Byli jsme zvyklí, že podobné zprávy nám chodí v cizím jazyce, nejčastěji pochopitelně anglickém. Ale český phishing, navíc velmi přesvědčivý, to je novinka a obávám se, že se na ni nachytá nemálo lidí. Ve svém mailboxu jsem nalezl pěkný kousek a nedá mi se o něj nepodělit – patřím totiž mezi zákazníky společnosti Citibank ČR, a ač tam nemám běžný účet, na můj kartový účet tam měla přijít jistá drobná platba ze zahraničí.
V okamžiku přečtení tohoto e-mailu jsem si tedy nemohl být až tak úplně jist, zda se jedná o podvrh či nikoli. Jistě, banky samotné rozhodně nemají ve zvyku podobným způsobem komunikovat se svými zákazníky a samozřejmě i potvrzování příchozích plateb je nesmysl, nicméně nikdo z nás nemůže vědět, zda banka kvůli zlepšování kvality služeb, boje proti terorismu nebo nějakého podobně smysluplného důvodu podobnou „službu“ právě nezavedla. Naprostou jistotu, že se o podvrh skutečně jedná, jsem získal až ze SMTP hlaviček – což však nelze očekávat od běžného uživatele Internetu.
Received: from localhost (localhost [127.0.0.1])
by XXXXXXXXXXXXXXXXXX (Postfix) with ESMTP id E1F99442434
for <zbynek@dialtelecom.cz>; Fri, 3 Mar 2006 06:37:53 +0100 (CET)
Received: from -1216007800 (cpe-66-25-88-93.satx.res.rr.com [66.25.88.93])
by XXXXXXXXXXXXXXXXXX (Postfix) with SMTP id 52A86442327
for <zbynek@dialtelecom.cz>; Fri, 3 Mar 2006 06:37:53 +0100 (CET)
Received: from citibank.cz (-1215781328 [-1216326080])
by cpe-66-25-88-93.satx.res.rr.com (Qmailv1) with ESMTP id D2929F507D
for <zbynek@dialtelecom.cz>; Fri, 03 Mar 2006 01:38:46 -0500
Z uvedených hlaviček pochopitelně vyplývá, že poslední, třetí záznam, je zcela zjevně falešný (proč by ostatně host citibank.cz vracel jako IP adresu a reverzní záznam nějaké decimální, nota bene záporné, hausnumero) a kromě toho, proč by Citibank posílala e-maily svým klientům přes jakýsi extrémně podezřelý host, vypadající na první pohled jako ADSL či CaTV přípojka.
Po analýze hlaviček jsem dospěl k závěru, že dotyčný e-mail byl odeslán z počítače infiltrovaného nějakým červem v botnetovém stylu, jichž dnes bohužel existují spousty a provozovatel uvedeného stroje pravděpodobně ani netuší, že svůj počítač nemá až tak úplně pod kontrolou on, ale neznámá zločinecká skupina. Přesto i on pochopitelně nese svůj díl viny, protože se o kontrolu nad svým hardwarem nechal připravit (kdyby si lidé nenechávali infiltrovat své systémy, pokoušelo by se o to mnohem méně útočníků) a svůj díl viny za své případné okradení nese samozřejmě i ten, kdo se nechá podvést a své údaje phisherům předá – za blbost se totiž platí od počátku věků, což však pochopitelně nesnižuje vinu pachatelů takového pokusu o podvod (a o tom, že uvedené jednání zakládá důvodné podezření naplnění skutkové podstaty trestného činu podvodu podle §250 odst. 3 nebo 4 trestního zákona ve stádiu přípravy či pokusu, není nejmenších pochyb). A opět – pokud by se nenašel nikdo, kdo by podvodníkům uvedené informace dal, pak by podobný pokus patrně již nebyl opakován, neboť i podvodník má pochopitelný zájem pracovat efektivně.
Zajímavý je i odkaz, na který vás uvedený e-mail pošle. Že tam najdeme přesně okopírovanou homepage české Citibank, to se dalo očekávat. Zajímavější je pátrat po tom, kam nás tento odkaz zavede, a zde si phisher dal opravdu práci:
$ host citi-online.czechrepublic-online.com
citi-online.czechrepublic-online.com has address 12.215.199.187
citi-online.czechrepublic-online.com has address 24.27.32.55
citi-online.czechrepublic-online.com has address 24.243.168.196
citi-online.czechrepublic-online.com has address 65.34.41.53
citi-online.czechrepublic-online.com has address 67.163.124.5
Uvedené adresy jsou opět počítače za ADSL či CaTV přípojkami, tedy patrně zase botnet. Takže zbývá poslední stopa – doména czechrepublic-online.com. Tuto doménu vlastní pravděpodobně falešná identita jistého Travise Godfreye, více informací si ostatně můžete najít na Network Solutions. Nameservery jsou vedeny na my-dns-zone.com, takže poslední případnou stopou (dokud pochopitelně nedojde k prvnímu okradení zákazníka banky), dostupnou ovšem pouze orgánům činným v trestním řízení, jsou platby majitele domény registrátorovi, v tomto případě německé firmě Computer Services Langenbach GmbH. Ani to ovšem nemusí být spolehlivá metoda, pokud doména byla zaplacena převodem z některého nabouraného účtu.
Orgány činné v trestním řízení tak budou mít obtížnou práci, neboť k případnému dovršení skutku je nezbytné, aby proběhly aktivity na území tří různých států (ČR, SRN a USA), a je docela dost možné, že dokud nebude první poškozený klient, nebude existovat vůbec žádný způsob, jak identifikovat a dopadnout pachatele. Možnosti samotného poškozeného klienta jsou pochopitelně ještě menší.
A teď otázka, která by asi běžného českého uživatele Internetu a online finančních systémů bude zajímat asi nejvíce: Jak se phishingu bránit? Zásada je jednoduchá a nevyžaduje žádné sofistikované technické znalosti, postačuje elementární logika – nevěřte žádnému e-mailu, který se tváří tak, že pochází z nějaké finanční instituce, zvláště, obsahuje-li nějaký odkaz na stránku, kde byste se měli nějak přihlašovat svým jménem a heslem. Je to obdobné jako nevěřit někomu, kdo u bankomatu nabízí, že vám pomůže s jeho obsluhou – princip je tentýž, liší se jen použité technické prostředky.
Poznámka redakce: tento aktuální článek o prvním českém phishingu zařazujeme mimořádně místo pravidelného seriálu Stalo se Jiřího Peterky. Jeho další díl si však na Lupě budete moci přečíst již zítra.