Phishing

• Wykorzystanie nazw, logo istniejących firm. Podrobiona witryna bardzo wiarygodnie odzwierciedla prawdziwą stronę instytucji.
• Spreparowane adresy WWW. Takie adresy tylko imitują prawdziwe lub są zbliżone do autentycznych (zamiana jednej litery bądź stworzenie poddomeny), na przykład zamiast poprawnego adresu www.nazwa.e-bank.pl może być www.nazwa.ebank.pl
• Wykorzystywanie istniejących nazwisk, stanowisk i sekcji. Intruz podaje się za osobę, która faktycznie w takiej instytucji pracuje.
• Atak phishingowy musi odnieść skutek w szybkim czasie, dlatego bardzo często treść wiadomości zawiera jakiś czynnik wywołujący strach. Adresat jest informowany o rzekomej utracie lub unieważnieniu konta bądź nadzwyczajnych środkach ostrożności.

Najskuteczniejszą bronią w walce z phishingiem okazuje się wiedza o zagrożeniach oraz zdrowy rozsądek. Pokażemy, jakie formy przyjmuje phishing, jak go rozpoznać oraz które narzędzia pomogą wyeliminować niebezpieczeństwo.

Oszustwa, które można uznać za phishing, przybierają różne formy. Celem ataku przestępców są oprócz klientów banku i sklepów sieciowych także użytkownicy serwisów aukcyjnych czy przypadkowi internauci.

Najpopularniejszą odmianą phishingu jest oszustwo z wykorzystaniem spreparowanej strony jednego z popularnych banków oferujących konta internetowe. Oszuści zdobywają adresy e-mailowe przypadkowych osób i rozsyłają do nich od kilku do kilkudziesięciu tysięcy listów elektronicznych wzorowanych na korespondencji z banku.

W treści wiadomości znajduje się odnośnik prowadzący na stronę WWW łudząco przypominającą witrynę prawdziwego banku lub instytucji finansowej. W liście jest także prośba o weryfikację lub sprawdzenie poprawności danych osobowych, haseł oraz kodów potrzebnych do realizacji transakcji. Jeżeli internauta daje się nabrać, wszystkie wpisane przez niego informacje trafiają bezpośrednio w ręce cyberprzestępcy.

Zarówno phisherzy, jak i inni przestępcy używają bardzo wielu sztuczek, aby upodobnić adres swojej witryny do prawdziwego adresu instytucji. Przykładowy adres, który może być wykorzystany do phishingu, wygląda tak:

http://www.pekao24.pl.ssl39.info/wryfikacja

Faktycznie jest podobny do prawdziwego, a wysłany dodatkowo w treści e-maila może zaciemnić obraz sytuacji. Jednak po pierwsze zwróć uwagę przede wszystkim na prawdziwą domenę. W tym wypadku strona główna to fragment: ssl39.info, a nie jak mogłoby się wydawać pekao24.pl.

W rzeczywistości wszystko, co się pojawi w adresie pomiędzy znakami http:// lub https:// i ssl39.info, jest zupełnie nieważne i służy tylko do uśpienia twojej czujności. Równie dobrze ten sam adres prowadzący w to samo miejsce może wyglądać:

http://www.pcformat.pl.ssl39.info/login

Dlatego właśnie tak istotne jest sprawdzenie adresu, pod który masz zamiar się przenieść.

Phishing jest stosowany wszędzie tam, gdzie w bezpośrednim obrocie znajdują się pieniądze. Dobrym przykładem są serwisy aukcyjne, w których codziennie przeprowadza się tysiące transakcji kupna i sprzedaży. Najpopularniejszy w Polsce serwis aukcyjny jest także pod lupą cyberprzestępców. Jak złowić ofiarę na serwisie aukcyjnym, pokazuje incydent z grudnia 2007 roku. Oszust podszywający się pod jednego z pracowników operatora komórkowego poszukiwał wśród użytkowników Allegro chętnych do pracy. Zamieszczał ogłoszenia w różnych portalach i czekał na reakcję internautów. Wiele osób niestety dało się nabrać i odpowiedziało na ogłoszenie. Następnie, pod pozorem sprawdzenia autentyczności oszust wymagał od kandydata podania loginu i hasła do jego konta w serwisie aukcyjnym:
Potem logował się na konto ofiary, zmieniał hasło, a także numery kont bankowych i wystawiał kilka lub kilkadziesiąt przedmiotów w bardzo atrakcyjnych cenach. Poszkodowany został nie tylko internauta odpowiadający za phishing, ale także wielu użytkowników serwisu.

Pharming pojawił się nieco później niż phishing i jest trudniejszy do wykrycia. W odróżnieniu od phishingu ofiara ataku nie musi odbierać żadnych e-maili, jest za to automatycznie kierowana na fałszywą stronę, nawet gdy w przeglądarce wpisała poprawny adres docelowy lub wybrała witrynę ze zbioru ulubionych.

Haker wcześniej zaatakował serwery DNS i dzięki manipulacjom w pytaniu o kierunek spowodował, że internauta jest niepostrzeżenie prowadzony do spreparowanej przez intruza witryny. Wygląd strony jest oczywiście identyczny z wyglądem prawdziwej witryny instytucji finansowej czy handlowej. Użytkownik nawet nie podejrzewa, że korzysta z doskonale opracowanej fałszywki. Logowanie prowadzi do takich samych rezultatów jak w przypadku phishingu.

Pharming może być przeprowadzany na dwa sposoby. Pierwszy polega na atakowaniu pamięci podręcznej DNS w komputerze użytkownika i zastąpieniu poprawnego adresu fałszywym. Jest to tzw. pamięć podręczna DNS. Sprawdzając pamięć podręczną przed wysłaniem właściwego żądania sieciowego, komputer automatycznie oszczędza czas i nie wysyła do internetu pytań, bo zna już odpowiedzi z wcześniejszych działań. W rezultacie używa danych, które miał zapisane, bez ich sprawdzenia. Tutaj czai się niebezpieczeństwo, ponieważ haker mógł za pomocą złośliwego kodu zmodyfikować informacje w celu przekierowania internauty na swoją fałszywą witrynę. W podobny sposób przestępca może zaatakować serwery DNS banku. W obu przypadkach w przeglądarce będzie wyświetlany adres banku internetowego, który nie wzbudzi podejrzeń.

Drive-by Pharming jest całkiem nową formą zagrożenia, która łączy w sobie pharming i socjotechnikę. Oszust nakłania ofiarę do odwiedzenia przygotowanej witryny internetowej. Taka strona zawiera złośliwy kod w formie skryptu JavaScript. Kod ma na celu zmianę ustawień DNS w routerze potencjalnej ofiary. Od momentu infekcji adresy wpisywane przez użytkownika będą przekierowywane na strony spreparowane przez oszusta. Przestępca zazwyczaj już wcześniej przygotowuje fałszywą stronę logowania do banku internetowego. Wpisane przez ofiarę loginy i hasła trafiają wprost do osoby dokonującej ataku.

Atak Drive-by Pharming może być skuteczny tylko wtedy, jeśli hasło do naszego routera będzie puste bądź pozostawione w standardowych ustawieniach fabrycznych („admin” czy „1234”). Zagrożenia tego typu atakiem można uniknąć dzięki ustawieniu w domowym routerze osobistego i trudnego do złamania hasła.

Jedną z podstawowych zasad skutecznego zabezpieczenia komputera przed zagrożeniami ze strony złośliwego kodu i ataków internetowych jest dbałość użytkownika o aktualizację używanego oprogramowania. Dotyczy to głównie systemu operacyjnego, ale nie tylko. Również wiele pozostałych programów, zwłaszcza tych, które w jakikolwiek sposób korzystają z internetu, powinno być aktualizowanych. Niestety, nie zawsze informacje o aktualizacjach są prawdziwe. Niekiedy agresorzy nakłaniają w ten sposób użytkowników do pobrania złośliwego kodu.

Poniżej kilka przykładów typowych sztuczek oszustów, wykorzystujących naiwność użytkownika, który stara się dbać o aktualizacje zainstalowanych programów.

To najpopularniejsza metoda oszustw przez informowanie o aktualizacjach. Proces najczęściej przebiega następująco.

Użytkownik odbiera pocztę ze swojej skrzynki pocztowej. Oprócz codziennej korespondencji znajduje e-mail zawierający „ważny” komunikat. W naszym przykładzie mamy do czynienia z próbą podszycia się pod firmę Microsoft i wykorzystania aktualizacji systemu. Trzeba przyznać, że wiadomość wygląda przekonująco.

Użytkownik klika załącznik lub odsyłacz widoczny w takiej wiadomości. Jeżeli załącznik jest plikiem wykonywalnym (lub gdy odsyłacz prowadzi do pliku wykonywalnego), to już wystarcza do zainfekowania komputera. Jednak taka próba ataku powinna być wychwycona przez działające na komputerze oprogramowanie antywirusowe.

Częstą praktyką agresorów jest zamieszczanie w treści wiadomości odsyłacza przekierowującego na odpowiednio spreparowaną stronę internetową zawierającą złośliwy kod, np. exploit przeglądarki WWW i dodatkowo tzw. downloader – program automatycznie pobierający programy szkodniki.

Agresorzy wykorzystują fakt, że mechanizm automatycznej aktualizacji wyświetla okna powiadomień, gdy tylko pojawi się nowa aktualizacja. Oto jak przebiega taki atak. Użytkownik trafia na stronę, która została odpowiednio spreparowana. Strona wygląda niby niewinnie, po chwili jednak wyskakuje okienko, które wygląda identycznie z oknem dialogowym funkcji automatycznej aktualizacji systemu Windows. Co gorsza, o ile kliknięcie przycisku zamknięcia w prawdziwym oknie dialogowym aktualizacji anuluje operację instalacji łaty, o tyle kliknięcie w dowolnym miejscu okna pop-up, wyglądającego jak okno dialogowe, może wywoływać procedurę pobrania złośliwego kodu.

Rzadko stosowana metoda, głównie ze względu na jej niewielką skuteczność. Treść wiadomości zachęca jej odbiorcę do pobrania „ważnej” aktualizacji systemu czy innego popularnego programu. Użytkownik korzystający z komunikatora klika odsyłacz zawarty w wiadomości. Reszta zależy od tego, czy odsyłacz prowadzi bezpośrednio do złośliwego pliku, czy też wywołuje odpowiednio spreparowaną stronę w przeglądarce WWW. Dalszy przebieg ataku wygląda podobnie jak w opisanym wcześniej przypadku fałszywych powiadomień o aktualizacjach wysyłanych drogą e-mailową.

Stosując się do przedstawionych dalej naszych zaleceń, unikniesz infekcji komputera złośliwym kodem ukrytym pod postacią fałszywej aktualizacji. Nie klikaj odsyłaczy przesyłanych w e-mailach. Ignoruj całkowicie wiadomości zachęcające do pobrania aktualizacji. Producenci oprogramowania nigdy nie korzystają z tej drogi powiadamiania o nowych łatach do ich programów. Jeżeli w trakcie surfowania po internecie pojawi się okno wyglądające jak okno dialogowe funkcji aktualizacji Windows, wciśnij kombinację klawiszy [Ctrl]+[W]. Fałszywka (pop-up) się zamknie, prawdziwe okno aktualizacyjne – nie. Całkowicie ignoruj zachęty do aktualizacji przesyłane przez komunikatory, nawet jeżeli pochodzą od znajomych – oni sami mogli się nabrać.

Jak widać z powyższych przykładów, na obronę przed phishingiem nie ma uniwersalnego sposobu. Skuteczność ataku można zmniejszyć przede wszystkim zachowując ostrożność i stosując się do zaleceń zawartych w ramce „Nie daj się oszukać”.

Jednym z innych sposobów pozwalających na wykrycie fałszywej strony zarówno w banku, jak i sklepie internetowym jest sprawdzenie szyfrowania. Aktywne zabezpieczenie jest sygnalizowane pojawieniem się w pasku adresu bądź w dolnym pasku przeglądarki symbolu zamkniętej kłódki. Jeżeli kłódka jest otwarta lub przekreślona, oznacza to, że strona nie ma certyfikatu bądź ma nieważny. Zachodzi wtedy duże prawdopodobieństwo, że jest to fałszywa witryna. Najlepiej zerwać takie połączenie, zwłaszcza gdy wymaga ono podawania poufnych danych.

Najlepszą bronią przeciwko phishingowi jest stosowanie się do naszych rad, rozsądek i ograniczone zaufanie. Z phishingiem walczą także autorzy przeglądarek WWW, instalując w aplikacjach specjalizowane moduły. Oto jak uaktywnić ochronę w popularnych programach: Internet Explorer, Firefox i Opera.

W głównym oknie programu Internet Explorer (działa tylko w wersji 7 – możesz ją za darmo pobrać ze strony Microsoftu) kliknij Narzędzia, a następnie kolejno wybierz Filtr witryn wyłudzających informacje i Włącz automatyczne sprawdzanie witryn sieci Web. Możliwość włączenia ochrony pojawia się także podczas pierwszej wizyty na stronie z połączeniem szyfrowanym – program sam zaproponuje uaktywnienie opcji. Zaznacz pole Włącz automatyczny filtr witryn wyłudzających informacje i kliknij OK. Możesz także sprawdzić każdą witrynę na własne żądanie. W tym celu kliknij Narzędzia i wybierz Filtr witryn wyłudzających informacje i Sprawdź tę witrynę sieci Web.

W głównym oknie przeglądarki Opera 9 kliknij Narzędzia i wybierz Preferencje. Następnie przejdź do zakładki Zaawansowane i wybierz sekcję Zabezpieczenia. W wywołanym oknie zaznacz opcję Włącz ochronę przed oszustwami. Jeżeli chcesz sam sprawdzić wyświetloną stronę, kliknij znak zapytania w pasku adresu. W wywołanym oknie przeglądarka zweryfikuje odwiedzaną witrynę i wyświetli informacje o bezpieczeństwie.

W programie Firefox kliknij Narzędzia i wybierz Opcje. Przejdź do sekcji Bezpieczeństwo i zaznacz pole obok opcji Sprawdzaj obecność na liście podejrzanych witryny. Zamknij okno ustawień. Warto także sprawdzić certyfikat. Zrobisz to, klikając kłódkę w polu adresu. Następnie w wywołanym oknie możesz odczytać, czy certyfikat został potwierdzony.

Mniej ostrożni internauci mogą skorzystać z dodatkowej aplikacji, która pozwoli sprawdzić podejrzaną witrynę. Pokazujemy, jak weryfikować strony za pomocą programu Netcraft.

Wyświetl w przeglądarce stronę www.netcraft.com. Odszukaj i kliknij odnośnik Anti-Phishing Toolbar. Kliknij Download Now, a następnie logo przeglądarki, której używasz. Jeżeli jest to Internet Explorer, zapisz plik na dysku twardym i przejdź do kroku 2. W przypadku Firefoksa po wybraniu ikony przejdź do kroku 3.

Uruchom instalację programu pobranego z serwisu Netcraft. W oknie instalatora kliknij przycisk Next, zaznacz pole obok I Agree i ponownie kliknij Next, a następnie Close.

Po wybraniu ikony Firefoksa pojawi się okno z komunikatem o instalacji, kliknij przycisk OK. Program nie pozwoli witrynie zainstalować dodatku. Kliknij przycisk Zmień opcje, a w kolejnym oknie Zezwól.

Ponownie kliknij ikonę programu Firefox. Po chwili zobaczysz okno: Instalacja oprogramowania. Kliknij Zainstaluj. Gdy instalator zakończy kopiowanie plików, zobaczysz okno Dodatki. Kliknij Uruchom ponownie program Firefox.

Wtyczka Netcraft po zainstalowaniu wygląda tak samo w każdej z dwóch przeglądarek i ma identyczne funkcje. W kolejnych krokach dowiesz się, jak z niej korzystać i co oznaczają wyświetlane informacje.

Wyświetl w przeglądarce dowolną stronę WWW. Pod paskiem adresu widzisz moduł dodatku Netcraft. Pierwszą i najważniejszą informacją wyświetlaną przez Netcraft jest wskaźnik bezpieczeństwa widocznej strony.

Witryna jest bezpieczna, gdy pasek jest w całości zabarwiony kolorem zielonym. Kolejna informacja pokazuje, od którego roku strona istnieje w sieci. Wiadomo, że strony oszustów są w sieci bardzo krótko, a witryny banków czy serwisów aukcyjnych o wiele dłużej.

Na końcu widzisz flagę kraju, z którego pochodzi odwiedzana witryna. Więcej informacji (np. adres IP, DNS) możesz uzyskać, klikając odnośnik Site report.