Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Phishing - polowanie na łatwowiernych (cz. 2)

Printer Friendly and PDF

lead.jpgW drugiej części artykułu zostaną omówione różne odmiany phishingu1, takie jak spear phishing, whaling czy man-in-the-middle. Ponadto przedstawione zostaną działania, jakie należy podjąć w przypadku podejrzenia, iż otrzymana wiadomość e-mail wykorzystywana jest do procedery phishingu, oraz sposoby zabezpieczenia się przed tym procederem.

Przy tradycyjnej formie phishingu jego ofiarami stają się przypadkowi użytkownicy Internetu, którzy otrzymują spreparowaną wiadomość e-mail (wysyłaną do tysięcy adresatów poczty elektronicznej), lub ci, których komputery – przy okazji przeglądania stron internetowych lub instalacji oprogramowania niewiadomego pochodzenia – zostaną przypadkowo zarażone wirusem, którego przeznaczeniem jest realizacja procederu phishingu. Nieco inaczej działania przestępców realizowane są w sytuacji, gdy mamy do czynienia z jedną z odmian phishingu, nazywaną spear phishingiem. Przy tego rodzaju procederze działania przestępców nakierowane są na ściśle sprecyzowaną grupę użytkowników systemów informatycznych, takich jak konkretni klienci danego banku lub użytkownicy/administratorzy konkretnego systemu komputerowego w danej firmie. Celem takiego ataku jest zdobycie poufnych informacji umożliwiających przestępcom przejęcie kontroli nad konkretnym systemem lub kontem bankowym, do którego uprawnienia dostępu posiada kilka osób. Zanim nastąpi próba pozyskania poufnych informacji, np. za pośrednictwem wysyłki odpowiednio spreparowanych wiadomości e-mail, przestępcy muszą przeprowadzić swego rodzaju rozpoznanie i zdobyć szczegółowe informacje na temat grupy użytkowników, na którą ma zostać przypuszczony atak. W tym celu muszą wcześniej pozyskać ich dane osobowe, adresy e-mail, numery telefonów, wiedzę na temat posiadanych przez nich poziomów uprawnień w przypadku przygotowywania się do przejęcia kontroli nad danym systemem informatycznym. Informacje te gromadzone są przy wykorzystaniu socjotechniki stosowanej w różnych kanałach komunikacji z ofiarą. Następnie, po skutecznie przeprowadzonym etapie rozpoznania, wiadomości e-mail wysyłane przez przestępców są adresowane do konkretnych użytkowników, do których nadawca zwraca się z imienia i nazwiska, a treść wiadomości może sugerować, iż nadawca doskonale zna adresata. Niestety przy tego rodzaju ataku, do którego przestępcy przygotowują się z ogromną starannością, bardzo trudno wykryć oszustwo i jedyne, na czym można polegać, to własny zdrowy rozsądek i intuicja.

Inną odmianą phishingu jest whaling, określany mianem polowania na „grube ryby”. W tym przypadku adresatami spreparowanych wiadomości są szefowie firm, biznesmeni lub wysoko postawieni urzędnicy państwowi, którzy posiadają dostęp do poufnych informacji, za które wielu jest w stanie zapłacić ogromne sumy pieniędzy. Odsyłacze umieszczone w elektronicznej przesyłce pocztowej kierują czytelnika korespondencji na stronę, z której komputer ofiary zostaje automatycznie zainfekowany niepożądanym oprogramowaniem – trojanami. Trojany takie – w sposób niewidoczny dla użytkownika – przesyłają następnie informacje o wykonywanych na komputerze ofiary ataku czynnościach na serwery zarządzane przez przestępców, dzięki czemu mogą oni wejść w posiadanie bardzo ważnych danych.

Na atak typu phishing jesteśmy narażeni nie tylko w sytuacji, gdy korzystamy ze stałego, kablowego połączenia z siecią. Rozwój sieci bezprzewodowych sprawia, że w coraz większej liczbie miejsc możemy skorzystać z bezpłatnego dostępu do Internetu. Gdy uruchomimy prywatnego laptopa na lotnisku czy w centrum handlowym, nierzadko możemy natknąć się na możliwość zalogowania się do niezabezpieczonego punktu dostępowego typu hotspot, za pośrednictwem którego możliwe jest skorzystanie z zasobów sieci. Wykorzystując do tego celu własny sprzęt, ze świadomością posiadania na nim odpowiednich zabezpieczeń, jesteśmy przeświadczeni o bezpieczeństwie operacji, które mamy zamiar wykonać, i logujemy się na konto w banku, by sprawdzić stan własnych oszczędności. Na to tylko czekają przestępcy parający się odmianą phishingu zwaną man-in-the-middle. Niczego nie podejrzewając, nie zwracamy uwagi na sąsiedni stolik w dworcowej kawiarni, przy którym siedzi niewinnie wyglądający przystojny dżentelmen, również z włączonym laptopem i uruchomioną siecią WiFi oraz modemem GPRS, umożliwiającym dostęp do sieci dzięki usłudze oferowanej przez operatora komórkowego. Nie przeczuwając najgorszego, nie mamy pojęcia, że niezabezpieczony, darmowy hotspot, do którego przed chwilą zalogowaliśmy się, to tak naprawdę laptop naszego sąsiada, na którym prócz skonfigurowanej możliwości skorzystania z sieci Internet zainstalowane jest również oprogramowanie śledzące nasze działania i zapisujące podawane przez nas dane... Pomijając zalecenia podane w dalszej części artykułu, najlepszym sposobem na zabezpieczenie się przed tego typu atakiem jest niekorzystanie z podejrzanych, darmowych punktów dostępu lub przynajmniej powstrzymanie się od przesyłania poufnych informacji w czasie korzystania z otwartych punktów dostępu.

Niestety dostępnych jest coraz więcej narzędzi umożliwiających amatorom phishingu tworzenie własnych spreparowanych stron. Co najdziwniejsze, oprogramowanie takie jest dostępne również w sieci Internet bezpłatnie i każdy chętny może ściągnąć je sobie na własny komputer i poeksperymentować, co oznacza, że w najbliższym czasie możemy mieć do czynienia z falą mniej lub bardziej dopracowanych ataków tego typu. Niepokojące jest również to, iż w ostatnim czasie pojawiły się wykorzystywane w procederze phishingu trojany typu rootkit Mebroot, które instalują się do głównego rekordu startowego dysku (Master Boot Record), a uaktywniają się dopiero przy ponownym uruchomieniu komputera. Kod z rootkita ładowany jest do MBR jeszcze przed startem systemów antywirusowych i wiele z nich nie jest w stanie go wykryć.
Co zrobić, gdy otrzymamy pocztę, co do której mamy podejrzenia? Poniżej przedstawionych zostało kilka zasad postępowania w tego typu sytuacji.

  1. Należy zgłaszać przypadki otrzymania podejrzanych wiadomości e-mail. Jeśli podejrzewamy otrzymanie wiadomości e-mail związanej z phishingiem, która ma na celu kradzież tożsamości, należy zgłosić ten fakt organizacji, której tożsamość została sfałszowana, czyli „podrobiona”. Należy skontaktować się z nią bezpośrednio – nie odpowiadając na otrzymaną wiadomość – i poprosić o potwierdzenie. Ponadto można zadzwonić pod bezpłatny numer organizacji (jeśli istnieje) i porozmawiać z przedstawicielem działu obsługi klienta. Z reguły organizacja sama – w przypadku potwierdzenia phishingu – podejmuje współpracę z odpowiednimi organami (np. z policją), mającą na celu zablokowanie serwerów, na które wysyłane są informacje pozyskane wskutek tego procederu.
  2. Należy zachować ostrożność, klikając łącza zawarte w wiadomościach e-mail. Łącza zawarte w wiadomościach e-mail związanych z phishingiem często prowadzą bezpośrednio do fałszywych witryn, z których można bezwiednie przesłać oszustom własne informacje osobiste lub finansowe. Nie należy klikać łącza zawartego w wiadomości e-mail, jeśli nie wiemy, dokąd prowadzi. Nawet jeżeli na pasku adresu wyświetlany jest właściwy adres, nie dajmy się zwieść. Oszuści mają swoje sposoby na wyświetlanie fałszywych adresów na pasku adresu przeglądarki.
  3. Należy wpisywać adres bezpośrednio w pasku adresu przeglądarki lub korzystać z zakładek. Jeśli musimy zaktualizować dane swojego konta lub zmienić hasło, należy wejść na odpowiednią witrynę, korzystając z zakładki lub wpisując adres bezpośrednio na pasku adresu przeglądarki.
  4. Należy sprawdzić certyfikat zabezpieczeń witryny, w której wprowadzamy informacje osobiste lub finansowe. Przed wprowadzeniem w witrynie WWW jakichkolwiek informacji osobistych czy finansowych należy sprawdzić, czy jest ona bezpieczna. W przeglądarkach internetowych sprawdzajmy stan „kłódki” – ikony w prawej, dolnej części pasku stanu lub obok paska, w którym wpisywany jest adres, potwierdzającej tożsamość przeglądanej witryny. Ikona zamkniętej kłódki oznacza, że w witrynie internetowej jest używane szyfrowanie chroniące wszystkie wprowadzane poufne informacje osobiste, takie jak numer karty kredytowej, numer PESEL czy dane dotyczące płatności. Należy zauważyć, że symbol ten nie musi występować na każdej stronie witryny, a tylko na tych, na których niezbędne jest podanie informacji osobistych. Niestety podrobić można nawet symbol kłódki! W celu zwiększenia własnego bezpieczeństwa kliknij dwukrotnie ikonę kłódki, aby wyświetlić certyfikat zabezpieczeń witryny. Nazwa podana po opcji „wystawiony dla” powinna odpowiadać nazwie witryny. Jeżeli nazwy te nie są takie same, być może jest to fałszywa, „podrobiona” witryna. Jeżeli nie ma pewności, że certyfikat jest prawdziwy, nie należy wprowadzać żadnych informacji osobistych. Dla bezpieczeństwa trzeba zamknąć witrynę.
  5. Nie należy wprowadzać informacji osobistych ani finansowych w oknach podręcznych. Jedną z powszechnych metod phishingu jest wyświetlenie fałszywego wyskakującego okna po kliknięciu łącza w sfałszowanej wiadomości e-mail. Aby okno to wyglądało na bardziej wiarygodne, może być wyświetlane na tle okna, które użytkownik uważa za autentyczne. Nawet jeśli wyskakujące okno wygląda na autentyczne lub bezpieczne, nie należy w nim wprowadzać poufnych informacji, gdyż w takim przypadku nie ma możliwości sprawdzenia certyfikatu zabezpieczeń. Należy zamknąć okna podręczne, klikając w prawym górnym narożniku okna (przycisk „Anuluj” może nie działać w oczekiwany sposób).
  6. Należy aktualizować oprogramowanie komputera, używając legalnego systemu operacyjnego, oprogramowania antywirusowego oraz zapory ogniowej (firewall). Trzeba pamiętać o regularnym uaktualnianiu oprogramowania. Niektóre e-maile wysyłane przez phisherów zawierają oprogramowanie, które bez wiedzy użytkownika śledzi zachowania w Internecie. Oprogramowanie antywirusowe, uzupełnione przez zaporę ogniową, stanowi skuteczną ochronę przed nieumyślnym otwarciem tego typu plików. Firewall pomaga pozostać „niewidocznym” podczas surfowania w sieci, a także blokuje wszystkie nieautoryzowane połączenia. Używanie firewalla jest szczególnie istotne w przypadku użytkowników łącz stałych, którzy są znacznie bardziej narażeni na ataki phisherów. Nie należy zapominać również o instalowaniu „łat” (z ang. patch), które „uszczelniają” luki w naszych systemach operacyjnych2.

Gwarancją bezpieczeństwa jest więc zarówno przywiązywanie wagi do dbałości o bieżącą aktualizację systemu operacyjnego, systemu antywirusowego i firewalla, jak również kierowanie się zdrowym rozsądkiem i – podobnie jak ma to miejsce w przypadku prowadzenia samochodu osobowego – zasadą ograniczonego zaufania. A gdy pojawią się jakiekolwiek wątpliwości, zawsze można w pasek adresowy ulubionej wyszukiwarki stron WWW wpisać nazwę dowolnego banku, który w swoim portfelu usług oferuje klientom możliwość skorzystania z internetowego kanału dostępu do konta, a następnie odnaleźć tam podstawowe informacje na temat bezpieczeństwa transakcji elektronicznych...

Krzysztof Białek

Zabezpieczenia 6/2008

 

1) Phishing (spoofing) – w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegółów karty kredytowej, przez udawanie osoby godnej zaufania, której te  informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej (źródło: Wikipedia – przyp. red.).

 2) http://www.microsoft.com/poland/athome/security/email/phishingdosdonts.mspx

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony