Phishing

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania
Przykład wiadomości

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) lub nakłonienia ofiary do określonych działań[1]. Jest to rodzaj ataku opartego na inżynierii społecznej.

Historia[edytuj | edytuj kod]

Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla „zweryfikowania konta” lub „potwierdzenia informacji w rachunku”. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.

Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Internecie, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje – adres do niej był podawany jako klikalny odsyłacz w poczcie phishera – jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.

Lata 2000–2009[edytuj | edytuj kod]

  • 2001
    • Pierwsza znana bezpośrednia próba ataku na system płatności dotknęła system E-gold w czerwcu 2001 roku, co pociągnęło za sobą sprawdzenie numerów id („post-9/11 id check”) krótko po atakach na World Trade Center[2].
  • 2003
    • Pierwszy znany atak na bank detaliczny został odnotowany przez The Banker we wrześniu 2003 roku[3].
  • 2004
    • Szacuje się, że między majem 2004 a majem 2005 roku około 1,2 miliona użytkowników komputerów w Stanach Zjednoczonych straciło z powodu phishingu, w sumie około 929 milionów dolarów. Przedsiębiorstwa w Stanach Zjednoczonych tracą szacunkowo 2 miliardy dolarów rocznie, gdy ich klienci stają się ofiarami phishingu[4].
  • 2005
    • W Wielkiej Brytanii straty spowodowane oszustwami związanymi z bankowością internetową – głównie z phishingiem – niemal podwoiły się do 23,2 mln GBP w 2005 roku, z 12,2 mln GBP w 2004 roku[5], podczas gdy 1 na 20 użytkowników komputerów przyznał że stał się ofiarą phishingu w 2005 r[6].
  • 2006
    • Prawie połowa kradzieży przeprowadzonych przy pomocy phishingu w 2006 roku została popełniona przez grupy działające w ramach Russian Business Network z siedzibą w St. Petersburgu[7].
    • Banki spierały się z klientami z powodu strat spowodowanych phishingiem. Stanowisko przyjęte przez brytyjski organ bankowy APACS mówi „customers must also take sensible precautions ... so that they are not vulnerable to the criminal.”[8], co można przetłumaczyć, klienci muszą również podjąć rozsądne środki ostrożności, aby nie byli podatni na przestępcę.Podobnie gdy pierwsza fala ataków phishingowych uderzyła w sektor bankowy Republiki Irlandii we wrześniu 2006 roku Bank Irlandii na początku odmówił pokrycia szkód poniesionych przez klientów[9], jednakże straty wysokości 113 000 euro ostatecznie zostały pokryte[10].

    • Phisherzy celują w klientów banków oraz serwisy płatności online. Maile rzekomo pochodzące z Internal Revenue Service były używane do zbierania wrażliwych danych amerykańskich podatników. Podczas gdy pierwsze takie ataki były wysłane w oczekiwaniu, że niektóre zostaną odebrane przez klientów danego benku lub serwisu, niedawne badania ukazują, iż phisherzy mogą określić jakich banków używają potencjalne ofiary i wysyłać odpowiednie e-maile[11].
    • Serwisy społecznościowe są głównym celem ataków phishingowych, od kiedy dane personalne na tych stronach mogą zostać użyte do kradzieży tożsamości[12]; pod koniec 2006 roku robak przejął strony MySpace i wysyłał bezpośrednie linki do stron zaprojektowanych aby kraść dane logowania. Eksperymenty pokazały, że ponad 70% ataków phishingowych na serwisy społecznościowe kończy się sukcesem[13].
  • 2007
    • 3,6 miliona dorosłych straciło 3,2 miliarda dolarów w ciągu dwunastu miesięcy do sierpnia 2007roku[14]. Microsoft przyznaje, że te szacowania są mocno przesadzone i uważa, że ogólne straty spowodowane phishingiem w USA wyniosły 60 milionów dolarów[15].
    • Hakerzy którzy złamali zabezpieczenia bazy danych TD Ameritrade i ukradli 6,3 miliona adresów mailowych (jednakże nie byli w stanie zdobyć numerów ubezpieczeń, numerów kont, nazwisk, adresów, dat urodzenia, numerów telefonów), chcieli oni także uzyskać nazwy użytkowników i hasła, więc rozpoczęli atak spear phishingowy[16].
  • 2008
    • Na witrynę RapidShare (strona do udostępniania plików) przeprowadzono atak phishingowy, którego celem było zdobycie konta premium, usuwa ono ograniczenie prędkości pobierania, automatyczne usuwanie udostępnionych plików, oczekiwanie na pobieranie oraz wymuszenie czasu oczekiwania pomiędzy pobieraniami[17].
  • 2009
    • W styczniu 2009 r. ataki typu phishing spowodowały nieautoryzowane przelewy pieniężne w wysokości 1,9 mln USD za pośrednictwem kont bankowych online Experi-Metals.
    • W trzecim kwartale 2009 roku Anti-Phishing Working Group zgłosiło otrzymanie 115 570 e-maili od klientów z USA i Chin zawierających w ponad 25% strony phishingowe[18].

Obrona przed phishingiem[edytuj | edytuj kod]

Zdecydowana większość wiadomości phishingowych jest dostarczana za pośrednictwem poczty elektronicznej lub portali społecznościowych[19].

  • Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
  • Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
  • Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.
  • Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zignorować i zgłosić odpowiednim osobom.
  • Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to osobom z banku i nie podawać na niej żadnych danych.
  • Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 9 i 10 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo też z oprogramowania firm trzecich chroniącego przed phishingiem.
  • Używanie OpenDNS.

Typy phisingu[edytuj | edytuj kod]

Spear phishing

Phishing, spersonalizowany pod konkretną osobę lub firmę zwany jest spear phisingiem. Atakujący najpierw zbierają informacje na temat celu co znacznie zwiększa ich szanse na sukces. Jest to najbardziej efektywna technika phishingu, która aż w około 91% kończy się powodzeniem.

Threat Group-4127 użyła taktyki spear phishingu do ataku na konto email Hilary Clinton podczas kampanii prezydenckiej w 2016 roku. Zaatakowali oni wtedy ponad 1800 kont Google i zaimplementowali domenę accounts-google.com aby zagrażała wybranym użytkownikom[20][21].

Clone phishing

Clone phishing jest typem phishingu, w którym wcześniej legalna wiadomość posiadająca załącznik lub link zostaje użyty do stworzenia niemal identycznego lub sklonowanej wiadomości email. Załączniki lub linki zostają zastąpione złośliwymi wersjami, a następnie wysłane z adresu email sfałszowanego tak aby wyglądał jak pochodzący od oryginalnego nadawcy.

Ta technika może zostać użyta pośrednio, przy pomocy wcześniej zainfekowanej maszyny do stworzenia następnej wykorzystując zaufanie społeczne do wnioskowanego adresu email, ponieważ obie strony otrzymują oryginalny email[22].

Whaling

Część ataków phishingowych została skierowana w szczególności do kierownictwa wyższego szczebla i innych ważnych celów z branży biznesowej, z tego powodu ataki te nazwano whaling [ang.:wielorybnictwo]. W przypadku ataków typu whaling podszywająca się strona, lub email będzie wyglądała znacznie bardzie poważnie, a zawartość zostanie stworzona specjalnie pod konkretną osobę i jej rolę w firmie. Treści tego typu ataków często są sporządzane tak aby przypominały wezwanie sądowe lub problem wykonawczy. Oszustwa typu whaling są projektowane tak aby ukazywać się jako krytyczny email pochodzący z państwowego urzędu lub legalnej firmy. Treść zostaje dostosowana w taki sposób aby wiązała się ze sfałszowanym problemem całej firmy. Osoby zajmujące się whalingiem fałszowały nawet wiadomości email z wezwaniami sądowymi FBI które wyglądały prawie identycznie jak oficjalne i wmawiały ofiarą że muszą kliknąć w link i zainstalować specjalne oprogramowanie aby zobaczyć wezwanie[23].

Link manipulation[edytuj | edytuj kod]

Większość metod phishingu wykorzystuje formę technicznego oszustwa poprzez wysyłanie linków w e-mailach (który prowadzi do fałszywej strony) wyglądających, jakby należały do fałszywych organizacji. Błędnie napisane adresy URL lub subdomeny to tylko niektóre z częstych chwytów stosowanych przez oszustów. W poniższym przykładzie, http://www.yourbank.example.com/, który wygląda, jakby miał przekierować użytkownika do strony “yourbank” i podstrony “example”, a tak naprawdę, przenosi do strony “example” I podstrony “yourbank”. Kolejnym przykładem phishingu jest sprawianie, że wyświetlany link, mimo iż wygląda na poprawny, przekierowuje użytkownika do strony phishera. Wiele desktopowych aplikacji e-mailowych oraz przeglądarek pokaże link URL w pasku postępu gdy najedziemy na niego myszką. Ta funkcja może jednak zostać w niektórych przypadkach zmieniona przez osobę odpowiedzialną za atak. Równoważne aplikacje mobilne zazwyczaj nie posiadają tej funkcji.

Dalszy problem z adresami URL został znaleziony w obsłudze międzynarodowych nazwach domen internetowych (IDN) w przeglądarkach, które mogą pozwolić wizualnie identycznym adresom WWW zaprowadzić użytkownika na inne, prawdopodobnie złośliwe strony. Pomimo rozgłosu otaczającego tę wadę, znaną jako parodiowanie IDN (IDN spoofing) lub “homograph attack”, phisherzy osiągnęli przewagę nad podobnym ryzykiem, używając otwartych URL readresatorów zaufanych stron, żeby przekierowywać na złośliwe witryny. Nawet cyfrowe certyfikaty nie rozwiązują tego problemu, ponieważ jest możliwe, że phisher kupi fałszywe zaświadczenie i następnie będzie zmieniał zawartość strony żeby sfałszować prawdziwą stronę lub żeby hostować phisherską stronę bez SSL.[24][25]

Zobacz też[edytuj | edytuj kod]

Przypisy[edytuj | edytuj kod]

  1. Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektroniczną. Komisja Nadzoru Finansowego. [dostęp 2014-12-06]. s. 7.
  2. Financial Cryptography: GP4.3 – Growth and Fraud – Case #3 – Phishing, financialcryptography.com [dostęp 2018-06-06].
  3. Sangani, Kris, The Battle Against Identity Thef, 2003.
  4. How Can We Stop Phishing and Pharming Scams? – CSO Talk Back, 24 marca 2008 [dostęp 2018-06-06] [zarchiwizowane z adresu 2008-03-24].
  5. UK phishing fraud losses double, Finextra Research, 7 marca 2006 [dostęp 2018-06-06] (ang.).
  6. Brits fall prey to phishing [dostęp 2018-06-06] (ang.).
  7. Brian Krebs, Shadowy Russian Firm Seen as Conduit for Cybercrime – washingtonpost.com, ISSN 0190-8286 [dostęp 2018-06-06] (ang.).
  8. Bank, Customers Spar Over Phishing Losses | Netcraft, news.netcraft.com [dostęp 2018-06-06] (ang.).
  9. Latest News, 7 października 2008 [dostęp 2018-06-06] [zarchiwizowane z adresu 2008-10-07].
  10. Bank of Ireland agrees to phishing refunds – vnunet.com, 28 października 2008 [dostęp 2018-06-06] [zarchiwizowane z adresu 2008-10-28].
  11. Browser Recon | Phishing for Clues, www.browser-recon.info [dostęp 2018-06-06] (ang.).
  12. PCWorld.com – Phishing Scam Takes Aim at MySpace.com, 16 czerwca 2006 [dostęp 2018-06-06] [zarchiwizowane z adresu 2006-06-16].
  13. Tom Jagatic, Markus Jakobsson, Social Phishing, 2007.
  14. Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks [dostęp 2018-06-06] (ang.).
  15. Cormac Herley, Dinei Florencio, Phishing as a Tragedy of the Commons, 1 kwietnia 2008 (ang.).
  16. WebCite query result, www.webcitation.org [dostęp 2018-06-06] (ang.).
  17. RapidShare PHISHING, 30 kwietnia 2008 [dostęp 2018-06-06] [zarchiwizowane z adresu 2008-04-30].
  18. APWG, Phishing Activity Trends Report, 2013.
  19. Socjotechnika w służbie kradzieży danych PRNnews.pl (Dostęp: 2012-09-04).
  20. Debbie Stephenson, Spear Phishing: Who’s Getting Caught? – The DealRoom, „The DealRoom”, 30 maja 2013 [dostęp 2018-01-07] (ang.).
  21. Threat Group-4127 Targets Google Accounts, www.secureworks.com [dostęp 2018-01-07] (ang.).
  22. Fake subpoenas harpoon 2,100 corporate fat cats [dostęp 2018-01-07] (ang.).
  23. Here’s How to Watch for Whaling and Spear Phishing Internet Attacks, „Lifewire” [dostęp 2018-01-07] (ang.).
  24. Screw Phishers and learn how to identify phishing links!, www.bustspammers.com [dostęp 2018-01-07].
  25. Catalin Cimpanu, Hidden JavaScript Redirect Makes Phishing Pages Harder to Detect, „softpedia” [dostęp 2018-01-07] (ang.).

Linki zewnętrzne[edytuj | edytuj kod]