychlosti, které útočník zdaleka nedosahuje. Je to, jako byste chtěli ucpat umyvadlo kapkou vody. To by prostě nešlo. Útočníci k tomu tedy vyuţívají výše zmíněný DDoS útok při kterém útočí statisíce počítačů. Takţe ačkoli jednou kapkou vody umyvadlo nezahltíte, statisíce nebo i milióny kapek to bezproblémově zvládnou. Klasickým DoS záplavovým útokem tak v dnešní době můţete být úspěšní tak maximálně ţertovně vůči svému kamarádovi, který má připojení do několika Mb/s33. 2.8.3.1 V jednoduchosti je síla Záplavové útoky a především ty distribuované jsou velmi nebezpečné z toho důvodu, ţe je velice obtíţné se jim účinně bránit. Pokud je na Vás takový útok namířen, vy osobně s tím nic neuděláte, jelikoţ je Vaše linka prostě zahlcena. Ano, můţete ho zjistit, vidět ţe na Vaši linku přichází stále stejné pakety, ale pokud nemáte zavedena nějaká preventivní opatření, nemáte ţádnou moţnost jak komunikaci odfiltrovat a tím znemoţnit útočníkovi další zahlcování. Jedinou Vaší šancí je, aby Vám Váš poskytovatel internetu poskytl linku novou a
33
Čte se megabit za sekundu.
39
komunikaci začal filtrovat uţ u něj, coţ pokud to není Váš soused a dobrý kamarád, nejspíš neudělá. Vám tedy nezbývá nic jiného neţ počkat, aţ útočník přestane. Pokud s takovou ţádostí přijde větší firma, která svému poskytovateli platí značné obnosy za své připojení, situace můţe být jiná a poskytovatel jí nejspíše vyhoví a komunikaci odfiltruje vytvořením pravidla ve firewallu. Pro útočníka to však není velkou překáţkou, jelikoţ zfalšováním zdrojové adresy a změnou portu pravidlo obejde a v útoku pokračuje. Coţ obvykle vede aţ k úplnému odpojení serveru a následné analýze útoku a hledání útočníka. Abychom si tyto typy útoků také dali do souvislosti s elektronickým bankovnictvím, představte si, ţe by se takový útok povedl úspěšně zrealizovat vůči internetovému bankovnictví. Samotné aplikaci internetového bankovnictví by se s největší pravděpodobností nic nestalo, avšak klienti dané banky by aplikaci nemohli pouţít, jelikoţ by se k ní jednoduše nemohli připojit, neměli by kudy, na lince by uţ nebylo místo. Kdyţ si uvědomíme, ţe hlavní výhodou elektronického bankovnictví je, ţe se k němu můţu připojit tzv. 24/7, přičemţ nemusím vytáhnout paty z domova, tak by úspěšný útok mohl banku velice poškodit, nemluvě o tom, ţe případná medializace, která je většinou plná polopravd by mohla v klientech banky vzbudit značné pochybnosti o bezpečnosti jejich finančních prostředků.
2.8.4 Záplava ICMP pakety Nyní uţ se podíváme na konkrétní záplavový útok, který je realizován vyuţitím ICMP protokolu34. Jak uţ název napovídá, tento typ záplavového útoku vyuţívá ICMP protokol. Pakety typu ICMP Echo jsou vyuţívány programem ping a slouţí k zjišťování dostupnosti vzdáleného zařízení. Dle doporučení RFC by měla být maximální velikost ICMP Echo paketu 548 B. V operačních systémech Linux a Windows však program ping umoţňuje velikost ICMP Echo paketu aţ 65535 B. ICMP Echo pracuje tak, ţe po té co odešleme ICMP Echo request, tak po doručení na cílový počítač se zpátky vyšle ICMP Echo reply. Při této akci zůstává zachována velikost paketu. Pokud tedy útočník zfalšuje adresu odesílatele, ICMP Echo reply se odešle jinam neţ má, coţ má za následek dvojité ucpání datové linky oběti. Jednou směrem k oběti a po druhé na falešnou adresu odesílatele. V Linuxovém operačním systému jsou moţnosti programu ping takové, ţe tento útok značně usnadňují. Nejen ţe se zde dá nastavit velikost ICMP Echo paketu, ale nabízí přímo
34
ICMP protokol slouţí k přenosu řídících hlášení o chybách či zvláštních okolnostech přenosu.
40
reţim flood, který posílá ICMP Echo pakety jak nejrychleji to jde. Tento reţim je aktivován přepínačem -f. Útočník také velmi snadno pozná, zda byl jeho útok úspěšný či ne. Za kaţdý ICMP Echo request paket se totiţ v konzoli vypíše tečka a s kaţdým přijatým ICMP Echo reply paketem se jedna tečka smaţe. Útočník tedy vidí, zda je úspěšný podle toho, zda stíhá oběť odpovídat (není úspešný), nebo ne (uspěl). Dnes jsou však v praxi ICMP Echo pakety velmi často filtrovány.
2.8.5 Zacyklení pomocí služeb echo a chargen Ačkoli se v dnešní době tyto sluţby uţ nepouţívají, za zmínku stojí proto, ţe se dali pouţít tak, aby odrovnali i server, který byl k internetu připojen mnohem rychleji neţ my. Zajímavostí také je, ţe reakcí sluţby na takovou záplavu bylo často její úplné zhroucení. Jak uţ název napovídá, bude se útok týkat pouţití sluţeb echo a chargen tak, aby se zacyklili a tím datovou linku zahltili. Obě sluţby po příchodu dat na jejich port posílají data zpět. U sluţby echo se jedná o jakousi ozvěnu. To znamená, ţe všechna data, která sluţbě echo přijdou na její port, pošle sluţba zpět. Sluţba chargen pak funguje tak, ţe zpět neposílá na rozdíl od echo všechna data, ale jen náhodně vybraná. V dobách kdy tyto dvě sluţby bývaly často defaultně spuštěny v operačních systémech Linux, se jich vyuţívalo tak, ţe se poslala data na port echo, přičemţ se zfalšovala zdrojová adresa a port. Zdrojová adresa se nastavila na počítač, na kterém byla zapnuta sluţba echo nebo chargen, přičemţ port byl nastaven na příslušnou sluţbu. Takovéto pouţití těchto sluţeb mělo za následek neustálé posílání dalších a dalších dat stále dokola, coţ způsobilo zacyklení a zahlcení datové linky.35
2.8.6 DoS s využitím chyby Další druh DoS útoků vyuţívá chyby v softwaru nebo hardwaru. Ţivotnost takových útoků není příliš velká, jelikoţ jsou takové chyby velmi rychle záplatovány a opraveny. Na druhou stranu tyto útoky nejspíš nikdy nezmizí, jelikoţ nikdo není neomylný a chyby v softwaru či hardwaru se prostě budou vyskytovat dál. Tím spíš v softwarech,
35
HALLER, Martin. Denial of Service (DoS) útoky: záplavové typy. Lupa.cz [online]. 2006 [cit. 2014-
03-04]. Dostupné z: http://www.lupa.cz/clanky/denial-of-service-dos-utoky-zaplavove-typy/#ic=serialbox&icc=text-titl
41
jejichţ sloţitost dále a dále roste a je těţší a těţší ošetřit všechny moţné bezpečnostní „díry“, které se při jejich tvorbě vyskytují. Vzhledem k tomu, ţe existují internetové databáze, které shromaţďují data o chybách, které se v aplikacích vyskytují, útočníci toho vyuţívají. Po tom, co si vyhlédnou oběť, zjistí jaký software a hardware oběť pouţívá. Pak útočník najde v internetové databázi chyby, kterých by mohl vyuţít a zaútočí. Takové útoky jsou přímo cílené proti určité oběti a útočník k nim tedy obvykle má nějaký konkrétní důvod. Druhou moţností je, ţe si chce útočník například dokázat, ţe zvládne útok realizovat. Najde nejprve v databázi jakoukoli chybu, která zatím zazáplatována a opravena není a pak zaútočí prakticky na kohokoli, kdo je chybou zranitelný i kdyţ vůbec netuší, o koho jde či jaké mu to můţe způsobit škody. 2.8.6.1 Horší než záplava DoS útoky vyuţívající chyb jsou nejnebezpečnějšími útoky této kategorie a k uskutečnění takového útoku není potřeba nijakých extra prostředků. Pro nedostupnost oběti při vyuţití chyby často stačí pouhé vygenerování relativně nízkého počtu určitých paketů. Rychlost připojení k internetu jak oběti, tak útočníka tedy v tomto případě není vůbec důleţitá, jak tomu bylo u útoků záplavových. Jelikoţ je k provedení útoku potřeba jen několik málo paketů, tak i vysledování útočníka je velice obtíţné a filtrovací pravidla firewallu nám zde také nepomohou. Nebezpečí se také skrývá v tom, ţe ve chvíli, kdy se o chybě ze které zranitelnost pramení, oběť dozví, útočníci ji uţ dávno vyuţívají a útočí. Ačkoli jsem na začátku zmínil, ţe ţivotnost takových útoků je velice krátká, jelikoţ jsou chyby co nejrychleji záplatovány a opraveny, některé společnosti, hlavně s téměř monopolními produkty, své záplaty nevydávají tak rychle, jak by bylo potřeba či chybu úplně ignorují a nezabývají se jí. Toho se samozřejmě útočníci snaţí vyuţít co moţná nejvíce, protoţe software u kterého se se záplatováním nepospíchá a který má obrovská masa lidí je pro útočníky něco jako ráj.
2.8.7 Vyčerpání systémových prostředků Tyto útoky se od útoků vyuţívajících chyb liší pouze v detailech. Ve své podstatě také vyuţívají chyb v softwaru nebo hardwaru. Nejsou to však chyby ve smyslu bezpečnostních děr, jako tomu bylo u útoků "vyuţívajících chyby", ale spíše takové, které vznikly nedokonalostmi návrhu. Takovéto chyby reagují na akci jiným způsobem, neţ je obvyklé. To 42
znamená, ţe například při práci s určitými speciálně upravenými pakety program vytíţí procesor více neţ obvykle či se neúměrně zvýší vyuţití operační paměti. Útok se liší také tím, ţe rychlost připojení opět hraje roli, jelikoţ ke zdárnému provedení útoku uţ nestačí jen několik málo paketů, ale opět větší datový tok. V praxi se tedy posílá co největší počet speciálně upravených paketů, které vytíţí procesor nebo program zahltí operační paměť natolik, ţe počítač začne stránkovat na disk. Pokud se to povede, útočník docílí toho, ţe je systém nepouţitelný. Počítač uţ nemůţe vykonávat nic dalšího tedy ani to, co původně obsluhoval. Běţný uţivatel se s tímto můţe v praxi setkat v podobě, kdy nějaká aplikace přestane odpovídat. 2.8.7.1 Zástupců je celá řada Zástupců, kteří patří do kategorie DoS útoků zaměřujících se na vyčerpání systémových prostředků, je celá řada. Ping of death, Stream, Raped, TearDrop, RPC Named Pipes, Land Attack, NBName, Fork bomb a další. Rozhodně si nepopíšeme ani zdaleka všechny. Zaměříme se na jeden spíše historický útok – PoD a dále na SYN flood, který je velice známý a stále realizovatelný a doplníme tyto metody o metodu Fork bomb, coţ není úplně klasický DoS, se kterými jsem se zatím měli moţnost seznámit, je však aţ neskutečně jednoduchý a tím je i zajímavý. 2.8.7.1.1 Ping of Death (PoD) Název tohoto útoku je opět velice výstiţný a dal by se přeloţit jako ping smrti a patří nebo spíše patřil do kategorie DoS útoků vyuţívajících chybu. Ano, opět program ping, tedy základní diagnostický program ověřující dostupnost zařízení na síti. Jak jsem jiţ uvedl u „záplavového útoku ICMP pakety“, ke zjištění dostupnosti zařízení se pouţívá Echo request paket, který dle specifikace RFC můţe mít maximálně 65535 B. V době kdy byl útok uskutečnitelný, přišli útočníci s trikem jak tuto velikost nedodrţet a poslat paket větší, coţ mělo za následek spadnutí systému.36
36
HALLER, Martin. Denial of Service (DoS) útoky: typy vyuţívající chyb a vyčerpání systémových
prostředků (2.). Lupa.cz [online]. 2006 [cit. 2014-03-04]. Dostupné z: http://www.lupa.cz/clanky/typyvyuzivajici-chyb-a-vycerpani-systemovych-prostredku-2/#ic=serial-box&icc=text-title
43
2.8.7.1.2 SYN Flood Dle názvu by mnozí řekli, ţe by se tento útok měl řadit spíše do záplavových. Ano, tento útok je realizován za pomoci zaplavení datové linky správně nastavenými TCP pakety, avšak výsledkem je vyčerpání systémových prostředků. 2.8.7.1.2.1 TCP handshake Pro pochopení SYN Flood si musíme vysvětlit způsob navázání spojení v rámci TCP protokolu, který se nazývá TCP handshake. Prvním předpokladem pro navázání spojení je, Obrázek 11: TCP handshake
Zdroj: http://i.iinfo.cz/urs/handshake-115911933310757.GIF
ţe chtějí komunikovat obě strany, které si vymění několik TCP paketů, coţ se nazývá TCP handshake a nejlépe to pochopíme z obrázku č. 11. Klient, který chce navázat spojení se serverem, nejdříve vyšle paket s příznakem SYN, coţ znamená synchronizaci (zelená šipka). Jelikoţ s Vámi server komunikovat chce, pošle zpátky paket s příznakem SYN, čímţ se zajistí obousměrná komunikace a připojí k němu také příznak ACK37, kterým spojení potvrzuje (modrá šipka). Po té co klient paket s příznaky SYN a ACK vyslané serverem přijme, uzavírá handshake odesláním posledního paketu a příznakem ACK (šipka červené barvy), čímţ se server dozví, ţe spojení bylo navázáno a nevyskytla se chyba. V tuto chvíli si uţ klient a server mohou předávat data (oranţová obousměrná šipka). 2.8.7.1.2.2 A jak to tedy funguje? Útočníci vyuţívají toho, ţe server na paket s příznakem SYN reaguje tak, ţe vymezí systémové prostředky pro budoucí spojení s klientem a čeká na odpověď klienta po odeslání SYN + ACK paketu, pokud neodpoví, odešle server tento paket znovu v domnění, ţe se první 37
ACK zkrat anglického slova acknowledge v překladu potvrzení.
44
paket ztratil. Po nějaké době klientova neodpovídání server svého „úsilí“ zanechá a systémové prostředky uvolní. Pokud však klient (útočník) bude zaplavovat server pakety s příznakem SYN dostatečně dlouho, obsadí se všechna spojení, která budou otevřena jen na půl a na server se tak uţ nikdo další nedostane. Dalšími výhodami tohoto útoku je také to, ţe se dá zfalšovat IP adresa odesílatele a SYN + ACK paket, který server odesílá klientovi, jde tak na úplně jiné zařízení v síti. Výhodou je i velikost SYN paketu, která je pouhých 42 bytů a rychlost útočníkova připojení k internetu je tedy naprosto irelevantní.38 2.8.7.1.3 Fork bomb Zmínil jsem, ţe tento typ útoku není úplně klasický DoS útokem, kdybychom se snaţili zařadit ho do této skupiny, patřil by do lokálních DoS útoků, tedy útoků, k jejichţ provedení je potřeba přímý přístup k cílovému počítači. Tento útok vyčerpá systémové prostředky s pouţitím programů, které do nekonečna spouští samy sebe a ve výsledku se projeví zamrznutím či pádem systému samotného. Ačkoli takové útoky mají stoprocentní úspěšnost, jejich omezenost spočívá v jejich lokálnosti, čímţ se řadí do útoků spíše s nízkou nebezpečností.
2.8.8 Distribuovaný DoS O DDoS útocích jsem si prozatím řekli jen to, ţe se od DoS útoků liší v počtu pouţitých počítačů. Pokud je útok distribuovaný vyuţívá dva a více počítačů, coţ umoţňuje napadnout servery s mnohem rychlejším připojením, neţ mají jednotlivé počítače. Útoky jsou tedy typicky záplavové.
38
HALLER, Martin. Denial of Service (DoS) útoky: typy vyuţívající chyb a vyčerpání systémových
prostředků (2.). Lupa.cz [online]. 2006 [cit. 2014-03-04]. Dostupné z: http://www.lupa.cz/clanky/typyvyuzivajici-chyb-a-vycerpani-systemovych-prostredku-2/#ic=serial-box&icc=text-title
45
2.8.8.1 DDoS po staru V dobách dnes jiţ dávno minulých se DDoS útoky prováděli několika útočníky, kteří po vzájemné domluvě, ze svých či z počítačů ke kterým měli přístup, nabourali (hacknuli) další počítače, pomocí kterých byl pak útok veden. S postupem času se však DDoS útoky vyvinuly a jejich současná podoba se značně změnila. Ustoupilo se od hackování jednotlivých počítačů a přešlo se k technikám, které pomocí rozšíření trojských koní umoţnily ovládat infikované počítače, které vytvářejí tzv. botnety. Obrázek 12: Dřívější podoba DDoS útoku
Zdroj: http://i.iinfo.cz/urs/DDoS-115979252000115.GIF
2.8.8.2 DDoS s využitím botnetu Botnet je sloţeninou slova bot a net. Slovem bot se v souvislosti s botnetem označuje program, který plní útočníkovi příkazy. Počítače infikované botem, se někdy téţ nazývají zombie, coţ značí ovládnutí daného počítače, aniţ by to jeho uţivatel věděl. Sdruţená síť nakaţených počítačů botem je označována jako bot network zkráceně botnet. Aby boti mohli přijímat příkazy, často si skrytě stáhnou a nainstalují doplňující programy, pomocí kterých se například připojí na přislušné IRC, coţ je spolu s vyuţitím HTTP nejčastějším prostředkem pro komunikaci hackera s botem, který pak má moţnost ovládat všechny najednou. Byly však objeveny případy, kdy hacker své boty ovládal pomocí Twittru nebo e-mailem. 46
Botnety mohou ve vyjímečných případech čítat aţ přes milión infikovaných počítačů, které hacker můţe následně ovládat a uskutečnit z nich tedy i DDoS útok. S takovými zdroji pak hackeři nemají problém zneškodnit jakýkoli server. Nakaţení tak vysokého počtu počítačů je však velice obtíţné a není to obvyklé, nakonec tak vysoký počet počítačů k uskutečnění DDoS útoku však ani hackři nepotřebují a proto se botnety obvykle vyskytují v daleko menších počtech zasaţených počítačů. Obrázek 13: Útok s využitím botnetu
Zdroj: http://i.iinfo.cz/urs/botnet-115979254061644.GIF
Někteří hackeři si však tvorbou botnetů také vydělávají a takovou síť zotročených počítačů prodají nebo dokonce pronajímají, v čemţ se skrývá další dimenze nebezpečnosti těchto útoků. Botnety jsou dnes ţádaným produktem černého trhu a jejich ceny se odvíjejí od různých kritérií počínajících od počtu počítačů, které botnet bude čítat aţ po jejich umístění na planetě s předpokládanou rychlostí připojení. Dle přiloţeného ceníku v tabulce č. 6, můţete sami vidět, ţe takovou botnetovou síť si můţe dovolit téměř kaţdý. Tabulka 6: Ceník pronájmu botnetu
Počet počítačů v botnetu
1000
5000
10000
Světový mix
25 USD
110 USD
200 USD
Evropský mix
50 USD
225 USD
400 USD
Německo, Kanada, Británie
80 USD
350 USD
600 USD
Spojené státy
120 USD
550 USD
1000 USD
Zdroj: http://www.root.cz/clanky/pronajmu-botnet-cenik-prilozen-aneb-jak-se-dela-ddos/
47
2.8.9 Distributed Reflection Denial of Service Zkráceně DRDoS jsou útoky reklektivního typu, při kterých útočník vyuţívá další zařízení v síti, od kterých se útok v podstatě odráţí a tím se dostává k oběti. Tato zařízení však nemusí být předem napadnuta. Útočníkovi stačí, aby si předem zjistil, jaká zařízení v síti k útoku vyuţije a pak na jejich IP adresy odesílá malé, v logu nevyčnívající, mnoţství určitých paketů, které mají zfalšovanou zdrojovou adresu, která je zaměněna za IP adresu oběti, na kterou je útok namířen. Tyto útoky se tedy snaţí zahltit linku oběti a jsou ve výsledku distribuované s tím, ţe útočník opět nepotřebuje mít rychlejší linku neţ oběť. Výhodou těchto útoků také je, ţe vzhledem k tomu, ţe se pakety při cestě sítí k oběti "odrazí" od dalších zařízení a netečou tedy stále stejnou cestou, je velice obtíţné útočníka vystopovat. Jak to můţe vypadat, lez vidět na obrázku č. 14, který porovnává reflektivní DoS útok s obyčejným. Obrázek 14: Reflektivní vs Obyčejný DoS
Zdroje: http://i.iinfo.cz/urs/reflektivni-116039662731435.GIF (vlevo) a http://i.iinfo.cz/urs/obycejny116039658405511.GIF (vpravo)
2.8.9.1 Zesilující útoky Zesilující DDoS útoky jsou jakousi podskupinou útoků reflektivních, jelikoţ fungují na takovém principu, ţe útočník odešle nějaké mnoţství dat a k oběti se dat dostane několikanásobně více, tudíţ se data někde „zesílí“ a právě k tomu je potřeba prostředník jakého vyuţívá i útok reflektivního typu. 2.8.9.1.1 Smurf Prvním a také historicky nejstarším útokem nazývaným Smurf je útok ICMP flood, který je doplněn o zesílení. ICMP flood jsme si jiţ popsali a tudíţ si vysvětlíme pouze to, 48
jakým způsobem je zesílení provedeno. Základem je zfalšování zdrojové adresy ICMP Echo request paketu, která je opět změněna na IP adresu útočníkova cíle. Tento paket je pak pingem poslán na broadcastovou39 adresu nějaké sítě, která ho odešle na všechny systémy, které síť obsahuje. Systémy následně odpovídají ICMP Echo reply paketem, který je díky zfalšované IP adrese paketu odeslán na zařízení, na které útočník útočí. V takové síti mohou být stovky počítačů a i jeden paket tak vyvolá obrovské zesílení. Variantou tohoto útoku je pak útok Fraggle, který je modifikován tak, ţe nevyuţívá ICMP protokol, ale protokol UDP se sluţbami Echo a Chargen, které jsme si téţ jiţ vysvětlili, takţe uţ nebude problém si domyslet, jak by takto modifikovaný útok mohl vypadat.
2.9 Trojské koně Závěr této kapitoly věnujeme trojským koním, coţ je malware40, pomocí kterého má útočník moţnost získat od oběti citlivé údaje nebo jeho počítač pouţít například k DDoS útoku. Trojské koně jsou velice rozšířeným typem malwaru a zaměřují se především na to, aby mohl útočník vzdáleně přistupovat k cizímu systému a ovládat ho. První skupinou jsou programy cílící přímo na hesla uţivatele, tzv. sniffery. Jsou to programy, které se snaţí získat citlivé údaje tak, ţe je vyhledávají na místech, kam se dají ukládat a následně je automaticky vyuţívat, jako je prohlíţeč. Pokud uţivatel k důleţitým aplikacím jako je e-mail, elektronické bankovnictví nebo k nějakému platebnímu systému, například k Paypalu svá hesla nikam neukládá a pamatuje si je, tyto programy narazí a právě v takovou chvíli je pro útočníka výhodnější pouţití tzv. keyloggerů. Keyloggery jsou aplikační programy, které zaznamenávají kaţdý stisk klávesnice a pro útočníka je tedy ţádoucí, aby se taková aplikace spustila na počítači oběti při kaţdém zapnutí a on mohl odposlechnout, co oběť zadává. Keyloggery jsou tedy vyuţívány hlavně pro získání přístupových údajů uţivatelů, kteří si svá hesla neukládají. Aplikace je typicky ukládá do souboru a ten je následně odesílán útočníkovi. Nevýhodou pro útočníka je, ţe si konkrétní přístupové údaje musí v souboru vyhledat. Nejvíce však trojské koně cílí na ovládnutí jiného systému. Obsahují sítovou sluţbu, která umoţní útočníkovi proniknout do cizího systému, tzv. backdoor. Taková sluţba otevírá porty, kterými pak útočník můţe do systému proniknout. Takovýto typ trojského koně je
39
Broadcast je zprávou, která je přijímána všemi sítovými rozhraními připojenými do počítačové sítě.
40
Malware je obecné označení pro škodlivý kód
49
typický pro vytvoření zombie počítače a následného utváření botnetu, pomocí kterého je pak uskutečněn DDoS útok. Posledním typem trojského koně je tzv. Security software disabler, tedy škodlivý kód, jehoţ cílem je blokace softwaru, který zabezpečuje ochranu počítače.
50
3
Možné bezpečnostní útoky „Útokem, který nazýváme rovněž bezpečnostní incident, rozumíme buďto úmyslné
využitkování zranitelného místa, tj. využití zranitelného místa ke způsobení škod/ztrát na aktivech IS, nebo neúmyslné uskutečnění akce, jejímž výsledkem je škoda na aktivech“41 V této kapitole se podíváme na konkrétní útoky, které se v dávné i nedávné minulosti staly. Poukáţeme na četnost a vývoj phishingových útoků a také se zaměříme na některé modifikace útoků, které jsme v druhé kapitole nepopsali. Nevynechám ani DoS útoky na zpravodajské portály, které dále pokračovali a byly namířeny i na banky a těmi kapitolu zakončím.
3.1 Phishingové útoky V roce 2008 se objevila vlna phishingových útoků na Českou spořitelnu. Tyto phishingové útoky začali obyčejnými na první pohled rozpoznatelnými podvodnými e-maily a postupem času se útočníci ve svém snaţení zlepšovali a zlepšovali a z e-mailů, které byli z počátku opravdu chabými pokusy, se vyklubali útoky velice vydařené. Z počátku byly e-maily psané angličtinou, neměli ţádnou grafickou úpravu jako pravé e-maily České spořitelny. Navíc odkaz, který e-mail obsahoval, byl na první pohled podvodný a do očí bijící. Konkrétně proti tomuto útoku podala Česká spořitelna trestné oznámení na neznámého pachatele. To, ţe byl útok realizován opravdu bídně a byl pro potencionální oběti velice nedůvěryhodný, nasvědčuje i to, ţe podle dostupných informací zveřejněných Českou spořitelnou nebyl poškozen ţádný z jejich klientů. Konkrétní podoba útoku je vidět na obrázku č. 15.
41
HANÁČEK, Petr a Jan STAUDEK. Bezpečnost informačních systémů: Metodická příručka
zabezpečování produktů a systémů budovaných na bázi informačních technologií. Praha: Úřad pro státní informační systém, 2000, s. 15. ISBN 80-238-5400-3.
51
Obrázek 15: Příklad phishingového útoku na ČS
zdroj: http://i.iinfo.cz/urs/phishing01-120515456087895.jpeg
Phisheři však postupně útok dovedli na mnohem lepší úroveň a ještě ten stejný měsíc, kdy jste mohli dostat výše uvedený ubohý podvodný e-mail, jste se mohli napálit na další verzi, která byla opět směřována proti České spořitelně. Tento útok byl však na první pohled rozhodně důvěryhodný. Byl napsán česky, text dával souvisle smysl a chyby byly spíše Obrázek 16: Příklad důvěryhodného phishingového útoku
Zdroje: http://zive.v.mfstatic.cz/uploadedfiles/686441651.png (vlevo) a http://www.maxiorel.cz/files/pictures/clanky/2008/03brezen/phishing/phishing-1.png (vpravo)
52
drobné, diakritické. Grafická úprava e-mailu vypadala důvěryhodněji. Byl úhledně naformátován, obsahoval například logo České spořitelny a odkaz obsaţený v e-mailu byl zamaskován tak, aby vypadal, ţe odkazuje na skutečnou webovou adresu pro vstup do internetového bankovnictví. Obsah podvodného phishingové e-mailu byl také drze zajímavý tím, ţe upozorňoval právě na podvodné phishingové e-maily, mohl si to nejspíš dovolit vzhledem k velice slušnému zpracování, přičemţ následná podvodná stránka, na kterou se oběť mohla prokliknout z e-mailu vypadala taktéţ velice slušně, na coţ si můţete udělat vlastní názor sami z obrázku č. 16. Česká spořitelna pochopitelně není jediným subjektem, který potkal phishingový útok. Co se bankovních společností týče tak napadeny byly například Citibank v roce 2009, Raiffeisenbank v roce 2011 a například v roce 2013 se útočníci zaměřili na GE Money bank nebo Mbank.
3.1.1 Četnost phishingových útoků dále stoupá Ačkoli je phishing velice známý, počty phishingových útoků stále rostou, coţ vyplývá z výzkumu společnosti Kaspersky Lab „The evolution of phishing attacks 2011-2013“, který proběhl
na
datech
sesbíraných
v letech
Obrázek 17: Způsoby šíření phishingových zpráv
2011 - 2013. Zajímavým výsledkem výzkumu je také to, ţe šíření drtivé většiny odkazů neproběhlo mailem, ale běţným prohlíţením internetu. Tedy na webových stránkách, příspěvcích na fórech, blozích, či osobních zpráv na sociálních sítích. I tak počet phishingových
zpráv
šířených
Zdroj:
e-mailem
http://media.kaspersky.com/pdf/Kaspersky_Lab_KSN
meziročně vzrostl o 1,86% z 10,23% v letech
_report_The_Evolution_of_Phishing_Attacks_2011-
2011-2012 na 12,09% v letech 2012-2013.
2013.pdf - strana 8
Celkový nárůst phishingových útoků v letech 2012 - 2013 oproti rokům 2011 - 2012 výzkum vyčíslil na 87%. Kaspersky Lab ve svém výzkumu mimo jiné zveřejnil, třicet nejčastějších cílů phishingových útoků v letech 2012 - 2013, které jsou vyčísleny v milionech útoku za dané období, coţ můţeme vidět na obrázku č. 18.
53
Obrázek 18: 30 nejčastějších cílů phishingových útoků v letech 2012-2013
Zdroj: http://media.kaspersky.com/pdf/Kaspersky_Lab_KSN_report_The_Evolution_of_Phishing_Attacks_20112013.pdf - strana 22
3.2 Skimmingové útoky a manipulace bankomatů V roce 2013 si skimmeři vzali do hledáčku bankomaty v Karlovarském kraji a na několik bankomatů umístili skimmovací zařízení. Tato zařízení byla však odhalena a policisté vyuţili toho, ţe skimmeři často své čtečky z bankomatů opět stahují, aby tak sníţili šanci na jejich odhalení a nemuseli vyrábět nové a nové. V tomto případě se to vyplatilo a skimmer, který přišel z bankomatu podvodné zařízení odstranit zřejmě s úmyslem ho pouţít někde jinde, byl chycen. V dubnu 2012 muţ a ţena Bulharského původu byly dopadeni při pokusu o skimming v Jihočeském kraji. Muţ nejdříve během několika málo sekund nainstaloval na bankomat skimmovací zařízení, které však bylo záhy odhaleno a byla uvědomena policie, která si na pachatele opět počkala, neţ se vrátí a skimmovací zařízení se pokusí odinstalovat. To se stalo ještě tentýţ den 5. dubna večer, kdy ho však doprovázela ještě ţena. Výsledkem bylo také zjištění, ţe je muţ členem organizované skupiny, která se na tuto trestnou činnost zaměřuje a působí ve více státech světa. V roce 2011 se začali objevovat důmyslné případy okradení klienta banky, kdy se sice nejednalo o skimming, ale velikou roli hrála manipulace útočníka s bankomatem a také obrovská neobezřetnost obětí. Útočníci zkonstruovali lištu s lepicí páskou, která zachytává 54
část bankovek v bankomatu. Útočník tak nekrade ţádné údaje, ale rovnou peníze. Oběť pak z bankomatu vyndá méně peněz, neţ vybral ze svého účtu. Útočník pak obejde zmanipulované bankomaty a peníze si z ústí bankomatu odlepí. Na první lištu upozornila policii třiceti čtyř letá Brňanka, další pak objevil servisní technik bankomatů.
3.3 DoS útoky Vlna DDoS útoků, která přišla počátkem března 2013, se prohnala přes zpravodajské weby, webhosting, vyhledávač seznam.cz a nevyhnula se ani českým bankám. Vlny útoků trvaly několik dní a řadí se mezi největší DDoS útoky, které Česká republika zaţila. Nejsilnější vlna útoků dosahovala toku aţ 300Gb/s.
3.3.1 Březnový DDoS den po dni V pondělí ráno 4. března 2013 se objevily první problémy s dostupností některý zpravodajských sluţeb, jako jsou Lidovky.cz, iDNES.cz, Denik.cz, Novinky.cz a IHNED.cz. Pro podobné útoky se často nabízí řešení v podobě odstřihnutí zahraničního provozu, jelikoţ jsou útoky obvykle vedeny ze zahraničí, tentokrát to však nebylo moţné, protoţe se zdálo, ţe část nebo i celý útok přichází z českých IP adres. Servery opět z velké části fungovaly kolem pondělního poledne, kdy však útočníci poslali vlnu útoků na weby Mladé fronty jako je Ţivě.cz nebo E15.cz, které ráno informovaly o DDoS útocích na ostatní zpravodajské weby. Zasaţena byla také mobilmania.cz. Ještě ten den kolem půl čtvrté odpoledne přišla další vlna útoků, která byla opět mířena na zpravodajské weby, které v tu dobu uţ opět fungovaly a tak se situace opakovala a byly zasaţeny například Novinky.cz, iDNES.cz, IHNED.cz, Lidovky.cz, E15.cz, Ţivě.cz nebo Mobilmania.cz. Tím ale útoky neskončili, jak si moţná někteří mysleli, právě naopak. V úterý v dopoledních hodinách přišla vlna DDoS útoků na Seznam.cz. Tento útok byl však na rozdíl od toho pondělního jasně identifikován jako útok ze zahraničních IP adres a proto se technici rozhodli ho odstřihnout. Pro zahraničí byla tedy sluţba nedostupná, avšak tuzemští uţivatelé nedostupnost sluţby zprvu nepocítili. Kolem jedné hodiny po poledni se pokusil Seznam.cz opět zpřístupnit server i pro zahraniční uţivatele, coţ však mělo za následek další vlnu DDoS útoků a vzniklý stav byl stabilizován aţ v pozdějších odpoledních hodinách. Ve středu přišli na řadu české banky a zde byla situace opravdu kritická. Nejen ţe banky útok neustály a jejich webové stránky nebyly dostupné, ale dle slov mluvčí České spořitelny Kristýny Dolínek Havligerové nefungovalo ani internetové bankovnictví a 55
problémy nastaly i v oblasti platebních online terminálů, které taktéţ byly vytíţeny natolik, ţe klienti nemohli přibliţně hodinu platit svými platebními kartami. Kromě české spořitelny byly zasaţeny také ČSOB, Komerční banka, Raiffeisenbank a Fio banka. Kdyţ se pak kolem druhé hodiny odpolední útok opakoval, nastala stejná situace a webové stránky, internetové bankovnictví ani platební terminály funkční opět nebyly. Čtvrteční ráno pak nepotěšilo mobilní operátory, zejména O2 a T-Mobile, kteří ač útok poměrně zvládli hodinová vlna DDoS útoku pro ně rozhodně nic příjemného nebyla. Do problémů se také dostaly weby praţského dopravního podniku a registru vozidel, které vyuţívají kapacity právě těchto mobilních operátorů a ačkoli na tyto weby útok mířen přímo nebyl, odnesli to také. Nakonec se českým expertům podařilo získat malware, který byl zodpovědný za tvorbu botnetu, ze kterého byl útok následně veden. Výsledkem jeho zkoumání bylo, ţe se jednalo o SYN flood DDoS útok, který zřejmě nepřicházel z ČR, ale ze zahraničních IP adres, které byly s největší pravděpodobností zfalšovány a nelze tak stoprocentně říci odkud byl útok veden. Tok byl však realizován přes NIX.cz, který sdruţuje české i zahraniční poskytovatele internetových sluţeb a filtrace zahraničního provozu od toho českého je velice obtíţná.
56
4
Obrana proti bezpečnostním útokům a incidentům V této kapitole se zaměříme na techniky, metody a chování, které nám pomůţou, do
mnohdy dosti vysoké míry, zvýšit bezpečnostní opatření a tím samotnou hrozbu či její dopady zmírnit nebo odstranit. Obecně popíšu několik zásad, jak by se měl člověk chovat na internetu, v okolí ATM a platebních terminálů a na příkladech uvedeme, proč a jak jednoduše můţeme většinu výše popsaných hrozeb značně eliminovat, vyhnout se jim a nestát se tak obětí útočníka. Dále také probereme jednotlivé hrozby a vysvětlíme si, proč mají útočníci moţnost je proměnit v útoky a do jaké míry jim můţeme jejich útočení znemoţnit. Ať uţ v souvislosti s internetovým bankovnictvím a hrozbami popsanými v druhé kapitole či nikoli, jsou tři základní věci, které by měl uţivatel mít. 1. Antivirový program 2. Antispyware 3. Firewall V dnešní době jsou firewally součástí operačních systémů, co se týče antivirových a antispywarových programů, tak ty součástí čistého OS nejsou, avšak mnoho kvalitních programů tohoto typu je zdarma ke staţení. Rozhodně to není stoprocentní ochrana, ale je to překáţkou pro útočníka, který Vám chce počítač hacknout nebo vyuţít například jako botnet. Neméně důleţité je pak udrţovat operační systém a všechny vaše aplikační programy aktualizovány, coţ se týká samozřejmě i antiviru a antispywaru. Aplikace by pak měl uţivatel stahovat a instalovat pouze z ověřených zdrojů. V neposlední řadě se doporučuje nepracovat na počítači jako administrátor resp. správce.
4.1 Internetové bankovnictví a jeho nástrahy Jelikoţ je internet plný nástrah a mnohé hrozby se proměňují v útoky díky neznalosti či neopatrností oběti, začneme několika zásadami, jak by se měl člověk na internetu chovat v souvislosti s internetovým bankovnictvím obecně a dále pak přejdeme k obraně proti konkrétním internetovým hrozbám, které jsme si v druhé kapitole popsali.
57
4.1.1 Přihlašovací údaje Obecně platí, ţe údaje jako jsou přihlašovací jméno a heslo, se nikomu nesdělují a to ani rodinným příslušníkům a hlavně ne dětem, kteří by pak tuto citlivou informaci mohli poskytnout třetí osobě, jelikoţ si zatím prostě neuvědomují, ţe to můţe rodiče poškodit, ţe z takového jednání plynou nějaké hrozby. Obecně to však platí nejen na přihlašovací jméno a heslo, ale na všechny citlivé údaje. Pokud si přihlašovací údaje nejste schopni zapamatovat a máte je někde poznamenané, uchovávejte jej na bezpečném místě. Myslete také na to, ţe veřejné počítače, které jsou k mání například v internetových kavárnách, knihovnách nebo třeba na letištích, nejsou bezpečné a měli by Vám v rámci internetu poslouţit pouze k anonymnímu prohlíţení webových stránek a neměli byste se tedy přihlašovat k webové stránce či do jakékoli aplikace jako je e-mail, sociální sítě a uţ vůbec ne do internetového bankovnictví. Pouţitím přihlašovacích údajů na takovýchto veřejných zařízeních se vystavujete nebezpečí získání těchto dat třetí stranou. Nejen ţe se často stává, ţe se lidé prostě zapomenou při odchodu odhlásit, ale i z důvodu, ţe webový prohlíţeč zaznamenává spoustu informací jako historie navštívených stránek nebo právě uţivatelská jména a hesla. Ano, tyto údaje se dají z prohlíţeče smazat, na coţ ale bohuţel spousta uţivatelů zapomene. Co uţ ale na takovém veřejném zařízení, kterým můţe být například počítač nebo tablet, neovlivníte, je keylogger nebo jiný škodlivý kód, jehoţ prostřednictví má útočník moţnost citlivé údaje odposlechnout.
4.1.2 Obrana proti sociálnímu inženýrství První internetová hrozba, kterou jsme si v druhé kapitole popsali je sociální inţenýrství. Ve zkratce se útočník snaţí přesvědčit svou oběť, aby mu své citlivé údaje prostě řekla. K sociálnímu inţenýrství se dnes často vyuţívají sociální sítě, webové stránky společnosti či Vaše osobní webové stránky. Prostě místa, kde útočník můţe citlivé informace nasbírat. To, ţe nemáte nikomu své citlivé informace přímo sdělovat, uţ víte. Neméně důleţité ale také je, abyste na svých či firemních webových stránkách toho na sebe neprozradili víc, neţ je opravdu potřeba. Toto platí i nebo spíše hlavně pro sociální sítě, na kterých lidé o sobě často prozradí úplně vše a ani si to neuvědomují. Tito lidé jsou uţ dnes často diagnostikováni jako závislý, přičemţ jiţ existují léčebné metody, kterými se lidé takové závislosti mohou zbavit, podobně jako například závislosti na alkoholu. Jako teoretický příklad bychom si mohli uvést situaci, kdy by si uţivatel dobrovolně a veřejně 58
uvedl například informaci o tom, kde přesně bydlí, tedy adresu bydliště a k tomu uvědomil veřejnost o tom, ţe jede na týden na dovolenou. Pokud by se taková informace dostala do rukou například zloděje, tak uţ ví, kde a kdy nikdo nebude a neţ se z dovolené vrátíte, Vaše věci jsou dávno rozprodané. Dbejte tedy na své soukromí a pamatujte, ţe opravdoví přátelé uţ vědí, kde bydlíte, vědí, ţe jedete na dovolenou a ti ostatní, to vědět nepotřebují.
4.1.3 Nenechte se ulovit Po sociálním inţenýrství jsme se seznámili s phishingem, který vychází z anglického slova fishing v překladu rybaření. Abychom se nechytili na háček, ukáţeme si, nejdříve co nedělat, abychom se k háčku vůbec přiblíţili a dále naopak co dělat, abychom háček odhalili, kdyţ uţ se k němu přiblíţíme. Zásady, které v následujících řádcích popíšu, jsou jako obrana účinné i pro další hrozby zejména pro SMiShing a Pharming a proto je nebudu rozebírat zvlášť. Zvlášť však bude rozebrána ochrana hosts souboru, který se k Pharmingu vyuţívá. Obrana proti phishingu z hlediska běţného uţivatele spočívá jednoduše v tom, naučit se neklikat na kaţdý odkaz, který Vás na něco láká a to hlavně při běţném surfování po internetu. S ohledem na to, ţe je phishing často šířen pomocí e-mailu, prostě a jednoduše neotevírejte podezřelé e-maily od lidí, které neznáte, nestahujte podezřelé přílohy a pokud dostanete e-mail, který vytváří dojem, ţe je od banky, neklikejte na odkaz uvedený v e-mailu, ale na webovou stránku se dostaňte z vašeho prohlíţeče zadáním webové adresy banky, kterou znáte. Vhodné je také sledovat, zda je v prohlíţeči opravdu adresa, která má odpovídat webové stránce a není nepatrně pozměněna, nebo dokonce úplně jiná. Toto opatření však není tak účinné jak se můţe zdát například díky jiţ zmíněné moţnosti změny v hosts souboru. U webových bankovních aplikací se můţeme spolehnout na ověření certifikátu banky prohlíţečem. Banky se totiţ identifikují certifikátem vydávaným nezávislou institucí, tzv. certifikační autoritou. V České republice jsou momentálně Ministerstvem vnitra České republiky akreditovány tři certifikační autority, které poskytují záruku, ţe klient komunikuje s bankou přes webové stránky, které bance opravdu patří. Jsou jimi: První certifikační autorita, a. s. Česká pošta, s. p. eIdentity a. s. Takovou certifikaci poznáme na webové stránce tak, ţe ve stavovém řádku vedle webové adresy je visací zámek s textem „ověřeno“, „důvěryhodné“, nebo podobným heslem podbarveným zelenou barvou. Prohlíţeče umoţňují náhled na informace o certifikátu, který 59
obsahuje například informace o tom, komu a kým je certifikát vydán, do kdy platí, nebo i podrobnější informace o vystaviteli certifikátu s odkazem na jejich webovou stránku. Jak to momentálně prakticky vypadá u ČSOB, v prohlíţeči Opera a Chrome, můţeme vidět na obrázku č. 19. Obrázek 19: Certifikační ověření ČSOB
Zdroj: Vlastní tvorba
Toto certifikační ověření není určeno pouze bankám, ale i jakýmkoli dalším organizacím, které se chtějí nebo se takto musí prokázat. Velké mnoţství certifikovaných webových stránek je spojeno s platebním stykem. Tento fakt tedy vyuţijete i v případech, kdy platíte svou platební kartou na internetu, kde obvykle zadáváte jméno a příjmení, číslo karty, datum expirace a verifikační kód (CVC, CVV kód na zadní straně karty). Tyto údaje vţdy zadávejte pouze na patřičných místech, u kterých jste si stoprocentně jisti, ţe právě tam mají být vyplněny, přičemţ místa podepsané výše popsanou metodou certifikace organizace můţete povaţovat za důvěryhodná.
60
4.1.4 Odstřihnutí útočníka na drátě Nyní několik slov o obraně proti Vishingu, tedy hrozbě, při které se snaţí útočník zjistit citlivé údaje telefonicky. Takovému útoku často předchází e-mailová zpráva, která informuje oběť o smyšleném podezřelém pohybu na jeho účtu nebo s informací o technických problémech k jejich vyřešení má oběť zavolat na podvodné v e-mailu přiloţené telefonní číslo. Jednak bychom na takový e-mail neměli vůbec reagovat. Pokud by totiţ nějaký takový problém nastal, ţádná banka k tomu nepotřebuje od Vás jakékoli citlivé údaje. Údaje, které zpracovávat můţe jako je jméno, příjmení nebo adresa, uţ k dispozici má a ty ostatní nepotřebuje. Z toho vyplývá, ţe ţádný pracovník banky po Vás nebude chtít citlivé údaje jako přihlašovací jméno a heslo do internetového bankovnictví ani osobně, natoţ pak telefonicky. Kdyţ uţ by měl klient potřebu ověřit si skutečnost, o které byl v e-mailu či jinak informován, měl by volat na číslo podpory banky, které je uvedeno na jejich webových stránkách, nikoli na nějaké, které na něj vyskočí v e-mailu. Pokud by oběť všechno zanedbala a s útočníkem uţ hovořila, měla by mít na paměti, ţe citlivé údaje se nesdělují nikomu, ať uţ působí sebedůvěryhodněji. Jak sami můţete vidět, obrana proti tomuto útoku je velice jednoduchá a navíc stoprocentně účinná.
4.1.5 Kontrola hosts souboru Vracíme se k pharmingové metodě vyuţití hosts souboru. Je několik způsobů, jak si uţivatel můţe hlídat, ţe není jeho hosts soubor přepisován a právě na tyty způsoby se teď podíváme a uvedeme je do praxe tak, aby je mohl kdokoli jednoduše aplikovat na svém počítači. 4.1.5.1 Jen pro čtení První a nejjednodušší ochranou je, přiřadit souboru atribut „jen pro čtení“, coţ v OS Windows uděláme tak, ţe pravým myšítkem klikneme na hosts soubor, čímţ otevřeme kontextovou nabídku souboru, ve které vybereme vlastnosti a na kartě obecné zaškrtneme zmíněný atribut. Útočník by tak potřeboval oprávnění správce, aby mohl do souboru něco zapsat, coţ však pro něj nemusí být aţ takový problém a proto máme i další metody.
61
4.1.5.2 Kontrola velikosti skriptem Jelikoţ při zapsání jakýchkoli dat do hosts souboru se mění jeho velikost, můţeme si napsat skript, který nám bude velikost hosts souboru kontrolovat a při změně nás o tom uvědomí. Skript by mohl vypadat například takto: Set FileSystemObject = CreateObject("Scripting.FileSystemObject") Set Hosts_File = FileSystemObject.GetFile("C:\Windows\system32\drivers\etc\hos ts") If Hosts_File.Size <> 824 then MsgBox "S Vaším hosts souborem bylo manipulováno, změnila se jeho velikost. Velikost hosts souboru je nyní " &Hosts_File.Size& " bajtů.", VbCritical else Msgbox "S hosts souborem manipulováno nebylo a má stále velikost " &Hosts_File.Size& " bajtů.", VbInformation end if Kód stačí zkopírovat do poznámkového bloku a dát mu příponu vbs. V kódu je několik věcí, které můţe být nutno změnit, aby fungoval. Například cesta k hosts souboru. Ta, která je v kódu uvedena, platí pro Windows 7, Vista a XP. V dalších operačních systémech bude cesta s největší pravděpodobností jiná, a proto je nutno ji v takovém případě změnit. Dále číslo 824 značí velikost hosts souboru v bytech, kterou si musíte upravit na aktuální velikost Vašeho hosts souboru, coţ zjistíte ve vlastnostech souboru. Skript je pro kontrolu nutné spustit, buďto ručně poklepáním na soubor nebo ho umístit do sloţky „po spuštění, čímţ se spustí automaticky po spuštění počítače. V OS Windows také máme moţnost nastavit aplikaci „plánovač úloh“ tak aby kontrolu spouštěla v předem plánovaných intervalech, a tím kontrolu z automatizujeme a nastavíme její četnost. V obou případech by však bylo vhodné smazat následující část kódu: else Msgbox "S hosts souborem manipulováno nebylo a má stále velikost " &Hosts_File.Size& " bajtů.", VbInformation 62
Je to vhodné z důvodu, aby Vás skript neobtěţoval ať uţ po zapnutí počítače, nebo několikrát za den dle naplánování spuštění onoho skriptu plánovačem úloh, ačkoli je soubor v pořádku. Pokud v kódu tyto řádky nebudou, vůbec nepoznáte, ţe skript soubor zkontroloval. Pokud se však jeho velikost změnila, upozorní Vás. Takové upozornění můţe zprostředkovávat i nějaký antispywarový program, který máte nainstalovaný. 4.1.5.3 Hosts soubor pod dohledem Spybot Search & Destroy Spybot Search & Destroy je jedním z programů, který mimo jiné hosts soubor nejen kontroluje, ale předchází i potenciálním hrozbám tím, ţe známé nebezpečné stránky blokuje za pomoci hosts souboru tak, aby jmenný název nebezpečné stránky byl přiřazen k IP adrese stránky bezpečné a při zadání do prohlíţeče tedy přesměrován na bezpečnou stránku. Při pouţití takového programu je pak neţádoucí mít hosts soubor určen jen pro čtení a není vhodný ani skript, který by kontroloval změnu jeho velikosti, jelikoţ program do něj bude zapisovat za účelem obrany. Nelekněte se tedy, pokud je Váš hosts soubor rozrostlý.42
4.2 Obrana proti DoS útokům Obrana proti DoS útokům je obecně velice sloţitá. Některé DoS útoky, které jsme si v druhé kapitole popsali, jsou jiţ dnes minulostí a nesetkáme se s nimi. Proti některým naopak slušná obrana není a v blízké budoucnosti nejspíš ani nebude. Většinou je však nutné být na případný útok připraven, počítat s ním a tím získat moţnost značného omezení dopadů, které při útoku mohou vzniknout. Do obrany proti DoS útoků se můţe zapojit kaţdý tím, ţe kvalitně chrání svůj počítač a pro hackery je pak mnohem těţší infikovat právě Váš počítač, udělat z něj zombie a vytvořit tak botnet. To je samozřejmě utopické přání a jako obranu proti DoS útokům to můţeme brát vyloţeně jen na té teoretické úrovni.
4.2.1 Aktualizace V úvodu kapitoly jsem psal, ţe je důleţité aktualizovat aplikační programy a OS. V oblasti DoS útoků vyuţívajících chyby je to jediná rozumná obrana. Tyto útoky mají relativně krátkou ţivotnost právě díky tomu, ţe tvůrci softwaru chyby záplatují a my je
42
HOSTS
soubor.
In:
Zajímavosti
[online].
http://nej-zpravy.blogspot.cz/2009/09/hosts-soubor.html
63
2009
[cit.
2014-02-22].
Dostupné z:
pomocí aktualizací implementujeme do našeho počítače, stává se náš systém imunní vůči vyuţití dané chyby.
4.2.2 Záplavová opatření SYN flood je bohuţel stále aktuální hrozbou, přičemţ obrany se nedostává. Je několik způsobů, které mohou pomoci, ale spíše účinné nejsou. Kdyţ se útoky začali objevovat, doporučovalo se zvětšit prostor pro polootevřená spojení a zároveň sníţit jejich timeout43. Zřejmě s ideou, ţe útočník nebude mít prostředky na to, aby zahltil i je. Důsledkem je pak větší zátěţ na systém, a pokud má útočník zdroje, stačí mu zaútočit větší silou a opatření je pak k ničemu. Důsledkem malého timeoutu můţe být také zahození regulérního spojení, coţ se klientovi projeví stejně, jako by byla sluţba nedostupná. Další obranu můţeme hledat také v oblasti zařízení filtrujících provoz na sítí, jako je například TippingPoint od firmy HP nebo DDoS protector od firmy Check Point, tyto zařízení však nejsou zadarmo. Dále se nabízí vyuţití techniky na bázi load balanceru tedy vyvaţování zátěţe, kdy se zátěţ rozloţí mezi více prvků sítě. 4.2.2.1 Blacklist Často vyuţívanou obranou jsou blacklisty neboli černé listiny. Jsou to seznamy, kam jsou umisťovány „hříšníci“, se kterými na základě předchozích zkušeností není vhodné komunikovat. Typicky jsou blokovány IP adresy zařízení, ze kterých hrozí, ţe by mohl přijít útok. Aby tato metoda měla šanci na úspěch a byla účinná, je nutno udrţovat blacklist aktuální. Blacklisty jsou nejjednodušší obranou a jsou vyuţitelné a primárně se také vyuţívají i v jiných oblastech. Typicky na obranu proti doručení spamu do e-mailových schránek nebo na blokaci webových stránek, ať uţ firmou, která nechce zpřístupnit některé URL adresy svým zaměstnancům v pracovní době nebo například antivirovými společnostmi, které takové seznamy vytváří za účelem ochrany svých klientů, kteří by mohli chtít přistupovat na zavirované webové stránky. Blacklisty tedy mohou být účinnou obranou nejen proti DDoS útokům. Bohuţel, nebo pro útočníky bohudík, však tato obrana také není účinná ve sto procentech případů.
43
Doba, po kterou zůstává polootevřené spojení napůl otevřené. Po uplynutí se spojení automaticky
zavře.
64
4.2.2.2 SYN cookies Často zmiňovanou ochranou je pak vyuţití SYN-cookies. Jde o to, ţe zahlcení serveru je realizováno tak, ţe útočník záplavou SYN paketů způsobí polootevření tolika spojení, ţe to server zahltí. SYN-cookies obrana spočívá v tom, ţe se k SYN-ACK paketu připojí hash vypočítaný z několika údajů ţadatele o spojení, například z jeho IP adresy a portu a následně se toto polootevřené spojení zahodí a tím se zahlcení předejde. Avšak potřebujeme zajistit, aby prošla regulérní spojení, která s útokem nemají nic společného. Pokud tedy přijde následný ACK paket pro dokončení handshaku s hashem, který server mohl sám vygenerovat, znamená to, ţe spojení chce navázat někdo, kdo se nesnaţí server zahltit. Spojení se tedy otevře jako by bylo uţ předtím polootevřené a tím se odfiltrují regulérní spojení od těch útočných. Problém je v tom, ţe výpočet hashe zatěţuje server a ubírá mu výkon, coţ je samozřejmě neţádoucí. Takové řešení se pak často aplikuje aţ ve chvíli, kdy útok probíhá, a polootevřená spojení jsou vyčerpána. Ačkoli velké mnoţství zdrojů uvádí toto řešení jako absolutní opatření proti SYN flood útokům, vzhledem k tomu, ţe útoky tohoto typu jsou pořád aktuální, tak se v reálném provozu toto opatření zřejmě plně neosvědčilo.
4.3 Nechte Trojské koně před Trojou Úplně nejzákladnější obranou opět není nic jiného neţ obezřetnost samotného uţivatele. Pokud se uţivatel obezřetně pohybuje na internetu, neotevírá a nestahuje podezřelé přílohy e-mailů či souborů kdekoli na webu, značně sniţuje moţnost být infikován. V úvodu této kapitoly jsme si uvedli několik věcí, které by měl kaţdý uţivatel mít. V případě trojských koní je velice důleţitou součástí vašeho systému antivirový program. Trojské koně jsou samostatné škodlivé programy, které neinfikují další soubory, a proto je Váš antivirový program neumí „vyléčit“, ale pouze smazat. Je třeba říci, ţe ne kaţdý antivir Vás před něčím ochrání a ţádný antivir Vás neochrání přede vším. Je to dáno tím, ţe nejdříve vţdy vznikne vir a aţ následně vzniká proti němu nějaká obrana, tedy antivir. To je také důvod, proč je nutné aktualizovat všechny aplikační programy včetně antiviru, prohlíţeče a také operační systém. Společnosti ve svých aktualizacích zabezpečují mezery nebo vzniklé hrozby, které programy nebo OS májí a prostřednictvím aktualizací je šíří ke svým zákazníkům.
65
4.3.1 Placené antiviry Současnou špičkou mezi placeným softwarem, který se stará o naše bezpečí před všelijakým malwarem jsou programy, resp. antivirové ochranné balíky Norton antivirus, Norton Internet Security a Norton 360 od firmy Symantec, které dlouhodobě vykazují vynikající výsledky. Je to velice stabilní software, jehoţ úroveň detekce malwaru nevykazuje velké výkyvy a jejich uţivatele jsou tak chráněni na velice slušné úrovni po celou dobu vyuţívání daného softwaru. Nezaostává však ani Kaspersky Lab se svými produkty Kaspersky Internet Security a Kaspersky Anti-Virus, který je taktéţ výborným celistvým produktem na poli antivirů uspokojujícím i velice náročné uţivatele. Jakýmsi dlouhodobým nešvarem těchto produktů je dosti veliká zátěţ počítače. Velice populárními antivirovými řešeními jsou NoD 32 nebo Smart Security od firmy Eset. Je to zřejmě dáno jeho jednoduchostí přívětivostí k uţivateli a velice slušnou náročností na počítač, coţ uţivatelé oceňují. Mezi absolutní špičku bych ho však v posledních letech neřadil, coţ však neznamená, ţe je špatný. Nabízí velice slušné výkony, někdy je v detekci aţ extrémně úspěšný, jindy však vykazuje spíše podprůměrné výsledky a jeho výkony jsou tedy dosti výkyvové. Je tedy vhodné ho kombinovat s firewallem jiné firmy či vyuţívat další ruční skenery, neţ se dlouhodobě spoléhat na jeho komplexní řešení. Do popředí se také dere Bitdefender, antivir, jehoţ výkony bych do budoucnosti doporučil sledovat. Uţ nyní podává velice dobré výsledky, navíc se stále zlepšuje a v příštích letech by tak mohl být velice dobrou alternativou výše uvedených produktů.
4.3.2 Jde to i zadarmo Většina obyčejných uţivatelů však povaţuje investici do antiviru či celého balíku ochranných sluţeb za zbytečnou a v některých případech je to určitě správná analýza. Ne kaţdý totiţ potřebuje špičkový software na ochranu svého počítače. Navíc antiviry, které si za chvilku uvedeme, nejsou vůbec špatné a jsou zdarma. Je tedy dobré zanalyzovat, jaká data ve svém počítači uchováváte a jak jsou pro Vás hodnotná. Počítač Vaší třináctileté dcery zřejmě nebude nutné prvotřídně zabezpečovat za několik tisíc ročně. Podíváme se tedy na řešení, do kterých nemusíme investovat peníze. Prvním a velice populárním zástupcem je Avast. Je to komplexní antivirové řešení a dlouhodobě vykazuje dobré výsledky. Jeho popularita mezi volně staţitelnými antiviry je 66
oprávněná a dá se říci, ţe jeho komplexností a kvalitou se řadí na špičku ve svém oboru. Alternativou je pak Avira Antivir Personal jehoţ detekční schopnosti jsou více neţ nadprůměrné a v této oblasti je na tom často lépe neţ Avast. Bohuţel však prozatím neumí kontrolovat poštu v ţádném z poštovních klientů a pro ochranu v této oblasti je pak nutno vyuţívat webového rozhraní. K oběma produktům je pak velice dobré vyuţívat některý z volně stáhnutelných firewallů jako je například Zone Alarm v jeho „free verzi“44
4.4 Nenechte si oskimmovat kartu V okolí bankomatů by se kaţdý měl chovat obezřetně, měl by si dávat pozor nejen na to, kdo se k němu blíţí a kdo je v jeho okolí, ale měl by si dávat pozor i na samotné zařízení. Prvním krokem je přesvědčit se zda neobjevím nějaké stopy po manipulaci s bankomatem, stopy lepidla, nápadně vypadající komponenta, která by k bankomatu nemusela patřit, kamera umístěná na, nebo v okolí bankomatu, která by mohla odsledovat PIN kód. Pokud jsme se dostatečně přesvědčili o tom, ţe bankomat nemá na sobě nainstalované podvodné skimmovací zařízení, pořád to neznamená, ţe ho opravdu nemá či ţe karta uţ nebyla oskimmována jinak a útočník nepotřebuje jen zjistit PIN. Proto si vţdy kryjte PIN-pad při zadávání PINu tak, aby ho útočník nebo kamera nemohla odsledovat. Nezapomeňte také na termo kameru a PIN-pad buďto kryjte i po zadání PINu nebo jednoduše zahřejte i další klávesy. Nepodlehněte pocitu bezpečí v krytých bankomatech, které jsou umístěny v nějakém komplexu například v budově banky. I tyto bankomaty jsou často napadány a někdy na ně útočníci přímo cílí, jelikoţ na instalaci podvodného zařízení mají klid a čas a nikdo ho neruší. Jelikoţ útočníci také často instalují skimmovací zařízení na čtečku magnetických prouţků, která je umístěna u vstupních dveří do krytého prostoru bankomatu a funguje v podstatě jako klíč, kterým se k bankomatu dostanete, není vhodné Vaši platební kartu pouţívat pro vstup do tohoto prostoru. Zásady obezřetného chování samozřejmě neplatí pouze v okolí bankomatů, ale i všude tam, kde svou platební kartu pouţíváte.
44
Free verze – verze typicky volně stáhnutelná k nekomerčnímu vyuţití
67
5
Vyhodnocení bezpečnostních prvků bank ze strany uživatele Abychom měli co vyhodnocovat a vyhodnocení rozuměli, musíme si nejprve říci, jaké
bezpečnostní prvky, které uţivatel můţe vyuţívat, existují a následně u vzorku šesti bank, GE Money Bank, ČSOB, UniCredit Bank, Air Bank a Fio banka zjistíme, jaké jsou moţnosti a které bezpečnostní prvky zákazník můţe vyuţít. A zbývá nám tedy uţ jen identifikovat klienta, coţ se dá provést několika způsoby. V dnešní době je internetové bankovnictví základní sluţbou kaţdé banky. To však musí být pokud moţno zabezpečeno tak, aby se co nejvíce sníţila moţnost proniknutí útočníka. Z předchozí kapitoly si můţeme domyslet, ţe ze strany banky je zabezpečení dostatečné a k průnikům tedy dochází prakticky jenom jako důsledek chyb a neopatrností, které uţivatel napáchá a útočník jich vyuţije. Bezpečnost internetového bankovnictví můţeme rozdělit do tří skupin, které následně tvoří komplexní zabezpečení. Jsou jimi nejen identifikace banky na jedné straně, kterou jsme si jiţ popsali v minulé kapitole, a identifikace klienta na straně druhé, čemuţ se budeme věnovat v této kapitole, ale také zabezpečení přenosu dat mezi nimi, coţ je řešeno vysokoúrovňovým šifrováním, které se povaţuje za bezpečné. Můţeme tedy přejít k identifikaci a autentizaci samotného uţivatele.
5.1 Možné bezpečnostní prvky Pro začátek je však dobré vědět, ţe na českém trhu není banka, která by nabízela produkt, jehoţ bezpečnost by byla absolutně nulová a pokud byste na nějaký v budoucnu narazily, doporučil bych ho nevyuţívat. U internetového bankovnictví má klient ve většině případů na výběr ze dvou a více moţností, chcete-li úrovní zabezpečení. Pokud toho banka nabízí více, obvykle své bezpečnostní prvky bere jako nadstandartní a za jejich vyuţití si účtuje poplatky. Je tedy spousta lidí, kteří by pohodlnost a jednoduchost vyuţívání internetového bankovnictví vyměnili za zvýšení jeho bezpečnosti, avšak i kdyţ jejich banka bezpečnostní prvky nabízí, často je odradí cena, kterou si banka účtuje.
68
5.1.1 Uživatelské jméno a heslo Úplně nejzákladnější ochranou, kterou nabízí drtivá většina, ne-li dokonce všechny české banky je uţivatelské jméno a heslo. Tato ochrana je samostatně velmi nedostatečná, a proto se často kombinuje s dalším ochranným prvkem nejčastěji autorizační SMS zprávou. Nedostatečná ochrana je to proto, ne snad, ţe by útočník dokázal heslo, které je také šifrováno, rozluštit,
Obrázek 20: Přihlášení do IB pomocí uživatelského jména a hesla
ale spíše z důvodu, ţe existují škodlivé kódy zvané keyloggery,
které
po
infiltraci
do
počítače
"odposlouchávají" kaţdý Váš stisk klávesnice. Data jsou následně odeslána útočníkovi, který Vám pohodlně vyluxuje účet. Toto do jisté míry řeší grafická klávesnice, která jest ovládána myší. I tu však některé škodlivé kódy dokáţou odposlechnout a na takové Zdroj: Vlastní tvorba
zabezpečení se tedy spolehnout zrovna nedá.
5.1.2 Autorizační SMS Jako doplňkovou sluţbou pro identifikaci klienta uţivatelským jménem a heslem, je autorizační SMS zpráva výborným zabezpečením a dosti míru ochrany zvyšuje. Kaţdá transakce či pouhé přihlášení do internetového bankovnictví si vyţádá unikátně vygenerovaný SMS klíč, který Vám banka zašle SMS zprávou na předem zvolené telefonní číslo. Do internetového bankovnictví se dostanete či provedete transakci aţ po té, co toto unikátní heslo zadáte. Takové heslo je pouţitelné pouze jednou a obvykle má i omezenou časovou platnost. I kdyby byl tedy Váš počítač napaden škodlivým kódem a Vaše přístupové údaje byly odposlechnuty, máte další úroveň zabezpečení a tedy i překáţku pro hackera, který se chce k Vašim penězům dostat. Bohuţel se v nedávné minulosti, díky "chytrým" mobilním telefonům, které mají plnohodnotný operační systém a jsou dnes naprostým boomem, začali objevovat pokusy o infikování těchto "chytrých" telefonů škodlivým kódem, který bez Vašeho vědomí odchytí a odešle autorizační SMS zprávu. Je tu tak moţnost, ţe pokud hacker zná přístupové údaje, do Vašeho internetového bankovnictví, přihlásí se a ačkoli SMS bude směřována na Váš mobilní telefon, hacker SMS zprávu odchytí, přepošle ji sobě a bez Vašeho vědomí se na účet dostane.
69
5.1.3 Osobní certifikát Osobní certifikát je elektronickým ověřením totoţnosti osoby, které byl vydán a klient s jeho pomocí prokazuje bance svou totoţnost v případě, ţe s ní chce komunikovat elektronicky. Osobní certifikáty tak zároveň slouţí jako elektronický podpis. Tato elektronická náhrada podpisu normálního funguje na principu asymetrického šifrování a pro podepsání dokumentu je nutno nejprve vytvořit otisk dokumentu, který nazýváme hash. Tento hash je dále zašifrován privátním klíčem autora, který je tajný. V tuto chvíli je elektronický podpis na světě. Druhá strana však ještě potřebuje ověřit jeho důvěryhodnost a to, ţe cestou nebylo s dokumentem manipulováno. To se dělá tak, ţe druhá strana opět vypočte hash dokumentu a rozšifruje obsah elektronického podpisu autorovým veřejným klíčem. Rozšifrovaný výsledek se pak porovnává s hashem dokumentu, který při stoprocentní shodě poskytuje záruky o tom, ţe se s dokumentem nemanipulovalo. Důvěryhodnost je pak zajištěna
Obrázek 21: Přihlášení do IB pomocí čipové karty
certifikátem vydávaným některou z důvěryhodných certifikačních autorit, coţ je vlastně elektronicky podepsaný veřejný klíč doplněný o identifikační údaje jeho majitele. Elektronický podpis je vyuţíván jak ke komunikaci s orgány veřejné správy, tak i ve sféře komerční. V bankovní sféře se pak vyuţívá například k podepisování transakcí, coţ je realizováno dvěma
Zdroj: Vlastní tvorba
způsoby. Buď máte certifikát uloţen jako soubor na některém ze svých uloţišť (flash disk, cd, pevný disk), nebo na čipové kartě vydávané bankou, k jejímuţ pouţití je nutnost mít čtečku čipových karet.
5.1.4 Elektronický bezpečnostní klíč Kalkulačka nebo token, jak se tomuto zařízení také říká, je generátor unikátního bezpečnostního hesla, které se generuje v zařízení vypadající jako malá kalkulačka. Toto zařízení si klient banky musí zpravidla koupit, avšak jakékoli další instalování čehokoliv do počítače odpadá. Výhodou kalkulačky je také její přenosnost. V praxi funguje tak, ţe po zadání přístupového PIN kódu do kalkulačky se vygeneruje časově omezené jednorázové
70
přístupové heslo. Můţeme se setkat i například s tím, ţe půlka hesla je neměnná a druhá půlka se generuje, pro přístup do systému však zadáváme heslo celé. Některé banky dnes nabízejí obdobu elektronického bezpečnostního klíče. Funguje naprosto totoţně s tím rozdílem, ţe generátor hesla je realizován aplikací v mobilním telefonu, coţ majitelé „chytrých“ telefonů jistě ocení. Konkrétně UniCredit Bank nabízí Obrázek 22: Smart klíč (vlevo), Token (vpravo)
Zdroje: http://www.tokenguard.com/images/tokens/SID700.gif (vlevo) a http://www.tokenguard.com/images/tokens/SID700.gif (vpravo)
tzv. Smart klíč, který se dá vyuţívat v rámci zdarma staţitelné aplikace „Smart Banking“, která je překvapivě dostupná pouze pro Android a Apple iOS, pro Windows phone nikoli. Pro někoho můţe být výhodou i fakt, ţe si nemusí pamatovat heslo do internetového bankovnictví, kalkulačka či aplikace v telefonu mu prostě aktuálně platné heslo vygeneruje.
71
5.1.5 Bankami nabízené bezpečnostní prvky Tabulka 7: Bezpečnostní prvky nabízené bankami
GE Money Bank
ČSOB
UniCredit Bank
Air Bank
Fio Bank
Uživatelské jméno a heslo
ANO
ANO
ANO
ANO
ANO
SMS autorizační kód
ANO
ANO
ANO
ANO
ANO
Digitální certifikát
ANO
ANO
NE
NE
ANO
Elektronický bezpečnostní klíč
NE
NE
ANO
NE
NE
Jiné
NE
NE
ANO
NE
NE
Zdroj: Vlastní tvorba
Jak můţete z tabulky vidět, veškeré banky, na kterých bylo vyhodnocení provedeno, vyuţívají k identifikaci a autentizaci svého klienta do internetového bankovnictví uţivatelské jméno a heslo spolu s autorizačním SMS kódem. Některé z nich pak nabízejí i další metody zvyšující
zabezpečení
internetového
bankovnictví
pomocí
osobního
certifikátu
či
elektronického bezpečnostního klíče. Fio banka jako jediná nabízí moţnost vyuţívat kombinaci všech bezpečnostních prvků najednou. Důleţitým
poznatkem
je,
ţe
všechny
banky
automaticky
zřídí
klientovi
k internetovému bankovnictví uţivatelské jméno a heslo přičemţ si klient také zvolí telefonní číslo, na které mu budou chodit autorizační SMS zprávy a tato sluţba je u všech zkoumaných bank zdarma. Jak je to s cenou za další bezpečnostní prvky, je uţ trochu sloţitější. Na webových stránkách Fio banky se mi cenu za vyuţívání certifikátu nepodařilo najít a pracovník pobočky taktéţ nevěděl s tím, ţe tuto sluţby údajně lidé moc nevyuţívají a ţe je to vlastně spíše pro podnikatele. GE Money Bank má vydání a vyuţívání certifikátu zdarma a to ke všem účtům. UniCredit bank si účtuje za elektronický bezpečnostní klíč v podobě externího zařízení jednorázový poplatek 500 Kč. Nabízí však také mobilní aplikaci, ve které má klient moţnost vygenerovat si jiţ zmíněný Smart klíč, coţ je zdarma. Jelikoţ Air bank ţádné další zabezpečení kromě uţivatelského jména a hesla nenabízí, zbývá nám ČSOB. Ta si 72
účtuje jednorázový poplatek za čipovou kartu ve výši 500 Kč, na které je certifikát uloţen, a který si musíte kaţdý rok obnovit za poplatek 200 Kč. UniCredit bank tedy nabízí nejvíce moţností zabezpečení internetového bankovnictví, bohuţel však neposkytuje svým klientům autentizaci a podepisování plateb za pomoci digitálního certifikátu, ale ve směs má nabídku velice nadstandardní a cenově dostupnou. Na opačném konci je Air bank, která v tomto ohledu dosti zaostává a vzhledem k tomu, ţe má jen několik poboček a odkazuje tedy své klienty hlavně na internetové bankovnictví, čekal bych nabídku rozšířenou i o další bezpečnostní prvky. GE Money Bank, ČSOB a Fio banka nabízejí stejné bezpečnostní prvky, které jsou rozhodně dostačující.
73
Závěr Ačkoli uţivatel svou edukací v oblasti moţných ohroţení elektronického bankovnictví můţe velice zvýšit své šance, ţe případnému útoku nepodlehne, informovanost uţivatelů o existujících hrozbách je často velice nedostačující. Po úvodní části práce, kdy jsem čtenáře seznámil s elektronickým bankovnictvím, jsem tedy rovnou věnoval hlavní úsilí hrozbám, které mohou zasáhnout některou z forem elektronického bankovnictví ať uţ je to na internetu, či mimo něj. U kaţdé z hrozeb, kterou jsem popsal, jsem vysvětlil nejen, v čem konkrétní hrozba spočívá, ale také čeho útočníci vyuţívají, jak moc a proč je nebezpečná a zda se s ní můţeme setkat ještě dnes. U některých hrozeb byly také popsány různé modifikace a vývoj, kterým si hrozby prošly. Na tyto modifikace, mimo uvedení konkrétních útoků, také poukazuje třetí kapitola a dohromady z popisu moţných hrozeb a vzniknuvších útoků vyplynulo, ţe jsou útočníci velice vynalézaví a stále vymýšlejí nové způsoby jak oběť podvést či poškodit. Z toho důvodu povaţuji do budoucna za vhodné, aktuální a nové hrozby sledovat a aktivně se zajímat o to, jak se proti nim bránit. Dále jsem pokračoval kapitolou zaměřující se na obranu proti bezpečnostním útokům a incidentům, kde jsem shrnul několik zásad, které hrozby značně eliminujících a dále jsem uvedl konkrétní kroky, které napomáhají uţivateli nestát se obětí některého z útoků a odhalit podvodné jednání útočníků. Poslední kapitola pak přinesla souhrn dostupných bezpečnostních prvků, které svým uţivatelům banky nabízí a spolu s vyhodnocením prostředků, které musí klient vynaloţit, pokud je chce vyuţívat, zakončují tuto bakalářskou práci. Celkově jsem se snaţil v bakalářské práci informovat čtenáře o tom, ţe při vyuţívání jakékoli z forem elektronického bankovnictví se musí mít na pozoru a poskytl jsem mu informace, které mu mohou ušetřit nemalé finanční prostředky.
74
Seznam použité literatury: Tištěné zdroje: [1]
DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Vyd. 1. Brno: Computer Press, 2004, 190 s. ISBN 80-251-0106-1.
[2]
DOSTÁLEK, Libor a Alena KABELOVÁ. Velký průvodce protokoly TCP/IP a systémem DNS: IP-adresa. 2. aktualiz. vyd. Praha: Computer Press, 2000, s. 155. ISBN 80-7226-323-4.
[3]
HANÁČEK, Petr a Jan STAUDEK. Bezpečnost informačních systémů: Metodická příručka zabezpečování produktů a systémů budovaných na bázi informačních technologií. Praha: Úřad pro státní informační systém, 2000, s. 13-15. ISBN 80-2385400-3.
[4]
JAMES, Lance. Phishing bez záhad. 1. vyd. Praha: Grada, 2007, s. 28-31. ISBN 978-80-247-1766-1.
[5]
MATYÁŠ], [vedoucí týmu autorů Vašek. Autentizace uživatelů a autorizace elektronických transakcí: příručka manažera = User authentication and electronic transaction authorization : manager's handbook. Praha: Tate International, 2007, s. 115-119. ISBN 8086813142.
[6]
MITNICK, Kevin. Umění klamu. Vyd. 1. Gliwice: Helion, 2003, s. 2. ISBN 83-7361210-6.
[7]
POŢÁR, Josef. Informační bezpečnost. Plzeň: Aleš Čeněk, 2005, s. 309. Vysokoškolské učebnice (Aleš Čeněk). ISBN 8086898385.
Webové zdroje: [1]
BEDNÁŘ, Vojtěch. Pharming je zpět a silnější. Lupa.cz [online]. 2007 [cit. 2014-02-22].
Dostupné
z:
http://www.lupa.cz/clanky/pharming-je-zpet-a-
silnejsi/?do=articleText-pollInText2785-viewVote [2]
BITTO, Ondřej. Rhybaření střídá pharming. Lupa.cz [online]. 2005 [cit. 2014-02-22]. Dostupné z: http://www.lupa.cz/clanky/rhybareni-strida-pharming/
[3]
BRADLEY, Tony. 'Smishing' Attacks Are on the Rise. PCWorld [online]. 2012 [cit. 2014-02-22]. Dostupné z: http://www.pcworld.com/article/254979/smishing_attacks_are_on_the_rise.html 75
[4]
BUDAI, David. Sociální inţenýrství v praxi: Kdyţ si hacker o heslo prostě řekne. Cnews.cz [online]. 2012 [cit. 2014-02-22]. Dostupné z: http://pcrady.cnews.cz/socialni-inzenyrstvi-v-praxi-kdyz-si-hacker-o-heslo-prosterekne
[5]
ČMELÍK, Martin. Seznamte se – DoS a DDoS útoky. Security-portal.cz [online]. 2013 [cit. 2014-03-04]. Dostupné z: http://www.security-portal.cz/clanky/seznamtese-–-dos-ddos-útoky
[6]
ERBEN, Lukáš. Příchod hackerů: Kevin Mitnick, Stanley Mark Rifkin a sociální inţenýrství.
Root.cz
[online].
2014
[cit.
2014-02-22].
Dostupné
z:
http://www.root.cz/clanky/prichod-hackeru-kevin-mitnick-stanley-mark-rifkin-asocialni-inzenyrstvi/ [7]
HALLER, Martin. Denial of Service (DoS) útoky: typy vyuţívající chyb a vyčerpání systémových prostředků (1.). Lupa.cz [online]. 2006 [cit. 2014-03-04]. Dostupné z: http://www.lupa.cz/clanky/typy-vyuzivajici-chyb-a-vycerpani-systemovychprostredku-1/#ic=serial-box&icc=text-title
[8]
HALLER, Martin. Denial of Service (DoS) útoky: typy vyuţívající chyb a vyčerpání systémových prostředků (2.). Lupa.cz [online]. 2006 [cit. 2014-03-04]. Dostupné z: http://www.lupa.cz/clanky/typy-vyuzivajici-chyb-a-vycerpani-systemovychprostredku-2/#ic=serial-box&icc=text-title
[9]
HALLER, Martin. Denial of Service (DoS) útoky: úvod. Lupa.cz [online]. 2006 [cit.2014-03-04]. Dostupné z: http://www.lupa.cz/clanky/denial-of-service-dosutoky-uvod/
[10]
HALLER, Martin. Denial of Service (DoS) útoky: záplavové typy. Lupa.cz [online]. 2006 [cit. 2014-03-04]. Dostupné z: http://www.lupa.cz/clanky/denial-of-service-dosutoky-zaplavove-typy/#ic=serial-box&icc=text-title
[11]
HALLER, Martin. Denial of Service útoky: man in the middle, distribuované DoS. Lupa.cz [online]. 2006 [cit. 2014-03-04]. Dostupné z: http://www.lupa.cz/clanky/denial-of-service-utoky-vyuziti-mitm-utoku/#ic=serialbox&icc=text-title
[12]
HALLER, Martin. Denial of Service útoky: reflektivní a zesilující typy. Lupa.cz [online]. 2006 [cit. 2014-03-04]. Dostupné z: http://www.lupa.cz/clanky/denial-ofservice-utoky-reflektivni-a-zesilujici-typy/#ic=serial-box&icc=text-title
76
[13]
HAVLOVÁ, Alţběta. Sociální
inţenýrství aneb
nástrahy Facebooku. Český
rozhlas [online]. 2011 [cit. 2014-02-22].
Dostupné z:
http://www.rozhlas.cz/zpravy/technika/_zprava/socialni-inzenyrstvi-aneb-nastrahyfacebooku--862705 [14]
HOVORKA, Michael. Phishingové útoky proti České spořitelně neustávají, Podnikatel.cz obdrţel hned dva podvodné e-maily. Podnikatel.cz [online]. 2008 [cit. 2014-03-20]. Dostupné z: http://www.podnikatel.cz/clanky/utoky-proti-ceskesporitelne-neustavaji/
[15]
HRADECKÝ, Michal. Jak na skimming. Padělání peněz a skimming [online]. 2011 [cit. 2014-02-22]. Dostupné z: http://www.karty-penize.webgarden.name/menu/jakna-skimming
[16]
HRADECKÝ, Michal. Skimming 2011. In: Padělání peněz a skimming [online]. 2011-2014
[cit.
2014-02-22].
Dostupné
z:
http://www.karty-
penize.webgarden.name/thema/skimming-2011 [17]
KACEROVSKY, Pavel. Budějcké bankomaty terčem útoků skimmerů!. Budejická Drbna [online]. 2013 [cit. 2014-03-20]. Dostupné z: http://www.budejckadrbna.cz/zpravy/krimi/budejcke-bankomaty-tercem-utokuskimmeru.html
[18]
KACEROVSKY, Pavel. Chtěli padělat platební karty, policisté je dopadli při činu. Budějická Drbna [online]. 2012 [cit. 2014-03-20]. Dostupné z: http://www.budejckadrbna.cz/zpravy/krimi/chteli-padelat-platebni-karty-policiste-jedopadli-pri-cinu.html
[19]
KALAMÁR, Štěpán a Miroslav PETRÁK. Skimming jako jeden z druhů kybernetické kriminality. Kybernetická bezpečnost [online]. 2012 [cit. 2014-02-22]. Dostupné z: http://www.cybersecurity.cz/data/skimming.pdf
[20]
KRČMÁŘ, Petr. Pronajmu botnet, ceník přiloţen... aneb jak se dělá DDoS. Root.cz [online]. 2013 [cit. 2014-03-04]. Dostupné z: http://www.root.cz/clanky/pronajmubotnet-cenik-prilozen-aneb-jak-se-dela-ddos/
[21]
KÜMMEL, Roman. Bezpečnost magnetických karet. Soom.cz [online]. 2007 [cit. 2014-02-22]. Dostupné z: http://www.soom.cz/clanky/427--Bezpecnostmagnetickych-karet
77
[22]
KUNEŠ, Jakub. Co je sociální inţenýrství? - 1. díl. PCWorld [online]. 2012 [cit. 2014-02-22]. Dostupné z: http://pcworld.cz/internet/co-je-socialni-inzenyrstvi-1dil-44361
[23]
LICHÝ, Alexander. Phishingové útoky narostly za rok o 87% [+infografika]. CIO Business World.cz [online]. 2013 [cit. 2014-03-20]. Dostupné z: http://businessworld.cz/bezpecnost/phishingove-utoky-narostly-za-rok-o-87-10858
[24]
SALMON, Michal. Podvody s kartami: skimmovací zařízení koupíte snadno i s návodem. Měšec.cz [online]. 2010 [cit. 2014-02-22]. Dostupné z: http://www.mesec.cz/clanky/nejcastejsi-podvody-platebnimi-kartami/
[25]
SLÍŢEK, David. Česká média zaplavily vlny DDoS útoku, přicházel z Ruska [AKTUALIZOVÁNO]. LUPA.cz [online]. 2013 [cit. 2014-03-20]. Dostupné z: http://www.lupa.cz/clanky/ihned-cz-je-nedostupny-zrejme-celime-utoku-rika-redakce/
[26]
SMOLA, Vojtěch. Zloději na bankomaty dávají lepicí lišty, vybrané peníze si přepočítejte. iDNES.cz [online]. 2011 [cit. 2014-03-20]. Dostupné z: http://brno.idnes.cz/pozor-zlodeji-maji-novou-fintu-u-bankomatu-fkf-/brnozpravy.aspx?c=A111223_1705641_brno-zpravy_dmk
[27]
TÁBOR, Martin. Internet přestál asi největší DDoS útok v dějinách. Stahuj.cz [online]. 2013 [cit. 2014-03-20]. Dostupné z: http://magazin.stahuj.centrum.cz/internet-prestal-asi-nejvetsi-ddos-utok-v-dejinach/
[28]
VALENTA, Pavel. Akce "Skimming". Policie ČR [online]. 2013 [cit. 2014-03-20]. Dostupné z: http://www.policie.cz/clanek/akce-skimming.aspx
[29]
VYLEŤAL, Martin. Inzertní a aukční weby bojují proti podvodným nabídkám, předcházet jim ale zatím neumí. Lupa.cz [online]. 2010 [cit. 2014-02-22]. Dostupné z: http://www.lupa.cz/clanky/inzertni-weby-bojuji-s-podvody-nepredchazi-jim/
[30]
Bankomaty, platební karty a trestná činnost: Skimmovací zařízení. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- 2013, 11.4.2012 [cit. 2014-02-22]. Dostupné z: http://cs.wikipedia.org/wiki/Bankomaty,_platební_karty_a_trestná_činnost#Skimmov ac.C3.AD_za.C5.99.C3.ADzen.C3.AD
[31]
Broadcast. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001-2014, 10.2.2014 [cit. 2014-03-04]. Dostupné z: http://cs.wikipedia.org/wiki/Broadcast
78
[32]
Co je to phishing. Hoax [online]. 2000-2014 [cit. 2014-02-22]. Dostupné z: http://www.hoax.cz/phishing/co-je-to-phishing
[33]
Český DDoS: dnes telekomunikační operátoři (průběţně aktualizováno). Root.cz [online]. 2013 [cit. 2014-03-20]. Dostupné z: http://www.root.cz/clanky/cesky-ddoszpravodajstvi-vyhledavac-banky-kdo-bude-dalsi/
[34]
Doporučené softwarové zabezpečení. In: VIRY.CZ [online]. 2005-2011 [cit. 2014-03-20]. Dostupné z: http://forum.viry.cz/viewtopic.php?f=29&t=6152
[35]
HOSTS soubor. In: Zajímavosti [online]. 2009 [cit. 2014-02-22]. Dostupné z: http://nej-zpravy.blogspot.cz/2009/09/hosts-soubor.html
[36]
Karty s magnetickým pruhem. Pandatron.cz [online]. 2008 [cit. 2014-02-22]. Dostupné z: http://pandatron.cz/?535&karty_s_magnetickym_pruhem
[37]
Nigerijský Scam nebo 419 SCAM: Uţ vás unavuje dostávat Nigerian Scam emaily?. SPAMfighter
[online].
2013
[cit.
2014-02-22].
Dostupné
z:
http://www.spamfighter.com/SPAMfighter/Lang_CS/FAQ_Nigerian.asp [38]
Phishing - tiskové zprávy a aktuality. Česká spořitelna [online]. 2011-2014 [cit. 2014-03-31].
Dostupné
z:
http://www.csas.cz/banka/appmanager/portal/banka?_nfpb=true&_windowLabel=T20 200617171275901646803&T20200617171275901646803_actionOverride=%2Fportle ts%2Fnews_archive%2Fsearch&_pageLabel=phishing [39]
Přímé bankovnictví: Přímé (elektronické) bankovnictví. Finanční Vzdělavání [online]. 2007
[cit.
2014-02-22].
Dostupné
z:
http://www.financnivzdelavani.cz/webmagazine/page.asp?idk=306 [40]
Social Networking Statistics. Statistic Brain [online]. 2014 [cit. 2014-03-20]. Dostupné z: http://www.statisticbrain.com/social-networking-statistics/
[41]
Sociální inţenýrství (bezpečnost). In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001-2013, 30.4.2013 [cit. 2014-02-22]. Dostupné z: http://cs.wikipedia.org/wiki/Sociální_inţenýrství_(bezpečnost)
[42]
The Evolution of Phishing Attacks: 2011-2013. Kaspersky Lab [online]. 2013 [cit. 2014-03-20]. Dostupné z: http://media.kaspersky.com/pdf/Kaspersky_Lab_KSN_report_The_Evolution_of_Phis hing_Attacks_2011-2013.pdf
79
[43]
Zásady uţívání platební karty během dovolené. ČSOB [online]. 2011 [cit. 2014-03-31]. Dostupné z: http://www.csob.cz/cz/Csob/Servis-pro-media/Tiskovezpravy/Stranky/TZ110620a.aspx
80
Seznam obrázků, tabulek a použitých zkratek: Obrázky: Obrázek 1: Libanonská smyčka Obrázek 2: Čtečka magnetických karet Obrázek 3: Skimmovací nástavec na bankomat Obrázek 4: Podvodný PIN pad Obrázek 5: Kamera na zmanipulovaném bankomatu Obrázek 6: Získání PINu termokamerou Obrázek 7: Phishingový e-mail Obrázek 8: Phishingová webová stránka Obrázek 9: Počet odeslaných a přijatých sms zpráv denně Obrázek 10: Zahlcení linky Obrázek 11: TCP handshake Obrázek 12: Dřívější podoba DDoS útoku Obrázek 13: Útok s vyuţitím botnetu Obrázek 14: Reflektivní vs Obyčejný DoS Obrázek 15: Příklad phishingového útoku na ČS Obrázek 16: Příklad důvěryhodného phishingového útoku Obrázek 17: Způsoby šíření phishingových zpráv Obrázek 18: 30 nejčastějších cílů phishingových útoků v letech 2012-2013 Obrázek 19: Certifikační ověření ČSOB Obrázek 20: Přihlášení do IB pomocí uţivatelského jména a hesla Obrázek 21: Přihlášení do IB pomocí čipové karty Obrázek 22: Smart klíč (vlevo), Token (vpravo)
81
Tabulky: Tabulka 1: Data v magnetickém prouţku – Stopy 1, 2 a 3 Tabulka 2: Význam údajů v magnetickém prouţku - Stopa 1 Tabulka 3: Význam údajů v magnetickém prouţku - Stopa 2 Tabulka 4: Význam údajů v magnetickém prouţku - Stopa 3 Tabulka 5: Příklad obsahu hosts souboru Tabulka 6: Ceník pronájmu botnetu Tabulka 7: Bezpečnostní prvky nabízené bankami
Použité zkratky: ABA
American Bankers Association
ACK
Acknowledge
ATM
Automated Teller Machine
B
Byte
ČR
Česká Republika
ČSOB
Československá obchodní banka
DDoS
Distributed DoS
DES
Data Encryption Standard
DNS
Domain Name System
DoS
Denial of Service
DRDoS
Distributet Reflection DoS
e-mail
electronic mail
Gb/s
GigaBit za sekundu
HTTP
Hypertext Transfer Protocol
IATA
International Air Transport Association
ICMP
Internet Control Message Protocol
IP
Internet Protocol
IRC
Internet Relay Chat
IS
Informační Systém
Mb/s
MegaBit za sekundu
OS
Operační Systém
PIN
Personal identification number 82
PVV
PIN Verification Value
RFC
Request for Comments
SMS
Short Message Service
SYN
Synchronize
TCP
Transmission Control Protocol
UDP
User Datagram Protocol
VoIP
Voice over IP
WWW
World Wide Web
83