Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Phishing - polowanie na łatwowiernych (cz. 1)

Printer Friendly and PDF

phishing.jpg Większość nowinek technicznych ułatwia funkcjonowanie w otaczającej nas rzeczywistości. Codzienne czynności stają się łatwiejsze, więcej spraw możemy załatwić w krótszym czasie, a coraz więcej z nich bez potrzeby wychodzenia z domu czy przerywania pracy przy komputerze. Prawdziwe oblężenie przeżywają internetowe portale aukcyjne. Ich rozwój w ostatnich latach powoduje, iż biją one kolejne rekordy w obrotach finansowych. Z kolei możliwość realizacji operacji bankowych dzięki elektronicznemu kanałowi dostępowemu sprawia, iż zamiast marnotrawić własny czas na dojazd do oddziału banku, a później nerwowo oczekiwać na swoją kolej do kasjerskiego okienka, wolimy usiąść wygodnie przed ekranem domowego czy służbowego komputera i w dogodnej dla siebie chwili zrealizować konieczny przelew. Niestety, jak w większości przypadków tak i tutaj mamy do czynienia nie tylko z samymi plusami, jakie niosą za sobą coraz większe możliwości sieci Internet. Aby korzystać z oferowanych przez sieć usług wygodnie i bez stresu, należy znać podstawowe niebezpieczeństwa, które czyhają na użytkownika na każdym kroku. Jednym z takich bardzo popularnych niebezpieczeństw jest phishing1.

Aby rozpocząć rozważania na temat problemu, jakim jest phishing, należy rozszyfrować znaczenie tego słowa. Geneza terminu nie jest jasna. Jedne źródła podają, iż wyraz „phishing” powstał w wyniku skrzyżowania słowa „fishing” („wędkowanie”) oraz frazy „personal data” („dane personalne”). Inne, że termin „phishing” powstał jako skrót wyrażenia „password harvesting fishing” („łowienie haseł”) lub że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali2.

Zjawisko phishingu polega na tworzeniu przez oszusta sfałszowanych wiadomości e-mail i witryn WWW, które wyglądają identycznie jak serwisy internetowe firm o znanej marce, w celu skłonienia klientów indywidualnych do podania numeru karty kredytowej, informacji o koncie bankowym, hasła dostępu do niego3. Dlatego phishing uważany jest za formę kradzieży tożsamości. Należy pamiętać, iż phishing jest prowadzony przede wszystkim przez Internet – z wykorzystaniem spamu (rozsyłanie do dużej liczby nieznanych adresatów niechcianych wiadomości e-mail) lub różnych odmian wirusów komputerowych, ale może być prowadzony również przez telefon bądź osobiście, za pomocą różnych taktyk socjotechnicznych. Oszust zajmujący się procederem phishingu wysyła zazwyczaj odpowiednio spreparowany spam do ogromnej liczby potencjalnych ofiar, kierując je na stronę w sieci, która przechwytuje wpisywane tam przez ofiary ataku informacje. Witryny w sieci Internet, do których użytkownicy są odsyłani, wyglądają bardzo oficjalnie, do złudzenia podobnie do autentycznych, i wielu internautów bierze je za prawdziwe. Niektórzy z nich – niczego nie podejrzewając – podają numery kart kredytowych, loginy, hasła, jednorazowe kody do potwierdzania realizacji zleceń przelewów z kont internetowych lub swoje dane osobowe4.

Przestępcy zajmujący się phishingiem stają się coraz bardziej wyrafinowani, dokładni i precyzyjni – takie też stają się fałszywe e-maile lub spreparowane strony WWW. Coraz częściej zawierają oficjalne symbole, logo rzeczywistej firmy lub organizacji oraz informacje identyfikacyjne wzięte bezpośrednio z autentycznych witryn. Gdy użytkownik znajdzie się na takiej spreparowanej stronie internetowej, może nieświadomie wysłać oszustowi swoje informacje osobiste. Oszuści następnie często wykorzystują takie dane do dokonania włamania na konto bankowe (a w konsekwencji realizacji przelewu środków zgromadzonych na takim rachunku na inne konta, najczęściej założone na tzw. „słupy”), zakupu towarów, ubiegania się o nową kartę kredytową5. Aby nakłonić do skierowania się na spreparowaną stronę, przestępcy posługują się wirusami komputerowymi typu trojan lub przesyłają do użytkowników wiadomości e-mail z odpowiednio sformułowaną treścią.

Oto przykładowa treść wiadomości e-mail związanej z phishingiem, która pojawiła się w skrzynkach użytkowników poczty elektronicznej w 2007 roku:

„Witamy w systemie Aktualizacji Systemu (...)
Zaktualizuj swój komputer
System Aktualizacji Systemu (...) zeskanował Twój komputer i znalazł krytyczne błędy w systemie. Prosimy o jak najszybszą aktualizację systemu. Zignorowanie tej wiadomości i brak aktualizacji może spowodować całkowitą i bezpowrotną utratę danych z komputera (w celu aktualizacji kliknij w przycisk niżej «Pobierz teraz i zainstaluj»).”

W przypadku kliknięcia odnośnika zawartego w tej wiadomości na komputer ofiary ataku zostawał „załadowany” automatycznie wirus typu trojan, który wykradał wpisywane przez użytkownika za pośrednictwem klawiatury poufne dane i przesyłał je na serwer opanowany przez przestępców. W tym przypadku mamy do czynienia z atakiem na użytkowników konkretnego systemu operacyjnego, ale podobna sytuacja występuje również, gdy atak dotyczy użytkowników posiadających uprawnienia do realizacji elektronicznych operacji na kontach bankowych, przy realizacji płatności w Internecie z wykorzystaniem kart płatniczych lub w przypadku posiadania uprawnień dostępu do innych usług internetowych. Aby jeszcze bardziej uwiarygodnić wiadomość e-mail, oszust może umieścić w niej łącze wyglądające na prowadzące do autentycznej witryny WWW, gdy w rzeczywistości prowadzi ono do sfałszowanej strony lub ewentualnie wyskakującego okna wyglądającego dokładnie tak, jak autentyczna witryna.
Treść spreparowanych wiadomości najczęściej jednak posiada cechy wskazujące na to, iż są one narzędziem stworzonym przez phishera. Gdy otrzymamy podejrzaną wiadomość e-mail, należy zwrócić uwagę, czy nie zawiera ona charakterystycznych dla phishingu sformułowań.

Poniżej przedstawiono kilka z wielu sformułowań, na które należy zwracać uwagę w przypadku, gdy zachodzi podejrzenie, że wiadomość e-mail jest związana z phishingiem:

  1. „Zweryfikuj swoje konto” – ogólnie przyjętą zasadą jest to, że firmy nie proszą o przesyłanie haseł, nazw użytkownika, numerów PESEL czy innych informacji osobistych pocztą e-mail. Ostrożnie należy podchodzić do wiadomości z prośbą o podanie informacji osobistych, nawet jeśli prośba taka wydaje się być uzasadniona.
  2. „W przypadku braku odpowiedzi w ciągu 48 godzin Pani/Pana konto zostanie zamknięte” – wiadomość e-mail związana z phishingiem może być uprzejma i stonowana, jednak najczęściej ma ponaglający wydźwięk, by użytkownik bez zastanowienia się odpowiedział na nią. Treść wiadomości może zawierać ostrzeżenie o zamknięciu lub zawieszeniu konta albo nawet stwierdzać, że odpowiedź jest niezbędna ze względów bezpieczeństwa.
  3. „Szanowny Kliencie” – wiadomości e-mail związane z phishingiem są zwykle rozsyłane masowo i nie zawierają imienia ani nazwiska. Większość legalnie działających firm (ale nie wszystkie) zwracają się do klientów, używając imienia i nazwiska.
  4. „Kliknij poniższe łącze, aby uzyskać dostęp do swego konta” – wiadomości mogą zawierać łącza lub formularze, które można wypełniać tak, jak formularze zawarte na stronach sieci Internet. Łącza, do kliknięcia których zachęcany jest użytkownik, mogą zawierać całą nazwę rzeczywistej firmy lub jej część i są zwykle zamaskowane. Oznacza to, że łącze nie prowadzi do adresu, który jest na nim wyświetlany, lecz w inne miejsce, zwykle do fałszywej witryny w sieci6.
01.gif
Rys. 1 Przykład zamaskowanego adresu URL (Źródło: http://www.microsoft.com/poland/athome/security/email/phishing.mspx )

 

Poniżej przykłady spreparowanych listów poczty elektronicznej, których duża liczba trafia na nasze konta pocztowe.

02.gif
Rys. 2. Adres wyświetlany w treści listu i adres rzeczywisty
 
02.gif
Rys. 3. Adres wyświetlany w treści listu i adres rzeczywisty

Inną metodą powszechnie wykorzystywaną przez oszustów jest używanie adresu internetowego, który na pierwszy rzut oka wygląda jak nazwa renomowanej firmy, lecz w rzeczywistości jest nieco zmieniony poprzez celowe przestawienie, opuszczenie lub dodanie liter. Na przykład adres www.zabezpieczenia.com.pl mógłby przyjąć postać:

W drugiej części artykułu zostaną omówione różne odmiany phishingu, takie jak spear phishing, whaling czy man-in-the-middle. Ponadto przedstawione zostaną działania, jakie należy podjąć w przypadku podejrzenia, iż otrzymana wiadomość e-mail wykorzystywana jest do procederu phishingu, a także sposoby zabezpieczenia się przed nim.

Krzysztof Białek

  1. Phishing (spoofing) – w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegółów karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej (źródło: Wikipedia – przyp. red.)
  2. http://pl.wikipedia.org/wiki/Phishing
  3. http://www.symantec.com/region/pl/plresc/phishing.html
  4. http://www.microsoft.com/poland/athome/security/email/phishing.mspx
  5. http://www.microsoft.com/poland/athome/security/email/phishing.mspx
  6. http://www.microsoft.com/poland/athome/security/email/phishing.mspx

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony