Podejście takie może być efektywne tylko pod warunkiem, że podrobiony serwis nie zostanie szybko namierzony i zlikwidowany, a spam zachęcający do wejścia na stronę-pułapkę będzie miał wystarczająco masowy zasięg. Nawet udany atak nie gwarantuje jednak oszustom „zwrotu z inwestycji”, gdy dostępu do pieniędzy klientów broni drugi poziom zabezpieczeń w postaci np. jednorazowych haseł SMS. Przestępcy poszukują zatem bardziej efektywnych sposobów obejścia napotykanych problemów.
Nieaktualne oprogramowanie to zaproszenie dla robaków
Jednym z rozwiązań, z punktu widzenia przestępcy, może być zdobycie potrzebnych danych na komputerze ofiary. Wymaga to zainstalowania na maszynie użytkownika złośliwego oprogramowania. Niechcianego pasażera możemy wpuścić np. ściągając oprogramowanie niewiadomego pochodzenia, ale także odwiedzając odpowiednio spreparowaną witrynę internetową „wstrzykującą” aplikację z wykorzystaniem luki w nieaktualnej wersji przeglądarki lub wtyczce do niej (np. Adobe Flash).
Zainstalowany na komputerze ofiary koń trojański, keylogger (program zbierający znaki wpisywane na klawiaturze) czy inny typ złośliwego oprogramowania jest w stanie oszukiwać ją na wiele sposobów – np. podmieniając odwiedzane strony lub dodając do nich złośliwy kod. W ten sposób można nie tylko pozyskać ID klienta i jego hasło, ale również stosunkowo łatwo skłonić go do dodatkowych działań.
Man-in-the-mobile – koń trojański w komórce
W lutym 2010 roku nowa odmiana konia trojańskiego o nazwie ZeuS spreparowana z myślą o polskich klientach banków pokazała, jak niebezpieczne mogą być bardziej skomplikowane narzędzia służące do poławiania haseł. Użytkownicy zarażeni złośliwym oprogramowaniem po zalogowaniu się do systemów bankowości internetowej ING Banku Śląskiego i mBanku zobaczyć mogli specjalny komunikat zalecający zainstalowanie na komórce „certyfikatów bezpieczeństwa”.
Kliknij, aby powiększyć
Źródło: ING Bank Śląski
Komunikat faktycznie nie pochodził od banku, lecz był wstawiany do treści strony przez ZeuSa. Jeśli ofiara ściągnęła na swój telefon odpowiedni plik i zainstalowała rzekomy certyfikat, to dawała przestępcom możliwość przechwytywania przesyłanych przez bank jednorazowych haseł i podmieniania ich treści. To otwierało drogę to zlecania przez oszustów nieautoryzowanych transakcji. Mieli oni bowiem w ręku wszystkie elementy niezbędne do przeprowadzenia skutecznego ataku, przełamując zarówno pierwszy (ID i hasło), jak i drugi poziom bankowych zabezpieczeń.
Łowy z włócznią
Kolejnym z nowych zjawisk w dziedzinie phishingu, którego obawiać powinny się nie tylko instytucje finansowe, jest przygotowywanie skoncentrowanych, zindywidualizowanych ataków. Podejście to nazywane jest spear phishing (ang. łowienie z użyciem włóczni). Oszuści skupiają się na wyselekcjonowanej grupie potencjalnych ofiar, np. pracownikach określonej firmy. Przynęta może być w tym przypadku bardziej skuteczna, bo spersonalizowana, a pozyskane hasła mogą posłużyć do potencjalnie bardzo niszczących działań.
Ofiarą spear phishing padli m.in. pracownicy firmy RSA, produkującej… tokeny, czyli urządzenia służące jako drugi poziom zabezpieczeń w systemach bankowości internetowej i korporacyjnych systemach informatycznych. W jaki sposób przestępcom udało się zaatakować firmę, która działa w branży zabezpieczeń?
 | Ranking lokat Bankier.pl |
Podobny schemat zastosowano w ataku na firmę Epsilon prowadzącą e-mailowe kampanie marketingowe dla wielu poważanych korporacji (w tym kilku z branży finansowej). Łupem była w tym przypadku baza danych adresów e-mailowych, co otworzyć mogło drogę do kolejnych skoncentrowanych akcji poławiania haseł. Przestępcy otrzymali bowiem listę klientów instytucji wraz z danymi kontaktowymi – niezwykle przydatny prezent, przydatny do przyszłych „łowów z włócznią”.
Miej oczy wokół głowy
Nowe schematy działań przestępców są bardziej wyrafinowane i prawdopodobnie nie będą stosowane na masową skalę. Oszuści będą próbowali bardziej zindywidualizowanych form wyłudzania danych. Tym większego znaczenia nabiera ostrożność w poruszaniu się po globalnej sieci. Trudniej będzie nam odróżnić, co jest prawdziwe, a co fałszywe.
O tym, że warto zachować czujność, utwierdzają nas doniesienia o technikach, które mogą być użyte do phishingowych oszustw. Szczególnie ciekawy wydaje się mechanizm nazwany tabnabbing. Polega on na podmianie zawartości jednej z otwartych w przeglądarce kart, podczas gdy użytkownik przegląda inny serwis. Przykład działania tej techniki można odnaleźć na jednym z blogów. Nieuważny internauta może dzięki takiej podmianie trafić na podrobioną stronę logowania np. banku, myśląc, że sam ją otworzył, a więc nie podejrzewając oszustwa.
W miarę jak do internetu przenosi się coraz większa część ludzkiej aktywności, migrują do niego także przestępcy. Tego zjawiska nie da się zatrzymać ani odwrócić. Korzystając z usług finansowych sieci trzeba po prostu mieć się na baczności, tak samo jak korzystając z bankomatu na ruchliwej ulicy.
Michał Kisiel
Analityk Bankier.pl
Źródło:
