Sakra drahé rybaření
Prohlížeče dnes mezi sebou bojují rychlostí, designem, funkcemi a také bezpečností. První položka je snadno měřitelná, a proto jsme v poslední době přinesli už dva megatesty rychlosti. Design a množství funkcí závisí na potřebách uživatelů, je tedy těžké určit nějaké pořadí. Ale co bezpečnost? Také porovnatelná veličina, dnes se na ni soustředíme.
Článek, respektive test vznikl úplně náhodou. Dnes mi do testovací schránky přistál podvržený e-mail z České spořitelny. (Zpráva byla poctivě vyřazena antispamovým filtrem Hotmailu.) A protože u této banky mám náhodou účet, znám vcelku dobře i její stránky, takže jsem chtěl vyzkoušet, jestli bych se jako laik nechal nachytat.
Druhou náhodou bylo, že jsem zprávu otevřel v Chrome, kde mě při klepnutí na odkaz prohlížeč upozornil, že se jedná o podvodnou stránku. A po ignoraci hlášky zase. Namátkou jsem stejný postup vyzkoušel ve Firefoxu 4 a ejhle, žádná varovná hláška. Proto jsem minitest provedl ještě na dalších čtyřech prohlížečích.
Stal jsem se obětí phishingu. To znamená, že se k vám dostane zpráva s odkazem na podvrženou stránku, která vypadá stejně jako ta originální. Vytvořit ji není problém, stačí uložit stránku v prohlížeči jako běžné HTML a následně upravit tak, aby vyplněný přihlašovací formulář neodeslal data do banky, ale do počítače útočníka. Ten se pak může přihlásit místo vás a vybílit vaše konto.
V „ideálním“ případě by člověk neměl vůbec poznat, že web není pravý. Asi úplná minorita uživatelů skutečně používá zabezpečené DNSSEC a kontroluje certifikáty HTTPS/SSL. Stačí, že vidí podobnou stránku a nepojme podezření.
Jenže tento případ byl vytvořen úplným mamlasem. Mě osobně jako první bilo do očí jiné jméno odesílatele a také e-mail (běžně ČS používá cic@csas.cz). Výraznějším kopancem by měla být polovičatá lokalizace – diakritika občas je, občas chybí. Banka by si v oficiálních e-mailech něco takového neměla dovolit. (V mém případě mě už trklo, že ČS posílá e-mail o nepřečtené zprávě v systému Servis 24. Běžně mi takový notifikace nepřicházejí.)
Když už na odkaz klepnete, opravdu se objeví podobná stránka, byť s vyžadovanými informacemi navíc. Na levém snímku je phishingová stránka, všimněte si nesmyslné adresy. Napravo je originální stránka navíc podepsaná certifikátem.
Vychytralý útočník chce zjistit i CVC/CVV kód a číslo karty, tyto údaje jinak nikdy nezadáváte.
Phishingovou stránku, na níž odkazuje e-mail, najdete zde.
Testované prohlížeče:
- Firefox 3.6.16
- Firefox 4.0
- Chrome 10.0.648.204
- Internet Explorer 9.0.8112.16421
- Opera 11.01.1190
- Safari 5.0.4. (7533.20.27)
Jak si vedly prohlížeče
Firefox 4
Ohňoliška byla první, která mě v testu zklamala. I když by vás zřejmě odradila příchozí zpráva umístěná ve složce se spamem, přesto by se hodil účinnější filtr přímo v prohlížeči. Takže FF4 alespoň poslouží jako referenční příklad.
Každý snímek znamená jeden krok. Na prvním je vždy zpráva v Hotmailu, v druhém rozbalený obsah zprávy (jinak je spam vždy zabalený) a další kroky jsou už klepnutí na nabízené odkazy v e-mailu. U FF4 jsem vyzkoušel zadat náhodné údaje, které mě nakonec přenesly do zfalšovaného rozhraní internet bankingu (4. snímek). Hned potom se ale stránka přesměrovala na web České spořitelny. To aby byly rychle zahlazeny stopy.
Firefox 3.6
Starší verze Firefoxu rovněž zklamala, i když bylo v nastavení zvoleny obě položky:
- Blokovat nahlášené útočné stránky
- Blokovat nahlášené podvodné stránky
Zřejmě tyto stránky zatím nejsou na černé listině.
Chrome 10
Prohlížeč Googlu byl poslušný a varování splnilo účel. Asi byste jej nepřehlédli. Pokud byste falešné stránce přesto věřili, objevilo se ještě druhé varování, protože web byl znovu přesměrován (z domény fasooba.com na bobharvey.co.uk). Až poté se zobrazila stránka, kde můžete zadat své přihlašovací údaje. Ale všimněte si titulku okna: hláška Byl detekován phishing! ale není příliš zvýrazněna.
Opera 11
Opera ze srovnání vyšla nejspíš vítězně. Dvě varovná okna a výrazný červený pruh v adresní řádku Upozornění na podvodný web byl měl být dobrou stopkou pro uživatele. Chválím i dobře zvolená slova. Na heslo phishing tolik lidí neuslyší.
Internet Explorer 9
Microsoft zklamal. Rychlý prohlížeč je odolný na papíru, ale ve skutečnosti nehlásil žádné podezření. A to ani když jsem v nastavení zvolil jinou míru bezpečnosti.
Safari 5
Prohlížeč z Cupertina jako jediný varoval hned na třech obrazovkách. Na té výsledné už ale není zvlášť vyznačeno, že byste se nacházeli na podvodné stránce. Přesto tři upozornění musí odradit i největšího flegmatika.
Znovu zdůrazňuji, že se opravdu jedná o minitest. Na jedné podvodné stránce nelze posuzovat bezpečnost prohlížečů, protože může ta záviset na tom, jak jsou nastaveny jejich filtry a černé listiny. Zítra může být všechno jinak. Pozítří se také může objevit jiná stránka, která položí na kolena Chrome, Safari a Operu, zatímco IE a Firefox zaberou.
Phishing je jeden z nejnepříjemnějších útoků a žádný prohlížeč nemůže být vždy 100% účinný. Proto vždy závisí hlavně na inteligenci uživatele, nikolik programátora. Tak se tím řiďte.
