Moderní prohlížeče vs. phishingové weby

24. 4. 2013
Doba čtení: 9 minut

Sdílet

Webové prohlížeče pomáhají uživatelům čelit nebezpečí, které představuje phishing. Jak dobře dovedou uživatele před phishingem ochránit filtry integrované do současných prohlížečů? Nakolik jednotlivé prohlížeče pomáhají uživateli rozpoznat na jaké webové stránce se právě nachází a nakolik je důvěryhodná?

V minulém díle seriálu Moderní webové prohlížeče jsme se věnovali účinnosti ochran pro zablokování přístupu na weby šíří malware. Porovnávali jsme též připravenost prohlížečů na tzv. drive-by útoky využívající chyby v některém z nainstalovaných plug-inů, kdy teoreticky k úspěšnému útoku může stačit pouhé načtení webové stránky. Plynule navážeme problematikou podvodných stránek a ochranou před nimi.

Konkrétně tedy před phishingovými weby, které imitují legitimní webovou službu, přičemž se z nepozorného uživatele snaží vylákat přinejmenším přístupového heslo pro úspěšné odcizení online identity. Například platební systém PayPal přístup ke všem propojeným debetním a kreditním kartám chrání pouze heslem. Zřejmě právě proto na jeho uživatele cílí nejvíce phishingových útoků.

Nedozírné důsledky může mít také ovládnutí e-mailové schránky, jelikož útočníkovi nic nebrání v převzetí kontroly nad dalšími účty postiženého uživatele. Mnohé služby pro reset hesla totiž používají jako jediný ověřovací prvek právě e-mail odeslaný na adresu právoplatného držitele uživatelského účtu. Ani prostá kontrolní otázka není zdaleka vždy samozřejmostí.

Opomenout nelze ani generální účty jako je Google Account či Microsoft Account, kdy jedny přihlašovací údaje slouží pro přístup k velkému množství různorodých služeb. Do obdobné role se dnes stavějí i účty na sociálních sítích Facebook a Twitter. V neposlední řadě nesmíme zapomenout, že mnoho uživatelů používá jedno heslo pro více různých služeb, čehož si jsou podvodníci dobře vědomi, takže po získání přihlašovacích údajů ke službě A zkusí štěstí u služby B.

Moderní prohlížeče phishingové weby blokují

Ochrana před phishingem je realizována na mnoha úrovních a v různých formách. Jednou z nich je i filtr s černou listinou známých podvodných stránek. Ten při pokusu navštívit některou z adres na černé listině zobrazí varování. Posléze nechá na uživateli, jestli si daný web chce skutečně nechat zobrazit. Takovou ochranu dnes nabízí všech pět prohlížečů, kterým se v rámci tohoto seriálu dlouhodobě věnujeme.

Takto to vypadá, když prohlížeč Mozilla Firefox zablokuje přístup na phishingovou webovou stránku. Obdobnou ochranu nabízí všichni jeho současní hlavní rivalové.

Připomeňme si, že jde o prohlížeče Internet Explorer, Mozilla Firefox, Google Chrome, Opera a Maxthon. Ve všech případech je filtr phishingových webů spojen s filtrací webů sloužících nebo zneužívaných k šíření malwaru. Dalším společným rysem je, že ve výchozím nastavení je tato ochrana aktivní, což je jedině dobře.

Jednotlivé prohlížeče se aktuálně příliš neliší ani co se týče efektivnosti svých ochran před phishingem. Nezávislý test provedli v říjnu 2012 výzkumníci z NSS Labs, kteří během deseti dnů každých šest hodin zkoušeli, jak si vybrané prohlížeče vedou s rozpoznáním phishingových webů.  Pravidelně byly doplňovány nové vzorky do testu.

U ochrany před phishingem je obzvláště nutná rychlá reakce, jelikož nelze spoléhat na další stupeň zabezpečení (např. u webů šířících malware vždy může zakročit antivir, pokud realizaci útoku nezabrání prohlížeč). Tím může být nanejvýš uživatelská obezřetnost, na kterou ale v globálním měřítku nelze spoléhat, jak ukazují osobní počítače prakticky od svého vzniku.

V testu nejlépe obstál Google Chrome (verze 21), který správně zablokoval přístup na 94 % phishingových webů. Druhé místo obsadil Internet Explorer (verze 10) s úspěšnosti 92 %. Třetí příčku si vybojovalo Safari od Applu (verze 5), které správně rozpoznalo 91 % phishingových webů. Čtvrté místo obsadil Mozilla Firefox (ve verzi 15), který byl jen o procentní bod horší.

Google Chrome podle testu NSS Labs z testovaných prohlížečů chrání uživatele před phishingem nejlépe. Hlavní rivalové jsou mu ale v patách a úspěšnost ochrany nabízí od 90 % výše.

Mezi testovanými prohlížeči je rozdíl zanedbatelný. Všechny čtyři testované prohlížeče z testu vyšly s alespoň devadesátiprocentní úspěšností své ochrany před phishingem. Prohlížeče Opera a Maxthon do testu zahrnuty nebyly, ale i u nich lze očekávat vysokou úroveň ochrany díky odběru podkladů od stejných dodavatelů anebo dodavatelů s obdobným renomé a zázemím.

Zvýrazňování kritické části URL není samozřejmostí

U phishingu se traduje, že není lepší ochrany, než je zdravý selský rozum. Minimálně devadesátiprocentní úspěšnost antiphishingových filtrů předních webových prohlížečů totiž hrozbu phishingu nesnižuje. Je třeba si uvědomit, že phishingové weby se rychle objeví a neméně rychle mizí. To nám vypovídající hodnotu jakéhokoliv testu výrazně snižuje.

Během svého jepičího života totiž phishingový web nemusí být vůbec zaregistrován, aby bylo možné ověřit, jestli figuruje na některé z černých listin, jako poskytuje třeba Google SafeBrowsing API. Pouze jeho oběti se časem mohou divit, kdo, kdy a jak se dostal k jejich přístupovým údajům. Tvůrci prohlížečů proto správně používají zdánlivě zanedbatelné, leč velmi užitečné ochranné prvky.

Jedním z nich je automatické zvýrazňování doménového jména z URL v adresním řádku, aby měl uživatel přehled, na kterém webu se skutečně nachází (podvodné DNS servery nyní nechme stranou). Pro prohlížeče Internet Explorer, Mozilla Firefox a Opera je samozřejmostí zvýrazňovat doménové jméno, tedy přesněji doménu druhé a první úrovně. Ostatní části URL jsou světlejší, méně výrazné.

Google Chrome jako jediný z pětice prohlížečů, kterým se v rámci seriálu dlouhodobě věnujeme, v URL v adresním řádku zvýrazňuje i doménu třetí úrovně (nikoliv jen druhé a první).

Z řady vybočují Google Chrome a Maxthon. Prohlížeč od Googlu ovšem v tom dobrém slova smyslu, protože zvýrazňuje i kompletní doménu třetí úrovně, čímž celkovou ochranu mírně vylepšuje. Naopak Maxthon nezvýrazňuje žádnou část URL v adresním řádku, aby uživateli usnadnil orientaci, na jaké webové adrese že se to právě nachází.

Indikování ověřeného SSL certifikátu na různé způsoby

Prohlížeče se také liší v tom, jak indikují web řádně se prokazující SSL certifikátem. Zelená barva a symbol zámečku po levé či pravé straně řádku s webovou adresou se staly nepsaným standardem. Toto sjednocení obecně prospívá k šíření povědomí o ověřování důvěryhodnosti webů za využití certifikátu. Uživatelé nyní mohou intuitivně hledat indikátor řádného ověření certifikátu i v prohlížeči, s nímž běžně nepracují.

Otázkou je, co ovšem vlastně uživateli sdělit. Google Chrome řádně ověřený certifikát indikuje pouze symbolem zeleného zámečku, přičemž vyčerpávající informace nabídne až po kliknutí na něj. Opera zřetelně a srozumitelně informuje, že web je díky řádnému ověření předloženého certifikátu důvěryhodný. Používá k tomu zelené tlačítko, které po kliknutí zobrazí další podrobnosti.

Zbylé prohlížeče volí jinou cestu: uživateli přímo v adresním řádku sdělí, kdo je podle certifikátu provozovatelem webu. Mozilla Firefox a Maxthon k tomu používají tlačítko bílé barvy se zeleným textem po levé straně řádku s adresou, přes které si lze zobrazit podrobnosti. Internet Explorer zeleně podbarvuje celý adresní řádek, ovšem jméno provozovatele webu uvádí nezvykle (oproti jiným prohlížečům) na pravé straně řádku s adresou, kde poněkud zapadá mezi různé další indikátory. Zvlášť, pokud není okno dostatečně široké.

Adresní řádek prohlížeče Internet Explorer nezobrazuje zrovna přehledně informace o ověřeném certifikátu.

Pro laika nejsrozumitelnější a všeobecně nejzřetelnější informaci v adresním řádku nabízí dle mého názoru Opera, která slovně informuje, jestli je web důvěryhodný nebo nedůvěryhodný. Kladně též hodnotím, že indikátor nezabírá místo na malých displejích při ruční úpravě adresy nebo zadávání nové adresy, protože při přesunutí fokusu do řádku s adresou se dynamicky zmenší na malý symbol zámečku.

Opera po zdárném ověření certifikátu uživatele vedle URL informuje, že web je důvěryhodný. Podrobnosti si lze zobrazit kliknutím na zelené tlačítko, které se pružně zmenší, když chce uživatel ručně zadat webovou adresu, aby nepřekáželo.

Na druhou stranu Internet Explorer, Mozilla Firefox a Maxthon rovnou informují o provozovateli webu, což může být v některých situacích směrodatnější než pouhé indikování ověřeného certifikátu.

Pochválit musím také Mozilla Firefox, který skrze indikátor ověření certifikátu umožňuje otevřít detailní informace o stránce, kde se uživatel dozví, jestli a případně kdy ji již navštívil. Rovnou si také může otevřít uložené soubory cookies nebo uložená hesla daného webu. Na další kartě je pak možné spravovat i oprávnění. Toto propojení mi přijde logické a intuitivní.

Mozilla Firefox na několik kliknutí uživateli prozradí, jestli daný web už navštívil a případně mu umožní správu cookies a hesel nebo správu oprávnění pro daný web.

Google Chrome též umožňuje přes indikátor výsledku ověření certifikátu spravovat oprávnění pro konkrétní web. Přístup k jejich správě je ještě rychlejší. Stačí pouhé jedno kliknutí. Nicméně nezdá se mi vhodné, že oprávnění jsou upřednostňována před identifikačními údaji z certifikátu, které se zobrazují až na další kartě.

Po kliknutí na symbol zeleného zámečku vedle URL indikujícího ověřený certifikát se namísto podrobností z certifikátu zobrazí správa oprávnění pro daný web.

Navíc v řádku s adresou prohlížeče od Googlu se objevují pouhé symboly bez dalšího textu, z nichž si každý nemusí nutně odvodit, co vlastně říkají nebo neříkají. Ano, tvůrci prohlížeče se opět drželi svého minimalistického stylu. Nicméně autoři Opery ukazují, že jej v tomto konkrétním případě lze skloubit i s polopatickým informováním uživatele.

Adresní řádek prohlížeče Internet Explorer by potřeboval generální úklid a citlivou ruku grafika. Jak již bylo uvedeno, jméno provozovatele webu z ověřeného certifikátu je zapadlé mezi řadou dalších indikátorů a ovládacích prvků. Podbarvení celého řádku zeleně jako indikace důvěryhodného webu jistě byla dobrým úmyslem, ovšem při současné realizaci zhoršuje čitelnost webové adresy.

Indikování použitého protokolu vyšlo z módy?

Když už jsme se dostali k řádku s webovou adresou a otázce SSL certifikátů, tak nelze nezmínit problematiku skrývání a zobrazování HTTP a HTTPS v URL. Zdůraznit užití HTTPS, kdy komunikace mezi klientem a serverem je šifrována a chráněna před tzv. datovým odposlechem, dnes považuji za jeden z mnoha střípků bezpečnostní mozaiky.

Nemyslím si ale, že správnou cestou k dosažení kýženého cíle je skrývání informace o užití běžného HTTP. Z mainstreamových prohlížečů s tím začal Google Chrome, následoval ho Mozilla Firefox. Není to však pro mnoho uživatelů matoucí? Netápají, co že se jim to najednou objevilo před adresou, když právě užívají protokol HTTPS?

Domnívám se, že pokud už touto cestou jít, tak směrem, který zvolila Opera: o užitém protokolu informovat srozumitelně a konzistentně. Nikoliv jednou protokol z adresy vyřadit, jindy ho tam naopak zobrazit anebo ještě dokonce zvýraznit. Nezastírám ale, že je to věc názoru. Ostatně ani tvůrci prohlížečů nejsou jednotní.

Opera namísto zobrazování HTTP či HTTPS v URL zobrazí tlačítko vedle URL, kterým si lze otevřít informační box.

Zatímco Google Chrome, Mozilla Firefox či Opera již nějakým způsobem řeší nový způsob zobrazování URL, tak Internet Explorer a Maxthon zobrazují klasicky vždy celou URL včetně protokolu. Někdo tvrdí, že tento přístup je už zastaralý. Že dnes je nutné dělat vše pro zvýraznění užití zabezpečeného HTTPS. S tím souhlasím, ovšem nemyslím si, že správnou cestou je skrývání běžného HTTP v URL.

bitcoin_skoleni

Maxthon zobrazuje URL starým klasickým způsobem včetně běžného protokolu, ovšem i bez zvýraznění kritických částí.

Myslím si, že je to matoucí. Pro zvýraznění HTTPS by jistě nebylo apriori nutné skrývat běžný HTTP v URL. Opera v praxi ukazuje, že cesta může být v různých indikátorech pro různé protokoly, které jsou laikům srozumitelnější než protokoly samotné. Je určitě žádoucí uživatele vizuálně upozornit, jestli používají nebo nepoužívají zabezpečený protokol, ale otázkou je forma toho vizuálního upozornění.

Má být protokol HTTP v URL zobrazené v adresním řádku prohlížeče skryt?

Poznámka: Pokud není výslovně uvedeno jinak, jsou v článku zohledněny ostré verze prohlížečů a jejich funkce aktuální k datu vydání článku, tedy: Internet Explorer 10, Mozilla Firefox 20.0.1, Google Chrome 26, Opera 12.15 a Maxthon 4.0.5.

Autor článku

Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká, přičemž mezi open source projekty nachází atraktivní řešení pro své zákazníky. Pro Root.cz pravidelně píše od roku 2012.