Phishing zdemaskowany. Część II

6. Cross Site Scripting: zapobiegamy manipulacjom przy ruterze DSL

Na początku roku 2007 eksperci firmy Symantec, oferującej oprogramowanie antywirusowe, odkryli nową, szczególnie perfidną metodę phishingu. Oto jej krótki opis: ofiara wchodzi na spreparowaną witrynę, przy ładowaniu której zostaje uruchomiony skrypt Java, uzyskujący dostęp do konfiguracji rutera udostępniającego połączenie z Internetem i zmieniający jego ustawienia. Kiedy poszkodowany spróbuje odwiedzić stronę swojego banku, ruter zgodnie z poleceniem atakującego przekieruje tego pierwszego na fałszywą witrynę. Przed tym rodzajem ataku można się jednak łatwo obronić – sztuczka udaje się tylko wtedy, kiedy dostęp do konfiguracji rutera nie jest w żaden sposób kontrolowany. Z tego względu koniecznie powinniśmy zabezpieczyć go hasłem. Ponadto używajmy do przeglądania stron wspomnianej już przeglądarki Firefox Portale CHIP Edition – załączone rozszerzenie NoScript automatycznie zablokuje szkodliwe skrypty Java.

7. Sieciowy hacking: zabezpieczamy internetowe kopie naszych danych

Hakerzy są pomysłowi i kradną dane również z takich miejsc, których nikt (przynajmniej w pierwszej chwili) nie uznałby za cele ewentualnego ataku. Do tej grupy należą internetowe serwery, na których umieszczamy kopię zapasową naszych danych. Chociaż zwykle chcemy zapisać na serwerze tylko zdjęcia i filmy, często kopiujemy tam cały katalog „Moje dokumenty”. Znajdują się w nim nie tylko fotografie z minionego urlopu, ale też informacje interesujące hakerów, na przykład pamięć podręczna (cache) przeglądarki internetowej. Nasza porada: przy tworzeniu internetowych kopii zapasowych pamiętajmy, żeby zapisywać na serwerze tylko wybrane typy plików, na przykład JPG i AVI. A najlepiej przed skopiowaniem plików na serwer zarchiwizujmy je w zabezpieczonym hasłem pliku ZIP.

8. Szpiegowanie proxy: bezpieczne połączenie w niepewnym otoczeniu

Korzystanie z serwisu Tor jest dobrym rozwiązaniem, jeśli chcemy zachować anonimowość w Sieci – albo jeśli jesteśmy hakerem i chcemy wykraść cudze hasła. Składa się on z sieci serwerów proxy, które komunikują się ze sobą poprzez zaszyfrowane połączenia. Anonimowość zapewnia użytkownikom fakt, że wysyłane przez nich informacje nie są przekazywane bezpośrednio do celu, ale krążą między przypadkowymi komputerami w sieci Tor, dopóki nie osiągną serwera określanego jako exit node, gdzie są dekodowane, a następnie trafiają pod adres docelowy. Wystarczy jednak, że haker uruchomi serwer exit node, a ponieważ tam odszyfrowywane są dane – będzie mógł odczytać wszystkie informacje przechodzące przez serwer, w tym również nasze hasła. Pamiętajmy, by używać sieci anonimowej tylko wtedy, gdy rzeczywiście zależy nam na tym, żeby nie zostać zidentyfikowanym w Internecie. Z naszym bankiem lub dostawcą poczty elektronicznej powinniśmy łączyć się bezpośrednio.

9. Kradzież haseł: ukrywamy kody PIN i hasła dostępowe

Bezpieczne hasła są długie i skomplikowane, dlatego wielu użytkowników zapisuje je w plikach tekstowych albo w menedżerze haseł. Żadnej z tych metod nie można określić mianem bezpiecznej. Co prawda, dane w menedżerze haseł są zakodowane, ale muszą zostać odszyfrowane przy każdym logowaniu. Co zrobić? Zapamiętajmy najważniejsze hasła, na przykład PIN do banku internetowego, a w menedżerze haseł zapiszmy tylko te mniej istotne (np. do forów dyskusyjnych). Łatwe do zapamiętania, ale trudne do złamania hasło uzyskamy, przykładowo używając pierwszych liter kolejnych wyrazów zapamiętanego zdania.

10. Konie trojańskie: wykrywamy i usuwamy szkodliwe oprogramowanie

Phishing to nie tylko fałszywe strony internetowe. Może nim być odpowiednio zmodyfikowany wygaszacz ekranu. W tej sytuacji haker aktywnie pobiera dane z dysku naszego komputera, nie czekając, aż sami wpiszemy je do formularza na podstawionej witrynie.

Koń trojański może dostać się do naszego komputera różnymi drogami. Często ukrywa się w pozornie niegroźnych aplikacjach. Ochronią nas przed nimi dobre skanery antywirusowy (polecamy te zamieszczone na naszej płycie DVD), ale przede wszystkim ograniczone zaufanie. Pamiętajmy – nigdy nie możemy czuć się całkowicie bezpieczni. Ufajmy zatem tylko sprawdzonym stronom z oprogramowaniem, np. naszej nowej witrynie download.chip.eu.

Jak być bezpiecznym?

Zawsze…

– określajmy limit wysokości transakcji internetowych. Dbajmy o to, by nie był on bez potrzeby zbyt wysoki – im będzie niższy, tym mniejsze będą ewentualne szkody – używajmy tylko bezpiecznego, szyfrowanego logowania. Bezpieczne strony rozpoznamy po adresie rozpoczynającym się od prefiksu „https://” na początku oraz po ikonie kłódki na końcu pola adresu. W starszych przeglądarkach symbol pojawia się w prawym dolnym rogu okna – nie tylko zainstalujmy pakiet antywirusowy, ale też dbajmy o aktualność pozostałego oprogramowania. W ten sposób ograniczymy hakerom pole manewru. Regularnie sprawdzajmy, czy mamy najnowsze wersje programów. Większość z nich ma wbudowaną możliwość automatycznej aktualizacji – korzystajmy z niej – często sprawdzajmy stan naszego konta. Jeśli stanie się coś złego, być może da się jeszcze cofnąć nieautoryzowane transakcje

Nigdy…

– nie zapisujmy w niezabezpieczonych plikach tekstowych naszych loginów, haseł, numerów identyfikacyjnych czy jednorazowych kodów potwierdzających transakcje. Jeśli nasz bank oferuje taką możliwość, wybierzmy potwierdzanie transakcji za pomocą SMS-a. Konieczność stałego pamiętania wielu różnych haseł bywa denerwująca, ale mimo niewygody nigdy nie powinniśmy przechowywać ich niezabezpieczonych na naszym komputerze. Jeszcze lepiej w ogóle ich nie zapisywać – nie wykorzystujmy obcych komputerów, aby uzyskać dostęp do konta. Komputery w kafejkach internetowych, na lotniskach czy w hotelach mogą być zarażone szkodliwym oprogramowaniem lub obserwowane przez administratorów – nie ufajmy emailom i wiadomościom na czatach wysłanym przez nieznanych nadawców. Sfałszowane wiadomości wciąż są najczęściej wykorzystywanym przez oszustów narzędziem. Pamiętajmy, że nasz bank nigdy nie wysłałby nam bez przyczyny emaila – nie ściągajmy i nie uruchamiajmy oprogramowania pochodzącego z nieznanych źródeł. Hakerzy w prosty sposób mogą umieścić nawet w powszechnie znanym programie złośliwy kod. Pirackie kopie często zawierają groźne wirusy i trojany

Jak rozpoznać phishing

Internetowa mafia opłaca ludzi, którzy zajmują się wyłącznie podrabianiem stron internetowych. Często nawet eksperci muszą dobrze się przyjrzeć, by odróżnić oryginał od fałszywki. Oto trzy przykłady:

Bezpieczne barwy

Istnieje cała lista szczegółów, dzięki którym można rozpoznać oryginalne strony. Na przykład zielone podświetlenie adresu, za pomocą którego Internet Explorer i Firefox, od wersji 3, sygnalizuje, że przeglądana witryna jest bezpieczna. Oznacza to, że mamy z naszym bankiem zaszyfrowane połączenie oraz że jego strona przeszła test autentyczności.

Symbol klucza

Starsze przeglądarki sygnalizują nawiązanie zaszyfrowanego połączenia, wyświetlając symbol klucza. Możemy go znaleźć w prawym dolnym rogu okna, a czasem też z prawej strony pola adresu. Uwaga: fałszywe strony również mogą być szyfrowane.

Pole adresu

Prefiks „https://” na początku adresu strony świadczy o zaszyfrowanym połączeniu, jednak nie daje pewności co do autentyczności strony – istnieje wiele sposobów na to, żeby sfałszować szyfrowanie połączenia.

Fałszywy adres

Z wyglądu strona niczym nie różni się od ekranu logowania serwisu aukcyjnego eBay. Zastanawiająca jest tylko dziwna domena – najwyraźniej fałszerze nie zadali sobie nawet trudu, by ukryć prawdziwy adres podrobionej strony.

Fałszywy nadawca

Oszusta zdradza nieprawdziwy adres nadawcy wiadomości PayPal nie ma nic wspólnego z domeną „security.net”. Poza tym w prawdziwej wiadomości nie unikanoby podania adresata. Kolejny haczyk: co prawda, układ wiadomości przypomina oryginalną stronę PayPal, ale podejrzane jest umieszczenie w jej treści okna logowania.

Bezczelne wyłudzanie kodów potwierdzających

Tu również nie zgadza się adres. Błędy językowe najczęściej świadczą o trudnościach fałszerza z właściwym przetłumaczeniem strony. Nie dajmy się oszukać – żaden bank nie prosiłby nas o podanie numeru telefonu, a już na pewno nie poprosi o dane karty kredytowej!

Czytaj także:

Phishing z bankiem BZ WBK w tle Nowe bezpłatne narzędzia w rękach cyberprzestępców Wiosenne ataki oszustów w sieci Atak phishingowy na użytkowników nasza-klasa.pl