Minitest bezpečnosti prohlížečů: na phishingu pohořel Firefox i IE9

5.4.2011 Lukáš Václavík Komentáře (5) velikost textu: A A A
Náhodou jsem se stal obětí phishingového útoku, který zfalšoval web České spořitelny. I když byla podvodná stránka velmi amatérská, ne všechny prohlížeče ji dokázaly odhalit. Překvapivě zrovna ty nejpoužívanější.

Stránky

Sakra drahé rybaření

Prohlížeče dnes mezi sebou bojují rychlostí, designem, funkcemi a také bezpečností. První položka je snadno měřitelná, a proto jsme v poslední době přinesli už dva megatesty rychlosti. Design a množství funkcí závisí na potřebách uživatelů, je tedy těžké určit nějaké pořadí. Ale co bezpečnost? Také porovnatelná veličina, dnes se na ni soustředíme.

Článek, respektive test vznikl úplně náhodou. Dnes mi do testovací schránky přistál podvržený e-mail z České spořitelny. (Zpráva byla poctivě vyřazena antispamovým filtrem Hotmailu.) A protože u této banky mám náhodou účet, znám vcelku dobře i její stránky, takže jsem chtěl vyzkoušet, jestli bych se jako laik nechal nachytat.

Druhou náhodou bylo, že jsem zprávu otevřel v Chrome, kde mě při klepnutí na odkaz prohlížeč upozornil, že se jedná o podvodnou stránku. A po ignoraci hlášky zase. Namátkou jsem stejný postup vyzkoušel ve Firefoxu 4 a ejhle, žádná varovná hláška. Proto jsem minitest provedl ještě na dalších čtyřech prohlížečích.

Reklama

Stal jsem se obětí phishingu. To znamená, že se k vám dostane zpráva s odkazem na podvrženou stránku, která vypadá stejně jako ta originální. Vytvořit ji není problém, stačí uložit stránku v prohlížeči jako běžné HTML a následně upravit tak, aby vyplněný přihlašovací formulář neodeslal data do banky, ale do počítače útočníka. Ten se pak může přihlásit místo vás a vybílit vaše konto.

V „ideálním“ případě by člověk neměl vůbec poznat, že web není pravý. Asi úplná minorita uživatelů skutečně používá zabezpečené DNSSEC a kontroluje certifikáty HTTPS/SSL. Stačí, že vidí podobnou stránku a nepojme podezření.

Jenže tento případ byl vytvořen úplným mamlasem. Mě osobně jako první bilo do očí jiné jméno odesílatele a také e-mail (běžně ČS používá cic@csas.cz). Výraznějším kopancem by měla být polovičatá lokalizace – diakritika občas je, občas chybí. Banka by si v oficiálních e-mailech něco takového neměla dovolit. (V mém případě mě už trklo, že ČS posílá e-mail o nepřečtené zprávě v systému Servis 24. Běžně mi takový notifikace nepřicházejí.)

Když už na odkaz klepnete, opravdu se objeví podobná stránka, byť s vyžadovanými informacemi navíc. Na levém snímku je phishingová stránka, všimněte si nesmyslné adresy. Napravo je originální stránka navíc podepsaná certifikátem.

Vychytralý útočník chce zjistit i CVC/CVV kód a číslo karty, tyto údaje jinak nikdy nezadáváte.

Phishingovou stránku, na níž odkazuje e-mail, najdete zde.

Testované prohlížeče:

  • Firefox 3.6.16
  • Firefox 4.0
  • Chrome 10.0.648.204
  • Internet Explorer 9.0.8112.16421
  • Opera 11.01.1190
  • Safari 5.0.4. (7533.20.27)

Stránky

Související články

Chrome není jedničkou. Mezi prohlížeči stále vede Internet Explorer
Chrome není jedničkou. Mezi prohlížeči stále vede Internet Explorer
25. 5. 2012 Komentáře (2)
Pohled na webové aplikace, jejich současnost, budoucnost a význam
Pohled na webové aplikace, jejich současnost, budoucnost a význam
16. 5. 2012 Komentáře (0)
Internet Explorer 10 má problém: jmenuje se Windows 8
Internet Explorer 10 má problém: jmenuje se Windows 8
9. 3. 2012 Komentáře (4)
Microsoft: kotrmelce v 21. století (2. díl)
Microsoft: kotrmelce v 21. století (2. díl)
23. 2. 2012 Komentáře (1)
Reklama
Diskuze Přidat komentář E-mail Tisk Oblíbené

Komentáře

5. Duben 2011 - 15:38 od Lukáš Václavík

Chvíli po dopsání článku už zareagovaly také filtry Firefoxu 4 a IE9.
Firefox zahlásí jako podvodné obě stránky.
http://fasooba.com/web.htmlhttp://www.bobharvey.co.uk/media/videos/servis24.cz/ebanking-s24/
IE tu první nezobrazí, ale druhou stále ano.
Zřejmě to rychle vyřešil zásah samotné České spořitelny, která k tomu před chvílí vydala i tiskovou zprávuhttp://www.csas.cz/banka/content/inet/internet/cs/news_ie_1236.xml

5. Duben 2011 - 16:04 od Maudit

Zrovna jsem chtěl poznamenat, že by bylo dobré počkat až se do phishingových filtrů Firefoxu a IE9 dané info dostane. Skoro bych se vsadil, že na to existuje nějaká veřejná databáze, kterou využívají všichni výrobci daných prohlížečů.

5. Duben 2011 - 16:31 od Lukáš Václavík

Ale jak dlouho bych čekal? A kdyby počkal, až budou ty stránky ve všech filtrech, k čemu by pak byl takový rychlotest? To je jako by se hodnotila účinnost antivirů, až když by všechny zákeřné kódy byly v jejich databankách.
Z toho příkladu je alespoň vidět, kdo reaguje (alespoň v tomto případě) jako první. Jinak Chrome a Firefox by měl používat Safe Browsing API od Googlu. Přitom Google zareagoval rychleji :-). Ale existují i další databáze, třeba známá phishtank.com. Ale jaká konkrétní řešení používají ostatní prohlížeče, to jsem tak detailně nezjišťoval.

5. Duben 2011 - 18:22 od jk

Takže moja Opera nesklamala :-).
To ma teší.

5. Duben 2011 - 19:15 od Unlimited_Killer

Pěkný minitest, splnil to, k čemu byl určen - rychlost přidání adresy na černou listinu. Každopádně jsem rád, že používám Chrome. :]

Přidat komentář

Reklama