Mimoriadna nebezpečnosť phishingu spočíva v tom, že si v ňom hakeri – ktorých v najhoršom prípade považujeme za určitých „výtržníkov“ internetu – podajú ruku so skutočnými kriminálnikmi a zločineckými skupinami. Haker je expert na softvérové a komunikačné systémy a jeho doposiaľ najobvyklejšou činnosťou je, že prelamovaním ochrán skôr upozorňuje na ich slabé miesta, ale ďalej už neškodí, nezneužíva nájdené slabiny. Dokonca aj autori vírusov, ktorých už hakeri odmietajú medzi seba prijať, páchajú činnosť, ktorá je trestná predovšetkým tým, že ovplyvňuje milióny počítačov. Keby vírus „zlikvidoval“ jeden počítač, nik by sa nevzrušoval, zatiaľ čo i jediný prípad úspešného phishingu je trestným činom.

Čo je to phishing?

Pokiaľ hakeri a autori vírusov za svoju „prácu“ nezískavajú mzdu alebo inú odmenu, nie je situácia až taká kritická. Predpokladá sa, že raz sa budú musieť živiť statočnou prácou a hakovanie nechajú bokom. Akonáhle však začnú kriminálne gangy hakerov a autorov vírusov najímať a platiť, ide už do tuhého. Dodajme, že sú schopní zaplatiť im viac, ako im môže dať tá najbohatšia softvérová firma. Vyvinie sa dobre organizovaný a masívny „priemysel“, hakeri začnú pracovať v tímoch vybavených všetkou potrebnou technikou a podporou.

Phishing je krádež privátnej, cieľovej informácie patriacej jednotlivcovi.

Ide napríklad o kompletné údaje o platobnej karte (to je najčastejší prípad) alebo krádež prístupového mena a hesla, s pomocou ktorých možno na diaľku manipulovať s peniazmi. Hlavným problémom phishingu je, že proti nemu vlastne neexistuje dobre fungujúca ochrana, lebo sa realizuje pomocou e-mailov, ktoré vyzerajú celkom legitímne a v poriadku. Správna adresa odosielateľa (na prvý pohľad), všetky formálne náležitosti splnené a obsah, ktorý vôbec nie je podozrivý.

Najtypickejším súčasným phishingom (ktorý sa stále vyvíja, takže nikto nevie čo príde zajtra) je falošný e-mail, odosielaný akoby z vašej banky, kde máte uložené peniaze. V ňom vás banka zdvorilo žiada o overenie totožnosti. Zámienka je rôzna, v poslednom čase až perverzná, „pretože ste sa stali obeťou phishingu.“ Staré známe porekadlo hovorí, že zlodej sa najúčinnejšie chráni pred odhalením krikom „chyťte zlodeja!“ Toto je podvod na podobný spôsob. Po kliknutí na odkaz je užívateľ zavedený na falošnú stránku (ktorá je však na prvý pohľad absolútne v poriadku), kde poslušne kráča ako teliatko na porážku – odovzdá svoje údaje a jeho peniaze dostanú odrazu „nohy.“

Ako to funguje v praxi?

Zaujímavé je použitie techník pishmanov. Aby uspeli, musia odoslať obrovské množstvo falošných mailov (spamov), čo dnes už nie je vôbec ľahké, pretože veľké prijímacie (SMTP) servery už dokážu väčšinu masových mailov blokovať a „zabiť“ hneď v začiatku. Phisheri najskôr zavíria tisíce bežných počítačov pripojených k internetu. Môže byť medzi nimi aj ten váš. Vírus, ktorý dokáže rozosielať maily z daného zdroja zatiaľ spí a prebúdza sa v okamžiku, keď phishman zavelí k masovému mailingu a odošle svoju dávku e-mailov.

Týmto počítačom-prijímateľom sa hovorí „botnets“ a počítaču, ktorý ich navštevuje „zombie machine“. Náš neživý, nemŕtvy sa tak ako v správnom horore, prebudí v tú najnevhodnejšiu chvíľu a začne robiť paseku. Výhodné pre útočníka je, že botnet je v tom nevinne – aj keby ho agenti FBI vypátrali a vyslali zásahovú jednotku, nájdu úplne nevinného človeka, ktorý iba klikol na niečo, na čo ….. Pri zadávaní osobných údajov je pre hakerov najobtiažnejším problémom poradiť si s internetovou (webovou) adresou, pretože tú zatiaľ, na rozdiel od e-mailovej adresy, nemožno falšovať. Preto najčastejším postupom je, že sa falšovaná časť adresy x vyskytuje v ľavej časti URL, napr. www.citibank.com a za ňou je neprehľadný a dlhý rad znakov, pričom skutočná adresa (najčastejšie iba IP číslo) je až úplne vpravo, kam oko tak často nezablúdi. Toto je dnes už dosť naivný trik, na ktorý málokto skočí.

Najnovší vynález je však skutočne rafinovaný. Spočíva vo vytvorení malého javaskriptového okienka, ktoré na stránke nenápadne vyskočí, zakryje riadok s URL a nahradí ho falošným textom, ktorý už nemôže vzbudiť žiadne podozrenie, pretože ide o „správne napísanú“ adresu. Jedinou obranou užívateľa je jedine vypnúť JavaScript – ale to robí iba málo ľudí. Tiež je márna ochrana sledovať, či ide o zabezpečenú adresu (https://, ikona „zámku“ v pravom dolnom rohu prehliadačiek), pretože aj toto už dnes phisheri dokážu hravo napodobniť.

Ďalší osud vašich údajov v ich rukách

V okamžiku, keď gang získa vaše údaje, môže postupovať niekoľkými spôsobmi. Napríklad skúsi vytiahnuť vaše peniaze z vašej platobnej karty po troškách. Naúčtuje vám neexistujúce nákupy v internetových obchodných domoch a vaša banka môže povoliť transfer peňazí. Problémom ale je, že tu už zločinec musí vystúpiť z tmy na denné svetlo. Zatiaľ čo vlastný phishing (vyháčkovanie osobných údajov) sa dá vykonať odkiaľkoľvek vo svete, druhá časť operácie prebieha na jednom mieste. Phisher musí mať účet, na ktorý peniaze putujú, musí mať zmluvu so spoločnosťou vydávajúcou platobné karty ako predajca (merchant). To sa nedá vykonať v krajine, kde nefungujú zákony, lebo banky a spoločnosti vydávajúce platobné karty neprevedú peniaze na účty pri online nákupoch do týchto častí sveta. Zločinecký gang, ktorý má v ruke tisíce čísel platobných kariet, musí voliť rafinovanejšie postupy, ako tieto peniaze vytiahnuť, vyprať a odtransportovať.

FBI udáva, že väčšina gangov pochádza z východnej Európy a najmä z Ruska. Tie nastrčia svojich „bielych koňov“ do civilizovaných krajín, kde si otvoria riadne účty a internetové obchody, vyinkasujú peniaze, prevedú ich a zmiznú do podzemia. Tu už prichádzajú na rad razie a prepady, avšak ani bežiaci policajt nedokáže konkurovať rýchlosti online transferov peňazí.

Až neuveriteľne vysoké čísla účinnosti svedčia o tom, v akom masovom meradle sa phishmanom darí oklamať ľudí. Štúdia tvrdí, že na phishing sa „lapí“ každý dvadsiaty oslovený užívateľ, teda ide o päťpercentnú účinnosť. Autori výstižne poznamenávajú, že za takúto vysokú účinnosť by každý priamy marketér zahrdúsil vlastnú starú mater.

Ako sa brániť a najmä nenalietieť

Organizácie zaoberajúce sa phishingom uvádzajú, že každý deň sa rodí niekoľko desiatok nových variantov útoku – nových pascí, ktoré niekde šikovní psychológovia platení zločineckými gangami vymýšľajú. Najčastejšie ide zatiaľ o predstieranie identity najväčších amerických bánk (Citibank, Bank One, Fleet…), kartových spoločností (MasterCard, VISA, AmEx) alebo najväčších internetových obchodov a platobných služieb (Amazon, eBay, PayBal). Bokom nenechali ani Microsoft. Postupne zločinci mieria na menej známe obchody a služby, čo je nebezpečnejšie – pokiaľ sa užívateľ trochu zorientuje, budú mu e-maily od veľkých bánk a obchodov so žiadosťou o „overenie vašich osobných údajov“ veľmi skoro podozrivé, ale e-maily od špecializovaných služieb budú pôsobiť stále vierohodnejšie.

Jedinou obranou v súčasnosti sa ukazuje zavedenie systému, ktorý bude overovať pravosť zaslaného e-mailu. Experti sa zhodujú v tom, že zavedenie takéhoto systému by súčasný phishing prakticky zlikvidovalo. Je to ale náročné, vyžaduje si vytvorenie a schválenie štandardov a technickú realizáciu a následne potom ochotnú a dobrovoľnú spoluprácu miliónov užívateľov.

Slangový výraz

Slovo phishing vzniklo kombináciou z fishing (rybárčenie) a phreaking. A phreaking je relatívne nový slangový výraz, označujúci krádež telefónnej služby (napichovanie služby, hovor na účet niekoho iného alebo telekomunikačnej firmy). Phreaking sa praktizuje už štyridsať rokov a v súčasnosti, vďaka digitalizácii telefonických služieb, je na značnom ústupe – na rozdiel od phishingu.