Jak odhalit podvodnou URL adresu?

Falešné webové stránky, sloužící k získávání hesel, mohou vypadat jako legitimní služby. Mohou být vzhledově identické, například přihlašovací stránky pro bankovní účty, sociální sítě nebo e-mailové služby. Útočníci mohou použít různé triky, aby uživatele přesvědčili o legitimnosti svých podvodných webových stránek. Například mohou použít podobnou adresu URL nebo kopírovat obsah a styl legitimních webových stránek.

Obecný tvar URL adresy

Teoretický tvar URL: protokol://server.doména_druhého_řádu.generická_doména:port/umístění_na_serveru?data/#kotva

Přepis na klasickou URL adresu: https://bezpecnost.slu.cz/uspesny-phishingovy-utok-na-univerzitu/#jak-se-chranit

Některá pole ale nejsou povinná, protože buď nemají význam nebo mají předdefinovanou hodnotu, kterou je zbytečné do zápisu uvádět. Může se jednat například o protokol (HTTP/HTTPS), port (80), kotva

Adresa URL se tedy skládá z několika částí, které jsou odděleny tečkami. První část adresy URL se nazývá doména prvního a druhého řádu, například slu.cz. Ta určuje, na jakou webovou stránku se uživatel připojuje.

Když si rozebereme webovou adresu https://bezpecnost.slu.cz/uspesny-phishingovy-utok-na-univerzitu/#jak-se-chranit, tak postupujeme vždy z pravé strany od .cz/.com/.sk/.info/.de/.online apod.:

  • .cz je národní doména prvního řádu (úrovně) a spravuje ji národní registrátor
  • .slu je doména druhého řádu (úrovně) a jejím nákupem ji může využívat určený vlastník
  • bezpecnost je doména třetího řádu (úrovně) a obsah na ní vkládá vlastník/administrátor domény slu.cz a může mít řadu tvarů podle potřeb vlastníka, například www, moje, cro, mail, math apod.
  • https:// je protokol zabezpečené komunikace
  • /uspesny-phishingovy-utok-na-univerzitu je podstránka a obsah na ní vkládá vlastník/administrátor .slu.cz
  • #jak-se-chranit je kotva na určitou část (nadpis), která se nachází na dané webové stránce.

Takže URL adresa www.slu.cz, mail.slu.cz, moje.slu.cz nebo cro.slu.cz používá Slezská univerzita pro své služby jako vlastník domény slu.cz. Pokud by ale útočník zneužil například URL adresu www.slu.com (jedná se o web Saint Louis University), tak už budeme vědět, že je to úplně jiná URL adresa, než je ta ze Slezské univerzity.

Ukázky z praxe

Na následujícím obrázku (rozbor tvaru webové adresy) je evidentní snaha útočníka, aby příjemce (vy) kliknul na odkaz, který na první pohled vypadá jako odkaz na web banky ČSOB. Jenže to není tak úplně pravda.

ukázka podvodné SMS zprávy k získání údajů z kreditní karty

Teď už víme a je to zjevné, že odkaz https://csob.cz-portali.online na předchozím obrázku (rozbor tvaru webové adresy) nebude odkazem na webové stránky ČSOB, i když se snaží navodit míru důvěry tím, že používá zabezpečený protokol https://.

  • .online je doména prvního řádu (úrovně),
  • .cz-portali je doména druhého řádu (úrovně),
  • csob je doména třetího řádu (úrovně).
  • https:// je protokol zabezpečené komunikace

Na následujícím obrázku je zase patrné, že útočník na zneužitém webu vytvořil webovou stránku, která se tváří jako legitimní webová stránka pro přihlášení do e-mailové služby Slezské univerzity. My však už při kontrole URL adresy vidíme, že je „divná“. Místo https://mail.slu.cz je v URL uvedeno https://integranegocios.cl/slu/slu.cz.html.

příklad podvodné webové stránky, která se tváří jako legitimní přihlašovací stránka

Útočník vlastní nebo napadnul webový server s URL adresou integranegocios.cl a vytvořil na ní podstránku /slu.cz. Tu pak použil k vytvoření podvodné webové stránky /slu.html, která se tváří jako legitimní webová stránka https://mail.slu.cz. Aby zvýšil své šance na úspěch, schválně do URL adresy zakomponoval podstránku ve tvaru slu.cz/slu.html, aby snadněji napadená osoba přehlédla, že je to podvod.

  • .cl je doména prvního řádu (úrovně),
  • integranegocios je doména druhého řádu (úrovně),
  • https:// je protokol zabezpečené komunikace
  • /slu.cz/slu.html je podstránka