Útok na klienty CitiBank

Čerstvý phishingový (rhybařský) útok na české klienty CitiBank není ničím výjimečným. Dokonce už nejde o výjimku v případě česky psaných snah vylákat z klientů českých bank jejich přihlašovací informace. Poslední velký útok v češtině se odehrál na Českou Spořitelnu (viz POZOR PHISHING ! "Ceska sporitelna - Pozor! Nove bezpecnostni standardy") a Citibank je kupodivu jedním z častých terčů útoků (starší příklad zde v mých článcích).

Ve zprávě o phishing/pharming (rhybaření/pharmaření) aktivitách Anti-Phishing Working Group můžete vidět jak dramaticky phishing a další formy podvodného jednání stoupají. V meziročním hledisku je možné hovořit až o zdvojnásobení aktivit - AntiPhishing.org ve skutečnosti ale pouze uvádí počty evidovaných oznámení phishing aktivit. Skutečná čísla mohou být daleko vyšší.

Je pravdou, že prakticky všechny banky (a finanční instituce) v současnosti varují (snad i dostatečně) své klienty, že v žádném případě nebudou elektronickou poštou posílat žádosti o osobní informace - ať už jde o čísla účtů či dokonce PIN kreditních karet.

Jenže, je to právě Citibank, která vlastní "bezpečnostní pravidla" dokázala zcela postavit na hlavu. Jak můžete zjistit v článku Citibank e-mail looks phishy, byla to právě Citibank, kdo vlastním klientům masově zaslal elektronickou poštou žádost aby se přihlásili do klientského internetového systému a doplnili bezpečnostní informace.

Jinak řečeno, Citibank svým klientům poslala totéž, co jim posílají ti, co chtějí získat přístup k jejich účtu. Dala jim tak vpodstatě dokonalý návod, včetně již hotového perfektně vypadajího e-mailu.

Phishingové aktivity velmi aktivně reagují na jakékoliv dění v bankách, na které zaměřují útok. Zmíněný útok na klienty České Spořitelny byl vhodně načasován k aktivitám, která banka prováděla v oblasti zlepšení ochrany klientů. Citibank útok je načasován uplně stejně, od 28.října Citibank postupně zavádí přístup k účtu přes elektronický klíč.

I přes zavádění bezpečnějších forem přístupu je pravděpodobně čas přistoupit na jednu nepříjemnou věc.

Jakkoliv to může znít absurdně, jde o myšlenku uvedenou též ve výše odkázaném článku. Myšlenku, se kterou nelze než souhlasit a která jasně plyne z roků phishingových aktivit. Banky budou muset přestat používat elektronickou poštu pro komunikaci se svými klienty. Místo obvyklého "nikdy nebudeme e-mailem chtít osobní údaje" bude muset následovat "nikdy vám nepošleme žádnou elektronickou poštu".

Jakkoliv je samozřejmě možné uvažovat o nějaké formě bezpečnější elektronické pošty, například doplněním elektronického podpisu do vzájemné komunikace, je to dost nerealistické. Zejména s ohledem na rozšířenost elektronického podpisu. A bohužel také na skutečnost, že klienti bank o použití elektronického podpisu nebudou mít velké povědomí. A phishing aktivity brzy své maily doplní o falešné elektronické podpisy, které pro neznalé klienty budou vypada "dostatečně důvěryhodně".

V nebezpečí navíc nejsou jenom online klientské systémy. V nebezpečí jsou kreditní karty. Většina phishingových pokusů sbírá čísla kreditních karet včetně políčka pro vyplnění PIN i dalšího bezpečnostního kódu. A jakkoliv to zní neuvěřitelně, řada napálených vše ochotně vyplní. Jedině jasná politika bank spočívající v nepoužívání elektronické pošty může po určité době vést k tomu, že "bankovní" e-maily budou všichni možná rovnou mazat.