Téměř každý rok se objeví nová taktika, která významně ovlivní statistiky světového phishingu. Tento rok byl zaznamenán nárůst popularity u taktiky, která není úplnou novinkou, ale dosud nebyla příliš oblíbená. Útočník prolomí web server, který poskytuje hosting dalším doménám – bývá nazýván Sdílený Virtuální Server. Tento postup umožňuje útočníkovi následně nahrát phishing web na server a editovat konfigurační soubory tak, že každé hostname začne odkazovat na obsah v určitém podadresáři. To znamená, že všechna začnou zobrazovat web útočníka, což několikanásobně zvýší efektivitu celé akce.

Tímto postupem může útočník infikovat desítky, stovky, dokonce tisíce webových stránek najednou. APWG identifikovalo 42,448 unikátních útoků touto taktikou. Každý z nich použil jiné doménové jméno. Toto číslo přiřazuje hodnotu 37% všech phishing útoků na celém světě, což je obrovský vzestup oproti druhé polovině roku 2010.

Taktika útoků na Sdílené Virtuální Servery má další výhodu pro útočníka ve formě jednoduchého spammingu, který je díky často velkému počtu doménových jmen složité neutralizovat. Současně s tím je těžké pro méně zkušeného operátora webu objevit příčinu útoku a způsob, jak se s ním vypořádat, protože nebezpečný obsah není v adresáři, který nahrál vlastník a vlastníkův soukromý webhosting účet většinou není nikdy kompromitován. Místo toho je kompromitován celkový systémový administrátor a změny byly provedeny v konfiguraci web serveru.

Jak se vyvarovat phishingu z pohledu uživatele internetu?

Základem většiny problémů je selhání lidského faktoru. Útočníkovi se nějakým způsobem podaří přesvědčit uživatele, aby kliknul na odkaz v domnění, že se jedná o pravou, nefalšovanou zprávu. Faktorů, které ovlivňují podvědomé nebo vědomé lidské rozhodování je mnoho. Nejdůležitější je uvažovat v klidu a s rozvahou.

Není divné, že banka, která využívá vícefaktorového přihlašování do internetového bankovnictví po mě najednou žádá abych zadal jméno a heslo na webu, který mi přišel e-mailem? Banky nikdy nevyřizují takhle důvěrné věci přes něco tak nedůvěrného, jako je e-mail!

Proč mi posílá multimiliardová společnost Facebook, kde pracují ti nejlepší weboví vývojáři na světě e-mail, ve kterém mě žádá, abych zadal jméno a heslo pro změnu v mém účtu? Stalo se mi to již někdy v minulosti?

Co se vyplatí?

Při práci s elektronickou poštou a v jiných formách elektronické komunikace používat rozum a nebát se zeptat zkušenějšího uživatele.

• Neklikat na každý odkaz, který vám někdo pošle přes ICQ nebo IRC.

• Nevyplňovat formuláře, které po vás chtějí citlivá data.

• Zvyknout si sledovat adresový řádek prohlížeče. Jste opravdu na cdr.cz a ne na cdrr.cz?

• Nebát se ohlásit phishing skupině APWG na www.antiphishing.org/report_phishing.html

Mějte vždy na paměti, že je důležité ověřit si původ informací, které vás ovlivňují. V internetovém světě totiž platí "nedůvěřuj a prověřuj".