Artykuły dotyczące tematu: spoofing

dodany: 11.06.2013 | tagi: , , , , , ,

Phishing – jak oni to robią? Przeczytaj, żeby wiedzieć jak się bronić

6

Pewnie wielu z was zastanawiało się, jak wyglądają ataki phishingowe. Ostatnio opisywaliśmy, jak wygląda ten proces od strony ofiary (zobacz artykuł: Anatomia phishingu) – dzisiaj przyjrzymy się drugiej stronie medalu, a więc temu, jakie narzędzia i sposoby są najczęściej wykorzystywane przez cyberprzestępców.

W sieci natknęliśmy się na materiał, będący swego rodzaju przewodnikiem dla phisherów. Postanowiliśmy przetłumaczyć dla Was obszerne fragmenty, ponieważ wiedząc, jak działają phisherzy, można skuteczniej bronić się przed ich szkodliwą działalnością. Nasz materiał ma na celu przede wszystkim pokazanie, jak można się chronić oraz na co należy zwrócić uwagę podczas wdrażania polityki zabezpieczeń.

Ataki poprzez e-mail za każdym razem muszą przyciągnąć uwagę i być unikalne. Proces tworzenia zakończonej sukcesem e-mailowej kampanii phishingowej jest bardzo metodyczny i zdecydowaną większość czasu, uwagi i pracy przestępca poświęca etapowi planowania.

Dobry poziom bezpieczeństwa oznacza zabezpieczania wielopoziomowe i wiele z tych poziomów może potencjalnie zniszczyć próbę phishingu. Niektóre z możliwych przeszkód dla przestępcy, to między innymi – wszelkie filtry antyspamowe (np. Email Gateway Spam Filter, Outlook „Junk E-mail” Filter), antywirusy, systemy zapobiegające wtargnięciom (z ang. Intrusion Prevention Systems), serwery Web Proxy i tak dalej. Jednak przestępcom udaje się pokonywać postawione im przeszkody. Przyjrzymy się kilku najbardziej powszechnym systemom bezpieczeństwa, żeby zobaczyć, jak phisher może omijać ich zabezpieczenia.

Zdobywanie adresów e-mail

Jedną z pierwszych rzeczy, jaką atakujący musi zrobić w każdej kampanii phishingowej, jest pozyskanie adresów e-mail. Jednak nie może wysyłać wiadomości, jeśli nie wie, gdzie ma je wysłać.

Uwaga: I tutaj z pomocą dla phishera przychodzi np. Jigsaw, który w prosty i szybki sposób znajduje odpowiednie adresy. Obecnie ma on nawet wsparcie baz danych i może wygenerować plik CSV z danymi. Doskonale działa po założeniu darmowego konta na jigsaw.com i podaniu swoich danych jako argumenty w linii poleceń.

01

W inny sposób można zrobić to samo za pomocą theHarvester. Mały skrypt napisany w pythonie, który jest częścią dystrybucji BackTrack 5. Skrypt ma możliwość przeszukiwania różnych wyszukiwarek do szybkiego pozyskiwania adresów.

02

Omijanie antywirusów

Nie będziemy opisywać zbyt obszernie, jak cyberprzestępca może ominąć zabezpieczenia programu antywirusowego, ponieważ temat ten poruszany jest przez wiele blogów, kanałów IRC, filmików na YouTube i wszystkie inne możliwe kanały komunikacji. Jeśli chcesz dowiedzieć się więcej na ten temat, warto rzucić okiem np. na wiki Metasploita, w którym wszystko jest wytłumaczone w przyjazny sposób.

Uwaga: Internet dostarcza cyberprzestępcom ogromnej wiedzy. Łatwo można znaleźć chociażby kilka artykułów opisujących, jak użyć cache DNS w celu wykrycia używanego antywirusa przez upatrzony cel (czyli ofiarę).

Cyberprzestępcy nie skąpią także czasu na instalację antywirusa w maszynie wirtualnej przed wysyłaniem swoich wiadomości. Często są to dokładnie odwzorowane kopie systemu, który chcą atakować. Jednak nie zawsze jest to możliwe, ale z pewnością testują wszystkie najpopularniejsze i darmowe antywirusy, takie jak Microsoft Security Essentials, AVG, Comodo itd. Tym samym sprawdzają, czy uda im się przejść obok zabezpieczeń oprogramowania antywirusowego potencjalnej ofiary.

Większość kompresorów jest oznaczana przez programy zabezpieczające, ale niektóre zabezpieczenia plików przechodzą bez problemu przez większość silników skanowania.

Uwaga: Cyberprzestępcy chcąc dodatkowo umocnić swój złośliwy program, kupują często poprawny certyfikat i podpisują nim plik, by w ten sposób dla ofiar program wyglądał wiarygodnie!

Wyjście poza filtry

Tutaj phisherzy mają dwie możliwości. Mogą użyć odwrotnego https, które jest świadomym proxy albo reverse_tcp_all_ports. Ten drugi to moduł, który implementuje odwrócony sterownik TCP. Sterownik nasłuchuje na jednym porcie TCP i system operacyjny przekierowuje wszystkie przychodzące połączenia na wszystkich portach do tego nasłuchiwanego. Do poprawnego działania wymaga to iptables albo innego filtra pakietów. Przykładowo taka komenda na systemie bazującym na Linuksie przekierowuje cały ruch na port 443/tcp:

Uwaga: Ważną sztuczką jest możliwość przeniesienia ssh na port 65535 w celu zdalnego logowania na maszynie nie przeszkadzając w kampanii phishingowej.

iptables -t nat -A PREROUTING -p tcp –dport 1:65534 -j REDIRECT –to-ports 443

reverse_https ustala połączenie za pomocą szyfrowanego tunelu, co powoduje trudności dla systemów zapobiegających włamaniom. Systemy nie mogą wykryć podejrzanego ruchu wewnątrz szyfrowanego tunelu.

Większość osób odpowiedzialnych za ataki phishingowe wybiera reverse_https, które łączy się do LHOST=X.X.X.X i LPORT=433. Prawie wszystkie korporacje zezwalają na przeglądanie Internetu, więc ten wybór wygląda dla nich jak zwykły ruch HTTPS.

Scenariusz ataku

Z poprzedniego artykułu wiemy, że użytkownicy, niestety, klikają w podejrzane i fałszywe linki. Wygląda na to, że nie ma znaczenia, jak bardzo dobre treningi uświadamiające prowadzone są w firmie – zawsze znajdzie się ktoś, kto kliknie w spreparowany adres.

Jednym z ciekawszych (ze strony atakującego) scenariuszy jest dostarczenie wiadomości e-mail wyglądającej na wysłaną przez wewnętrzną firmę IT, zawierającej informacje, iż „nowa krytyczna łatka została wydana i każdy musi zainstalować aktualizację”. Wtedy atakujący wysyła link do strony wyglądającej podobnie, jak na zrzucie ekranu niżej.

03

Uwaga: Atakującemu wystarczy sklonowanie strony i uruchomienie jej na swoim serwerze. Phisherzy używają do tego prostych narzędzi, np. SET (z ang. Social Engineer Toolkit), by strona znalazła się w set/src/program_junk.

Serwery Web Proxy

Wiele korporacji uruchamia serwery Web Proxy, które blokują końcowym użytkownikom odwiedzanie niektórych stron internetowych. Niektóre serwery mają wbudowane skanery antywirusowe, które wykrywają czy istnieje jakiś podejrzany ruch na interfejsie sieciowym. Niektóre firmy blokują nawet ściąganie jakichkolwiek plików wykonywalnych. Można się zastanawiać, jak phisher ma dostarczyć swój program do użytkownika końcowego, kiedy nie może on ściągać żadnych plików wykonywalnych? I tutaj należy zwrócić uwagę na zagrożenia!

Uwaga: W tym momencie atakujący może wykorzystać poprawny certyfikat SSL, jeśli zainwestował wcześniej w jego zakup. W ten sposób, podczas połączenia ze spreparowaną stroną, zostaje nawiązany tunel SSL. Zaszyfrowany tunel zdecydowanie utrudnia pracę serwerowi Proxy, tak że nie zauważy on, czy ruch nie jest przypadkiem podejrzany. Skoro serwer nie jest w stanie tego wykryć, nie zauważy też, że użytkownik ściąga plik wykonywalny – dla Proxy będzie to niewidzialne.

Wysyłanie e-maili

Kiedy przychodzi czas wysyłania wiadomości, phisher ma kilka różnych możliwości. Po pierwsze może wybrać E-mail spoofing (podszyć się pod istniejący adres, np. osoby znanej, wiarygodnej) albo kupić przekonującą domenę. Na potrzeby tego artykułu skupimy się na wysyłaniu e-maili z zakupionej domeny.

Wiele bramek e-mail (ang. email gateways) sprawdza odwrotne DNS domeny, z której otrzymuje wiadomość. Jeżeli domena nie ma przypisanego rekordu MX wiele bramek odrzuci takiego e-maila i wtedy kampania phishingowa nie odniesie żadnego skutku.

Uwaga: Przestępcy potrafią bronić się przed tymi zabezpieczeniami przez automatyczne ustawianie rekordów MX, bez zmartwienia ustawieniami DNS w sposób poprawny.

06

Innym sposobem obrony wykorzystywanym przez atakujących jest wykonanie whois na domenie wysyłającego przez serwer SMTP – tylko po to, by upewnić się, że wszystko wygląda normalnie. Atakujący może przezwyciężyć ten mechanizm sprawdzając whois domeny, którą zamierza udawać i uzupełnić w panelu takimi samymi danymi.

07

Uwaga: Phisherzy mogą posługiwać się rozmaitymi skryptami, np. pobierającymi listę adresów i wiadomość, którą wysyłają do wszystkich oraz dodającymi do linku zakodowany w base64 adres e-mail odbiorcy. Dzięki temu mogą sprawdzać, kto wszedł na ich fałszywą stronę.

Przykładowy link z base64: http://example.com/index.php?dXNlckBleGFtcGxlLmNvbQ==

Niżej wynik działania skryptu wysyłającego wiadomość do dwóch użytkowników.

08

Wiedząc jak działają phisherzy, można skuteczniej bronić się przed ich działalnością. Warto uświadomić sobie, że przestępcy potrafią obejść zabezpieczenia, które mogłoby się wydawać, że są nie do przejścia. Mamy nadzieję, że nasz materiał pomoże zarówno administratorom, jak i zwykłym chronić siebie i swoje komputery przed phishingiem.

 

Źródło: pentestgeek.com/2013/01/30/how-do-i-phish-advanced-email-phishing-tactics

dodany: 26.03.2013 | tagi: , , ,

Fala cyberoszustw „na fiskusa”

0

Eksperci z firmy ESET  przechwycili serię wiadomości e-mail, których nadawca, podszywając się pod słowacki urząd skarbowy, nakłania do pobrania z sieci konia trojańskiego. W treści wiadomości oszust informuje o zaległym podatku, który należy uiścić na indywidualne konto podatnika. Numer tego konta wskazany jest w dokumencie, który należy pobrać z Internetu. Kliknięcie we wskazany odnośnik skutkuje zainfekowaniem komputera koniem trojańskim Win32/Sazoora.A, który wykrada loginy i hasła zapisane w przeglądarkach internetowych.

Analitycy zagrożeń z laboratorium antywirusowego firmy ESET podkreślają, że nadawcą fałszywych wiadomości nie był słowacki urząd skarbowy. Ktoś dokonał tzw. spoofingu, czyli rozesłał wiadomości, w których podszył się pod tę instytucję. Taki rodzaj ataku możliwy jest dzięki odpowiedniej modyfikacji w nagłówku wiadomości, dzięki temu odbiorca e-maila ma wrażenie, że otrzymana wiadomość została wysłana albo przez znaną osobę, albo przez zaufaną instytucję, np. bank, firmę wysyłkową lub (jak w omawianym przypadku) przez urząd skarbowy.

Pułapka przechwycona przez ekspertów z firmy ESET została przygotowana bardzo starannie – treść wiadomości nie zawiera błędów gramatycznych, a całość pisana jest w urzędowym stylu. O tym, że oszustwo okazało się skuteczne może świadczyć fakt, iż według laboratorium antywirusowego ESET koń trojański Win32/Sacoora.A próbował przeniknąć do systemów informatycznych kilku słowackich firm i organizacji. Co zdecydowało o tym, że oszustwo okazało się skuteczne?

Atakujący wykorzystał to, że większość Słowaków rozlicza teraz podatek za ubiegły rok oraz fakt obowiązującego zaledwie od dwóch lat prawa, które określa, że należny podatek każdy podmiot wpłaca na indywidualnie przydzieloneu konto. To właśnie te dwa czynniki sprawiły, że w pułapkę zastawioną przez cyberoszusta wpadło już kilka firm

– podkreśla Peter Stančík, ekspert firmy ESET.

 

W jaki sposób działa Win32/Sazoora.A

Zagrożenie po przedostaniu się na dysk komputera wykrada loginy i hasła do setek serwisów internetowych, zapisane wcześniej w pamięci przeglądarek Internet Explorer, Google Chrome oraz Mozilla Firefox. Zgromadzone dane koń trojański przesyła następnie do zdalnego komputera.

Należy podkreślić, że atak zidentyfikowany przez ekspertów z firmy ESET wymierzony jest wyłącznie w słowackie firmy. Nie można jednak wykluczyć, że bardzo szybko znajdą się naśladowcy, którzy spróbują skopiować oszustwo w innych krajach, np. w Polsce. Peter Stančík z ESET zwraca również uwagę, że o skuteczności tego typu ataków decydują zwykle użytkownicy lub pracownicy firm. Brak odpowiedniej wiedzy i doświadczenia może spowodować, że odbiorca wiadomości kliknie odnośnik i sprowadzi w ten sposób spore problemy na siebie lub przedsiębiorstwo, w którym pracuje.

Źródło: ESET

dodany: 17.08.2012 | tagi: , , ,

Nie taki SMS bezpieczny

0

…przynajmniej nie w iPhonie.  Jeden z researcherów jabłuszkowego iOS’a znalazł poważną dziurę, która nie angażuje wykonania kodu.

Jak podaje pod2g, luka istnieje od początku implementacji programu SMS w iPhonie i nadal istnieje w wersji iOS 6 beta 4.

SMS to w zasadzie kilka bajtów danych wymienianych między dwoma telefonami komórkowymi z nośnikiem transportującym informację. Gdy użytkownik pisze wiadomość, jest ona konwertowana do PDU (Protocol Description Unit) przez telefon i przekazywana do podstawowego pasma, w celu dostarczenia do odbiorcy.

PDU jest dość zwartym protokołem, dzięki czemu różne typy wiadomości mogą być emitowane. Ich specyfikacja jest długa i dość skomplikowana. Na przykład do kodowania danych możliwy jest wybór: 7 bit, 8 bit, 16 bit lub skompresowanie.

Jeśli jesteś właścicielem smartfona albo innego narzędzia umożliwiającego wysyłanie SMS-ów możesz je wysyłać w surowym formacie PDU. Istnieje do tego wiele narzędzi dostępnych online.

W ładunku tekstu jest sekcja UDH (User Data Header), która jest opcjonalna, ale definiuje wiele zaawansowanych funkcji. Jedną z nich jest opcja pozwalająca użytkownikowi na zmianę adresu zwrotnego wiadomości. Jeśli taka funkcja jest zgodna z telefonem-odbiorcą i jeśli użytkownik telefonu-odbiorcy będzie chciał odpowiedzieć na wysłaną wiadomość, nie odpowie do oryginalnego nadawcy, ale do tych osób, których numery zostały dodane do zwrotnych adresów. Większość operatorów komórkowych nie interesuje się tą częścią wiadomości, co oznacza, że można tam wpisać dowolny numer telefonu.

W dobrej realizacji tej funkcji, odbiorca zobaczy oryginalny numer nadawcy i „reply-to-one”. Gdy widzisz wiadomość na iPhonie wygląda to tak, jakbyś dostał wiadomość od innego odbiorcy niż tego, który wysłał wiadomość i tracisz ślad pochodzenia wiadomości.

Dlaczego jest to problemem?

Piraci mogą wysłać wiadomość podszywając się pod bank odbiorcy z prośbą o jakieś prywatne informacje lub zapraszając odbiorcę do przejścia do specjalnej strony. Można to wykorzystać do manipulowania ludźmi lub wrabiania w przestępstwa.

W odpowiedzi na zarzuty Apple wystosowało oświadczenie:

Apple traktuje bezpieczeństwo bardzo poważnie. Podczas korzystania z iMessage zamiast narzędzia SMS adresy są weryfikowane, co zabezpiecza przed możliwością spoofingu. Jednym z ograniczeń SMS jest to, ze pozwala na wysyłanie wiadomości z fałszywymi adresami do każdego telefonu, więc radzimy klientom być bardziej ostrożnym, jeśli w wiadomości są kierowani do nieznanej strony internetowej czy adresu przez SMS”.

Proszę zauważyć, że nie ma wzmianki o tym, że luka zostanie załatana i problem zniknie. Zamiast tego Apple skorzystał z szansy na wypromowanie swojej usługi iMessage.

Źródło: pod2g