Odławianie frajerów

Ofiarami phishingu padają nie tylko osoby wypełniające bezmyślnie każdy podsunięty formularz. Zobaczmy, jak łatwo ujawnić tajne informacje - być może ta wiedza uchroni nas przed utratą gotówki

Liczba doniesień o zwieńczonych sukcesem próbach wyłudzenia haseł do kont bankowych zaczęła narastać lawinowo mniej więcej przed rokiem. Niemal wszystkie ataki phisherów były przeprowadzane według jednego scenariusza: pan X otrzymywał list elektroniczny z prośbą o odwiedzenie strony internetowej swojego banku i zweryfikowanie własnych danych osobowych. Na witrynę najprościej było dostać się po kliknięciu odnośnika w odebranym e-mailu, co też pan X uczynił, i trafiał na spreparowaną stronę WWW, do złudzenia przypominającą tę oryginalną. Dalej wszystko było jasne: wystarczyło logowanie w podrabianym serwisie, aby z identyfikatorem i hasłem do konta bankowego zapoznała się niepowołana osoba.

Opisane wyżej zdarzenie dowodzi co najmniej niefrasobliwości pana X. Zapewne nie każdy okaże się na tyle naiwny, aby nabrać się na tak prostą sztuczkę, ale osób wierzących bez zastrzeżeń w to, że nadawca listu jest instytucją, za którą się podaje, także znajdzie się niemało. Liczba stron służących do wyłudzania haseł stale rośnie, a zatem phishing najwyraźniej się opłaca.

Naiwnych nie brakuje, ale powinniśmy zdawać sobie sprawę z faktu, że przestępcy zajmujący się wyłudzaniem numerów kart kredytowych albo haseł do kont bankowych wcale nie muszą liczyć na tak skrajne przejawy ludzkiej łatwowierności jak te opisywane we wstępie. Scenariusz ataku można bowiem łatwo zmodyfikować i wyłudzić poufne dane bez konieczności podrabiania stron bankowych ani jakichkolwiek innych witryn WWW. W niniejszym artykule opiszemy sposoby działania phisherów i metody zabezpieczania się przed takimi przestępcami.

Gra wstępna

Pojęcia „phishing” i „spam” są ze sobą nierozerwalnie związane. Właściwie wszystko zaczyna się od listu dostarczonego potencjalnej ofierze. Jej adres można zdobyć na wiele sposobów – odgadując go, wyszukując na forach dyskusyjnych itp. Zamieszczony poniżej rysunek „Pierwsza faza ataku” pokazuje, w jaki sposób atakujący wyszukuje swoje ofiary i w jaki sposób dostarcza im e-maile.

Ponieważ rozsyłanie spamu i phishing to przestępstwa, dostawcy Internetu starają się blokować dostarczane „śmieci”. Oczywiście nie zawsze się to udaje, więc przynajmniej część przesyłek trafia do adresatów.

Co zawiera typowy e-mail sporządzony przez oszusta? Przede wszystkim adres nadawcy, sugerujący, że mamy do czynienia z wiarygodną osobą lub instytucją. W gruncie rzeczy właśnie od nadania przesyłce choćby pozorów wiarygodności zależy powodzenie ataku. Odbiorca musi uwierzyć w zapewnienia, że list zawierający podpis „Twój bank internetowy” został nadany przez legalną placówkę. Co ciekawe, osób niepodejrzewających wtedy żadnego podstępu jest niemało: według badań Anti-Phishing Working Group nawet 20% internautów daje wiarę podpisom umieszczonym w listach elektronicznych i nie widzi potrzeby weryfikowania wiarygodności zwykłych, tekstowych sygnatur. Nawiasem mówiąc, sposobów uzyskania pozorów legalności mamy do dyspozycji naprawdę sporo. Najprościej jest nadać list z domeny, której nazwa tylko kosmetycznie różni się od właściwej nazwy wykorzystywanej przez legalne instytucje ([email protected] zamiast [email protected]). Nie ma jednak większych przeszkód, aby przywłaszczyć sobie cudzy adres pocztowy i bezkarnie podszywać się pod dowolnego nadawcę. Jest to jedna z bolączek stosowanego obecnie systemu pocztowego, niejako „wbudowana” w światową Pajęczynę. Do tego problemu jeszcze zresztą wrócimy.

Teraz już cię mam

Jeżeli chodzi o treść przesyłki, to znajdziemy w niej prośbę o otwarcie załącznika, kliknęcie odnośnika albo odwiedzenie określonej strony WWW. Jeżeli spełnimy to żądanie, narazimy się na kłopoty.

U dołu rysunku „Pierwsza faza ataku” widać cztery pola. Każde z nich odsyła do następnych schematów, zamieszczonych na kolejnych stronach artykułu. Przedstawiają one scenariusze prowadzące bezpośrednio do utraty informacji istotnych dla użytkownika komputera.

Nie tylko głupota

Najprostszą metodą wydobycia poufnych danych jest oczywiście wykorzystywanie ludzkiej łatwowierności. To nad zachowniem opisanych we wstępie „panów X” kiwamy z politowaniem głowami. Ale równie łatwo podzielić się swoimi hasłami z osobami postronnymi bez wykonywania takich czynności, które sugerują, że robimy coś, co mogłoby nam zagrażać.

Wystarczy na przykład uruchomić załącznik do wiadomości przesłanej przez phishera. Dodatki do listów przyjmują różne postacie: kartek z życzeniami, wygaszaczy ekranu itp. W istocie załączniki te są końmi trojańskimi, których zadanie polega na monitorowaniu danych wymienianych przez użytkownika komputera ze stronami WWW. Później takie informacje trzeba już tylko przekazać w jakiś sposób sieciowemu „łowcy”.

Zmodyfikowany scenariusz opisanego ataku polega na posłużeniu się robakiem internetowym, który wykona na pececie ofiary operacje bez wiedzy i zgody użytkownika. Tym razem oczywiście nie ma mowy o żadnych życzeniach ani obrazkach wyświetlanych na ekranie. Pracujący w tle robak wykona swoją pracę równie sprawnie jak koń trojański – tyle że będzie działał po cichu.

Można wreszcie sięgnąć po oprogramowanie typu spyware – takie jak na przykład keyloggery – i zainstalować je na maszynie ofiary. W takim wypadku użytkownik, który ma zostać zarażony robakiem albo spyware’em, musi najczęściej kliknąć odnośnik w otrzymanym liście, aby połączyć się ze stroną WWW, z której zostanie pobrana bez jego wiedzy złośliwa aplikacja. Jak skłonić kogoś do kliknięcia? Wystarczy uciec się do perswazji i wmówić internaucie, że link prowadzi do strony, na której opisano wyjątkowo atrakcyjną ofertę handlową, sposoby powiększenia wybranych narządów itp.

Na koniec należy wspomnieć o jeszcze jednej metodzie phishingu, której nie zaprezentowaliśmy na schematach. Wspomniany sposób polega na dokonaniu ataku na serwer DNS i wprowadzeniu doń takich poprawek, które spowodują, że osoba łącząca się ze stroną internetową swojego banku od razu zostanie przekierowana na witrynę phisherską.

Jak zatem widać, czasami nie trzeba w ogóle wypełniać sfaszowanych formularzy ani wysyłać danych za pośrednictwem poczty elektronicznej, aby udostępnić swoje loginy i hasła osobom postronnym. Schematy zaprezentowane w artykule przedstawiają jednak nie tylko rozmaite scenariusze, prowadzące do utraty poufnych informacji. Z rysunków można się także dowiedzieć, w jaki sposób sami zdołamy się obronić przed phisherami. Przyjrzyjmy się furtkom, przez które uda się wyprowadzić z naszego peceta cenne dane. Łatwiej nam będzie wówczas zablokować takie nielegalne kanały transmisyjne.

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.