Wędka na e-gotówkę

Polscy phisherzy mają zadanie znacznie utrudnione w stosunku do anglosaskich kolegów. Nie znaczy to jednak, że nie próbują, czego dowodzą ostatnie próby wyłudzeń od klientów mBanku i Inteligo.

Polscy phisherzy mają zadanie znacznie utrudnione w stosunku do anglosaskich kolegów. Nie znaczy to jednak, że nie próbują, czego dowodzą ostatnie próby wyłudzeń od klientów mBanku i Inteligo.

W połowie sierpnia br. niemal jednocześnie klienci mBanku i Inteligo otrzymali maila z informacją, że "ich konto bankowe będzie poddane nowej procedurze weryfikacji. W tym celu należy jak najszybciej zalogować się klikając w podany link. Aby nowe zabezpieczenia zaczęły funkcjonować, należy potwierdzić swoją tożsamość" - twierdzili autorzy listu. Phishing jest przestępstwem opierającym się - jak spam - na statystyce. Wysyłając 1 mln listów udających komunikację z mBanku lub Inteligo z prośbą o podanie haseł na przypadkowe adresy emailowe, przyjmijmy, że 10% odbiorców będzie ich klientami. Do potencjalnych ofiar trafia 100 tys. listów. Jeśli nawet zaledwie 1% z nich okaże się tak łatwowiernymi, aby podać dane, to i tak dostajemy dostęp do 1000 kont. Jeśli z konta każdej z nich uda nam się ukraść 1000 zł "zarabiamy" 1 mln zł.

Człowiek słabym ogniwem

Polscy phisherzy byli zawsze nieco upośledzeni w stosunku do anglosaskich kolegów po fachu. Znacznie więcej jest bowiem klientów banków angielskojęzycznych, szansa trafienia z mamiącym listem do potencjalnej ofiary jest więc wielokrotnie większa niż w przypadku polskojęzycznych klientów. Wysyłając spam po angielsku, trafiamy do potencjalnych ofiar z różnych krajów i różnych jurysdykcji.

W phishingu zawsze najsłabszym ogniwem jest człowiek. Im częściej będziemy mu powtarzać, że bank NIGDY nie żąda od niego podania danych do konta mailem, ani nie podaje w nim linków do konkretnych stron, tym bardziej starannie skonstruowany mail przekona pewien procent ludzi, że zaszła akurat sytuacja wyjątkowa, która tego wymaga.

Najbardziej zagrożone instytucje

Według statystyk firmy Marshal, najpopularniejsze wśród phisherów w sierpniu br. były ataki na klientów takich instytucji, jak:

  • Bank of Scotland
  • M&I Bank
  • PayPal

Chciałoby się otrzymać jakieś ostateczne rozwiązanie problemu phishingu, ale nie należy mieć złudzeń, że powstanie ono w najbliższych latach. Najwyższy poziom ochrony zapewniają techniki uwierzytelnienia, które w ogóle nie dają klientowi szansy na stanie się ofiarą. Takim rozwiązaniem może być uwierzytelnienie typu two-factor authentication - zalogowanie się do systemu wymaga, aby klient fizycznie miał w ręku token i nawet jeśli w najlepszej wierze poda złodziejowi hasło jednorazowe, to bez niego będzie ono bezużyteczne.

Niestety, klient to stworzenie kapryśne i pełne sprzeczności. Jeśli skutecznie zabezpieczymy go przed phishingiem, to będzie narzekał na małe literki wyświetlacza w tokenie lub denerwował się, gdy zgubi token i będzie musiał czekać przez tydzień na nowy. Ale jeśli zabierzemy token i zlikwidujemy jednorazowe hasła do potwierdzania przelewów, to urządzi awanturę, że bank nie uniemożliwił mu oddania statycznego hasła złodziejowi, który opróżni jego konto. Dlatego wciąż pozostaje nam liczyć na rozwiązania stanowiące kompromis między używalnością a bezpieczeństwem, takie jak uwierzytelnienie za pomocą haseł jednorazowych na kartkach lub kodów przysyłanych przez SMS. Kto ich nie używa, powinien się nimi zainteresować, jeśli jego bank takowe udostępnia.

Odsiewanie phisingu

Druga linia obrony to nasze środowisko pracy. Skuteczna ochrona przed spamem to połowa sukcesu, bo filtry antyspamowe częściowo usuwają także listy związane z phishingiem. Z własnego doświadczenia mogę polecić doskonały i darmowy filtr Spamato dostępny zarówno dla Outlooka, jak i Thunderbirda. Niezależnie od tego oba programy starają się we własnym zakresie wykrywać phishing jako taki i ostrzegać użytkownika przed listami zawierającymi zmanipulowane linki, prowadzące gdzie indziej niżby to wynikało z ich treści.

Bardzo skuteczne są również wbudowane w najnowsze wersje Firefoxa i Internet Explorera filtry antyphishingowe, które korzystają ze stale aktualizowanych światowych baz tego typu stron. Jedną z nich prowadzi Trend Micro, która - dzięki technologii Web Reputation określającej reputację witryn - wyłapała i zablokowała adres URL podany w mailu do klientów Inteligo. Trend Micro monitoruje ponad 300 mln domen. Istnieją również rozwiązania zewnętrzne, takie jak Finjan Secure Browsing czy Google Safe Browsing. To właśnie ten ostatni produkt został zintegrowany z przeglądarką Firefox 2. Tutaj trzeba jednak uczciwie ostrzec, że bazy te nie mają stuprocentowej skuteczności - zwykle strony złodziei trafiają tam z kilkugodzinnym ostrzeżeniem.

283 tys

zgłoszeń złodziejskich stron zarejestrowała w ciągu ostatnich miesięcy jedna z baz antyphisherskich - PhishTank. W każdym momencie jest jednak aktywne ponad 9400 stron

Przede wszystkim należy jednak myśleć i nie ulegać emocjom. Nawet najbardziej nachalny mail wzywający do natychmiastowego zalogowania się do banku powinien wzbudzić naszą podejrzliwość. Samo wejście na stronę phishera nie oznacza jeszcze kompromitacji konta - wyrok podpisujemy na siebie dopiero po podaniu danych osobowych i kliknięciu "Wyślij". Zanim pracowicie wprowadzimy nasze dane, warto się zastanowić, czy jesteśmy pewni, że nasz bank ostatnio zmieniał domenę na mbank.session-156593.mbank.com.tech.kg?

Telefon do banku powinien być w tym przypadku odruchem, zwłaszcza że zwykle nic nie kosztuje, a ryzykujemy w tym wypadku zawartość naszego konta. Warto o tym pamiętać, bo ani bank, ani policja nie pomogą komuś, kto sam oddaje klucze do mieszkania złodziejowi.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200