Phishing stále patří mezi opomíjené hrozby i u nás

Radku, než jsi nastoupil do společnosti TNS na místo bezpečnostního konzultanta, úspěšně jsi absolvoval studia na Fakultě informatiky
Masarykovy univerzity v Brně obor Bezpečnost informačních technologií.

Ve své diplomové práci ses věnoval webovým stránkám
s phishingovým obsahem.

To není příliš obvyklé téma?

Máš pravdu. Skutečně mě ve fázi shánění dostupných materiálů překvapilo, jak malá pozornost, zvláště pak u nás, je této problematice ve srovnání s riziky, která přináší, věnována.

Jaká rizika máš na mysli?

Již po mnoho let s oblibou vyhledávám příklady nepoměru obrovského úsilí, které je potřeba k vybudování čehokoli fungujícího a hodnotného včetně zdánlivých maličkostí, které, jsou-li opomíjeny, mají tu moc přivést celou tuto snahu vniveč. V oblasti bezpečnosti IT vidím paralelu tohoto principu například právě u phishingu, který cílí na nezřídka opomíjený nejslabší článek jakéhokoli systému, tedy na člověka, a tím útočníkovi umožňuje se elegantně a s minimem úsilí vypořádat i s několika kvalitními bezpečnostními mechanismy zároveň. Nutno dodat, že toto počínání je nezřídka velmi obtížně detekovatelné.

Není phishing opomíjen proto, že je využíván spíše sporadicky?

Statistiky hovoří opačně. Dle organizace Anti-Phishing Working Group (APWG), která situaci dlouhodobě monitoruje, jsou phishingové útoky velmi oblíbené a jejich počet již několik let poměrně rychle roste. Dobře tento trend ilustruje počet unikátních phishingových stránek, které byly organizací APWG detekovány. Například ve druhém kvartále roku 2014 jich bylo nalezeno přes 120 000, což meziročně znamená nárůst přibližně o 8 %. Případy útoků na Českou poštu či Českou spořitelnu z poslední doby poukazují na to, že ani české stránky jich nejsou ušetřeny.

Na co konkrétně ses tedy v práci zaměřil?

Nejprve jsem se snažil zmapovat přístupy, které jsou v současné době k eliminaci phishingu využívány. Ukázalo se, že drtivá většina systémů využívá veřejně dostupných blacklistů, které jsou založeny na manuální kategorizaci. Ty jsou však
v mnoha případech prakticky nepoužitelné. Za všechny zmiňme například situaci, kdy dostane každá oběť unikátní, náhodně generovaný URL, nebo případy, kdy mají phishingové kampaně velmi krátkého trvání, řádově několik málo hodin. Dle statistik je těchto případů přibližně 60–70 %. Pozornost jsem tak primárně věnoval otázce, zda je možno
o phishingové povaze stránky rozhodnout v reálném čase a to v ideálním případě již na perimetru sítě.

K jakým závěrům jsi dospěl?

Analýza reálných phishingových stránek naštěstí ukázala, že drtivá většina těchto stránek vykazuje oproti stránkám běžným určité anomálie, na kterých lze detekci a následnou filtraci postavit. Celkem bylo těchto anomálií nalezeno a popsáno několik desítek. Obecně byly tyto anomálie rozděleny do šesti hlavních kategorií, kterými jsou anomálie URL, obsahu, vzhledu, zdrojového kódu, existenční a behaviorální.

Najdou tvoje poznatky uplatnění v praxi?

O výsledky práce již projevila zájem firma TNS, která je také výrobcem internetových bezpečnostních řešení a ráda by
o možnost detekce phishingových stránek rozšířila svůj webový filtr KERNUN Clear Web. V současné době jsou moje poznatky zařazeny do plánu vývoje nového modulu, který by v praxi, právě díky hodnotícímu skóre, dokázal rozpoznat podezřelou phishingovou stránku a dle její míry nebezpečnosti na ni uživatele například upozornit nebo ji přímo zablokovat.

 

Radku, děkuji za rozhovor a přeji Ti hodně pracovních i osobních úspěchů.