Artykuły dotyczące tematu: phishing

dodany: 22.07.2013 | tagi: , ,

Phishing targetowany nową bronią cyberprzestępców

0

W ciągu ostatnich dwunastu miesięcy 37,3 mln użytkowników Internetu na całym świecie zetknęło się z atakiem phishingu. To o 87 proc. więcej niż w tym samym okresie rok wcześniej. Wciąż najpopularniejszym celem ataków oszustów internetowych są klienci banków i instytucji finansowch, ale coraz częściej są na nie narażone także osoby korzystające z serwisów aukcyjnych czy portali społecznościowych. Zdaniem ekspertów firmy doradczej Deloitte, najsłabszym ogniwem pozwalającym na dokonywanie tego rodzaju przestępstw są sami użytkownicy oraz ich złe przyzwyczajenia i słabości.

Phishing jest rodzajem oszustwa, polegającego na kradzieży tożsamości lub innych danych (np. finansowych) z wykorzystaniem kopii strony internetowej (poczty internetowej, bankowości on-line, portalu społecznościowego) zaufanej instytucji. Niczego niepodejrzewający użytkownik wpisuje na tak spreparowanej stronie swój login i hasło lub dane z karty kredytowej, a informacje te trafiają w ręce przestępców.

Co ciekawe istota phishingu nie zmieniła się od początku istnienia tego zjawiska. Jedynie metody działania oszustów stają się coraz bardziej wyrafinowane, a próby ataku coraz częściej dotyczą także właścicieli smartfonów i użytkowników aplikacji mobilnych. W najbliższej przyszłości nie należy spodziewać się zmniejszenia skali tego rodzaju przestępstw, a wręcz jego nasilenia

– wyjaśnia Piotr Szeptyński, Menadżer w Dziale Zarządzania Ryzykiem, Deloitte.

Potwierdzają to wyniki badania Kaspersky Lab. W ciągu ostatnich dwunastu miesięcy oszuści atakowali dziennie średnio 102 tys. osób, dwa razy więcej niż w analogicznym okresie rok wcześniej. Prób oszustwa najczęściej dokonywano w Rosji, USA, Indiach, Wietnamie oraz Wielkiej Brytanii, a największa liczba zaatakowanych użytkowników to mieszkańcy Wietnamu, Stanów Zjednoczonych, Indii oraz Niemiec. Większość serwerów, na których znajdowały się strony phishingowe została zarejestrowana w USA, Wielkiej Brytanii, Niemczech, Rosji oraz Indiach.

W ostatnich latach coraz popularniejszy staje się phishing targetowany (z ang. spear-phishing), mający charakter spersonalizowanego ataku. Choć najpopularniejszym celem oszustów nadal pozostają klienci instytucji finansowych (20 proc. ogólnej liczby przestępstw phishingowych), to narażeni na nie są także użytkownicy serwisów transakcyjnych (np. aukcyjnych) oraz takich, w których gromadzone są cenne dane osobowe, zawodowe, dotyczące zdrowia i szczególnych zainteresowań. Świadczy o tym mnogość ataków wycelowanych w użytkowników takich serwisów, jak PayPal, Facebook, LinkedIn czy Twitter.

Niestety firmy i ich klienci zbyt często są niesłusznie przekonani o skuteczności stosowanych zabezpieczeń. Dwuskładnikowe uwierzytelnianie, kody SMS, karty zdrapki i szyfrowane połączenie są to (w ocenie użytkowników) sposoby wystarczające, by uchronić się przed udanym atakiem.

Jednak rzeczywistość pokazuje, że wcale tak nie jest. Szkodliwe oprogramowanie tworzone jest pod konkretne potrzeby, co świadczy o tym, że jego skuteczność jest wysoka, a przestępcom opłaca się angażować wykwalifikowanych programistów w jego tworzenie

– uważa Piotr Szeptyński.

Tym, co często zdradza próbę wyłudzenia danych jest niska jakość treści wiadomości i fałszywych stron. Pomimo widocznej poprawy wyglądu imitacji serwisów transakcyjnych, treść wiadomości nadal przypomina efekt automatycznego i nieudolnego tłumaczenia z języka rosyjskiego – poprzez angielski – na polski. Okazuje się jednak, że nie jest to przeszkodą w realizacji ataków. Odbiorcom często wystarcza prosta informacja (np. nazwa jego stanowiska, imię i nazwisko znajomego, nazwa miasta zamieszkania), by dać się przekonać o „autentyczności” wiadomości. Dane te użytkownicy zamieszczają w portalach społecznościowych, takich jak Facebook czy LinkedIn, a niewłaściwe ustawienia dotyczące ochrony prywatności sprawiają, że cyberprzestępcy w szybki sposób docierają do potrzebnych im informacji i wykorzystują je następnie przeciwko swoim ofiarom.

Zwykło się też uważać, że o autentyczności strony świadczy to, co widać w pasku adresu oraz słynna „żółta kłódka”. Przypadki udanych ataków pokazują, że także te założenia bywają błędne. Problemy z mechanizmami leżącymi u podstaw modelu zaufania w Internecie (m.in. słabość funkcji skrótu MD5 oraz nieuprawniony dostęp do kluczy prywatnych centrów certyfikacji) spowodowały, że widząc symbol żółtej kłódki użytkownik nie może już mieć pewności, że loguje się do autentycznego i należycie zabezpieczonego serwisu transakcyjnego.

Jednak głównym powodem tego, że ataki phishingowe są wciąż skuteczne i opłacalne dla przestępców nie są wady oprogramowania lecz błędy użytkowników i ich zbytnia skłonność do postępowania według przyzwyczajeń. Dlatego ochrona przed phishingiem powinna skupić się na budowaniu świadomości oraz zmiany schematów. Powinny do nich należeć:

  • ostrożne dzielenie się osobistymi informacjami,
  • stosowanie różnych haseł w zależności od serwisu,
  • aktualizacja systemu i oprogramowania (zwłaszcza antywirusowego),
  • rozsądne otwieranie załączników do wiadomości i klikanie w linki,
  • łączenie się z serwisami internetowymi pod znanymi adresami (np. z zakładek).

Mimo że żadne z tych zasad nie dadzą 100 proc. gwarancji ochrony przed nadużyciem, to pozwalają one zminimalizować ryzyko i uniknąć większości przykrych niespodzianek.

I w tej dziedzinie technologia powinna pełnić rolę wspierającą, analogicznie jak ma to miejsce w przypadku samego phishingu. Programy komputerowe i mechanizmy bezpieczeństwa nie mogą zastąpić zdrowego rozsądku

– podsumowuje ekspert Deloitte.

Źródło: Deloitte

dodany: 04.07.2013 | tagi: , , ,

Wiele imion tożsamości – czemu ma służyć przywłaszczanie obcych personaliów?

85

Naturalną potrzebą człowieka jest poczucie przynależności oraz identyfikacji. Każdy z nas powinien być świadom tego, kim jest i w jakim kręgu się obraca. W cyberprzestrzeni kreujemy tożsamość internetową. Czy do tego stopnia nie akceptujemy siebie samych, że musimy podszywać się pod innych? A być może za tym działaniem stoją zupełnie inne powody?

Nie chcę być no-name

Imię, nazwisko, adres zamieszkania, nr telefonu – własne dane osobowe jesteśmy w stanie podać bez chwili zawahania o każdej porze dnia i nocy. Człowiek utożsamia się z miejscem, płcią, zawodem czy kulturą i środowiskiem, w którym żyje. Umiejscawia się w pewnym obszarze rzeczywistości, do której przynależy. Rozmaite cechy osobowości, zainteresowania czy odróżniająca nas od innych fizyczność określa nas samych, definiuje indywidualność.

Przekraczając próg internetowych bram, logujemy się na witryny, portale, fora i blogi. Bez zastanowienia wklepujemy prawdziwe informacje. Dopisujemy się do pewnej grupy, współtworzymy ją. Tym samym wyrażamy zgodę na publiczne funkcjonowanie w sieci. Kreujemy naszą tożsamość internetową, przybierając różnego rodzaju maski.  

Profilowi złodzieje

Weryfikacja prawdziwości udostępnianych danych jest bardzo trudna. Dlatego też każdy może stworzyć fikcyjne konto w sieci. Profil osoby, która nie istnieje w rzeczywistości nie jest żadnym problemem. Uruchomienie strony i korzystanie z niej pod czyimś nazwiskiem – jest już karalne! Wraz z rozwojem Internetu, coraz bardziej powszechne staje się zjawisko phishingu.

Kradzież tożsamości w świecie wirtualnym to pierwszy krok do cyberprzestępczości. Użytkownicy Internetu zakładają nieswoje konta mailowe czy profile na portalach społecznościowych. Czasem to zachowanie przybiera silniejszy i bardziej wyrazisty charakter. Skradzione dane wykorzystywane są również do podrabiania dokumentów, dokonywania zakupów w sklepach elektronicznych oraz otwierania fałszywych kont bankowych. Informacje można pozyskać m.in. poprzez specjalne programy komputerowe lub niepozornie, wyłudzając je bezpośrednio od ofiary. Jest to najgroźniejsza forma przemocy, ponieważ godzi bezpośrednio w społeczny wizerunek użytkownika Internetu.

Prawo po stronie internauty

Wykorzystywanie wizerunku czy danych innej osoby w celu wyrządzenia szkody majątkowej lub osobistej podlega przepisom prawnym. Od 2011 roku uregulowane jest w Kodeksie karnym. Poszkodowany sam musi zadbać o ochronę własnego mienia, składając odpowiedni wniosek do prokuratury. W tym momencie poszczególne organy ścigania będą mogły podjąć konkretne działania.

Z pozoru błaha aktywność

Nieświadomość i bezrefleksyjność internautów często jest przyczyną stawania się ofiarą cyberprzestępczości. Dokładny opis posiadanego sprzętu, szczegółowe zdjęcia domu, które udostępniamy przypadkowo na portalach – mogą stanowić nęcący wabik i zaproszenie dla potencjalnego złodzieja. Zwyczajnie niezabezpieczony hasłem komputer to doskonałe źródło informacji. Wystarczy spuścić go na chwilę z oka, a dane mogą dostać się w niepowołane ręce. Nigdy nie wiemy na jaki użytek zostaną przeznaczone!

dodany: 27.06.2013 | tagi: , ,

37 milionów użytkowników zetknęło się z atakiem phishingowym w ciągu ostatniego roku

0

Według wyników raportu Kaspersky Lab pt. „Ewolucja ataków phishingowych 2011-2013” liczba użytkowników Internetu, którzy mieli do czynienia z atakami phishingowymi, zwiększyła się w ciągu ostatnich 12 miesięcy z 19,9 do 37,3 miliona, co oznacza wzrost o 87%. Głównymi celami cyberprzestępców są Facebook, Yahoo, Google oraz Amazon. Analiza przeprowadzona w czerwcu 2013 r. przy wykorzystaniu danych z chmury Kaspersky Security Network wskazuje, że to, co kiedyś było namiastką spamu, przekształciło się w cyberzagrożenie, które wzrasta w bardzo szybkim tempie i rządzi się swoimi prawami.

Phishing jest formą internetowego oszustwa, w którym cyberprzestępcy tworzą fałszywą kopię popularnej strony (usługi poczty internetowej, bankowości online, portalu społecznościowego itp.) oraz wabią na nie internautów. Niczego niepodejrzewający użytkownik wprowadza na tak spreparowanej stronie swój login i hasło, a dane te trafiają w ręce przestępców. Wówczas oszuści mogą użyć skradzionych informacji osobistych, danych logowania oraz haseł do kradzieży pieniędzy, rozsyłania spamu lub szkodliwego oprogramowania w wiadomościach e-mail, czy też poprzez portale społecznościowe. Mogą również zwyczajnie sprzedać je innym przestępcom.

Phishing przez długi czas był uważany za pewną odmianę typowych wiadomości spamowych. Jednak dane, jakich dostarczył raport, potwierdzają, że skala ataków phishingowych osiągnęła tak ogromny rozmiar, że powinny one być traktowane jako osobna kategoria zagrożeń. Poczta nie należy już do najczęściej wykorzystywanych mechanizmów rozsyłania wiadomości phishingowych. Jedynie 12% wszystkich zarejestrowanych ataków tego typu zostało przeprowadzone przy pomocy wysyłek spamowych, natomiast pozostałe 88% pochodziło z odnośników do stron phishingowych, które ludzie odwiedzali przy wykorzystaniu przeglądarek internetowych, komunikatorów (np. Skype) itp.

Eksperci z Kaspersky Lab porównali dane dotyczące ataków phishingowych, które zostały zebrane od ponad 50 milionów użytkowników przy użyciu chmury Kaspersky Security Network między 1 maja 2012 r. a 30 kwietnia 2013 r., z danymi za analogiczne miesiące w latach 2011-2012.

Główne wnioski z badania

Użytkownicy

  • W latach 2012-2013 każdego dnia phisherzy atakowali średnio 102 100 osób z całego świata – dwa razy więcej niż w okresie 2011-2012;
  • Ataki phishingowe najczęściej były wymierzone w Rosję, USA, Indie, Wietnam oraz Wielką Brytanię;
  • Największa liczba zaatakowanych użytkowników znajdowała się w Wietnamie, Stanach Zjednoczonych, Indiach oraz Niemczech – całkowita liczba ataków w tych regionach podwoiła się od zeszłego roku.

klp_kraje_atakowane_najczesciej_phishing_2013

Atakujący

  • Większość serwerów, na których znajdowały się strony phishingowe, została zarejestrowana w USA, Wielkiej Brytanii, Niemczech, Rosji oraz Indiach;
  • Liczba unikatowych źródeł ataków – takich jak oszukańcze strony i serwery – wzrosła ponad trzykrotnie od 2012-2013;
  • Ponad połowa (56%) wszystkich zidentyfikowanych unikatowych źródeł ataków znajdowało się w 10 krajach. Oznacza to, że atakujący mają zaledwie kilka preferowanych “baz” do przeprowadzenia swoich ataków.

Cele

  • Najczęściej atakowanymi przez phisherów serwisami były Yahoo!, Google, Facebook oraz Amazon – w 30% wszystkich zarejestrowanych incydentów wykorzystano fałszywe wersje tych stron;
  • Ponad 20% wszystkich ataków phishingowych wykorzystywało wizerunek banków i innych organizacji finansowych;
  • Wśród 30 najczęściej atakowanych stron znalazły się American Express, PayPal, Xbox Live, Twitter.klp_najczesciej_atakowane_firmy_phishing_2013Rozmiar oraz różnorodność ataków phishingowych zidentyfikowanych w trakcie przeprowadzania raportu wskazuje, że phishing nie jest jedynym narzędziem do nielegalnego wzbogacania się przestępców, lecz stanowi znaczne i widoczne zagrożenie. Ataki te są relatywnie proste do zorganizowania oraz przynoszą wymierne korzyści, co zachęca coraz większą liczbę cyberprzestępców do tego typu nielegalnej działalności. Liczba ataków phishingowych, która wg Kaspersky Security Network prawie podwoiła się w ciągu jednego roku, potwierdza ten trend

 powiedział Nikita Szwecow, zastępca dyrektora technicznego w Kaspersky Lab.

Pełny raport pt. „Ewolucja ataków phishingowych 2011-2013” jest dostępny na stronie Kaspersky Lab.

Źródło: Kaspersky Lab

dodany: 26.06.2013 | tagi: , , ,

Galaxy S4 podatny na smishing

1

Samsung zdążył już nas przyzwyczaić do tego, że jego nowości kryją potencjalne słabości w zabezpieczeniach… Tym razem problem dotyczy flagowego smartfona Galaxy S4. Słabość tkwi konkretnie w funkcji Cloud Backup, która pozwala na przeprowadzenie ataków typu smishing (czyli odmiany phishingu wykorzystującej SMS-y).

Problem ten odkryła chińska firma Qihoo 360, która zajmuje się bezpieczeństwem IT. Złośliwa aplikacja wykorzystująca powyższą lukę jest w stanie wysyłać oraz odbierać fałszywe SMS-y, np. dotyczące usług premium. Poprzez socjotechnikę ofiara może zostć nakłoniona do uruchomienia złośliwego linku, np. w celu dezaktywacji rzekomej płatnej usługi. Cyberprzestępcy mogą też w ten sposób pozyskać od nas poufne dane.

Qihoo 360 nie podaje na czym dokładnie polega problem, aczkolwiek słabość ta została zgłoszona Samsungowi, który potwierdził istnienie nieodpowiedniego poziomu zabezpieczeń. Koreański potentat elektroniki przygotowuje stosowną poprawkę. Do czasu jej wypuszczenia zalecane jest wyłączenie usługi Cloud Backup.

dodany: 20.06.2013 | tagi: , , , ,

Klienci PKO uważajcie na phishing

17

Użytkownicy usługi internetowego banku iPKO powinni uważać na fałszywe wiadomości email, które służą do wyciągnięcia danych potrzebnych do uwierzytelnienia. Wiadomość ta zawiera link, który prowadzi do podrobionej strony iPKO. Jak nie trudno się domyślić, wprowadzone przez nas dane są przekazywane oczywiście cybeprzestępcom.

Sam mail jest zatytułowany tematem „Nowa wiadomosc !” i pochodzi ze sfałszowanego adresu „serwis.internetowy@ipk.pl”

 

 

 

Wiadomość e-mail docierająca do użytkowników w ramach nowego ataku phishingowego (źródło KasperskyLab)

Wiadomość e-mail docierająca do użytkowników w ramach nowego ataku phishingowego (źródło KasperskyLab)

Wiadomość e-mail docierająca do użytkowników w ramach nowego ataku phishingowego (źródło KasperskyLab)

 

 

Oszuści stosują prosty wybieg, który miejmy nadzieje, że wzbudza w większości klientów podejrzane działanie. Wg treści rzekomo otrzymaliśmy nową wiadomość od iPKO, którą możemy odczytać po kliknięciu w zawarte w treści łącze. Jeśli to uczynimy naszym oczom ukaże się następująca strona zawierające logowanie:

Sfałszowana strona logowania do serwisu iPKO (źródło KasperskyLab)

Sfałszowana strona logowania do serwisu iPKO
(źródło KasperskyLab)

Oto jak wygląda oryginalna strona iPKO:

Prawdziwa strona serwisu iPKO

Prawdziwa strona serwisu iPKO

Jak widać różnice są praktycznie żadne, poza komunikatami dotyczącymi przerwy technicznej a także fałszywej strony – niestety dotyczy to problemu z ubiegłego roku…

stary komunikat ipko

Komunikat iPKO o sfałszowanej stronie.

Przynajmniej wiadomo gdzie powinniśmy zgłosić oszustwo. Dziwi jednak fakt, że PKO nie informuje klientów o aktualnej próbie wyłudzenia…

 

Co się dzieje po podaniu danych na sfałszowanej stronie?

Jeśli wprowadzimy dane do logowania to czeka nas kolejna strona na której jesteśmy proszeni o wprowadzenie 30 kolejnych kodów jednorazowych:

Fałśzywa strona nakłaniająca do podania kodów jednorazowych autoryzujących transakcje bankowe (źródło Kaspersky Lab)

Fałszywa strona nakłaniająca do podania kodów jednorazowych (źródło Kaspersky Lab)

„Sama wiadomość phishingowa nie została przygotowana szczególnie starannie – widać, że cyberprzestępcy nastawili się na atakowanie użytkowników, którzy nie czytają zbyt wnikliwie korespondencji i do kliknięcia odsyłacza wystarczy im fakt, że wiadomość pochodzi z banku” – powiedział Maciej Ziarek, ekspert ds. bezpieczeństwa IT, Kaspersky Lab Polska. „Kiedy jednak użytkownik kliknie link, na ekranie pojawia się wierna kopia strony logowania banku, co może zmylić niejednego właściciela konta”.

Kaspersky Lab Polska podkreśla, że PKO Bank Polski ma nic wspólnego z wysyłaniem tej wiadomości e-mail. Jest to typowy atak phishingowy mający na celu wyłudzenie informacji od użytkowników.

dodany: 11.06.2013 | tagi: , , , , , ,

Phishing – jak oni to robią? Przeczytaj, żeby wiedzieć jak się bronić

6

Pewnie wielu z was zastanawiało się, jak wyglądają ataki phishingowe. Ostatnio opisywaliśmy, jak wygląda ten proces od strony ofiary (zobacz artykuł: Anatomia phishingu) – dzisiaj przyjrzymy się drugiej stronie medalu, a więc temu, jakie narzędzia i sposoby są najczęściej wykorzystywane przez cyberprzestępców.

W sieci natknęliśmy się na materiał, będący swego rodzaju przewodnikiem dla phisherów. Postanowiliśmy przetłumaczyć dla Was obszerne fragmenty, ponieważ wiedząc, jak działają phisherzy, można skuteczniej bronić się przed ich szkodliwą działalnością. Nasz materiał ma na celu przede wszystkim pokazanie, jak można się chronić oraz na co należy zwrócić uwagę podczas wdrażania polityki zabezpieczeń.

Ataki poprzez e-mail za każdym razem muszą przyciągnąć uwagę i być unikalne. Proces tworzenia zakończonej sukcesem e-mailowej kampanii phishingowej jest bardzo metodyczny i zdecydowaną większość czasu, uwagi i pracy przestępca poświęca etapowi planowania.

Dobry poziom bezpieczeństwa oznacza zabezpieczania wielopoziomowe i wiele z tych poziomów może potencjalnie zniszczyć próbę phishingu. Niektóre z możliwych przeszkód dla przestępcy, to między innymi – wszelkie filtry antyspamowe (np. Email Gateway Spam Filter, Outlook „Junk E-mail” Filter), antywirusy, systemy zapobiegające wtargnięciom (z ang. Intrusion Prevention Systems), serwery Web Proxy i tak dalej. Jednak przestępcom udaje się pokonywać postawione im przeszkody. Przyjrzymy się kilku najbardziej powszechnym systemom bezpieczeństwa, żeby zobaczyć, jak phisher może omijać ich zabezpieczenia.

Zdobywanie adresów e-mail

Jedną z pierwszych rzeczy, jaką atakujący musi zrobić w każdej kampanii phishingowej, jest pozyskanie adresów e-mail. Jednak nie może wysyłać wiadomości, jeśli nie wie, gdzie ma je wysłać.

Uwaga: I tutaj z pomocą dla phishera przychodzi np. Jigsaw, który w prosty i szybki sposób znajduje odpowiednie adresy. Obecnie ma on nawet wsparcie baz danych i może wygenerować plik CSV z danymi. Doskonale działa po założeniu darmowego konta na jigsaw.com i podaniu swoich danych jako argumenty w linii poleceń.

01

W inny sposób można zrobić to samo za pomocą theHarvester. Mały skrypt napisany w pythonie, który jest częścią dystrybucji BackTrack 5. Skrypt ma możliwość przeszukiwania różnych wyszukiwarek do szybkiego pozyskiwania adresów.

02

Omijanie antywirusów

Nie będziemy opisywać zbyt obszernie, jak cyberprzestępca może ominąć zabezpieczenia programu antywirusowego, ponieważ temat ten poruszany jest przez wiele blogów, kanałów IRC, filmików na YouTube i wszystkie inne możliwe kanały komunikacji. Jeśli chcesz dowiedzieć się więcej na ten temat, warto rzucić okiem np. na wiki Metasploita, w którym wszystko jest wytłumaczone w przyjazny sposób.

Uwaga: Internet dostarcza cyberprzestępcom ogromnej wiedzy. Łatwo można znaleźć chociażby kilka artykułów opisujących, jak użyć cache DNS w celu wykrycia używanego antywirusa przez upatrzony cel (czyli ofiarę).

Cyberprzestępcy nie skąpią także czasu na instalację antywirusa w maszynie wirtualnej przed wysyłaniem swoich wiadomości. Często są to dokładnie odwzorowane kopie systemu, który chcą atakować. Jednak nie zawsze jest to możliwe, ale z pewnością testują wszystkie najpopularniejsze i darmowe antywirusy, takie jak Microsoft Security Essentials, AVG, Comodo itd. Tym samym sprawdzają, czy uda im się przejść obok zabezpieczeń oprogramowania antywirusowego potencjalnej ofiary.

Większość kompresorów jest oznaczana przez programy zabezpieczające, ale niektóre zabezpieczenia plików przechodzą bez problemu przez większość silników skanowania.

Uwaga: Cyberprzestępcy chcąc dodatkowo umocnić swój złośliwy program, kupują często poprawny certyfikat i podpisują nim plik, by w ten sposób dla ofiar program wyglądał wiarygodnie!

Wyjście poza filtry

Tutaj phisherzy mają dwie możliwości. Mogą użyć odwrotnego https, które jest świadomym proxy albo reverse_tcp_all_ports. Ten drugi to moduł, który implementuje odwrócony sterownik TCP. Sterownik nasłuchuje na jednym porcie TCP i system operacyjny przekierowuje wszystkie przychodzące połączenia na wszystkich portach do tego nasłuchiwanego. Do poprawnego działania wymaga to iptables albo innego filtra pakietów. Przykładowo taka komenda na systemie bazującym na Linuksie przekierowuje cały ruch na port 443/tcp:

Uwaga: Ważną sztuczką jest możliwość przeniesienia ssh na port 65535 w celu zdalnego logowania na maszynie nie przeszkadzając w kampanii phishingowej.

iptables -t nat -A PREROUTING -p tcp –dport 1:65534 -j REDIRECT –to-ports 443

reverse_https ustala połączenie za pomocą szyfrowanego tunelu, co powoduje trudności dla systemów zapobiegających włamaniom. Systemy nie mogą wykryć podejrzanego ruchu wewnątrz szyfrowanego tunelu.

Większość osób odpowiedzialnych za ataki phishingowe wybiera reverse_https, które łączy się do LHOST=X.X.X.X i LPORT=433. Prawie wszystkie korporacje zezwalają na przeglądanie Internetu, więc ten wybór wygląda dla nich jak zwykły ruch HTTPS.

Scenariusz ataku

Z poprzedniego artykułu wiemy, że użytkownicy, niestety, klikają w podejrzane i fałszywe linki. Wygląda na to, że nie ma znaczenia, jak bardzo dobre treningi uświadamiające prowadzone są w firmie – zawsze znajdzie się ktoś, kto kliknie w spreparowany adres.

Jednym z ciekawszych (ze strony atakującego) scenariuszy jest dostarczenie wiadomości e-mail wyglądającej na wysłaną przez wewnętrzną firmę IT, zawierającej informacje, iż „nowa krytyczna łatka została wydana i każdy musi zainstalować aktualizację”. Wtedy atakujący wysyła link do strony wyglądającej podobnie, jak na zrzucie ekranu niżej.

03

Uwaga: Atakującemu wystarczy sklonowanie strony i uruchomienie jej na swoim serwerze. Phisherzy używają do tego prostych narzędzi, np. SET (z ang. Social Engineer Toolkit), by strona znalazła się w set/src/program_junk.

Serwery Web Proxy

Wiele korporacji uruchamia serwery Web Proxy, które blokują końcowym użytkownikom odwiedzanie niektórych stron internetowych. Niektóre serwery mają wbudowane skanery antywirusowe, które wykrywają czy istnieje jakiś podejrzany ruch na interfejsie sieciowym. Niektóre firmy blokują nawet ściąganie jakichkolwiek plików wykonywalnych. Można się zastanawiać, jak phisher ma dostarczyć swój program do użytkownika końcowego, kiedy nie może on ściągać żadnych plików wykonywalnych? I tutaj należy zwrócić uwagę na zagrożenia!

Uwaga: W tym momencie atakujący może wykorzystać poprawny certyfikat SSL, jeśli zainwestował wcześniej w jego zakup. W ten sposób, podczas połączenia ze spreparowaną stroną, zostaje nawiązany tunel SSL. Zaszyfrowany tunel zdecydowanie utrudnia pracę serwerowi Proxy, tak że nie zauważy on, czy ruch nie jest przypadkiem podejrzany. Skoro serwer nie jest w stanie tego wykryć, nie zauważy też, że użytkownik ściąga plik wykonywalny – dla Proxy będzie to niewidzialne.

Wysyłanie e-maili

Kiedy przychodzi czas wysyłania wiadomości, phisher ma kilka różnych możliwości. Po pierwsze może wybrać E-mail spoofing (podszyć się pod istniejący adres, np. osoby znanej, wiarygodnej) albo kupić przekonującą domenę. Na potrzeby tego artykułu skupimy się na wysyłaniu e-maili z zakupionej domeny.

Wiele bramek e-mail (ang. email gateways) sprawdza odwrotne DNS domeny, z której otrzymuje wiadomość. Jeżeli domena nie ma przypisanego rekordu MX wiele bramek odrzuci takiego e-maila i wtedy kampania phishingowa nie odniesie żadnego skutku.

Uwaga: Przestępcy potrafią bronić się przed tymi zabezpieczeniami przez automatyczne ustawianie rekordów MX, bez zmartwienia ustawieniami DNS w sposób poprawny.

06

Innym sposobem obrony wykorzystywanym przez atakujących jest wykonanie whois na domenie wysyłającego przez serwer SMTP – tylko po to, by upewnić się, że wszystko wygląda normalnie. Atakujący może przezwyciężyć ten mechanizm sprawdzając whois domeny, którą zamierza udawać i uzupełnić w panelu takimi samymi danymi.

07

Uwaga: Phisherzy mogą posługiwać się rozmaitymi skryptami, np. pobierającymi listę adresów i wiadomość, którą wysyłają do wszystkich oraz dodającymi do linku zakodowany w base64 adres e-mail odbiorcy. Dzięki temu mogą sprawdzać, kto wszedł na ich fałszywą stronę.

Przykładowy link z base64: http://example.com/index.php?dXNlckBleGFtcGxlLmNvbQ==

Niżej wynik działania skryptu wysyłającego wiadomość do dwóch użytkowników.

08

Wiedząc jak działają phisherzy, można skuteczniej bronić się przed ich działalnością. Warto uświadomić sobie, że przestępcy potrafią obejść zabezpieczenia, które mogłoby się wydawać, że są nie do przejścia. Mamy nadzieję, że nasz materiał pomoże zarówno administratorom, jak i zwykłym chronić siebie i swoje komputery przed phishingiem.

 

Źródło: pentestgeek.com/2013/01/30/how-do-i-phish-advanced-email-phishing-tactics

dodany: 24.04.2013 | tagi: , ,

Użytkownicy Allegro na celowniku cyberprzestępców

6

W ostatnich tygodniach serwis aukcyjny Allegro.pl był dość częstym obiektem ataków DDoS. Jak przyznają przedstawiciele firmy „od lutego odnotowujemy zwiększoną ilość takich incydentów”.  Według nieoficjalnych informacji ataki na serwis były przeprowadzane na zlecenie osoby z Polski przez dwie niezależne grupy hakerów.  Zmiana hostingu pozwoliła pracownikom serwisu na poradzenie sobie z atakami. Po kwietniowej ofensywie teraz przyszedł czas na spersonalizowane ataki na samych użytkowników.

W zeszłym tygodniu pracownicy laboratorium antywirusowego G Data SecurityLabs otrzymali zgłoszenie od jednego z użytkowników. Był on adresatem podejrzanej korespondencji, której autorzy próbowali podszywać się pod operatora płatności internetowych PayU, jednego z serwisów Grupy Allegro. Treść maila informowała o naliczonej opłacie za wystawienie oferty w serwisie OtoMoto.pl (także jeden z serwisów grupy). Wiadomość zawierała szczegóły, takie jak identyfikator w systemie PayU, kwotę, tytuł płatności oraz informacje dotyczącą doliczenia wymienionej kwoty do rachunku konta w serwisie Allegro. Przestępcy umiejętnie połączyli i wykorzystali dostępne pozycje z portfolio serwisów Grupy Allegro. Wszystko elementy układały się w jedną w miarę logiczną całość.

Kolejnym punktem korespondencji była wiadomość o obciążeniu bieżącego salda rachunku przypisanego do konta w serwisie aukcyjnym oraz informacja na temat możliwości ewentualnych działań w przypadku braku zgody na takie działanie. Użytkownik mógł kliknąć w jeden z dwóch odnośników. Pierwszy w przypadku braku zgody oraz drugi w przypadku wykazania chęci kontaktu z obsługą serwisu Allegro. Adresy URL przenosiły do fałszywej witryny logowania (poniżej porównanie).

Fałszywa strona wyłudzająca informacje dostępowe.

Fałszywa strona wyłudzająca informacje dostępowe.

Cały atak oparto o inżynierię społeczną, przestępcy starali się wywołać strach przed bezpodstawnym naliczeniem opłaty za niezamawianą usługę. Sama strona logowania różniła się nieznacznie od oryginału. Można to było stwierdzić po dokładniejszym i uważnym jej przejrzeniu, podstawową różnicą był brak szyfrowania połączenie SSL czyli tzw. „kłódeczki” w pasku adresowym przeglądarki.  Adresy, których używali cyberprzestępcy zostały dodane do Blacklist G Data SecurityLabs. Jednak podobne ataki wciąż mają miejsce, a jedynym sposobem na ich uniknięcie jest wzmożona czujność i kierowanie się kilkoma prostymi zasadami od G Data Software.

Oryginalne okno logowania do serwisu Allegro

Oryginalne okno logowania do serwisu Allegro.

 

G Data radzi jak nie paść ofiarą phishingu:

  • Administratorzy czy to banków, czy portali aukcyjnych zazwyczaj nie wysyłają wiadomości zawierających prośbę o zalogowanie się w serwisie. Taki e-mail powinien zwiększyć naszą czujność, powinniśmy stosować się do zasady obowiązującej w ruchu drogowym – ograniczonego zaufania do innych uczestników, w tym przypadku – ruchu sieciowego.
  • Nie otwieraj odnośników bezpośrednio z wiadomości e-mail. Jeżeli już postanowisz zalogować się w serwisie wpisz adres ręcznie do przeglądarki. Przestępcy stosują ten trik zamieszczając odnośniki przekierowujące do witryn, które do złudzenia przypominają oryginały.
  • Zamknij luki bezpieczeństwa – bądź pewny, że oprogramowanie, którego używasz, to najnowsza wersja dostępna u producenta.
  • Nigdy nie wysyłaj danych dostępowych poprzez email – prośby o podanie loginu i hasła w wiadomości zwrotnej ignoruj od razu po ich otrzymaniu.
  • Zwracaj uwagę czy znajdujesz się na właściwej stronie, oraz czy połączenie jest szyfrowane – większość serwisów po przejściu do strony logowania wykorzystuje połączenie szyfrowane.  Jeśli stwierdzisz jego brak, coś jest nie tak.
  • Chroniony przez oprogramowanie zabezpieczające – dobre rozwiązanie w kwestii bezpieczeństwa powinno być podstawowym wyposażeniem, każdego użytkownika Internetu. Nie powinno się to ograniczać jedynie do programu antywirusowego, uzupełnieniem powinny być filtry spamowe, firewall oraz skaner w czasie rzeczywistym przed zagrożeniami online.

Źródło: G Data

dodany: 30.03.2013 | tagi: , , , ,

Oszuści wcześniej niż zawsze rozpoczęli kampanie wakacyjnego malware’u

0

E-maile zawierające potwierdzenie rezerwacji lotu są w tym sezonie najczęstszą przynętą, zaraz po rezerwacjach hotelowych, ekstrawaganckich pakietach wycieczkowych i pożyczkach wakacyjnych. W sezonie, wakacyjny spam może osiągnąć poziom maksymalnie nawet 6% całości. A jeśli regularny „biznesowy dzień spamowy” oznacza około 1,8 miliona wszystkich wiadomości, w szczytowym sezonie mówimy o około 10 8000 sztukach o tematyce wakacyjnej dziennie, gdzie fałszywe potwierdzenia lotu są najbardziej rozprzestrzeniane.

E-maile potwierdzające bilety lotnicze lub wpłaty stanowią blisko 60% całego spamu wakacyjnego w tym roku. Wiadomości te zwykle przemycają złośliwe oprogramowania w formie załącznika lub łącza do niebezpiecznych stron internetowych.

Drugą co do rozprzestrzeniania sezonową odmiana oszustwa jest fałszywy biuletyn promujący wczesne rezerwacje luksusowych miejsc wypoczynku na całym świecie w okazyjnych cenach. Komunikaty te są sporządzane w różnych językach, aby dopasować się do lokalizacji, gdzie trafia reklama.

Używane są również pakiety wycieczkowe, oferty ubezpieczenia turystycznego oraz kredyty wakacyjne, które mają zwabić osoby planujące idealne lato.

Bitdefender dowiedział się, że Delta Air Lines i US Airways były najczęściej wybierane, jako dwie z największych linii lotniczych w USA obsługujące każdego roku miliony klientów na całym świecie. Więcej klientów oznacza większe szanse, że oszustwo będzie się opłacać.

Aby uchronić się przed wakacyjnymi oszustwami zapoznaj się z kilkoma wskazówkami, jak zachować bezpieczeństwo podczas planowania idealnych wakacji:

  • Sprawdź stronę, której używasz do zarezerwowania lotu lub dokonania rezerwacji hotelu.
  • Zobacz, co inni mają do powiedzenia na temat danej strony rezerwacji. Przeczytaj ich komentarze i opinie o usługach tej strony.
  • Postaraj się skontaktować z przedstawicielem firmy, który może dostarczyć ci jak najwięcej informacji o rezerwacji lub miejscu na urlop.
  • Nie klikaj linków umieszczonych w e-mailach, które pojawiają się w skrzynce odbiorczej, jeśli prosiłeś o oferty podróży lub potwierdzenie rezerwacji lotów. I nigdy nie otwieraj plików dołączone do tych e-maili.
  • Podczas wyjazdu na wakacje swoich marzeń, nie ogłaszaj tego na portalach społecznościowych. Pusty dom może być bardzo kuszący dla włamywaczy. Zabezpieczenie świata wirtualnego może pomóc zabezpieczyć ten realny świat.
  • Unikaj zakupów online czy bankowości elektronicznej i operacji na kontach kart kredytowych podczas korzystania z publicznych hotspotów Wi-Fi: na lotniskach, w kawiarniach czy centrach handlowych. Nie rób tego również za pośrednictwem Internetu w hotelu.

Więcej szczegółów i przykłady już istniejącego spamu znajdziesz poniżej:

Ostatnia kampania spamu wakacyjnego, mająca na celu budżet planujących wakacje jest wybitnie sezonowa, spam „Twój eBilet”  kierowany jest do klientów linii lotniczych Delta Air Lines. Wiadomość wymaga od ludzi potwierdzenia rezerwacji lotu i sprawdzenia informacji w załączonym pliku PDF.

Fałszywy mail (źródło Bitdefender)

Fałszywy e-mail z złośliwym załącznikiem (źródło: Bitdefender).

 

Załącznik ukrywa bardzo niebezpieczną wersję trojana Sirefef z funkcjami rootkita, który zrobi bałagan w systemie operacyjnym użytkownika oraz stworzy idealne środowisko dla innych rodzin złośliwego oprogramowania skierowanego w ofiarę.

Klienci US Airways muszą uważać na dedykowany spam z prośbą o potwierdzenie kodu lotu. Niektóre takie e-maile zawierają linki, które przekierowują użytkowników do strony internetowej reklamy o „cudownych roślinach odchudzających”. Inne, z dokładnie taką samą nazwą i wyglądem, prowadzą użytkowników do stron związanych z Exploitem Blackhole, aby narazić ich na działanie zestawu exploitów, które dyskretnie czytają konfigurację przeglądarki użytkownika, szukają luk, a następnie atakują złośliwym oprogramowaniem – wszystko bez interakcji użytkownika.

letni oszusci 2

Klasyczna taktyka spamu w początkach planowania wakacji jest nastawiona na atrakcyjne zniżki dla rezerwacji z wyprzedzeniem w luksusowych hotelach w Peru, Indiach lub na egzotycznych wyspach Oceanu Spokojnego. Podczas gdy niektóre próbki są jedynie uciążliwe, inne zawierają złośliwe linki i załączniki. Jeśli jest to spam, traktuj je ostrożnie!

Spamerzy mają na celowniku również pracowników firm, wysyłając e-maile z komunikatami prezentującymi lokale w zespołach budynków, konferencje, prezentacje nowych produktów lub inną działalność gospodarczą.

letni oszusci 1

Atak nie zawsze jest wymierzony w osobę, która otrzymała wiadomość. Czasami są one środkiem do większego celu, jak na przykład pracodawcy danej osoby. Pracownik Jednakże nie może dawać atakującemu sposobności.

Oszuści rozprzestrzeniający wakacyjny spam mogą mieć różne cele: gromadzenie kontaktów, aby zbudować sieć ofiar dla przyszłych kampanii malware i spamu, zbieranie danych z kart, danych osobowych lub kont FTP, które mogą być wykorzystywane do hostingu złośliwego oprogramowania kosztem ofiary. To wszystko zależy od potrzeb atakującego.

Uwaga: Wszystkie nazwy produktów i firm wymienione w niniejszym dokumencie są zamieszczone wyłącznie w celach identyfikacji i są własnością oraz mogą być znakami towarowymi ich właścicieli.

dodany: 20.03.2013 | tagi: , , ,

Test antyphishingowy płatnych oraz darmowych programów antywirusowych 2013

1

Phishing jest to metoda ataków, która jest oparta m.in. o wiadomości e-mail zawierające zamaskowane linki (hiperłącza) odsyłające do witryn wyłudzających informacje, co w konsekwencji prowadzi do kradzieży danych. Technika ta wykorzystuje społeczną inżynierię i polega na celowym podjęciu takich akcji przez cyberprzestępcę,  aby niczego nieświadomy użytkownik przekazał dane, które przejmie oszust.

Test, który opracował AVLab odwzorował rzeczywistość, w której użytkownik jest potencjalną ofiarą phisherów. W tym celu wszystkie programy biorące udział w teście zainstalowane były z ustawieniami domyślnymi. Test przeprowadzono na wirtualnych systemach Windows 7 x32 z najnowszymi aktualizacjami na dzień 11 lutego roku 2013.

Test polegał na sprawdzeniu każdego dnia 10 linków prowadzących do witryn wyłudzających dane: kart kredytowych, zbierających dane logowania do kont mailowych oraz podszywających się pod banki lub inne instytucje. Linki były uruchamiane w przeglądarce Google Chrome 24 z wyłączoną opcją: „Włącz ochronę przed wyłudzaniem danych (phishingiem) i złośliwym oprogramowaniem”. Każdego dnia przed rozpoczęciem testów wszystkie produkty były aktualizowane.

Jak skutecznie programy antywirusowe chronią przed utratą prywatnych danych? Aby odpowiedzieć na to pytanie zapraszam do przeczytania raportu zawierającego test antyphishingowy, który można przeczytać pobierając dokument ze strony http://avlab.pl/page/raporty.