{"id":95299,"date":"2022-04-26T08:59:54","date_gmt":"2022-04-26T06:59:54","guid":{"rendered":"https:\/\/blog.wedos.cz\/?p=95299"},"modified":"2022-04-26T08:59:56","modified_gmt":"2022-04-26T06:59:56","slug":"phishingove-kampane-a-na-co-si-dat-pozor","status":"publish","type":"post","link":"https:\/\/blog.wedos.com\/cs\/phishingove-kampane-a-na-co-si-dat-pozor","title":{"rendered":"Phishingov\u00e9 kampan\u011b a na co si d\u00e1t pozor"},"content":{"rendered":"\n

V pr\u016fb\u011bhu b\u0159ezna jsme zaznamenali dv\u011b v\u011bt\u0161\u00ed phishingov\u00e9 kampan\u011b, kter\u00e9 sm\u011b\u0159ovaly na na\u0161e z\u00e1kazn\u00edky. C\u00edlem bylo z\u00edskat p\u0159\u00edstup do z\u00e1kaznick\u00e9 administrace a e-mailov\u00fdch schr\u00e1nek. Ob\u011b tyto kampan\u011b jsme i d\u00edky proaktivn\u00edmu p\u0159\u00edstupu z\u00e1kazn\u00edk\u016f mohli detailn\u011b monitorovat a zabr\u00e1nit zneu\u017eit\u00ed slu\u017eeb u z\u00e1kaznick\u00fdch \u00fa\u010dt\u016f, kte\u0159\u00ed kyberpodvodn\u00edk\u016fm nalet\u011bli. <\/p>\n\n\n\n\n\n\n\n

Pro\u010d jsou kampan\u011b c\u00edlen\u00e9 na z\u00e1kazn\u00edky WEDOS <\/h2>\n\n\n\n

WEDOS je podle mnoha m\u011b\u0159\u00edtek nejv\u011bt\u0161\u00edm poskytovatelem hostingov\u00fdch slu\u017eeb v \u010cesku<\/strong>. T\u00e9m\u011b\u0159 ka\u017ed\u00e1 p\u00e1t\u00e1 dom\u00e9na sm\u011b\u0159uje do na\u0161ich datacenter. Z\u00e1rove\u0148 jsme jedn\u00edm z nejv\u011bt\u0161\u00edch registr\u00e1tor\u016f dom\u00e9n v \u010cesku (mo\u017en\u00e1 nejv\u011bt\u0161\u00ed, ve\u0159ejn\u00e9 statistiky pro v\u011bt\u0161inu dom\u00e9nov\u00fdch koncovek nejsou).<\/p>\n\n\n\n

\"\"
Po\u010det hostovan\u00fdch .cz dom\u00e9n 05.04.2022 podle ve\u0159ejn\u00fdch statistik CZ.NIC<\/a>.<\/figcaption><\/figure>\n\n\n\n

Kyberpodvodn\u00edk\u016fm se tak vyplat\u00ed vyu\u017e\u00edt na\u0161i zna\u010dku ve sv\u00fdch kampan\u00edch. I kdy\u017e sv\u016fj spam budou c\u00edlit „na slepo“, s po\u010dtem z\u00e1kazn\u00edk\u016f kter\u00e9 m\u00e1me, se mnohokr\u00e1t tref\u00ed. <\/p>\n\n\n\n

Pro\u010d prob\u00edhaj\u00ed phishingov\u00e9 kampan\u011b pr\u00e1v\u011b te\u010f<\/h2>\n\n\n\n

Fyzick\u00e1 v\u00e1lka se vede na Ukrajin\u011b, ale ta kybernetick\u00e1 po cel\u00e9m sv\u011bt\u011b. Bezpe\u010dnostn\u00ed t\u00fdmy mus\u00ed \u0159e\u0161it v\u00edce bezpe\u010dnostn\u00edch incident\u016f a jsou tak\u00e9 vl\u00e1dn\u00edmi institucemi vyz\u00fdv\u00e1ny k v\u011bt\u0161\u00edmu dohledu a pos\u00edlen\u00ed kybernetick\u00fdch ochran. Pozornost se tak p\u0159esouv\u00e1 sp\u00ed\u0161e k DDoS \u00fatok\u016fm, malware, hacknut\u00fdm web\u016fm atd. Klasick\u00e9 phishingov\u00e9 kampan\u011b ustupuj\u00ed do pozad\u00ed, \u010deho\u017e se samoz\u0159ejm\u011b kyberpodvodn\u00edci sna\u017e\u00ed vyu\u017e\u00edvat.<\/p>\n\n\n\n

Jak phishingov\u00e1 kampa\u0148 prob\u00edh\u00e1<\/h2>\n\n\n\n

Velk\u00e9 phishingov\u00e9 kampan\u011b pot\u0159ebuj\u00ed zdroje a ty zaji\u0161\u0165uje botnet. Co\u017e je s\u00ed\u0165 napaden\u00fdch stroj\u016f (servery, po\u010d\u00edta\u010de, mobiln\u00ed telefony, televize, ledni\u010dky, online kamery … prost\u011b cokoliv p\u0159ipojen\u00e9ho k internetu), kter\u00e9 \u00fato\u010dn\u00edci mohou na d\u00e1lku \u0159\u00eddit z takzvan\u00fdch command & control server\u016f (C&C).<\/p>\n\n\n\n

V botnetu jsou i napaden\u00e9 weby, kter\u00e9 maj\u00ed backdoor. To je skript, v\u011bt\u0161inou dob\u0159e schovan\u00fd, p\u0159es kter\u00fd m\u016f\u017ee \u00fato\u010dn\u00edk prov\u00e1d\u011bt \u0159adu \u00fakon\u016f, mezi nimi i vytv\u00e1\u0159et webov\u00e9 str\u00e1nky. Pr\u00e1v\u011b takto m\u016f\u017ee vzniknout c\u00edlov\u00e1 webov\u00e1 str\u00e1nka, na kterou budou sm\u011b\u0159ovat odkazy z phishingov\u00fdch e-mail\u016f. Respektive des\u00edtky anebo i stovky c\u00edlov\u00fdch str\u00e1nek na r\u016fzn\u00fdch napaden\u00fdch webech.<\/p>\n\n\n\n

Toto nemus\u00ed b\u00fdt pravidlo. N\u011bkdy \u00fato\u010dn\u00edci pou\u017eij\u00ed \u010d\u00edsla ukraden\u00fdch kreditn\u00edch karet a prost\u011b si koup\u00ed slu\u017ebu VPS\/webhostingu v\u010detn\u011b dom\u00e9ny, kter\u00e1 je podobn\u00e1 t\u00e9, kam se z\u00e1kazn\u00edk b\u011b\u017en\u011b p\u0159ihla\u0161uje. <\/p>\n\n\n\n

Pak za\u010dne rozes\u00edl\u00e1n\u00ed phishingov\u00fdch e-mail\u016f. Jednotliv\u00e9 za\u0159\u00edzen\u00ed v botnetu obdr\u017e\u00ed seznamy, kam maj\u00ed pos\u00edlat spam. <\/p>\n\n\n\n

V dne\u0161n\u00ed dob\u011b u\u017e jsou phishingov\u00e9 e-maily \u010dasto kvalitn\u011b p\u0159elo\u017een\u00e9 do \u010de\u0161tiny. Text je nal\u00e9hav\u00fd a \u010dasto dob\u0159e odlad\u011bn\u00fd, aby bylo dosa\u017eeno, co nejv\u011bt\u0161\u00ed m\u00edry \u00fasp\u011b\u0161nosti.<\/p>\n\n\n\n

Pokud u\u017eivatel zad\u00e1 \u00fadaje na phishingov\u00e9 str\u00e1nce, tak jsou ihned p\u0159epos\u00edl\u00e1ny na servery ovl\u00e1daj\u00edc\u00ed kyberpodvodn\u00edky, tam vyhodnoceny a p\u0159epos\u00edl\u00e1ny d\u00e1l, aby mohlo doj\u00edt k zneu\u017eit\u00ed. U\u017eivatel si toti\u017e \u010dasto velice rychle uv\u011bdom\u00ed, \u017ee nalet\u011bl a m\u016f\u017ee prov\u00e9st opat\u0159en\u00ed ke zamezen\u00ed zneu\u017eit\u00ed \u00fa\u010dtu. P\u0159\u00edpadn\u011b kontaktuje z\u00e1kaznickou podporu, kter\u00e1 \u00fa\u010det zablokuje, ne\u017e dojde ke zm\u011bn\u011b v\u0161ech p\u0159ihla\u0161ovac\u00edch \u00fadaj\u016f. <\/p>\n\n\n\n

Proto pokud m\u00e1te podez\u0159en\u00ed, \u017ee jste nalet\u011bli, tak \u0159e\u0161en\u00ed neodkl\u00e1dejte<\/strong>. Ka\u017ed\u00e1 vte\u0159ina se po\u010d\u00edt\u00e1.<\/p>\n\n\n\n

Co je dobr\u00e9 o phishingu v\u011bd\u011bt<\/h2>\n\n\n\n

Phishing je tu s n\u00e1mi dlouho a i p\u0159es zaveden\u00ed mnoha ochrann\u00fdch prvk\u016f je\u0161t\u011b bude. Neomezuje se jen na e-maily. Prob\u00edh\u00e1 i p\u0159es telefon (vishing), SMS (smishing), soci\u00e1ln\u00ed s\u00edt\u011b, koment\u00e1\u0159e v diskuz\u00edch atd. Dokonce v\u00e1m klidn\u011b m\u016f\u017ee p\u0159ij\u00edt i po\u0161tou. T\u00edm to ale nekon\u010d\u00ed. M\u016f\u017ee b\u00fdt skryt\u00fd i venku na ulici v QR k\u00f3du, prost\u011b kdekoliv. <\/p>\n\n\n\n

V n\u00e1sleduj\u00edc\u00edch odstavc\u00edch se pod\u00edv\u00e1me na phishing detailn\u011bji.<\/p>\n\n\n\n

Co je v e-mailu s phishingem nebezpe\u010dn\u00e9ho<\/h3>\n\n\n\n

Existuje v\u00edce mo\u017enost\u00ed, jak d\u011blit phishing. Pro \u00fa\u010dely tohoto \u010dl\u00e1nku si jej rozd\u011bl\u00edme na zp\u016fsoby, kter\u00fdmi v\u00e1m chce ubl\u00ed\u017eit.<\/p>\n\n\n\n

Nebezpe\u010dn\u00fd odkaz<\/h4>\n\n\n\n

Jedn\u00e1 se o nejroz\u0161\u00ed\u0159en\u011bj\u0161\u00ed druh phishingu, proto\u017ee se rozes\u00edl\u00e1 jen text (HTML), kde je n\u011bkolik odkaz\u016f. V\u011bt\u0161ina z nich nemus\u00ed b\u00fdt nebezpe\u010dn\u00e1 a m\u016f\u017ee pro vzbuzen\u00ed d\u016fv\u011bry sm\u011b\u0159ovat na ofici\u00e1ln\u00ed str\u00e1nky. Jenom\u017ee odkaz, kter\u00fd bude prov\u00e1d\u011bt d\u016fle\u017eitou a po\u017eadovanou akci, vede na phishingovou str\u00e1nku. <\/p>\n\n\n\n

HTML odkazy<\/h5>\n\n\n\n

Nen\u00ed p\u0159itom odkaz jako odkaz. D\u00edky HTML m\u016f\u017eete b\u011b\u017en\u00fd odkaz, kter\u00fd vypad\u00e1 jako p\u0159\u00edm\u00e1 URL, nasm\u011b\u0159ovat \u00fapln\u011b jinam.<\/p>\n\n\n\n

https:\/\/client.wedos.com\/<\/mark><\/a><\/p>\n\n\n\n

Sm\u011b\u0159uje v\u00fd\u0161e uveden\u00fd odkaz do na\u0161\u00ed z\u00e1kaznick\u00e9 administrace? Pokud jej ozna\u010d\u00edte a p\u0159ekop\u00edrujete do adresn\u00edho \u0159\u00e1dku prohl\u00ed\u017ee\u010de, tak ano. Jenom\u017ee kdy\u017e na n\u011bj kliknete, tak se dostanete \u00fapln\u011b jinam.<\/p>\n\n\n\n

Kam odkaz skute\u010dn\u011b sm\u011b\u0159uje, se m\u016f\u017eete dozv\u011bd\u011bt ze zdrojov\u00e9ho k\u00f3du e-mailu. Z\u00e1le\u017e\u00ed jak\u00e9ho e-mailov\u00e9ho klienta pou\u017e\u00edv\u00e1te. Nap\u0159\u00edklad v Thunderbird otev\u0159ete zdrojov\u00fd k\u00f3d p\u0159es CTRL+U. <\/p>\n\n\n\n

Mnoho lid\u00ed si mysl\u00ed, \u017ee pokud najedou na odkaz my\u0161\u00ed, tak vid\u00ed kam skute\u010dn\u011b sm\u011b\u0159uje. Ov\u0161em ani to nemus\u00ed b\u00fdt pravda, proto\u017ee v\u0161e se d\u00e1 ovlivnit nap\u0159\u00edklad p\u0159es JavaScript. V e-mailu se s t\u00edm z\u0159ejm\u011b nesetk\u00e1te, ale na webu m\u016f\u017eete. <\/p>\n\n\n\n

D\u016fle\u017eit\u00e9 je v\u011bd\u011bt, \u017ee odkazy mohou sm\u011b\u0159ovat jinam, ne\u017e se zdaj\u00ed<\/strong>. <\/p>\n\n\n\n

\"\"<\/a>
P\u0159\u00edklad e-mailu, kde odkaz na podvodnou str\u00e1nku je vytvo\u0159en v HTML.<\/figcaption><\/figure>\n\n\n\n
Zkracova\u010de URL<\/h5>\n\n\n\n

V p\u0159\u00edpad\u011b, \u017ee \u00fato\u010dn\u00edk nem\u016f\u017ee anebo nechce pou\u017e\u00edt HTML, tak v\u011bt\u0161inou odkazy maskuje p\u0159es takzvan\u00e9 zkracova\u010de. Nejzn\u00e1m\u011bj\u0161\u00edm je byt.ly. Pou\u017e\u00edvaj\u00ed jej ale i soci\u00e1ln\u00ed s\u00edt\u011b (fb.me, t.co atd.) Jedn\u00e1 se o kr\u00e1tk\u00fd a snadno p\u0159enositeln\u00fd odkaz (URL), na kter\u00fd kdy\u017e kliknete, tak dojde k p\u0159esm\u011brov\u00e1n\u00ed na jinou URL.<\/p>\n\n\n\n

P\u0159\u00edklad jak m\u016f\u017ee zkr\u00e1cen\u00e1 URL vypadat:<\/p>\n\n\n\n

https:\/\/zkr.url\/hAe71<\/span> p\u0159\u00edpadn\u011b https:\/\/zkr.url\/WEDOS<\/span><\/p>\n\n\n\n

V e-mailu na zkracova\u010de nikdy neklikejte<\/strong>. <\/p>\n\n\n\n

\"\"<\/a>
Dal\u0161\u00ed uk\u00e1zka podvodn\u00e9ho e-mailu. Odkaz byl maskov\u00e1n zkracova\u010dem.<\/figcaption><\/figure>\n\n\n\n
Pov\u011bdom\u00fd odkaz v URL<\/h5>\n\n\n\n

Dal\u0161\u00edm zp\u016fsobem jak vytvo\u0159it „d\u016fv\u011bryhodn\u00fd“ odkaz je pou\u017e\u00edt ofici\u00e1ln\u00ed kus URL do subdom\u00e9ny. Nap\u0159\u00edklad:<\/p>\n\n\n\n

https:\/\/client.wedos.com<\/mark>.n\u011bco.cz<\/mark>\/login\/<\/span><\/p>\n\n\n\n

Stejn\u011b tak jde d\u00e1t i do n\u00e1zvu cesty, co\u017e je podobn\u00fd p\u0159\u00edpad jako u zkracova\u010de.<\/p>\n\n\n\n

https:\/\/n\u011bco.cz<\/mark>\/client.wedos.com<\/mark>\/login\/<\/span><\/p>\n\n\n\n

O tom co se zobraz\u00ed na c\u00edlov\u00e9m odkazu rozhoduje pouze majitel dom\u00e9ny n\u011bco.cz<\/mark>.<\/p>\n\n\n\n

A ochrana proti tomu? M\u011bjte v prohl\u00ed\u017ee\u010di ulo\u017een\u00e9 odkazy v\u0161eho pot\u0159ebn\u00e9ho (administrace, webmail klient, str\u00e1nky webu atd.)<\/strong>. Pak na n\u011b nemus\u00edte klikat v e-mailu.<\/p>\n\n\n\n

IDN dom\u00e9ny<\/h5>\n\n\n\n

IDN (Internationalized Domain Names) jsou dom\u00e9ny, kter\u00e9 mohou obsahovat i znaky jin\u00e9 abecedy, ne\u017e je latinka. V n\u011bkter\u00fdch p\u0159\u00edpadech dokonce i emoji. M\u016f\u017eete tedy zvolit jinou abecedu, kter\u00e1 je podobn\u00e1 latince a vytvo\u0159it na dom\u00e9n\u011b s podporou IDN a dan\u00e9 znakov\u00e9 sady, dom\u00e9nu vizu\u00e1ln\u011b podobnou. Na prvn\u00ed pohled to laik nen\u00ed schopen rozeznat.<\/p>\n\n\n\n

P\u0159\u00edklad:<\/p>\n\n\n\n

https:\/\/client.w\u0435d\u043e\u0455.com<\/span><\/p>\n\n\n\n

Samotn\u00e1 dom\u00e9na je mixem latinky a cyrilice. Konkr\u00e9tn\u011b obsahuje z latinky W a D, z cyrilice pak \u0415, \u041e, \u0405.<\/p>\n\n\n\n

Internetov\u00fd prohl\u00ed\u017ee\u010d IDN dom\u00e9nu p\u0159evede na takzvan\u00fd punycode. Tak\u017ee v adresn\u00edm \u0159\u00e1dku uvid\u00edme:<\/p>\n\n\n\n

https:\/\/client.xn--wd-nlc1byh<\/strong>.com\/<\/span><\/p>\n\n\n\n

Samoz\u0159ejm\u011b pokud v\u00e1\u0161 prohl\u00ed\u017ee\u010d n\u00e1zev nep\u0159elo\u017e\u00ed do punycode, tak to jen st\u011b\u017e\u00ed pozn\u00e1te.<\/p>\n\n\n\n

Teoreticky lze pou\u017e\u00edt p\u0159eklada\u010d \u0159et\u011bzc\u016f do ASCII. Velk\u00e1 p\u00edsmena latinky za\u010d\u00ednaj\u00ed 41 a kon\u010d\u00ed 90, mal\u00e1 za\u010d\u00ednaj\u00ed 61 a kon\u010d\u00ed 122, \u010d\u00edsla jsou od 48 do 57. Tak\u017ee pokud pou\u017eijete konvertor textov\u00e9ho \u0159et\u011bzce do ASCII, tak by v\u00e1m u latinky nem\u011blo nikdy vyj\u00edt v\u00edce ne\u017e 122. <\/p>\n\n\n\n

P\u0159\u00edklad:<\/p>\n\n\n\n

\u0158et\u011bzec<\/td>Jednotliv\u00e9 znaky podle ASCII<\/td><\/tr>
wedos<\/mark><\/td>119<\/mark> 101<\/mark> 100<\/mark> 111<\/mark> 115<\/mark><\/td><\/tr>
w<\/mark>\u0435<\/mark>d<\/mark>\u043e\u0455<\/mark><\/td>119<\/mark> 1077<\/mark> 100<\/mark> 1086<\/mark> 1109<\/mark><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ujist\u011bte se, \u017ee prohl\u00ed\u017ee\u010d, kde otv\u00edr\u00e1te odkazy z e-mailu p\u0159ekl\u00e1d\u00e1 IDN dom\u00e9ny do punycode.<\/strong><\/p>\n\n\n\n

Nebezpe\u010dn\u00fd text<\/h4>\n\n\n\n

Nej\u010dast\u011bji se setk\u00e1te s phishingov\u00fdmi e-maily, kter\u00e9 podstatnou \u010d\u00e1st podvodu maj\u00ed automatizovanou. Tedy je v nich odkaz na n\u011bjak\u00fd formul\u00e1\u0159, kam m\u00e1te vyplnit p\u0159ihla\u0161ovac\u00ed \u00fadaje, osobn\u00ed \u00fadaje anebo dal\u0161\u00ed zneu\u017eiteln\u00e9 \u00fadaje. Existuje v\u0161ak \u0159ada podvod\u016f, kde je sou\u010d\u00e1st\u00ed lidsk\u00e1 interakce. <\/p>\n\n\n\n

Nejzn\u00e1m\u011bj\u0161\u00ed jsou takzvan\u00e9 Nigerijsk\u00e9 dopisy<\/em> (Scam419<\/em>), kdy v\u00e1m n\u011bkdo zcela nezn\u00e1m\u00ed nap\u00ed\u0161e, \u017ee jste zd\u011bdili, vyhr\u00e1li anebo jinak p\u0159i\u0161li k n\u011bjak\u00e9mu velk\u00e9mu jm\u011bn\u00ed. Sta\u010d\u00ed kdy\u017e odpov\u00edte a domluv\u00edte se na detailech. Co\u017e vede k dal\u0161\u00ed komunikaci, zavr\u0161en\u00e9 \u017e\u00e1dost\u00ed o mal\u00fd administrativn\u00ed poplatek. Kdy\u017e jej uhrad\u00edte, tak p\u0159ijde dal\u0161\u00ed komunikace a \u017e\u00e1dost o v\u011bt\u0161\u00ed poplatek. To se opakuje dokud ob\u011b\u0165 podvodu plat\u00ed. <\/p>\n\n\n\n

Zat\u00edmco v\u00fd\u0161e uveden\u00e9 podvody maj\u00ed pom\u011brn\u011b pr\u016fhledn\u00fd sc\u00e9n\u00e1\u0159 a jsou u\u017e celkem zn\u00e1m\u00e9, tak zvl\u00e1\u0161t\u011b na firmy mohou sm\u011b\u0159ovat c\u00edlen\u00e9 a o dost komplikovan\u011bj\u0161\u00ed podvody.<\/p>\n\n\n\n

BEC (Business Email Compromise)<\/h5>\n\n\n\n

Jedn\u00e1 se o zvl\u00e1\u0161tn\u00ed formu phishingov\u00e9ho \u00fatoku, kter\u00e1 c\u00edl\u00ed na zam\u011bstnance firem. \u00dato\u010dn\u00edk se \u010dasto vyd\u00e1v\u00e1 za veden\u00ed firmy a sna\u017e\u00ed se p\u0159im\u011bt nepozorn\u00e9 zam\u011bstnance, z\u00e1kazn\u00edky anebo obchodn\u00ed partnery, aby uhradili objedn\u00e1vku na jin\u00fd \u00fa\u010det.<\/p>\n\n\n\n

Tento druh \u00fatok\u016f nen\u00ed radno podce\u0148ovat. U n\u00e1s zat\u00edm nen\u00ed tak moc roz\u0161\u00ed\u0159en\u00fd, ale v USA se v\u00fdznamnou m\u011brou pod\u00edl\u00ed na ztr\u00e1t\u00e1ch spole\u010dnost\u00ed zp\u016fsoben\u00fdch kybernetick\u00fdmi hrozbami. Je jen ot\u00e1zkou, kdy se u n\u00e1s opravdu roz\u0161\u00ed\u0159\u00ed. <\/p>\n\n\n\n

Je dobr\u00e9 pro\u0161kolit zam\u011bstnance, zvl\u00e1\u0161t\u011b ty, kte\u0159\u00ed mohou n\u011bco uhradit, \u017ee toto nebezpe\u010d\u00ed opravdu hroz\u00ed. M\u016f\u017ee jim napsat n\u011bkdo, kdo se bude vyd\u00e1vat za veden\u00ed spole\u010dnosti a po\u017eadovat okam\u017eit\u00e9 uhrazen\u00ed pen\u011bz d\u016fle\u017eit\u00e9mu dodavateli. E-mail od nich p\u0159itom m\u016f\u017ee vypadat opravdu re\u00e1ln\u011b. Pou\u017eit\u00e1 je stejn\u00e1 \u0161ablona, sed\u00ed jm\u00e9na, loga atd.<\/p>\n\n\n\n

Jak se br\u00e1nit?<\/p>\n\n\n\n