Nazwa „phishing” jest skrzyżowaniem słów „fishing” (łowić ryby) z „personal data” – dane osobowe. Chociaż aż 85 proc. wykrytych przypadków phishingu dotyczy instytucji finansowych, to na wiosnę do skrzynek wielu polskich internautów trafił e-mail zalecający jak najszybsze pobranie i zainstalowanie uaktualnień dla systemu Windows. W rzeczywistości chodziło o wprowadzenie do komputera konia trojańskiego. Układ treści e-maila był typowy, czyli „prośba” (prosimy o jak najszybszą aktualizację systemu), po niej następowało „ostrzeżenie” (zignorowanie tej wiadomości i brak aktualizacji może spowodować całkowitą i bezpowrotną utratę danych z komputera) i „link na fałszywą stronę” (w celu aktualizacji kliknij w przycisk niżej „Pobierz teraz i zainstaluj”). To wszystko. Warto więc pamiętać, że Microsoft nigdy nie rozsyła poprawek dla swoich produktów pocztą elektroniczną.
Phishing polega na tworzeniu oszukańczych wiadomości e-mail i witryn WWW, które wyglądają identycznie jak serwisy internetowe firm o znanej marce, aby skłonić klientów tych firm do podania numeru karty kredytowej lub informacji o koncie bankowym. Ataki typu phishing zaczęły stanowić na tyle poważne zagrożenie, że zmusiły wielkie firmy oraz organizacje do zjednoczenia sił w walce z tym procederem. W grudniu 2004 roku powstała grupa Digital PhishNet skupiająca firmy IT takie jak Microsoft, America Online, eBay, PayPal i Visa oraz amerykańskie służby U.S. Secret Service i U.S. Postal Inspection Service i FBI, które podpisały umowę, na mocy której będą natychmiast informować o wykrytych przypadkach phishingu i wprowadzać je do centralnej bazy witryn-pułapek prowadzonej przez WholeSecurity. Firmy będą się też starały blokować strony oszustów.
W Polsce pierwsze przypadki phishingu zanotowano w 2001 roku. Ich liczba wzrasta z roku na rok. Według policji, codziennie likwiduje się do 10 stron internetowych podszywających się pod strony banków. Po pierwszych takich wypadkach polskie banki są już wyczulone na fałszywki swoich stron. Nie tak dawno mBank podał autora jednej z nich do sądu, ale okazało się, że strona była tylko przykładem i nie miała na celu jakichkolwiek wyłudzeń. Tu trzeba dodać, że policja ma mocno utrudnione zadanie, ponieważ 80 proc. tego typu fałszywych stron umieszczanych jest na zagranicznych serwerach ulokowanych najczęściej w USA i Chinach.
Polska na celowniku
Po niedawno przeprowadzonym ataku phishingowym na klientów mBanku, w którym odbiorca był proszony o „potwierdzenie swojej tożsamości”, tym razem rozsyłane były e-maile, w których oszuści podszywali się pod przedstawicieli Inteligo, konta prowadzonego przez PKO BP S.A. Wiele wskazuje na to, że przestępcza moda zawitała do Polski na dobre. Ataki na klientów mBanku i Inteligo pokazują, że żaden rodzimy bank nie powinien czuć się bezpiecznie, bo wbrew pozorom, taki atak może być skuteczny, a wtedy zebrane dane mogą posłużyć zarówno do włamania na konto albo – co najmniej – zostanie wykorzystany numer karty płatniczej. Ataki, zarówno na klientów mBanku, jak i Inteligo można nazwać klasyką gatunku. E-mail był wysłany również do osób, które w tych bankach konta nie mają. Ale to może też dobrze świadczyć o zabezpieczeniu baz klientów w bankach.
Szkody materialne banku nawet po takim udanym ataku będą zapewne znikome, ale znacznie gorsze mogą okazać się straty wizerunkowe. Chociaż bank będzie też ofiarą, podobnie jak jego klienci, to jednak właśnie on za wszystko „zapłaci”. Problem jest chyba większy niż się o tym mówi, bo również niedawno na stronach internetowych niektórych banków pojawił się złowieszczy komunikat przestrzegający przed fałszywym e-mailem, którego nadawcy podszywali się pod organizację VISA. Dysponując danymi z karty, przestępca może się nią swobodnie posługiwać i to nie tylko w Polsce. Uzyskiwanie ważnych informacji na temat kart płatniczych było i jest możliwe od dawna, jednak dotychczas nikt nie robił tego masowo w ten sposób. Do tej pory prosty phishing nie zagrażał bezpieczeństwu bankowości internetowej.
Jednak nic nie daje 100-procentowej gwarancji bezpieczeństwa i jak mówi polskie przysłowie „przyszła kryska na Matyska” również na nasz bank. Właśnie z powodu phishingu bank stracił ponad
1 mln zł. Był to pierwszy tak duży ujawniony przypadek kradzieży z banku internetowego. Poszkodowani zostali przede wszystkim klienci indywidualni, których konta nie były chronione hasłami jednorazowymi. Do kradzieży użyto koni trojańskich rozsyłanych pocztą elektroniczną do potencjalnych ofiar. Dobrze zamaskowany program monitorował aktywność użytkownika i zapisywał dane, które umożliwiały korzystanie z konta bankowego przez internet. Później dane były odsyłane na wcześniej przygotowane serwery. Danych nie używano natychmiast, przez co koń trojański po kilku dniach swojej „pracy” usuwał w komputerze ślady swojej działalności, po czym sam wydawał komendę odinstalowania siebie.
Ofiarami stali się klienci banku. W dogodnym momencie złodzieje logowali się do banku i transferowali pieniądze na swoje konta, zakładane na podstawie fałszywych dokumentów. Oczywiście z tych rachunków pieniądze były natychmiast pobierane. Całe zdarzenie miało miejsce w banku, który oferuje dostęp przez internet bez stosowania bezpiecznych metod uwierzytelnienia, takich jak tokeny lub hasła jednorazowe. Trudno powiedzieć, że banki wyciągnęły jakiekolwiek wnioski z tej lekcji za 1 milion zł, bo w dalszym ciągu na przykład logowanie do konta przy pomocy hasła i bez dodatkowej autoryzacji przelewów stosuje m.in. Citibank Handlowy. Dwa hasła, co prawda różne, do logowania i do przelewów są stosowane przez Millennium, Kredyt Bank i BPH, ale z punktu widzenia przestępców nie jest to żadnym utrudnieniem.
Nie jestem klientem
W piątek rano przeglądając skrzynkę mojej elektronicznej poczty trafiłem na korespondencję, która trafiła do skrzynki w czwartek (23 sierpnia) przed północą (23.08) i wyglądała tak:
Data: 21: 08: 2007
Od: Inteligo
Odpowiedz: Inteligo
Do: lpiesik@gb.pl
Temat: Wprowadzenie nowych zabezpieczen.
Wprowadzenie nowych zabezpieczeń tożsamo¶ci.
Informujemy, że Twoje konto będzie poddane nowej procedurze weryfikacji.
W tym celu prosimy o jak najszybsze zalogowanie kilikaj? c w link poniżej.
Aby nowe zabezpieczenia zaczeły funkcjonować, należy potwierdzić swoj? tożsamo¶ć.
Do tego czasu wszystkie opcje w twoim koncie bed? zablokowane.
(Cała procedura trwa kilka minut)
https://secure. inteligo. com. pl/? verification_code=6ywkcj0766153y2s42hjuu77hjbxrg4492mnpnt593e9d8ntzh&request_ssl=yes&secure=yes&op_code=012.
Pozdrawiamy,
Inteligo
Prosimy nie odpowiadać na tę wiadomo¶ć. Wiadomo¶ci przesyłane na tę skrzynkę e-mail nie s? czytane, a serwis Inteligo nie odpowiada na nie. Aby uzyskać pomoc, zaloguj się do swojego konta Inteligo i kliknij ł?cze Pomoc.
Ponieważ codziennie usuwam z poczty co najmniej kilkanaście różnych ofert i propozycji, które trafiają do mnie jako spam, więc nie zrobiło to na mnie specjalnego wrażenia i już miałem rutynowo całą korespondencję umieścić w koszu, ale moją uwagę zwróciło to, że zostałem uznany przez bank za ich klienta chociaż tak nie jest. Czytając taką korespondencję właściwie nie jest trudno zorientować się, że jest to próba uzyskania informacji (danych) pod pretekstem aktualizacji. Przede wszystkim:
wszystkie banki wyraźnie informują, że nigdy nie kontaktują się ze swoimi klientami tylko i wyłącznie za pośrednictwem poczty elektronicznej (jak wyżej);
gdyby była potrzeba weryfikacji danych, bank nie przeprowadzałby jej przez internet w takiej formie;
podejrzenie powinien wzbudzić pośpiech (prosimy o jak najszybsze zalogowanie);
stwierdzenie, że „Cała procedura trwa kilka minut” ma skłonić odbiorcę do tego, aby prośbę spełnił natychmiast logując się „kilikając w link poniżej”. Oczywiście jest to inny adres niż ten, z którego korzysta się w normalnych kontaktach…
Warto też zwrócić uwagę na ostatni fragment tego e-maila z tekstem: Prosimy nie odpowiadać na tę wiadomość. Wiadomości przesyłane na tę skrzynkę e-mail nie są czytane. – Oczywiście, bo nie o nie chodzi, za to jeszcze raz przestępcy namawiają adresata: zaloguj się do swojego konta Inteligo i kliknij łącze Pomoc – to oczywiście na wszelki wypadek, gdybym miał wątpliwości, czy powinienem potwierdzić swoją tożsamość i inne dane.
W tym e-mailu rzucało się w oczy również to, że były problemy z kodowaniem polskich znaków. Warto przy tym zwrócić uwagę, że przestępcy nie popełnili już takiego błędu, jak nieudolne tłumaczenie jakiegoś zagranicznego tekstu, tak jak to było w pierwszych atakach przeprowadzanych w Polsce w naszym ojczystym języku. A było to tak:
„Wraz z dniem 14.06.2007,
Organizacja Visa, jeden z głównych wydawców kart kredytowych i debetowych na świecie, rozporządził nową ustawę dla Europejskich Systemów Bankowości.
Tym samym zobligował Polskie Banki do weryfikacji swoich klientów, jako właściwych posiadaczy kart kredytowych i debetowych. Cały proces weryfikacji ma na celu poprawienie bezpieczeństwa oraz zmniejszenie nadużyc związanych z płatnościami on-line. Dla każdego użytkownika, zostanie wygenerowane specjalne hasło oraz prywatny klucz, dzięki czemu osoby trzecie nie będą miały dostępu do poufnych informacji.
Klient który zostanie poproszony
o weryfikacje, lecz się z niej nie wywiąże, może liczyć się z zablokowaniem numeru karty.
Naciśnij przycisk „Weryfikacja” w celu dokonania weryfikacji.
(Cały proces weryfikacji trwa do kilku minut)
Dziękujemy za poświęcony czas.
Listę Banków które prowadzą weryfikację znajdziejsz na stronie:
http://www.visa.pl/wydawcykartvisa/”
Warto też uświadomić wszystkim użytkownikom internetu (nie tylko klientom banków), że nie ma absolutnej ochrony przed przestępcami, a więc najlepszym zabezpieczeniem jest własna przezorność. Nie ulegajmy też złudzeniom, że Polska jest krajem szczególnym, bezpiecznym. Przestępcy sieciowi nie muszą przekraczać granic, co jest dla nich atutem, a dla nas dodatkowym zagrożeniem. I nie jest dla nas pocieszeniem, że to brytyjscy klienci amerykańskiego banku MBNA zostali zaatakowani przez oszustów za pośrednictwem poczty elektronicznej. Oczywiście konieczne było zalogowanie się na fałszywej stronie banku w związku z rzekomymi zmianami w systemie zabezpieczeń. Sprawa z MBNA jest najświeższym przykładem ataku typu „phishing” na klientów brytyjskich banków wykryta i nagłośniona przez SurfControl, firmę która dostarcza rozwiązania do filtrowania spamu.
Ochrona
Przeciwdziałanie phishingowi to przede wszystkim profilaktyka i informowanie o zagrożeniu. Użytkownicy internetu powinni nabrać pewnych prostych nawyków. Świadomy i rozsądny internauta jest zupełnie odporny na phishing również dlatego, że producenci oprogramowania antywirusowego rejestrują próbki phishingu i dodają je do bazy sygnatur zabezpieczeń, które służą do monitorowania przesyłanych e-maili. Porównują je z fragmentami kodów i oznaczają listy na podstawie zdefiniowanych w filtrach antyspamowych reguł jeszcze zanim znajdą się one w skrzynce adresata. Programy antywirusowe mają także funkcję blokowania adresów URL, pod którymi może znajdować się niebezpieczna zawartość – warto z nich skorzystać.
Współcześni przestępcy korzystają z botnetów, czyli sieci komputerów, nad którymi przejęli kontrolę za sprawą internetowego robaka lub trojana, którego naiwny użytkownik sam sobie zainstalował. Komputery, które znalazły się w tej sieci (tzw. zombie), posłusznie wykonują polecenia, a trzeba zaznaczyć, że największe zarejestrowane do tej pory botnety składały się z kilkudziesięciu tysięcy komputerów, a więc moc jaką dysponują przestępcy jest ogromna. Na przykład ataki typu DDoS (Distributed Denial od Service) są tym skuteczniejsze, im większa jest sieć zombie, ale do tworzenia fałszywych serwisów WWW i serwerów SMTP wystarczą znacznie mniejsze sieci, składające się nawet z kilkudziesięciu maszyn.
Phishing jest groźną i coraz bardziej powszechną formą spamu. Tylko w czerwcu 2006 roku botnety przyczyniły się do wysłania około 80 proc. spamu (o 30 proc. więcej niż rok wcześniej). Według najnowszych badań, spam stanowi już ponad 90 proc. korespondencji e-mail, trudno więc się dziwić, że jest to również jeden z głównych sposobów, jakimi przez internet dokonywana jest kradzież tożsamości firm i konsumentów. Dlaczego najczęściej banki (a właściwie ich klienci) są wybierane jako cel ataku? Odpowiedź wydaje się prosta: bo są to miejsca dające możliwość uzyskania dokładnych informacji o większej liczbie, nie spodziewających się niczego, klientów danej firmy i późniejszej kradzieży ich tożsamości. Typowy atak phishingowy składa się zwykle z dwóch części: autentycznie wyglądającego e-maila oraz fałszywej strony WWW.
Aby nie wzbudzać podejrzeń spam często zawiera profesjonalnie wyglądające wiadomości e-mail w formacie HTML, z użyciem logo firmy, jej kolorystyki, grafiki, stylu czcionki i innych charakterystycznych elementów. Korespondencja „gra na emocjach” i jest tak przygotowana aby:
zmylić,
zdenerwować
podekscytować odbiorcę.
Typowe tematy wiadomości to:
problemy z rachunkiem,
zmiany na koncie,
informacje dotyczące wznowienia ochrony,
oferty nowego produktu lub usługi.
Odbiorca takiej wiadomości reaguje szybko. Klika na wysłany w wiadomości link, który kieruje go na zainfekowaną, specjalnie przygotowaną przez napastników stronę WWW. Jej zawartość, wraz z treścią wiadomości e-mail, ma przekonać ofiarę do ujawnienia poufnych informacji, takich jak:
nazwa użytkownika,
hasło,
numery kart płatniczych lub kredytowych
numery PIN kart magnetycznych lub szczegóły dotyczące kart kredytowych.
Fałszywa strona WWW jest łudząco podobna do prawdziwej. Często ma logo firmy, pod którą podszywają się przestępcy, grafikę, styl pisma, czcionkę i inne elementy strony, którą kopiuje. Może również zawierać graficzny interfejs użytkownika (GUI), aby skłonić użytkownika do podania informacji dotyczących rachunków bankowych, numerów kart kredytowych, haseł lub innych danych.
Warto pamiętać, że dopóki nie wyrobimy w sobie nawyku ochrony własnych danych, tak długo nie będziemy bezpieczni, bo zagrożenie nie przestanie istnieć.