Jako phishing nebo též rhybaření[1][2][3] se označuje typ internetového podvodu, používaný k získávání citlivých údajů (hesla, čísla kreditních karet apod.) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů, úřadů státní správy nebo od IT administrátorů.
Principem phishingu je typicky rozesílání e-mailových zpráv nebo instant messaging, které často vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je takřka identická s tou oficiální. Stránka může například napodobovat přihlašovací okno internetového bankovnictví nebo e-mailové schránky. Uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří je mohou zneužít (např. mu z účtu vykrást peníze nebo z jeho e-mailu rozesílat další podvodné e-maily). Obdobně může prozradit jiné citlivé (osobní) údaje, které pak útočníci mohou zneužít (např. vzít si půjčku na jméno oběti).
Phishing je příkladem techniky sociálního inženýrství používané k oklamání uživatelů za využití slabých míst současných bezpečnostních technologií (jejich implementací). Ochrana proti rostoucímu množství nahlášených případů phishingu zahrnuje legislativu, trénování uživatelů, veřejnou osvětu a technická opatření.
Anglické slovo fishing znamená rybaření, rybolov, což v tomto kontextu označuje rozesílání „návnady“ (e-mailových zpráv) v naději, že „se chytí“ některé oběti. Náhrada prvního f za homofonní ph má několik vysvětlení; nejpravděpodobnější je přirovnání k tzv. phreakingu, resp. obecně je záměna f za ph běžná v tzv. leetspeaku, slangu používaném v jisté internetové subkultuře.[4] Objevuje se i teorie[5] s významem zkratky password harvesting fishing, tzn. zhruba „rybolov sklízením hesel“, ta je však chybná.
V češtině se slovo používá velmi často neupravené, případně se používá „počeštěná“ varianta rhybaření, případně rhybhaření, rhybolov, rhybholov. Inspirací pro českou variantu se stal Kantůrkův překlad jazyka zeměplošských Igorů, který češtinu komolí podobným způsobem jako originál angličtinu.
Technika phishingu byla detailně popsána v roce 1987 v práci a prezentaci předané International HP Users Group, Interex.[6] Poprvé byl termín phishing použit v usenetové skupině alt.online-service.america-online dne 2. ledna 1996,[7] ačkoli se označení mohlo objevit již dříve v tištěném magazínu 2600: The Hacker Quarterly.[8]
Phishing na AOL byl úzce spjat s warez komunitou, jež si vyměňovala pirátský software, a scénou crackerů, která padělala kreditní karty a páchala jiné internetové zločiny.
Phisher (původce phishingu) se mohl vydávat za pracovníka AOL a odeslat zprávu potenciální oběti, ve které žádal odhalení jejího tajného hesla. Ve zprávě byly většinou žádosti jako „ověřit účet“, nebo „potvrdit informace“, což by vedlo samozřejmě k prozrazení choulostivých informací oběti. Jestliže se útočník dozvěděl heslo, mohl disponovat účtem oběti, nebo rozesílat nevyžádanou poštu (spam). Oboje, jak phishing, tak warez na AOL, obecně vyžadovaly programy napsané uživateli, jako například AOHell. Phishing začal být tak častý, že byl do všech zpráv přidán řádek: „Žádný pracovník AOL se vás nemůže nikdy ptát na heslo, ani údaje ohledně vašeho účtu.“
Po roce 1997 AOL zpřísnila svůj pohled na phishing a warez, tudíž všechen pirátský software odstranila ze svých serverů. Současně vyvinula AOL systém pro okamžitou deaktivaci účtů spojených s phishingem, aniž by oběti mohly nějakým způsobem odpovědět. Zakázaní warez scény vedlo k tomu, že většina phisherů opustila služby AOL.
Zmocnění se informací z AOL účtu mohlo vést útočníky ke zneužití informací z kreditních karet. Tím si útočníci uvědomili, že jsou proveditelné i útoky na platební systémy.
První známka o přímém pokusu napadnout platební systém je z června 2001, kdy se cílem stal e-gold. Tento pokus byl následován „post-9/11 ID kontrolou“ krátce po útocích 11. září 2001 na Světové obchodní centrum.[9] Oba pokusy prakticky ztroskotaly, ale lze na ně pohlížet jako na prvotní pokusy vůči následným plodnějším útokům na přední banky.
K roku 2004 byl již phishing považován za plně rozvinutou ekonomiku zločinu, která poskytovala za hotovost součásti, které byly shromažďovány na konečný útok. Odhaduje se, že mezi květnem 2004 a květnem 2005 se vinou phishingu ztratilo 929 milionů USD. Z té doby je známá spousta různých technik.[10][11][12]
Útočníci se převážně zaměřují na zákazníky bank a on-line platebních služeb. E-maily zdánlivě od IRS (finanční úřad USA) sbíraly citlivá data amerických daňových poplatníků.[13] Zatímco první takové pokusy byly rozesílány náhodně s očekáváním, že některé přijdou zákazníkům dané banky nebo služby, novodobý výzkum ukazuje, že útočníci v principu dokáží rozpoznat, jaké banky potenciální oběti používají a příslušně falešné e-maily přizpůsobují.[14] Takto cílenému phishingu se říká spear phishing (podle spear fishing, tedy rybaření harpunou).[15] Jsou známé případy útoků směřovaných specificky na nejvyšší management a jiné vysoké cíle z hlediska byznysu. Pro takový druh útoků se ustálil pojem whaling (tedy lov velryb).[16]
Jedním z hlavních cílů současného phishingu jsou služby sociálních sítí, neboť osobní detaily z těchto sítí mohou být použity k odcizení identity;[17] koncem roku 2006 počítačový červ převzal kontrolu nad službou MySpace a pozměnil odkazy, aby přesměrovaly návštěvníky na adresu navrženou k odcizení přihlašovacích údajů.[18] Experimentální phishing na sociální sítě ukazuje úspěšnost přesahující 70 %.[19]
Phishing se zaměřil i na stránky služby pro sdílení souborů RapidShare, aby tak získával prémiové účty, které odstraňují rychlostní omezení během stahování, automatické odstraňování nahraných souborů, čekání na spuštění stahování a časové prodlevy mezi stahováními.[20]
Následující e-mail obdrželo velké množství českých uživatelů na začátku října 2006:[21]
Dobry den vazeni klienti! Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu. S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem. Do 1. listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu. Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich. Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz podvržený odkaz a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti. Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji. Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard. S pozdravem, Oddeleni Banky pro ochranu pred frodem.
Každoročně vznikají nové a nové taktiky útoků, které drasticky ovlivňují statistiky. V roce 2011 dominuje taktika, která je ve skutečnosti stará, avšak do té doby spíše povrchní. V tomto případě útočník vnikne do webového serveru, který hostuje mnoho domén - tzv. sdílený virtuální server. Jakmile je útočník uvnitř takového serveru, namísto vložení své „návnady“ (stránka s falešným obsahem) napřed na server nahraje svůj obsah. Následně změní konfiguraci serveru tak, aby všechny obsažené weby začaly jeho obsah zobrazovat. To je standardní schopnost webových serverů, která umožňuje administrátorům nastavovat sdílené informační stránky, administrační zařízení a chybové stránky („stránka nenalezena“ a další).
Takže místo nabourávání se do jedné stránky po druhé, útočník může infikovat stovky až tisíce webů naráz, podle velikosti daného serveru. V první polovině roku 2011 bylo identifikováno přes 40.000 unikátních útoků používajících tuto taktiku. Každý z nich pomocí jiné domény. To je 37 % všech útoků celosvětově. Hromadných útoků bylo identifikováno celkem 122, každý zahrnující minimálně 50 domén. Útoky zahrnovaly jen 25 institucí; z toho nejčastější byly PayPal (přes 23.000 domén/útoků) a Wells Fargo (přes 6.500 domén/útoků).[22]
Většina metod phishingu využívá některou z forem technického oklamání navrženého tak, aby odkazy v e-mailech (a příslušné falešné stránky) vypadaly, že náleží falšované organizaci. Následující odkaz http://www.konkretnibanka.novasluzba.cz/ vypadá, jako by vedl na sekci nová služba na webu konkrétní banky; ve skutečnosti tento odkaz míří na sekci „konkrétní banka“ (tedy phishing) stránky „nová služba“.
Běžným trikem bývají překlepy v odkazech. Dalším běžným trikem je, aby text odkazu vypadal jinak, než skutečný odkaz. Následující odkaz http://cs.wikipedia.org/wiki/Radost vypadá, že vede na stránku „Radost“, avšak ve skutečnosti vede na stránku „Smutek“. V levém dolním rohu většiny prohlížečů se zobrazuje skutečný cíl daného odkazu, na který právě ukazuje myš.[23]
Další problém s odkazy vznikl v souvislosti se zpracováním internacionalizovaných doménových jmen (IDN). Ve webových prohlížečích je možné docílit, aby vizuálně identické adresy vedly na různé, potenciálně nebezpečné, weby. Některá písmenka vypadají totiž skoro (nebo úplně) stejně a rozdíl adres nemusí být patrný. Jindy se může jednat o adresu s diakritikou - přičemž v originále diakritiku postrádá.
Navzdory publicitě této vady známé jako IDN spoofing[24] či homografový útok,[25] zneužívají útočníci tohoto rizika použitím otevřeného URL přesměrování na stránkách důvěryhodné organizace k zamaskování škodlivého obsahu s důvěryhodnou doménou.[26][27][28] Ani digitální certifikát neřeší tento problém, protože pro útočníka je možné si pro tyto účely pořídit platný certifikát a následně měnit obsah, aby důvěryhodnou stránku zfalšoval.
Zkracování domén je taženo popularitou Twitteru a dalších sociálních sítí a mobilních telefonů a dalších zařízení. Uživatelé těchto služeb mohou získat velmi krátký odkaz pro vložení do svých (znakově omezených) zpráv, které automaticky přesměrují návštěvníka na o mnoho delší „skrytý“ odkaz.
Někteří poskytovatelé zkracování agresivně zbrojí proti škodlivému přesměrování a vydávají pravidla, kterými komplikují případné zneužití jejich systému. Řada poskytovatelů zkracování domén však je na černé listině.
Útočníci začali používat obrázky místo textů, aby tak zkomplikovali anti-phishingovým filtrům detekovat běžně používané texty nebezpečných e-mailů.[29]
Navštívením podvržené stránky klamání nekončí. Některé podvodné stránky používají JavaScript pro změnu adresního řádku.[30] Toho je docíleno buďto umístěním obrázku legitimní adresy přes adresní řádek nebo zavřením původního adresního řádku a otevření nového s legitimní adresou.[31]
Útočník může dokonce využít chyby ve skriptu důvěryhodné stránky proti oběti.[32] Tento typ útoku (známý jako cross-site scripting) je částečně problematický, protože nabádají uživatele k přihlášení na stránce banky nebo služby, kde se všechno od webové adresy po bezpečnostní certifikát jeví korektně. Ve skutečnosti je však odkaz na stránku vytvořený tak, aby provedl útok. Bez specializovaných znalostí je velmi obtížné útok vystopovat. Právě taková vada byla použita v roce 2006 proti společnosti PayPal.[33]
V roce 2007 byl odhalen univerzální balíček Man in the middle (MITM) Phishing Kit, poskytující jednoduše použitelné rozhraní, díky kterému útočník přesvědčivě zreplikuje webové stránky a zaznamená přihlašovací údaje vložené na falešné stránce.[34]
Aby se vyhnuli technikám skenujícím weby pro odhalování phishingu, začali útočníci vytvářet falešné stránky v technologii Flash. Ty vypadají jako skutečné stránky, ale skrývají text v multimediálním objektu.[35]
Ne všechny metody phishingu vyžadují falešné stránky. Zprávy, které tvrdí, že jsou z banky nabádaly uživatele, aby zavolali na určité číslo s odvoláním na problémy s jejich bankovními účty.[36] Jakmile klient zavolal na uvedené číslo (vlastněné útočníkem a poskytované službou Voice over IP), byl vyzván k vložení čísla účtu a PINu.
Takzvaný Vishing (z anglického voice phishing) jsou podvodné praktiky telefonování nebo zanechání hlasových zpráv, které předstírají, že pocházejí od renomovaných společností, s cílem přimět jednotlivce k prozrazení osobních údajů, jako jsou bankovní údaje a čísla kreditních karet.[37] V roce 2021 zaznamenala Česká republika vlnu vishingu cílícího na zákazníky lokálních bank. Útočníci se vydávali za zaměstnance banky nebo policii.[38][39]
Na stránkách připomínajících stránky kulinářské společnosti se nacházel dotazník, návštěvník stránky byl k vyplnění dotazníku motivován šancí získat Iphone z nejnovější řady.[42] Na podvodný formulář přesměrovávaly české stránky používající redakční systém WordPress.[42] Stránky používaly protokol https, a aby přesměrování nebylo nápadné, docházelo k němu pouze občas.[42] URL stránky s dotazníkem, na kterou se přesměrovávalo, byla platná pouze hodinu.[42] Dotazník obsahoval čtyři otázky a byl personalizovaný městem uživatele a prohlížečem, který uživatel používal.[42] Po odeslání dotazníku byl uživatel přesměrován na stránku, která oznamovala, že dochází k ověřování odpovědí, IP adresy uživatele a ověřování, zda jsou dostupné ještě nějaké dárky.[42]
Na uživatele vždy zbyl jeden iphone a pro jeho získání bylo nutné zaplatit pouze 25 Kč místo původní ceny 40 460 Kč.[42] Pod oznámením o výhře bylo několik komentářů imitující komentáře z Facebooku, které se uživatele snažily přesvědčit o důvěryhodnosti celé akce.[42] Po určitém časovém intervalu se objevovaly nové komentáře.[42]
Po stisku velkého zeleného tlačítka Klikněte zde byl uživatel přesměrován na stránku, která se z uživatele snažila vylákat osobní údaje.[42] Stránka používala https, certifikát ke stránce byl vydaný certifikační autoritou Comodo.[42] Záznam o vydaném certifikátu se nacházel v Certificate Transparency.[42] Stránka obsahovala kontakt a možnost refundace peněz a byla v pořádku indexována vyhledávačem Google.[42]
Po vyplnění osobních údajů byl uživatel přesměrován na stránku imitující platební bránu.[42] Stránka obsahovala text Bezpečná platba a loga Verified by VISA a MasterCard SecureCode.[42] Po zadání jakéhokoliv čísla platební karty vygenerované pomocí PayPal Credit Card Generatoru byl výsledek vždy, že „Platba byla zamítnuta. Zkuste to prosím znovu nebo použijte jinou kartu“.[42] Hlavní stránka domény, na které byla falešná platební brána, byla prázdná, obsahovala pouze kód pro Google Analytics.[42]
Stránka s formulářem pro zadání osobních údajů běžela na několika doménách, které byly zabezpečeny důvěryhodným certifikátem.[42] Na hlavních stránkách na jednotlivých doménách byl různorodý obsah, např. stránky nabízející psí žrádlo, populární knihy, potřeby pro miminka, stránky přepravní společnosti, stránky pro nákup kadeřnických nástrojů a jiné.[42] Na všech doménách ale bylo uvedené stejné VAT.[42] Na některých doménách byly uvedeny i kontaktní údaje, ale tak, aby se uživateli zobrazily ve správné podobě, ale vyhledávač je zaindexoval tak, jak požadoval autor stránek.[42] Kontaktní údaje proto byly vloženy do stránky buď jako obrázek nebo jako zrcadlově obrácený text pro zobrazení transformovaný pomocí CSS vlastností direction: rtl
a unicode-bidi: bidi-override
.[42] Na všech doménách byly v patičce uvedena loga Visa a MasterCard.[42]
Existuje několik úrovní boje s phishingem: na uživatelské úrovni zejména osvěta a dodržování bezpečnostních pravidel, na softwarové úrovni je možné používat specializované nástroje, které phishingové útoky umožňují detekovat a upozorňovat na ně. Také existují organizace, které se bojem s phishingem zabývají cíleně a stránky využívané k těmto útokům odstraňují. Některé státy už dokonce vytvořily specializovanou legislativu zaměřenou na phishing.[43] Jeden z největších poskytovatelů antivirových řešení ESET z dlouhodobé zkušenosti a testování doporučuje běžným uživatelům tři jednoduché kroky k předcházení phishingových útokům.