Artykuły dotyczące tematu: wyłudzanie

dodany: 11.06.2013 | tagi: , , , , , ,

Phishing – jak oni to robią? Przeczytaj, żeby wiedzieć jak się bronić

6

Pewnie wielu z was zastanawiało się, jak wyglądają ataki phishingowe. Ostatnio opisywaliśmy, jak wygląda ten proces od strony ofiary (zobacz artykuł: Anatomia phishingu) – dzisiaj przyjrzymy się drugiej stronie medalu, a więc temu, jakie narzędzia i sposoby są najczęściej wykorzystywane przez cyberprzestępców.

W sieci natknęliśmy się na materiał, będący swego rodzaju przewodnikiem dla phisherów. Postanowiliśmy przetłumaczyć dla Was obszerne fragmenty, ponieważ wiedząc, jak działają phisherzy, można skuteczniej bronić się przed ich szkodliwą działalnością. Nasz materiał ma na celu przede wszystkim pokazanie, jak można się chronić oraz na co należy zwrócić uwagę podczas wdrażania polityki zabezpieczeń.

Ataki poprzez e-mail za każdym razem muszą przyciągnąć uwagę i być unikalne. Proces tworzenia zakończonej sukcesem e-mailowej kampanii phishingowej jest bardzo metodyczny i zdecydowaną większość czasu, uwagi i pracy przestępca poświęca etapowi planowania.

Dobry poziom bezpieczeństwa oznacza zabezpieczania wielopoziomowe i wiele z tych poziomów może potencjalnie zniszczyć próbę phishingu. Niektóre z możliwych przeszkód dla przestępcy, to między innymi – wszelkie filtry antyspamowe (np. Email Gateway Spam Filter, Outlook „Junk E-mail” Filter), antywirusy, systemy zapobiegające wtargnięciom (z ang. Intrusion Prevention Systems), serwery Web Proxy i tak dalej. Jednak przestępcom udaje się pokonywać postawione im przeszkody. Przyjrzymy się kilku najbardziej powszechnym systemom bezpieczeństwa, żeby zobaczyć, jak phisher może omijać ich zabezpieczenia.

Zdobywanie adresów e-mail

Jedną z pierwszych rzeczy, jaką atakujący musi zrobić w każdej kampanii phishingowej, jest pozyskanie adresów e-mail. Jednak nie może wysyłać wiadomości, jeśli nie wie, gdzie ma je wysłać.

Uwaga: I tutaj z pomocą dla phishera przychodzi np. Jigsaw, który w prosty i szybki sposób znajduje odpowiednie adresy. Obecnie ma on nawet wsparcie baz danych i może wygenerować plik CSV z danymi. Doskonale działa po założeniu darmowego konta na jigsaw.com i podaniu swoich danych jako argumenty w linii poleceń.

01

W inny sposób można zrobić to samo za pomocą theHarvester. Mały skrypt napisany w pythonie, który jest częścią dystrybucji BackTrack 5. Skrypt ma możliwość przeszukiwania różnych wyszukiwarek do szybkiego pozyskiwania adresów.

02

Omijanie antywirusów

Nie będziemy opisywać zbyt obszernie, jak cyberprzestępca może ominąć zabezpieczenia programu antywirusowego, ponieważ temat ten poruszany jest przez wiele blogów, kanałów IRC, filmików na YouTube i wszystkie inne możliwe kanały komunikacji. Jeśli chcesz dowiedzieć się więcej na ten temat, warto rzucić okiem np. na wiki Metasploita, w którym wszystko jest wytłumaczone w przyjazny sposób.

Uwaga: Internet dostarcza cyberprzestępcom ogromnej wiedzy. Łatwo można znaleźć chociażby kilka artykułów opisujących, jak użyć cache DNS w celu wykrycia używanego antywirusa przez upatrzony cel (czyli ofiarę).

Cyberprzestępcy nie skąpią także czasu na instalację antywirusa w maszynie wirtualnej przed wysyłaniem swoich wiadomości. Często są to dokładnie odwzorowane kopie systemu, który chcą atakować. Jednak nie zawsze jest to możliwe, ale z pewnością testują wszystkie najpopularniejsze i darmowe antywirusy, takie jak Microsoft Security Essentials, AVG, Comodo itd. Tym samym sprawdzają, czy uda im się przejść obok zabezpieczeń oprogramowania antywirusowego potencjalnej ofiary.

Większość kompresorów jest oznaczana przez programy zabezpieczające, ale niektóre zabezpieczenia plików przechodzą bez problemu przez większość silników skanowania.

Uwaga: Cyberprzestępcy chcąc dodatkowo umocnić swój złośliwy program, kupują często poprawny certyfikat i podpisują nim plik, by w ten sposób dla ofiar program wyglądał wiarygodnie!

Wyjście poza filtry

Tutaj phisherzy mają dwie możliwości. Mogą użyć odwrotnego https, które jest świadomym proxy albo reverse_tcp_all_ports. Ten drugi to moduł, który implementuje odwrócony sterownik TCP. Sterownik nasłuchuje na jednym porcie TCP i system operacyjny przekierowuje wszystkie przychodzące połączenia na wszystkich portach do tego nasłuchiwanego. Do poprawnego działania wymaga to iptables albo innego filtra pakietów. Przykładowo taka komenda na systemie bazującym na Linuksie przekierowuje cały ruch na port 443/tcp:

Uwaga: Ważną sztuczką jest możliwość przeniesienia ssh na port 65535 w celu zdalnego logowania na maszynie nie przeszkadzając w kampanii phishingowej.

iptables -t nat -A PREROUTING -p tcp –dport 1:65534 -j REDIRECT –to-ports 443

reverse_https ustala połączenie za pomocą szyfrowanego tunelu, co powoduje trudności dla systemów zapobiegających włamaniom. Systemy nie mogą wykryć podejrzanego ruchu wewnątrz szyfrowanego tunelu.

Większość osób odpowiedzialnych za ataki phishingowe wybiera reverse_https, które łączy się do LHOST=X.X.X.X i LPORT=433. Prawie wszystkie korporacje zezwalają na przeglądanie Internetu, więc ten wybór wygląda dla nich jak zwykły ruch HTTPS.

Scenariusz ataku

Z poprzedniego artykułu wiemy, że użytkownicy, niestety, klikają w podejrzane i fałszywe linki. Wygląda na to, że nie ma znaczenia, jak bardzo dobre treningi uświadamiające prowadzone są w firmie – zawsze znajdzie się ktoś, kto kliknie w spreparowany adres.

Jednym z ciekawszych (ze strony atakującego) scenariuszy jest dostarczenie wiadomości e-mail wyglądającej na wysłaną przez wewnętrzną firmę IT, zawierającej informacje, iż „nowa krytyczna łatka została wydana i każdy musi zainstalować aktualizację”. Wtedy atakujący wysyła link do strony wyglądającej podobnie, jak na zrzucie ekranu niżej.

03

Uwaga: Atakującemu wystarczy sklonowanie strony i uruchomienie jej na swoim serwerze. Phisherzy używają do tego prostych narzędzi, np. SET (z ang. Social Engineer Toolkit), by strona znalazła się w set/src/program_junk.

Serwery Web Proxy

Wiele korporacji uruchamia serwery Web Proxy, które blokują końcowym użytkownikom odwiedzanie niektórych stron internetowych. Niektóre serwery mają wbudowane skanery antywirusowe, które wykrywają czy istnieje jakiś podejrzany ruch na interfejsie sieciowym. Niektóre firmy blokują nawet ściąganie jakichkolwiek plików wykonywalnych. Można się zastanawiać, jak phisher ma dostarczyć swój program do użytkownika końcowego, kiedy nie może on ściągać żadnych plików wykonywalnych? I tutaj należy zwrócić uwagę na zagrożenia!

Uwaga: W tym momencie atakujący może wykorzystać poprawny certyfikat SSL, jeśli zainwestował wcześniej w jego zakup. W ten sposób, podczas połączenia ze spreparowaną stroną, zostaje nawiązany tunel SSL. Zaszyfrowany tunel zdecydowanie utrudnia pracę serwerowi Proxy, tak że nie zauważy on, czy ruch nie jest przypadkiem podejrzany. Skoro serwer nie jest w stanie tego wykryć, nie zauważy też, że użytkownik ściąga plik wykonywalny – dla Proxy będzie to niewidzialne.

Wysyłanie e-maili

Kiedy przychodzi czas wysyłania wiadomości, phisher ma kilka różnych możliwości. Po pierwsze może wybrać E-mail spoofing (podszyć się pod istniejący adres, np. osoby znanej, wiarygodnej) albo kupić przekonującą domenę. Na potrzeby tego artykułu skupimy się na wysyłaniu e-maili z zakupionej domeny.

Wiele bramek e-mail (ang. email gateways) sprawdza odwrotne DNS domeny, z której otrzymuje wiadomość. Jeżeli domena nie ma przypisanego rekordu MX wiele bramek odrzuci takiego e-maila i wtedy kampania phishingowa nie odniesie żadnego skutku.

Uwaga: Przestępcy potrafią bronić się przed tymi zabezpieczeniami przez automatyczne ustawianie rekordów MX, bez zmartwienia ustawieniami DNS w sposób poprawny.

06

Innym sposobem obrony wykorzystywanym przez atakujących jest wykonanie whois na domenie wysyłającego przez serwer SMTP – tylko po to, by upewnić się, że wszystko wygląda normalnie. Atakujący może przezwyciężyć ten mechanizm sprawdzając whois domeny, którą zamierza udawać i uzupełnić w panelu takimi samymi danymi.

07

Uwaga: Phisherzy mogą posługiwać się rozmaitymi skryptami, np. pobierającymi listę adresów i wiadomość, którą wysyłają do wszystkich oraz dodającymi do linku zakodowany w base64 adres e-mail odbiorcy. Dzięki temu mogą sprawdzać, kto wszedł na ich fałszywą stronę.

Przykładowy link z base64: http://example.com/index.php?dXNlckBleGFtcGxlLmNvbQ==

Niżej wynik działania skryptu wysyłającego wiadomość do dwóch użytkowników.

08

Wiedząc jak działają phisherzy, można skuteczniej bronić się przed ich działalnością. Warto uświadomić sobie, że przestępcy potrafią obejść zabezpieczenia, które mogłoby się wydawać, że są nie do przejścia. Mamy nadzieję, że nasz materiał pomoże zarówno administratorom, jak i zwykłym chronić siebie i swoje komputery przed phishingiem.

 

Źródło: pentestgeek.com/2013/01/30/how-do-i-phish-advanced-email-phishing-tactics