Na czym polega phishing?
Słowo „phishing” słyszymy coraz częściej, co gorsza nie tylko w doniesieniach z zagranicy, ale również z rodzimego rynku. Ten rodzaj oszustwa pomimo, iż nie jest już nowinką, zyskuje na popularności i jest na tyle skuteczny, że wciąż znajdują się chętni by „łowić” w globalnej sieci. Schematy działania przestępców przechodzą ewolucję — stają się bardziej wyrafinowane zarówno pod względem zastosowanych środków technicznych (także dzięki wykorzystaniu wad popularnego oprogramowania), jak i sztuczek psychologicznych.Typowy schemat „internetowego wędkowania” opiera się na stworzeniu podrobionej strony internetowej do złudzenia przypominającej np. stronę logowania do serwisu bankowości internetowej oraz zwabieniu na nią jak największej liczby ofiar, które skłonne będą „zostawić” oszustom swoje ID i hasło. Przynętą jest najczęściej e-mail, przygotowany tak, by wyglądał na wysłany przez bank i zachęcający do kliknięcia w odpowiednio spreparowany link. Wiarygodność zastosowanej przynęty jest czynnikiem decydującym o powodzeniu całej operacji zwłaszcza, że potencjalne ofiary są coraz bardziej świadome czyhających na nie niebezpieczeństw (co jest wynikiem zarówno akcji informacyjnych banków, jak i publikacji w mediach dotyczących internetowych oszustw). Ostatnie doniesienia mówiące o pojawiających się przypadkach „spersonalizowanego” phishingu — skierowanego do wyselekcjonowanych adresatów i wykorzystującego np. zdobyte wcześniej informacje pochodzące z baz danych instytucji będących obiektem ataku (jak chociażby dane osobowe czy informacje o posiadanych przez adresata produktach) — wskazują na to, że przestępcy wkładają wiele wysiłku w uwiarygodnienie swoich poczynań.
Przynęta ma wywołać w ofierze poczucie konieczności natychmiastowej reakcji (np. „zanotowaliśmy próby logowania na Pańskie konto, prosimy o zalogowanie się w celu weryfikacji tożsamości”) i często ma za zadanie zastraszyć odbiorcę. Czasami ma również postać „marchewki” — jak np. w niedawnym ataku na amerykański Citizens Bank, gdzie „phisherzy” zachęcali do wypełnienia ankiety w zamian za pięciodolarową nagrodę. Oczywiście w ankiecie, w ramach rzekomego potwierdzenia tożsamości respondenta, znalazło się również pytanie o numer karty kredytowej oraz jej datę ważności i PIN (informacje niewątpliwie warte co najmniej tych pięciu dolarów) .
Innym ze sposobów na zdobycie interesujących przestępcę danych, coraz częściej stosowanym, jest zainstalowanie na komputerze ofiary konia trojańskiego i keyloggera (programu zapisującego znaki wpisywane na klawiaturze), które zajmą się zapisaniem poufnych informacji i przesłaniem ich pod wskazany adres. Takie podejście, chociaż nie w pełni pasuje do zasady działania typowego „phishingu”, wymaga również podstępu — potencjalna ofiara musi w ten czy inny sposób ściągnąć z sieci szkodliwy plik i uruchomić go na swojej maszynie. Skłonić ją może do tego również odpowiednio przygotowany e-mail lub wiadomość przesłana np. poprzez komunikator internetowy.
Dwa przykłady z historii
W lutym 2004 r. niektórzy australijscy internauci otrzymali e-maile do złudzenia przypominające typowy komunikat marketingowy z banku Westpac. W treści znalazło się nawet stwierdzenie, że „Westpac nigdy nie poprosi Cię o podanie jakichkolwiek informacji potrzebnych do zalogowania w serwisie”. Klikając w zawarty w liście link, internauta otwierał podrobioną stronę logowania do serwisu transakcyjnego przygotowaną przez oszustów (w pop-upie bez widocznego paska adresu), jak również autentyczną witrynę banku w drugim oknie przeglądarki znajdującym się pod „podróbką”. Jednoczesne otwarcie dwóch okien pozwoliło uśpić czujność ofiar, które podświadomie zakładały, że pomiędzy jednym (prawdziwym) a drugim (podrobionym) oknem zachodzi jakiś związek. Innowacyjność ataku, oprócz zastosowania wspomnianej sztuczki psychologicznej, polegała również na tym, że po ewentualnym wpisaniu identyfikatora i hasła dostępu pojawiał się komunikat o błędzie w logowaniu i użytkownik był przekierowywany tym razem do prawdziwej strony logowania Westpac. Oczywiście wpisane wcześniej dane były poprawne i trafiały do oszustów. Atak był szczególnie niebezpieczny ponieważ wielu klientów nie zwróciło uwagi na nietypowe zachowanie przeglądarki, myśląc, że po prostu pomyliło się przy wpisywaniu hasła .Główną rolę w innej historii odegrał koń trojański oraz keylogger. W lipcu 2003 r. oszust wysłał na jedną z amerykańskich grup dyskusyjnych poświęconych rynkowi kapitałowemu zaproszenie do testowania przygotowanego przez niego programu analitycznego. Program ten miał „funkcję-niespodziankę” w postaci konia trojańskiego i programu do zapisywania znaków z klawiatury. Złoczyńca uzyskał w ten sposób kody dostępu do rachunku inwestycyjnego jednego z „testerów” pochodzącego z Massachusetts i złożył w jego imieniu zlecenie zakupu 7200 opcji na akcje firmy Cisco. Zlecenie to korespondowało ze zleceniem sprzedaży wystawionym przez oszusta w jego biurze maklerskim. Oszust uniknął dzięki temu 37 tys. dolarów straty. Mimo, iż przestępca próbował zatrzeć ślady, stosunkowo szybko ustalono jego tożsamość. Oszustem okazał się mieszkający w Pensylwanii nastolatek, a sprawa była pierwszą sprawą tego typu prowadzoną przez SEC (U.S. Securities and Exchange Commission) . Podobny schemat działania bywa wykorzystywany na szerszą, wręcz masową skalę — w sieci grasują szkodniki (m.in. Bankos Trojan, Banks-De), które przygotowane zostały specjalnie z myślą o zdobywaniu haseł dostępu do serwisów bankowych.
Nowe pomysły na udane łowy
Organizacja Anti-phishing Working Group (http://www.antiphishing.org) publikuje regularnie biuletyn przedstawiający statystyki dotyczące phishingu i wskazujący „najnowsze mody” w tej dziedzinie. Lektura ta jest szczególnie pouczająca w połączeniu z przeglądem przypadków zgłaszanych AWG przez internautów z różnych stron świata. Wśród tendencji widocznych w I połowie 2005 r. wymienić można:- rosnące znaczenie ataków z użyciem szkodliwego oprogramowania (malware),
- wykorzystanie komunikatorów internetowych (IM - Instant Messaging) zamiast tradycyjnej e-mailowej przynęty, jak również jako nośnika szkodliwego oprogramowania,
- użycie techniki cross site scripting (XSS) w celu lepszego zamaskowania odnośników przenoszących ofiary na podrobione strony,
- pharming - polegający na nadpisywaniu pliku hosts, co sprawia, że ofiara wpisując w przeglądarce adres serwisu www np. banku zostaje w rzeczywistości skierowana na stronę-podróbkę.
Niekiedy „phisherom” życie ułatwiają same banki nie poświęcając należytej uwagi bezpieczeństwu funkcjonowania serwisu internetowego. O tym jaką wagę mogą mieć drobne z pozoru szczegóły przekonał się w kwietniu 2005 r. Bank of America. Niedopracowana witryna banku pozwalała na skonstruowanie takiego URLa, który przenosił odwiedzającego pod dowolnie wybrany adres. Oszuści wykorzystali ten fakt przygotowując fałszywy odnośnik w wiadomości-przynęcie, który przybrał nie budzącą na pierwszy rzut oka podejrzeń treść (np. http://www.bankofamerica.com/nationsfunds/nf2/leaving.cfm?destination=
%22%3e%3c%53...). Ciągi znaków zaczynające się od symbolu procenta to nic innego jak zakodowane cyfry składające się na rzeczywisty adres strony, do której kierowana była ofiara (w tym przypadku 216.119.179.191).
Phishing po polsku
Polskie banki już stosunkowo dawno zetknęły się z problemem phishingu. W styczniu 2004 r. niektórzy klienci Citibanku otrzymali pocztą elektroniczną informację o niewinnej wydawałoby się treści: „Drogi Kliencie, z przyjemnością informujemy, iż zakończyliśmy prace nad zintegrowanym serwisem bankowości internetowej. Wkrótce nowa platforma zastąpi obecny system, ale już teraz zachęcamy Cię do zapoznania się z możliwościami i udogodnieniami, jakie oferuje zintegrowany serwis. Prosimy o jak najszybsze zalogowanie się oraz sprawdzenie naszego nowego systemu. Zaloguj się http://www.online.citibank.pl". Oczywiście link w treści wiadomości prowadził do strony przygotowanej przez oszusta. Internauci korzystający z „dziurawej” wersji przeglądarki Internet Explorer wchodząc na podrobioną stronę logowania widzieli w pasku adresu właściwy adres, co mogło dodatkowo uśpić ich czujność. Fałszywa witryna nie korzystała jednakże z szyfrowanej transmisji, a zatem w prawym dolnym rogu nie widniał znajomy symbol zamkniętej kłódki. Oszuści nie zadali sobie bowiem zbyt wiele trudu przygotowując „podróbkę”. Citibank nie został wybrany przypadkowo jako cel ataku - nie korzysta on z żadnych, poza ID klienta i hasłem, dodatkowych zabezpieczeń.Podobne doświadczenia mają za sobą również Inteligo i mBank. Tak jak w przypadku Citibanku zastosowano klasyczny schemat składający się z e-maila będącego przynętą i podrobionych stron logowania do serwisu transakcyjnego .
Bardziej wyrafinowany charakter niż ataki z 2004 roku miał tegoroczny phishing w Banku BPH — tutaj zastosowanie znalazł koń trojański oraz keylogger. Ofiary skorzystały z opcji zapisania klucza prywatnego podpisu cyfrowego na serwerze banku, a więc oszuści musieli „podsłuchać” hasło zabezpieczające ten klucz. Straty wynikające z działania internetowych złodziei sięgnęły miliona złotych, co uznać można za pierwszy poważny (i upubliczniony) „elektroniczny skok na bank” w historii polskiej bankowości.
Jak się bronią banki?
Pomysłowość i zmienność schematów oszustw dokonywanych w internecie stawia przed bankami trudne zadanie. Najlepszą obroną przed zagrożeniami ze strony przestępców komputerowych jest edukowanie klientów na temat możliwych schematów działania oszustów, szybka reakcja w razie wystąpienia sytuacji kryzysowej (przede wszystkim zamknięcie stron-podróbek) oraz wykorzystanie specjalistycznego oprogramowania pozwalającego wykrywać ataki. Phishing nie zna granic — bank może zostać zaatakowany z dowolnego miejsca na świecie, a ściganie winnych jest w tym przypadku szczególnie trudne.Rozpowszechnieniu się ataków sprzyja często niedostateczne bezpieczeństwo stosowanych sposobów uwierzytelnienia klienta. W sytuacji, gdy jedynym zabezpieczeniem dostępu jest ID klienta i hasło, przestępca ma przed sobą stosunkowo łatwe zadanie i... dużą pokusę. Znakomita większość polskich banków stosuje dodatkową linię zabezpieczeń w postaci m.in.:
- Listy haseł jednorazowych (np. mBank, Inteligo, Multibank),
- Tokena (np. Volkswagen Bank direct, BGŻ S.A., Lukas Bank S.A.),
- Podpisu cyfrowego (np. Bank BPH S.A., ING Bank Śląski S.A.),
- Dodatkowego hasła (Kredyt Bank S.A.),
- Jednorazowych haseł SMS (BZ WBK S.A.).
O wadach i zaletach poszczególnych rozwiązań napisano już wiele, pewne jest jednak, że każde dodatkowe zabezpieczenie jest czynnikiem zniechęcającym „phisherów”, chociaż niektóre z nich mogą również stać się celem skutecznego ataku jak dobitnie pokazał przykład banku BPH. Niewątpliwie najwyższy poziom bezpieczeństwa daje token zabezpieczony hasłem — jest to jednakże rozwiązanie stosunkowo mało wygodne i kosztowne. Pozostałe formy zabezpieczeń również spełniają swoje zadanie pod warunkiem, że zachowamy elementarne zasady „komputerowej higieny” oraz... zdrowy rozsądek.
Rozpowszechnienie się phishingu zmusiło do działania banki, które nie stosują dwustopniowego uwierzytelnienia użytkowników (two factor authentication). Interesującą, choć dość nietypową, drogę wybrał Bank of America. Użytkownicy przystępujący do będącego obecnie w fazie testów systemu SiteKey, wybierają z galerii obrazków jedną fotografię, wpisują jedno zdanie, a następnie wybierają trzy pytania. Ilekroć użytkownik bankowości internetowej loguje się ze swojego komputera (zarejestrowanego w systemie) na stronie logowania widzi wybrany przez siebie obrazek i zdanie. To pozwala mieć pewność, że strona banku jest autentyczna. Jeśli natomiast użytkownik loguje się z nieznanego bankowi komputera (np. w podróży), to musi poprawnie odpowiedzieć na jedno z pytań-zagadek. Dopiero po udzieleniu dobrej odpowiedzi można wpisać hasło dostępu do serwisu transakcyjnego, jak również dodać „zarejestrować” używaną w danej chwili maszynę w systemie, aby nie musieć przy następnej okazji odpowiadać na pytanie .
Nie daj się złowić, czyli przykazania Anti-phishing Working Group
Próbując utrudnić życie „phisherom”, Anti-Phishing Working Group przygotowała listę zaleceń, które powinien wziąć pod uwagę każdy kto aktywnie korzysta z usług finansowych w sieci. Większość z tych przykazań wydaje się być oczywista — zdrowy rozsądek podpowiada by z nieufnością traktować wszystko co trafia do naszej skrzynki e-mailowej, a w szczególności wiadomości, w których prosi się nas o podanie poufnych informacji. Wciąż jednak naiwnych nie brakuje, o czym świadczy rosnąca liczba sieciowych oszustw.- Z nieufnością traktuj każdą wiadomość, w której żąda się podania poufnych informacji dotyczących Twoich finansów
- Jeśli wiadomość nie została opatrzona elektronicznym podpisem nie możesz być pewien czy faktycznie pochodzi od nadawcy widniejącego w nagłówku
- „Phisherzy” z reguły straszą nas jakimiś konsekwencjami próbując wymóc na ofierze natychmiastową reakcję i domagają się osobistych informacji (jak np. haseł, numerów kart płatniczych itp.)
- Wiadomości-przynęty mają z reguły charakter bezosobowy, podczas gdy w większości przypadków informacje pochodzące z banków mają charakter spersonalizowany
- Nie używaj linków zamieszczonych w wiadomościach e-mailowych. Jeśli chcesz zalogować się np. w serwisie bankowości internetowej zrób to wpisując adres ręcznie w swojej przeglądarce
- Nie wpisuj żadnych poufnych informacji w formularzach przesyłanych e-mailem, korzystaj wyłącznie z bezpiecznych stron internetowych używających protokołu SSL
- Sprawdzaj adres i autentyczność strony, na której wpisujesz poufne informacje. Strony takie powinny korzystać z bezpiecznego połączenia (o czym świadczy symbol zamkniętej kłódki w przeglądarce i https:// w pasku adresu). Ponieważ podrobione strony www mogą również korzystać z szyfrowanej transmisji, sprawdzaj także autentyczność certyfikatu (patrz np. http://www.mbank.com.pl/przewodnik/ bezpieczenstwo/szyfrowanie.html#cer).
- Upewnij się, że korzystasz z najnowszej dostępnej wersji przeglądarki internetowej zawierającej wszelkie „łatki”.
Do powyższej listy można jeszcze dodać:
- Bądź szczególnie nieufny w stosunku do wiadomości e-mail w formacie HTML - w nich najłatwiej jest ukryć podrobiony odnośnik.
- Zainstaluj program antywirusowy oraz firewall i dbaj o regularne aktualizacje tego oprogramowania.
- Nie instaluj oprogramowania z nieznanych źródeł, a w szczególności unikaj sytuacji, gdy odwiedzana strona internetowa próbuje coś zainstalować na Twoim komputerze.
Być może warto byłoby dopisać jeszcze kilka „antyphishingowych” przykazań. Zapraszamy Czytelników do zgłaszania swoich propozycji!
Michał Kisiel
***Źródła:
1. http://www.antiphishing.org/phishing_archive/04-25-05_Citizens/04-25-05_Citizens.html
2. http://software.silicon.com/security/0,39024655,39118902,00.htm
3. http://www.finextra.com/topstory.asp?id=10185
4. Stankiewicz P., Podaj mi swoje hasło, „Rzeczpospolita” 5.2.2004
5. Samcik M., Na tropie fałszerzy internetowych stron bankowych, „Gazeta Wyborcza” 16.2.2004; Macierzyński M., Sieciowi oszuści znowu zaatakowali, http://wiadomosci.prnews.pl/index.php/ sieciowi_oszusci_znowu_zaatakowali,display,4382
6. Bank Of America Offers Authentication Plan To Battle Online Scams, „Bank Systems & Technology Online”, http://www.banktech.com/showArticle.jhtml?articleID=163701488
Źródło:
