Hlavní práce75293_krij09.pdf, 1.8 MB Stáhnout

(1)

1

Vysoká škola ekonomická v Praze

Fakulta informatiky a statistiky

Edukativní testování uživatelů v univerzitním prostředí formou

phishingu

BAKALÁŘSKÁ PRÁCE

Studijní program: Aplikovaná informatika Studijní obor: Aplikovaná informatika

Autor: Jakub Kříž

Vedoucí bakalářské práce: Ing. Pavel Strnad Oponent bakalářské práce: Ing. Luboš Pavlíček

Praha, 2021

(2)

2

Prohlášení:

Prohlašuji, že jsem diplomovou práci zpracovával samostatně, uvedl jsem veškeré použité zdroje a řádně je ocitoval.

V Praze dne 7. května 2021 ………..

Podpis studenta

Jakub Kříž

Digitálně podepsal Jakub Kříž Datum: 2021.05.07 15:36:19 +02'00'

(3)

3

Poděkování:

Rád bych poděkoval panu Inženýru Pavlu Strnadovi za podporu při mé práci a jeho vedení, které obsahovalo spoustu cenných rad a poznámek, bez kterých bych práci rozhodně nevypracoval do takovéto podoby. Dále bych rád poděkoval své rodině a přítelkyni za jejich psychickou podporu.

(4)

4

Abstrakt

Bakalářská práce se zabývá otestováním obranyschopnosti a edukací studentů a zaměstnanců proti podvodným útokům. Tato práce byla vytvořena v rámci projektu školy. Jako testovací typ útoku byl zvolen právě phishing. Práce si dává za úkol zvýšit povědomí o phishingových útocích a jejich podobách. Cílem této práce je primárně otestovat připravenost a

informovanost mých kolegů a spolužáků na poli kybernetické kriminality, krádeže identity, krádeže osobních nebo platebních údajů, aj.

K dosažení našich cílů bylo postupováno po daných částek. Úvodní část je zde pro to, aby bylo naprosto jasné, jak je naše práce strukturovaná a jaký problém řeší. Následně jsem udělal komentovanou rešerši zdrojů, s jejíchž pomocí jsem byl schopen vytvořit vhodný phishingový útok. Hlavní obsah práce začíná vymezením pojmu kyberkriminality a všech jejich typů. Na toto navazuje kapitola věnovaná primárně phishingu a jeho historii. V dalších kapitolách si rozebíráme, jaké jsou druhy phishingových útoků a taktéž volíme vhodný typ útoku pro naše univerzitní prostředí, definujeme úrovně útoků a scénáře. Následuje praktická tvorba

vhodného útoku, jeho následné spuštění a analýza výsledků testování. V závěru práce se hodnotí splnění cílů.

Klíčová slova

Phishing, kybernetická kriminalita, penetrační testování, sociální inženýrství, tvorba phishingového útoku

(5)

5

Abstract

Bachelor thesis deals with testing defense of students and university employees against fradulent attacks and also educate them, This bachelor thesis was created within school project. As a testing type of attack was choosen phishing. Thesis sets itself a task raise awareness about phishing attacks and its forms. The aim of the work is primary test preparedness and awareness of my colleagues and schoolmates on the field of cybercrime, identity theft, theft of persona lor payment data, etc.

To achieve our goals, I proceeded in parts. The introductory part is here to make it absolutely clear how our work is structured and what problem it solves. Subsequently, I conducted an annotated search for resources, with the help of which I was able to create a suitable phishing attack. The main content of the work begins with the definition of cybercrime and all their types. This is followed by a chapter devoted primarily to phishing and its history. In the following chapters, we discuss the types of phishing attacks and also choose the appropriate type of attack for our university environment, define levels of attack and scenario. This is followed by the practical creation of a suitable attack, its subsequent launch and evaluating the success of the attack. At the end of the work, the fulfillment of targets is evaluated

Keywords

Phishing, cybercrime, penetration testing, social engineering, creation of a phishing attack

(6)

6

Obsah

1. Úvod ... 10

1.1 Vymezení tématu ... 10

1.2 Návrh řešení problémů ... 10

1.3 Cíle a způsob jejich dosažení ... 10

1.4 Struktura práce ... 11

2. Komentovaná rešerše zdrojů ... 12

3. Kyberkriminalita ... 15

3.1 Kyberprostor ... 15

3.2 Sociální inženýrství ...16

3.3 Viry...16

3.3.1 Malware ...16

3.3.2 Ransomware ...16

3.3.3 Backdoor ... 17

3.3.4 Spyware ... 17

3.4 Phishing ... 17

4. Phishing a jeho historie ... 18

4.1 První zaznamenaný phishigový útok ... 18

4.2 Vývoj phishingu na přelomu tisíciletí ... 18

4.3 Současnost a budoucí vývoj ... 20

5. Druhy phishingových útoků ... 22

5.1 Falešná identita ... 22

5.2 Metoda přesměrování ... 23

5.3 Pharming ... 24

5.4 Spear Phishing ... 25

5.5 Vishing ... 26

5.6 Smishing ... 26

5.7 Obsahová Injekce ... 26

5.8 Nigerijské dopisy ... 27

5.9 Shrnutí druhů phishingových útoků... 28

6. Analýza univerzitního prostředí ... 29

6.1 Výběr vhodného útoku ... 29

6.2 Úrovně a Scénář ... 29

7. Tvorba úrovní edukativního testování pro univerzitní prostředí ... 31

7.1 Phishing simulátor modulu security microsoft 365 ... 31

7.2 První úroveň ... 45

(7)

7

7.3 Druhá úroveň ... 46

7.4 Třetí úroveň ... 47

8. Reálné edukativní testování ... 50

8.1 Analýza výsledků ... 53

9. Závěr ... 55

Použitá literatura ... 56

(8)

8

Seznam obrázků

Obrázek 1 Unikátní phishingové útoky v březnu 2004 ...19

Obrázek 2 Počet phishingových hlášení (konec roku 2004 - 2006) ...19

Obrázek 3 Počet unikátních útoků v roce 2013 ... 20

Obrázek 4 Počet unikátních útoků v roce 2017 ... 20

Obrázek 5 Počet odhalených podvodných stránek v roce 2020 ... 21

Obrázek 6 Anatomie Pharmingu ... 24

Obrázek 7 Anatomie spear phishingového útoku ... 25

Obrázek 8 Úvodní obrazovka simulátoru ... 31

Obrázek 9 Simulátor - Datová část ... 32

Obrázek 10 Tvorba datové části - Výběr typu ... 32

Obrázek 11 Tvorba datové části - Výběr techniky ... 33

Obrázek 12 Tvorba datové části - Název datové části ... 33

Obrázek 13 Tvorba datové části - Konfigurace 1 ... 34

Obrázek 14 Ukázka doručeného e-mailu ... 34

Obrázek 19 Tvorba datové části - Indikátory 1 ... 37

Obrázek 22 Tvorba datové části - Kontrola výsledku ... 38

Obrázek 23 Tvorba simulace - Výběr techniky ... 39

Obrázek 24 Tvorba simulace - pojmenování... 39

Obrázek 25 Tvorba simulace - Výběr datové části ... 40

Obrázek 26 Tvorba simulace - Výběr cílů ... 40

Obrázek 27 Tvorba simulace - Školení ...41

Obrázek 28 Tvorba simulace - Cílová stránka ...41

Obrázek 29 Tvorba simulace - Podrobnosti o spuštění... 42

Obrázek 30 Tvorba simulace - Finalizace ... 42

Obrázek 31 Výsledná simulace ... 43

Obrázek 32 Ukázka podvodné stránky ... 44

Obrázek 33 Cílová stránka ... 44

Obrázek 34 Ukázka první úrovně - DHL ... 45

Obrázek 35 Ukázka druhé úrovně - Bonusové kredity ... 46

Obrázek 36 Ukázka třetí úrovně... 47

Obrázek 37 E-mail s certifikátem ... 48

Obrázek 38 E-mail bez certifikátu... 48

Obrázek 39 Hlavička podvodného e-mailu ... 48

Obrázek 40 Hlavička oficiálního e-mailu ... 49

Obrázek 41 První úroveň - DHL ... 50

Obrázek 42 Druhá úroveň - Kvestor ... 51

Obrázek 43 První úroveň - Microsoft ... 52

Obrázek 44 Analýza první úrovně - DHL ... 53

Obrázek 45 Analýza druhé úrovně - Kvestor... 54

Obrázek 46 Analýza první úrovně - Microsoft ... 54

(9)

9

Seznam tabulek

Tabulka 1 Shrnutí metod phishingu ... 28 Tabulka 2 Katalog jednotlivých úrovní phishingového útoku ... 30

(10)

10

1. Úvod

1.1 Vymezení tématu

Phishing je neustále trvající problém moderní společnosti. Téma jsem si vybral proto, aby byla otestována obranyschopnost spolužáků a kolegů před touto formou útoků a taktéž aby jim bylo napomoženo do budoucna zvýšit schopnost podvodné útoky rozeznat. Krádeže identity, soukromých údajů, či údajů k platebním prostředkům jsou v dnešních dnech velice rozšířeným problémem, který není radno zanedbávat. Spousta lidí, i velkých institucí, tomuto nátlaku v minulosti podlehlo a mělo to za následek velké právní potíže(1). Phishingem

rozumíme takový útok, který má za úkol z oběti extrahovat její cenné údaje a nadále je využít ku svému prospěchu a zisku. Mezi nejznámější phishingové útoky patří podvodné emaily, či také viry, které nabádají člověka k zadávání jejich údajů, či přímou konfrontaci

s podvodníkem, který následně získá přístup k počítači, či účtům oběti.

Tato bakalářská práce je vypracována ruku v ruce s účastí na projektu „Zvýšení úrovně kybernetické bezpečnosti v prostředí VVŠ“, kterého se účastní naše škola společně s dalšími velkými univerzitami v České republice. Práce se zaměřuje pouze na praktické testování, neřeší legislativní omezení.

1.2 Návrh řešení problémů

Zlepšením tohoto problému je penetrační testování uživatelů v univerzitním prostředí

formou phishingu, které nepovede ke zneužití osobních údajů, ale bude mít pouze edukativní dopad pro případné oběti.

1.3 Cíle a způsob jejich dosažení

Cílem této práce je vytvořit několik edukativních útoků různých úrovní obtížnosti, šitých na míru jednotlivým skupinám uživatelů. Například pro anglicky mluvící studenty, pro

zaměstnance univerzity, atd. Práce by měla vést k edukování studentů a zaměstnanců univerzity na poli podvodných e-mailů a otestování jejich obranyschopnosti proti nim, aby všichni do budoucna věděli, čemu se vyvarovat a jak moc propracované dnešní útoky mohou být. Ovšem zase zde musí být pár chyb, které mohou bystřejší lidi navést k odhalení podvodu.

Aby tohoto bylo docíleno, bude potřeba testování řádně promyslet, analyzovat všechny způsoby, vybrat ten nejvíce efektivní a následně jej implementovat a otestovat funkčnost.

Stanovme si zde tyto dílčí cíle, které povedou k naplnění hlavního cíle práce:

• Definování pojmů kybekriminality a kyberprostoru

• Analýza metod phishingu

• Analýza vývoje phishingových útoků

• Analýza prostředí, ve kterém se bude útok prováděn

• Vytvoření úrovní testovacích útoků

• Vlastní tvorba phishingového útoku

• Testování funkčnosti phishingového útoku

• Závěrečné vykonání útoku a analýza výsledků.

(11)

11

1.4 Struktura práce

Práce je složena z těchto klíčových kapitol:

1. Úvod

2. Komentovaná rešerše zdrojů 3. Kyberkriminalita

4. Phishing a jeho historie 5. Druhy phishingových útoků 6. Analýza univerzitního prostředí

7. Tvorba úrovní edukativního testování pro univerzitní prostředí 8. Reálné edukativní testování

9. Závěr

Úvodní kapitola je věnována vymezení tématu, návrhu řešení problémů, které práce

vypichuje, stanovení cílů naší práce a také způsobů, jak těchto cílů dosáhnout. Slouží k rychlé orientaci v práci.

Druhá kapitola je sadou komentovaných rešerší zdrojů, aby bylo jasné z jakého důvodu byly zvoleny tyto zdroje. A taktéž z důvodu ujasnění důležitosti tématu mé práce.

Třetí kapitola se zabývá problematikou kybernetické kriminality, popisuje její jednotlivé druhy a krátce je definuje, taktéž se věnuje definici kyberprostoru. Zde získáme základní povědomí o kybernetické kriminalitě, jejíž součástí je právě phishing.

Čtvrtá kapitola podrobněji rozebírá, co je to phishing a představuje historický vývoj phishingových útoků.

Pátá kapitola je věnována vymezení druhů phishingových útoků a jejich rozdílů. Z této

kapitoly budeme následně čerpat v šesté kapitole, kde budeme volit vhodný phishingový útok pro naše oběti a naše prostředí.

V šesté kapitole bude vymezen segment uživatelů, na které bude útok cílen, jaké je prostředí pro náš útok, vybereme vhodný útok, který bude v praktické části následně sestrojen, definujeme jednotlivé úrovně útoků a stanovíme scénáře.

Sedmá kapitola je věnována praktické části mé práce, kde bude rozebráno modelování

zvoleného typu phishingového útoku, krok po kroku bude demonstrováno, jak probíhá tvorba takového útoku a vymodelovány výše definované ukázkové úrovně.

Osmá kapitola je praktickou částí, která se zabývá reálným testováním na zaměstnancích Centra Informatiky. V této kapitole bude testování spuštěno a vyhodnoceno. Na závěr praktické části dojde ke zhodnocení výsledků edukativního testování.

V závěrečné kapitole bude zhodnoceno dosažení cílů a možnosti pokračování na této práci.

(12)

12

2. Komentovaná rešerše zdrojů

Zde bych rád použil metody kritické rešerše k získání přehledu v oblasti mého tématu a zároveň prokázal přínos cílů mé bakalářské práce. V rámci této práce budu zkoumat již dříve vypracované publikace z prostředí naší školy, ale i z jiných škol a zahraničních odborných zdrojů.

Blízká mému tématu je disertační práce Tomáše Klímy(2) z VŠE. Ve své práci analyzuje dnes nejčastěji rozšířené metodiky penetračních testů a člení je dle jejich typů. Jeho práce jako taková necílí na testování uživatelů informačních systémů, nýbrž přímo na bezpečnost informačních systémů, například v rámci firmy.

Dle jeho slov se penetrační testy dělí různě, například podle informací, které tester o dané organizaci má, zdali se do systému dostává zvenčí, či zevnitř, nebo například z pohledu přístupu k proniknutí do systému. Z obecného hlediska jsem se díky této práci dozvěděl, že je důležité si vytvořit testovací scénář, což znamená stanovit si jakou hrozbu chceme testem simulovat a jaké hrozbě se do budoucna chceme být schopni vyvarovat. Dále v práci pojednává o struktuře každého penetračního testování, což lze opět uplatnit v rámci mé bakalářské práce. Postup bezpečnostního testování dělí na plánovací část, kde se identifikuje problém, který vůbec k takovému testování vede.

Dalším krokem je samotné testování, které začíná sběrem veřejně dostupných informací o subjektu testování a následnou tvorbou, co možná nejlepšího „útoku“.

Následuje poslední krok – Reporting, při kterém útočník vypisuje své výsledky. To mohou být různé statistické údaje, v rámci testování informačních systémů a nikoliv uživatelů to také mohou být různé údaje o tom, kde má systém slabá místa, kudy se dá lehce proniknout, aj.

Práce navrhuje novou metodiku, založenou na analýze všech dostupných informací v rámci bezpečnostního testování, pro mé téma tato metoda nepřináší nic nového, protože se stále jedná o testování IS. Toto testování se sice provádí za použití sociálního inženýrství, tedy vytipování obětního beránka, který spustí škodlivý kód v síti dané organizace, ale nespočívá v dolování citlivých osobních informací, jako tomu je u phishingu.

Jako další práci chci zmínit bakalářskou práci Eduarda Beneše(1) z VŠE. Tato práce je na rozdíl od předchozí zaměřena vyloženě na problematiku phishingu a ochranu před ním.

V práci kolega Beneš vysvětluje pojem phishingu a jeho vývoj. Uvádí zde, že phishing je neustále na vzestupu a objevuje se zde každoroční růst, to je také důvod, proč má moje bakalářská práce smysl. Ve své práci detailně popisuje průběhy jednotlivých phishingových útoků, kde se jistě inspiruji při tvorbě svého vlastního útoku, neboť jsou tyto kategorie útoků velmi dobře zpracovány.

Dále ve své práci vypichuje historické phishingové útoky a jejich dopady. Následují kapitoly, které pojednávají o ochraně před phishingem a následné praktické „anti-phishing“ testování, které je již pro můj záměr zcela irelevantní.

(13)

13

Následuje diplomová práce kolegyně Diany Kalinové(3) z VŠE. Tato práce pojednává o phishingu a vlivu lidského faktoru na něj. Je zde uváděno, jaké složky phishing má, jaká je přesná definice phishingu a jaké nejčastější triky phishing používá. Zde jsem schopen si pročíst řádně veškerá doporučení a poté vybrat ten nejoptimálnější útok pro naše testované prostředí. Dále práce pojednává o způsobech doručení daného útoku k uživatelům. Toto bude taktéž odrazovým můstkem mého praktického útoku. Následuje série bezpečnostních rad, jak se před phishingem bránit a taktéž teze, že jsou uživatelé nejslabším článkem v rámci těchto útoků, s čímž musím osobně souhlasit. Nebylo-li by těchto uživatelů, phishing by neexistoval.

Další přínosná publikace pro mne je bakalářská práce od Jakuba Kemra(4) z VŠE. Začátek práce pojednává o definici phishingu a jeho vývoji. Oproti práci kolegy Beneše je tato úvodní část mnohem více podrobnější, z toho vyplývá, že jí budu moci také ke své teoretické části bakalářské práce využít. Následuje kapitola, kde uvádí základní typy útoků. Toto ve své práci má kolega Kemr dobře zvládnuté, jednotlivé typy útoků jsou i podrobněji popsány a z této práce budu pravděpodobně čerpat při návrhu a realizaci praktické části. Ve své práci konstruuje phishingový útok, ale já na rozdíl od jeho práce hodlám cílit na velký vzorek zaměstnanců a studentů naší školy, čímž otestovat jestli jsou schopni bránit se

potencionálním útokům a následně tyto výsledky analyzovat. Tímto je jasné, že má práce má smysl, i když existuje více prací pojednávajících o sestavení phishingového útoku.

Další následuje diplomová práce Jana Netoličky(5) z Masarykovy univerzity. Na začátku své práce pojednává o všech základních pojmech moderních kyberútoků. Vymezuje pojmy jako

„Scamming“, „Hacking“, „Kyberprostředí“, aj.

Dále pojednává o různých podvodných taktikách, jako je například sociální inženýrství, nebo různé druhy virů. V posledních částích pojednává o druzích phishingových útoků, které jsou vždy prezentovány i s ukázkou proběhlého útoku u nich na Univerzitě, což je dalším

důvodem, proč mé testování má smysl.

Dále jsem shledal užitečnou práci Markuse Jakobssona(6) z Univerzity v Indianě. Ve své práci podrobně popisuje způsoby tvorby jednotlivých phishingových útoků. Popisuje jednotlivé postupy i s grafickým zobrazením. Má zde uvedeny i postupy v případě takového útoku, který má za cíl získat údaje o bankovním účtu. Ve své práci uvádí i příklady

jednotlivých phishingových útoků s podrobným vysvětlením. Hezky má vysvětlen i výběr obětí u jednotlivých typů útoků. Následuje část věnována obraně před phishingem a analyzování dat, zde bych využil pravděpodobně část s analyzováním dat, která by se dala použít pro mou závěrečnou analýzu praktické části.

Další cennou prací je práce trojice autorů, Christine E. Drake, Jonathan J. Oliver a Eugene J.

Koontz(7), která nese název „Anatomy of a Phishing Email“. Tato práce je pro mě příhodná, protože v našem studijním prostředí bude potřeba doručit můj phishingový útok mailovou formou. Ve své práci analyzují specifické náležitosti, které většina phishingových emailů obsahuje. Například pokud podvodník chce získat vaše platební údaje, tak do takového emailu zakomponuje větu o ochraně dat, které v lidech nabudí pocit, že jsou jejich informace v bezpečí a tak je spíše poskytnou. Další zajímavá praktika je použít funkci javascriptu, kdy se link změní v případě, že na něj člověk najede myší a odkáže vás na podvrhnutou stránku, aniž by si toho někteří jedinci byli schopni všimnout. Oni taktéž budou mít pocit, že klikali na reálný odkaz.

(14)

14

Přínosná je kniha Jamese Lance(8) nesoucí název „Phishing bez záhad“. Podrobně zde definuje, co je to phishing, jak funguje a jak vypadá. Jsou zde definované nejčastější způsoby phishingu a jejich přesná struktura. Je nutno řádně analyzovat skupinu cílů, na které

phishingem cílíme a co možná nejlépe podvodný email personalizovat. V mém případě to znamená zvlášť cílit na česky mluvící studenty, anglicky mluvící studenty a pak zvlášť na profesory a vyučující. Dále zde ukazuje příklady služeb, které pomáhají falšovat odesílatele, což se jeví jako velmi důležitý bod úspěšného phishingového emailu. Velmi přínosná je i část o falšování webových stránek, či možnostech přesměrování. Zde samozřejmě narážíme na některé již přežité technologie, například optimalizace pro Internet Explorer, ale i tak v této práci je spoustu důležitých a klíčových informací. Dále už práce pojednává o možnostech phishingu skrze malware, což pro mou práci už není nijak směrodatné, proto rešerši zakončuji zde.

Další si rozebereme knihu pana Václava Jirovského(9) s názvem „Kybernetická kriminalita“.

Ve své práci definuje, co je to kyberprostor, jaké jsou problémy kybernality a vliv

kyberprostoru na společnosti. Má zde kapitolu věnovanou hackerům a scammerům, do čehož spadá právě náš phishing. Přesně tam hackery definuje, dokonce se věnuje i jejim

charakteristickým vlastnostem, což je dost zajímavá kapitola na zamyšlení. Celkově je tato publikace opravdu zajímavá, co se týče kyberprostoru a všech možných vlivů na něj. Není tam přímý přínos pro phishing, ale tyto informace o kyberprostoru jsou přinejmenším obecně přínosné a zajímavé.

(15)

15

3. Kyberkriminalita

V této kapitole si vysvětlíme pojem kybernetické kriminality a její podoby. K pochopení phishingu je potřeba rozumět celku. Cílem této kapitoly je tedy osvětlit problematiku kybernetické kriminality.

Pro definování kybernetické kriminality byl vybrán článek od Policie České Republiky(10).

Kyberkriminalita je definována jako „Trestná činnost, která je páchána v prostředí informačních a komunikačních technologií včetně počítačových sítí.“

Tomu rozumíme tak, že kyberkriminalita je tedy jakákoliv trestná činnost, která je páchána v rámci kyberprostoru.

3.1 Kyberprostor

Definice kyberprostoru se průběhem let měnila a jelikož historie kyberprostoru nesouvisí s cílem práce, tak bude uvedena a vysvětlena jedna z novějších definic. Jedná se o definici, kterou uvedl dokument CyberSpace Operations Concept Capability Plan 2016-2028(11).

Kyberprostor se skládá ze tří vrstev – Fyzická vrstva, Logická vrstva a Sociální vrstva.

Každá vrstva je složena z komponent. Fyzická vrstva je složena z fyzické síťové komponenty a geografické komponenty. Fyzickou síťovou komponentou rozumíme vlastně všechna zařízení, která jsou potřeba pro funkčnost síťové infrastruktury. Například kabely, routery, switche, aj.

Geografická komponenta vlastně znamená umístění složek fyzické vrstvy. V reálném světe je jednoduché poškodit fyzickou vrstvu manuálně, ale jen za předpokladu, že se nachází

v nějakém blízkém okolí a jsme schopni se tam dostat. Zatímco virtuálně jsme schopni tuto geografickou komponentu obejít a zaútočit i z dálky. To je jedna z velkých hrozeb

kyberprostoru.

V logické vrstvě zase máme obsaženy logické síťové komponenty. Logické síťové komponenty jsou vlastně propojení mezi jednotlivými síťovými uzly. Síťovým uzlem rozumíme jakékoliv zařízení připojené do sítě, například počítače, telefony. V případě IP protokolu je považováno za síťový uzel cokoliv, co má vlastní IP adresu.

Sociální vrstva obsahuje dvě další komponenty. Komponentu počítačové osobnosti a komponentu skutečné osobnosti. Zjednodušeně počítačová osobnost je vlastně každý náš emailový účet, naše IP adresa, telefonní číslo, atd. Jeden člověk může mít několik

počítačových osobností a platí to samozřejmě i naopak, jedna počítačová osobnost může být vlastněna více skutečnými osobnostmi.

(16)

16

3.2 Sociální inženýrství

Definici sociálního inženýrství má dobře popsanou Václav Jirovský ve své práci Kybernetická kriminalita(9). Sociální inženýrství je označování za „umění, jak přimět ostatní lidi, aby splnili Vaše přání“ a nebo taktéž za „Psychologické triky hrané na oprávněné uživatele systému za účelem získání přístupu do tohoto systému“. Jednoduše sociální inženýrství využívá lidského faktoru, aby se dostalo do systému a získalo citlivá data firmy, například účetní záznamy, osobní údaje všech zaměstnanců, nebo například utajované projekty, aj.

Toto může útočník využít mnohými způsoby.

Útočník si vždy svou oběť dobře vytipuje a má více možností, jak úspěšné infiltrace do systému docílit. Je zde možnost se s obětí sblížit, získat si její důvěru a kupříkladu osobu přesvědčit, že jste odborník na poli technologií a s daným problémem ve firmě mu pomůžete a bude si moci tyto zásluhy přičíst na svůj účet. Uživatel vám bude důvěřovat a vy se

dostanete ke kýženým datům. Následuje varianta infiltrování počítače oběti, zde už k oběti nemusíte mít tak blízký vztah, infiltrujete se do počítače oběti, připravíte zde program, který se spustí, až bude oběť připojená na firemní síť a stáhne vám důležitá data. Je zde spousta variant, jak tento typ útoků provádět. Lidský faktor ovlivňuje značnou část kybernetické bezpečnosti a i sebe lépe zabezpečený systém, může být prolomen díky vlivu lidského faktoru.

3.3 Viry

Viry mají spoustu podob a funkcí, v této práci si definujeme pouze základní rozdíly a významy jednotlivých virů, což nám poslouží k úplnému pochopení problematiky kyberkriminality.

Obsah této kapitoly je čerpán z práce Lukáše Jakoubka(12), pro jeho obsáhlé definování a analyzování jednotlivých virů.

Počítačový virus definujeme jako jakýkoliv program, který je sám sebe schopen spustit, bez vědomí uživatele v jeho prostředí a zde může škodit. Viry umí krást data, mazat data, zobrazovat nechtěná data (reklamy, aj.) a nebo dokonce pouštět další virové programy.

Virů je velká spousta, proto si níže definujeme jen některé.

3.3.1 Malware

Malware je škodlivý program, který je schopen útočníkovi umožnit tajný přístup do počítače oběti. Toto bývá využíváno ke krádežím identit, soukromých informací, platebních údajů, aj.

Nejčastější způsob, jak bývá počítač takovým malwarem napaden, je právě skrze internet.

Například zde spadá infikovaná příloha v podvodném emailu, mnohdy se takový malware dostane do počítače součástí jiného, jinak nezávadného, programu. Nelegální stahování hudby a her bývá velkým původcem malwarů.

3.3.2 Ransomware

Ransomware je vyděračským virem, který zahesluje a znepřístupní oběti její data, fotografie, aj. Pro odblokování požadují vyděrači velkou finanční sumu. Jedná se o velice nepříjemný virus, který může znamenat v případě nedostatečného zálohování velkou mezeru v rozpočtu společností, ale i domácností. Tento virus se taktéž šíří emailem, či vyskakovacími okny u podezřelých stránek. Ransomware se občas tváří i jako policejní zásah, aby byl věrohodnější.

Udává na stránce zablokovaného počítače, že se dostává uživatel do policejního šetření a pokud nechce, aby toto šetření pokračovalo a byl předvolán před soud, tak musí zaplatit pokutu v určité výši. Toto je samozřejmě jasný podvod.

(17)

17 3.3.3 Backdoor

Backdoorem se rozumí kód, který je schopen převzít kontrolu nad infikovaným počítačem na dálku, přičemž útočník získává k PC stejná oprávnění, jako měla oběť. Legálním programem, přes který útočníci často počítač nějakým backdoor kódem infikují je TeamViewer. Existuje velká řada „organizací“, které se takovými podvody živí. Tímto způsobem má podvodník opět volnou cestu ke všem datům oběti, se kterými může nakládat dle jeho uvážení a většina uživatelů si toho ani nevšimne.

3.3.4 Spyware

Spyware je typem Malwaru, který automaticky odesílá data z počítače uživatele bez jeho vědomí. Daty jsou zde myšleny například hesla, která má uživatel uložená v prohlížeči, jiné přihlašovací údaje atd. Často je využíván KeyLogger, který zaznamenává uživatelem stlačené klávesy a útočník z těchto záznamů může jednoduše odvodit heslo k různým stránkám, či dokonce údaje platební karty.

3.4 Phishing

V této práci posledním zmiňovaným typem kyberkriminality je právě phishing, na který se práce zaměřuje. Phishing jako takový je podkategorií sociálního inženýrství, ale v dnešních dnech je tak moc rozšířený, že si zaslouží svůj vlastní prostor. Tato kapitola bude krátká, protože podrobnějším rozebráním phishingu se zabývají následující dvě kapitoly. Perfektní pro prvotní definování je publikace Jamese Lance(8).

„Způsob odeslání falšovaného e-mailu příjemci, který klamavým způsobem napodobuje legální instituci s úmyslem vyzvědět od příjemce důvěrné informace jako číslo platební karty nebo heslo k bankovnímu účtu. Takový e-mail většinou navádí uživatele, aby navštívil nějaké webové stránky a zadal zde tyto důvěrné informace. Tyto stránky mají design podobný jako instituce, za kterou se scammer vydává, aby získal vaši důvěru. Stránky této instituci samozřejmě nepatří a výsledkem je ukradení vašich důvěrných údajů za účelem finančního zisku. Proto je slovo phishing evidentně variací na slovo fishing (rybaření), kde scammer nahazuje háčky v naději, že se do nich pár jeho obětí zakousne.“

Phishing bude rozebrán podrobněji v následující kapitole.

(18)

18

4. Phishing a jeho historie

Definici phishingu jsme si již vysvětlili v předchozí kapitole, takže se vrhneme na jeho historii a vývoj.

4.1 První zaznamenaný phishigový útok

Informace o historii phishingu tato podkapitola čerpá z publikace Jamese Lance(8).

První zaznamenaný phishingový útok nastal v roce 1995, tedy před 26 lety. Útoky započali s americkým poskytovatelem internetových služeb America Online (AOL). V tehdejší době se phishing nepoužíval v souvislosti s e-maily, jako je tomu v dnešní době, nýbrž přes IRC (Internet Realy Chat – Chatování po internetu) nebo přes upozorňování na nové zprávy, používané u AOL. Podvodníci napodobovali správce / administrátory od AOL a psali obětem například, že se objevil problém s jejich vyúčtováním a je tedy nutnost si obnovit platební údaje (Číslo karty, CVC, datum expirace) a přihlašovací údaje od jejich účtu. Tyto útoky byly dle Lance vcelku úspěšné, jelikož propojení osobních počítačů se sítí v tehdejší době bylo novinkou a tak lidé neměli tolik zkušeností s podvodníky. Tento dopad byl však poměrně malý, jelikož na světe nebylo mnoho uživatelů internetu.

Tato nová finta podvodníků naprosto rozhodila firmy, jelikož žádné IT oddělení nemělo vyčleněno finanční prostředky pro školení a jakousi přípravu lidského faktoru na tento útok.

Všechny firmy aktivně investovali do firewallu, certifikátů SSL a dalších, ale nebrali v potaz lidské selhání. Toto zapříčinilo velké škody, nejen na poli důvěrných osobních informacích, ale taktéž to mělo vliv na důvěru klientů ohledně online komunikace mezi institucemi a jejich klienty.

4.2 Vývoj phishingu na přelomu tisíciletí

Vývoj v novém tisíciletí nabíral velké otáčky. Princip se nijak speciálně nelišil, ale podvodníci se začali soustředit na poskytovatele finančních služeb. Ve své práci má Jakub Kemr(4) podložen vývoj a četnosti phishingových útoků, kde se tato práce nyní inspiruje.

První známé útoky, které byly uskutečněny proti finančním provozovatelům, byly dle jeho bádání zaznamenány v červu a později v září 2001, kde byly vedeny proti tehdejšímu

platebnímu systému E-gold, provozovaného společností Gold & Silver Reserve Inc. Uživatelé zde byli oklamáni a byli přesvědčeni, aby zadali své přihlašovací údaje na podvodných webových stránkách.

Velký zlom v četnosti phishingových útoků nastal na přelomu let 2003 a 2004. Na konci roku 2003 bylo evidováno pouhých 27 unikátních phishingových útoků, zatímco v březnu 2004 to bylo již 402 unikátních údajů. Dle podloženého bádání pana Kemra, bylo více, než dvě třetiny těchto útoků cíleno na tři společnosti. Na společnost eBay, která je internetovou aukční síní, bylo vedeno 110 unikátních phishingových útoků. Na společnost Citibank, která je

významnou internetovou bankovní institucí spadající do skupiny Citigroup, bylo vedeno 98 unikátních phishingových útoků a téměř poloviční počet útoků, 63, byl veden proti společnost PayPal, který je aktuálně velice aktivně využívaný platební systém pro převody peněz mezi účty v různých měnách napříč světem.

(19)

19

Obrázek 1 Unikátní phishingové útoky v březnu 2004

Zdroj: Graf z práce Jakuba Kemra(4)

Nárust unikátních phishingových útoků pokračoval s rostoucí oblíbeností a užíváním internetu napříč širokou veřejností mezi lety 2004 a 2006. V posledním kvartále roku 2004 bylo zaznamenáno necelých 25 tisíc phishingových útoků, o tři roky později se toto číslo téměř ztrojnásobilo.

Obrázek 2 Počet phishingových hlášení (konec roku 2004 - 2006)

Zdroj: Graf z práce Jakuba Kemra(4)

(20)

20

4.3 Současnost a budoucí vývoj

Data v této kapitole jsou čerpána z oficiálních reportů Anti-Phishing Working Group(13).

S vývojem kybernetické bezpečnosti by se dalo očekávat, že útoky po roce 2010 začnou slábnout, ale není tomu zdaleka tak. V roce 2013 bylo zaznamenáno průměrně každý měsíc 40 tisíc unikátních phishingových útoků, což znamená téměř půl milionu unikátních útoků ročně.

Obrázek 3 Počet unikátních útoků v roce 2013

Zdroj: Vytvořeno autorem pomocí dat z reportů Anti-Phishing Working Group(13)

V roce 2017 toto číslo opět roste, zde byl měsíční průměr téměř 70 tisíc útoků, což vede k ročnímu číslu téměř 850 tisíc unikátních útoků. I v roce 2017 bylo nejvíce zaměřovanou oblastí pro útoky právě finanční prostředí, 45% ze všech těchto útoků bylo vedeno vůči finančním společnostem, či službám.

Obrázek 4 Počet unikátních útoků v roce 2017

(21)

21

V roce 2020 se phishigové útoky začaly „živit“ na aktuální pandemické situaci s virem COVID-19. Většina phishigových útoků v tomto roce byla vedena právě touto tématikou.

Pokusy o získání osobních údajů vydávajíc se za banky, které mění platební, či jiné obchodní podmínky z důvodu pandemické situace, aj. S nárůstem využívání konferenčních aplikací pro práci, či studium z domova byl zaznamenán až tisíci násobný nárust phishingových útoků vedených v rámci těchto aplikací. Například skrze Zoom bylo vedeno v březnu pouze 8 unikátních útoků, ale v dubnu tomu bylo již 1 054 unikátních útoků.

Bohužel v prvním kvartálu společnost APWG neudává přesný počet unikátních

phishingových útoků, ale je zde veden údaj o počtu nahlášených podvodných webových stránkách, průměrně 55 tisíc těchto stránek každý měsíc.

V druhém kvartále poklesl měsíční průměr podvodných webových stránek na 50 tisíc stránek za měsíc. Ovšem taktéž téměř 80% podvodných stránek začalo využívat SSL certifikátů, tyto stránky potom působí větší důvěryhodností.

Ve třetím kvartále nastal extrémní nárust podvodných webových stránek, až téměř na čtyř násobek. Měsíční průměr ve třetím kvartále byl skoro 200 tisíc takovýchto podvodných stránek. Většina podvodných institucí začala pravděpodobně cílit právě na phishing, jelikož se díky pandemické krizi přesunula většina populace do online prostředí a tráví zde

podstatně více času, než v dřívějších letech.

Údaje o čtvrtém kvartále, bohužel, nebyly doposud vydány, ale při sledování vývoje pandemické situace ve světě a při porovnání s daty ze třetího kvartálu můžeme očekávat masivní nárust. Dle mé teze by v této době bylo dobré vyčlenit peníze ze státního rozpočtu na školení všech obyvatel, kteří aktivně využívají internetu ke své práci či studiu, aby se zamezilo tomuto nepříjemnému podvodnímu trendu, který bude rozhodně dále sílit.

Obrázek 5 Počet odhalených podvodných stránek v roce 2020

(22)

22

5. Druhy phishingových útoků

Phishing má mnoho podob a druhů. Některé z těch nejlepších a nejúčinnějších v této kapitole rozebereme a taktéž na konci zanalyzujeme a vybereme nejúčinnější variantu pro naše

prostředí a účel.

Perfektně se tímto zabývají publikace Jamese Lance(8) a Jana Koloucha(14). Z nichž tato kapitola čerpá.

5.1 Falešná identita

„Falešná identita je nejoblíbenější a nejjednodušší metodou podvodu. Vyžaduje vybudování kompletní falešné stránky, k jejíž návštěvě je příjemce nalákán. Taková falešná stránka obsahuje grafický materiál ze skutečné webové stránky a může být se skutečnou stránkou dokonce propojena.“ James Lance, Phishing bez záhad(8).

Útok pomocí falešné identity začíná tzv. zrcadlením cíle. Zrcadlení cíle vlastně znamená okopírování obsahu stránky, za kterou se chce útočník následně vydávat. V některých případech to může být snadné, někde zase náročné, hrozně záleží na webové stránce.

Žádný phisher nechce zrcadlením ztrácet mnoho času, proto většina phisherů zrcadlí a přebírá pouze části stránky, které jsou pro něj vhodné, zbytek přesměrovává na odkazy z originální stránky.

Velice využívané je následné přesměrování na originální cíl. Při přihlašování náš kód nejprve odešle údaje nám, ale následně uživatele přihlásí na reálnou stránku. V tomto případě si oběť vůbec nevšimne, že byla podvedena.

Jakmile je stránka o zrcadlená, tak jí nahrajeme na náš webový server a upravíme kód tak, aby nám umožňoval krást citlivé údaje. Například přenastavením formuláře, aby místo původní operace údaje vzal a odeslal nám.

„K věrohodnosti vytvořené stránky je však dobré, aby název domény byl co nejpodobnější názvu té skutečné, na což existují dvě základní řešení. Prvním z nich je náhrada textu v adresním řádku za text jiný, čehož lze docílit použitím techniky address bar spoofing.

Druhou metodou je tzv. cousin domain attack(útok bratrancovou doménou), při které si phisher zaregistruje takový název domény, který na první pohled vypadá jako ten skutečný.“ Jakub Kemr, Problematika phishingu(4).

Nastavíme server, aby vše odesílal do naší anonymní e-mailové schránky. Poskytovatelů anonymních schránek je na internetu hromada. Anonymní e-mailovou stránku si můžeme založit například u poskytovatele Yahoo! Nebo Hotmail, podvodníci tyto e-maily zakládají za použití VPN, aby nebyly lehce dohledatelní při odhalení podvodu.

Následuje tvorba phishingového e-mailu. Tato část je velice kreativní a taktéž velice důležitá, je to totiž to, co donutí oběť, aby se chytila a vyplnila pro útočníka její soukromé údaje.

„Styl zprávy má zásadní význam pro to, abychom oběť přesvědčili. Na začátku je zájem a opravdově znějící obava o příjemcovu bezpečnost a informace o účtu. Druhá věta udává místo a typ akce, kterou má příjemnce provést, přičemž poslední věta je nátlak, výhružný tón, zdůrazňující nutnost klepnout na odkaz a provést popsané kroky. Použijeme standartní podpis, který vypadá autenticky a zároveň oběť informujeme, že nemá na e-mailovou zprávu odpovídat. Jasné, informativní a stručné.“ James Lance, Phishing bez záhad(8).

(23)

23

Nyní si uvedeme příklad takového e-mailu, kdyby předchozí popis nebyl zcela jasný.

Od: info@paypal.com Komu: oběť@gmail.com

Předmět: Nežádoucí aktivita na Vašem účtu Vážený uživateli služby PayPal,

je pro nás velice důležité Vám poskytovat naše služby s maximální bezpečností. V nedávné době byl zaznamenán rozsáhlý útok veden vůči naším zákazníkům a z bezpečnostních důvodů je důležité, abyste se přihlásil ke svému účtu a překontroloval si, jestli zde nebyla nějaká nežádoucí operace. K přihlášení využijte odkaz níže, v případě nežádoucích pohybů na Vašem účtu kontaktujte naše středisko podpory help@paypal.com. Učiňte tak do 24 hodin od přijetí tohoto e-mailu, na pozdější reklamace nebude brán ze zákona zřetel a o své peníze trvale přijdete.

http://PodvodnýOdkazNaStránky.com Děkujeme za Vaší spolupráci.

Ing. Honza Vomáčka

Specialista kybernetické bezpečnosti PayPal

*** Jedná se o automatizovanou zprávu, prosím, neodpovídejte na tento e-mail***

Je více než vhodné mít příklad e-mailové komunikace, které naše zrcadlená společnost

používá a toto taktéž zakomponovat do e-mailu, například logo společnosti, skutečné e-maily, atd.

5.2 Metoda přesměrování

„Přesměrování se nejčastěji objevuje v souvislosti se stránkami Amazon, Ezay a PayPal a představuje je obyčejně e-mail, který obsahuje veškerou grafiku skutečné stránky a

přihlašovací nástroje v ní. Pokud se oběť přihlásí prostřednictvím přesměrovacího odkazu v e-mailu, jsou uživatelská data odeslána na nepřátelský server, zatímco uživatel je přesměrován na skutečnou stránku a v mnoha případech jej systém na skutečnou stránku přihlásí pomocí technicky Prostředník(Man-in-the-middle – MITM). Plynulost útoku přesměrováním je bezchybná a oběť obyčejně ani neví, že byla vystavena phishingu.

Slabinou tohoto postupu je fakt, že spoléhá na samotný spam, který musí projít, aniž by byl odfiltrován. Díky množství HTML kódu v takovém e-mailu jej většina firemních

antivirových a antispamových filtrů zablokuje.“ James Lance, phishing bez záhad(8).

U metody přesměrováním nemusíme zrcadlit stránku, jelikož přihlašovací údaje zadává oběť přímo v e-mailu a následně jí přesměrovávací skript přesměruje a přihlásí na oficiální

stránky.

Postup tvorby podvodu pomocí přesměrování je jiný, v první řadě si útočník připraví e-mail.

Struktura je stejná jako u předchozí metody, jenom se odkaz na stránky vymění za přihlašovací pole, pole na heslo a tlačítko na odeslání.

(24)

24

I v tomto případě si musíme připravit server, ale jeho jedinou funkcí je odeslání zadaných údajů a přesměrování oběti na originální stránku. Takovýto útok je velice efektivní v případě elektronických obchodů, jelikož velice často posílají informace, novinky a jiné e-maily ve velkém množství, proto se zde takový podvodný e-mail dokáže ztratit a takzvaně „zapadnout“.

Metoda přesměrováním je jednodušší a rychlejší na zkonstruování než metoda falešné identity, ale bohužel je reálně využitelná jen na segment internetových obchodů.

Tato metoda taky pokulhává v souboji proti spam filtrům, které by podvodný e-mail mohli vyfiltrovat a označit jako spam. V tom případě naše šance na úspěch rapidně klesá.

V modernějších vydáních zabývající se touto tématikou už zmínka o metodě přesměrování téměř není, tímto tedy práce považuje tuto metodu za již přežitou a v současnosti minimálně použitelnou.

5.3 Pharming

„Pharming představuje sofistikovanější a nebezpečnější formu phishingu. Jedná se o útok na DNS (Domain Name System) server, na kterém dochází k překladu doménového jména na IP adresu. K útoku dochází v momentě, kdy uživatel zadá na internetovém prohlížeči adresu webového serveru, na kterou chce přistoupit. Nedojde však k propojení na

příslušnou IP adresu originálního webového serveru, ale na IP adresu jinou, podvrženou.

Webové stránky na falešné adrese zpravidla velmi věrně imitují originální stránky, de facto jsou od nich k nerozeznání. Uživatel následně zadá přihlašovací údaje, které získá útočník.

Tento útok je zpravidla realizován při přístupu uživatele na stránky internetového bankovnictví.“ Jan Kolouch, CyberCrime(14)

Pharming tedy nevyužívá „rybaření“ pomocí e-mailů, ale útočí v momentě, kdy se uživatel pokusí připojit na webové stránky společnosti, na kterou vede útok. Takovýto útok už je mnohem náročnější, než předchozí dva, které tato práce uvádí. Takovéto falešné webové stránky opět slouží k odcizení osobních, či platebních údajů oběti za účelem nějakého zisku.

Další možnou podobou pharmingu je útok přímo na počítač oběti za pomoci malwaru, kde malware bez vědomí uživatele přesměrovává uživatele na podvržené stránky, místo těch oficiálních.

Obrázek 6 Anatomie Pharmingu

Zdroj: Vytvořeno autorem

(25)

25

5.4 Spear Phishing

„Spear phishing je jednou z forem phishingového útoku, avšak s tím rozdílem, že spear phishing je přesně cílený útok, na rozdíl od phishingu, který je útokem spíše plošným (nahodilým). Cílem útoku bývá konkrétní skupina, organizace nebo jednotlivec, konkrétně informace a data, která se v této organizaci nacházejí (např. duševního vlastnictví, osobní a finanční údaje, obchodní strategie, utajované informace aj.).“ Jan Kolouch, CyberCrime(14) Rozdíl mezi klasickým phishingem a spear phishingem spočívá v tom, že se cílí na menší počet obětí. Například útočník na začátku útoku získá podrobné informace o organizaci a zaměstnancích, následně si vybere oběti, které by měly být nejsnadnější zmanipulovatelné a začne s nimi komunikovat, například vydávající se za jeho kolegu. Po nabytí nějaké důvěry od svého „kolegy“ se útočník tohoto kolegu pokusí získat k rozšíření dalších zpráv dalším

jedincům, toto může být zařízeno pomocí šikovného malwaru. Oběť má k útočníkovi nějaký citový vztah a proto je mnohem méně, nebo vůbec, obezřetná.

Obrázek 7 Anatomie spear phishingového útoku

Zdroj: Upraveno autorem z publikace Jana Koloucha(14)

(26)

26

5.5 Vishing

„Pojem vishing499 označuje telefonický phishing, při kterém útočník využívá technik sociálního inženýrství a snaží se od uživatele vylákat citlivé informace (např. čísla účtů, přihlašovací údaje – jméno a heslo, čísla platebních karet, aj). Útočník se záměrně snaží zfalšovat svoji identitu. Útočníci se často představují jako zástupci skutečných bank či jiných institucí, aby u uživatele vyvolali co nejmenší podezření. Vishing se používá ve VoIP (Voice over Internet Protocol) telefonii.“ Jan Kolouch, CyberCrime(14)

Takový útok je velmi aktivně využívaný v kombinaci s jinými druhy phishingu. Například rozšířená byla varianta ozrcadlených stránek, které vyhazují chybovou hlášku o chybě na straně uživatele s nabídkou telefonního čísla. Neznalý uživatel o takovéto věci moc

nepřemýšlí a ihned volá na linku falešné podpory, kde si jej již útočník zpracuje podle svého.

Může se přes TeamViewer připojit do jeho počítače a propašovat sem škodlivý malware, nebo klidně pouze slovně uživatele přesvědčit k tomu, aby odevzdal údaje z důvodu „kontroly“.

5.6 Smishing

Smishing je velice podobný jako Vishing, akorát k distribuci „návnad“ využívá SMS zprávy.

Smishing se primárně snaží oběti přinutit zaplatit nějakou finanční částku, zavolat na placenou linku, nebo prokliknout na URL adresu. Taková URL adresa může být buď kopií webové stránky vybrané organizace, nebo může například požádat uživatele o stažení škodlivého souboru.

Příkladem Smishingu může být takováto SMS – „Upozornění, vaše debetní karta byla zablokována. Pro reaktivaci Vaší debetní karty, prosím, volejte na číslo 886 999 665. Toto je automaticky vygenerovaná zpráva od společnosti ČSOB.“

Výše avizovaná telefonní linka bude s velikou pravděpodobností draze zpoplatněna a útočník se bude snažit oběť držet na telefonu, co možná nejdelší dobu.

5.7 Obsahová Injekce

Obsahovou injekci korektně rozebírá kniha Markuse Jakobssona a Stevena Myerse(15).

Tento druh phishingu spočívá ve „vstřikování“ škodlivého obsahu přímo do originální

stránky, či aplikace. Takovým obsahem může být například kód přesměrovávající uživatele na jinou, podvodnou stránku, kód instalující škodlivý malware do počítače oběti nebo upravená verze elementu stránky, která veškerá zadaná data automaticky odesílá útočníkovi. Obsahová injekce má tři základní techniky:

• SQL injekce

• Cross-site scripting

• HTML injekce

(27)

27

SQL injekce využívá zranitelnosti databáze cíle, respektive využívá neošetřené vstupy, jakými jsou například textová pole. SQL injekce spustí SQL příkazy na vzdáleném serveru (serveru útočníka) a může si číst, či ukládat veškerá data. SQL injekce je výsledkem špatného filtrování dotazů v databázi, respektive chyba tvůrce této databáze.

Cross-site scripting (XSS) využívá zranitelnosti stránky, respektive programovacích chyb, které spočívají ve stahování, používání obsahu z externího zdroje (Uživatelská recenze na zboží, zpráva na diskuzním fóru, aj.). Útočník tak může „propašovat“ škodlivý javascriptový kód přímo do počítače návštěvníka, kde se tento kód spustí. Špatně nastavené filtrování, stejně jako u SQL injekce, je hlavním důvodem vzniku této slabiny.

HTML injekce spočívá ve využití zranitelnosti HTML kódu stránky. Stejně jako je tomu u Cross-site scriptingu i zde je využíváno programovacích chyb při validaci vstupu. Tímto způsobem mohou modifikovat HTML tagy a vložit na oficiální stránky svůj vlastní obsah.

Takto upraveným obsahem mohou využívat důvěryhodnosti stránky a odkazovat na ozrcadlené stránky, či na stránky nabádající ke stažení škodlivého malwaru.

5.8 Nigerijské dopisy

Nigerijské dopisy, taktéž známé jako Scam419 jsou velice zvláštním druhem internetového podvodu. A i přes to, že vznik tohoto podvodu se datuje už někdy koncem 16. století, tato práce považuje nigerijské dopisy za jednu z forem phishingu. Tato forma útoku je totiž moderním phishingovým formám dosti podobná. Nigerijské dopisy necílí na osobní či platební data, ale přímo na zisk finančních prostředků oběti, podobně jako je tomu u Smishingu.

Nigerijské dopisy se šíří primárně pomocí e-mailů a mají spoustu forem, kterými se snaží z uživatelů vylákat finanční prostředky. Velmi rozšířenou formou, se kterou se setkávají lidé velice často, je náhodný miliardář, který se rozhodl pomáhat lidem a rozdává své obrovské bohatství. Příklad takového e-mailu je k vidění níže.

„Dobrý den,

jsem úspěšný podnikatel, který vlastní čtyři mezinárodní organizace. Mám ve vlastnictví kapitál v hodnotě 56 miliard dolarů. Poslední dobou se snažím hledat způsoby, jak pomáhat lidem a proto jsem se rozhodl, že právě Vám pošlu část svých peněz, přesněji 10 milionů dolarů. Doufám, že tyto peníze využijete ke změně svého života ku obrazu svému!

Budu se těšit na vaší odpověď.

S pozdravem,

Ing. Charles Wiliams DefinitelyNotTrickster“

V případě, že se oběť napálí a na takový e-mail odpoví, tak nejen, že se její adresa začne šířit mezi další podvodníky a oběť začne bombardovat mnohem více podvodních e-mailů, ale taktéž se oběti dostane odpovědi, že je potřeba zaplatit transakční poplatek ve výši 500 dolarů, aby tato transakce mohla být provedena, či jiná podobná forma, kde se tento

„miliardář“ snaží vyloudit z oběti finanční prostředky.

Další formou nigerijských dopisů bývá člověk, který oběť seznámí se svým srdceryvným příběhem, například hladovějící děti v Africe. Následně se z oběti pokouší získat finanční prostředky k tomu, aby se tomu dalo zamezit. Samozřejmě se nejedná o žádnou oficiální charitativní organizace a tyto finanční prostředky odcizí útočník do své kapsy.

(28)

28

5.9 Shrnutí druhů phishingových útoků

Pro jednoduchost bylo zvoleno shrnutí phishingových útoků z této kapitoly do jednotné tabulky. Bylo přidáno ohodnocení náročnosti útoku, čímž se rozumí, kolik práce a nebo vědomostí takový phishingový útok vyžaduje k provedení.

Tabulka 1 Shrnutí metod phishingu

Typ phishingu Cílový segment Využívaná platforma Cíl útoku Náročnost útoku

Falešná identita Velká skupina uživatelů E-mail, Web Osobní údaje Střední

Metoda přesměrování Velká skupina uživatelů E-mail Osobní údaje Střední

Pharming Velká skupina uživatelů DNS server, Web Osobní údaje Náročný

Spear phishing Jednotlivci E-mail, Web Osobní údaje Náročný

Vishing Velká skupina uživatelů

Telefon, Web, Program vzdálené

podpory

Osobní údaje, Finance Střední

Smishing Velká skupina uživatelů Telefon, Web Osobní údaje, Finance Střední

Obsahová injekce Velká skupina uživatelů Web Osobní údaje, Finance Náročný

Nigerijské dopisy Velká skupina uživatelů E-mail Finance Jednoduchý

(29)

29

6. Analýza univerzitního prostředí

Jak již bylo avizováno v úvodu této práce, tak je tato bakalářská práce výstupem

celorepublikového projektu - Zvýšení úrovně kybernetické bezpečnosti v prostředí VVŠ.

Jelikož je útok veden ve spolupráci s univerzitou, tak by nebylo příliš náročné vytvořit tak věrohodný útok, že by na něj kliknuli téměř všichni. Avšak účelem edukativního testování studentů a zaměstnanců v rámci výše zmíněného projektu je nabídnout uživatelům bezpečné poučení v situaci, kdy se setkají s hrozbou phishingového útoku. Pravidelným testováním bude následně dosaženo rozšíření obecného povědomí o phishingu a také zvýšení bezpečnosti uživatelů i systému v kyberprostoru.

V univerzitním prostředí byly definovány 4 skupiny uživatelů. Testování budou studenti, přičemž někteří studenti jsou česky mluvící a někteří využívají ke komunikaci s univerzitou angličtinu. Pro obě tyto skupiny je potřeba sestrojit vlastní testovací útok, jak český, tak anglický. Následují zaměstnanci akademické obce, i zde se najdou zaměstnanci, kteří pracují pouze v angličtině, proto musíme opět útok vytvořit pro obě jazykové varianty. Nadále je rozhodně důležité vést proti studentům jinou podobu testovacího e-mailu, než proti zaměstnancům. Zvýší to věrohodnost v každé skupině.

6.1 Výběr vhodného útoku

Mezi nejčastější útoky, které cílí na větší organizace jsou právě malwary, útoky falešnou identitou a spear phishingy, právě z tohoto důvodu byl vybrán útok falešnou identitou.

Malware útoky bývají časté, ale ne tak časté, jako pokusy o krádež osobních údajů skrze falešnou identitu a jelikož tento projekt si dává za úkol otestovat všechny studenty a

zaměstnance univerzity, tak není vhodnou volbou ani spear phishing. Práce si ovšem dává za úkol vymodelovat i spear phishingový útok, který nebude reálně využit, ale může být reálně nasazen v případě menších skupin uživatelů s vysokým oprávněním v systému.

Proto se tato práce bude zabývat pokusem o získání osobních údajů skrze falešnou identitu, viz. Kapitola 5.1. A taktéž cíleným útokem na jedno odvětví viz. Kapitola 5.4.

6.2 Úrovně a Scénář

V rámci projektu je potřeba komplexně otestovat odolnost uživatelů proti více úrovním phishingů, proto práce vybírá tyto tři úrovně a scénáře.

Podrobnější informace o uvažovaných úrovních budou rozepsány v praktické části. Zde práce alespoň mírně nastíní tyto úrovně a jejich výběr. Nebyla nalezena žádná literatura, která by popisovala různé úrovně phishingového e-mailu, proto budou tyto úrovně odvozeny ze všech nabytých informací a vědomostí v rámci této bakalářské práce.

První úroveň bude znázorňovat naprosto nepersonalizovaný útok, který může být rozesílán útočníky náhodně po celé republice. S jedinou drobnou úpravou, pomocí dynamických značek zasadíme do zprávy jméno a e-mailovou adresu oběti. Zde bude zvolena nějaká známá e-mailová struktura, například od dopravní společnosti DHL. Dle našich predikcí by tento útok měl mít velice nízkou úspěšnost. Tato úroveň si dává za úkol nalézt ty nejohroženější uživatele a včasně jim poskytnout školení.

(30)

30

Druhá úroveň by měla být poměrně rozeznatelná a obsahovat několik chyb. Tento e-mail bude odeslán záměrně s gramatickými chybami, které budou simulovány přeložením skrze překladač, chybami v interpunkci a i z externí domény, například vše.eu, na místo vše.cz, aby měli studenti a zaměstnanci vyšší šanci tento útok rozeznat. Bude zde využito simulované buď malwarové přílohy, kde by oběti měly zbystřit a neklikat na neověřené přílohy, nebo prokliku na přihlášení. Taktéž bude záměrně zvolena jiná struktura, než kterou využívá univerzita, toto simuluje útok od vnějších útočníků, kteří nemají žádné hlubší informace o fungování univerzity a pracují pouze s tím, co se dá veřejně zjistit.

Třetí úroveň bude bez gramatických chyb a e-mail bude sestaven podle reálné struktury e- mailů, které ke komunikaci využívá univerzita, aby bylo podstatně náročnější útok rozeznat.

Hlavním vodítkem zde bude externí doména pro zadání uživatelských údajů, jelikož tento útok bude cílit na zadání údajů do přihlašovacího formuláře na podvržené webové stránce.

Tento útok bude simulovat útočníka, který již má vědomosti ohledně fungování univerzity.

Tento útok nebude aktuálně pravděpodobně vypuštěn, jedná se totiž o útoky se silným využitím sociálního inženýrství.

Úrovně byly zvoleny jako takový katalog různých variací phishingových útoků, které by měli uživatelé být schopni rozeznat. Drobný přehled všech variant, které můžou být využity najdete v tabulce níže.

Tabulka 2 Katalog jednotlivých úrovní phishingového útoku

Úroveň Informovanost útočníka

Míra personalizace

útoku

Identifikátory phishingu v útoku

Možné typy simulovaných

útoků

První Neinformovaný Nepersonalizovaný

Gramatické chyby simulovány za pomocí

překladače

Časově omezená nabídka E-mail odeslán z neexistující domény

Fiktivní odesílatel Využívá známých „identit“

(dhl, microsoft, zoom)

Krádež přihlašovacích údajů, malwarová

příloha, odkaz na stažení malwaru

Druhá Informován z veřejně dostupných zdrojů

Personalizován na širší okruh

uživatelů

Časově omezená nabídka E-mail odeslán z domény s určitou podobností reálné

Nedostatek informací o odesílateli

Chybná struktura e-mailu

příloha, odkaz na stažení malwaru

Třetí Perfektní informovanost

Perfektně personalizovaný na jedno odvětví, či malou skupinu

osob

Odkaz na vnější doménu pro zadání údajů, či stažení

malwarového souboru Chybí oficiální certifikát Nutnost kontroly hlavičky

e-mailu

příloha

(31)

31

7. Tvorba úrovní edukativního testování pro univerzitní prostředí

Phishingové útoky se v prostředí Vysoké školy ekonomické v Praze budou provádět pomocí služby školení simulace útoku v rámci modulu security microsoft 365. Pro využití modulu security microsoft 365 je zapotřebí vlastnit lincence A5/E5 pro simulaci mailových útoků.

Tato informace byla zjištěna po konzultaci se zástupcem Microsoftu. V první kapitole bude tento nástroj představen. Tato práce je spojena s verzí platnou v období 3/2021, jelikož je modul v neustálém vývoji, je možné, že se některé části budou lišit v pozdějších verzích.

Mezi další, sofistikovanější možnosti patří například nástroj GoPhish. K fungování GoPhish je ovšem zapotřebí ovládat OS Linux. GoPhish nabízí solidní analytiky a vyhodnocení jednotlivých útoků a také umožňuje komplexnější zpracování a personalizování útoků. Na použití tohoto nástroje bych se rád zaměřil v mé diplomové práci.

7.1 Phishing simulátor modulu security microsoft 365

Obrázek 8 Úvodní obrazovka simulátoru

Při zapnutí nástroje nás to přesune na okénko přehledu, kde můžeme sledovat statistiky všech spuštěných simulací v rámci projektu. V této chvíli je zde pouze jeden testovací, který jsme vytvořili. V této kapitole budete provedeni tvorbou útoku krok po kroku.

Každý útok se skládá z několika datových částí. Před spuštěním musíme vytvořit datovou část pro strukturu e-mailu a datovou část pro podvrženou webovou stránku, či malwarovou přílohu. Proto přecházíme v nabídce na položku datové části.

(32)

32

Obrázek 9 Simulátor - Datová část

Zde můžeme využít již hotových datových částí od společnosti Microsoft, nebo vytvořit své vlastní. Pro adekvátní výsledky je vždy žádoucí vytvořit vlastní, personalizovanou datovou část. Klikneme tedy na položku „Vytvořit datovou část“.

Obrázek 10 Tvorba datové části - Výběr typu

Zde si můžeme vybrat, jakou datovou část chceme vytvořit. Nabízí se zde možnosti E-mailu, Webové stránky, SMS zprávy a Teams zprávy. V aktuální rozpracované verzi jsme schopni vytvářet pouze datovou část e-mailu. V rámci tohoto projektu nejsme nijak omezeni a je jisté, že v budoucích měsících budou naimplementovány i tyto další datové části.

Vybereme e-mail a dáme „další“.

(33)

33

Obrázek 11 Tvorba datové části - Výběr techniky

Zde je třeba si zvolit metodu útoku, který chceme pro naší simulaci použít. Každá položka je pod svým názvem krátce a

adekvátně vysvětlena, takže zde není žádný problém s

nesrozumitelností.

Je zde varianta zobrazení

podrobností u jednotlivých forem útoku, což může velice dobře posloužit v případě nejasností.

My cílíme na získání citlivých dat, respektive přihlašovacích údajů, takže volíme první variantu a klikneme na „další“.

Obrázek 12 Tvorba datové části - Název datové části

Následuje pojmenování datové části a popis, aby bylo možné tuto datovou část správně identifikovat.

Opět pokračujeme stisknutím tlačítka „další“.

(34)

34

Obrázek 14 Ukázka doručeného e-mailu

Obrázek 13 Tvorba datové části - Konfigurace 1

Dostáváme se do fáze konfigurace. Zde vyplníme podrobnosti o odesílateli. Je zde možnost si vymyslet úplně cokoliv a v e-mailu se to zobrazí věrohodně (viz obrázek 14). Zadáváme tedy název například jako Oddělení bezpečnosti VŠE v Praze. Toto se zobrazí jako jméno

odesílatele v e-mailu. Následuje e-mailová adresa, například přesně ta, kterou reálně organizace využívá, toto záleží na záměru simulace. Poté předmět e-mailu, který by měl souviset s obsahem phishingové zprávy.

Nakonec volíme URL adresu phishingového odkazu. Jsou zde ozrcadlené webové stránky, všechny, v aktuální verzi, připomínají přihlášení do Microsoft účtu.

Posuneme se na stránce níže.

(35)

35

Tato část tvorby datové části není nikde v dokumentaci modulu vysvětlena. Informace o ní byl autor nucen čerpat z přímého rozhovoru s pověřeným zaměstnancem Microsoftu. Tato část slouží pro případ filtrování výsledných simulací. Pro jednorázové simulace tedy irelevantní, v případě dlouhodobých projektů je třeba na ní brát zřetel.

Posouváme se níže.

Dostáváme se do části tvorby struktury podvodného e-mailu. Nejprve klikneme na

„Phishingový odkaz“ a e-mail vytvoříme kolem. Tento odkaz je vkládán na začátek e-mailu a není možné jej překopírovat jinam, jinak se stává neplatným a nástroj vás nepustí dál. Toto je pravděpodobně nedostatek aktuální verze modulu, předpokládá se, že bude v budoucnu opraveno.

(36)

36

Po kliknutí se nám zobrazí toto okénko. Zde si můžeme povšimnout drobné nedokonalosti ve formátování textů. Do okénka název můžeme vyplnit jakýkoliv text, jakoukoliv adresu, uživatel bude vždy přesměrován na adresu, kterou jsme zvolili výš. Zde je možnost tedy vyplnit například „KLIKNĚTE ZDE“, nebo jakoukoliv věrohodnou adresu školy, aj.

Vyplníme e-mail podle zvoleného scénáře testování a můžeme taktéž využít dynamických značek. Dostupné jsou tyto dvě značky, které zastupují jméno uživatele a jeho e-mailovou adresu. Tyto dynamické značky se mění podle údajů příjemce. Zvolíme „další“ a pokračujeme.

(37)

37

Obrázek 19 Tvorba datové části - Indikátory 1

V této fázi je možné přidat indikátory, které měli oběti navést k odhalení phishingu. Zde záleží už pouze na zájmu testující organizace či osoby, jak si přeje oběti informovat o jejich chybě. Můžeme nechat buď prázdné, či přidat nějaké indikátory.

Obrázek 20 Tvorba datové části - Indikátory 2

Vyplníme, čeho se indikátor má týkat, kde chceme indikátor vyznačit, popíšeme a následně vybereme část textu z kódu, který má být označen.