Allegro podatne na atak phishingowy

Na kwestię e-maili od Allegro zwrócił uwagę bloger Paweł Małkowski, a za nim serwis Aukcje.org. Również autor tego tekstu otrzymał kilka dni temu list z prośbą o dokonanie wpłaty z linkiem prowadzącym bezpośrednio do strony logowania Allegro.

Z punktu widzenia użytkownika rozwiązanie takie jest wygodne, ale niestety mało bezpieczne. Serwis aukcyjny właściwie przyzwyczaja użytkownika do faktu, że od e-maila do dokonania płatności dzieli nas kilka kliknięć, a pierwsze z nich to kliknięcie w link przysłany w e-mailu. Problem w tym, że nadawcą e-maila wcale nie musi być Allegro. Wystarczy więc przygotować podobny list, stronę podobną do strony Allegro i... zbierać dane.

Rzecznik Allegro Patryk Tryzubiak zapytany o sprawę stwierdził, że "Phishing jest zagrożeniem wszędzie tam, gdzie mamy do czynienia z komunikacją mailową - czyli w całym internecie". Dodał, że firma chce w przyszłości wprowadzić pewne zabezpieczenia:

fot. - List z prośbą o wpłate należności za wystawianie aukcji

- Chcemy zwiększyć pewność adresatów, że list pochodzi od nas, dzięki wprowadzeniu dodatkowych, personalizowanych informacji w treść emaila. Pracujemy właśnie nad wprowadzeniem tej funkcjonalności. Co do linku do logowania, zdecydowaliśmy się na taką możliwość ponieważ zwiększa wygodę adresata. Uruchomienie w/w opcji powinno zwiększyć odporność całej komunikacji mailowej Allegro - Użytkownik na atak fishingowy – mówi Tryzubiak.

Bardziej krytycznie na pomysł patrzy Michał Iwan, ekspert z firmy F-Secure.

- Wysyłanie maili kierujących od razu do strony logowania to dość ryzykowny zabieg - mówi ekspert - Praktyka taka jest zupełnie zrozumiała z punktu widzenia poziomu obsługi klienta, a właściwie ułatwienia użytkownikom korzystania z opcji zakupów online. Niemniej należy zwrócić uwagę na fakt, że maile z linkiem prowadzącym bezpośrednio do strony logowania mogą zostać w dość prosty sposób podrobione. W sieci dostępnych jest wiele narzędzi ułatwiających tworzenie ataków phisingowych. Co ważne większość spośród tych narzędzi jest bezpłatna. Głównie z tego powodu w roku 2007 i pierwszej połowie 2008 r. obserwowano lawinowy wręcz przyrost ataków tego typu.

Michał Iwan powołał się na szacunki firmy badawczej Gartner według których phishing spowodował straty sięgające 3,2 miliarda dolarów tylko w samych Stanach Zjednoczonych.

- Mam nadzieję, że Allegro wprowadzi dodatkowy bardzo szczelny sposób autoryzacji i personalizacji maili, ale na pewno warto przy tworzeniu takich metod ułatwiających obsługę portalu klientom, pamiętać o wyobraźni i umiejętnościach hakerów, którzy stają się wykorzystać każdą nadarzającą się okazję.

Również Jakub Dębski z firmy ESET zgadza się z tym, że stosowane przez Allegro rozwiązanie jest niebezpieczne.

- Uważny użytkownik zwraca uwagę, czy odwiedzana strona jest dostarczona w bezpieczny sposób (HTTPS) oraz czy posiada prawdziwy certyfikat (informacje dostępne po kliknięciu na kłódkę przy połączeniu bezpiecznym) - mówi Dębski, po czym dodaje - Jednak nawet w tym przypadku przeglądarki internetowe mogą zostać oszukane, jeżeli nie są zaktualizowane do najnowszych wersji. Co jakiś czas pojawia się exploit umożliwiający sfałszowanie informacji przedstawianych użytkownikowi lub obniżający poziom bezpieczeństwa połączenia.

W ocenie Jakuba Dębskiego pomysł personalizowania wiadomości również jest chybiony, ponieważ pojawia się coraz więcej personalizowanych ataków typu phishing. Sprzyja temu fakt, że użytkownicy podają olbrzymią ilość swoich danych osobowych (w tym telefon) w serwisach społecznościowych typu Nasza-Klasa czy Grono.

Ekspert podpowiada, że list elektroniczny mógłby być podpisany cyfrowo, ponieważ takie certyfikaty są obsługiwane i sprawdzane przez większość z dostępnych programów pocztowych. Podpisy cyfrowe są jednak ignorowane przez prawie wszystkie systemy dostępu do skrzynek pocztowych przez strony WWW, a jest to współcześnie najpopularniejsza metoda korzystania z poczty. Pozostaje więc przekierowywanie użytkownika na stronę z opłatami w momencie, kiedy zaloguje się on na swoje konto na stronie Allegro.