Phishing napadi – internetna ribičija

Cilj ti. phishing napadov je pridobivanje gesel in uporabniških imen internetnih uporabnikov s pomočjo e-pošte in lažnih spletnih strani. Napadalci naredijo popolne kopije spletnih strani nekega znanega podjetja (prednačijo banke in druge finančne ustanove), s pomočjo skript zagotovijo, da se v naslovni vrstici uporabnikovega brskalnika prikaže nepravi URL naslov, ki je podoben pravemu naslovu podjetja, nato pa uporabnika s sporočilom, ki mu ga poslejo na e-naslov, pozovejo k spremembi njegovih podatkov na lažni spletni strani.
V lažni elektronski pošti uporabljajo uveljavljena imena bank, plačilnih kartic in drugih finančnih organizacij. Zaradi spletnega naslova, ki se v začetku ujema s pravim naslovom (npr. www.visa.com/xyz/xyz/), nepozoren uporabnik seveda sploh ne bo opazil, da se v bistvu nahaja na lažnih straneh in bo napadalcu seveda naivno zaupal tako občutljive podatke kot so: številka plačilne kartice, PIN koda, gesla in uporabniška imena za dostop in podobno.
 
Kako deluje phishing napad?
V prvem koraku prejme žrtev phishing napada e-sporočilo, ki izgleda tako, kot da je prišel s popolnoma legitimnega naslova uglednega in poznanega podjetja (npr. tech.support@ime_banke.com). Naslov sporočila (subject line v poštnem klientu) je ponavadi naključno generiran, navezuje pa se na ime banke oz.druge ustanove (npr.: Pomembno obvestilo – ime banke; Pomembne varnostne informacije – ime banke, Opozorilo vsem uporabnikom – ime banke). Ker gre običajno za sporočila napisana v angleškem jeziku, se v naslovu sporočila najpogosteje uporabljajo naslednje besedne zveze: urgent information, notification of transfer; important security information; warning from 'X' bank; ipd.
 

Namen napadalcev, ki izvajajo phishing napade, je prepričati uporabnike, da jim razkrijejo zaupne informacije, kot so npr. gesla za spletne bančne račune.

 

Sporočilo, ki je napisano v uradnem jeziku izgleda popolnoma pristno in avtentično poleg tega pa je vsebina napisana tako, da takoj pritegne uporabnikovo pozornost in mu da vedeti da gre za izjemno pomembno sporočilo. Prejemnik sporočila je tako npr. obveščen, da je njegov bančni račun zaklenjen in da je nujno potrebna potrditev njegove identitete preko spletne strani ali pa npr. da je zaradi vse pogostejših zlorab nujna potrebna zamenjava gesel. Scenariji sporočil so precej podobni, vsi pa imajo isti cilj – pretentati prejemnika sporočila in od njega izvabiti zaupne podatke s katerimi se bo lahko pošiljatelj sporočila okoristil. Prejeta sporočila ne naslavljajo prejemnika po imenu ampak ga nagovarjajo na splošno (npr. Dragi uporabnik). Skupna lastnost vseh prejetih sporočil je tudi ta, da sporočila vsebujejo povezavo do lažne spletne strani, preko katere bi naj uporabnik posredoval prevarantskemu podjetju zaupne podatke.

Tisto kar pri celotni zadevi najbolj zavede uporabnike je to, da niti v sanjah ne pomislijo, da so potencialna žrtev zlorabe, saj nikakor ne morejo podvomiti v pristnost prejetega sporočila niti v verodostojnost spletne strani na katero so preusmerjeni ko kliknejo na povezavo v prejetem e-sporočilu. Zaradi uporabe logotipov in ostalih grafičnih simbolov, se lažna spletna stran in elektronsko sporočilo tako v izgledu kot tudi v funkcionalnosti namreč popolnoma ujemata s spletno stranjo ali s pismom legitimnega podjetja.

Omenjeno vrsto prevar je v bistvu zelo enostavno izvesti, saj so ponarejanje pošiljateljevega naslova, prikrivanje prave povezave (napadalci s pomočjo skript spremenijo naslov, ki ga uporabnik vidi v brskalniku tako, da izgleda kot da je pravi – http://www.banka.com/xyz/) in zajem podatkov, sila preprosto opravilo za vsakega malce bolj izkušenega programerja. Slike, logotipi in ostale grafike, ki se uporabljajo na lažnih straneh in v posredovani e-pošti pa so tako ali tako vsem uporabnikom dostopne na originalnih straneh. Goljufi si tako na razmeroma enostaven način in brez velikega naprezanja poizkušajo (na žalost velikokrat tudi uspešno) pridobiti dostop do bančnih računov nič hudega slutečih uporabnikov.

Končni cilj phishing prevar pri katerih uporabnik posreduje zaupne podatke tretjim osebam, je seveda kraja denarja. Verjetno ni potrebno posebej poudarjati, da so poleg posameznikov oškodovana tudi podjetja, saj jih takšni napadi spravijo na slab glas, kar se posledično kaže v izgubi verodostojnosti in ugleda na trgu.
 

Primer vsebine e-sporočila, ki ga je dobila žrtev phishing napada
»Tehnična služba banke xy, se je zaradi varnostnih razlogov in vse pogostejših zlorab, odločila, da bo nadgradila programsko opremo. Iskreno vas prosimo, da kliknete na povezavo http://www.ime_banke.com/ , in na naši spletni strani potrdite svoje podatke, da ne bi zaradi menjave opreme prišlo do blokiranja vašega dostopa do servisa, ki ga uporabljate. Ta navodila so bila poslana vsem našim strankam in jih je potrebno obvezno izvršiti.«

 

 Kako poteka ribarjenje na internetu?
Beseda Phishing je skovanka besed »password« in »fishing« (nekateri viri vključujejo tudi besedo »harvesting«), kar bi si lahko razlagali kot ribarjenje za gesli. S phishing (izgovori se fišing tako kot ribarjenje po angleško) napadi označujemo tisto vrsto internetnih prevar, s pomočjo katerih napadalec s kombinacijo uporabe e-pošte in lažne spletne strani, pridobi zaupne podatke uporabnikov. Le-ti so zaradi svoje naivnosti ali pa nevednosti zapeljani in tako v dobri veri posredujejo podatke s katerimi se nepridipravi okoristijo, nedolžnega uporabnika pa opeharijo za kar precejšnjo vsoto denarja. Če se vrnemo nazaj na ribolov, lahko rečemo, da ima napadalec vlogo ribiča, trnek je e-pošta, vaba lažna spletna stran, uporabnik pa je riba, ki se ujame.

Primer konkretnega phishing napada

 

<Slika1: napad_posta.jpg> Žrtev phishing napada dobi najprej e-sporočilo

<Slika2: napad_spletna_stran.jpg>
Po kliku na povezavo v e-sporočilo pride žrtev napada na spletno stran, ki je popolna replika eBayeve originalne strani. V polju, ki je rezerviran za naslov spletne strani, je uporabljena tehnika prepisovanja lažnega naslova v naslov, ki je precej podoben originalnemu. Največja pomanjkljivost te strani je ta, da v desnem spodnjem kotu brskalnikovega okna nima ikone s podobo ključavnice, ki se prikaže na vseh straneh z varovanimi podatki, ki vključujejo 'https' v začetku URL naslova.

<Slika3: napad_spletna_stran2.jpg>
Ko uporabniki vnesejo zahtevane podatke, se le-ti posredujejo sleparjem, lažna spletna stran pa se nadomesti s pravo eBayevo vstopno stranjo. Če sta vnešeni veljavni podatki, bo celoten proces nevednemu uporabniku izgledal seveda čisto normalno. Ravno zaradi tega je ta potegavščina tako nevarna.

Boj proti prevaram
Na spletnih straneh skupine Anti-Phishing Working Group (APWG, www.antiphishing.org), ki se z opozarjanjem, izobraževanjem in obveščanjem javnosti, bori proti phishing zlorabam, lahko spremljate arhiv raznih phishing prevar, statistiko zlorab in preberete priporočila, ki jih je smiselno upoštevati, če se želite izogniti tej vrsti internetne zlorabe. Po podatkih APWG se število lažnih spletnih strani, ki poskušajo od obiskovalca izvabiti različne zaupne podatke, vsak mesec poveča za polovico, kar je strah vzbujajoče.

Phishing napadi v številkah
  • Napadalcem uspe v povprečju prevarati 5% prejemnikov njihovih e-sporočil
  • Število različnih phishing napadov v mesecu juliju: 1974
  • Povprečno število napadov na dan: 64
  • Povprečna mesečna stopnja rasti phishing napadov: 50%
  • Podjetje, ki je julija doživelo največ napadov: Citibank (682)
  • Država, ki gostuje največ lažnih spletnih strani povezanih s phishing napadi: ZDA (35%)
  • Daleč največ lažnih spletnih strani, ki omogočajo phishing napade, je postavljeno v ZDA. Sledijo Rusija, Velika Britanija, Mehika in Russia, ki beležijo znaten porast prevarantskih spletnih strani. Analize kažejo, da približno 35% strani gostuje na strežnikih, na katere so vsiljivci namestili svoje strani, ne da bi lastniki strežnikov to sploh vedeli.

Vir: APWG

 

Da je število poizkusov prevar, ki slonijo na kombinaciji uporabe e-pošte in lažnih spletnih strani, v izjemnem porastu ugotavlja tudi Ponemon Institute, ki ocenjuje, da bi naj phishing napadi povzročili uporabnikom iz ZDA v letošnjem letu za 500 milijonov dolarjev škode. Raziskovalno podjetje Gartner je podalo oceno, da je aprila letos kar 57 miilijonov američanov dobilo e-sporočilo, katerega namen je bil phishing napad. Od vseh prejemnikov bi jih naj kar 1.8 milijone (3%), razkrilo svoje osebne podatke. Od teh bi naj več kot polovica uporabnikov doživela zlorabo posredovanih podatkov.

<tabela> Lestvica podjetij, ki so bila v poletnih mesecih letošnjega leta največkrat napadena

Napadena tarča

julij-04

sprememba
 jul/jun

junij-04

sprememba
jun/maj

maj-04

Citibank

682

+39%

492

+33%

370

U.S. Bank

622

+148%

251

+50%

167

eBay

255

-11%

285

-3%

293

PayPal

147

-10%

163

+9%

149

AOL

41

+193%

14

-18%

17

Suntrust

25

+525%

4

300%

1

LLoyds

23

-4%

24

+41%

17

Fleet

20

-64%

55

+66%

33

Barclays

17

-11%

19

+26%

15

Earthlink

15

114%

7

+16%

6

Iz tabele je razvidno, da sodijo med najbolj priljubljene tarče napadalcev podjetja, ki se ukvarjajo s finančnimi storitvami. Julija so ta podjetja beležila v povprečju 53 napadov dnevno. Sledijo trgovska podjetja (v prvi vrsti eBay), vendar z znatno manjšim številom napadov.
</tabela>

Kako se izogniti phishing napadom?

  • Nikoli ne odgovarjajte na e-pošto, ki vas prepričuje o posredovanju zaupnih osebnih in finančnih podatkov. Verodostojna podjetja takšnih zahtev nikoli ne bodo pošiljala prek e-pošte.Če se vam porajajo kakršnikoli dvomi povezani z vsebino sporočila, vam priporočamo, da pokličete po telefonu ustanovo od katere bi naj e-pošta prišla.
  • Takoj podvomite v e-pošto, ki se sklicuje na nujno spremembo oz. zahtevo po posredovanju zaupnih podatkov (npr. številka kreditne kartice, uporabniško ime in geslo, ipd) , razen če ni sporočilo digitalno podpisano.
  • Napadalci običajno uporabljajo nepersonalizirana sporočila (brez osebnega naslavljanja) z vznemirljivimi besedami, ki skušajo takoj pritegniti našo pozornost in izvati določeno akcijo.
  • Ne klikajte na povezave v dvomljivih poštnih sporočilih, ki bi jih naj poslale banke, izdajatelji kreditnih kartic, podjetja, ki se ukvarjajo z elektronskimi plačilnimi storitvami (npr. PayPal), ipd. Če dostopate do spletnih strani z zaupnimi informacijami je najbolj varen način ta, da ročno vpišete naslov strani v naslovno vrstico brskalnika, ki ga uporabljate.
  • Preverite, če se nahajate na spletni strani, ki uporablja šifriranje podatkov. URL naslov v naslovni vrstici se mora začeti s https://. Črka »s« je oznaka za »secure« (slovenski prevod: varen, zavarovan). V primeru uporabe brskalnika Internet Explorer bodite pozorni na ikono s ključavnico, ki se mora pojaviti v statusni vrstici na spodnji desni strani brskalnika. Če je ikona s ključavnico zaklenjena, pomeni da se nahajte na spletni strani, ki uporablja šifriranje (glej sliko4). Z dvojnim klikom na ikono lahko preverite varnostni certifikat spletnega mesta na katerem se nahajate. Poiščite naslov, ki se nahaja v polju Izdano. Če se naslov ne ujema z naslovom spletnega mesta, kjer se nahajate, obstaja velika verjetnost, da se nahajate na lažni spletni strani. 
  • Redno pregledujte bančna obvestila in izpiske za svojo kreditno kartico, kot tudi sam račun do katerega imate spletni dostop. Če opazite karkoli sumljivega, takoj kontaktirajte vašo banko oziroma izdajatelja kreditne kartice. Vse morebitne zlorabe prijavite ustreznim uradom. Prevaro prijavite tudi podjetju, od katerega bi naj prejeli lažno e-pošto. Odveč ne bo niti to, da boste lažno e-sporočilo, ki ste ga prejeli, posredovali na e-naslov organizacije, ki se ukvarja s phishing zlorabami (reportphishing@antiphishing.com). Phishing napad lahko prijavite tudi na Centru za prijavo internetnih zlorab (Internet Fraud Complaint Center, www.ifccfbi.gov), ki deluje pod okriljem FBI. Glede na to, da center deluje po vsem svetu, lahko s pomočjo zakonov hitro zaustavi lažna spletna mesta in sproži pregon proti ljudem, ki so odgovorni za prevaro.
  • Na računalniku imejte nameščene najnovejše popravke operacijskega sistema, nameščeno imejte zadnjo verzijo brskalnika vključno z vsemi morebitnimi varnostnimi popravki (naložite si jih lahko na strani www.microsoft.com/security/), program za odstranjevanje vohunskih programov (npr. Ad-aware) ter redno posodobljen antivirusni program.
     
    Podjetji Microsoft in Amazon.com se borita proti zlorabam zaupnih osebnih podatkov
    Podjetji Amazon.com in Microsoft sta najavili, da sta vložili tožbe proti pošiljateljem neželene e-pošte in uporabnikom, ki so poskušali z uporabo lažnih spletnih strani Amazon.com pridobiti zaupne osebne podatke. Podjetji sta se povezali, da bi preprečili nadaljnje spletne in e-poštne prevare, ki grozijo strankam obeh podjetij in uporabnikom interneta po vsem svetu. Podjetji sta sodelovali pri identifikaciji napadalcev, s skupnimi močmi pa iščeta tudi tehnične rešitve za preprečevanje tovrstnih zlorab ter prevar.
    Vir: aNET

 


Moj mikro
,
december 2004

One comment

Dodaj odgovor

Your email address will not be published.

top