Phishing nie jest atakiem przeciwko zabezpieczeniom technicznym, tylko przeciwko użytkownikowi systemu. Trzeba edukować tego użytkownika, tak, by nie podawał swoich danych gdzie popadnie. I banki to robią, tylko klienci nie dbają o swoje własne pieniądze...
Skuteczny antyphishing - tylko edukacja
Praktycznie każdy system bankowości elektronicznej zawiera pewnego rodzaju przewodnik, który informuje użytkownika, że:
- trzeba sprawdzić adres, w tym, czy jest to połączenie bezpieczne,
- sprawdzić certyfikat,
- nie należy podawać swoich danych w sposób nietypowy (to, co jest nietypowe, zależy od konkretnej implementacji systemu),
- bank nie kontaktuje się z klientem drogą mailową,
- jeśli coś budzi zaniepokojenie - należy skontaktować się z bankiem,
Czy tych wytycznych jest za dużo? Czy są one niezrozumiałe? Czy wymagają specjalistycznego wykształcenia do zastosowania w praktyce? Chyba nie...
Praktyka...A jak to wygląda w praktyce? Popatrzmy na phishing przeciwko klientom BZ WBK. Jak wyglądał adres strony:
- http://www.esesoata.gov.co/www.centrum24.pl/bzwbkonline/,
- http://adsl-065-082-241-199.sip.clt.bellsouth.net/index.html,
Adres tak nie specjalnie przypomina adres prawdziwy, czyli https://www.centrum24.pl/bzwbkonline/eSmart.html?typ=13&lang=pl. Połączenie było po prostu po http, nie po https, czyli w przeglądarce nie pojawiła się "kłódeczka", której obrazki do znudzenia spoglądają na użytkownika ze stron banków. Klient nie mógł zweryfikować certyfikatu, bo tego certyfikatu nawet nie było. Użytkownik postępujący zgodnie z instrukcją nie miał prawa nabrać się na ten phishing, było co najmniej trzy przesłanki sugerujące, że coś jest nie tak. A jednak ktoś się nabrał...
Tak swoją drogą zastanawiam się, czy poziom "przeciętnego użytkownika" aż tak bardzo się pogorszył, kiedyś atakujący starali się zrobić spoofing paska adresu w przeglądarce, podstawiali jakieś fałszywe certyfikaty, teraz często nawet tym nie zawracają sobie głowy. I tutaj napiszę coś, co może być kontrowersyjne. Banki nie powinny przejmować się użytkownikami, którzy dają nabierać się na phishing, jeśli właściwie poinformowały klientów, czego robić nie powinni. Każdy powinien mieć świadomość, że jest współodpowiedzialny za bezpieczeństwo swoich pieniędzy znajdujących się w banku. Ta współodpowiedzialność objawia się tym, że nie zostawia gdzie popadnie swojej karty kredytowej/bankomatowej z przyklejoną do niej karteczką z kodem PIN (bo jeśli tak się stanie i ktoś z niej skorzysta, to reklamacja nie zostanie uznana, tak często mówi regulamin). Tak samo powinno być w przypadku bankowości elektronicznej, jeśli użytkownik poda swoje dane, mimo, że ma wszelkie przesłanki, by tego nie robić, to jest sam sobie winien. Może w ten bolesny sposób nauczy się myśleć.
Druga sprawa - czy przypadkiem użytkownicy nie są bardziej narażeni na phishing, ponieważ wierzą w technologie "antyphishingowe" zawarte w przeglądarkach (Internet Explorer, Firefox, Opera)? Mają świadomość takiej poduszki bezpieczeństwa (bo sobie przeczytali materiały marketingowe) i wyłączają myślenie? Niestety, myślenie jest niezbędne. Kiedyś niemyślące jednostki wyeliminowałby dobór naturalny (na różne sposoby), teraz w wyniku naszej cywilizacji, mają się one całkiem dobrze. I zamiast ofiarą tygrysa, stają się ofiarą phisherów. Jakoś mi ich nie żal...
Ciekawe jak wyglądałoby to tworząc takiego maila phishingowego dla np. użytkowników Allegro - których mam nieco bardzie za wyedukowanych. Ile osób się na to złapie ?
Pomimo wysłania przez oszustów kilkudziesięciu tysięcy maili, dotychczas zaledwie 58 osób wpisało na fałszywych stronach dane swoich kart. W przypadku zaledwie 21 z nich oszustom udało się uzyskać dostęp do środków. Łączne straty nie przekraczają jednak 12 tysięcy złotych. W pozostały przypadkach karty zablokowano jeszcze przed próbą kradzieży. Wszyscy pokrzywdzeni mogą złożyć w tej sprawie reklamacje w BZWBK. Przy ich rozpatrywaniu bank weźmie pod uwagę szczególne okoliczności, w jakich doszło do przekazania danych. Właściciele zablokowanych kart otrzymają bezpłatnie nowe karty.
A teraz ja:
Z tego co wiem to nie przyznają się do większej porażki Poza tym ilość maili nie była zbyt wielka i nie objęła dużej ilości adresów e-mail - pewnie nie przeliczyli sobie ROI.
Piszą że maili było naście tysięcy - ciekawe skąd to wiedzą. No ale przyjmując ich fakt za pewnik podzieliłem 58 wpadek na 19000 (naście) - co dało mi 2 promile !!! dużo mniej niż 1%
Średnio przyjmując - z 1 wysłanego maila (nawet chybinego) "phishingowego" uzyskali 68 groszy. Więc idę dalej z dedukcją - ile kosztuje nas przygotowanie strony (nic bo robimy ją sami) i wykupienie np. 100 tys. maili (50$) - ile uzyskamy z tego - ok. 60 tys. PLN (przy 2 prom. skuteczności) !!!!
Od nas zależy tylko jak policzymy ROI i ile maili wykupimy - potem kasa robi się sama.
I to się nazywa wyedukowanie polskich internautów
Co do wyliczeń ROI to zwróć uwagę, że wysyłali maile na ślepo, dostała ich spora grupa ludzi, ale tylko podzbiór tych ludzi był klientem BZ WBK. Tutaj przypomina mi się kwestia phishingu na PKO BP, gdzie prawdopodobnie atak był lepiej przygotowany (targetowany). Mail dostali na przykład moi rodzice (klienci banku), którzy swojego adresu nie udostępniają nigdzie, a nie dostałem ja, choć mój adres jest powszechnie znany i inne phishingi i spamy otrzymuję.
Podobnież jakiś czas wcześniej był już atak na BZ WBK, przy czym język maila był podobny do cytowanego już przeze mnie potworka z tłumacza automatycznego, co też mogło podnieść poziom czujności i zmniejszyć skuteczność ataku. Poza tym sama treść maila była mało przekonująca, nie było "kija i marchewki", nie było żadnego "zachęcacza" do aktywowania tego konta...