Phishing

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj
Przykład wiadomości

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) lub nakłonienia ofiary do określonych działań[1]. Jest to rodzaj ataku opartego na inżynierii społecznej.

Historia[edytuj | edytuj kod]

Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla „zweryfikowania konta” lub „potwierdzenia informacji w rachunku”. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.

Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Internecie, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje – adres do niej był podawany jako klikalny odsyłacz w poczcie phishera – jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.

Obrona przed phishingiem[edytuj | edytuj kod]

Zdecydowana większość wiadomości phishingowych jest dostarczana za pośrednictwem poczty elektronicznej lub portali społecznościowych[2].

  • Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
  • Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
  • Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.
  • Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zignorować i zgłosić odpowiednim osobom.
  • Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to osobom z banku i nie podawać na niej żadnych danych.
  • Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 9 i 10 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo też z oprogramowania firm trzecich chroniącego przed phishingiem.
  • Używanie OpenDNS.

Typy phisingu[edytuj | edytuj kod]

Spear phishing

Phishing, spersonalizowany pod konkretną osobę lub firmę zwany jest spear phisingiem. Atakujący najpierw zbierają informacje na temat celu co znacznie zwiększa ich szanse na sukces. Jest to najbardziej efektywna technika phishingu, która aż w około  91%  kończy się powodzeniem.

Threat Group-4127 użyła taktyki spear phishingu  do ataku na konto email Hilary Clinton podczas kampanii  prezydenckiej w 2016 roku.  Zaatakowali oni wtedy ponad 1 800 kont Google i zaimplementowali domenę accounts-google.com aby zagrażała wybranym użytkownikom[3][4].

Clone phishing

Clone phishing jest typem phishingu , w którym wcześniej legalna wiadomość posiadająca załącznik lub link zostaje użyty do stworzenia niemal identycznego lub sklonowanej wiadomości email . Załączniki lub linki zostają zastąpione złośliwymi wersjami a następnie wysłane z adresu email sfałszowanego tak aby wyglądał jak pochodzący od oryginalnego nadawcy.

Ta technika może zostać użyta pośrednio, przy pomocy wcześniej zainfekowanej maszyny do stworzenia następnej wykorzystując zaufanie społeczne do wnioskowanego adresu email, ponieważ obie strony otrzymują oryginalny email[5].

Whaling      

Część ataków phishingowych została skierowana  w szczególności do kierownictwa wyższego szczebla i innych ważnych celów z branży biznesowej, z tego powodu ataki te nazwano whaling[ang.:wielorybnictwo]. W przypadku ataków typu whailing podszywająca się strona, lub email będzie wyglądała znacznie bardzie poważnie \, a zawartość zostanie stworzona specjalnie pod konkretną osobę i jej rolę w firmie. Treści tego typu ataków często są sporządzane tak aby przypominały wezwanie sądowe lub problem wykonawczy. Oszustwa typu whailng są projektowane tak aby ukazywać się jako krytyczny email pochodzący z państwowego urzędu lub legalnej firmy. Treść zostaje dostosowana w taki sposób aby wiązała się ze sfałszowanym problemem całej firmy. Osoby zajmujące się whailingiem  fałszowały nawet wiadomości email z wezwaniami sądowymi FBI które wyglądały prawie identycznie jak oficjalne i wmawiały ofiarą że muszą kliknąć w link i zainstalować  specjalne oprogramowanie  aby zobaczyć wezwanie[6].

Link manipulation[edytuj | edytuj kod]

Większość metod phishingu wykorzystuje formę technicznego oszustwa poprzez wysyłanie linków w e-mailach (który prowadzi do fałszywej strony) wyglądających, jakby należały do fałszywych organizacji.  Błędnie napisane adresy URL lub subdomeny to tylko niektóre z częstych chwytów stosowanych przez oszustów. W poniższym przykładzie, http://www.yourbank.example.com/, który wygląda, jakby miał przekierować użytkownika do strony “yourbank” i podstrony “example”, a tak naprawdę, przenosi do strony “example” I podstrony “yourbank”. Kolejnym przykładem phishingu jest sprawianie, że wyświetlany link, mimo iż wygląda na poprawny, przekierowuje użytkownika do strony phishera. Wiele desktopowych aplikacji e-mailowych oraz przeglądarek pokaże link URL w pasku postępu gdy najedziemy na niego myszką. Ta funkcja może jednak zostać w niektórych przypadkach zmieniona przez osobę odpowiedzialną za atak. Równoważne aplikacje mobilne zazwyczaj nie posiadają tej funkcji.

Dalszy problem z adresami  URL został znaleziony w obsłudze międzynarodowych nazwach domen internetowych (IDN)  w przeglądarkach, które mogą pozwolić wizualnie identycznym adresom WWW zaprowadzić użytkownika na inne, prawdopodobnie złośliwe strony. Pomimo rozgłosu otaczającego tę wadę, znaną jako parodiowanie IDN (IDN spoofing) lub “homograoh attack”, phisherzy osiągnęli przewagę nad podobnym ryzykiem, używając otwartych URL readresatorów zaufanych stron, żeby przekierowywać na złośliwe witryny. Nawet cyfrowe certyfikaty nie rozwiązują tego problemu, ponieważ jest możliwe, że phisher kupi fałszywe zaświadczenie i następnie będzie zmieniał zawartość strony żeby sfałszować prawdziwą stronę lub żeby hostować phisherską stronę bez SSL.[7][8]

Zobacz też[edytuj | edytuj kod]

Przypisy[edytuj | edytuj kod]

  1. Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektroniczną. Komisja Nadzoru Finansowego. [dostęp 2014-12-06]. s. 7.
  2. Socjotechnika w służbie kradzieży danych PRNnews.pl (Dostęp: 2012-09-04).
  3. Debbie Stephenson, Spear Phishing: Who’s Getting Caught? - The DealRoom, „The DealRoom”, 30 maja 2013 [dostęp 2018-01-07] (ang.).
  4. Threat Group-4127 Targets Google Accounts, www.secureworks.com [dostęp 2018-01-07] (ang.).
  5. Fake subpoenas harpoon 2,100 corporate fat cats [dostęp 2018-01-07] (ang.).
  6. Here's How to Watch for Whaling and Spear Phishing Internet Attacks, „Lifewire” [dostęp 2018-01-07] (ang.).
  7. Screw Phishers and learn how to identify phishing links!, www.bustspammers.com [dostęp 2018-01-07].
  8. Catalin Cimpanu, Hidden JavaScript Redirect Makes Phishing Pages Harder to Detect, „softpedia” [dostęp 2018-01-07] (ang.).

Linki zewnętrzne[edytuj | edytuj kod]