VYSOKÁ ŠKOLA EKONOMICKÁ V PRAZE

VYSOKÁ ŠKOLA EKONOMICKÁ V PRAZE Fakulta informatiky a statistiky Katedra systémové analýzy

BAKALÁŘSKÁ PRÁCE

2013

Vojtěch Kubát

Způsoby budování důvěryhodnosti při podvodné komunikaci Bakalářská práce

Autor:

Vojtěch Kubát

Vedoucí práce:

Mgr. Ing. Tomáš Sigmund, Ph.D.

Studijní obor:

Informatika

Praha, květen 2013

2

Čestné prohlášení: Prohlašuji, že jsem tuto bakalářskou práci vypracoval samostatně. Veškeré použité podklady, ze kterých jsem čerpal informace, jsou uvedeny v seznamu použité literatury a citovány v textu podle normy ČSN ISO 690.

V Praze dne 12. května 2013

Podpis:………………………………………….

3

Poděkování: Děkuji panu Mgr. Ing. Tomáši Sigmundovi, Ph.D. za ochotu, pomoc a cenné připomínky při odborném vedení mé bakalářské práce.

4

Abstrakt Tato bakalářská práce popisuje způsoby budování důvěry používané při podvodné komunikaci. Práce se soustředí především na komunikaci v prostředí internetu. Čtenáře seznamuje s metodami, které využívají podvodníci pro přesvědčení příjemce podvodné zprávy ke spolupráci, což obvykle znamená újmu pro příjemce. Popis těchto metod se soustředí především na principy, díky kterým tyto podvodné metody fungují. Práce také popisuje způsoby, jak včas rozpoznat pokusy o podvod, a jak se jim bránit. Na příkladech pak ukazuje, jak může příjemce zprávy poznat, že by se mohlo jednat o podvodnou zprávu.

Klíčová slova: internet, bezpečnost, etika, komunikace, phishing, podvod

5

Abstract This thesis describes confidence building methods used in deceptive communication. It especially focuses on the communication on the Internet. The readers are introduced to the methods which are used by frauds to persuade a recipient of a deceptive message into cooperation, which usually causes damage for the recipient. The description of these methods specialises mainly in the principles which allow that these deceptive methods work. The thesis also describes methods for early recognition of fraud attempts and for defence against them. The included examples show how a recipient of a message can recognise that the message might be deceptive.

Keywords: internet, security, ethics, communication, phishing, fraud

6

Obsah 1 Úvod........................................................................................................................................9 2 Prostředí................................................................................................................................10 2.1 Internet dnes..................................................................................................................10 2.2 Informační společnost...................................................................................................11 2.3 Etika a morálka..............................................................................................................12 2.4 Etika a morálka v dimenzích internetu..........................................................................13 2.5 Netiketa.........................................................................................................................13 2.6 Informační a počítačová gramotnost.............................................................................15 2.7 Internetové instituce......................................................................................................16 2.8 Komunikace a podvod...................................................................................................18 2.9 Sociální inženýrství.......................................................................................................21 2.10 Internet, zabezpečení a obezřetnost uživatelů.............................................................22 2.11 Specifika podvodů na internetu...................................................................................22 3 Anatomie podvodu................................................................................................................24 3.1 Cíl..................................................................................................................................24 3.2 Získávání informací.......................................................................................................26 3.2.1 Internetové prezentace...........................................................................................26 3.2.2 Odpad.....................................................................................................................27 3.2.3 Sociální sítě............................................................................................................27 3.2.4 Diskuzní fóra.........................................................................................................27 3.3 Důvěryhodnost a motivace............................................................................................28 3.3.1 Vylákání.................................................................................................................28 3.3.2 Vykonstruované záminky......................................................................................28 3.3.3 Vydávání se za někoho jiného...............................................................................29 3.3.4 Nátlak a hrozby......................................................................................................30 3.3.5 Stres, časová nouze................................................................................................32 3.3.6 Tajemství a důvěrnost............................................................................................33 3.4 Strategie phishingu........................................................................................................34 3.4.1 Nedostatek znalostí................................................................................................34 3.4.2 Vizuální manipulace..............................................................................................35 3.4.3 Nedostatek pozornost............................................................................................38 4 Obrana před podvody............................................................................................................39 4.1 Indicie podvodu.............................................................................................................39 4.1.1 Pravopis.................................................................................................................39 4.1.2 Samozřejmé řešení.................................................................................................42 4.2 Důvěrné informace........................................................................................................42 4.3 Ověření..........................................................................................................................44 4.4 Digitální certifikát a šifrovaný přístup..........................................................................44 4.5 Technické způsoby obrany............................................................................................46 4.6 Vlastní zájem o bezpečnost...........................................................................................47 5 Návrh experimentu................................................................................................................48 5.1 Příprava.........................................................................................................................48 5.1.1 Kontakty a správný kontext...................................................................................48 5.1.2 Web........................................................................................................................48 5.2 Oslovování.....................................................................................................................50 5.3 Důvěryhodnost..............................................................................................................51 7

5.4 Sběr osobních informací................................................................................................52 5.5 Krytí...............................................................................................................................52 5.6 Rizika.............................................................................................................................53 5.7 Možné úpravy................................................................................................................53 5.8 Etický problém..............................................................................................................53 6 Závěr.....................................................................................................................................55

8

1 Úvod Pro svoji bakalářskou práci jsem si téma vybral především kvůli značnému riziku, které podvodná komunikace představuje prakticky pro každého jednotlivce. S podvody a podvodníky se můžeme setkat v mnoha různých prostředích. V této práci jsem se ale soustředil především na podvody v prostředí internetu. S celou řadou popsaných principů se můžeme setkat i v jiném prostředí a při jiných způsobech komunikace, nicméně podvody v prostředí internetu jsou do značné míry specifické. Při využití internetu může podvodník zároveň využívat mnoho různých technik, které jsou právě díky své kombinaci výrazně nebezpečnější. Internet, internetové prohlížeče a emailová komunikace fungují díky mnoha technickým principům, které uživatelé nemusí nutně chápat a podvodníci mohou z jejich neznalosti těžit. Tato práce má za cíl popsat různé způsoby využívané pro budování důvěryhodnosti při podvodné komunikaci. Pokud podvodník dokáže vytvořit dostatečně důvěryhodnou zprávu, může přesvědčit příjemce ke spolupráci, což obvykle znamená nějakou újmu pro příjemce. Předmětem mojí práce je popsat různé principy, díky kterým podvodné zprávy získávají na důvěryhodnosti. Dalším cílem této práce je navrhnout bezpečnostní zásady, které by měly pomoci rozpoznat potenciálně podvodné zprávy. Pravděpodobně nelze navrhnout dokonalou ochranu před podvody, nicméně mnoho podvodů je postaveno na dobře známých principech, a proto je možné se proti nim účinně bránit. V závěru také navrhuji experiment, který by mohl ilustrovat možný způsob práce podvodníka. Jsem toho názoru, že právě takový pohled na tuto problematiku by mohl uživatelům pomoci lépe pochopit princip podvodu a také riziko, které představuje. Nicméně experiment zůstal, díky své etické závadnosti, pouze ve fázi návrhu.

9

2 Prostředí Hlavní téma této práce má za cíl popis a analýzu podvodů v prostředí internetu. Nejdříve je ale nutné ujasnit si několik zásadních skutečností a jevů, které do značné míry usnadňují podvádění. Internet a informační technologie zažívají v posledních letech obrovský rozmach. Internet se stal dostupný téměř každému. Lidé se o něj zajímají a z vlastní nebo z cizí iniciativy se zapojují do tohoto virtuálního světa. Je poměrně jednoduché a snad i intuitivní naučit se používat internetový prohlížeč a emailový klient, bezpečnostní zásady ale už tak samozřejmé nejsou.

2.1 Internet dnes [1] Dictionary.com – heslo: Internet Citace: Internet – obrovská počítačová síť, která propojuje menší počítačové sítě po celém světě. Internet zahrnuje obchodní, vzdělávací, vládní a jiné sítě. Při komunikaci je používán stejný soubor komunikačních protokolů. (překlad vlastní) Internet je nepochybně jedním z největších vynálezů v historii a zároveň jedním z mála fenoménů, který dokázal zcela zásadně ovlivnit náš život. Způsob výměny informací, rychlost a zároveň i relativní dostupnost jsou aspekty, díky kterým internet dokázal během několika desítek let zcela předefinovat naše představy o komunikaci. Internet prožívá stále překotný vývoj a jeho uživatelů stále přibývá (Obrázek 1). Internet, osobní počítače a různá mobilní zařízení se především v uplynulých patnácti letech masově rozšířily a velice rychle se staly nepostradatelným nástrojem v životě mnoha lidí. Zároveň ale musíme vnímat skutečnost, že zdaleka ne všichni jsou odborníky v oboru informatika. Přitom ale často chtějí počítače a internet používat anebo jsou k tomu například v zaměstnání donuceni. Mezery ve znalostech a nedostatečná počítačová gramotnost mnohých uživatelů internetu následně dává sociotechnikům a podvodníkům mnoho příležitostí a potenciálních obětí.

10

Obrázek 1: Počet uživatelů internetu na 100 obyvatel v různých částech světa v průběhu posledních let (data z roku 2010) Zdroj: http://en.wikipedia.org/wiki/File:Internet_users_per_100_inhabitants_ITU.svg dne: 14. 3. 2013

2.2 Informační společnost Rozvoj internetu a informačních technologií je natolik významný a zásadní, že v souvislosti s ním mluvíme o novém pohledu na lidskou společnost – jde o informační společnost. Od počátků lidské civilizace až přibližně do 70. let 20. století byly pro lidi a pro lidská společenství podstatné především hmotné zdroje a hodnotné fyzické objekty. Tento zdánlivě neotřesitelný přístup k realitě kolem nás se ale s rozvojem internetu a informační techniky zásadně mění. [2] V posledních několika desetiletích lidé kladou podstatně větší důraz na informace a jejich hodnotu a význam pro jejich život. Lidé dnes prostřednictvím internetu komunikují, nakupují, pracují, baví se a dělají mnoho dalších činností v materiálním světě, které dříve probíhaly bez účasti informačních technologií. Lidé běžně komunikují prostřednictvím sociálních sítí nebo diskuzních fór a vytváří tak nové sociální skupiny, které by v reálném světě vůbec nemusely vzniknout. De facto tím vytvářejí nové virtuální prostředí – infosféru. Toto nové prostředí ale také zpětně ovlivňuje své 11

„obyvatele“. Mění se způsoby, jakými lidé nakládají s informacemi, jak je hodnotí, vyhledávají, srovnávají, ověřují a jak pak přistupují k reálnému světu. [3] Virtuální svět internetu nejenže vytváří nové komunikační kanály, ale také ovlivňuje pohled na společenské normy a morálku. Mění se pohled na to, co je společensky přípustné, co je vhodné, a co je považováno za morální a etické. Sociální sítě pak ukazují i změnu chápání důvěrných a osobních informací. Díky Facebooku můžeme například pozorovat i posun v chápání modelu, jakým je přátelství. Rozvoj informačních technologií v posledních letech nás všechny přesunul do éry informační společnosti, a to má vliv téměř na každý aspekt našich životů. Někdy tento vliv může být zřejmý, jinde může být nenápadný, ale najít ho můžeme téměř všude.

2.3 Etika a morálka [4, str. 11] Citace: Etika se zabývá tím, co je správné a co nesprávné; zkoumá mravní rozhodnutí lidí a způsoby, kterými se je snaží odůvodnit. [4, str. 41] Citace: Morální – činy, které se řídí přijatými normami. V užším smyslu slova je možné chápat etiku jako synonymum pro morálku. [4] Morálka představuje určitý model pro hodnocení lidského chování v dané společnosti. Kromě práva je to i morálka, která ovlivňuje chování lidí a podvodné chování můžeme pozorovat i ve společnosti, která předcházela té informační. Lidé mohou lhát a lžou. Zároveň se ale ve společnosti udržuje určitý morální standard, který alespoň v hrubých obrysech definuje to, co je pro danou společnost morální, etické a přípustné. Takový morální standard působí na lidi ve společnosti a lhaní, podvádění a krádeže běžně odsuzuje jako něco, co není společensky přípustné. Naděje, že podvod nebude odhalen a jeho strůjce získá nějakou výhodu, představuje motivaci. Naopak hrozba, že podvod bude odhalen a na podvodníka budou uvaleny sankce, potenciálního podvodníka odrazuje. Hrozba odhalení a pravděpodobnost nepříznivé sankce působí na člověka řadou negativních emocí, kterým se běžně snažíme vyhnout. Stres, napětí, stud, strach, hanba a další nepříjemné 12

pocity, mají na lidi obvykle dost silný vliv na to, aby se chovali v souladu se společenskými zásadami. Pokud tedy není pokušení příliš velké.

2.4 Etika a morálka v dimenzích internetu Morálka je utvářena lidskou společností a v čase se vyvíjí společně se změnami ve společnosti. Masivní rozšíření internetu můžeme chápat jako poměrně zásadní příčinu pro změny v morálce. Internet coby prostředek komunikace nabízí dříve netušené možnosti, ale zároveň vytváří zcela nové prostředí, které ovlivňuje chování jeho uživatelů a do značné míry mění vnímání etiky a morálky. Přestože spolu stále komunikují lidé, jejich přístup ke komunikaci se mění oproti té osobní v reálném světě. Lidé vnímají svět a ostatní lidi v prostředí internetu odlišně, ve srovnání s tím, jak je vnímají při osobním kontaktu. Přestože se za virtuálními entitami ukrývají skuteční lidé, pro lidské vnímání se už nezdají tak reální. Odosobnění a určitá forma anonymity v internetové komunikaci možná zní jako nepříliš významná skutečnost, přesto má výrazný vliv na chování a uvažování lidí v elektronické komunikaci. [5] Ukazuje se, že díky onomu virtuálnímu prostředí internetu a „virtuální existenci“ ostatních lidí, je ovlivněno také chápání etiky a morálky. Je nasnadě, že v prostředí internetu mnozí chápou tyto zásady mnohem benevolentněji, než ve skutečné, osobní komunikaci. Tato alternativní, elektronická etika je obvykle tolerantnější k celé řadě morálních prohřešků, které by při osobní komunikaci byly nepřípustné. Pro ilustraci se stačí podívat na některá diskuzní fóra, která se občas mění jen v nekonečné výlevy vulgarit, urážek a vzájemných výpadů. Tento rozdíl ve vnímání virtuálních a reálných objektů způsobuje, že lidé při online komunikaci vnímají doprovodné emoce jinak. Strach z odhalení vlastního podvodu, myšlenka na pohrdání okolím a další nepříznivé následky jsou výrazně oslabeny a mnoho lidí, kteří si netroufnou podvádět v reálném světě, se snáze odhodlají ve virtuálním prostředí internetu.

2.5 Netiketa Jak bylo uvedeno výše, lidé vnímají své okolí prostřednictvím internetu jinak, než ve skutečném světě při osobním kontaktu. Tento fakt může mít nepříznivý dopad na kvalitu komunikace mezi lidmi. 13

Netiketa – tedy internetová etiketa – má za svůj cíl vytvořit všeobecně přijatelná pravidla pro komunikaci a chování lidí v prostředí internetu. [6] Existuje mnoho různých přístupů k netiketě. Na internetu je možné najít několik různých seznamů pravidel a doporučení pro správné chování v online světě. Seznamy pravidel sice pochází od různých autorů, ale jejich ideje se do značné míry shodují a tyto kodexy jsou si v mnoha ohledech podobné. [7] DESATERO PŘIKÁZÁNÍ POČÍTAČOVÉ ETIKY Citace: 1. Nepoužiješ počítače ke škodě jiného. 2. Nebudeš ničivě zasahovat do práce druhých lidí. 3. Nebudeš slídit v souborech jiných lidí. 4. Nepoužiješ počítače ke krádeži. 5. Nepoužiješ počítače pro křivé svědectví. 6. Nepoužiješ nebo nepořídíš kopii softwaru, který jsi nezaplatil(a). 7. Nepoužiješ neoprávněně počítačového zdroje jiných lidí. 8. Nepřivlastníš si intelektuální dílo jiného. 9. Budeš přemýšlet o společenských následcích programu, který jsi stvořil(a). 10.Budeš používat počítače ohleduplně a s úctou. Za závaznější definici netikety je možné považovat dokument RFC1855 [8], který byl diskutován a přijat v rámci organizace IETF (viz dále). Text tohoto dokumentu poměrně podrobně popisuje, jak by se měl uživatel chovat při komunikaci s jednotlivcem nebo se skupinou dalších lidí. Pravidla a doporučení kladou důraz na přehlednost a srozumitelnost. Doporučují například označit velmi dlouhý email (více než 100 řádků) v předmětu slovíčkem „LONG“, dále používat malá i velká písmena a správnou diakritiku. Řadu dalších doporučení v tomto dokumentu by bylo možné označit jako pravidla slušného chování na internetu. Doporučení nám říkají, abychom byli tolerantní, nechovali se agresivně a neuráželi ostatní. Zneužívání a falšování komunikace taktéž odsuzuje. Dokument RFC1855 byl přijat již v roce 1995, takže některé komentáře mohou dnes působit již trochu archaicky.

14

[8] 2.1.1 Mail Citace: Pokud vkládáte podpis, ať je krátký (ne více než 4 řádky). Myslete na to, že mnoho uživatelů platí za připojení od minuty a čím delší je váš mail, tím více platí. Pokud by se všichni uživatelé internetu řídili zásadami netikety, komunikace prostřednictvím internetu by pravděpodobně byla mnohem přátelštější, přehlednější a bezpečnější. Netiketa je ale jen doporučení a v rámci celého internetu není autorita, která by skutečně mohla vytvořit závazná pravidla a poté je prosazovala. Uvádění těchto pravidel a doporučení do praxe tedy zůstává na ochotě a cti každého z uživatelů.

2.6 Informační a počítačová gramotnost Morálka je stále jen společenská norma, která nemůže zabránit lidem v nemorálním chování. Člověk se tedy musí připravit na případy, že se někdo v jeho okolí skutečně zachová nemorálně a pokusí se ho podvést. V případě internetového prostředí to obnáší znalost bezpečnostních zásad. Namísto srovnávání počtů uživatelů a jejich znalostí bezpečnostních zásad, jsem se raději rozhodl pro srovnávání uživatelů, kteří vyhovují požadavkům informační nebo počítačové gramotnosti. Tyto pojmy v sobě skrývají vyšší nároky, než jen bezpečnost. V současné informační společnosti je ale velice žádoucí být počítačově či informačně gramotný a zároveň je tento pojem výrazně lépe definován a je možné podle něj snáze srovnávat úroveň znalostí uživatelů. [9] Informační gramotnost Citace: Za informačně gramotné jedince považoval ty jedince, kteří jsou připraveni používat informační zdroje při práci a kteří se naučili využívat širokou škálu technik a informačních nástrojů stejně jako primární zdroje při řešení problémů. Přestože počítače a informatika jsou dnes prakticky neoddělitelné pojmy, vymezuje se vedle informační gramotnosti ještě počítačová gramotnost, jejíž definice je užší. Pro definici počítačové gramotnosti jsem zvolil výklad ECDL.

15

ECDL (European Computer Driving Licence) je mezinárodní koncept certifikátů, který vytváří standardy pro klasifikaci a certifikaci různě schopných uživatelů počítačů. ECDL považuje za počítačově gramotného takového uživatele, který zvládne program ECDL Core. [10] Program ECDL Core Citace: Program ECDL Core (základní) pokrývá základní, resp. běžně očekávané uživatelské počítačové znalosti a dovednosti. Je synonymem pro počítačovou (digitální) gramotnost a digitální kvalifikaci. Je určen široké veřejnosti a vede k získání některého z níže uvedených mezinárodně platných ECDL certifikátů. Součástí certifikátu ECDL Core jsou i požadavky na znalost a zvládnutí bezpečnostních zásad při práci s počítačem a internetem. V rámci zvládnutí těchto bezpečnostních zásad by měli uživatelé mít povědomí o phishingu, o metodách sociálního inženýrství a o různých metodách podvodů v prostředí internetu. Bohužel, požadavky na počítačovou gramotnost splňuje jen velice málo lidí – podle článku na CFOworld [11] ze 4. 4. 2011 je v ČR pouze 13,7% splňujících tyto požadavky a v porovnání s okolními státy tak ČR zaostává. Setkal jsem se s desítkami uživatelů, kteří používají počítače a internet minimálně jednou týdně, přičemž jsem se několikrát přesvědčil, že jejich povědomí o bezpečnosti je na poměrně nízké úrovni. Výsledek, který přináší výše zmíněný průzkum, pro mě tedy nebyl příliš překvapivý. Stále bychom ale měli mít na paměti, že počítačová gramotnost podle ECDL má podstatně větší záběr, než jen bezpečnost, takže je možné, že i méně kvalifikovaní uživatelé mají o bezpečnosti v prostředí internetu určité povědomí.

2.7 Internetové instituce Internet je globální síť, která propojuje uživatele po celém světě. Zároveň je ale v této globální perspektivě jen velice málo regulovaný. Jednotlivé státy legislativně upravují používání internetu na svém území, nicméně uživatel internetu může velice snadno překročit státní hranice a komunikovat s uživateli nebo servery prakticky kdekoliv na světě. Navíc existují snadno dostupné možnosti, jak své připojení anonymizovat anebo používat IP adresu, 16

která neprozradí skutečnou polohu uživatele. Tyto možnosti vyplývají z technických specifikací samotného internetu a do určité míry tím omezují regulační schopnosti a možnosti jednotlivých států. Existuje zde jen několik málo organizací, které do určité míry globálně spravují a dohlíží na provoz internetu, především to jsou to ICANN, IETF a W3C. Tyto organizace, byť jsou celosvětově uznávány, nemají ale žádné exekutivní pravomoci použitelné pro regulaci internetu a omezení trestné či neetické činnosti uživatelů internetu.

ICANN (the Internet Corporation for Assigned Names and Numbers) je nezisková organizace, která koordinuje přidělování IP adres a doménových jmen a zajišťuje tak stabilní a bezpečný (bezpečný – ve smyslu bez poruch) provoz internetu. [12] IETF (Internet Engineering Task Force) je nezisková, nečlenská organizace, v jejímž rámci se utvářejí a diskutují normy a technická řešení týkající se různých částí internetu a jeho infrastruktury. [13] Prostřednictvím IETF byl například v roce 1995 navržen a schválen dokument RFC1855, který stanovil zásady netikety.[8] W3C (World Wide Web Consortium) je mezinárodní informační komunita, která se zabývá vývojem veřejně dostupných standardů a definicí norem, čímž zajišťuje dlouhodobou udržitelnost rozvoje internetu. [14] Tři výše uvedené instituce spravují, normují a vyvíjejí především technické aspekty internetu. Samotný obsah internetové komunikace ale mezinárodně upraven není. Tyto organizace tedy nemohou nijak zasahovat proti uživatelům, kteří by používali internet pro nelegální nebo neetické účely. Nemají k tomu pravomoci, ale není to ani dobře proveditelné, protože komunikace probíhá celosvětově, ale každý jednotlivý stát vztahuje svou legislativu pouze na vlastní území. Vinton Cerf, který je spoluautor fundamentálního protokolu TCP/IT a je označován za „otce internetu“, je zastáncem myšlenky, že právě ona svoboda a neregulovanost internetu stojí za jeho fenomenálním úspěchem a velice podporuje inovace. [15][16] Každá mince má ale dvě strany a vedle značných výhod a příležitostí, které nám otevřenost 17

internetu nabízí, přináší také nezanedbatelná rizika. Díky značné rozšířenosti internetu mezi uživateli a do určité míry omezeným nástrojům regulace také přibývá těch, kteří se snaží nabízené možnosti zneužívat k neetickým a trestným činům. Internet je zároveň neoddělitelný od počítačů a výpočetní techniky, která umožňuje mnoho různých podvodů prakticky automatizovat, a oslovit tak najednou obrovské množství potenciálních obětí. Aby podvodník získal osobní údaje od mnoha uživatelů, stačí mu, když jeho podvod bude mít třeba jen 5% úspěšnost – pro získání osobních údajů od požadovaného počtu osob pak stačí pouze rozeslat podvodnou zprávu dostatečně velkému množství lidí.

2.8 Komunikace a podvod Komunikace a podvod spolu velice úzce souvisí. Pro vysvětlení nejprve vysvětlím, co je to komunikace: [17, str. 107] Citace: Komunikace je proces přenosu informace od jedné entity ke druhé. (překlad vlastní) Na první pohled vypadá tato definice zcela jasně, ovšem je nutné doplnit několik důležitých vlastností, které se s procesem komunikaci nutně pojí. •

Komunikace není absolutní a definitivní proces, vždy existuje možnost nedorozumění.

•

Nikdy nemůžeme s jistotou vědět, že příjemce naší informace ji bude chápat stejně jako my. Člověk vyhodnocuje příchozí informace v kontextu vlastního pohledu na realitu, je tedy pravděpodobné, že naše pohledy se budou do určité míry odlišovat, a tudíž zde existuje prostor pro odlišnou interpretaci informací.

•

Vždy musíme předpokládat, že existuje tolik různých pohledů na realitu, kolik existuje příjemců informace

[17] Fakt, že každý chápe příchozí zprávu ze svého pohledu na věc, je pro podvodníka zásadní. Pokud podvodník dokáže empaticky předvídat, jak si příjemce zprávu pravděpodobně vyloží, může svou podvodnou zprávu napsat tak, aby byla pochopena tím „správným“ způsobem a oběť zareagovala přesně tak, jak podvodník chce.

18

[18, str. 3] Citace: Podvod je definován jako přenos informace k příjemci s cílem vzbudit falešné přesvědčení. (překlad vlastní) Takto široká definice zahrnuje nepřebernou řadu případů mezilidské komunikace a nemusí jít nutně o snahu někoho poškodit a sebe obohatit. V článku Online deception: prevelance, motivation, and emotion [19] jsou uvedeny závěry z provedeného výzkumu, kterého se účastnilo 257 respondentů a odpovídalo na příslušné otázky. (Tabulka 1) Z výzkumu vyplývá, že lidé v internetové komunikaci často lžou o sobě a o vlastním životě. Mají k tomu různé motivace – může to být snaha o ochranu vlastního soukromí, snaha o vylepšení svého postavení před ostatními, snaží se zvýšit svoji přitažlivost a zajímavost v očích ostatních anebo lžou o vlastní identitě jen pro zábavu. Tito lidé se podle definice dopouští podvodu a svému virtuálnímu okolí lžou. To je především z morálního hlediska značně diskutabilní akt, nicméně cílem těchto podvodů běžně není snaha poškodit ostatní, vylákat z někoho peníze a sám sebe obohatit. I když se jedná o podvod, jde obvykle o podvod s minimálním negativním společenským dopadem. Pouze 20% respondentů uvedlo, že je někdo při lhaní podezíral. Je otázkou, jaké procento lží a podvodů je běžně odhaleno v reálném světě, nicméně internet stále nabízí značnou anonymitu svým uživatelům, a proto se můžeme relativně snadno vyhnout všem případným sankcím v případě odhalení našeho podvodu. Pokud celých 80% všech respondentů uvádí, že jejich lži nebyly odhaleny, ani je nikdo nepodezíral, je podle mého názoru zřejmé, že valná většina lidí je mentálně vybavena k tomu, aby si při komunikaci na internetu dokázala vybudovat dostatečnou důvěryhodnost, aby mohli úspěšně lhát a podvádět. Další otázkou je, proč je úspěšnost lhářů – podvodníků tak vysoká. Pokud je to zásluhou převážně samotných podvodníků a jejich schopností, můžeme z toho vyvodit závěr, že lidé obecně jsou při komunikaci na internetu velice dobří lháři. Existuje také jiné vysvětlení, které nezkoumá lháře, ale příjemce informací. Je totiž také možné, že vysoká úspěšnost podvodníků je výsledkem všeobecného sklonu lidí k důvěřivosti.

19

Kevin Mitnick v knize Umění klamu [20] se přiklání spíše ke druhé variantě. Lidé jsou podle něj od přírody důvěřiví, a pokud zasadíme naši podvodnou komunikaci do správného kontextu, poměrně snadno nám začnou důvěřovat. V uvedené knize je několik příkladů, které demonstrují podvody vedené především proti větším firmám a organizacím. Scénář bývá často podobný: Podvodník požádá zaměstnance firmy o nějakou interní informaci nebo spolupráci. Jakoby mimochodem zmíní dva nebo tři detaily, o kterých se zaměstnanec domnívá, že je může znát jen zaměstnanec, který má na informaci nárok. Od této chvíle považuje zaměstnanec podvodníka za svého vzdáleného kolegu a už příliš neověřuje a nezpochybňuje oprávněnost jeho žádosti. Tabulka 1: Část výsledků průzkumu, který se zkoumal, jak často a proč lidé na internetu lžou [19]

20

2.9 Sociální inženýrství Co je to sociální inženýrství? Na tuto otázku Ch. Hadnagy ve své knize Social engineering uvádí několik odpovědí, kterých se mu dostalo od skupiny lidí zabývajících se bezpečností. V odpovědích se dozvídáme, že sociální inženýrství je lhaní lidem za účelem získání informací, že to znamená být dobrým hercem anebo umění získávat různé věci zdarma a někoho obelhat. Hadnagy považuje takové tvrzení vůči sociálnímu inženýrství za dosti neomalené. Sám tvrdí, že sociální inženýrství je akt manipulace osoby tak, aby učinila něco, co může, ale také nemusí být v jejím zájmu. O sociálním inženýrství mluví v podstatě jako o nástroji manipulace, přičemž tento nástroj sám o sobě nemá morálně pochybný význam. Nástroj sociálního inženýrství je možné využít i při každodenní komunikaci a to k všeobecnému prospěchu našeho okolí, nebo skupiny, jíž jsme součástí. Jako nástroj sociálního inženýrství může posloužit cokoliv, co má vliv na lidské chování. Za takový nástroj můžeme považovat například i veřejné prostory budov, které jsou navrženy tak, aby se v nich lidé lépe zorientovali a rychle našli cestu ke svému cíli. V případě nákupního střediska může být naopak pro majitele žádoucí, když lidé v budově snadno zabloudí a stráví nakupováním více času. Nemůžeme ovšem zapomenout, že se snad až příliš často techniky sociálního inženýrství zneužívají k neetickým a trestným činům, a zřejmě proto je tento pojem chápán v první řadě jako nástroj manipulace, lži a podvodů.[20] Následující definice z jiného zdroje definuje sociální inženýrství více negativně. [21] http://slovnik-cizich-slov.abz.cz – heslo: sociální inženýrství Citace: Sociální inženýrství je způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace. Termín je běžně používán ve významu nezákonného podvodu nebo podvodného jednání za účelem získání utajených informací organizace nebo přístup do informačního systému firmy. Ve většině případů útočník nepřichází do osobního kontaktu s obětí. Takové definice v sobě v podstatě zahrnuje i výše uvedenou definici podvodu. A právě tuto definici, uplatněnou především na internetovou komunikaci, rozvedu a ukážu způsoby, 21

kterými ji podvodníci naplňují, a proč jsou ve svém jednání úspěšní.

2.10

Internet, zabezpečení a obezřetnost uživatelů

Internet byl ve svých počátcích budován pro účely výměny informací mezi univerzitami a vědeckými zařízeními. Z počátku téměř neexistovala bezpečnostní opatření, která by zamezovala zneužití služeb internetu. V průběhu desetiletí se internet stal veřejně dostupný a využívaný komerčními organizacemi. Přibývalo služeb, které fungovaly jen prostřednictvím internetu, ale internet také přitahoval různé hackery, kteří se snažili zneužívat bezpečnostní mezery pro svůj prospěch. Bylo tedy nutné všechny služby zabezpečovat před jejich možným zneužitím. Společně se vznikem nových služeb a aplikací samozřejmě vznikaly i nové bezpečnostní mezery technického rázu. V dnešní době je ale celá řada systému relativně dobře zabezpečená, a i když nemůžeme mluvit o absolutním zabezpečení, je hledání dalších bezpečnostních děr technicky značně náročné. [20] Naproti tomu lidé stále pracují s počítači, nemůžeme ale říci, že by se bezpečnostní návyky lidí obsluhujících počítače rapidně zvyšovaly. Lidský faktor je tak v mnoha případech tím nejslabším článkem v koncepci zabezpečení informací. Sociotechnici si jsou toho vědomi, a proto rádi využívají při svých útocích slabiny v lidské povaze. Za pomoci lží, manipulací a různě rafinovaných krádeží identit se v mnoha případech dokážou dostat k informacím, které jsou chráněny těmi nejmodernějšími bezpečnostními systémy. Lidé obsluhující tyto systémy totiž leckdy tak vysoké bezpečnostní standardy nesplňují. Riziko, že při útoku využije útočník chybu lidského faktoru, navíc narůstá, pokud má k důvěrným informacím přístup hodně lidí. Obzvláště ve velkých společnostech, kde s důvěrnými daty pracují desítky nebo stovky lidí a zároveň se nutně neznají navzájem, je riziko úniku vyšší.

2.11

Specifika podvodů na internetu

Internetová komunikace se také vyznačuje některými aspekty, které při osobní komunikaci nenajdeme. Následující aspekty mohou usnadňovat práci podvodníků. [22]

22

Standardizovaná komunikace Komunikace

prostřednictvím

internetu

probíhá

prostřednictvím

dobře

známých

a standardizovaných způsobů. Typicky to jsou emailové výzvy (například pro změnu hesla), mechanismus autorizace za použití uživatelského jména a hesla, ověřování identity prostřednictvím emailu a podobné. Jednoduchý ústup Vydávat se při internetové komunikaci za někoho jiného není složité. Pokud potenciální oběť odhalí nekalé úmysly podvodníka, podvodník se jednoduše odmlčí, a buď zkusí najít někoho důvěřivějšího, anebo vymyslí nový podvod a bude se jednoduše vydávat za někoho jiného. Špatně dohledatelné stopy Tento aspekt souvisí se značnou anonymitou v prostředí internetu. I bez pokročilých technický znalostí je možné komunikovat prostřednictvím internetu a přitom za sebou nezanechávat stopy (například systémem TOR, nebo připojení se k internetu přes nezabezpečené wi-fi). To může nahrávat zájmům podvodníků zejména v okamžiku, kdy oběť zjistí, že byla podvedena a odpovědné instituce (policie) podvod vyšetřují.

23

3 Anatomie podvodu Běžný způsob práce sociotechnika vyjadřuje následující diagram (Obrázek 2). Koloběh získávání informací, budování důvěry a následné využití důvěry pro získání dalších informací je příznačný. Podle mnoha příkladů, které uvádí Kevin Mitnick a Christopher Hadnagy (kteří mají v oblasti sociálního inženýrství bohaté zkušenosti) sociotechnici obvykle nemohou okamžitě zaútočit na objekt svého zájmu, ale musí si nejprve získat dostatek informací o svém cíli a informací o těch správných identitách, aby mohli zaútočit přímo na objekt svého zájmu. Mnoho operací a podvodů sociotechnik vykoná jen proto, aby získal informace, které mu pomohou přiblížit se ke svému skutečnému cíli.

Obrázek 2: Sociotechnický cyklus [23]

3.1 Cíl Ještě než se sociotechnik pustí do práce, je nutné definovat cíl. Cílem podvodu je obvykle získání určité hodnotné informace. Může to být přístupové heslo k určitému účtu, osobní údaje, kontakt na spolupracovníky, interní informace o produktu firmy, zdrojový kód programu, nebo třeba informace v podobě nepřetržitého monitorování aktivity na počítači oběti – záleží jen na touze útočníka. 24

Povahu cílů z pohledu útočníka můžeme rozdělit do následujících skupin: •

Konkrétní jednotlivci Sociotechnik si může vybrat jednoho konkrétního člověka, od něhož chce získat určitou informaci. V takovém případě potřebuje poměrně podrobné informace o svém cíli, aby mohl připravit svůj podvod a vybudovat si při komunikaci dostatečnou důvěryhodnost. Tento typ útoků je označován jako spear phishing. [24] Někdy se také vyčleňuje zvláštní druh útoku – whaling. Jde o útok cílený na vysoce postavenou osobu, která má v dané organizační struktuře přístup ke zvláště citlivým a hodnotným informacím. Může jít také o osobu, která má v podnikové síti výrazně širší pravomoci. [25]

•

Jednotlivci z konkrétní skupiny Podobně jako u předchozí skupiny se podvodník snaží oslovit lidi, které spojuje nějaká zřejmá vlastnost, nějaký společný jmenovatel, pomocí kterého se bude podvodník snažit zvýšit důvěryhodnost své zprávy. Mohou to být klienti jedné banky, členové jednoho diskuzního fóra anebo třeba fanoušci určitého sportu. Využití takového prvku může výrazně zvýšit úspěšnost podvodu.

•

Jednotlivci bez výběru Podvodník se snaží oslovit mnoho lidí najednou. Snaží se svůj podvod připravit tak, aby při hromadném kontaktování potenciálních obětí co nejvíce podlehlo. Takový podvod tedy musí být postaven na nějakém všeobecném kontextu tak, aby při oslovení zapůsobil na co největší počet lidí. Díky možnostem internetu je možné oslovit mnoho lidí najednou. I když úspěšnost takového podvodu nemusí být tak vysoká, jako v případě, kdy podvodník míří svou lež na konkrétní osobu, může svou nízkou účinnost vyvážit množstvím oslovených. Takový způsob útoku je obvykle označován jako phishing. [25]

25

•

Organizace Organizace jako například firmy mají obvykle informace, které mohou být pro ty správné lidi velice cenné. Zároveň k těmto informacím má často přístup více pracovníků, což sociotechnikovi nabízí více cest a může si vybrat tu nejlepší. Ve velkých organizacích, kde se všichni pracovníci nemusí znát navzájem, existuje pro sociotechnika příležitost krádeže identity, kdy se poměrně snadno může vydávat za vzdáleného spolupracovníka – zaměstnance firmy.

Je samozřejmě možné klasifikovat cíle útoků podle mnoha dalších kritérií, nicméně pro tuto práci bude výše uvedené členění nejvhodnější.

3.2 Získávání informací Aby byl útok a manipulace co nejúčinnější, je prakticky nezbytné vynaložit určité úsilí na sbírání a analýzu informací. Podvodník musí shromáždit maximum dostupných informací o své budoucí oběti tak, aby si mohl co nejlépe zvolit svoji taktiku. S rozvojem internetu a v poslední době i sociálních sítí je nepřeberné množství informací dostupných online. Mnoho firem i uživatelů zveřejňují množství informací, které na první pohled vypadají neškodně a bezcenně, často se ale mezi nimi najdou informace, které mohou podvodníkům usnadnit jejich práci.

3.2.1

Internetové prezentace

Firma bez internetových stránek, jako kdyby nebyla. Je jasné, že není možné kvůli bezpečnosti uzavřít hlavní kanál pro komunikaci s veřejností, ovšem je vhodné se před uveřejněním nové informace zamyslet nad možnými dopady. Zaměstnanci firem si mohou pro usnadnění vlastní práce zveřejnit na serveru soubor, který obsahuje informace, které potřebují k práci. Zároveň jsou ale přesvědčeni, že zveřejněný soubor je pro nezasvěceného člověka nesrozumitelný a bezcenný, snadno se ale může stát, že pro podvodníka bude velice užitečný.

26

3.2.2

Odpad

Další z mnoha cest k důležitým informacím může být odpad. [20] Výpisy z bankovních účtů v papírové podobě jistě ještě dostává většina majitelů účtů. Takový výpis přichází každý měsíc a asi nemá smysl je po celá léta archivovat. Pokud ovšem člověk jen tak vyhodí dokument, jakým je výpis z účtu, může tak na sebe snadno přitáhnout pozornost nějakého podvodníka. Pokud totiž sociotechnik získá výpis z účtu, na kterém je celé jméno, adresa a číslo účtu, získává tak velice cenný balíček souvisejících informací, který může s trochou obratnosti přetavit v zisk. Tento konkrétní problém by mohla vyřešit například skartovačka. Ukazuje se ale, že odpad z běžné skartovačky, která papír rozřeže na dlouhé nepřerušované proužky, je poměrně snadné rekonstruovat. Pokud má sociotechnik motivaci v podobě podobně hodnotné informace, je dost možné, že si dá tu námahu a nařezaný dokument dokáže obnovit.

3.2.3

Sociální sítě

Sociální sítě se v posledních letech staly velice populární. Lidé sdílejí své názory, zážitky, fotografie a mnoho dalšího. Nemají ale vždy úplně jasné představy o tom, kdo všechno se může ke vloženým informacím dostat. Vetřít se do přízně uživatelů na sociálních sítích s falešným účtem není obvykle velký problém. [27] Dalším riziko spočívá v samotných zveřejněných údajích. Opět to mohou být volně dostupné informace, které jejich majitel pokládá za neškodné a nevidí důvod, aby se o ně nějak obával a skrýval je. Přesně takový přístup může opět pomáhat podvodníkům. Existují lidé, kteří si neuvědomují choulostivost ani velice zásadních informací, jako je třeba číslo jejich platební karty. [26]

3.2.4

Diskuzní fóra

Zaměstnance konkrétní firmy je často možné identifikovat podle doménového jména jejich emailové adresy. Pokud sociotechnik získá přístup na fórum, kde diskutují zaměstnanci firmy například o nastavení zabezpečení vnitropodnikové sítě, může si vytvořit poměrně dobrou představu o zabezpečení firemního informačního systému a snáze najít jeho slabinu. [20]

27

3.3 Důvěryhodnost a motivace Podvodník tedy získal všechny potřebné informace o své oběti, nyní přistoupí k samotnému podvodu. Na základě analýzy získaných dat musí správně odhadnout svojí oběť a musí předvídat, jak nejspíš bude reagovat na jeho zprávu. Následující prvky a mechanismy, které sociotechnici využívají, se mohou do značné míry překrývat nebo kombinovat, nicméně jsem se je pokusil rozčlenit a vytvořit tak určitý přehled, postupů, kterými si podvodníci získávají důvěryhodnost pro jejich zprávy.

3.3.1

Vylákání

Mechanismus vylákání je jedním z nejpodstatnějších nástrojů sociálního inženýrství. [17] Využívá přirozené lidské vlastnosti a sklony k určitému mezilidskému chování, ze kterého může sociotechnik těžit. Vylákání funguje z několika příčin: •

Lidé jsou obvykle zdvořilí při jednání s neznámým člověkem, snaží se vyhovět

•

Profesionálové chtějí vypadat inteligentně a vzdělaně

•

Chválení a komplimenty mohou přispět k výmluvnosti lidí

•

Většina lidí přece nelže, tak proč by lhal právě ten, s kým mluvím

•

Lidé jsou potěšeni, když se někdo zajímá o věci, které jsou pro ně osobně důležité

•

Lidé touží získat výhodu – nějakou odměnu, výhru, slevu nebo zvýhodněnou nabídku

3.3.2

Vykonstruované záminky

Záminku můžeme chápat jako odůvodnění žádosti o spolupráci nebo vyzrazení požadované informace. Při oprávněných žádostech o cokoli nám osoba na druhé straně vysvětluje, proč je nutné něco udělat, proč od nás něco žádá a podobně. Pokud jde o podvod, je záminka částečně nebo úplně vykonstruovaná jen za účelem podvodníkova snažení. [17] Vytvořit tu správnou záminku je obvykle jedním z nejkritičtějších bodů při realizaci úspěšného podvodu. Podvodník musí vykonstruovat záminku, která nevzbudí u oběti podezření – naopak ji přesvědčí, aby jednala tak, jak si podvodník přeje. Je krajně nepravděpodobné, že by existovala jedna univerzální záminka, jedna jediná zpráva 28

a jeden univerzální podvod, který by dokázal přesvědčit ke spolupráci každého. Útočník proto musí využít všechny posbírané informace o oběti a jejím okolí k tomu, aby vytvořil důvěryhodnou zprávu, která bude uvěřitelná, důvěryhodná a přesvědčí oběť ke spolupráci. Uvážlivé míchání pravdivých informací týkajících se oběti a lhaní a vytváření fiktivní situace je velice důležité pro úspěch celého podvodu. Pravdivé informace, které oběť zná, a které si podvodník nějakým způsobem opatřil, slouží jako určitý prostředek pro rozptýlení podezření a ujištění oběti, že jedná s důvěryhodnou a snad i známou osobou, jejíž požadavky jsou zcela oprávněné. Pokud oběti zašleme email, který by měl vytvářet dojem, že byl odeslán bankou, u které má oběť účet, můžeme zvýšit důvěryhodnost takové zprávy zmíněním nějaké informace, o které se oběť domnívá, že ji zná pouze banka. Důvěra stojí na tom, že oběť věří, že uvedené pravdivé informace nemohl získat nikdo jiný, než důvěryhodný odesílatel, za kterého se ale vydává podvodník. Zde samozřejmě velice záleží na schopnostech podvodníka, zda dokáže odhadnout, jak bude oběť reagovat na konkrétní situaci a konkrétní záminku pro spolupráci. Jsou to hlavně předem získané informace, které mu v takovém rozhodování pomohou. Záminka by měla být co možná nejjednodušší, přirozená, snadno pochopitelná a dobře odůvodnitelná. V ideálním případě by měla vypadat jako rutinní záležitost, kterou oběť vyřizuje pravidelně.

3.3.3

Vydávání se za někoho jiného

Krádež identity a vydávání se za někoho jiného je poměrně běžná technika sociálního inženýrství. Je to de facto parazitování na důvěryhodnosti, která patří někomu jinému. [17] Podobně jako u vystavění té správné záminky, musí i v tomto případě mít podvodník dostatek relevantních informací, aby dokázal nejprve určit, za koho se má vydávat, aby mu jeho cíl ochotně pomohl, a poté musí získat dostatek informací, aby se za danou osobu mohl přesvědčivě vydávat. Fenomén krádeže identity a vydávání se za někoho jiného je obecně spjatý s moderními komunikačními technologiemi. Je totiž snadné vydávat se za někoho jiného, když se stačí prokázat několika zdánlivě důvěrnými informacemi o ukradené identitě.

29

3.3.4

Nátlak a hrozby

Kromě vytváření důvěryhodných záminek a přesvědčování ke spolupráci může útočník použít i nátlak a vyhrožování. Takový útok může být úspěšný, pokud útočník takovou hrozbu dokáže podepřít přesvědčivým příkladem toho, co se příjemci zprávy stane, pokud nebude spolupracovat. Následující příklad (Obrázek 3) ukazuje, jak je možné využít bezpečnostní mezery běžně používaného softwaru. Počítačový virus Win32/Ransom infikuje špatně zabezpečený počítač a prakticky ho zablokuje – uživatel po zapnutí nemůže používat operační systém ani jiné programy, pouze vidí následující zprávu. [28] Zpráva na první pohled vypadá jako výzva Policie ČR, která sděluje uživateli, že porušil zákon a okamžitě vyjmenovává jednotlivé trestní sazby a popisuje nepříznivé vyhlídky. Pokud má uživatel k počítači připojenou webkameru, je také možné, že vedle textu zprávy najde také svoji fotografii, aby nabyl dojmu, že o něm policie skutečně ví, že se skutečně jeho případem zabývá a má schopnosti, jak ho odhalit. Podvodník se snaží, aby uživatel nabyl dojmu, že jedná z pozice policie – autority, která má skutečnou pravomoc zasáhnout proti příjemci takové zprávy. Zároveň se podle komentářů na fórech jedná o klasický phishing, který nerozlišuje jednotlivce, ale virus se snaží infikovat maximální možné množství počítačů a oslovit co nejvíce uživatelů. Zpráva viní uživatele z činu, který údajně naplňuje jednu nebo více z uvedených kategorií. Útočník zde vypisuje několik prohřešků, které může uživatel internetu poměrně snadno naplnit, přitom ale neříká, který konkrétní by se měl na uživatele vztahovat. Útočník zřejmě spoléhá na to, že uživatel najde v nějaké z uvedených kategorií čin, kterého se možná dopustil a přesvědčí ho tak, že se skutečně provinil. Následně podvodník nabídne uživateli možnost, jak se ze svých údajných prohřešků doslova vykoupit. Pokud uživatel včas (do 72hodin) zaplatí pokutu 2000Kč nebo 100EUR, může se úplně vyhnout všem soudům i vysokým pokutám. Pokud se podvodníkovi skutečně podařilo přesvědčit uživatele, že se provinil, je to nepochybně lákavá alternativa. Ovšem podvodníkovi jde pouze o peníze, i když uživatel zaplatí, odblokování se nedočká.

30

Obrázek 3: Obrazovka, kterou uvidí uživatel počítače, který je napaden českou verzí viru Win32/Ransom [28]

31

3.3.5

Stres, časová nouze

Sociotechnikovi se podaří vmanévrovat oběť do situace, kdy nabude dojmu, že je třeba hned reagovat. Podle zkušeností Kevina Mitnicka [20] je například ve většině firem a společností na prvním místě dodržování termínů a bezpečnost má nižší prioritu. Pokud se bude podvodník vydávat za zaměstnance firmy a bude požadovat od skutečného zaměstnance nějakou informaci, aby mohl včas obsloužit zákazníka, šance na úspěch bude větší. Nemusí ale jít jen o firemní prostředí, podvodníci mohou vytvořit zprávu, která příjemce nepřímo přiměje k reakci. Velice dobře to demonstruje následující případ: Několik uživatelů uvedlo na internetovém diskuzním fóru www.forum.viry.cz [29], že obdrželi následující email: PayPal You've sent a payment Transaction ID: 5WR3KR350193D Dear customer emailID -- xxx@seznam. cz, You've sent a payment for 109. 71 EUR to Manuela Strutinsky. Please note that it may take a little while for this payment to appear in the Recent Activity list on your Account Overview. View the details of this transaction online Note: If you haven't authorized this transaction, click the link below to remove limitations to your account and get full refund. Go to the Help Center and remove you limitations at: h**ps://www. paypal. com/secure/cgi-bin/webscr? cmd=_contact_EUROPE/ Amount: 109. 17 EUR Currency conversion: $139. 27 USD = 109. 17 EUR Exchange rate: 1 USD = 0. 783825 EUR Sent on: 28 March 2013 Yours sincerely,

32

PayPal Help Center | Resolution Center | Security Center Please do not reply to this email because we are not monitoring this inbox. To get in touch with us, log in to your account and click "Contact Us" at the bottom of any page. Copyright © 2013 PayPal Inc. All rights reserved. Consumer advisory: PayPal Pte Ltd, the Holder of the PayPal™ payment service stored value facility, does not require the approval of the Monetary Authority of Singapore. Consumers (users) are advised to read the terms and conditions carefully. PayPal Email ID PP1184643 Email informuje příjemce, že jeho platba byla zpracována. Dále je příjemce upozorněn, že může chvíli trvat, než se platba objeví v našem výpisu plateb. Zároveň je zde uvedena adresa, přes kterou je možné tuto platbu stornovat, pokud by snad odesílatel nedal pokyn k takové platbě. Je zřejmé, že příjemce takovou platbu nikdy neuskutečnil, a bude chtít získat své peníze zpět. Nevadí, že na svém účtu nevidí žádnou takovou transakci, email ho přece upozorňuje, že musí počítat s časovou prodlevou. Pokud příjemce uvěří této zprávě, je poměrně pravděpodobné, že zareaguje tak, jak podvodník chce, a klikne na uvedený odkaz v domnění, že platbu rychle stornuje. Je pravděpodobné, že takový odkaz bude směřovat na falešnou stránku PayPal, která požaduje přihlašovací údaje uživatele, anebo bude směřovat na útočnou stránku, která se bude snažit využít nějaké chyby v zabezpečení prohlížeče a získat například kontrolu nad počítačem oběti. Skutečnosti, že se jedná o podvodný phishingový email nasvědčuje fakt, že více diskutujících na fóru uvádí, že obdrželi zcela totožný email, a navíc jej obdrželi i ti, kteří vůbec nemají založený účet PayPal, a nemohli tedy vůbec platbu uskutečnit. Podvodník se zřejmě spoléhal na to, že služba PayPal je velmi rozšířená a většina příjemců jeho zprávy zde bude mít svůj účet.

3.3.6

Tajemství a důvěrnost

Lidé jsou zvědaví a rádi se podívají na zajímavé dokumenty, ke kterým buď nemají přístup. [22] Pokud to bude flashdisk anebo správně nadepsané CD je pravděpodobné, že ho někdo 33

vloží do počítače. Některé emaily také útočí na nižší pudy a přílohu se zdánlivě lechtivým obsahem otevřou spíše muži. Pokud bude k takto získaným souborům přiložen virus, může zvědavý zaměstnanec nabourat zabezpečení celé firmy.

3.4 Strategie phishingu Vedle technik sociálního inženýrství, které působí především na obsah komunikace, existuje ještě celá řada dalších faktorů, které mohou výrazně zvýšit šanci na úspěšný podvod. Pro praktické účely můžeme říci, že jde jen o další způsoby, jak manipulovat obětí, nicméně níže uvedené metody jsou specifické tím, že zpravidla těží z nedostatečné znalosti informačních systémů.

3.4.1

Nedostatek znalostí

Nedostatek alespoň základních znalostí o fungování používaných systémů představuje vždy bezpečnostní riziko a podvodníci to dobře vědí. Využití neznalosti obětí může velice zásadním způsobem zvýšit účinnost podvodu. Internet v současnosti používá více než 2,4 miliardy lidí na celém světě (Obrázek 4) a je jen těžko představitelné, že by všichni byli odborníky, kteří dobře chápou fungování informačních technologií. Tento fakt naznačuje, že na světě existuje obrovská skupina lidí, která může být potenciálně zranitelná útokem lidí, kteří dokáží zneužít různé bezpečnostní nedostatky počítačových systémů a neznalost jejich uživatelů. Vedle toho ale existují i metody, které neútočí přímo na bezpečnostní chyby počítačových systémů a neznalost uživatelů. [31] Ani odborník na poli informatiky nemusí být v bezpečí před rafinovanými útoky sociotechniků.

34

Obrázek 4: Počet uživatelů internetu v poměru k populaci [30]

Neznalost systémů Právě v neznalosti používaných systémů leží jedna ze slabin, kterou podvodníci na internetu využívají. Pokud uživatel nechápe základní principy fungování systémů, jako jsou například operační systém, email nebo internetový prohlížeč, může snadno uvěřit podvodníkovi a spolupracovat. Neznalost bezpečnostních nástrojů Dnešní

prohlížeče

používají

řadu nástrojů

a indikátorů,

které

by měly

varovat

před potenciálně nebezpečnými weby a zajišťovat tak větší bezpečnost svým uživatelům. Jenže mnoho takových nástrojů a indikátorů může správně pracovat jen, když o nich uživatel bude vědět a rozumět tomu, co ukazují, a bude je respektovat. (při pokusu 15 z 22 uživatelů navštívilo internetové stránky i přes varování, že mohou být nebezpečné [31])

3.4.2

Vizuální manipulace

Většina komunikace prostřednictvím internetu probíhá ve vizuální podobě. Obvykle jde o text a grafickou úpravu webových stránek, dialogových oken, obrázků, emailů, reklamních bannerů a podobně. Existují zavedené postupy pro komunikaci, které dodržují určité zažité zásady a stále

35

používají stejnou formu komunikace, formát zpráv, přihlašovací okna, ikony, což usnadňuje práci sociotechnikům, kteří spoléhají, že uživatel na danou zprávu bude reagovat zažitým způsobem. [31] Způsobů vizuální manipulace existuje celá řada: Snaha imitovat důvěryhodný originál Lidé si obvykle spojují vzhled zprávy nebo internetové stránky s nějakou konkrétní společností, službou nebo příležitostí. Podvodník může poměrně snadno využít vizuální podoby internetových stránek, které oběť běžně využívá, zná je a důvěřuje jim. Když se podvodníkovi podaří přesměrovat oběť na svoje podvodné stránky a zároveň dokáže vzbudit domnění, že jde o známé stránky důvěryhodné společnosti, je vcelku pravděpodobné, že se oběť pokusí přihlásit svým uživatelským jménem a heslem a přitom jej sdělí podvodníkovi. Podobným způsobem mohou fungovat dialogová okna, která na první pohled vypadají, jako okno otevřené prohlížečem, operačním systémem nebo jinou důvěryhodnou aplikací, ve skutečnosti je ale takové okno zobrazené jen uvnitř prohlížeč coby HTML element nebo jiný objekt. Pokud se podvodníkovi podaří obelhat oběť, opět se může snadno a rychle dostat k citlivým informacím. Vizuálně matoucí text – typejacking/misspelling Tato technika se snaží mnoha různými způsoby napodobit text tak, aby pro uživatele vizuálně vypadal jinak, než ve skutečnosti je – kódování některých znaků je jiné, než jak je při pohledu na ně chápe uživatel. Využívá se například záměna malého L a číslice 1. l1 Tyto dva znaky mají odlišné kódování – pro počítač je odlišnost zřejmá, nicméně uživatel si je může v řadě dalších znaků snadno zaměnit1. URL adresa tak může na první pohled vypadat jako adresa důvěryhodné stránky, nicméně ve skutečnosti jde o zcela jinou adresu a zcela jinou stránku – obvykle podvodnou. Další z možností je například napodobení nějaké delší (co do počtu písmen) URL adresy, přičemž zde uděláme drobný „překlep“ [17].

1

Vizuální podobnost samozřejmě záleží na použitém fontu – u patkových fontu může být 1 a l(L); 0 a O

36

Následující dvě URL adresy na první pohled stejné. www. myfantasybasketballleague. com www. myfantasybasketballeague. com Pokud oběť již zná webové stránky umístěné na první adrese, je pak pravděpodobné, že ochotně klikne na odkaz směřující na druhou adresu – pokud obdrží správně formulovanou podvodnou zprávu. Podvržený hyperlink Jedním z nejsnadnějších způsobů jak přesvědčit uživatele, že kliká na důvěryhodný odkaz je uvést v emailu nebo na internetové stránce odkaz v plném znění ale zároveň vepsat v HTML kódu do atributu href úplně jinou URL adresu. www. servis24. cz Uživateli se běžně zobrazí jen adresa uvedená v tagu , ale po kliknutí na odkaz se dostane na úplně jinou stránku. Zde můžeme vidět jeden z příkladů, kdy lidé po určitém čase získají určité povědomí o fungování elementů v internetovém prostředí – konkrétně hyperlink. Uživatel si za celou dobu, kdy používá internet, zvykl, že pokud je v textu uvedeno plné znění URL adresy a má formát odkazu (standardně je to podtržený text v modré barvě), pak po kliknutí na takový odkaz bude přesměrován přesně na vypsanou adresu. Pokud myší ukážeme na zobrazený odkaz, ve stavovém řádku prohlížeče (nejpoužívanější prohlížeče jako Chrome, Firefox, Opera, Internet Explorer takto fungují) sice uvidíme plné znění adresy, na kterou odkaz směřuje, ale jen málokdo jí vždy věnuje dostatek pozornosti. Lidé zde důvěřují tomu, že budou přesměrování přesně na tuto URL adresu z více důvodů: •

Mnoho uživatelů, kteří nevědí, jakým způsobem funguje HTML, a neznají atribut href tagu , ani netuší, že je možné, aby byli přesměrováni někam jinam.

•

Další uživatelé sice vědí, že zde existuje možnost, že je odkaz může přesměrovat jinam, nicméně v naprosté většině tomu tak není, takže automaticky předpokládají, že budou přesměrování na adresu, kterou vidí v textu – je to naprosto standardní a předpokládaná reakce prohlížeče.

37

Výše uvedené způsoby manipulace jsou do určité míry založeny na technických aspektech internetové komunikace a nedostatečných znalostech těchto prostředků.

3.4.3

Nedostatek pozornost

Nedostatek pozornosti je obvykle ten faktor, na který se sociotechnik soustředí. [31] Pomocí různých způsobů, manipulací, lží a vykonstruovaných situací se snaží vyhnout podezření a nasměrovat oběť tím správným směrem. Sociotechnik se snaží vytvořit zprávu, které oběť bude důvěřovat a bude s podvodníkem spolupracovat. Spolupráce může znamenat kliknutí na odkaz směřující na útočnou stránku, instalaci programu na svůj počítač, vyzrazení kýžené informace anebo něco úplně jiného, záleží jen na touze a schopnostech podvodníka. Pokud je oběť přesvědčena, že komunikuje s někým důvěryhodným, snadno přestává sledovat různé indikátory bezpečnosti a odhazuje svou podezřívavost.

38

4 Obrana před podvody Informační systémy se stále zdokonalují a jejich tvůrci se snaží zabezpečit všechny bezpečnostní mezery softwaru i hardwaru. I ten nejzabezpečenější informační systém na světě se ale nevyhne interakci s člověkem. Někdo musí systém vytvořit, někdo ho musí spravovat a běžně jej využívají i další uživatelé, pokud se podvodníkovi podaří obelstít někoho z nich, je i sebelepší zabezpečení zbytečné. Jak se bránit před podvody a útoky? Než abychom hledali jednu jasnou odpověď na tuto otázku, měli bychom se zamyslet nad tím, co to vlastně bezpečnost je. Nejlépe to ilustrují následující dva citáty: Nejlepší zabezpečení je vzdělání (překlad vlastní) – Mati Aharoni [17, str. 661] Bezpečnost není produkt; je to proces. (překlad vlastní) – Bruce Schneier [32] Obrana před útoky je nikdy nekončící procesem, protože i podvodníci nikdy nepřestanou zkoušet nové způsoby útoků na naše důvěrné informace a náš majetek. Zaručená obrana před útoky samozřejmě neexistuje, ale každý jednotlivec, zaměstnanec firmy nebo odpovědný manažer může podniknout kroky, kterými případnému podvodníkovi ztíží jeho práci a zároveň zvýší šance na odhalení pokusu o podvod.

4.1 Indicie podvodu Způsoby, které podvodníci rádi využívají, jsem již popsal. Nyní se zaměřím především na jevy, které by měli příjemce zprávy varovat, že možná není všechno úplně v pořádku a příjemce by si měl prověřit původ zprávy.

4.1.1

Pravopis

Nejpoužívanějším jazykem na internetu je angličtina, jak můžeme vidět na grafu. (Obrázek 5) Při phishingovém útoku se ale podvodník snaží obvykle oslovit co největší množství lidí. Existuje celá řada případů, kdy se útočník rozhodl svůj útočný email lokalizovat. Patrně pole koncovky emailové adresy (která může určovat stát, kde pravděpodobně žije adresát) určí jazyk, do kterého následně zprávu přeloží. V řadě případů podvodníci svoji zprávu překládají pomocí automatických překladačů a na výsledku je to znát.

39

Obrázek 5: Deset nejpoužívanějších jazyků na internetu – data z roku 2010 (v přepočtu na milión uživatelů – vyjádřeno v tisících) Policie Ve výše uvedeném příkladu (Obrázek 3) se podvodník snažil svou zprávu formulovat tak, aby vypadala, jako kdyby pocházela od policie, ovšem už v nadpise můžeme vidět, že něco není v pořádku: ČESKÉ REPUBLIK POLICE Po přečtení celého textu jasně uvidíme několik dalších podivných formulací, které se vymykají pravidlům českého jazyka. Vážně by Česká Policie obviňovala někoho takovou zprávou? Česká Spořitelna Další příklad phishingového emailu [33] ukazuje skutečně extrémně nepovedený strojový překlad. 40

Bohužel v tomto případě je překlad tak nekvalitní, že mám problémy pochopit, co chtěl odesílatel vlastně říci. Ještě absurdnější na tomto emailu je skutečnost, že jeho odesílatel zřejmě nevěděl, že čeština má jiné kódování než azbuka, takže se příjemci zprávy zobrazil následující text: Vzhledem k nмkolik selhalo pшihlбsit pokusy aby vy online vyъиtovat, tvoji Ceskб Sporitelna vyъиtovat vlastnosti mнt bэt zakбzanэ za od ten иas od tomu oznбmenн. Na dalљн vyъиtovat znalosti, aby restaurovat vбљ vyъиtovat vlastnosti i vytvбшet nмjakэ online platba, musнte kontakt nбs Text by měl pravděpodobně přesvědčit příjemce, že je něco v nepořádku s jeho platební kartou, což by měl řešit kliknutím na přiložený odkaz a přihlášením se do systému pojišťovny. Přiložený odkaz zdánlivě směřuje na internetovou stránku České Spořitelny. Alespoň na první pohled bylo vše v pořádku (stránka byla zkopírovaná) ale formulář pro sběr dat od klientů vypadal následovně (Obrázek 6).

Obrázek 6: Podivně přeložený podvodný formulář pro sběr dat. Pin k bankomatu je zde přeložen jako ATM Cvok.[33]

41

Jen těžko si umím představit, že by někdo skutečně uvěřil takto amatérskému pokusu o podvod, nicméně je zde zcela zřetelně vidět jedna z indicií, která by nás měla varovat. Příjemce zprávy, která něco požaduje nebo vybízí k nějaké akci, by měl zpozornět, pokud se ve zprávě objevují takové podivné formulace, pravopisné chyby a překlepy. Nemusí být zdaleka tak do očí bijící, ale i menší chyby v pravopisu a překlepy by nás měly varovat a raději postupovat opatrně. O to více to platí, pokud se takové chyby objeví ve zprávě, která zřejmě pochází od nějaké uznávané instituce (banka, policie, úřad).

4.1.2

Samozřejmé řešení

Dalším možným příznakem, který může znamenat, že se někdo snaží uživatele podvést, přímo souvisí s některými výše popsanými technikami podvodů. Podvodníci mají obvykle jediný cíl a snaží se svoji zprávu formulovat tak, aby vyvolala u příjemce kýženou reakci. Právě z tohoto důvodu u phishingových emailů nenajdeme adresu podpory nebo odkaz na nápovědu na oficiálních stránkách. Některé phishingové emaily možná vypadají jako oficiální komunikace nějaké firmy nebo instituce, ale často chybí jméno kontaktní osoby nebo odpovědného pracovníka. Pokud by podvodník jméno uvedl, mohl by si podezřívavý příjemce ověřit například na internetových stránkách firmy, jestli zde podepsaný skutečně pracuje a zaslat email s upřesňujícím dotazem přímo na jeho oficiální adresu. [33][34]

4.2 Důvěrné informace Pokud příjemce zprávy obdrží email s požadavkem na jakékoliv důvěrné údaje, měl by si dobře ověřit, kdo a za jakým účelem tyto údaje žádá. Příjemce musí v první řadě zvážit, jak důvěrné jsou požadované informace a jak velké riziko by mohly představovat v rukou podvodníka. Podle Kevina Mitnicka by firmy měly mít důsledně propracované bezpečnostní zásady pro nakládání s informacemi. Níže můžeme vidět rozhodovací postup, podle kterého by se měl každý zaměstnanec při žádosti o informaci řídit (Obrázek 7). Základním principem je právě rozlišení významu jednotlivých informací do kategorií od nejdůvěrnějších po nejméně důležité a úměrně k těmto kategoriím je přiřazena míra vyžadovaného ověření totožnosti žadatele a oprávněnosti jeho požadavku. 42

Je také kriticky důležité, aby byli s podobnými pravidly seznámeni všichni zaměstnanci a skutečně je brali na vědomí. V případě, že má firma propracovaný bezpečnostní systém, ale polovina zaměstnanců o něm prakticky neví, je výsledek stejný, jako kdyby žádný systém neexistoval.

Obrázek 7: Rozhodovací schéma pro zaměstnance pro vyhodnocení žádosti o informaci [20]

43

Obdobně by měl k žádostem o informace přistupovat i každý uživatel sám za sebe. Vždy by se před vyhověním požadavku měl zamyslet nad možnými důsledky. •

K čemu je možné použít požadovanou informaci?

•

Jak velké nebezpečí by taková informace znamenala ve špatných rukou?

•

Jaké následky může mít vyhovění požadavku?

V případě, že uživatel obdrží od někoho nového a neznámého žádost o důvěrnou informaci nebo podezřelý požadavek, měl by si určitě ověřit legitimitu takového požadavku.

4.3 Ověření Jak již bylo řečeno, internet nabízí poměrně dost možností, jak skrývat vlastní identitu. To samozřejmě představuje problém, pokud si běžný uživatel chce ověřit identitu odesílatele zprávy. Pro takové účely neexistuje nějaké jednoduché a univerzální řešení, uživatel musí vždy zvážit, jakými dostupnými prostředky by si mohl ověřit, jestli se ho někdo nesnaží podvést. Existuje nicméně několik možných doporučení, která mohou uživateli pomoci: Hromadně rozesílané phishingové emaily, které příjemce nabádají k návštěvě nějaké internetové stránky, jsou často rozesílány zcela automatizovaně a po tisících. Pokud uživatel neklikne na uvedený odkaz a namísto toho odpoví s doplňujícím dotazem, je pravděpodobné, že se odpovědi nedočká. Podvodníkovi se nevyplatí odpovídat na dotazy, namísto toho může rozeslat email na dalších sto adres a spoléhat se na to, že narazí na někoho důvěřivějšího. V případě, že se jedná o výzvu od nějaké renomované firmy, měla by taková zpráva obsahovat i kontaktní údaje na odpovědného zaměstnance nebo na zákaznickou podporu. V případě, že má uživatel podezření, že by se mohlo jednat o pokus o podvod, může si vše ověřit, když napíše přímo odpovědnému zaměstnanci, nebo si najde adresu přímo na oficiálních stránkách. V takových případech je vhodné přiložit i původní zprávu.

4.4 Digitální certifikát a šifrovaný přístup Webové stránky služeb, které pracují s kritickými informacemi (například formulář pro přihlášení do internetového bankovnictví, kde uživatel musí uvést své heslo) se typicky prokazují bezpečnostním certifikátem, který zajišťuje, že stránka, kterou uživatel vidí je 44

skutečně ta, která daný certifikát získala. Certifikáty vydává určitá důvěryhodná společnost – certifikační autorita. Pokud mají bezpečnostní certifikáty fungovat, je nutné, aby uživatelé věděli o jejich významu. Na následujícím obrázku můžeme vidět (Obrázek 8), jak si uživatel může ověřit, že stránka kterou vidí je skutečně autentická a nebyla pozměněna třetí osobou – útočníkem. Prohlížeč Mozilla Firefox upozorní uživatele na přítomnost certifikátu v řádku ještě před URL adresou. Pokud klikneme na nápis „Ceska sporitelna, a.s.(CZ)“ objeví se detailnější popis certifikátu i s autoritou, která ho vydala (VeriSign, Inc.). [35] Podobně si můžeme přítomnost certifikátu ověřit i v ostatních prohlížečích. Pokud se uživatel chystá prostřednictvím prohlížeče zadat své heslo, měl by se také přesvědčit, že jeho připojení je zašifrované a nikdo nepovolaný nemůže odesílané heslo přečíst. Pokud se skutečně jedná o šifrované připojení, uvidíme na začátku adresy https namísto http. Pokud se uživatel přihlašuje prostřednictvím šifrovaného připojení ke stránce ověřené certifikátem, můžeme jeho připojení považovat za bezpečné.

Obrázek 8: Certifikát zajišťující autentičnost webových stránek [35]

45

4.5 Technické způsoby obrany Ve světě internetu a informačních technologií se kromě podvodů můžeme setkat i s řadou dalších nástrah. Aby mohly informační technologie automaticky zpracovávat informace, bylo nutné vytvořit množství standardizovaných rozhraní, prostřednictvím kterých mohou vzájemně komunikovat jednotlivé složky softwaru, hardwaru a počítačů navzájem. Právě standardizované způsoby komunikace umožňují do určité míry automatizovat i pokusy o jejich narušení. Bezpečnostní díry umožňují počítačovým virům a hackerům do určité míry ovládat počítač uživatele anebo z něj získávat cenná data. Kromě ověření autenticity webových stránek a zajištění bezpečnosti při přenosu nesmí uživatel také zapomínat na zabezpečení vlastního koncového zařízení. Pokud je například jeho počítač napaden virem, který zaznamenává veškerou jeho aktivitu, je bezpečnostní certifikát i šifrovaný přístup zcela neúčinný – útočník získá informace ještě dříve, než je uživatel zašifruje a odešle. [23] K základnímu softwarovému vybavení tak dnes patří antivirový program a firewall2. Tyto programy chrání uživatele před počítačovými viry a pokusy hackerů o získání jejich dat. Někteří výrobci antivirových programů se snaží nabízet také ochranu, která by uživatele ubránila před phishingovými emaily a podvodnými internetovými stránkami. Poskytovatel takové ochrany obvykle podle vlastních metod vytváří rating pro jednotlivé internetové stránky a následně přímo v prohlížeči uživatelům zobrazuje statistickou důvěryhodnost internetových stránek. Pokud se pak uživatel pokusí navštívit stránku, která je vyhodnocena jako podvodná (například klikl na odkaz v phishingovém emailu), zobrazí se uživateli varování ještě dříve než samotná stránka.[36] Různé společnosti také nabízí emailové filtry pro automatické odstraňování spamu – nevyžádané pošty. Nastavení těchto filtrů probíhá analogicky k ratingu webových stránek. Společnost, která takový filtr poskytuje, analyzuje určité vzorové emailové schránky a zpětnou vazbu od dalších uživatelů (kteří označí nevyžádanou poštu). Následně definuje, jaké emaily se mají odfiltrovat. Takovým způsobem je také možné odstranit emaily, které ve svém textu mají odkazy na podvodné stránky.[37] Antivirové programy také mohou včas odhalit a zachytit nebezpečné emailové přílohy, které by mohly poškodit počítač a získat citlivé informace o uživateli.[36] 2

To platí zejména pro osobní počítače vybavené operačním systémem Microsoft Windows.

46

Pokud je ale podvodník odhodlán zaútočit na konkrétní osobu (spear phishing) anebo omezenou skupinu, pak nemusí fungovat ani výše uvedená obrana. Takový podvodný email se pravděpodobně nedostane do schránky poskytovatele ochrany, tudíž ani nebude včas analyzován a nemůže na něj upozornit ani emailový filtr. V takovém případě už záleží hlavně na pozornosti a obezřetnosti uživatele a schopnostech podvodníka vytvořit důvěryhodnou zprávu. Mohu tedy konstatovat, že technická protiopatření dokážou předejít určité části pokusů o podvod, rozhodně ale není možné spoléhat se pouze na tyto opatření. V okamžiku, kdy uživatel podlehne iluzi, že je zcela v bezpečí a nemůže se stát obětí útoku, může pak dobře připravenému podvodu snadno podlehnout.

4.6 Vlastní zájem o bezpečnost V otázce bezpečnosti považuji za velice důležitou také vlastní iniciativu uživatelů. Pokud někdo používá internet, mělo by být v jeho vlastním zájmu mít alespoň základní přehled o možných rizicích. Pokud má uživatel zájem o bezpečnost svých peněz, majetku a informací, pak si sám zjistí, s jakými druhy podvodů se může setkat, a pokud se ho skutečně někdo pokusí podvést, pak má velkou šanci, že takový pokus odhalí. Někdo může dojít k závěru, že internet představuje pouze samá rizika a hrozby. Podle mého názoru to ale není úplně na místě a podezřívavý a ostražitý by měl uživatel být až v okamžiku, kdy ho někdo neznámý žádá o informace anebo nějakou specifickou službu.

47

5 Návrh experimentu Pro ilustraci dopadů určitých neetických a nelegálních činností využívající technik sociálního inženýrství jsem navrhl následující experiment – nelegální operaci. Cílem operace by bylo získat co možná nejvíce osobních údajů některých studentů a vyučujících

na VŠE

a přístupové

údaje

k co

největšímu

počtu

osobních

účtů

od internetových služeb, které využívají. V první řadě ale budeme mířit na přístupové údaje do školního informačního systému ISIS. Tento cíl je už sám o sobě nelegální, nicméně získané údaje nabízí možnost jak je zneužít k mnoha dalším závažnějším trestným činům.

5.1 Příprava 5.1.1

Kontakty a správný kontext

V první řadě je nutné získat kontaktní údaje – emailové adresy – potenciálních obětí. Navíc by určitě bylo vhodné získat nějaký „přístupový bod“ – kontaktní údaje osoby, se kterou by oběť mohla běžně komunikovat a nevnímala by tuto osobu jako cizí, neznámou a do určité míry automaticky podezřelou. Vhodným zdrojem emailových adres se jeví školní informační systém ISIS, který dovoluje vyhledávat jména osob a jejich kontaktní údaje. Pro získání vhodného kontextu jsem zvolil následující postup: V ISISu je možné získat kontaktní údaje vyučujících. Pokud vyberu vyučující, kteří vedou nebo dříve vedli závěrečnou práci studentů, získám dvě emailové adresy lidí, kteří spolu v minulosti určitě komunikovali, a dokonce vím, že jejich komunikace se určitě týkala také jejich závěrečné práce. Nyní znám kontaktní údaje i ten správný kontext komunikace pro vytvoření důvěryhodného phishingového emailu.

5.1.2

Web

Dalším krokem je příprava způsobu, jakým oběť vyzradí své přístupové informace a přitom nepojme podezření. Je do určité míry pravděpodobné, že si oběť přečte phishingový email v internetovém 48

rozhraní ISISu – tudíž v okamžiku, kdy se již pomocí přihlašovacích údajů přihlásila a nějaké další přesměrování na stránky ISISu by mohlo snadno vzbudit podezření. Proto by bylo vhodné vyžádat si přihlášení někde, kde budou platit přihlašovací údaje do ISISu ale bude nutné se znovu přihlásit a přitom to nebude podezřelé. Vzhledem k tomu, že se jedná o lidi, kteří působí na VŠE, je pravděpodobné, že kromě www.isis.vse.cz znají důvěrně také další stránky spjaté s působením na VŠE. Jako nejvhodnější se jeví www.vseborec.cz – stránky, které slouží především studentům pro získávání informací a materiálů užitečných pro studium. Předpokládám, že část studentů nebo zaměstnanců používá stejné heslo do ISISu i na vseborce. Na nějakém zdarma dostupném webhostingu (například www.endora.cz) si vytvořím internetovou

aplikaci

s webovými

stránkami,

které

budou

vypadat

přesně

jako

www.vseborec.cz – zkopíruji originál. To podstatné bude, že na hlavní stránce bude přihlašovací formulář s výzvou, že pro vyplnění dotazníku (na který bude odkazovat phishingový email) je nutné se přihlásit. Pokud to někdo udělá, přihlašovací jméno i heslo se uloží do databáze nebo odešle do určené emailové schránky, aby bylo možné získat všechna zachycená hesla okamžitě a bez rizika, že stránka bude odhalena a zrušena dříve, než jako útočník získám všechna zachycená hesla. Po odeslání hesla se ukáže zpráva, že server je příliš zatížen a vyplňování dotazníků je pozastaveno, s omluvou odkážeme oběť, aby to zkusila později, a přesměrujeme ji na originální stránku www.vseborec.cz. Doménové jméno bude sice díky poskytovateli webhostingu odlišné od originálu, nicméně doména třetího řádu by stále mohla být dostatečně důvěryhodná nebo dostatečně nenápadná na to, aby si uživatelé této záměny nevšimli. Ve výsledku by adresa s podvodnou stránkou mohla vypadat například takto: www.vseborec.g6.cz/vyzkumy/dotaznik.php?id=15 Link v textu emailu by vypadal takto: www.vseborec.cz/vyzkumy/dotaznik.php?id=15 Obdobně může vypadat i adresa s dokumentem.

49

5.2 Oslovování Nyní už můžeme přistoupit k rozesílání emailů. Pomocí manipulace s hlavičkou emailů zaměníme adresu odesílatele, jak bude potřeba. Je možné například napsat PHP skript (například pomocí PHP funkce mail() anebo prostřednictvím lépe řešeného PHPmailer), který pak hromadě rozešle emaily skupinám, kde budou k adrese vedoucího práce přiřazeny adresy studentů. Odesílaný email může vypadat následovně: Odesílatel: [email protected] Příjemce: [email protected] Předmět: Dotazník – závěrečné práce Dobrý den, tímto se obracím na studenty, kteří u mě psali nebo píší bakalářskou nebo diplomovou práci, aby pomohli studentům v budoucnu vyplněním krátkého dotazníku. Nezáleží na tom, jestli jste svoji práci už obhájili, nebo ji právě píšete, dotazník má větve pro oba případy. Dotazník najdete na následujícím odkazu, předpokládám, že borec vám není cizí. www.vseborec.cz/dotazniky/34561 Za spolupráci děkuji.

Případně email adresovaný vyučujícímu, který v minulosti vedl závěrečnou práci studenta.

Odesílatel: [email protected] Příjemce: [email protected] Předmět: Zneužití jména? Dobrý den, považuji za vhodné, abych vás informoval, že někteří studenti na této škole pravděpodobně zneužívají vašeho jména pro svůj prospěch – posuďte sám, dokument v příloze je možné

50

běžně najít na stránkách vseborec: www.vseborec.cz/dokumenty/34561 Příloha: Parafráze-publikace-kterou-jste-napsal.doc Dokument v příloze obsahuje nějaký nedohledatelný text, soubor je navíc záměrně poškozený tak, aby nešel otevřít a dotyčný tedy nakonec otevřel přiložený odkaz. Po přihlášení se dotyčný dozví, že dokument na serveru už neexistuje. Odkaz se sice tváří jako odkaz na stránky www.vseborec.cz ale v atributu href je adresa na podvodnou stránku. Prohlížeč sice obvykle na stavové liště ukáže plné znění odkazu, když myší ukážu na objekt s odkazem, nicméně je pravděpodobné, že celá řada (troufl bych si tvrdit, že většina) uživatelů o tom buď neví, nebo této řádce nevěnují příliš mnoho pozornosti.

5.3 Důvěryhodnost Předpokládám, že základním kamenem budování důvěryhodnosti při takové komunikaci bude v první řadě fakt, že email vypadá, jako kdyby byl odeslán osobou, kterou potenciální oběť určitě zná a v minulosti s ní komunikovala. Zároveň předpokládám, že obě osoby si nejsou natolik blízké, aby se každý den potkávaly a mluvily spolu. Pokud by spolu běžně a často komunikovaly, pravděpodobně by to zvýšilo riziko odhalení podvodu. Druhým faktorem, který výrazně přispívá důvěryhodnosti, je znalost vztahu obou osob. Tato znalost mi dovoluje naformulovat phishingový email ve správném kontextu tak, aby nevzbuzoval podezření. Z vlastní zkušenosti vím, že podobné žádosti o vyplnění nějakého dotazníku se mi ve schránce čas od času objevují – obvykle ze strany studentů, kteří pracují na vlastní práci. Pokud uvedu žádost o vyplnění dotazníku do souvislosti se závěrečnou prací, kterou student psal, vytvářím tak nový kontext (předpokládám, že v souvislosti se závěrečnou prací se ještě podobná žádost o vyplnění dotazníku nerozesílá) který sám o sobě vysvětluje, proč se s ním ještě dotyčný nesetkal a zároveň zní dostatečně důvěryhodně, aby oběť nepojala podezření. Když navíc žádost doplním zvláštním detailem – tvrzením, že v dotazníku existují dvě větve, podle stádia práce – mohl bych ještě více zvýšit důvěryhodnost zprávy. Příjemce bude mít dojem, že jsem se tím skutečně pečlivě zabýval, a jsem tedy důvěryhodný. Vytvářím tak adekvátní záminku, proč by měla oběť spolupracovat a apeluji na její kolegialitu a tím se ji snažím vylákat ke spolupráci. 51

5.4 Sběr osobních informací Předpokládám, že výše uvedený postup bude pro část z oslovených dostatečně sugestivní, aby podvodné stránce prozradili své přihlašovací údaje. Pomocí přihlašovacích údajů je poté možné přihlásit se do informačního systému školy a zjistit celou řadu osobních údajů, jako je adresa, datum narození, rodné číslo, alternativní emailová adresa (pokud si na ni přeposílají školní email). Předpokládám, že část obětí také používá stejné heslo pro ISIS i některé další internetové služby – email, Facebook a další. Zjistit, jaké další služby oběť používá, by nemělo být složité, pokud pečlivě nemaže různé informační emaily, které řada internetových služeb pravidelně rozesílá. Mnoho služeb také umožňuje změnit „zapomenuté“ heslo prostřednictvím osobního emailu. Pokud útočník získá přístup do primární emailové schránky oběti a zároveň z ISISu zná její osobní údaje, je to obvykle dost osobních údajů na to, aby podnikl řadu dalších podvodů, záleží jen na fantazii.

5.5 Krytí Výše uvedený postup by v určitém okamžiku mohl zajímat polici, která by zahájila vyšetřování. To jistě není pro útočníka žádoucí, proto by rozhodně bylo vhodné skrýt svoji pravou IP adresu. Nejjednodušším řešením by mohlo být využití nějakého veřejného připojení k internetu. Můžeme se připojit přes wi-fi hotspot v kavárně, restauraci anebo v autě zaparkovat poblíž domu, kde provozují nezabezpečený wi-fi router. V takovém případě bych pro všechny případy ještě použil čistou instalaci nějaké linuxové distribuce a upravil mac adresu počítače, ze kterého se bude vše potřebné zařizovat. Další možností jsou různé, volně dostupné anonymizační prostředky například TOR.

52

5.6 Rizika Je samozřejmé, že výše popsaný pokus o získání osobních údajů má celou řadu slabin, díky kterým může selhat. Potenciální oběť •

může celkem snadno používat různá hesla do ISISu a na VSEBOREC a do dalších služeb – získané údaje budou bezcenné

•

si může všimnout upravené URL adresy

•

může s jistotou vědět, že podobné dotazníky nejsou součástí vseborce

Uvedená rizika určitě omezí množství získaných údajů, ale když útok probíhá prostřednictvím internetu, můžu snadno oslovit desítky a stovky lidí a doufat, že procento úspěšných útoků se bude pohybovat alespoň v řádu desítek procent.

5.7 Možné úpravy Pro účely bakalářské práce navrhuji použít výše uvedený postup s následujícími úpravami: •

přístupové údaje na podvodném webu by se neukládaly (mohly by se zaznamenávat pouze xname pro spočítání počtu unikátních uživatelů, kteří se o přihlášení pokusili)

•

po přihlášení na podvodné stránky se objeví dotazník s otázkami týkající se bezpečné komunikace na internetu

•

na závěr bude prozrazeno, že nejde o stránky VSEBOREC.CZ ale o phishingové stránky společně s popisem toho, jak byl podvod proveden a na co si dát pozor, aby se nic podobného v budoucnu neopakovalo.

5.8 Etický problém Bohužel i přes navržené úpravy by experiment při své realizaci překročil některé etické hranice. Vyžadoval by posílání podvržených emailů a vydávání se za někoho jiného. Pokus o vylákání přihlašovacího jména a hesla je také do značné míry kontroverzní, a i kdybych prohlásil, že tyto údaje nebyly nikdy nikam uloženy, lidé oslovení v rámci tohoto experimentu by se mohli cítit skutečně podvedeni.

53

Pokud bych z experimentu vyloučil tyto prvky, sice by pak nebyl eticky tak problematický, ale ztratil by svou autentičnost a nepřinesl by odpověď na otázku, jak může být taková podvodná zpráva důvěryhodná. Experiment zde tedy zůstává jen v podobě návrhu.

54

6 Závěr Po prostudování mnoha různých způsobů, jakými podvodníci útočí na své oběti, mohu jen konstatovat, že člověk nebude mít nikdy absolutní jistotu, že ho nikdo nikdy nepodvede. Tedy pokud vynecháme tak extrémní řešení, jako je například úplná izolace od všech lidí. Společně s rozvojem internetu se v posledních patnácti letech také značně zvýšila dostupnost a přístupnost informačních technologií široké veřejnosti. Je poměrně snadné využívat nabízené služby a komunikovat prostřednictvím internetu. Bezpečnostní zásady a některé technické znalosti už ale tak automatické nejsou a mnoho uživatelů na to může doplatit. Podle mého názoru je tato skutečnost do značné míry zapříčiněna právě velice rychlým rozšířením internetu. Rychlost, s jakou se internet stal součástí života většiny lidí a skutečně naplno nás přenesl do informační společnosti, byla příliš vysoká. Příliš vysoká na to, aby si uživatelé skutečně osvojili všechny bezpečnostní zásady. Je pro nás zcela přirozené, že než přejdeme ulici, rozhlédneme se, jestli nejede auto, při odchodu z domu za sebou zamkneme. To jsou pro nás zcela automatické bezpečnostní návyky, které jsme získali již v útlém věku. Příchod internetu a všech nových služeb, které ho využívají, byl ale tak rychlý, že mnoho uživatelů ještě nezná všechna možná rizika a nestihli si osvojit všechny potřebné bezpečnostní zásady. Uživatel při komunikaci musí mít vždy na paměti, že se ho skutečně někdo může pokusit podvést, a nepodceňovat takovou možnost. Zároveň musí znát alespoň základní zásady bezpečnosti internetové komunikace a musí se o ně zajímat. Podle mého názoru není zdaleka nutné propadat paranoii, lidé si pouze musí osvojit několik nových bezpečnostních zásad. V případě, že po nich někdo žádá sdělení důvěrných informací, anebo nějakou zvláštní službu, měli by si uvědomit, jaká rizika by to mohlo představovat, a případně vhodným způsobem ověřit identitu a záměry žadatele. Podvodníkům se jejich pokusy přestanou vyplácet až v okamžiku, kdy valná většina uživatelů skutečně bude znát hodnotu svých osobních a důvěrných informací. Takoví uživatelé se podle mého úsudku budou sami zajímat o bezpečnost a budou mít snahu informovat se o rizicích podvodů předem, a ne až v okamžiku, kdy skutečně sami o něco přijdou. Podle mého závěru tedy správný přístup k bezpečnosti nejlépe vystihuje citát Christophera Hadnagyho: Nejlepší zabezpečení je vzdělání. 55

Seznam použité literatury [1] Dictionary. com: Define internet. [online]. [cit. 2013-03-14]. Dostupné z: http://dictionary.reference.com/browse/Internet [2] Information society. In: Wikipedia [online]. [cit. 2013-05-03]. Dostupné z: http://en.wikipedia.org/wiki/Information_society [3] SAK, Petr. Člověk a vzdělání v informační společnosti. Vyd. 1. Praha: Portál, 2007, 290 s. ISBN 978-80-7367-230-0. [4] THOMPSON, Mel. Přehled etiky. Vyd. 1. Praha: Portál, 2004, 167 s. ISBN 80-717-8806-6. [5] SULER, John. The Online Disinhibition Effect. Cyberpsychology, behavior and social networking. New Rochelle, NY: Mary Ann Liebert, Inc, 2004, roč. 2004, č. 7, s. 7. [6] Netiketa. Wikipedie [online]. [cit. 2013-05-06]. Dostupné z: http://cs.wikipedia.org/wiki/Netiketa [7] Desatero přikázání počítačové etiky. Uživatelův průvodce po síti a netiketa [online]. Český překlad [cit. 2013-05-06]. Dostupné z: http://blog.maly.cz/netiketa.html#desatero Originál dostupný z: http://computerethicsinstitute.org/publications/tencommandments. html [8] Netiketa. HOAX [online]. Český překlad RFC1855 – Netiquette Guidelines [cit. 2013-05-06]. Dostupné z: http://www.hoax.cz/hoax/netiketa Originál dostupný z: http://tools.ietf.org/html/rfc1855 [9] DOSTÁL, Editor Jiří. INFOTECH 2007: moderní informační a komunikační technologie ve vzdělávání: sborník příspěvků. 1. vyd. Olomouc: Votobia, 2007. ISBN 978-807-2203-017. Dostupné z: http://nazornost-ucebni-pomucky.xf.cz/informacni_gramotnost.pdf [10]

ECDL [online]. [cit. 2013-04-14]. Dostupné z: http://www.ecdl.cz/ecdl.php

[11]

Počítačová gramotnost v Česku, aneb vítejte v Zimbabwe. CFOworld [online]. 56

[cit.

2013-04-14].

Dostupné

z:

http://cfoworld.cz/trendy/pocitacova%C2%AD

%E2%80%91gramotnost%C2%AD%E2%80%91v%C2%AD%E2%80%91cesku %C2%AD%E2%80%91aneb%C2%AD%E2%80%91vitejte%C2%AD%E2%80%91v %C2%AD%E2%80%91zimbabwe-892 [12]

ICCAN. Wikipedia [online]. [cit. 2013-03-14]. Dostupné z

http://en.wikipedia.org/wiki/Internet_Corporation_for_Assigned_Names_and_Number s [13]

IETF. Wikipedia [online]. [cit. 2013-03-14]. Dostupné z:

http://en.wikipedia.org/wiki/IETF [14]

W3C Mission. W3C [online]. [cit. 2013-03-14]. Dostupné z:

http://www.w3.org/Consortium/mission.html [15]

Vint Cerf. Wikipedia [online]. [cit. 2013-03-14]. Dostupné z:

http://en.wikipedia.org/wiki/Vint_Cerf [16]

COMMUNIQUÉ ON PRINCIPLES FOR INTERNET POLICY-MAKING

OECD HIGH LEVEL MEETING ON THE INTERNET ECONOMY, 28-29 JUNE 2011.

OECD

[online].

[cit.

2013-04-20].

Dostupné

z:

http://www.

oecd.

org/internet/innovation/48289796. pdf [17]

HADNAGY, Christopher. Social engineering: the art of human hacking.

Indianapolis, IN: Wiley, c2011, xix, 382 p. ISBN 978-111-8029-749. [18]

BULLER, David a Judee BURGOON. Interpersonal Deception Theory.

[online]. [cit. 2013-05-03]. Dostupné z: http://www.afirstlook.com/docs/interpersdecep.pdf [19]

CASPI, Avner a Paul GORSKY. Online Deception: Prevalence, Motivation,

and Emotion. In: Cyberpsychology, behavior and social networking. 2006. vyd. New Rochelle, NY: Mary Ann Liebert, Inc, 2006, s. 7. 9: 1. ISSN 2152-2715. [20]

MITNICK, Kevin. Umění klamu. Vyd. 1. Gliwice: Helion, 2003, 348 s. ISBN

83-736-1210-6. [21]

Sociální inženýrství. ABZ.cz: slovník cizích slov [online]. [cit. 2013-03-15]. 57

Dostupné z: http://slovnik-cizich-slov.abz.cz/web.php/slovo/socialni-inzenyrstvi [22]

PŘIBYL, Tomáš. Sociální inženýrství z pohledu útočníka. ICT SECURITY

[online]. [cit. 2013-05-01]. Dostupné z: http://www.ictsecurity.cz/odborne-clanky/socialni-inzenyrstvi-z-pohledu-utocnika.htm l [23]

JIROVSKÝ, Václav. Kybernetická kriminalita: nejen o hackingu, crackingu,

virech a trojských koních bez tajemství. 1. vyd. Praha: Grada, 2007, 284 s. ISBN 978-80-247-1561-2. [24]

What is spear phishing. Webopedia. com [online]. [cit. 2013-05-03]. Dostupné

z: http://www.webopedia.com/TERM/S/spear_phishing.html [25]

Phishing. Wikipedia [online]. [cit. 2013-05-03]. Dostupné z:

http://en.wikipedia.org/wiki/Phishing [26]

GREENBERG, Andy. Yes, People Actually Post Pictures Of Their Credit

Cards Online. This Twitter Account Was Created To Shame Them. Forbes [online]. [cit. 2013-05-02]. Dostupné z: http://www.forbes.com/sites/andygreenberg/2012/07/03/yes-people-actually-post-pict ures-of-their-credit-cards-online-this-twitter-account-was-created-to-shame-them/ [27]

KASÍK, Pavel. Češi Facebooku nebezpečně věří. Falešné krasavici naletělo 60

procent.

Technet.

cz

[online].

[cit.

2013-05-08].

Dostupné

z:

http://technet.idnes.cz/cesi-facebooku-nebezpecne-veri-falesne-krasavici-naletelo-60-p rocent-112-/sw_internet.aspx?c=A091117_171036_sw_internet_pka [28]

Policie ČR vás sleduje!. VIRY. CZ [online]. [cit. 2013-04-20]. Dostupné z:

http://www.viry.cz/policie-cr-vas-sleduje/ [29]

PayPal. In: VIRY. CZ: fórum [online]. [cit. 2013-05-01]. Dostupné z:

http://forum.viry.cz/viewtopic.php?f=6&t=129191 [30]

World Internet Users Statistics Usage and World Population Stats. Internet

World Stats [online]. [cit. 2013-04-05]. Dostupné z: http://www.internetworldstats.com/stats.htm

58

[31]

DHAMIJA, Rachna, J Doug TYGAR a Marti HEARST. Why phishing works.

In: Proceedings of the SIGCHI conference on Human Factors in computing systems. New York, NY: ACM, 2006. ISBN 1595933727. [32]

SCHNEIER, Bruce. Crypto-Gram Newsletter. Crypto- Gram [online]. [cit.

2013-05-02]. Dostupné z: http://www.schneier.com/crypto-gram-0005.html [33]

DOČEKAL, Daniel. Mimořádně vydařený phishing mířící stále na Českou

spořitelnu.

POOH.

CZ

[online].

[cit.

2013-05-03].

Dostupné

z:

http://www.pooh.cz/pooh/a.asp?a=2014601 [34]

Phishing Attack. Visa Security Sense [online]. [cit. 2013-05-05]. Dostupné z:

http://www.visasecuritysense.com/en_US/phishing-attack.jsp [35]

Servis 24 Internetbanking. ČESKÁ SPOŘITELNA, a.s. [online]. [cit.

2013-05-11]. Dostupné z: www.servis24.cz [36]

Avast! Pro Antivirus. Avast! Software, a.s. [online]. [cit. 2013-05-11].

Dostupné z: http://www.avast.com/cs-cz/pro-antivirus [37]

Email

filtering.

Wikipedia

[online].

[cit.

2013-05-11].

Dostupné

z:

http://en.wikipedia.org/wiki/Email_filtering

59