Phishing cílený na Instagram se maskuje za dvoufázové ověřování

Počátky phishingových útoků byly ve znamení snahy kybernetických zločinců o proniknutí do bankovních účtů. Tedy tam, kde oprávněně očekávali možnost dostat se k penězům. Před několika málo lety jsme zaznamenávali množství e-mailů informujících o problémech s účtem v bankovních institucích, o nichž drtivá většina příjemců nikdy neslyšela, natož aby u nich měl někdo z nich otevřený účet. Na první pohled tak bylo jasné, že něco není v pořádku a že jde s největší pravděpodobností o podvodné aktivity. V této éře phishingu získalo na významu doporučení hledat chyby v textech emailů i na webových stránkách, včetně špatného pravopisu nebo nesprávného slovosledu, které stále platí i dnes. Podvodníci dělají chyby i dnes a je výhodné takové nedostatky využít pro svoji ochranu. 

I v současnosti se stále setkáváme s phishingovými útoky, které mají za cíl získat přístup k našemu internetovému bankovnictví, navíc nám ale přicházejí i falešné e-maily, jejichž odesilatelé se zaměřují na získání hesel i od dalších námi používaných služeb. Obzvláště zajímavé jsou pro počítačové zločince účty elektronické pošty, a to z naprosto jednoduchého důvodu: e-mail je prostředek pro obnovu zapomenutého hesla u mnoha dalších služeb. Zločinci, kteří mají přístup k vaší elektronické poště, mohou na vašem onlinovém účtu zneužít tlačítko „Obnovit heslo“ a následným kliknutím na odkaz „Zvolit nové heslo“, který obvykle přijde právě ve formě e-mailu, heslo změnit a vy ani nemusíte zjistit, že někdo o změnu hesla zažádal. 

Velmi ceněné jsou i přístupové údaje k sociálním sítím, protože interní informace na těchto sítích obvykle poskytnou mnohem více informací, než by mohli počítačoví zločinci zjistit prostým vyhledáváním na internetu. Útočníci jdou ale mnohem dál – s využitím takto napadaného účtu mohou oklamat i příbuzné a přátele vlastníka účtu, případně ukrást celý účet. Útoky zaměřené na získání přístupu k e-mailovým účtům nebo k sociálním sítím jsou dnes častější, než tradiční pokusy o proniknutí do on-line bankovnictví, a jsou navíc čím dál věrohodnější. Podobně tomu je i v případě pokusu zaměřeného na službu Instagram, který nedávno zachytila globální síť pro zkoumání hrozeb Sophos Labs. 

Podvody jsou bohužel stále dokonalejší

Podle bezpečnostních expertů SophosLabs si zločinci útočící na službu Instagram svůj záměr dobře promysleli – vyjma několika chyb v interpunkci a chybějící mezery přes slovem „Please“ se jedná o naprosto čistou a zřetelnou zprávu, která nevypadá nijak podezřele. Příjemce zprávy se může domnívat, že jde o kód pro dvoufázové ověření, které má potvrdit, že on nebyl tím, kdo se pokusil o přístup k účtu, a že přitom nebude vyžadováno zadání hesla. Mechanismus dvoufázového ověřování je přitom velmi spolehlivou metodou. V případě útoku na Instagram ale odkaz pro přihlášení vede na podezřelou doménu s koncovkou .CF, která náleží Středoafrické republice.

Instagram-Fake1.png

Samotný doménový název je nepřesným odhláskováním slova login, protože s největší pravděpodobností se útočníkům nepodařilo zdarma získat doménu s uvěřitelnějším jménem. Středoafrická republika je jednou z mnoha se rozvíjejících ekonomik a některé domény rozdává zdarma v domnění, že tak naláká nové uživatele. Zajímavé doménové názvy jsou zde však prodávány i za 500 a více amerických dolarů. Nicméně samotná falešná přihlašovací stránka je velmi věrohodnou kopií originálu, a dokonce využívá i platný SSL certifikát pro HTTPS komunikaci. 

Instagram-Fake2.png

Musíte si uvědomit, že webové certifikáty zajišťují bezpečnost vašeho spojení s konkrétní webovou stránkou a zabraňují proniknutí do probíhající komunikace. Obdobně jsou potvrzením toho, že osoba, která si certifikát pořídila, měla k takto chráněné webové aplikaci či prezentaci přístup a mohla ji upravovat,“ vysvětluje Patrick Müller, zodpovědný za aktivity společnosti Sophos v České republice a na Slovensku. „V žádném případě ale tyto certifikáty nejsou potvrzením pravosti obsahu webových stránek nebo na nich uložených souborů. Jinými slovy, web bez certifikátu by pro vás neměl být důvěryhodný a absence ikony zámku by vás měla varovat stejně jako překlepy nebo gramatické chyby. Stejně tak ale platí, že nelze automaticky důvěřovat webové stránce jen proto, že certifikát existuje a odkaz na ni pochází z jazykově bezchybného e-mailu.” Falešná přihlašovací stránka na Instagram je té pravé velmi podobná a nelze se tak spolehnout, že vizuální chyby upozorní uživatele:

Instagram-Real.png

Jak odhalit útok na váš instagramový účet?

Phishingová stránka vypadá v pořádku a nechybí ani ikonka zámku informující o tom, že je použité šifrování pomocí protokolu HTTPS. Jak tedy poznat, že něco nehraje a ochránit se před podobnými podvody? Dobrou zprávou je, že i když si tentokrát útočníci dali skutečně záležet, stále ještě existují nějaké podezřelé znaky, které by vás měly varovat. 

  • Věnujte zvýšenou pozornost všem e-mailům, které vypadají jako bezpečnostní varování. Jde o běžně používaný trik. 
  • Přítomnost odkazu pro přihlášení. Není žádný důvod pro to, abyste takový odkaz používali. K Instagramu můžete přistupovat zadáním jednoduché adresy nebo třeba pomocí mobilní aplikace či odkazu ze záložky ve webovém prohlížeči, kterou jste si sami nastavili. Ano, je to trochu práce navíc, ale nejde o nic složitého. 
  • Podivný název domény. Vždy si zkontrolujte, kam se po klinutí na daný odkaz dostanete – pokud je adresní řádek pro zobrazení celé adresy příliš krátký, jednoduše si adresu zkopírujte a podívejte se na ni například v textovém editoru. Pokud adresa vypadá jakkoli podezřele, předpokládejte, že jde o problém a takový odkaz ignorujte nebo si pravost adresy zkuste ověřit u někoho, komu důvěřujete. Ano, opět je to trochu práce navíc, ale jako u předchozího bodu nejde o nic obtížného. 
  • Neočekávaná žádost. Pokud se obáváte, že se k Vašemu účtu přihlásil někdo jiný, použijte pro ověření oficiální způsob podporovaný provozovatelem služby. Nevyužívejte webových odkazů – ty mohou ve skutečnosti pocházet od kohokoli. Je sice nepříjemné, že každá sociální síť používá trochu odlišný přístup, ale jakmile si osvojíte základní pravidla, již nikdy vás útočníci pomocí falešného e-mailu neoklamou. A i zde platí, že je to trochu práce navíc, nicméně nejde o složité opatření. 
Reklamy