Advokátní kancelář Jansa, Mokrý, Otevřel & partneři - specialisté na problematiku IT práva

Phishing - lovení ve vodách důvěřivců

Autor: JUDr. Lukáš Jansa | Vloženo: 7. 11. 2006 00:01 | Přečteno: 7386X

Internetové rybaření dorazilo i k nám a celá řada institucí, zejména z bankovního sektoru se mu začíná bránit. Co znamená z právního pohledu tato nekalá praktika obohacování se na úkor důvěřivých obětí a jakým způsobem se bránit Vám blíže objasní následující příspěvek.

Úvodem
Letos se terčem phisingu u nás staly dvě banky – Citibank a Česká spořitelna. Phishing, jemuž se někdy „po česku“ říká rhybaření je založeno na rozeslání podvodných emailů, které se snaží nejen z bankovních institucí, ale např. i v rámci e-obchodu či jiných obchodních internetových vztahů (kde má osoba vytvořena zpravidla svůj účet či vkládá údaje ke své bankovní kartě nebo účtu) vylákat různou formou údaje pro disponování s finančními prostředky. Obdobou emailového phishingu je tzv. VoIP phishing, kdy jsou potenciální oběti osloveni telefonicky s žádostí o zaslání citlivých údajů. Podvodník vám místo e-mailu zatelefonuje, samozřejmě se vydává za zástupce vaší finanční instituce, a nějakou cestou se snaží z vás příslušná data dostat. Další variantou zjištění vašich přístupových dat je použití tzv. keyloggeru, který monitoruje stisky kláves v napadeném počítači, do něhož se tento keylogger dostal trojským koněm. Nebezpečnější formou phisingu je tzv. pharming, který nevyužívá klasického spamu s výzvou k prokliku na podvržené stránky, ale útočníci napadnou špatně zabezpečený DNS server, ve kterém následně dojde přepisu IP adresy určené pro URL banky IP adresou podvržených stránek. Obě? pharmingu pak zadá v prohlížeči internetovou adresu a automaticky se objeví podvržené stránky, což není schopna poznat. Samozřejmě vynalézavost sociálního inženýrství jak jsou tyto útoky někdy obecně nazývány je bezbřehá, a proto se lze setkat dalšími formami např. tzv.mophophishing (útok na mobilní telefony).
 
Útok na klienty České spořitelny
Vra?me se však k provedenému phisingu na klienty České spořitelny. Ti byli osloveni následujícím emailem:
 
Dobry den vazeni klienti!
Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci.
Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku.
Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu.
S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem.
Do 1.listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu.
Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich.
Vy jste byl (a) zvolen (a) jako jeden z ucastniku finalniho stadia testovani systemu.
V soucasne dobe Vam navrhujeme vyuzit odkaz https://www.servis24.cz/ebanking-s24/ a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system.
V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti.
Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji.
Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard.
S pozdravem, Oddeleni Banky pro ochranu pred frodem.
 
Proč si vlastně autor tohoto emailu zvolil výzvu k ochraně před frodem? ?e by stál na straně zla, protože Frodo Pytlík představuje ochránce dobra? Na straně zlých praktik opravdu autor stojí, který si froda vymyslel jako slovní hříčku odvozenou zřejmě od ang. fraud (podvod). Nicméně jeho snahou je připravit se na trestní stíhání, s kterým tak jako tak musel počítat. Inspiraci původce fishingu dozajisté pobral v zahraničí, nicméně s tím i znalost ochrany formou trestněprávního postihu. Phishing naplňuje v obecně pojatém významu znaky podvodu dle § 250 trestního zákona. Podstatou skutku podvodu je reálné uvedení někoho v omyl či využití něčího omylu nebo zamlčení podstatných skutečností. Jestliže autor ve svém emailu napíše větu, že „vyhlasuje Banka nasledujici mesic za mesic boje s frodem“ a rozloučí se větou „S pozdravem, Oddeleni Banky pro ochranu pred frodem“, pak se může zdát, že takový email není myšlen vážně a vyvolání omylu je nepravděpodobné, a pokud ano, pak u slaboduchých osob. Nicméně z celkového pojetí emailu, jeho obsahu a apelu na nutnost lepšího zabezpečení a tím i přihlášení na falešnou stránku, je evidentní jeho jediný cíl, a to vylákání vstupních údajů pro přístup k bankovním účtům. A tak i vzhledem k propracovanosti podvodných stránek, se obětí takového lovu může stát kdokoliv.
  
 Phishing = podvod
Phising je z pohledu trestního práva jednoznačně podvodem. Podvod je skutek, kterým kdokoliv ke škodě cizího majetku sebe nebo jiného obohatí tím, že uvede někoho v omyl, využije něčího omylu nebo zamlčí podstatné skutečnosti, a způsobí tak na cizím majetku škodu minimálně ve výši 5.000,-Kč. Pachatel phisingu využívá omylu jiného, aby se pokusil následně sebe či jiného obohatit. Pokud by se mu finanční transakce nepovedla, pak by setrval ve stádiu pokusu podvodu, který je samozřejmě taky trestný.
Jak by mohla policie odhalit útok v podobě phishingu? Jestli vůbec, pak by se policie musela dopátrat IP adres a jejich majitelů (nicméně adresy budou zřejmě umístěny na cizích serverech), musela by pravděpodobně kontaktovat zahraniční kolegy (např. v Pákistánu či jiné nám vzdálené zemi), musí být prokázáno, že tato konkrétní osoba rozeslala danou emailovou zprávu, že tato osoba zneužila chráněné údaje tím, že disponovala s peněžními prostředky na účtech poškozených, to vše v úmyslu sebe či jiného obohatit částkou vyšší než 5.000,-Kč. Jestliže se podaří útočníkům získat údaje, musí pachatelé finanční prostředky převést, a to na existující účet a pak s těmito prostředky dál disponovat, což pro ně samozřejmě znamená riziko prozrazení. S ohledem na uvedené je pravděpodobné, že pátrání našich policistů bude bez úspěchu. Podle neověřených zdrojů je „úspěšnost“ sdělení údajů lovenými důvěřivci ca 5% oslovených.
 
Možnosti ochrany
?ádná ochrana není dokonalá, proto nezbývá než dbát náležité ostražitosti při čtení jakékoliv neobvyklé emailové korespondence. Dojde-li ke sdělení údajů podvodníkům, pak doporučujeme informovat banku a zablokovat nebo zrušit účet či zablokovat kartu. Při nechtěném převodu finančních prostředků na účty podvodníků, připadá jako nejlepší varianta náhrada ze strany banky, která však závisí na benevolenci daného institutu. Jako druhá varianta přichází v úvahu uplatnit škodu v trestním řízení jako poškozený s tím, že eventuálně bude někdy někdo odsouzen k úhradě vzniklé škody, a pak tato osoba možná někdy něco vrátí.
Jako doplňující ochrana se nabízí programy určené k boji s phisingem, např. Norton Confidential, Astaro Phishing Protection nebo prohlížeč DeepnetExplorer. Ani tato ochrana není samozřejmě (jak je tomu obvyklé na internetu) definitivní.
Proto nám všem nezbývá nic jiného než při vší bdělosti a opatrnosti doufat, že neuvízneme v síti jako obě? phishingu nebo jeho jiných podob.
  
 
Autor: Lukáš Jansa
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři v.o.s., kde se zabývá zejména obchodním právem, problematikou pracovněprávních vztahů v oblasti IT a internetovým právem. Je členem European Association for Commercial and Corporate Law a je zapsán v Národním registru poradců agentury CZECHINVEST.