PHISHING - sezon połowów w pełni

Moment po tym, jak nauczyliśmy się mniej więcej sobie radzić z wirusami, nadciągnęła nowa zaraza. W ubiegłym roku ataków phishingu gwałtownie przybywało, stały się one też znacznie bardziej wyrafinowane. Nic dziwnego, że instytucje otwarte na Internet zaczęły dostrzegać zagrożenie i próbują z nim walczyć.

Moment po tym, jak nauczyliśmy się mniej więcej sobie radzić z wirusami, nadciągnęła nowa zaraza. W ubiegłym roku ataków phishingu gwałtownie przybywało, stały się one też znacznie bardziej wyrafinowane. Nic dziwnego, że instytucje otwarte na Internet zaczęły dostrzegać zagrożenie i próbują z nim walczyć.

Na początek wiadomość dobra: w porównaniu z początkiem roku ubiegłego, kiedy to lawinowo rosło zagrożenie phishingiem, jest lepiej ze świadomością o zagrożeniu. E-biznes szybko przestawił się na walkę z tym zjawiskiem - zaczęto edukować klientów, aby byli bardziej ostrożni, a dostawcy udostępnili narzędzia i usługi antyphishingu.

Niestety, jest też wiadomość zła: phishing jest coraz powszechniejszy. W styczniu 2004 r. znanych było 198 ośrodków phishingu, w lutym br. liczba ta wzrosła do 2625 (dane APWG - Anti-Phishing Working Group). Liczba unikatowych wiadomości pocztowych phishingu wyniosła w lutym 13 141, a Symantec podaje, że jego filtry antyspamowe Brighmail blokowały średnio 33 mln przesyłek phishingu w grudniu ub.r., w porównaniu z liczbą 9 mln w lipcu.

Szybki wzrost wolumenu ataków phishingu jest jedynie częścią problemu. "Wędkarze" stają się coraz bardziej przebiegli, stosując techniki łowienia bez przynęty, takie jak pharming, spear phishing (na oścień), Google phishing (na Google) czy Wi-phishing (bezprzewodowe). Techniki te służą do wyciągania informacji o kontach użytkowników bez wprowadzania przez użytkownika poufnych informacji na fałszywe strony webowe (zob. ramka).

Łowienie ofiar - nowe metody hakerów

Hakerzy przesunęli swoje zainteresowania z opanowywania ośrodków webowych na uzyskiwanie dostępu do poufnych informacji. Według danych firmy Symantec pomiędzy lipcem i grudniem ubiegłego roku złośliwe kody utworzone do ujawniania poufnych danych reprezentowały ponad połowę z pięćdziesięciu najważniejszych próbek kodów złośliwych dostarczonych do firmy - w pierwszej połowie 2004 r. było to 44%, a w drugiej połowie roku 2003 - 36%.

Hakerzy skupiają się teraz na bardziej lukratywnych i szkodliwych przedsięwzięciach. Jednym z kierunków ich działań jest właśnie phishing. Hakerzy używają poczty elektronicznej do kierowania użytkowników Internetu na fałszywe strony webowe, wyglądające jak witryny legalnych ośrodków e-commerce, banków czy aukcji online. Haker, mający kontrolę nad taką stroną, używa jej do kradzieży informacji, takich jak szczegółowe dane o kontach i hasłach użytkownika.

Phishing staje się coraz bardziej wyrafinowany. Hakerzy ukierunkowują swoje ataki: używając narzędzi podobnych do programów spyware i rejestratorów klawiatury, mogą uzyskać z przechwyconych danych informację, z jakiego banku internetowego korzysta namierzony użytkownik i przygotować profilowaną pod jego kątem przynętę.

Przestępcy odkryli także nowe możliwości związane z technikami bezprzewodowymi. Użytkownicy komputerów, którzy często korzystają z hot spotów w centrach handlowych, portach lotniczych czy innych miejscach publicznych muszą liczyć się ze specjalnym wariantem phishigu, który polega na zwabianiu swoich ofiar poprzez fałszywe ośrodki webowe, wyglądające jak strony logowania legalnych dostawców hot spotów.

W wariancie phishingu Wi-Fi o nazwie Evil Twin, który pojawił się w Internecie w styczniu br., znanym też jako phishing AP (Access Point), atakujący przedstawia się jako legalny hot spot i podstępem zachęca ofiarę do podłączenia się z laptopem czy urządzeniem podręcznym. Z chwilą połączenia atakujący może skłonić użytkownika do ujawnienia informacji poufnych związanych z jego osobą.

Użytkownikom technik bezprzewodowych zaleca się więc podejmowanie kroków zapobiegawczych. Przy dostępie do swojego konta w punkcie dostępowym użytkownik powinien sprawdzać, czy w prawym dolnym rogu okna przeglądarki widnieje klucz SSL. Powinien być także bardzo ostrożny w punktach dostępowych w miejscach publicznych, jak hotele i porty lotnicze, gdzie trudno jest stwierdzić, kto jest do nich podłączony. Takie punkty powinny być używane jedynie do surfowania po Internecie, a nie do przeprowadzania transakcji finansowych, w których wymaga się podawania identyfikatora i hasła.

PHISHING - sezon połowów w pełni

Łowienie ościeniem

Użytkownicy powinni także odłączać lub usuwać karty połączeń bezprzewodowych ze swoich komputerów, kiedy nie zamierzają korzystać z punktów dostępowych. Kiedy zaś korzystają z nich, nie powinni używać niezabezpieczonych aplikacji poczty elektronicznej czy komunikatora.

Chociaż eksperci potwierdzają, że zmniejsza się procent konsumentów padających dzisiaj ofiarą phishingu, kwota ukradzionych w ten sposób pieniędzy jest znacząca. Niedawne badania przeprowadzone przez Ponemon Institute pokazują, że 2% badanych respondentów przyznało się do utraty w ten sposób pieniędzy, a całkowita kwota skradzionych przez phisherów pieniędzy w roku 2004 szacowna jest na pół miliarda USD. Co więcej w badaniach tych, przeprowadzonych na próbce 1335 respondentów, 70% ankietowanych potwierdza odwiedzenie fałszywych stron, a 15% ujawnienie prywatnych danych.

Wyjątkowo kłopotliwy dla handlu online jest efekt psychologiczny. W badaniach 655 konsumentów przeprowadzonych przed firmę Cyota, zajmującą się ochroną przed nadużyciami, ponad połowa respondentów wyraziła obawy o bezpieczeństwie handlu online z powodu phishingu. Także w raporcie firmy Symantec prawie jedna trzecia respondentów twierdzi, iż nie używa bankowości online z powodów tego zagrożenia.

Takie postrzeganie środowiska online wśród klientów może ograniczać stosowanie transakcji online, nawet jeżeli badania pokazują, że ogromna większość zidentyfikowanych kradzieży wydarza się w systemach offline.

Instytucje finansowe, uważające e-bankowość za istotny czynnik wzrostu zyskowności, muszą w obliczu spowodowanego phishingiem braku zaufania do tej usługi podjąć zdecydowane działania zmierzające do zmiany tej sytuacji.

Phishing jest bardziej atakiem na markę niż na konsumenta. Phisher próbuje wykorzystywać znajomość i zaufanie do marki - podsuwa ludziom to, czego się spodziewają.

Sprzęt wędkarski

PHISHING - sezon połowów w pełni

W systemie <b>IdentityGuard</b> bank wydaje klientowi kartę, z której wprowadza on cyfry w kolejności określanej każdorazowo przy logowaniu.

"Wędkarze" są coraz lepiej zorganizowani i bardziej biegli w omijaniu filtrów. Używają całego zestawu złośliwych kodów, w tym robaków, wirusów i spyware, w celu uzyskania poufnych danych, nawet wtedy, gdy ich ofiara nie klika na podsuniętym linku. Wykorzystują nieszczelności hostów webowych i serwerów DNS.

Jedną ze sztuczek, stosowaną do wyciągania haseł używanych przy dostępie do aplikacji, jest sfałszowanie wewnętrznego adresu poczty elektronicznej. Haker może wejść do sieci korporacyjnej na wiele sposobów, jeśli przekona pracowników, że jego wiadomość pocztowa pochodzi od jakiegoś współpracownika. Do takiej wiadomości pocztowej może być podłączony (jako załącznik) rejestrator klawiatury, rejestrujący wpisywanie hasła przez niczego niepodejrzewającego pracownika, w czasie gdy ten zamierza skorzystać z jakiejś aplikacji. Ten sposób gwarantuje hakerowi dostęp do tej aplikacji. Dostawcy zabezpieczeń i organizacje antyphishingowe alarmują, że tak ukierunkowany na sieci przedsiębiorstw atak phishingu - tzw. spear phishing - jest coraz częstszy. Ryzyko w tym przypadku to nie tylko kradzież informacji osobistych, ale także możliwość utraty własności intelektualnej, tajemnic handlowych lub innych istotnych informacji poufnych.

Organizacje wspierające firmy i klientów w walce z phishingiem

Anti-phishing Working Group

Członkowie: MasterCard, Visa, Symantec, Microsoft, RSA Security;

Działania: dzielenie się informacją, rozwiązania techniczne, współpraca z organami ścigania;

Digital Phishnet

Członkowie: Microsoft, AOL, VeriSign, FBI, FTC, Secret Service, RSA Security;

Działania: usprawnianie przepływu informacji pomiędzy przemysłem a organami ścigania, mających na celu ściganie phisherów;

Trusted Electronic Communications Forum

Członkowie: IBM, Best Buy, Charles Schwab, E*Trade;

Działania: promocja standardów technologicznych, edukacja konsumentów i projekty uregulowań prawnych;

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200