Phishing a Pharming – krátke predstavenie 2.

Július Pastierik  /  14. 08. 2007, 00:00

V druhom dieli seriálu o Phishingu a Pharmingu si krátko predstavíme Pharming a ukážeme si, ako sa voči týmto spôsobom o podvod účinne brániť.

V prvom dieli sme si spomenuli, aké nebezpečenstvo predstavujú pokusy o „vybielenie“ vášho bankového konta a v stručnosti sme si naznačili problematiku Phishingu. Ďalší zo spôsobov, ako získať dôverné údaje sa označuje pojmom Pharming.

Tento je na rozdiel od Phishingu založený na podvodnej internetovej stránke, pričom sa využíva zmena DNS. Tieto stránky sú mnohokrát úplne na nerozoznanie od originálnych internetových stránok skutočnej banky a preto nemusíte na prvý pohľad rozoznať, že sa nenachádzate vo svojej banke. Pravdaže, po prihlásení sa stránka nebude chovať klasicky, ale podvodníci sa budú od vás snažiť získať všetky potrebné údaje pre následný pokus o vykradnutie vášho účtu.

Pharming 1

Ak napr. pri internet bankingu používa vaša banka pre elektronický podpis GRID kartu, budú chcieť získať niekoľko konkrétnych kódov, aby si tak zabezpečili väčšiu šancu na to, že náhodný generátor pozície určí práve takú pozíciu, ktorú ste im prezradili. Na tomto mieste si dovolím so súhlasom Slovenskej sporiteľne použiť obrázky, ktoré v tomto smere zobrazujú na svojich stránkach, kde táto banka informuje používateľov o problematike Phishingu a Pharmingu. Pomocou nich si môžete vytvoriť predstavu, ako takéto falošné stránky môžu vyzerať.

Pharming 2

Samozrejme, iná situácia vzniká vtedy, ak pre elektronický podpis používa vaša banka SMS notifikáciu. Vtedy musí prípadný útočník buďto zmeniť číslo mobilného telefónu, kam má byť zaslaná (ak sa to cez internet vôbec dá uskutočniť), alebo odpočúvať váš telefón, čo už nie je také jednoduché (ale nie nemožné) – najmä ak útočník nepochádza zo Slovenska. Na druhej strane, ak vám ukradnú mobilný telefón (čo sa stalo asi pred týždňom môjmu synovi v autobuse), situácia je úplne iná. A pokiaľ vám príde SMS notifikácia bez toho, že by ste práve pracovali s internet bankingom, je to jednoznačný pokyn pre okamžité telefonovanie do banky, či návštevu jej najbližšej pobočky.

Pozrime sa teda, ako sa pred Phishingom a Pharmingom účinne brániť. V prípade Phishingu je to pomerne jednoduché – banka od vás nikdy nebude údaje, ktoré sú v podvodnom e-maile napísané požadovať, pretože to jednoducho nepotrebuje. Okrem toho, ak by to aj náhodou chcela, nemôže sa to robiť takouto otvorenou formou, ale minimálne osobnou návštevou v pobočke. Nakoniec, nič vám nebráni zatelefonovať do ľubovoľnej pobočky banky a oznámiť im, že ste obdržali takýto e-mail a čo to má vlastne znamenať. Následné kroky cez políciu sú už hádam každému jasné.

V prípade Pharmingu si banka nikdy nepožaduje viac údajov z vašej GRID karty, ako je jeden a to aj iba v tom prípade, kde to požaduje vždy – t.j. vtedy, keď sa elektronicky podpisujete (prevodný príkaz, súhlas s inkasom, trvalý príkaz na úhradu a pod.). Prípadné nesprávne prihlásenie cez meno a heslo vám iba jednoducho oznámi a nepustí vás ďalej. Okrem toho je potrebné všímať si pri adrese stránky, či je použitý zabezpečený protokol https a nie obyčajný http. V tomto smere napr. internetový prehliadač Mozilla Firefox zobrazuje zabezpečené adresy na žltom pozadí a v pravom dolnom rohu je ikona zamknutého zámku. Pokiaľ na ňu prejdete, zobrazí sa vám, kto podpísal príslušný bezpečnostný certifikát.

Zobrazenie https a certifikátu vo Firefoxe

Okrem tohto všetkého je veľmi dôležité, aby ste sa do banky neprihlasovali na verejných miestach, ako sú internetové kaviarne a pod., resp. na počítačoch, kde má prístup viacero ľudí. Navyše, pokiaľ osobne pracujem s internet bankingom alebo prevádzam priamu platbu cez internet (napr. dobíjanie kreditu na mobilný telefón), nemám otvorené iné stránky, než ktoré nevyhnutne pre túto prácu potrebujem (čo je moje osobné odporučenie).

Pravdaže, toto všetko ukazuje na už notoricky známy záver – základný zdroj všetkých potrebných informácií pre útočníkov, ktorý používajú Phishing alebo Pharming sa nachádza medzi stoličkou a klávesnicou počítača a preto je nevyhnutné, aby sa tento zdroj (bez urážky) naučil používať obsah zariadenia, ktoré má uložené na krku.