dodany: 05.02.2013 | tagi:

Autor:

Anatomia phishingu

2

Phishing to wyłudzanie poufnych informacji (np. haseł; numerów kart kredytowych) oraz  danych osobowych poprzez podszywanie się pod witryny, które darzymy zaufaniem np. stronę banku. Jest to jeden z elementów socjotechniki. Kiedy na takiej podmienionej stronie podamy informacje identyfikujące użytkownika, jak zazwyczaj robimy to na stronie np. banku – dane te, zamiast trafić tam, gdzie nam się wydaje, zostają wysyłane do przestępców. Ideą phisherów jest oczywiście wyczyszczenie z pieniędzy naszych kont bankowych, do których udało im się zdobyć w ten sposób dostęp. Chociaż efektywność phishingu spada, wciąż jest on dla oszustów wartościową formą zarobku. Wiele osób nauczyło się zachowywać szczególną ostrożność podczas korzystania z kont online oraz sprawdzać, czy na stronie nie ma żadnych oznak scamu (oszustwa) zanim przekażą nazwę użytkownika i hasło. Mimo to, wciąż znajdują się naciągacze, którzy dostają to, czego pragną. Za pomocą połączenia prostoty z trafnością – preparują strony bankowe, które budzą dużo większe zaufanie niż surowe e-maile z literówkami albo pseudowitryny, które były powszechnie spotykane kilka lat temu. Dzięki trafieniu w dobry moment, wciąż udaje im się osiągać sukcesy, czyli kraść nasze pieniądze.

Na przykład w styczniu w Australii  zostały wysłane wiadomości, które wyglądały tak:

1_phish-1-email-4861

Wiele banków posiada teraz własne systemy wiadomości wbudowane w strony internetowe. Chodzi o to, żeby użytkownik mógł zalogować się w bezpieczny sposób i tam przeczytać ważne wiadomości od banku, zamiast zastanawiać się, czy może uwierzyć w to, co przychodzi za pomocną niepewnej poczty elektronicznej. Banki dalej wysyłają e-maile w sposób tradycyjny, ale nie zawierają one żadnych szczegółów – mogą zawierać tylko ogólne informacje (np. „Wyciąg z konta jest gotowy”) wraz z poleceniem przeczytania pełnej wiadomości na bezpiecznej stronie. Prawdziwe wiadomości są całkowicie podobne do tej pokazanej wyżej. Tylko jest jedno ale! Bank nie wyśle nam bezpośredniego linku, żebyśmy dostali się na tę bezpieczną stronę. Ze znalezieniem drogi na stronę internetową swojego banku musimy poradzić sobie sami. Widać więc, że w powyższym przykładzie link jest oszustwem, ponieważ w ogóle nie powinno go tam być. Przestępcy potrafią skutecznie ograniczyć naszą czujność. Podobny link nie wygląda jednak jeszcze tak nonsensownie, jak inne typowe „zagrywki” phishingowe. Chodzi na przykład o dziwne i mało prawdopodobne domeny, jak really.your.bank.wefljdrsecxr.example.org.

Idąc dalej – w tym przypadku oszust odsyła nas do strony rządowej o TLD (domena najwyższego poziomu) .cn – a ta należy do Chin:

2_phish-7-link-486

Wygląda na to, że ta rządowa strona miała jakąś lukę bezpieczeństwa, która pozwoliła na dodanie małej i prostej strony internetowej nazwanej nabau.html. Zawiera ona prostą linijkę, która przekierowuje dalej:

3_phish-3-meta-486

Stamtąd zostajemy przerzuceni na kolejną stronę, również podmienioną, której URL częściej jest numerem IP serwera niż domeną. Trafiamy na podrobioną stronę logowania hostowaną na serwerze kolumbijskiego uniwersytetu (wygląda na instytut Computer Science):

4_phish-5-first-data-486

Jak na ironię, ta fałszywa strona poleca sprawdzenie aktualizacji systemu, pakietu antywirusowego i firewalla. Dodatkowo podaje adres e-mail, na który można zgłosić phishing. Na samym końcu jest jeszcze link do podstrony, gdzie można znaleźć więcej informacji na temat bezpieczeństwa. Kiedy wypełnimy dane logowania i naciśniemy Login formularz zostanie wysłany POST (metoda wysyłania danych w HTTP) do jeszcze innego shackowanego serwera. Tym razem ofiarą padła strona studenckich wakacji w USA – prawdopodobnie przez dziury we wtyczkach. Nigdy nie zobaczymy strony głównej, co nie jest niczym dziwnym:

5_phish-2-breaks-site

W tym czasie dane (login oraz hasło), które zostały wysłane ze strony kolumbijskiego uniwersytetu, dotarły już do przestępców. Jednak to nie koniec – po chwili zostaniemy przekierowani z powrotem na kolumbijską stronę, która prosi o podanie kolejnych informacji:

6_phish-4-second-data-486

Tak samo jak wcześniej – po wypełnieniu i wysłaniu formularza dane trafiają za pomocą POST w to samo miejsce – na stronę wakacji studenckich. Jednak później, nie trafiamy znowu na tę samą fałszywą stronę, tylko po wycieczce z oszustami dookoła świata, wracamy do Australii. Zabawę kończymy na stronie głównej Narodowego Banku Australii, bynajmniej nie na podstronie bankowości internetowej.

7_phish-6-real-nab-486

Szybkie podsumowanie – co powinniśmy zrobić, żeby nie dać się nabrać na takie oszustwo:

  1. Narodowy Bank Australii (jak i inne banki) nie wysłałby linku poprzez e-mail, więc nie powinniśmy w niego klikać.
  2. Żadna z stron nazywanych bankowymi nie przedstawiała się jako nab.com.au (URL australijskiego banku) – warto mieć to na uwadze i uważać również na możliwe literówki w adresach.
  3. Żadna ze stron nie korzystała z bezpiecznego protokołu HTTP – czyli HTTPS (przy tym protokole przeglądarki internetowe wyświetlają przeważnie małą kłódeczkę w pasku adresu) – warto i na to zwracać uwagę.

Mimo to, przywołane oszustwo nie poprowadziło nas na żadną ze stron, która mogłaby być uzna zaczęść światka cyberkryminalnego. Opierało się ono na trzech zwykłych i uznanych serwerach, posiadanych przez legalne organizacje i zarządzanych przez nie budzących podejrzeń administratorów w trzech różnych krajach – Chinach, Kolumbii i USA. Z tego powodu nawet osoby, które same siebie nazywają „bezpiecznymi internautami” – czyli które dla własnego bezpieczeństwa nie zapuszczają się w nieznane ciemne strony Internetu – powinny być świadome, że są w potencjalnym niebezpieczeństwie.

Bądźcie ostrożni!

Bez różnicy czy tylko przeglądacie Internet, czy posiadacie swój internetowy biznes, ofiarą można stać się na dwa sposoby – dać się naciąć na pozornie prawdziwe strony albo być miejscem, gdzie takie strony będą przechowywane (i być tym samym pomocnym dla przestępców).

 

Źródło: nakedsecurity.sophos.com.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

2 odpowiedzi na “Anatomia phishingu”

  1. avatar Macej napisał(a):

    Dobry art, ale szkoda, że nie ma opisanych większej ilości "ataków" socjotechnicznych, tj. "Twoje hasło zostało wykradzione, sprawdź czy jesteś na liście" :) Chyba wiadomo o czym mówię.

    • avatar Michał Smereczyński napisał(a):

      Dzięki za dobrą notę :) Co do socjotechnik, to niedługo będzie o tym nieco więcej. Chcemy, żeby pisał o tym ktoś z wiedzą o ludzkiej psychice – i udało nam się taką osobę znaleźć ;)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *