Nowe oblicza phishingu

„Kto stoi w miejscu, ten się cofa” – tej zasady trzymają się także komputerowi przestępcy. Sprawdzone techniki wyłudzania haseł nadal sprawdzają się w globalnej sieci, lecz oszuści stale wypróbowują nowe podejścia, wykorzystując coraz bardziej zaawansowane schematy. Rozwijane są nie tylko technologiczne aspekty phishingu, ale również jego socjotechniczne zaplecze.

Klasyczny schemat działania poławiaczy haseł opiera się na stworzeniu podrobionej strony WWW, która udawać będzie np. stronę logowania do systemu bankowości internetowej i wysyłać wpisane na niej dane do oszustów. Aby zwabić potencjalne ofiary, phisherzy wysyłają masowo e-maile udające bankowe komunikaty i zawierające linki do sfałszowanej strony.

Podejście takie może być efektywne tylko pod warunkiem, że podrobiony serwis nie zostanie szybko namierzony i zlikwidowany, a spam zachęcający do wejścia na stronę-pułapkę będzie miał wystarczająco masowy zasięg. Nawet udany atak nie gwarantuje jednak oszustom „zwrotu z inwestycji”, gdy dostępu do pieniędzy klientów broni drugi poziom zabezpieczeń w postaci np. jednorazowych haseł SMS. Przestępcy poszukują zatem bardziej efektywnych sposobów obejścia napotykanych problemów.

Nieaktualne oprogramowanie to zaproszenie dla robaków

 
Jednym z rozwiązań, z punktu widzenia przestępcy, może być zdobycie potrzebnych danych na komputerze ofiary. Wymaga to zainstalowania na maszynie użytkownika złośliwego oprogramowania. Niechcianego pasażera możemy wpuścić np. ściągając oprogramowanie niewiadomego pochodzenia, ale także odwiedzając odpowiednio spreparowaną witrynę internetową „wstrzykującą” aplikację z wykorzystaniem luki w nieaktualnej wersji przeglądarki lub wtyczce do niej (np. Adobe Flash).

Zainstalowany na komputerze ofiary koń trojański, keylogger (program zbierający znaki wpisywane na klawiaturze) czy inny typ złośliwego oprogramowania jest w stanie oszukiwać ją na wiele sposobów – np. podmieniając odwiedzane strony lub dodając do nich złośliwy kod. W ten sposób można nie tylko pozyskać ID klienta i jego hasło, ale również stosunkowo łatwo skłonić go do dodatkowych działań.

Man-in-the-mobile – koń trojański w komórce

W lutym 2010 roku nowa odmiana konia trojańskiego o nazwie ZeuS spreparowana z myślą o polskich klientach banków pokazała, jak niebezpieczne mogą być bardziej skomplikowane narzędzia służące do poławiania haseł. Użytkownicy zarażeni złośliwym oprogramowaniem po zalogowaniu się do systemów bankowości internetowej ING Banku Śląskiego i mBanku zobaczyć mogli specjalny komunikat zalecający zainstalowanie na komórce „certyfikatów bezpieczeństwa”.


Źródło: ING Bank Śląski

Komunikat faktycznie nie pochodził od banku, lecz był wstawiany do treści strony przez ZeuSa. Jeśli ofiara ściągnęła na swój telefon odpowiedni plik i zainstalowała rzekomy certyfikat, to dawała przestępcom możliwość przechwytywania przesyłanych przez bank jednorazowych haseł i podmieniania ich treści. To otwierało drogę to zlecania przez oszustów nieautoryzowanych transakcji. Mieli oni bowiem w ręku wszystkie elementy niezbędne do przeprowadzenia skutecznego ataku, przełamując zarówno pierwszy (ID i hasło), jak i drugi poziom bankowych zabezpieczeń.

Łowy z włócznią

Kolejnym z nowych zjawisk w dziedzinie phishingu, którego obawiać powinny się nie tylko instytucje finansowe, jest przygotowywanie skoncentrowanych, zindywidualizowanych ataków. Podejście to nazywane jest spear phishing (ang. łowienie z użyciem włóczni). Oszuści skupiają się na wyselekcjonowanej grupie potencjalnych ofiar, np. pracownikach określonej firmy. Przynęta może być w tym przypadku bardziej skuteczna, bo spersonalizowana, a pozyskane hasła mogą posłużyć do potencjalnie bardzo niszczących działań.

Ofiarą spear phishing padli m.in. pracownicy firmy RSA, produkującej… tokeny, czyli urządzenia służące jako drugi poziom zabezpieczeń w systemach bankowości internetowej i korporacyjnych systemach informatycznych. W jaki sposób przestępcom udało się zaatakować firmę, która działa w branży zabezpieczeń?

Pracownicy jednego z działów RSA otrzymali e-maile o tytule „Plan rekrutacji na 2011 rok”, do którego załączony był plik Excela. Tytuł był na tyle intrygujący, że jedna z osób otworzyła załącznik, który wykorzystywał nieudokumentowaną lukę w aplikacji biurowej, by zainstalować złośliwe oprogramowanie. Robak otworzył w zainfekowanym komputerze „tylne drzwi” i stworzył atakującym możliwość zdalnego dostępu do sieci przedsiębiorstwa. W następnych etapach przestępcom udało się zdobyć dostęp do baz danych firmy i przesłać je w zaszyfrowanej formie na zewnętrzne serwery FTP. Wyciek informacji okazał się niezwykle niszczący dla reputacji firmy, która musiała powiadomić swoich klientów o tym, że techniczne szczegóły produkowanych urządzeń mogły dostać się w niepowołane ręce.

Podobny schemat zastosowano w ataku na firmę Epsilon prowadzącą e-mailowe kampanie marketingowe dla wielu poważanych korporacji (w tym kilku z branży finansowej). Łupem była w tym przypadku baza danych adresów e-mailowych, co otworzyć mogło drogę do kolejnych skoncentrowanych akcji poławiania haseł. Przestępcy otrzymali bowiem listę klientów instytucji wraz z danymi kontaktowymi – niezwykle przydatny prezent, przydatny do przyszłych „łowów z włócznią”.

Miej oczy wokół głowy

Nowe schematy działań przestępców są bardziej wyrafinowane i prawdopodobnie nie będą stosowane na masową skalę. Oszuści będą próbowali bardziej zindywidualizowanych form wyłudzania danych. Tym większego znaczenia nabiera ostrożność w poruszaniu się po globalnej sieci. Trudniej będzie nam odróżnić, co jest prawdziwe, a co fałszywe.

O tym, że warto zachować czujność, utwierdzają nas doniesienia o technikach, które mogą być użyte do phishingowych oszustw. Szczególnie ciekawy wydaje się mechanizm nazwany tabnabbing. Polega on na podmianie zawartości jednej z otwartych w przeglądarce kart, podczas gdy użytkownik przegląda inny serwis. Przykład działania tej techniki można odnaleźć na jednym z blogów. Nieuważny internauta może dzięki takiej podmianie trafić na podrobioną stronę logowania np. banku, myśląc, że sam ją otworzył, a więc nie podejrzewając oszustwa.

W miarę jak do internetu przenosi się coraz większa część ludzkiej aktywności, migrują do niego także przestępcy. Tego zjawiska nie da się zatrzymać ani odwrócić. Korzystając z usług finansowych sieci trzeba po prostu mieć się na baczności, tak samo jak korzystając z bankomatu na ruchliwej ulicy.

Michał Kisiel
Analityk Bankier.pl

Źródło: Bankier.pl