Útok začal za úsvitu. Místo salv z těžkých zbraní zaznělo jen kliknutí. Spustilo ostřelování schránek v doméně .cz mailem, jehož cílem bylo ovládnout účty klientů české pobočky Citibank.

E06_1052.gif ()

Ten můj byl odeslán v pátek 3. března 2006 v 7:51. Při kontrole pošty jsem ho přeskočil. Od Citibank Online jsem nic nečekal a na spam jsem chuť neměl. Ale stejnou zprávu dostal i kolega Mašek a další, a tak jsme se jí koukli na zoubek.

Brzy bylo jasné, že to není obyčejný spam. Informace, že na můj účet u Citibank (který nemám) přišla platba, jejíž přijetí mám potvrdit kliknutím na odkaz v mailu, jinak budou peníze odeslány zpět, dávala tušit, že jde o nějakou čertovinu. Přesvědčovat adresáta, aby něco udělal, příslibem peněz nebo výhod je typickým znakem phishingu. Tím úmyslně zkomoleným názvem (fishing = chytání ryb) se označuje kriminální aktivita, kdy se útočník snaží z oběti podvodně vylákat důvěrné informace.

Zkusil jsem odkaz otevřít. Nestalo se nic mimořádného. Naskočila hlavní stránka české pobočky Citibank, a jak jsem ověřil, byla pravá. Používám prohlížeč FireFox a některé stránky využívající nestandardních vlastností Internet Exploreru (IE) v něm nemusejí fungovat zcela správně. Zkusil jsem odkaz otevřít i v IE, verze 5.0, který byl na počítač kdysi instalován. A ejhle, objevilo se i další okno. Tahle verze IE totiž nemá blokování vyskakovacích (popup) oken.

VYSKAKOVACÍ OKNO se od obyčejného liší tím, že se neobjeví na základě požadavku uživatele, ale vyvolává ho program, který je součástí právě zpracovávané stránky. Ukázalo se, že naše vyskakovací okno vypadá stejně jako okno pro přihlášení do systému Citibank Online, sloužícího k ovládání účtu přes internet. Fungovaly i odkazy (např. na Prohlášení o ochraně osobních údajů) a vedly na reálné dokumenty ze serveru Citibank.

Nejpodstatnější rozdíl mezi okny však nebyl vidět. Originální okno pocházelo ze serveru Citibank s adresou czechrepublic2.online.citibank.cz a vyskakovací mělo adresu citi-online.czechrepublic-online.com. Podobnost adres nebyla náhodná. Doménu czechrepublic-online.com si u firmy joker.com zaregistroval jediný den před útokem jakýsi Travis Godfrey, bydlící v USA na adrese 1630 Aliwood Way, Bountiful. Město i ulice existují, ale osoba bude falešná a registrace nejspíš hrazená ukradenou kreditkou.

Vyskakovací okno bylo podvrženo útočníkem a zobrazení hlavní stránky Citibank mělo zvýšit jeho důvěryhodnost. Zadal-li klient banky v podvrženém okně požadované číslo své CitiCard a její heslo H-PIN, byly tyto údaje odeslány útočníkovi. Analýza zdrojového kódu to potvrdila. A cesta ke klientovu účtu byla volná.

NEBYLO POCHYB, že jde o útok na klienty Citibank, proto jsem tam zavolal. Řekli mi, že o útoku vědí a klienty informují. Když jsem se divil, že tři hodiny po zahájení útoku běží na hlavní stránce místo důrazného varování reklama na CitiPůjčku Online, dozvěděl jsem se, že změnit stránku trvá dlouho, protože správa serveru se dělá v zahraničí. Prý ale klienty již dříve před podobnými maily několikrát varovali, protože banka se ve světě s tím problémem už setkala, a že na hlavní stránce je varování již delší dobu.

Vpravo dole byla skutečně malá dopravní značka STOP a drobný text Upozornění na podezřelé maily. Ale pochybuji, že by si takového varování ohrožený klient všiml. Tím spíš, že bylo překryto vyskakovacím oknem útočníka. Když jsme ověřili, že v ČTK žádná informace o útoku není, sepsali jsme s kolegou Maškem zprávu s popisem útoku a v ČTK ji zveřejnili.

Kontroloval jsem stav serveru ještě večer (asi 11 hodin od počátku útoku) a stránka byla beze změn. K internetu jsem se pak dostal až v neděli v noci. To už bylo varování před maily větší a hlavně při vstupu na hlavní stránku webu vyskočilo okno s varováním.

CitiCard je běžná platební karta, kterou má každý klient Citibank. Její dva kódy, které byly předmětem útoku, umožňují vstup do internetového bankovnictví a ovládání účtu. Další zabezpečení, třeba zasíláním potvrzovacích kódů na kritické operace, systém nemá. Hlídá prý však nestandardní operace (např. platbu nad denní limit) a neprovede je, dokud pracovník banky požadavek neověří.

NEJLEPŠÍ OBRANOU proti podobným útokům je nedůvěra. Komunikuje-li s vámi banka mailem a má v něm aktivní odkazy, nepoužívejte je. Phishing nemusí být neadresný jako byl tento. Jde-li po vás útočník, který charakter mailů banky zná, vytvoří zprávu, kterou od pravé nepoznáte. Na zadávání důvěrných údajů choďte jen známou cestou z hlavní stránky banky. Ani zástupce stránky na vaší ploše není bezpečný, pokud má k počítači přístup cizí osoba.

Práce s důvěrnými údaji musí probíhat zabezpečeným protokolem. Před adresou zabezpečené stránky je uvedeno https://. Není od věci zkontrolovat, zda je adresa stránky stejná jako obvykle. Nemá-li okno řádku s adresou, je podezřelé.

V prohlížeči určitě zakažte vyskakovací okna. Internet Explorer to umí až od verze 6.0 a máte-li starší, musíte si ho stáhnout (10-20MB). FireFox to umí už dávno, je malý (5MB) a rychlý. Některá internetová bankovnictví s ním ale odmítnou spolupracovat. Při instalaci se blokování oken automaticky zapne. Skutečný stav si nyní můžete snadno ověřit na adrese www.citibank.cz.

Související