Menu

Nejnovější triky internetových zlodějů

10.06.2010 07:46 | Redakce Chip
Nejnovější triky internetových zlodějů
Stačí chvilka nepozornosti, podcenění bezpečnosti – a roky spořené peníze mohou být během několika sekund pryč. Znáte všechny triky hackerů, pomocí kterých se pokouší útočit na vaši peněženku?

Uživatelé stále více investují do bezpečnostního softwaru, Windows 7 jsou mnohem bezpečnější než jejich pradědeček s označením XP, a přesto každý den dochází k odcizení až milionových částek. Jak je to možné?

Jako první důvod napadne většinu čtenářů závažné zanedbávání bezpečnosti. Dá se předpokládat, že čtenáři Chipu budou mít svá Windows zazáplatovaná, že budou mít nainstalován antivir, nebo dokonce bezpečnostní balík. Obrovské množství uživatelů však pracuje s pirátskými Windows bez záplat a především kliká na cokoliv. Tento typ uživatelů je nejen žhavým kandidátem na „sponzora internetové mafie“, ale také čekatelem v klubu „PC zombie bot“ (z těchto počítačů pak nám všem chodí tuny spamu).

To ale není jediné vysvětlení, protože oběťmi finančních podvodů se často stávají i zkušení uživatelé. Jak dokáží hackeři zaútočit na dobře zabezpečené počítače?

Nejbezpečnější přístup do banky
Dokonalý bezpečnostní systém pochopitelně neexistuje, metoda, kterou používá jeden z našich čtenářů, k němu má ale skutečně blízko. Pokud jde pracovat pomocí internetbankingu se svým účtem, nejprve nabootuje z DVD Linux a na web banky se připojí pomocí speciálně upraveného Firefoxu. Po ukončení práce počítač vypne a znovu nabootuje Windows. Pokud si odmyslíme potenciální riziko u providera, jde o jednoznačně nejbezpečnější metodu přístupu přes internet ke svému účtu.

Klíčem k odpovědi na tuto otázku je odhad amerického bezpečnostního specialisty, který již v roce 2005 odhadoval, že zisky z počítačového zločinu se blíží ziskům z pašování drog (viz www.crime-research.org). Částka se již tehdy pohybovala za hranicí 100 miliard dolarů. A zatímco v minulosti šlo spíše o malé skupinky hackerů, v současnosti odborníci odhadují, že se tato činnost stále více centralizuje. Dá se tedy očekávat, že při této úrovni zisků budou nemalé i investice do útočných nástrojů. Zatímco bezpečnostní firmy vytvářejí specializované detekční nástroje, hackeři stejně pilně pracují na novém malwaru a hledají mezery v programech. Jaké jsou tedy novinky v oblasti útoků na vaše peníze?

Konec emaily od vače banka …

Začínat se má optimisticky, a proto i my začneme dobrou zprávou. Phishingové bankovní e-maily jsou s největší pravděpodobností už minulostí. Vzpomínáte na legrační e-maily (drahoušek zákazník…), které vás lámanou češtinou žádaly o zadání přístupových údajů k vašemu účtu? 

TRIKY U BANKOMATŮ
O obsah svého účtu nemusíte přijít jen podceněním zabezpečení svého počítače, ale i při běžných denních činnostech – například při platbě kartou nebo při výběru z bankomatu. Znáte nejpoužívanější triky zlodějů?
Mezi nejstarší a nejoblíbenější patří tzv. libanonská smyčka. Při ní se do otvoru pro vložení karty v bankomatu umístí smyčka z magnetofonového pásku. Ta při vložení kartu zachytí a zabrání jejímu vyjmutí. Majitel karty je přesvědčen, že karta byla v bankomatu zadržena, a odchází přesvědčen o nutnosti návštěvy pobočky banky (o vyžádání vrácení karty).  Po jeho odchodu ale podvodníci kartu z bankomatu pomocí smyčky bez problémů vytáhnou a v nejkratším možném čase okopírují. Protože však ubývá karet pouze s klasickým magnetickým „proužkem“ a přibývá karet čipových, je nutné zjistit také pin. K tomuto účelu může sloužit miniaturní kamera, která nahraje vaše zadávání pinu na klávesnici bankomatu.
Na ústupu jsou speciální zařízení montovaná na bankomat či jiný platební terminál, která přímo kopírují vložené karty (tato technika se nazývá skimming). Na většině moderních bankomatů totiž už najdete speciální doplňky bránící instalaci podobných zařízení.

Hackeři už pravděpodobně přišli na to, že čeština je pro ně natolik komplikovaný jazyk, že bez zapojení českých subjektů jsou podobné phishingové „projekty“ jen pro smích. Dá se tedy očekávat, že se podobné útoky už opakovat nebudou. Za posledních několik měsíců bylo zaznamenáno pouze několik cizojazyčných e-mailů, snažících se přesvědčit klienta banky, že s jeho VISA kartou se děje něco nekalého (www.csas.cz/banka/content/inet/internet/cs/news_ie_856.xml).
Jak se bránit: I ten nejhloupější majitel účtu už dnes ví, že banka nic e-mailem (zdarma!) neposílá (pravděpodobně i proto, že se na tom nedá vydělat). Pokud tedy podobný e-mail dostanete, zasmějte se a smažte ho. Máte-li přesto nutkavou potřebu si cokoliv ověřit, surfujte na prověřených stránkách banky (viz symbol zámku v liště prohlížeče) nebo použijte telefon a do banky zavolejte.

Bezpečně: Správný web banky poznáte podle prověřeného certifikátu a dalších bezpečnostních detailů.
Bezpečně: Správný web banky poznáte podle prověřeného certifikátu a dalších bezpečnostních detailů.

Na zlodějské weby – jedině s přáteli

Vyluxovat cizí konto není zrovna jednoduchou záležitostí. Klíčem jsou přístupové údaje k účtu a pak jen trocha štěstí. To je základní předpoklad, který zůstává už několik let beze změn. Co se ale mění rapidně, to je způsob, jak se hackeři k údajům dostávají. Dříve byl nejlepším způsobem buď přímý útok (zneužití chyby ve Windows), nebo instalace trojského koně do softwaru získaného na warez fóru. Pomocí jedné z metod se do počítače dostal keylogger, jeho záznamy se po určité době vyfiltrovaly a přístupové údaje k účtu se odeslaly hackerovi. Tato technika by ale u moderních Windows a kvalitních antivirových produktů příliš šancí na úspěch neměla. Jak tedy vyzrát na uživatele?

I v oblasti bezpečnosti je znát, že hackeři drží krok s dobou – nikdo totiž nechce být sám. Dnes už každé malé dítě ví, že jedině s tím správným pivem (krémem, sušenkou…) získáš skvělé kamarády a rozhodně nebudeš OUT. A na internetu platí toto pravidlo dvojnásob: správný život začínáš žít teprve tehdy, když jsi na své sociální síti členem 79 klubů a máš minimálně trojciferný počet přátel. Díky tomu přesně víš, kdy si jde Tonda vařit vodu na kafe nebo který web je dobrý pro Jirku. A byla by chyba se tam nepodívat, protože co je dobré pro Jirku, to bude dobré i pro tebe…
A právě v této fázi do procesu vstupuje hacker – zatímco v e-mailu už většina uživatelů nekliká jak smyslů zbavená, v sociálních sítích se tento instinkt ještě nerozvinul. Na odkaz od „přítele“ tak naprostá většina uživatelů klikne bez zábran. Pokud tedy hacker vytvoří „vhodný“ účet (a vy si ho přidáte do přátel) nebo „hackne“ účet někoho z vašich přátel, má cestu k vašemu počítači vydlážděnou. Po kliknutí na odkaz se totiž dostanete na infikovaný web, který „prověří“ váš počítač a na základě zjištěných slabin aktivuje příslušný exploit – například zneužívající mezeru v „pdf plug-inu“ v prohlížeči. Takto se na váš počítač dostane tzv. downloader – na první pohled neškodný software, který může antivir přehlédnout. Ten totiž nevyvíjí žádnou aktivitu – pouze čeká a ve vhodné chvíli začne stahovat jednotlivé komponenty malwaru. Ty poté vypnou antivir a začnou monitorovat váš systém – včetně stisknutých kláves. Tyto údaje pak posílají hackerovi.

Na základě těchto údajů poté dojde k převodu vašich peněz na účet některé „internetové finanční služby“ (například Western Union), odkud zmizí při anonymním výběru šeku kdesi v zahraničí.

Metody přihlášení k internet bankingu
K účtu v bance se lze přihlásit pomocí celé řady metod. Mezi nejpoužívanější patří například tyto:
  • přihlašovací jméno a heslo – základní a nejjednodušší  způsob, bohužel také nejméně bezpečný; doporučujeme používat jen v krajním případě;
  • certifikát na čipové kartě – metoda, při které software automaticky „podepisuje“ transakce prováděné přes internet nankiny; bezpečná a rychlá metoda;
  • kalkulátor  – speciální hardware, který vytváří časově omezené kódy, které slouží pro autentifikaci operací pro internet nankiny; bezpečná, ale poněkud nepohodlná metoda;
  • SMS – pro autorizaci jedné či více transakcí generuje banka číselný kód, který zasílá pomocí SMS; bezpečná a elegantní metoda, vázaná na mobilní telefon.

Jak se bránit: Klíčové prvky ochrany jsou zde dva. Prvním je důkladné prověření odkazu (poslaného „přítelem“), na který se chystáte kliknout. Bohužel už dávno neplatí, že nebezpečné mohou být pouze weby s warez obsahem a erotikou. Infikován může být váš oblíbený zahrádkářský server nebo web amatérského bezpečnostního softwaru. V roce 2009 se infekce objevila například i na webu New York Times! Tyto weby také častokrát bývají infikované jen velmi krátkou dobu – typicky jeden až dva dny, větší dokonce jen v řádech hodin. Kvůli tomu vás před nimi častokrát nestačí varovat ani nástroje typu „link skener“, přesto lze doporučit alespoň základní on-line kontrolu odkazu (http://onlinelinkscan.com/). Pokud se poté rozhodnete web navštívit, měli byste použít bezpečný prohlížeč (Firefox nebo Operu) s vypnutým JavaScriptem a dalšími potenciálně rizikovými prvky (např. Javou).

Druhým klíčovým prvkem ochrany je zabezpečení vašeho bankovního účtu. Samotná ochrana heslem už rozhodně nestačí – optimálním řešením je tzv. mTAN, kdy každou operaci autorizujete pomocí kódu získaného z banky přes SMS.

Úniky u zdroje

Smutné ale je, že i když si svůj počítač zabezpečíte jako trezor národní banky a veškeré operace s účtem budete provádět z čerstvě  nabootovaného Linuxu, existuje pro vaše peníze stále nebezpečí. Při svých platbách na internetu sdělujete údaje celé řadě (důvěryhodných) firem, které se ale mohou stát obětí krádeže. Na konci loňského roku řešili v USA případ, kdy skupina hackerů odcizila údaje o 130 milionech kreditních karet, které se chystala prodat. Šlo o profesionální útok na tři největší společnosti zabývající se zpracováním plateb pomocí kreditních karet. U nás se podobný případ také objevil  (byť v menším měřítku) a zdrojem údajů o kartách byl v tomto případě „falešný“ internetový obchod.

Jak se bránit: Nenechte se zlákat „fantasticky“ výhodnými cenami a nakupujte pouze v prověřených obchodech. Rozhodně si také ověřte podmínky pojištění své platební karty. Podle nového zákona (od loňského listopadu) by měla banka za zneužití karty ručit a maximální spoluúčast je stanovena na čtyři tisíce korun. Některé banky si ale tento zákon vysvětlily po svém a určily tuto spoluúčast na každou transakci. Posledním doporučením je pravidelná kontrola pohybů na účtu, případně alespoň papírových výpisů…

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda Praha, spol. s.r.o.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání