PHISHING - sezon połowów w pełni
-
- Józef Muszyński,
- 01.07.2005
Systemy te to recepta na podstawowy chwyt używany przy zwabianiu ofiar przez większość spamerów, a zwłaszcza phisherów - brak prawidłowego adresu zwrotnego w przesyłce pocztowej.
Chociaż biznes i klienci mogą znaleźć wiele opcji uwierzytelniania poczty, to sprawdzenie legalności ośrodka webowego jest bardzo trudne. Ponieważ w phishingu używane są fałszywe adresy webowe i zdolność przekierowania przeglądarki, biznes musi poszukiwać sposobów uwierzytelniania się wobec swoich klientów.
Firma PassMark Security oferuje dwuskładnikowe uwierzytelnianie, które opiera się na unikatowych obrazkach wysyłanych do klienta, które mogą być użyte do sprawdzenia ośrodka webowego na panelu logowania. Użytkownik jest skojarzony z konkretnym obrazkiem i frazą. Kiedy wywołuje on stronę logowania, to zaproszenie o podanie hasła zawiera ten właśnie obrazek i frazę, co świadczy, że ośrodek jest legalny. PassMark oferuje tę samą technikę dla uwierzytelniania poczty elektronicznej.
Inną opcją jest uwierzytelnianie legalności ośrodka. Wymaga to zainstalowania w przeglądarce użytkownika paska narzędzi, uwierzytelniającego linki na podstawie czarnych list. Takie paski narzędzi oferują swoim użytkownikom AOL, eBay i EarthLink. Dostępne są także podobne wtyczki programowe (plug-in) dostawców niezależnych. Narzędzia dostawców niezależnych tworzą listy fałszywych adresów webowych poprzez wyszukiwanie źle napisanych URL, podobnych adresów webowych i innych wyraźnych oznak fałszowania URL.
Filtry antyspamowe w walce z phishingiem
Do walki z phishingiem można używać rozwiązań chroniących przed spamem, a także atakami typu "żniwa adresowe", w których phisherzy wyciągają adresy z serwerów pocztowych. Efektywność produktów antyspamowych z ochroną przed phishingiem jest jednak często kwestionowana przez specjalistów, ponieważ w większości ich działanie polega na blokowaniu wiadomości zawierających URL do znanych ośrodków phishingu lub uniemożliwianiu przeglądarkom wchodzenie na strony takich ośrodków. Oznacza to, że są bezradne w obliczu nowych ataków, które zachęcają do odwiedzania stron niebędących jeszcze na czarnej liście. Biorąc pod uwagę, że większość ośrodków phishingu funkcjonuje jedynie przez kilka godzin, czarne listy takich ośrodków nie zapewniają zbyt wielkiej ochrony.
Jednym z ciekawych wyjątków jest tu Gateway Server Enterprise Edition firmy MailFrontier, który zawiera specjalne filtry oparte na technologii Bayesa, znanej z produktów antyspamowych, zatrzymujących phishing zanim wejdzie do sieci organizacji. Skanowanie poczty elektronicznej filtrami przystosowanymi do wyszukiwania fałszywych wiadomości jest całkiem inne niż skanowanie pod kątem spamu, ponieważ wiele przesyłek phishingu próbuje zachęcić odbiorcę do uaktualnienia jego danych osobowych, rzekomo w celu zapewnienia im bezpieczeństwa.
Na pytanie, jak najlepiej walczyć z phishingiem, eksperci zazwyczaj na pierwszym miejscu wymieniają edukację użytkowników - człowiek zawsze był najsłabszym ogniwem w łańcuchu bezpieczeństwa. Jednak samo ostrzeganie o zagrożeniu nie wystarczy. Według ekspertów konieczny jest globalny standard uwierzytelniania, który zweryfikuje, czy wiadomość pocztowa rzeczywiście została wysłana z deklarowanej domeny, a także oceni wiarygodność każdego adresu internetowego.
Najnowsze dane statystyczne, przedstawione przez grupę roboczą zajmująca się phishingiem (APGW), nie są zbyt optymistyczne. Mimo iż liczba ataków ostatnio nie rośnie, to jednak metody stają się coraz bardziej wymyślne.
W marcu br. całkowita liczba unikatowych przesyłek phishingu, zgłoszonych do tej organizacji, osiągnęła 13 356, co stanowi dwuprocentowy wzrost w odniesieniu do statystyk odnotowanych w lutym br. Chociaż wolumen przesyłek phishingu istotnie się zwiększył na przestrzeni roku - głównie w grudniu ub.r. - ich liczba ustabilizowała się w lutym i marcu i być może na jakiś czas osiągnęła wartość szczytową.
Zamiast liczby zwiększa się zakres i złożoność podejmowanych ataków. W marcu liczba unikatowych ośrodków phishingu wzrosła o 6,9% - do 2 870, podczas gdy liczba wykorzystywanych marek wzrosła do 78 (68 w miesiącu lutym).
Większość ataków skierowana była do klientów kilku wybranych marek, stanowiąc 80% całej tego typu aktywności.
APGW zaczęła analizować różne typy ataków phishingu i ma teraz możliwość udostępniania szkicowych statystyk, które pokazują ryzyko związane z rejestratorami klawiatury opartymi na technice trojanów. Pomiędzy listopadem i grudniem 2004 r., kiedy to zaczęto śledzić poszczególne typy zagrożeń, liczba nowych rejestratorów klawiatury zwiększała się o jeden do dwóch wariantów tygodniowo, umiejscowionych na 10 do 15 nowych ośrodkach webowych tygodniowo. W ciągu lutego i marca liczby te wzrosły do ośmiu nowych rejestratorów klawiatury tygodniowo i około stu ośrodków webowych.
Ataki te są inicjowane na kilka różnych sposobów. Są to zarówno konwencjonalne sposoby zachęcania do klikania na zamieszczonym w przesyłkach pocztowych linku prowadzącym do ośrodka zainfekowanego trojanem, jak również nowe metody, opierające się na komunikatorach. Luki w Internet Explorer są jednym ze sposobów uruchamiania bez upoważnienia kodu na odległym pececie.
Co ciekawe szczególnie narażeni są użytkownicy mówiący po portugalsku, jako że największa liczba takich ośrodków usytuowana jest w Brazylii.
Pharming
Jak działa: Haker atakuje serwer DNS w celu przekierowania wejść - ze strony legalnego ośrodka na ośrodek pułapkę. Taki "zatruty" serwer DNS został użyty do kierowania użytkowników Google i Amazon do ośrodka związanego z medykamentami.
Obrona: Uszczelnienie DNS i uwierzytelnianie ośrodków webowych wobec użytkownika.
Spear phishing
Jak działa: Phisher ładuje rejestrator klawiatury na opanowanej maszynie za pośrednictwem panelu przeglądania poczty, komunikatora, wyskakujących okienek lub przejętych ośrodków webowych. Rejestrator klawiatury uaktywnia się, gdy do przeglądarki wprowadzany jest jakikolwiek tekst.
Obrona: Zachęcać klientów do stosowania i uaktualniania na bieżąco oprogramowania antyspyware, zapór ogniowych i antywirusów. Instruowanie użytkowników, aby nie klikali na wyskakujących okienkach, czy linkach w komunikatorach. Przeglądanie posiadanych aplikacji pod kątem niezałatanych luk.
Google phishing
Jak działa: Phisher używa motorów wyszukujących do kierowania ruchu do nielegalnych ośrodków.
Obrona: Sprawdzanie niewłaściwego użycia marki i zamknięcie ośrodka tak szybko, jak jest to możliwe. Zarejestrowanie wszystkich przybliżeń nazw własnej domeny, aby nie można było ich użyć jako domeny fałszywej.
Nieefektywne filtry
Jak działa: Phisher używa nietypowych wywołań i usług antyspamowe do przechytrzenia filtrów.
Obrona: Stosowanie najnowszych osiągnięć technicznych do walki z phishingiem i spamem. Poprawne ustawianie filtrów antyspamowych.
Fałszowanie adresów
Jak działa: Phisher wykorzystuje luki przeglądarki i nowe międzynarodowe webowych znaki przyjęte do stosowania w nazwach internetowych przez Internet Corporation for Assigned Names and Numbers International Domain Name Standard.
Obrona: Projektowanie usług webowych, tak aby akceptowały różne przeglądarki, nie tylko Internet Explorer (najbardziej podatna na fałszowanie). Zachęcanie użytkowników do łatania przeglądarek, jak tylko pojawiają się poprawki bezpieczeństwa.
Wi-phishing
Jak działa: Sterowany zbiorem informacji o hasłach i kontach dostępowych.
Obrona: Zachęcanie użytkowników do stosowania szyfrowania komunikacji bezprzewodowej i wyłączania lub wyjmowania kart transmisji bezprzewodowej, kiedy nie prowadzi się transmisji.
