Trendy kybernetické kriminality

Kybernetický zločin je stále častěji dílem profesionálů, jejichž cílem není bezhlavé ničení ani dokazování si vlastních schopností a mediální publicita, ale finanční zisk. Atraktivitu tohoto druhu „podnikání“ zvyšuje i fakt, že jen relativně malé množství podvodníků je odhaleno a odsouzeno.

Značná část internetové kriminality je páchána s pomocí infikovaných počítačů nic netušících uživatelů (tzv. zombie) nebo ze zemí s obtížnou vymahatelností práva. Proto ani odhalení, kam mířily finanční toky od poškozených uživatelů, nemusí automaticky znamenat potrestání viníků.

NOVÉ TRENDY
V minulosti dominující formy kybernetické kriminality – viry, trojské koně, využívání zranitelnosti často používaných operačních systémů či aplikací (webový prohlížeč, e-mailový klient…) – sice přetrvávají i nadále, těžiště hrozeb se však přesunulo do jiných oblastí.

K novým trendům patří především:

Phishing – zatímco obyčejný spam příjemce pouze obtěžuje, phishing kromě toho představuje přímé nebezpečí, protože uživatele láká k vyzrazení citlivých informací, osobních údajů, informací o heslech, bankovních účtech či platebních kartách. Sofistikovanost těchto podvodů neustále roste, zločinci dokáží obratně manipulovat s lidskou psychikou a jejich aktivita představuje nebezpečí i pro zkušené uživatele internetu.

Sociální hacking – proslulost „sociálního hackera“ Kevina Mitnicka je už staršího data, nyní ovšem sociální hacking není odkázán na podvodné telefonáty nebo hledání důvěrných dokumentů v popelnicích. Aplikace označované jako Web 2.0, které jsou vytvářené především samotnými uživateli, vedou k tomu, že uživatelé potenciálně důvěrné informace o sobě zveřejňují sami a dobrovolně. Výsledkem může být typ zločinu označovaný jako krádež identity.

Útoky proti mobilním telefonům – s tím, jak se zvyšuje funkčnost mobilních telefonů a množství aplikací, které se na ně přesouvá (podnikové aplikace, bankovnictví…), roste i přitažlivost této platformy pro narušitele. Varovným trendem je především phishing využívající služeb SMS a MMS. Podvodníkům hraje do karet, že na rozdíl od klasického e-mailu nejsou uživatelé na tento druh ohrožení zatím příliš zvyklí.

Útoky využívající odkazů z vyhledávačů, které směřují na rizikové servery. Nebezpečné odkazy se mohou skrývat jak v části placených odkazů, tak i mezi výsledky „regulérního“ vyhledávání.

Kombinované útoky, útoky proti aplikacím instant messaging apod.

PHISHING POD LUPOU

Pojďme se nyní věnovat právě phishingu. Phishing je označení pro nevyžádaný e-mail, který příjemce vyzývá k poskytnutí důvěrných osobních informací nebo přímo údajů, které podvodníkovi mohou přinést okamžitý finanční prospěch. Odesilatel phishingu zpravidla předstírá falešnou identitu a maskuje se za důvěryhodnou instituci. E-mailová adresa odesilatele může být dokonce totožná s adresou příslušné instituce, protože tento údaj lze v e-mailu snadno zfalšovat. (V takovém případě podvodník nepožaduje na e-mail odpovědět, ale klepnout na odkaz vedoucí na podvodné stránky shromažďující kompromitující informace.) Útoky tohoto typu byly zaznamenány už i v ČR.

Existuje několik indicií, které umožňují phishing rozpoznat. Banky, karetní společnosti ani provozovatelé často používaných internetových služeb (eBay, PayPal…) zásadně nevyžadují zasílání citlivých informací, jako jsou hesla, PINy nebo čísla platebních karet, e-mailem. Phishingové e-maily často obsahují pravopisné chyby či nápadně působí samotný styl komunikace (oslovení apod.), nemusí tomu však být vždycky.

Hlavním rozpoznávacím znakem phishingu je však hypertextový odkaz. Protože podvodník nemá kontrolu nad webovou aplikací instituce, za kterou se vydává (to by byla pro uživatele skutečná pohroma, ale narušitel by pak měl k citlivým informacím přímý přístup a nepotřeboval by je získávat od uživatele), vede tento odkaz na jinou doménu. Podle míry sofistikovanosti podvodu může ovšem tato doména být podobná doméně skutečné, může v ní být obsažen název firmy, graficky jsou tyto stránky od originálních často k nerozeznání atd. Stále zde ale zůstává nepravá adresa v adresním řádku webového prohlížeče.

Odkazy na podvodných stránkách bývají buď nefunkční, nebo směřují na adresu skutečné firmy. Cílem těchto stránek je shromažďovat citlivé informace, zločinci nemají k dispozici skutečné údaje. Po zadání neplatných údajů není proto oznámena chyba (i když zde může existovat jednoduchá kontrola například na to, zda zadávaný řetězec má mít povahu písmen nebo číslic). Podvodná stránka se zpravidla snaží za sebou zamést stopy, a po zadání kompromitujících údajů proto uživatele často přesměruje na stránku skutečné firmy. Při druhém pokusu navštívit stránku ze stejného počítače může z téhož důvodu dojít k automatickému přesměrování rovnou.

Autoři phishingových e-mailů mnohdy pracují s uživatelovým strachem. E-mail se ironicky může vydávat za zprávu od oddělení banky, které má na starosti zabezpečení, a upozorňovat na riziko podvodů. V jiných případech se podvodník v příjemci snaží vzbudit obavu: text e-mailu tvrdí, že citlivé údaje je třeba aktualizovat a bez jejich opakovaného zadání může být určitý uživatelský účet zrušen. Phishing se rovněž může snažit nalákat uživatele na finanční prospěch, nabízí například odměnu za vyplnění formuláře v rámci určité soutěže či akce. Phishingové útoky mohou být i různě kombinované – byl zaznamenán případ podvodu, kdy odkaz z e-mailu vedl na podvodníkem vytvořenou stránku na encyklopedii Wikipedia. Teprve z této „důvěryhodné“ adresy pak směřoval odkaz na vlastní podvodný server shromažďující citlivé údaje.

PSYCHOLOGICKÁ VÁLKA

Podvodný e-mail dnes využívá našich nejhlubších psychických zranitelností spíše než nezkušenosti v ovládání počítače a práce s internetem, jeho oběťmi se proto stávají i zkušení uživatelé. Autoři phishingu předstírají přátelské žertování a promyšleně pracují s lidskými emocemi, jako je strach, pocit nebezpečí a hrabivost (tomu pak často odpovídají i názvy odkazů, na něž má uživatel klepnout). Podvodníci se snaží za každou cenu vzbudit pocit, že se jedná o legitimní e-mail. Znepokojivé je, že phishing začíná být také personalizovaný, přičemž podvodníci využívají například textu vztahujícího se k předem zjištěným osobním zájmům příjemce a své oběti si vybírají i podle jejich finanční situace.