Phishing

Keďže v minulom článku o hashovaní sme si povedali, že hash sa nedá len tak ľahko rozlúštiť, internetoví zločinci, ktorí túžia po tvojich heslách, musia použiť iné spôsoby. Jedným z takýchto spôsobov je tzv. phishing.

Čo to je?

Phishing je spôsob, akým sa útočníci dostanú k tvojmu heslu tak, že im ho v podstate dobrovoľne prezradíš. Samozrejme, nie si hlupák, aby si to robil cielene. Oni ťa totiž oklamu. Možnosti, ako to urobiť, je mnoho. Od falošných stránok, po falošné e-maily a falošné SMS. Človek, ktorý je nepozorný ľahko zadá svoje heslo na stránku, kde ho odkáže z e-mailu, či SMSky. 

Útočník sa môže vydávať za inú osobu, či firmu (napr. za banku) a v mene banky falošne žiadať zadanie hesla na určitú stránku. Ak nedávaš pozor, proste tam heslo zadáš a je to. Útočník získal tvoje heslo do internetbankingu!

Hlavné znaky phisingu

Pozorný človek za 5 sekúnd rozozná phishing od reálnej správy. Je potrebné si všímať najmä:

Lámavá slovenčina: Útočníci často pochádzajú z cudzích krajín (napr. Rusko, Ukrajina, Čína) a správy od nich sú prekladané cez Google Translate. Lámavá slovenčina je jedným zo základných znakov phisingu. Pokiaľ nesedí slovosled, alebo vidíš očividné gramatické chyby (a nie jednu), môžeš si byť na 100% istý, že ti píše buď dement, alebo útočník. Vtedy pozor.

Pofiderné linky: Reálne inštitúcie v prípade potreby odkazujú vždy na svoje vlastné stránky. Aj keď nájdu sa výnimky ako napr. Lidl, ktorý rád odkazuje na bit.ly (skracovač URL adries). Vo väčšine prípadov keď niekde je link na bit.ly, treba zbystriť pozornosť. Nie je to totiž definitívny link, ale len presmerovací link. A kým ho nenavštíviš, nevieš, kde ťa presmeruje. Ostatné „harakiri“ linky prakticky ani netreba vôbec riešiť, je to proste nebezpečné. 

Skomoleniny adries: adresa, z ktorej je odoslaný e-mail, či na ktorú ťa presmeruje, je obsadená reálnou inštitúciou. Napr. taká moja banka má adresu www.slsp.sk. To znamená, že ktokoľvek ti pošle niečo z adresy hocico@slsp.sk je takmer určite reálna osoba z banky. Aj to sa však dá obísť. Fejkové e-maily však väčšina spamfiltrov zachytí.

Útočníci, prirodzene, nemôžu mať adresu na odosielanie e-mailov vo formáte nieco@slsp.sk pretože doménu blokuje banka. Aby sa čo najviac vyhli podozreniu, zaregistrujú si podobnú doménu, ale nikdy nie rovnakú. Čiže namiesto meno@slsp.sk ti príde e-mail z meno@slsp-sk.com alebo meno@slspsk.eu alebo proste z nejakej podobne fejkovej e-mailovej adresy. 

Imitácia reálnej služby: Webové stránky, na ktoré ťa presmeruje e-mail, zvyknú graficky imitovať reálnu existujúcu službu. Útočník od teba očakáva, že sa proste prihlásiš, ale namiesto toho, aby sa (ako to je pri reálnej službe) porovnával hash tvojho hesla s hashom uloženým v databáze, sa tvoje heslo, tak ako bolo zadané, pekne krásne uloží do databázy, ku ktorej má útočník prístup. A už ho má!

Pofiderné linky

Keď ukážeš myšou na odkaz, v ľavo dole sa zobrazí, kde daný odkaz smeruje. Vidíme tu nejakú hatlaninu, vieme, že neklikáme.

Učebnicová ukážka phishingu

E-mail prišiel z adresy support@bouaabidgmil.com – hatlanina. Gmail nás v červenom ozname dokonca sám upozorňuje na možné riziko (ale nerobia to všetci mail klienti). Namiesto reálneho e-mailu máme wildcard ##email##, čiže e-mail určite nepísal človek – bol generovaný strojovo. Gramatické chyby – chýba najmä „č“ a „ľ“. Zlý slovosled a preklad (nechali čakať na vašu platbu). 100% phishing

Imitácia reálnej služby

Všimneme si hore adresu. Ak je tam čokoľvek iné ako facebook.com, môžeme si byť istý, že je to phishingová stránka. Ak by sme sa tu prihlásili, nezobrazil by sa Facebook, ale poskytli by sme majiteľovi stránky heslo do reálneho Facebooku.

Phishingová SMS

Táto SMS prišla síce od odosielateľa „SLSP“, takže prakticky od tohto sa odpichnúť nemôžeme. Avšak vidíme na konci správy link, kde daný link smeruje. A určite to nie je SLSP, ale fejková stránka, ktorá sa snaží imitovať reálnu SLSP. Zadaním hesla má útočník prístup k tvojmu internet bankingu.

Výzva na nepravdepodobnú akciu

Phisingári môžu byť vybití a skúšať aj iné triky. Napríklad ti zavolajú a žiadajú od teba PIN na tvoju bankomatovú kartu, alebo heslo do internet bankingu. V článku o hash-i sme sa venovali tomu, ako sa bezpečne ukladajú tvoje prístupy do reálnej bankovej databázy. Takže naozaj nikto, okrem teba nevie tvoje heslo. Ak ti volá nejaký vraj „pracovník banky“ a pýta od teba heslo, vtedy pozor, je to 100% podvod. Heslo nedávaj. Nikdy a nikomu.

Reálny pracovník banky od teba nikdy heslo nijako pýtať nebude. Prečo? Lebo jednoducho v internet bankingu má ako užívateľ iné práva – môže akoby pracovať s tvojim internet bankingom. To sa stane, keď prídeš do banky, sadneš si oproti ujovi/tete, predložíš svoj občiansky preukaz a na základe neho si ťa on nájde v systémoch banky, vydá ti hotovosť, alebo vykoná nejakú akciu na tvojom bankovom účte. Veľmi dôležitá je autentifikácia, nemôže si bankový pracovník len tak narábať s tvojim účtom. Musíš to podpísať (elektronicky na tablete). V prípade telefonických operácií slúži ako autentifikátor tvoj hlas, toto však na Slovensku vie len veľmi málo bánk (napríklad Tatrabanka). Je to tzv. bio autentifikácia, proste ťa overia odtlačkom prsta, hlasom, alebo ksichtom 🙂

Stretol som sa s tým, že som sa potreboval prihlásiť do svojho internet bankingu priamo na pobočke. Už neviem prečo. V takom prípade v banke mali erárny tablet, kde som zadal svoje user ID a heslo. Zdôrazňujem, že som ho zadával ja sám, ja sám som sa prihlasoval. Nikdy by som heslo nenadiktoval zamestnancovi banky. V tom je rozdiel.

Čiže heslo od karty, alebo od internet bankingu nedávaj nikdy nikomu. Reálny pracovník banky ho nepotrebuje a podvodníkovi ho dať nechceš. Platí to samozrejme aj mimo bankového sektora. To si zapamätaj na veky vekov amen!

Podvody mimo IT sféry

Týkajú sa najmä dôchodcov, ale nielen ich. Podvodníci využívajú dôverčivosť a fyzickú slabosť starších ľudí. Dôchodcovia často majú dôvod veriť, že mladší im chcú pomôcť, lebo v ich mladosti bolo bežné, že človek pomohol staršiemu prejsť cez cestu, alebo odniesť z obchodu nákup. Bohužiaľ, tieto časy sú preč, a práve preto sú dôchodcovia najzraniteľnejší. Ak by aj nejaký dôchodca odhalil podvodníka, pravdepodobne už nemá toľko sily, ako by mal napr. 35 ročný chlapík a v prípade fyzického napadnutia sa dôchodca podvodníkovi proste neubráni. Ale o tom potom. Teraz poďme k samotným podvodom. 

Dobrý deň, ja som Jožko Mrkvička a poznám sa s vašim vnukom Jankom. Pred pol hodinou havaroval a spôsobil škodu v hodnote 12 000€. Prosím, dajte hneď 12 000€, aby z toho nemal problémy. 

Dôverčivý dôchodca ide do svojej tajnej ponožky, vytiahne stoeurovky a Jožkovi Mrkvičkovi ich v dobrej viere odovzdá v nádeji, že jeho vnuk Janko tak bude zahojený. Nesedí tu ale niekoľko vecí:

  • Ak vnuk Janko spôsobil nehodu a škodu v hodnote 12 000€, kto je Jožko Mrkvička a prečo by si práve jemu mal dať hotovosť na ruku?
  • Ak naozaj nastala nehoda, mala by o tom vedieť minimálne polícia. Povedz Jožkovi Mrkvičkovi nech počká, že zavoláš na políciu a spýtaš sa na podrobnosti, v tomto prípade Jožko Mrkvička berie nohy na plecia (a nečudo)
  • Ak by reálne vnuk Janko spôsobil škodu 12 000€, zo zákona je povinný mať uzatvorené povinné zmluvne poistenie, v prípade nehody takmer celú poškodenú čiastku platí poisťovňa. Vnuk Janko zaplatí maximálne nejakú spoluúčasť, napr. 100€. Ty nemáš čo komu dávať žiadne prachy. A už vôbec nie medzi dverami!
  • Ak je Jožko Mrkvička niekto, kto sa reálne pozná s tvojim vnukom, prečo si o ňom nikdy predtým nepočul? Síce vie, že tvoj vnuk sa volá Janko, ale to sa dnes dá zistiť za 10 sekúnd. 
  • Zákon hovorí, že akékoľvek hotovostné operácie sa môžu vykonávať do sumy 5000€. Akonáhle ide o vyššiu sumu, musí sa poukázať prevodom na účet, alebo iným bezhotovostným spôsobom. Ak by nebol Jožko Mrkvička podvodník, musel by o tejto veci vedieť, navyše by po prijatí peňazí mal vystaviť príjmový doklad. Lenže to sa nestane. Jožka Mrkvičku, a ani svojich 12 000€ už nikdy neuvidíš. Jožko Mrkvička si ale užije tvoje celoživotné úspory niekde v Karibiku. To je radosť, však?

 

Je veľmi zaujímavé, ako sa zločin v dnešnej spoločnosti rozmohol. Človek sa bojí o zaplatenie faktúr, či výplatu za svoju prácu a iní ľudia nemajú problém oberať poctivých ľudí o výživu rodiny, alebo o ich celoživotné úspory. Keby namiesto toho radšej každý podvodník budoval svoj poctivý biznis… zamyslime sa nad tým…

Pozrite aj

50 odtieňov odžubu

Dobre bráško. Už ma to nebaví. Aby si vedel, ako sa vyhnúť podvodom, musíš najprv vedieť, ako sa veci majú a ako fungujú. Potom nenaletíš…

E-mail v mobile

Ako tie mailové servery vlastne fungujú a ako dostať e-maily do telefónu?