Phishing

Przykład wiadomości

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji[1] (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem[2] czy też nakłonienia ofiary do określonych działań[3]. Jest to rodzaj ataku opartego na inżynierii społecznej[4].

Historia

Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla „zweryfikowania konta” lub „potwierdzenia informacji w rachunku”. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.

Termin „phishing” bywa tłumaczony jako password harvesting fishing („łowienie haseł”). Istnieje teoria, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych jeszcze w latach 80. Funkcjonuje również przekonanie, jakoby Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali.

Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki oraz aukcje internetowe. Phisher zazwyczaj wysyła spam do znacznej liczby potencjalnych ofiar, kierując je na stronę w Internecie, która udaje bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności podania poufnych informacji w celu odzyskania dostępu. Stronę przechwytującą informacje cechuje łudzące podobieństwo do oryginału. W przeszłości oszuści wykorzystywali na swoją korzyść błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także adres fałszywej strony. Kolejny znany sposób tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.

Lata 2000–2009

  • 2001
    • Pierwsza znana bezpośrednia próba ataku na system płatności dotknęła system E-gold w czerwcu 2001 roku, co pociągnęło za sobą sprawdzenie numerów id („post-9/11 id check”) krótko po atakach na World Trade Center[5].
  • 2003
    • Pierwszy znany atak na bank detaliczny został odnotowany przez The Banker we wrześniu 2003 roku[6].
  • 2004
    • Szacuje się, że między majem 2004 a majem 2005 roku około 1,2 miliona użytkowników komputerów w Stanach Zjednoczonych straciło na skutek phishingu w sumie około 929 milionów dolarów. Przedsiębiorstwa w Stanach Zjednoczonych tracą szacunkowo 2 miliardy dolarów rocznie, gdy ich klienci stają się ofiarami phishingu[7].
  • 2005
    • W Wielkiej Brytanii straty spowodowane oszustwami związanymi z bankowością internetową – głównie z phishingiem – niemal podwoiły się z 12,2 mln GBP w 2004 roku do 23,2 mln GBP w 2005 roku[8], podczas gdy 1 na 20 ankietowanych użytkowników komputerów zadeklarował, że padł ofiarą phishingu w roku 2005[9].
  • 2006
    • Prawie połowa kradzieży przeprowadzonych przy pomocy phishingu w 2006 roku została popełniona przez grupy działające w ramach Russian Business Network z siedzibą w St. Petersburgu[10].
    • Banki spierały się z klientami z powodu strat spowodowanych phishingiem. Stanowisko przyjęte przez brytyjski organ bankowy APACS informuje o konieczności zachowania ostrożności przez klientów, aby nie stać się narażonymi na atak przestępcy[11]. Gdy pierwsza fala ataków phishingowych uderzyła w sektor bankowy Republiki Irlandii we wrześniu 2006 roku, Bank Irlandii na początku odmawiał pokrycia szkód poniesionych przez klientów[12], jednakże straty w wysokości 113 000 euro ostatecznie pokryto[13].
    • Phisherzy skupili się na klientach banków oraz serwisach płatności online. Maile rzekomo pochodzące z Internal Revenue Service były używane do zbierania wrażliwych danych amerykańskich podatników. Pierwsze takie ataki przeprowadzano bez pewności, że wiadomości trafią do klientów banków lub serwisów, pod które podszywali się oszuści. Badania pokazały, iż phisherzy w późniejszym okresie zdołali pozyskiwać informacje o tym, jakich banków używają potencjalne ofiary i wysyłać odpowiednio sprofilowane e-maile[14].
    • Serwisy społecznościowe stały się celem ataków phishingowych ze względu na fakt, że dane personalne na tych stronach mogą zostać użyte do kradzieży tożsamości[15]; pod koniec 2006 roku robak przejął strony MySpace i wysyłał bezpośrednie linki do stron zaprojektowanych aby kraść dane logowania. Eksperymenty pokazały, że ponad 70% ataków phishingowych na serwisy społecznościowe kończy się sukcesem[16].
  • 2007
    • 3,6 miliona dorosłych straciło 3,2 miliarda dolarów w ciągu dwunastu miesięcy do sierpnia 2007 roku[17]. Microsoft przyznaje, że te szacowania są mocno przesadzone i uważa, że ogólne straty spowodowane phishingiem w USA wyniosły 60 milionów dolarów[18].
    • Przestępcy, którzy złamali zabezpieczenia bazy danych TD Ameritrade i wykradli 6,3 miliona adresów mailowych, chcieli także uzyskać nazwy użytkowników i hasła, więc rozpoczęli atak spear phishingowy[19].
  • 2008
    • Na witrynę RapidShare przeprowadzono atak phishingowy, którego celem było zdobycie konta premium. Korzyściami płynącymi z posiadania uprawnień użytkownika premium były: brak ograniczenia prędkości pobierania oraz konieczności oczekiwania na pobieranie i limitów czasowych między pozyskiwaniem kolejnych plików, a także automatyczne usuwanie udostępnionych plików[20].
  • 2009
    • W styczniu 2009 r. ataki typu phishing doprowadziły do nieautoryzowanych przelewów pieniężnych o łącznej wysokości 1,9 mln USD za pośrednictwem kont bankowych online Experi-Metals.
    • W trzecim kwartale 2009 roku Anti-Phishing Working Group zgłosiło otrzymanie 115 570 e-maili od klientów z USA i Chin zawierających w ponad 25% strony phishingowe[21].

Obrona przed phishingiem

Zdecydowana większość wiadomości phishingowych jest dostarczana za pośrednictwem poczty elektronicznej lub portali społecznościowych[22].

  • Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty). Próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
  • Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
  • Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.
  • Nie należy przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zgłosić osobom odpowiedzialnym za bezpieczeństwo.
  • Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to pracownikom banku i nie podawać na niej żadnych danych.
  • Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 9 i 10 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo z oprogramowania firm trzecich chroniącego przed phishingiem.
  • Używanie OpenDNS.

Skuteczną obroną przed phishingiem są regularne szkolenia pracowników. Polega to na przeprowadzaniu legalnych kampanii w celu zbadania ile ataków się powiedzie[23]. Przykładowy scenariusz:

  • Uzupełnij dokumenty z firmą i ludźmi, którzy zostaną poddani testom. Działaj legalnie.
  • Przygotuj adresy e-mail (możesz kupić domeny), szablony wiadomości oraz program lub skrypt, który wysyła maile. Wiadomości e-mail mogą być też wysyłane ręcznie.
  • Utwórz kampanie i linki w panelu internetowym aplikacji Collector.
  • Umieść linki w wiadomościach i wyślij wiadomości do celów ataku.
  • Monitoruj które linki zostały kliknięte. Zbierane są też adresy IP i znaczniki czasu.
  • Wydrukuj eleganckie raporty dla swojego szefa/klienta.
  • Edukuj pracowników i powtarzaj testy regularnie.

Typy phishingu

Spear phishing

Phishing spersonalizowany pod konkretną osobę lub firmę nazywany jest spear phisingiem. Oszuści najpierw zbierają informacje na temat ofiary, co znacznie zwiększa ich szanse na powodzenie ataku. Jest to najbardziej efektywna technika phishingu, która w ok. 91% przypadków kończy się osiągnięciem celu przez przestępcę.

Threat Group-4127 użyła taktyki spear phishingu do ataku na konto email Hilary Clinton podczas kampanii prezydenckiej w 2016 roku. Zaatakowali oni wtedy ponad 1800 kont Google i zaimplementowali domenę accounts-google.com, aby zagrażała wybranym użytkownikom[24][25].

Clone phishing

Clone phishing jest typem phishingu, w którym prawdziwy e-mail posiadający załącznik lub link zostaje użyty przez przestępcę jako wzór przy tworzeniu wiadomości na potrzeby oszustwa. Załączniki lub linki zostają zastąpione złośliwymi wersjami, a następnie wysłane z adresu email sfałszowanego tak, aby wyglądał jak ten należący do oryginalnego nadawcy.

Ta technika może zostać użyta pośrednio, przy pomocy wcześniej zainfekowanej maszyny do stworzenia następnej wykorzystując zaufanie społeczne do wnioskowanego adresu email, ponieważ obie strony otrzymują oryginalny email[26].

Whaling

Część ataków phishingowych została skierowana w szczególności do kierownictwa wyższego szczebla i innych ważnych celów z branży biznesowej. Z tego powodu ataki te nazwano whaling (z języka angielskiego „wielorybnictwo”). W przypadku ataków tego typu, sfałszowana witryna lub wiadomość jest tworzona z uwzględnieniem np. stanowiska ofiary w firmie. Treść e-maili często przypomina pisma pochodzące z kancelarii prawnych lub urzędów państwowych. Taka wiadomość może zawierać załącznik w postaci złośliwego oprogramowania i nakłaniać ofiarę do jego instalacji np. w celu uzyskania dostępu do ważnego dokumentu[27].

Link manipulation

Większość metod phishingu opiera się na wysyłaniu w e-mailach linków do stron podszywających się pod prawdziwe witryny należące do danej organizacji. Tworzenie realistycznie wyglądających stron na potrzeby oszustwa może odbywać się poprzez nieznacznie zmodyfikowany zapis adresu URL lub subdomeny. Phisher może umieszczać w wiadomości prawdziwy odnośnik zmodyfikowany tak, by przekierowywał ofiarę na fałszywą stronę. W większości przypadków po najechaniu kursorem myszy na odnośnik widoczny jest adres strony, do której rzeczywiście prowadzi link, jednak m.in. aplikacje mobilne nie przewidują takiej możliwości. Wykorzystuje się także tzw. spoofing IDN, co pozwala na wykorzystanie wizualnie identycznego adresu WWW do przekierowania użytkownika na złośliwą stronę. Cyfrowe certyfikaty również nie rozwiązują tego problemu, ponieważ możliwy jest zakup fałszywego zaświadczenia przez oszusta[28][29].

Zobacz też

  • pharming
  • SMS phishing
  • fałszywa pomoc techniczna

Przypisy

  1. Podvody, zpronevěry, machinace: možnosti prevence, odhalování a ochrany před podvodným jednáním, Armex, 2005, s. 236, ISBN 978-80-86795-12-6 (cz.).
  2. Phishing, SK-CERT, 10 stycznia 2018 [dostęp 2019-10-23] (słow.).
  3. Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektroniczną. Komisja Nadzoru Finansowego. s. 7. [dostęp 2014-12-06].
  4. Phishing, ESET [dostęp 2019-10-23], Cytat: „Phishing je forma útoku s využitím metód tzv. sociálneho inžinierstva, pri ktorom sa zločinec vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie.” (słow.).
  5. Financial Cryptography: GP4.3 – Growth and Fraud – Case #3 – Phishing, financialcryptography.com [dostęp 2018-06-06].
  6. Kris Sangani, The Battle Against Identity Thef, 2003.
  7. How Can We Stop Phishing and Pharming Scams? – CSO Talk Back, 24 marca 2008 [dostęp 2018-06-06] [zarchiwizowane z adresu 2008-03-24].
  8. UK phishing fraud losses double, Finextra Research, 7 marca 2006 [dostęp 2018-06-06] (ang.).
  9. Brits fall prey to phishing [dostęp 2018-06-06] (ang.).
  10. Brian Krebs, Shadowy Russian Firm Seen as Conduit for Cybercrime – washingtonpost.com, ISSN 0190-8286 [dostęp 2018-06-06] (ang.).
  11. Bank, Customers Spar Over Phishing Losses | Netcraft, news.netcraft.com [dostęp 2018-06-06] (ang.).
  12. Latest News, 7 października 2008 [dostęp 2018-06-06] [zarchiwizowane z adresu 2008-10-07].
  13. Bank of Ireland agrees to phishing refunds – vnunet.com, 28 października 2008 [dostęp 2018-06-06] [zarchiwizowane z adresu 2008-10-28].
  14. Browser Recon | Phishing for Clues, www.browser-recon.info [dostęp 2018-06-06] (ang.).
  15. PCWorld.com – Phishing Scam Takes Aim at MySpace.com, 16 czerwca 2006 [dostęp 2018-06-06] [zarchiwizowane z adresu 2006-06-16].
  16. Tom Jagatic, Markus Jakobsson, Social Phishing, 2007.
  17. Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks [dostęp 2018-06-06] (ang.).
  18. Cormac Herley, Dinei Florencio, Phishing as a Tragedy of the Commons, 1 kwietnia 2008 (ang.).
  19. WebCite query result, www.webcitation.org [dostęp 2018-06-06] (ang.).
  20. RapidShare PHISHING, 30 kwietnia 2008 [dostęp 2018-06-06] [zarchiwizowane z adresu 2008-04-30].
  21. APWG, Phishing Activity Trends Report, 2013 [dostęp 2018-06-06] [zarchiwizowane z adresu 2012-10-03].
  22. Socjotechnika w służbie kradzieży danych PRNnews.pl (Dostęp: 2012-09-04).
  23. Symulacje phishing z darmową aplikacją Collector. [dostęp 2022-05-26].
  24. Debbie Stephenson, Spear Phishing: Who’s Getting Caught? – The DealRoom, „The DealRoom”, 30 maja 2013 [dostęp 2018-01-07] (ang.).
  25. Threat Group-4127 Targets Google Accounts, www.secureworks.com [dostęp 2018-01-07] (ang.).
  26. Fake subpoenas harpoon 2,100 corporate fat cats [dostęp 2018-01-07] (ang.).
  27. Here’s How to Watch for Whaling and Spear Phishing Internet Attacks, „Lifewire” [dostęp 2018-01-07] (ang.).
  28. Screw Phishers and learn how to identify phishing links!, www.bustspammers.com [dostęp 2018-01-07].
  29. Catalin Cimpanu, Hidden JavaScript Redirect Makes Phishing Pages Harder to Detect, „softpedia” [dostęp 2018-01-07] (ang.).

Linki zewnętrzne

Media użyte na tej stronie

Phishing-przyklad.png
(c) BeŻet z polskiej Wikipedii, CC-BY-SA-3.0
Grafika tłumacząca zasadę phishingu. Bank nie istnieje naprawdę, a proste logo nie jest objęte prawami autorskimi. Nazwa banku jest przypadkowa, nawiązująca wyłącznie do systemu wiki.