Фішингові програми дозволяють використати механізм. Фішинг у корпоративному середовищі

Фішинг – загроза дуже поширена. Листом із посиланням на шкідливий сайт або шкідливе вкладення нікого не здивуєш, а розвиток шифрувальників лише додав олії у вогонь.

Технічні заходи захисту від фішингу, такі як фільтрація та аналіз поштового/веб трафіку, обмеження програмного середовища, заборона запуску вкладень - дуже ефективні, але вони не можуть протистояти новим загрозам і, що більш важливо, не можуть протистояти людській дурості допитливості та лінощів. Траплялися випадки, коли користувач, будучи не в змозі відкрити/запустити шкідливий вміст на робочому місці, пересилав його на свій домашній комп'ютер і запускав, з усіма витікаючими...

Тому, яку б ґрунтовну технічну систему захисту ми не будували, про головну ланку у всьому ланцюгу - користувача, та її навчання забувати не варто.

Періодичні інструктажі та інформаційні розсилки є важливою складовою навчання персоналу, але, як показує практика, їхня ефективність значно нижча, ніж навчання співробітників на власних помилках.

Що робитиме система:

1. Розсилати фішингові листи користувачам;
2. При натисканні на посилання в тілі листа повідомляти користувача про його помилку - надсилати на веб-сайт з навчальною сторінкою;
3. Вести статистику щодо неуважних користувачів.

Розсилка листів

Ім'я користувача привітання береться з імені його поштової скриньки. Лист цілеспрямовано зроблено таким чином, щоб у користувача була можливість вважати його підозрілим. Після декількох тренувань складність листів можна підвищувати.

Посилання, що веде на фішинговий сайт, виду http://phishingsite-327.com/p/ [email protected] змінюється залежно від імені користувача. Таким чином, ми надаємо на сайт інформацію про користувача і можемо вести звітність.

Створення навчальної сторінки

Наше завдання полягає не в тому, щоб звинуватити користувача в порушенні, а в тому, щоб пояснити йому в чому полягає загроза фішингових атак, показати де він припустився помилок і дати просте керівництво до дії на майбутнє. Тому інформаційна сторінка містить докладний аналіз його дій:

Навчальна сторінка розміщується на Web-сервері організації, включає PHP код для ведення статистики.

На локальних DNS серверах організації налаштовуємо CNAME запис для нашого web сервера таким чином, щоб посилання було більше схоже на шкідливе, наприклад: http://phishingsite-327.com/

У випадку, якщо ми хочемо контролювати факт відкриття шкідливого посилання з не робочих місць (наприклад, коли співробітник пересилає листа на свою особисту пошту), то доведеться використовувати реальну адресу в мережі Інтернет. Або моніторити факт пересилання листа на зовнішню адресу через засоби захисту та адміністрування.

Після часу аналізуємо звіт зі списком користувачів, що пройшли за фішинговим посиланням. У нашому випадку PHP скрипт зберігає в csv-файл інформацію про час, адресу електронної пошти та ip-адресу вузла, з якого було здійснено захід на сайт.

Звіт допомагає оцінити рівень підготовки персоналу, виявити слабкі ланки. А при проведенні періодичних перевірок (щомісяця/кварталу) можна:

1. Побудувати криву підготовленості персоналу до фішингових атак, використовувати її як один із кількісних показників захищеності інфраструктури;
2. Виявити користувачів, які регулярно роблять одні й ті самі помилки, з метою застосування до них інших заходів підвищення освіченості.

Досвід застосування

• Підготовка ІТ персоналу
  Перед розсилкою слід попередити ІТ персонал і пояснити, як слід реагувати на звернення користувачів про дивний лист. Але перед цим слід провести тестування на них. У разі неуважності ІТ персоналу не варто обмежуватися рекомендаціями, тому що в майбутньому подібна недбалість може бути вкрай плачевною для інфраструктури.
• Підготовка керівництва
  Керівництво організації про тестування, що планується, слід попередити. Або навіть оформити проведення тестування внутрішнім актом. Користувач, залежно від його посади та особистих якостей при усвідомленні того, що він порушив вимоги ІБ, що він "був введений в оману", може реагувати дуже непередбачено. Аргументи на користь служби ІБ у вигляді документів та підтримки керівництва зайвими не будуть.
• Вибір мети
  При масовій розсилці по всіх співробітниках сарафанне радіо значно зіпсує об'єктивність кінцевої оцінки. Краще проводити тестування частинами, не забуваючи змінювати текст листа.

Олексій Комаров

Виниклі з появою фішингу загрози вимагали застосування адекватних заходів захисту. У рамках цієї статті будуть розглянуті як широко поширені способи протидії фішингу, так і нові ефективні методи. Поділ це дуже умовно: до традиційних віднесемо добре відомі (у тому числі й самим зловмисникам) способи протидії фішингу та проаналізуємо їх ефективність у першій частині цієї статті. Згідно зі звітом APWG, за першу половину 2008 р. було виявлено 47 324 фішингові сайти. У цьому ж звіті наведено і середні втрати користувачів та компаній внаслідок роботи фішерського сайту – вони становлять щонайменше $300 за годину. Нескладні множення дозволяють зробити висновок про високу прибутковість цього виду чорного бізнесу.

Сучасний фішинг

Слово "фішинг" (phishing) утворене від англійських слів password - пароль і еshing - риболовля, вивужування. Мета цього виду Інтернет-шахрайства - обманний відведення користувача на підроблений сайт, щоб надалі вкрасти його особисту інформацію або, наприклад, заразити комп'ютер користувача, перенаправленого на підроблений сайт, трояном. Заражений комп'ютер може активно використовуватися в ботнет-мережах для розсилки спаму, організації DDOS-атак, а також для збору даних про користувача та надсилання їх зловмиснику. Спектр застосування "вивченої" у користувача інформації досить широкий.

Механізми фішингу

Головний вектор атаки фішингу спрямований на найслабку ланку будь-якої сучасної системи безпеки – на людину. Не завжди клієнт банку точно знає, яка адреса є правильною: mybank.account. com або account.mybank. com? Зловмисники можуть використовувати і той факт, що в деяких шрифтах рядкова i і велика L виглядають однаково (I = l). Такі способи дозволяють обдурити людину за допомогою схожого на справжнє посилання в електронному листі, при цьому навіть наведення курсору миші на таке посилання (з метою побачити справжню адресу) не допомагає. В арсеналі зловмисників є й інші засоби: від банальної заміни в локальній базі IP-адрес реальної адреси на підроблений (в ОС Windows XP, наприклад, для цього достатньо відредагувати файл hosts) до фармінгу. Ще один вид шахрайства - заміна Web-сторінки локально, "на льоту". Спеціальний троян, який заразив комп'ютер користувача, може додавати до сайту, що відображається браузером, додаткові поля, відсутні на оригінальній сторінці. Наприклад, номер кредитної картки. Звичайно, для успішного проведення такої атаки треба знати банк чи платіжну систему, якими користується жертва. Саме тому тематичні бази електронних адрес користуються великою популярністю та є на чорному ринку ліквідним товаром. Небажаючі нести додаткові витрати фішери просто спрямовують свої атаки на найбільш популярні сервіси – аукціони, платіжні системи, великі банки – сподіваючись, що випадковий одержувач спам-листа має там обліковий запис. На жаль, надії зловмисників найчастіше виправдовуються.

Традиційні методи протидії фішинговим атакам

Унікальний дизайн сайту Суть цього методу така: клієнт, наприклад, банку під час укладання договору вибирає одне із запропонованих зображень. Надалі при вході на сайт банку йому показуватиметься саме це зображення. Якщо користувач його не бачить або бачить інше, він повинен залишити підроблений сайт і негайно повідомити про це службу безпеки. Передбачається, що зловмисники, які не були присутні під час підписання договору, апріорі не зможуть вгадати правильне зображення та обдурити клієнта. Проте практично цей спосіб не витримує критики. По-перше, для того, щоб показати користувачеві його картинку, його спочатку треба ідентифікувати, наприклад, за логіном, який він запровадив на першій сторінці сайту банку. Зловмиснику не важко підготувати підроблений сайт, щоб дізнатися цю інформацію, а для самого користувача - емулювати помилку зв'язку. Тепер достатньо звернутися на реальний сервер, ввести вкрадений логін та підглянути правильне зображення.

Інший варіант – видати клієнту фальшиве попередження про закінчення терміну дії його зображення та запропонувати вибрати нове...

Одноразові паролі

Класичні паролі є багаторазовими: користувач вводить той самий пароль щоразу при проходженні процедури аутентифікації, не змінюючи його часом роками. Перехоплений зловмисником цей пароль може неодноразово використовуватися без відома господаря.

На відміну від класичного, одноразовий пароль використовується лише один раз, тобто, при кожному запиті на надання доступу користувач вводить новий пароль. Для цього використовуються, зокрема, спеціальні пластикові картки із нанесеним захисним шаром. Клієнт банку щоразу стирає чергову смужку та вводить потрібний одноразовий пароль. Усього на картку стандартного розміру міститься близько 100 паролів, що з інтенсивному використанні послуг телебанкінгу вимагає регулярної заміни носія. Більш зручними, але, щоправда, і дорогими є спеціальні пристрої – генератори одноразових паролів. В основному розрізняють два типи генерації: за часом, коли поточний одноразовий пароль відображається на екрані та періодично змінюється (наприклад, раз на дві хвилини); події, коли нове значення генерується щоразу при натисканні користувачем на кнопку пристрою.

Будучи безпечнішим, ніж класична парольна автентифікація, такий метод, проте, залишає зловмиснику певні шанси на успіх. Наприклад, автентифікація з використанням одноразових паролів не захищена від атаки "людина посередині". Суть її полягає у "вклиниванні" в інформаційний обмін між користувачем та сервером, коли зловмисник "представляється" користувачеві сервером, і навпаки. Серверу передається вся інформація від користувача, у тому числі і введений одноразовий пароль, але вже від імені зловмисника. Сервер, отримавши правильний пароль, дозволяє доступ до закритої інформації. Не викликаючи підозр, зловмисник може дозволити користувачеві попрацювати, наприклад, зі своїм рахунком, пересилаючи йому всю інформацію від сервера та назад, але при завершенні користувачем свого сеансу роботи не розривати зв'язок із сервером, а зробити потрібні транзакції від імені користувача.

Щоб не втрачати час в очікуванні завершення сеансу користувача, зловмисник може просто імітувати помилку зв'язку і не дозволяти легальному користувачеві працювати зі своїм рахунком. Залежно від використовуваного методу генерації, перехоплений одноразовий пароль діятиме або протягом короткого часу, або тільки для першого сеансу зв'язку, але в будь-якому випадку це дає зловмиснику можливість успішно провести крадіжку даних або грошей користувача.

На практиці аутентифікація за допомогою одноразових паролів використовується рідко, для підвищення безпеки застосовується встановлення захищеного з'єднання ще до аутентифікації, наприклад, з використанням протоколу SSL.

Одностороння автентифікація

Використання протоколу безпечних з'єднань SSL (Secure Sockets Layer) забезпечує захищений обмін даними між Web-сервером та користувачами. Попри те що, що протокол дозволяє аутентифікувати як сервер, а й користувача, практично найчастіше застосовується лише одностороння аутентифікація. Для встановлення з'єднання SSL необхідно, щоб сервер мав цифровий сертифікат, який використовується для аутентифікації. Сертифікат зазвичай видається і засвідчується третьою довіреною стороною, у ролі якої виступають центри (УЦ) або центри сертифікації (у західній термінології). Роль УЦ полягає в тому, щоб підтверджувати справжність Web-сайтів різних компаній, дозволяючи користувачам, "повіривши" одному єдиному центру, що посвідчує, автоматично мати можливість перевіряти справжність тих сайтів, власники яких зверталися до цього ж УЦ.

Список довірених центрів, що засвідчують, зазвичай зберігається в реєстрі операційної системи або в налаштуваннях браузера. Саме ці списки піддаються атакам з боку зловмисника. Справді, видавши фішинговому сайту сертифікат від підробленого центру, що засвідчує, і додавши цей УЦ у довірені, можна, не викликаючи жодних підозр у користувача, успішно здійснити атаку.

Звичайно, такий спосіб вимагатиме від фішера більше дій і відповідно витрат, але користувачі, на жаль, найчастіше самі допомагають у крадіжці своїх даних, не бажаючи розбиратися в тонкощах та особливостях використання цифрових сертифікатів. В силу звички або некомпетентності нерідко ми натискаємо кнопку "Так", не особливо враховуючи повідомлення браузера про відсутність довіри до організації, що видала сертифікат.

До речі, дуже схожий спосіб використовують деякі засоби контролю SSL-трафіку. Справа в тому, що останнім часом почастішали випадки, коли сайти, заражені троянськими програмами, і самі трояни використовують протокол SSL для того, щоб уникнути шлюзових систем фільтрації трафіку - адже шифровану інформацію ні антивірусне ядро, ні система захисту від витоку даних перевірити не в стані. Вклинювання в обмін між Web-сервером і комп'ютером користувача дозволяє таким рішенням замінити сертифікат Web-сервера на виданий, наприклад, корпоративним УЦ і без видимих ​​змін у роботі користувача сканувати трафік користувача при використанні протоколу SSL.

URL-фільтрація

У корпоративному середовищі фільтрація сайтів застосовується для обмеження нецільового використання мережі Інтернет співробітниками та як захист від фішерських атак. У багатьох антивірусних засобах захисту цей спосіб боротьби з підробленими сайтами взагалі є єдиним.

Фішинг, або шахрайство з метою крадіжки даних за допомогою копіювання зовнішніх образів популярних ресурсів, щойно приходить у мобільний світ. У цій статті ми розберемо анатомію подібних атак і дізнаємося, як саме хакери успішно роблять замах на гроші користувачів андроїдофонів.

Статистика фішингу на мобільних платформах.

Смартфони та планшети так швидко увірвалися в наше життя, що поведінка героїв із фільмів п'ятирічної давності вже видається анахронізмом. Природно, що разом із корисними та не дуже звичками користувач придбав і нових інтернет-ворогів.

За статистикою, на 85% всіх мобільних пристроїв встановлена ​​одна з версій Android, і не дивно, що більшість атак та зловредів націлені саме на нашу улюблену операційну систему. Звичайно, ситуація ще не така погана, як з Windows років десять тому, але тенденція лякає.

У січні минулого року ми розбирали, наскільки легко створити криптолокер під Android - програму, що шифрує дані користувача. І трохи пізніше, у квітні 2016 року, «Лабораторія Касперського» підтвердила наші побоювання: компанія заявила про появу трояна-локера Fusob, котрий атакував смартфони користувачів більш ніж зі ста країн.

Різноманітність фішингу

Мімікування шкідливих програм під щось корисне – досить старий тренд. Років десять-п'ятнадцять тому був бум популярності сайтів, які дуже схожі на офіційні портали банків або платіжних систем. Такі фішингові ресурси намагалися витягнути користувальницькі акаунти, а ще краще – дані кредитних карток.

Але та хвиля розкрадань оминула країни СНД стороною. Просто брати в нас не було чого: Павло Дуров ще нічого не написав, а пластикові картки популярністю не користувалися. Зараз для шахраїв ситуація стала по-справжньому «смачною»: інтернет-покупки, мобільний банкінг, всілякі соціальні мережі - дуже багато тепер доступно через мобільний телефон, підключений до інтернету.

Поки що не було історій про епідемії фішингу, але неприємні дзвіночки вже є. Серфінг інтернету з мобільних пристроїв став набагато менш безпечним: спочатку веб-майстри адаптували рекламу під мобільний контент, а потім підтягнулися нечисті на руку люди. Нещодавно, на початку грудня 2016 року, на одному популярному спортивному ресурсі вискакувало віконце з пропозицією «оновити застарілий WhatsApp» - природно, розробники месенджера жодного відношення до такої реклами не мають.

Такі повідомлення генеруються на стороні сервера і виглядають досить незграбно. Але, потрапивши всередину пристрою, зловмисник може зробити більш елегантну та ефективну атаку. Давай розберемося, наскільки складно в Android підмінити робочий додаток на його шкідливий аналог.

У світі досі немає нічого універсальнішого, ніж гроші, тому варто спробувати отримати доступ до гаманця користувача. Як списують гроші за допомогою надсилання СМС на короткі номери, ми вже говорили, сьогодні дістанемося банківської картки.

Майже Google Market

Для фішингу не потрібно точнісінько реалізовувати функціональність Google Market - простіше написати програму, що розширює його можливості без зміни вихідного коду. Цікаво дізнатися, як хакери провертають подібне? Тоді поїхали!

Вибір

Буде неправильним намагатися підробити програму, якою власник пристрою зовсім не користується. Як і при звичайному вторгненні, шахраю потрібно спочатку оцінити, в яке середовище він потрапив. Різноманітність вендорів, що випускають мобільні пристрої, призвело до більших змін і в самій ОС. І хоча, за словами маркетологів, всі вони працюють на єдиній платформі Android, набір запущених програм може бути зовсім різним. В Android є вбудований API для отримання списку запущених процесів – це системний сервіс ACTIVITY_SERVICE.

Google з метою безпеки з кожним роком все більше обмежує можливості програм взаємодіяти між собою. У документації це явно не вказано, але для Android версії 4.0 і новий такий виклик поверне список тільки з однієї програми - твого власного. Не все втрачено – в основі Android лежить ядро ​​Linux, а значить, у нас є консоль. До неї можна дістатися руками за допомогою утиліти adb, що входить до Android Studio.

Результат роботи очікувано схожий на висновок, який дає однойменна лінуксова команда - таблиця з безліччю значень, розділених табуляцією.

Власне, у цьому висновку міститься достатня для фішингу інформація: ім'я процесу, його ідентифікатор, пріоритет виконання тощо. Запустити утиліту можна не тільки руками, але й з програми – для доступу до шелла у стандартному API є клас Shell.

Лінуксоїдам часто доводиться писати однорядкові скрипти, тому розпарсувати такий висновок для них не проблема. Але ООП-розробники ніжніші і напевно не захочуть таким займатися.

На Гітхабі вже є проект, у якому реалізовано необхідну функціональність. Створив його Джаред Раммлер (Jared Rummler), за що скажемо йому спасибі. Обробка результату виконання toolbox створена як бібліотеки, яку можна підключити прямо через Gradle.

Вся інформація про запущені процеси обернута в об'єкт класу AndroidAppProcess. Якщо подивитися вихідники бібліотеки, то нічого зайвого там немає - лише партсинг консольного виведення. Інформацію про конкретну програму доведеться витягувати прямим перебором.

Зверніть увагу: починаючи з Android 7.0, Google ввела обмеження на доступ до інформації про процеси інших додатків. Тепер її не можна отримати навіть за допомогою команди ps та прямого читання файлової системи /proc. Втім, на Android 7+ більшість користувачів перейде дуже не скоро - якщо взагалі перейде.

Активні програми

Успішні фішингові операції, як правило, добре підготовлені - шахраї вміють підібрати момент так, що у користувача не виникає навіть найменших підозр у підробці. Тому телефон не повинен просто так попросити ввести дані банківської картки - це буде дуже підозріло. Фішингові повідомлення з'являються під якимось приводом, наприклад платні псевдооновлення для 1C або фіктивні банківські ресурси на адресах, схожих на написання з легальними.

Багатозадачність Android тут може зіграти на руку - в ОС можуть працювати одночасно з десяток програм, змінюючи один одного. Недосвідчений користувач може навіть не зрозуміти (та й взагалі не замислюватися), в якому саме додатку він зараз працює. Висновок ps дає інформацію, які саме програми зараз активно взаємодіють з користувачем - тобто йому видно.

Цей параметр знаходиться в 11 колонці - тут може бути значення bg (background, прихований) або fg (foreground, видно). ОС самостійно відстежує такі стану додатків, тому завдання розробника - лише іноді викликати ps.
На основі бібліотеки виходить простенький метод, що визначає стан програми, що шукається.

Ми маємо можливість відразу вибрати тільки видимі процеси за допомогою однойменного методу. Але він не завжди спрацьовує коректно і видає навіть додатки, які зараз користувачеві невидимі. У цій ситуації потрібно перевіряти значення методу foreground, яке буде true, якщо будь-яка Activity видно користувачеві.

Тепер є можливість знайти зручний момент для атаки - виклик цього методу покаже, чи зараз користувач працює в певному додатку. Як тільки метод поверне true, можна запустити будь-яку Activity, яка буде показана користувачеві. В цьому і полягає суть атаки - продемонструвати користувачеві вікно фішингу під виглядом повідомлення від довіреної програми.

Загалом фішингова атака вже побудована. Для її експлуатації потрібно налаштувати періодичне відстеження програми-жертви, а також намалювати вікна GUI для введення даних банківської картки.

Сервіси

Відстежувати стан програми нескладно, потрібно лише з певною періодичністю перезапускати метод isProccessForeground - це можна реалізувати в компоненті Activity або Service. Але довго тримати запущеним один і той самий екземпляр Activity не вийде, рано чи пізно він буде вивантажений системою. До того ж, це дуже помітно для користувача.

В Android, як і в «великих» операційних системах, є сервіси – компоненти, що дозволяють незримо для користувача виконувати якусь рутинну роботу. Зазвичай це завантаження даних або отримання оновлень, але фішингу теж піде.

Сервіси можуть бути різними: так званий foreground service працюватиме в системі завжди і зупиниться лише разом із вимкненням телефону. Ми вже детально розбирали роботу сервісів раніше, тому сьогодні буду стислим. Foreground serviceуспадковується від класу Service і повинен обов'язково мати іконку, яка буде в панелі повідомлень пристрою.

Багато організацій вводять більш жорсткі правила у фільтрації спаму, і вони змушені вживати проактивні заходи боротьби з фішингом. Розібравшись в інструментах та методах, що використовуються зловмисниками, та аналізуючи слабкі місця в системі безпеки периметра, ми зможемо заздалегідь захиститись від багатьох атак.

Останнім часом в області фішингу виділяються нові напрямки – змішинг, вишинг та фармінг (див. урізання «Словник»).

Ця стаття присвячена опису деяких видів фішингу, що, сподіваюся, дозволить вам успішніше захищатися від подібних атак. Професіонали в галузі інформаційної безпеки та звичайні користувачі мають бути готові відобразити їх.

Шахрайство 21 століття

Здатність викрадати особисті ідентифікаційні дані завжди високо цінувалася злочинцями. Отримуючи доступ до чиїхось особистих даних та виконуючи потім роль законного користувача, зловмисник може вчиняти злочини під чужим ім'ям. Подібний крадіжка ніколи не був справою більш простою, ніж зараз, в епоху цифрових технологій.

Приховані серед куп електронної макулатури, що обходять багато сучасних антиспамових фільтрів, нові засоби нападу дозволяють викрадати конфіденційну особисту інформацію. Професійні злочинці тепер використовують спеціально сформовані повідомлення, щоб заманити своїх жертв у пастки, призначені для крадіжки ідентифікаційних даних користувачів.

Назва даного типу атак - Phishing (фішинг), процес обману або обробка методами соціальної інженерії клієнтів для подальшого крадіжки їхніх особистих даних та передачі їхньої конфіденційної інформації для використання в корисливих цілях. Злочинці використовують спам або заражені раніше комп'ютери. При цьому розмір компанії-жертви не такий важливий; якість особистої інформації, отриманої злочинцями внаслідок нападу, має значення саме собою.

Кошти Phishing-шахрайства з кожним днем ​​продовжують зростати не лише кількісно, ​​а й якісно. Phishing-атакам сьогодні піддається все більше клієнтів, масове розсилання подібних листів йде на мільйони адрес електронної пошти у всьому світі. Використовуючи безліч типів атак, фішери можуть легко ввести в оману клієнтів передачі фінансових даних (наприклад, номери платіжної картки) і пароля. В той час, як спам тільки відволікає увагу одержувачів, Phishing веде до фінансових втрат через шахрайське переміщення валюти.

У звіті за січень 2007 року за даними Anti-Phishing Working Group ( www. anti- phishing. org) наводяться такі цифри:

Рисунок 1. Число фішингових сайтів за період із січня 2006 року до січня 2007 року

Деякі фінансові організації та великі компанії, чий бізнес безпосередньо пов'язані з Internet, пояснюють своїм клієнтам проблему фішингу. Більшість організацій зробили дуже небагато для активної боротьби з цим злом. Однак треба мати на увазі, що існує багато доступних інструментальних засобів та методів для захисту від подібних атак.

Маючи високий рівень захисту від фішингових атак, організації можуть отримати чималу вигоду від збереження лояльності своїх клієнтів.

Хронологія фішингу

Слово "phishing" народилося з аналогії, яка полягає в тому, що перші зловмисники Internet використовували поштові приманки для паролів та фінансових даних безлічі користувачів Internet. Використання "ph", найімовірніше, пов'язане з популярними хакерськими угодами про імена типу "Phreaks", що простежуються в історії хакерського руху, починаючи з проблеми "phreaking" - зламування телефонних систем.

Термін був вперше вжитий в 1996 хакерами, що захопили управління обліковими записами America Online (AOL) і викрали паролі користувачів AOL. Вперше термін phishing був згаданий в Internet у групі новин alt.2600 hacker newsgroup у січні 1996 року, проте він, можливо, використовувався і раніше в популярному інформаційному бюлетені хакера "2600". Наводжу без коментарів: «Використовується для того, щоб ви робили аккаунт на AOL, коли ви збираєтеся на credit card generator. However, AOL became smart. Тепер вони є дуже карти з банком після того, як він typed in. Does anyone know of a way to get an account other than phishing?

До 1996 зламані облікові записи називали "phish", і до 1997 phish активно продавалися хакерами як форма електронної валюти. Через якийсь час визначення того, що складає phishing-атаку, було значно розширено. Термін «фішинг» тепер включав не лише отримання подробиць облікового запису користувача, але й доступ до всіх його особистих та фінансових даних. Спочатку використовуючи повідомлення електронної пошти для отримання паролів та фінансових даних ошуканих користувачів, тепер фішери створили підроблені сайти, навчилися задіяти троянські програми, та атаки типу man-in-the-middle data proxies.

Наразі мережне шахрайство включає використання підроблених робочих місць або пропозицій роботи.

Чинник соціальної інженерії

Фішинг-атаки засновані на комбінації технічного обману та факторів соціальної інженерії. У більшості випадків "Фішер" повинен переконати жертву виконати ряд дій, які забезпечать доступ до конфіденційної інформації.

Сьогодні «фішери» активно використовують популярність таких засобів зв'язку як електронна пошта, web-сторінки, IRC та служби миттєвої передачі повідомлень (IM). У всіх випадках фішер повинен діяти від імені довіреного джерела (наприклад, служби підтримки відповідного банку тощо), щоб ввести в оману жертву.

Донедавна найуспішніші напади фішерів здійснювалися електронною поштою - при цьому фішер відіграє роль уповноваженої особи (наприклад, імітуючи вихідну адресу електронної пошти та використовуючи впровадження відповідних корпоративних емблем). Наприклад, жертва отримує електронну пошту від [email protected] (Адреса підмінена) з рядком повідомлення "модифікація захисту", в якому її просять перейти за адресою www . mybank - validate . info (ім'я домену належить нападнику, а не банку) та ввести його банківський PIN-код.

Однак фішери використовують багато інших методів соціальної інженерії для того, щоб змусити жертву добровільно видати конфіденційну інформацію. Наприклад, жертва вважає, що її банківська інформація використовується ще кимось для здійснення незаконної угоди. У такому разі жертва спробувала б увійти в контакт із відправником відповідного електронного листа та повідомити його про незаконність угоди та скасувати її. Далі, залежно від типу шахрайства, фішер створив би мережну "безпечну" web-сторінку для того, щоб жертва могла запровадити конфіденційні подробиці (адресу, номер кредитної картки тощо) та скасувати угоду. В результаті фішер отримав би достатньо інформації, щоб зробити реальну угоду.

Рисунок 2. Приклад фішингового листа

Рисунок 3. Сторінка фішингового сайту

Однак цей сайт, незважаючи на зовнішню схожість з оригінальним, призначений виключно для того, щоб жертва сама запровадила конфіденційні дані.

Рисунок 4. Приклад із підробленою поштовою адресою відправника

Під онлайн-фішингом мається на увазі, що зловмисники копіюють будь-які сайти (найчастіше це Internet-магазини онлайн-торгівлі). При цьому використовуються схожі доменні імена та аналогічний дизайн. Ну, а далі все просто. Жертва, потрапляючи до такої крамниці, вирішує придбати якийсь товар. Причому кількість таких бажаючих досить велика, адже ціни в неіснуючому магазині будуть буквально непридатними, а всі підозри користувачів розсіюються через популярність сайту, що копіюється. Купуючи товар, жертва реєструється та вводить номер та інші дані своєї кредитної картки.

Такі методи фішингу існують досить давно. Завдяки поширенню знань у галузі інформаційної безпеки вони поступово втрачають свою ефективність.

Рисунок 5. Лист тільки з одним фішерським посиланням із багатьох справжніх

Третій спосіб – комбінований. Суть його у тому, що створюється підроблений сайт якоїсь організації, який потім залучаються потенційні жертви. Їм пропонується зайти на якийсь сайт і там зробити ті чи інші операції самим. Причому зазвичай використовується психологія.

Рисунок 6. Зразок фішингового листа користувачам електронної пошти Mail.ru

Численні попередження, щодня що з'являються в Internet, роблять подібні методи шахрайства все менш ефективними. Тому тепер зловмисники все частіше вдаються до застосування кей-логгерів, key-loggers – спеціальних програм, які відстежують натискання клавіш та відсилають отриману інформацію за заздалегідь призначеними адресами.

Якщо ж ви думаєте, що фішинг-атаки є актуальними лише для далекого зарубіжжя, то ви помиляєтеся. Першу спробу фішингу на території СНД було зареєстровано у 2004 році. Жертвами її стали клієнти московського Сітібанку.

В Україні жертвами фішингових атак стали клієнти "Приват-банку" та компанії "Київстар".

Доставка фішинговогоcповідомлення

Електронна пошта та спам.Найбільш поширені атаки фішингів за допомогою електронної пошти. Використовуючи методи та інструментальні засоби спамерів, фішери можуть надіслати спеціальні повідомлення на мільйони адрес електронної пошти протягом декількох годин (або хвилин, якщо задіяти розподілені бот-мережі). У багатьох випадках списки адрес електронної пошти фішери отримують з тих самих джерел, що й спамери.

Використовуючи відомі недоліки в поштовому протоколі SMTP, фішери здатні створити електронні листи з підробленим рядком "Mail From:" заголовки у такому разі будуть уособленням будь-якої обраної ними організації. У деяких випадках вони можуть встановити поле "Replay To:" на адресу вибраної ними електронної пошти, внаслідок чого будь-яка відповідь клієнта на лист фішингу буде автоматично пересилатися фішеру. У пресі часто пишуть про фішингові атаки, тому більшість користувачів побоюється надсилати конфіденційну інформацію (на зразок паролів та PIN-коду) електронною поштою, проте такі атаки все ще ефективні.

Методи, що використовуються фішерами під час роботи з електронною поштою:

Офіційний вид листа;

Копіювання законних корпоративних адрес з незначними змінами URL;

HTML, який використовується в електронних повідомленнях, заплутує інформацію про URL;

Стандартні вкладення вірусу/хробака у повідомлення;

Використання технологій заплутування антиспамових фільтрів;

обробка "індивідуалізованих" або унікальних поштових повідомлень;

Використання підробленого рядка "Mail From:" адреси та відкриті поштові шлюзи маскують джерело електронної пошти.

Фішинг-атаки з використаннямweb-Контенту.Наступний метод фішинг-атак полягає у використанні шкідливого вмісту веб-сайту. Цей контент може бути включений у сайт фішера або сторонній сайт.

Доступні методи доставки контенту включають:

використання особливостей мережі (приховані елементи в межах сторінки - типу графічного символу нульового розміру), щоб простежити за потенційним клієнтом;

Використання спливаючих вікон, щоб замаскувати справжнє джерело фішерського повідомлення.

IRCта передачаIM-повідомлень.Порівняно новим є використання IRC та IM-повідомлень. Однак, ймовірно, цей спосіб стане популярною основою фішинг-атак. Так як ці канали зв'язку все більше подобаються домашнім користувачам, і водночас у програмне забезпечення включено велику кількість функціональних можливостей, число фішинг-атак з використанням цих технологій різко збільшуватиметься.

Разом з тим необхідно розуміти, що багато IRC та IM клієнтів враховують впровадження динамічного змісту (наприклад графіка, URL, мультимедіа тощо) для пересилки учасниками каналу, а це означає, що впровадження методів фішингу є досить тривіальним завданням.

Загальне використання роботів - автоматизованих програм, що обробляють повідомлення користувачів, які беруть участь в обговореннях групи - у багатьох популярних каналах означає, що фішеру нічого не варто анонімно надіслати посилання та фальсифікувати інформацію, призначену для потенційних жертв.

Використання троянських програм.У той час як середовище передачі для фішинг-атак може бути різним, джерело атаки все частіше виявляється на попередньо скомпрометованому домашньому комп'ютері. При цьому як частина процесу компрометації використовується встановлення троянського програмного забезпечення, яке дозволить фішеру (поряд зі спамерами, програмними піратами, DdoS-ботами тощо) використовувати комп'ютер як розповсюджувач шкідливих повідомлень. Отже, простежуючи напад фішерів, надзвичайно складно виявити реального зловмисника.

Необхідно звернути увагу, що, незважаючи на зусилля антивірусних компаній, кількість заражень троянськими програмами безупинно зростає. Багато злочинних груп розробили успішні методи обману домашніх користувачів для встановлення програмного забезпечення і тепер використовують цілі мережі, розгорнуті за допомогою троянського програмного забезпечення. Такі мережі використовуються, зокрема, для розсилки фішингових листів.

Однак не варто думати, що фішери не можуть використовувати троянські програми проти конкретних клієнтів, щоб збирати конфіденційну інформацію. Фактично, щоб зібрати конфіденційну інформацію кількох тисяч клієнтів одночасно, фішери повинні вибірково збирати інформацію, що записується.

Троянські програми для виборчого збору інформації.На початку 2004 року фішери створили спеціалізований кейлоггер. Впроваджений у межах стандартного повідомлення HTML (і в поштовому форматі, і на кількох скомпрометованих популярних сайтах) він був кодом, який спробував запускати аплет Java, що називається javautil.zip. Незважаючи на розширення zip, фактично це був файл, який міг бути автоматично виконаний в браузерах клієнтів.

Троянський кейлоггер був призначений для фіксування всіх натискань клавіш в межах вікон із заголовками різних найменувань, що включають:-commbank, Commonwealth, NetBank, Citibank, Bank of America, e-gold, e-bullion, e-Bullion, evocash, EVOCash, EVOca INTGOLD, INTGold, PayPal, PayPal, BankWest, Bank West, BankWest, Національний Інтернет Banking, CIBC, CIBC, scotiabank і ScotiaBank.

Напрями фішингових атак

Фішери змушені задіяти багато методів шахрайства, щоб здійснювати успішні напади. Найзагальніші включають:

Напади методом "людина посередині" (Man-in-the-middle);

Атаки із заміною URL;

Напади, що використовують кроссайтові сценарії, Cross-site Scripting;

Попередньо встановлені сесії атак;

Підміна клієнтських даних;

Використання вразливих місць на стороні клієнта.

Напади "людина посередині"

Одним із найуспішніших способів отримання інформації від клієнта та захоплення управління ресурсами є атака "людина посередині". У цьому класі атак нападник «розташовується» між клієнтом та реальним додатком, доступним через мережу. З цієї точки нападник може спостерігати та робити запис усіх подій.

Ця форма нападу успішна для протоколів HTTP та HTTPS. Клієнт з'єднується з сервером зловмисників, як із реальним сайтом, тоді як сервер зловмисників виконує одночасне підключення до реального сайту. Сервер зловмисників у разі грає роль proxy-сервера всім з'єднань між клієнтом і доступним через мережу прикладним сервером у часі.

У разі безпечного з'єднання HTTPS підключення SSL встановлюється між клієнтом та proxy-сервером зловмисників (отже система зловмисників може робити запис всього трафіку в незашифрованому стані), у той час як proxy-сервер зловмисників створює власне підключення SSL між собою та реальним сервером.

Рисунок 8. Структура атаки man-in-the-middle

Для проведення успішних атак "людина посередині" нападник має бути приєднаний безпосередньо до клієнта замість реального сервера. Це можна зробити за допомогою безлічі методів:

DNS Cache Poisoning

URL Obfuscation

Browser Proxy Configuration

Прозорі проксі-сервери

Прозорий proxy-сервер, розташований у тому ж сегменті мережі або на маршруті до реального сервера (наприклад, корпоративний шлюз), може перехопити всі дані, пропускаючи через себе вихідний HTTP і HTTPS. У цьому випадку жодні зміни конфігурації на стороні клієнта не потрібні.

DNSCachePoisoning- отруєння кешуDNS

МетодDNSCachePoisoningможна використовувати для того, щоб перервати нормальну маршрутизацію трафіку, вводячи неправдиві IP адреси. Наприклад, нападник модифікує кеш служби доменної системи імен та мережного міжмережевого захисту так, щоб весь трафік, призначений для адреси IP MyBank, тепер йшов на адресу IP proxy-сервера нападаючих.

ПідмінаURL

Використовуючи цей метод, нападник змінює зв'язок замість реального сервера на з'єднання з proxy сервером зловмисників. Наприклад, клієнт може слідувати за посиланням замість www. mybank. com/>

Конфігурація proxy-сервера у браузері клієнта

Цей тип атаки може бути помічений клієнтом під час перегляду настройок браузера. У багатьох випадках зміна налаштувань браузера здійснюється безпосередньо перед фішинг-повідомленням.

Рисунок 9. Конфігурація браузера

Напади підміни адрес

Секрет успіху багатьох атак фішингу полягає в тому, щоб змусити одержувача повідомлення слідувати за посиланням (URL) на сервер зловмисників. На жаль, фішери мають доступ до цілого арсеналу методів, щоб заплутати клієнта.

Звичайні способи заміни адрес включають:

Фальшиві імена доменів

Дружні імена URL

Підміну імен хостів

Підміну URL-адреси.

Фальшиві імена домену

Один з очевидних способів заміни - використання фальшивого імені домену. Розглянемо фінансовий інститут MyBank із зареєстрованим доменом mybank.comта пов'язаний з клієнтом діловий сайт . Фішер міг встановити сервер, використовуючи будь-яке з таких імен, щоб заплутати реальний хост адресата:

http :// privatebanking . mybank . com . ch
http:// mybank. privatebanking. com
http:// privatebanking. mybonk. com або навіть
http:// privatebanking. mybá nk. com
http:// privatebanking. mybank. hackproof. com

Оскільки організації з реєстрації доменів рухаються у бік інтернаціоналізації своїх послуг, отже, можлива реєстрація імен доменів іншими мовами та певних наборах символів. Наприклад, "o" у символах кирилиці виглядає ідентично стандартному ASCII "o", але доменне ім'я буде іншим.

Нарешті, навіть стандартний набір символів ASCII враховує двозначності на кшталт верхнього регістру "i" та нижнього регістру "L".

Дружні іменаURL

Багато web-браузерів враховують складну URL-адресу, яка може включити розпізнавальну інформацію типу імені, що входить до системи та пароля. Загальний формат – URL:// username: password@ hostname/ path.

Фішери можуть замінити ім'я користувача та поле пароля. Наприклад, наступна URL-адреса встановлює ім'я користувача = mybank.com,пароль =ebanking, та ім'я хоста адресата - evilsite. com.

mybank . com : ebanking @ evilsite . com / phishing / fakepage . htm >

Цей дружній вхід до URL може успішно обдурити багатьох клієнтів, які вважатимуть, що вони фактично відвідують справжню сторінку MyBank.

Підміна імен хостів

Більшість користувачів Internet знайомі з навігацією по сайтам та послугам з використанням повного імені домену, типу www.evilsite.com. Для того щоб web-браузер міг зв'язатися з даним хостом по Internet, ця адреса має бути перетворена на адресу IP, типу 209.134.161.35 для www.evilsite.com. Це перетворення IP-адреси на ім'я хоста досягається за допомогою серверів доменних імен. Фішер може використовувати IP-адресу як частину URL, щоб заплутати хост і, можливо, обійти системи фільтрації вмісту, або приховати адресат від кінцевого користувача.

Наприклад, наступна URL:

mybank . com : ebanking @ evilsite . com / phishing / fakepage . htm >

міг бути заплутаним за сценарієм

mybank . com : ebanking @210.134.161.35/ login . htm >

У той час як деякі клієнти знайомі з класичним десятковим уявленням IP-адрес (000.000.000.000), більшість з них незнайома з іншими можливими уявленнями. За допомогою цих уявлень IP в межах URL можна навести користувача на фішерський сайт.

Залежно від програми, що інтерпретує IP адресу, можливе застосування різноманітних способів кодування адрес, крім класичного пунктирно-десяткового формату. Альтернативні формати включають:

Dword - значення подвійного слова, тому що це складається з двох подвійних "слів" 16 бітів; але виражено у десятковому форматі,

Вісімковий

Шістнадцятковий.

Ці альтернативні формати краще пояснити, використовуючи приклад. Розглянемо, як URL перетворюється на IP-адресу 210.134.161.35. Це може інтерпретуватися як:

Десяткова кількість -

Dword - http:// 3532038435/

Вісімковий -

Шістнадцятковий - або навіть

У деяких випадках можна навіть змішати формати (наприклад, ).

Підміна URL

Для забезпечення підтримки місцевих мов у програмному забезпеченні Internet типу веб-браузерів більшість програмного забезпечення підтримує додаткові системи кодування даних.

Кроссайтові сценарії

Типові формати XSS ін'єкції в достовірні URL-адреси включають:

Повна заміна HTML типу: mybank . com / ebanking ? URL=http://evilsite.com/phishing/fakepage.htm>

Вбудоване використання сценарію типу: http:// mybank . com / ebanking ? Page=1*client = СЦЕНАРІЙ > evilcode ...

Наприклад, клієнт отримав наступну URL-адресу за допомогою електронного фішинг-листу:

У той час як клієнт дійсно спрямований і пов'язаний з реальним MyBank-додатком мережі, через помилкове кодування програми банком, компонент ebankingприйме URL для вставки в межах поля URLповерненої сторінки. Замість програми, що забезпечує розпізнавальну форму MyBank, впроваджену в межах сторінки, нападник пересилає клієнта до сторінки під керуванням на зовнішньому сервері ( evilsite. com/ phishing/ fakepage. htm> ).

Смішинг

Онлайнові шахраї останнім часом освоюють новий для себе напрямок – атаки на мобільні телефони. Випадки масового розсилання SMS, що заманюють користувачів на заздалегідь підготовлені інфіковані сайти, спостерігалися, наприклад, в Ісландії та Австралії. У тексті фальшивої SMS користувачеві повідомляється про те, що він підписаний на платну послугу і з його рахунку буде утримуватися 2 дол. На сайті користувачів чекає троянська програма, написана на VBS, яка відкриває хакерам лазівку на заражений нею комп'ютер і починає автоматичне розсилання SMS на випадкові номери через відповідні web-сервіси двох стільникових операторів в Іспанії.

Фармінг

Фармінг - це перенаправлення жертви на хибну адресу. І тому може використовуватися якась навігаційна структура (файл hosts, система доменних імен - domain name system, DNS).

Як це відбувається?

Механізм фармінгу має багато спільного із стандартним вірусним зараженням. Жертва відкриває поштове повідомлення або відвідує веб-сервер, на якому виконується вірус-сценарій. При цьому спотворюється файл hosts. Шкідлива програма може містити вказівники URL багатьох банківських структур. В результаті механізм перенаправлення активізується, коли користувач набирає адресу, що відповідає його банку. В результаті жертва потрапляє на один із хибних сайтів.

Механізмів захисту від фармінгу на сьогоднішній день просто не існує. Необхідно уважно стежити за поштою, регулярно оновлювати антивірусні бази, закрити вікно попереднього перегляду в поштовому клієнті і т.д.

"Вішінг"

У липні 2006 року з'явився новий різновид фішингу, який одразу отримав назву «вішинг».

"Вішінг" (vishing) названий так за аналогією з "фішингом" - поширеним мережевим шахрайством, коли клієнти будь-якої платіжної системи отримують повідомлення електронною поштою нібито від адміністрації або служби безпеки даної системи з проханням вказати свої рахунки, паролі тощо . При цьому посилання в повідомленні веде на підроблений сайт, на якому відбувається крадіжка інформації. Сайт цей знищується через деякий час, і відстежити його творців в Інтернеті досить складно

Схеми обману, загалом, ідентичні, лише разі вишинга у повідомленні міститься прохання зателефонувати на певний міський номер телефону. При цьому зачитується повідомлення, в якому потенційна жертва просить повідомити свої конфіденційні дані.

Власників такого номера знайти не просто, тому що з розвитком Internet-телефонії дзвінок на міський номер може бути автоматично перенаправлений у будь-яку точку земної кулі. Той, хто дзвонить, про це не здогадується.

Згідно з інформацією від Secure Computing, шахраї конфігурують "war dialler" ("автонабірник"), який набирає номери у певному регіоні і, коли на дзвінок відповідають, відбувається таке:

Автовідповідач попереджає споживача, що з його карткою здійснюються шахрайські дії, і дає інструкції - зателефонувати за певним номером негайно. Це може бути номер 0800, часто з вигаданим ім'ям фінансової організації, що дзвонив від імені;

Коли за цим номером телефонують, на іншому кінці дроту відповідає типово комп'ютерний голос, що повідомляє, що людина повинна пройти звірку даних і ввести 16-значний номер картки з клавіатури телефону;

Щойно номер введено, «вішер» стає власником всієї необхідної інформації (номер телефону, повне ім'я, адреса), щоб, наприклад, накласти на карту штраф;

Потім, використовуючи цей дзвінок, можна зібрати додаткову інформацію, таку як PIN-код, термін дії картки, дата народження, номер банківського рахунку тощо.

Як захиститись від цього? Насамперед, за допомогою здорового глузду, а саме:

Ваш банк (або кредитна компанія, картою якої ви користуєтеся) зазвичай звертається до клієнта на ім'я та прізвище, як по телефону, так і електронною поштою. Якщо це не так, то, швидше за все, це шахрайство;

Не можна дзвонити з питань безпеки кредитної картки або банківського рахунку за запропонованим номером телефону. Для дзвінків в екстрених випадках вам надається телефонний номер на звороті платіжної картки. Якщо дзвінок законний, то банку зберігається його запис і вам допоможуть;

Якщо ж вам дзвонить хтось, що представляється вашим провайдером і ставить запитання щодо ваших конфіденційних даних - повісьте трубку.

, http:// www. itacademy. com. ua

Словник

Фішинг(Англ. phishing, від password- пароль та fishing- рибний лов, вивужування) - вид Internet-шахрайства, мета якого - отримати ідентифікаційні дані користувачів. Організатори фішинг-атак використовують масові розсилки електронних листів від імені найпопулярніших сайтів. У ці листи вони вставляють посилання на фальшиві сайти, які є точною копією справжніх. Опинившись на такому сайті, користувач може повідомити злочинцям цінну інформацію, що дозволяє керувати його рахунком з Інтернету (ім'я користувача та пароль для доступу), або навіть номер своєї кредитної картки.

Вішінг- (vishing) названо за аналогією з "фішингом". Схеми, за якими обманюють користувачів, в обох випадках схожі, тільки у випадку "вишингу" у повідомленні міститься прохання не зайти на сайт, а зателефонувати на міський телефонний номер. Тим, хто зателефонував йому, зачитується повідомлення з проханням повідомити конфіденційні дані.

Фармінг- при фармінг хакери перенаправляють Internet-трафік з одного сайту на інший, що має ідентичний вигляд, щоб обманом змусити користувача ввести ім'я користувача і пароль в базу даних на фальшивому сервері.