PHISHING - sezon połowów w pełni
-
- Józef Muszyński,
- 01.07.2005
Atak ukierunkowany na firmy kosztuje napastnika dużo więcej pracy niż proste wysyłanie do przypadkowych klientów tysięcy przesyłek pocztowych, zawierających link do fałszywej strony webowej. Jednak eksperci ostrzegają, że nie jest to jedyna metoda w tego rodzaju atakach.
Wysyłając wiadomość pocztową rzekomo z banku i wyłudzając w ten sposób od jego klienta hasło, phisher może założyć z dużym prawdopodobieństwem, że jest to takie samo hasło, jakiego klient używa przy dostępie do sieci w miejscu pracy. Oznacza to, że haker, który nie zdołał opracować metody sfałszowania poczty wewnętrznej, może uzyskać dostęp do sieci przedsiębiorstwa, jeżeli posiada wiedzę o miejscu zatrudnienia takiego klienta.
Zwiększa się też liczba ataków, które dotyczą poszczególnych firm, ale niepochodzących z wewnątrz organizacji. Są to najczęściej przesyłki przychodzące od strony usługodawcy internetowego.
W takim scenariuszu "wędkarz" wysyła wiadomość pocztową pod nazwy grupowe poczty elektronicznej, takie jak [email protected], prosząc pracowników o uaktualnienie informacji o kontach. Taka wiadomość może być uznana za wiarygodną, ponieważ wygląda jak pochodząca od zaufanego partnera biznesowego.
Uwierzytelniony nadawca
Oficjalna poczta <b>AOL</b> ma unikatowy wygląd, pozwalający na łatwe zidentyfikowanie nadawcy.
Sformowana w ubiegłym roku specjalnie do walki z phishingiem grupa Financial Services Technology Consortium doradza stosowanie środków prewencyjnych (obejmujących dwuskładnikowe uwierzytelnianie) do sprawdzania wszystkiego, co klient może zobaczyć na ekranie swojego komputera.
Dostawcy oferują różne schematy uwierzytelniania. Problem polega na tym, że większość klientów online po prostu nie chce trudzić się nabywaniem umiejętności posługiwania się wieloma metodami uwierzytelniania, ani też przechowywania stosu tokenów czy kart.
Jest to powód, dla którego wczesne wdrożenia dwuskładnikowego uwierzytelniania dla konsumentów uzyskiwały ograniczoną akceptację. We wrześniu ub.r. AOL udostępnił usługę PassCode Premium Service wykorzystującą tokeny RSA SecurID, kosztującą jednorazowo 9,95 USD za token oraz 2 do 5 USD miesięcznie - w zależności od liczby obsługiwanych użytkowników. Pomimo potencjalnych możliwości zabezpieczenia się przed kradzieżą tożsamości, stopień akceptacji tej techniki jest raczej niewielki.
AOL oferuje tokeny jedynie do ochrony kont logowania do AOL. W sytuacji idealnej tokeny takie powinny uwierzytelniać również użytkowników AOL, korzystających z usług partnerów AOL. Problemem jest jednak niekompatybilność systemów, aczkolwiek jest nadzieja, że podobne technologie będą powszechnie stosowane i integrowane, szczególnie między instytucjami finansowymi.
Pasek narzędzi <b>Netcraft</b> do uwierzytelniania ośrodków webowych na podstawie czarnych list.
Nowsze, prostsze metody wezwanie-odpowiedź mogą ułatwić użytkownikom ich używanie i dlatego są chętniej akceptowane. I tak firma Entrust oferuje system IdentityGuard. Przy logowaniu użytkownik jest wzywany do podania numerycznego hasła zapisanego na wcześniej wydanej karcie.
Uwierzytelnianie dwuskładnikowe i dwukanałowe firmy StrikeForce o nazwie ProtectID polega z kolei na dzwonieniu do użytkownika na wcześniej ustalony numer telefonu i pytaniu go o hasło. W tym przypadku bieżące hasło jest serią pytań zaczerpniętych z informacyjnej bazy danych, na które klient powinien znać odpowiedź.
Wieloskładnikowe uwierzytelnianie podwyższa koszty uwierzytelniania, ale bywa konieczne z uwagi na wymagany poziom bezpieczeństwa transakcji.
Uwierzytelnić szyld
Jak działa Sender ID Framework (SPF)
Pojawiły się standardy uwierzytelniania poczty elektronicznej, takie jak Sender ID. Według Microsoftu już 750 tys. domen publikuje swoje rekordy Sender ID Framework (SPF). Uniemożliwi to niektórym spamerom i phisherom działanie, ponieważ rekordy SPF nie pozwalają na fałszowanie adresów zwrotnych. W czasie weryfikacji standardu w ciągu jednego dnia Hotmail Microsoftu przechwycił 3,2 mld wiadomości uznanych za spam!
W rozwiązaniu firmy <b>PassMark Security</b> użytkownik jest skojarzony z konkretnym obrazkiem i frazą. Kiedy wywołuje on stronę logowania, to zaproszenie o podanie hasła zawiera ten właśnie obrazek i frazę, co świadczy, że ośrodek jest legalny.
Z chwilą szerokiego wykorzystywania standardu SPF możliwe stanie się potwierdzanie, czy wiadomość pochodzi z legalnego źródła - jeżeli nie, to łatwo można ją będzie zablokować.
Jednocześnie wiele dużych marek projektuje własne systemy poczty elektronicznej do komunikacji bezpośrednio z klientami. AOL używa poczty uodpornionej na fałszowanie, która ma odmienny wygląd niż poczta wysyłana z systemów pocztowych spoza AOL. Nie jest ona kodowana w HTML, a jasnoniebieska koperta, ciemnoniebieskie tło wokół liter i logo "Official AOL Mail" łatwo zapamiętać.
W grudniu ub.r. eBay uruchomiła pierwszą fazę wewnętrznego systemu pocztowego, w którym wiadomości mogą być czytane przez użytkowników zalogowanych do swoich kont na eBay. System został zaprojektowany w celu odzwyczajenia klientów od komunikacji z eBay przy użyciu ogólnie dostępnych kont pocztowych.
Podejmowane są też próby uwierzytelniania poczty przez samych klientów, np. przez wykorzystanie spamBloker firmy EarthLink, który zatrzymuje pocztę przychodzącą spod adresów niewidniejących w książce adresowej użytkownika, i wysyła do nadawcy żądanie potwierdzenia. Do chwili uzyskania odpowiedzi i zaakceptowania nadawcy przez umieszczenie go w książce adresowej, oryginalna wiadomość przechowywana jest w folderze "poczta podejrzana". Podobny system, o nazwie ChoiceMail, oferuje firma DigiPortal Software.
W maju w polskich mediach pojawiła się informacja o rekordowym phishingu, w wyniku którego klienci jednego z banków stracili ok. 1 mln zł.
Do przechwycenia haseł wykorzystano konia trojańskiego rozsyłanego pocztą elektroniczną do potencjalnych ofiar. Przechwytywał on dane umożliwiające dostęp do konta bankowego i przekazywał na serwer hakerów.
Ofiarami złodziei padli klienci banku, który oferuje dostęp przez Internet bez stosowania bezpiecznych metod uwierzytelnienia, takich jak tokeny czy hasła jednorazowe. Logowanie do konta za pomocą hasła i brak dodatkowej autoryzacji przelewów stosuje na przykład Citibank Handlowy. Dwa hasła - odrębne do logowania i do przelewów są stosowane m.in. w KredytBanku i BPH. Według niepotwiedzonych informacji ofiarą kradzieży padli klienci tego ostatniego. Stosowanie dwóch haseł z punktu widzenia phishera nie jest problemem - wystarczy przechwycić tylko jeden przelew, aby poznać to drugie hasło.
Większość banków online stosuje jednak do przelewów hasła jednorazowe lub tokeny (m.in. mBank, Inteligo, Lukas Bank).
Piotr Kaszyca z polskiego oddziału RSA Security tak komentuje to wydarzenie: Bezpieczeństwo danych użytkowników jest filarem, na którym budować trzeba wszelkiego typu usługi online, w szczególności w zakresie bankowości elektronicznej. Niedawne doniesienia prasowe pokazują, że zagrożenia określane mianem phishingu są jak najbardziej realne również w naszym kraju. Niewątpliwie do ograniczenia takich problemów przyczynić się może prowadzona obecnie przez banki akcja informacyjna dla użytkowników o bezpiecznym używaniu bankowości internetowej. Sama edukacja problemu jednak nie rozwiąże. Dostępne są obecnie tzw. technologie silnego uwierzytelniania - dobrym przykładem jest np. token uwierzytelniający SecurID - które praktycznie eliminują tego typu zagrożenia. Potwierdza to doświadczenie polskich banków, które technologię tę już stosują.
