Phishing

Phishing
Polecane artykuły

Phishing (password harvesting fishing) jest zagrożeniem bezpieczeństwa informacyjnego i metodą oszustwa w zakresie bezpieczeństwa osobistego użytkowników sieci polegającą na wykorzystaniu narzędzi socjotechnicznych w celu pozyskania danych osobistych, haseł dostępowych oraz tajemnic użytkownika [Protasowicki I. 2016, s. 37, Zbrojewska M., Mosorov V. 2016, s. 64-68]. Nieodłącznie z terminem phisingu łączy się określenie phisher, oznaczające osobę trudniącą się tą formą oszustwa.

Termin ten powstał w połowie lat 90. XX w., kiedy crackerzy próbowali wykraść hasła do kont w serwisie America OnLine. Podszywali się oni pod pracowników tej firmy, wysyłając e-maile z prośbą o podanie hasła w celu rzekomego zweryfikowana konta. Po jego uzyskaniu, oszust uzyskiwał dostęp do konta i używał go w celach przestępczych, podszywając się pod ofiarę [Gąsiorowski J., Podsiedlik P. 2015, s. 146].

Metody przeprowadzania tego typu ataków były przez lata rozwijane, aby uwiarygodnić treści spreparowane w celu ataku nawet w oczach doświadczonych użytkowników. Obecnie polegają one najczęściej na podszyciu się w korespondencji elektronicznej pod znany, wiarygodny serwis internetowy, na przykład stronę banku lub innego przedsiębiorstwa, przygotowanie jego fałszywej wersji, oraz zwabieniu tam użytkowników, aby samodzielnie wpisali poufne dane pod pozorem logowania ze względów bezpieczeństwa. Adres serwisów jest tak przedstawiony, przy pomocy błędów w przeglądarkach lub prostych trików (np. adres strony, zawierający cyfrę 1 zamiast litery l), aby użytkownik uwierzył, iż jest to prawdziwa witryna instytucji, z którą chce się połączyć. Sprawcy phishingu wykorzystują powszechne zjawisko braku weryfikacji autentyczności strony, z którą użytkownicy nawiązują połączenie. [Red. Papińska-Kacperek J. 2008, s. 242]

Sposoby działania sprawców phishingu

Sklasyfikowano pięć sposobów działania sprawców phishingu [Nawrat J. 2008, s. 51, Gąsiorowski J., Podsiedlik P. 2015, s. 150-163]:

1. Phishing z wykorzystaniem wiadomości e-mail.

Najstarszy i najbardziej popularny wśród obszernej gamy mechanizmów tego oszustwa, polegający na wysyłaniu potencjalnej ofierze odpowiednio sfabrykowanej wiadomości e-mail, w której atakujący podszywa się np. pod bank i informuje o anulowaniu ostatniej transakcji lub o konieczności zaktualizowania danych osobowych na spreparowanej witrynie, do której link jest zawarty w treści. W taki sposób wyłudzane są identyfikatory, hasła, numery PIN, jednorazowe kody autoryzacyjne czy numery kart kredytowych. Standardowe elementy takich wiadomości to:

  • Format HTML zawartości wiadomości (np. szata graficzna z logo banku, wbudowane w treść odnośniki do stron fałszywych serwerów);
  • Zastosowanie metod obejścia systemów filtrów antyspamowych;
  • Komplikowanie adresów URL, do których wabiony jest klient;
  • Przekłamywanie adresów URL.

2. Phishing z wykorzystaniem stron internetowych i mechanizmów usług webowych.

Witryny wykorzystywane do przeprowadzania ataków mogą być publikowane na serwerach zarządzanych przez samego atakującego lub na przejętych serwerach, będących własnością innych organizacji. Typowymi metodami w tej kategorii są:

  • Implementacja, często w sposób zakamuflowany, odnośników do fałszywych serwisów na często odwiedzanych stronach internetowych;
  • Wykorzystanie graficznych odnośników do fałszywych stron, na przykład bannerów z charakterystycznymi elementami wizualnymi danej instytucji;
  • Użycie okienek typu pop-up w celu ukrycia prawdziwego adresu pochodzenia komunikatów od phishera;
  • Osadzenie na witrynach obiektów umożliwiających atakującemu przejęcie zdalnej kontroli nad sprzętem ofiary lub zainstalowanie na nim złośliwego oprogramowania (np. keylogger, backdoor, koń trojański);
  • Nadużycie relacji zaufania w celu imitowania autoryzowanej domeny (lub zaufanego serwera) uprawnionej do uruchamiania danych skryptów lub odwołań do określonych źródeł danych;
  • Przeszukiwanie i analiza historii odwiedzin stron poprzez cookies w celu spersonalizowania ataku.

3. Phishing z wykorzystaniem złośliwego oprogramowania.

Sprawcy posługują się w tym przypadku programami szpiegującymi oraz tzw. „trojanami”:

  • Infekowanie sprzętu użytkownika, wykorzystywanego później do dystrybucji określonych wiadomości lub do infekowania kolejnych urządzeń. Taki sprzęt staje się elementem bardzo licznego zbioru zainfekowanych urządzeń, nad którym sprawuje kontrolę atakujący.
  • Przeprowadzanie ataków, które infekują urządzenia w celu przechwycenia danych użytkowników.

4. Phishing z wykorzystaniem komunikatów internetowych.

Komunikaty internetowe typu instant Messenger i ich ciągły rozwór i oferowanie możliwości przesyłania przez nie treści typu odnośniki HTML, multimedia i inne obiekty binarne umożliwiają ich wykorzystanie do przeprowadzania ataków phishingowych w sposób analogiczny do tych z wykorzystaniem usług webowych.

5. Phishing za pośrednictwem ataków man-in-the-middle.

Tego typu ataki kierowane są na połączenia realizowane przez klientów do serwerów bankowości internetowej w celu naruszenia poufności danych udostępnianych przez użytkownika, w szczególności tych potwierdzających jego tożsamość lub będące autoryzacją jego transakcji. Oszustwo to polega na interaktywnej komunikacji phishera z klientem i wykorzystywaniu wyłudzonych danych w czasie rzeczywistym. Atak man-in-the-middle wykorzystuje dodatkowy serwer łączący klienta z serwerem docelowym, aby przejmować pakiety, modyfikować je praz wykorzystywać w dowolny sposób. Atak ten jest trudny do wykrycia, ponieważ atakujący może również wykradać informacje oraz przechwycić aktualną sesję oraz dowolnie ją modyfikować wg swoich potrzeb, na przykład podsuwając klientowi sfałszowany certyfikat uwierzytelniający podrobioną stronę. Z perspektywy phisherów zdecydowaną wadą tej metody w stosunku do poprzednich jest skupienie się podczas ataku na jednym użytkowniku, który w dodatku może mieć na koncie sumę, która niekoniecznie będzie rekompensowała jego wysiłek, podczas gdy w pozostałych obejmuje on masowo, a atakujący ma szansę na otrzymanie wielu numerów kart czy haseł.

Bibliografia

Autor: Patrycja Bogdańska