Różne twarze phishingu

Z podsumowania firmy RSA wynika, że w 2012 r. pobito rekord liczby ataków phishingowych. Ataki z wykorzystaniem podrobionych stron to poważne zagrożenie dla firm i prywatnych użytkowników sieci.

W ciągu ub. r. przestępcy korzystający z phishingu stosowali podrobione witryny podobne do oryginalnych stron sklepów i usługodawców, ale pojawił się kolejny sposób dotarcia do ofiar - wykorzystywano aplikacje mobilne do zakupów online. Celem ataków były też witryny linii lotniczych, platformy gier i zakładów losowych online, strony operatorów telekomunikacyjnych oraz usługodawców oferujących pocztę elektroniczną przez www.

Analiza kodu udowadnia, że twórcy złośliwego oprogramowania, odpowiadając na potrzeby podziemnego rynku, są ważnymi dostawcami narzędzi, które potem stosuje się w atakach phishingowych. Do niektórych komercyjnych ataków niezbędne są niestandardowe narzędzia dostarczane przez twórców malware'u, niedostępne na podziemnej giełdzie eksploitów i narzędzi włamań.

Phishing mobilny

Jednym z najbardziej dochodowych sektorów phishingowych jest wykorzystanie urządzeń mobilnych. Sektor charakteryzuje się znaczącym wzrostem aktywności, odzwierciedlającym ogólną tendencję upowszechnienia się urządzeń mobilnych w biznesie oraz życiu prywatnym.

Eksperci z RSA uważają, że w najbliższym czasie będzie można zaobserwować coraz więcej ataków phishingowych kierowanych do użytkowników sprzętu mobilnego, w szczególności smartfonów. Działania będą przyjmować formę różnych ataków socjotechnicznych w różnych kanałach komunikacji: głosowym (ataki o nazwie vishing zawierające fałszywe wiadomości głosowe i podrobione kanały samoobsługowe IVR), SMS (smishing), aplikacji mobilnych umożliwiających atakowanie, a także klasyczny spam wiadomości e-mail kierujących do stron specjalizowanych pod kątem przeglądarek w smartfonach.

Uwaga na aplikacje w smartfonach

Aplikacje mobilne są głównym motorem rozwoju smartfonów, a ich duża popularność jest ceniona przez internetowych złodziei. Najwyżej cenione są te, które użytkownicy wykorzystują codziennie, np. gry, obsługa sieci społecznościowych, zakupy. W 2013 r. firmy będą coraz agresywniej inwestować w ten rynek, przenosząc tam produkty i usługi obsługiwane przez aplikacje mobilne. Za nimi przyjdą przestępcy, którzy skoncentrują się na aplikacjach mobilnych i będą tą drogą prowadzić ataki phishingowe, wprowadzać złośliwe oprogramowanie, kraść dane oraz pieniądze użytkowników smartfonów.

Problem z zagrożeniami przenoszonymi przez aplikacje mobilne dotyczy wszystkich platform, ale najbardziej narażone są smartfony z Androidem, gdyż jako jedyna z czterech najpopularniejszych umożliwia instalowanie dowolnej aplikacji spoza oficjalnego repozytorium. Łatwo jest przemycić złośliwe oprogramowanie do sklepu z aplikacjami. Takie aplikacje mogą być wykorzystane do przeprowadzania kolejnych ataków, także phishingowych, ponieważ mogą posłużyć się motorem przeglądarki, wyświetlając inną stronę od tej, którą zamierza odwiedzić użytkownik.

Sieci społecznościowe jako medium ataku

W 2008 r. zaledwie 20% internautów w USA korzystało z sieci społecznościowych. W ciągu zaledwie czterech lat odsetek wzrósł dwukrotnie. To samo zjawisko występuje w innych krajach, nawet jeśli wprowadzone są tam ograniczenia dostępu do serwisów zewnętrznych. Obejmuje również firmy - w Stanach Zjednoczonych 50% przedsiębiorstw z listy Fortune 100 prowadzi konta na Twitterze, Facebooku i YouTube. Aby przedstawić skalę rozwoju tych sieci, wystarczy wspomnieć, że sam Facebook może pochwalić się dziesięciokrotnym wzrostem liczby członków od roku 2008 przy ponad 7 mln odwiedzin miesięcznie.

Cyberprzestępcy również korzystają z rynku o tak dynamicznym wzroście, gdyż za użytkownikami przechodzą ich pieniądze. Obecnie obserwujemy wzmożone zainteresowanie sieciami społecznościowymi, w których poszukiwane są punkty z informacjami o zainteresowaniach przyszłych ofiar. Ponieważ niektóre z tych punktów już zostały znalezione, ataki phishingowe są coraz sprawniejsze. Według badań Microsoftu, na początku 2010 r. sieci społecznościowe były wykorzystywane zaledwie do 8,4% ogółu ataków phishingowych. Pod koniec 2011 r. ta liczba wzrosła znacząco i wyniosła już 84,5% ogółu ataków.

Oprócz zagospodarowania nowej niszy rynkowej, internetowi złodzieje zwiększają także ogólną aktywność. Tylko w jednej z sieci, w Facebooku, notuje się wzrost ataków na poziomie 13,5% miesięcznie. Według badaczy z firmy Kaspersky Lab, Facebook jest dobrym miernikiem aktywności cyberprzestępców - to najważniejszy cel ataków.

Złodzieje okradają graczy

Ważnym czynnikiem, który podnosi skuteczność ataków phishingowych, jest olbrzymia popularność gier online osadzonych w portalach społecznościowych. Większość z nich jest dostępna za darmo, ale wymagają opłat za niektóre wirtualne przedmioty lub własności. Uczestnicy gier są przyzwyczajeni do pobierania drobnych opłat, a zatem żądanie płatności kartą kredytową oraz prośba podania informacji osobistych w zamian za jakaś opcję w grze nie wzbudza podejrzeń. Niektóre aplikacje będą atakowane w ten sposób, by wprowadzić pozyskiwanie danych uwierzytelnienia do przeprowadzenia płatności online, inne z kolei zostaną przełamane, by kierowały do stron kradnących pieniądze z kart płatniczych.

Z tej metody będą mogli skorzystać złodzieje także w Polsce, gdyż tu standardem jest przekierowanie do strony partnera płatności zamiast pobierania informacji o kartach kredytowych przez operatora gry. Do kradzieży wystarczy sporządzenie fałszywej strony którejś z firm obsługujących płatności online, a następnie przekierowanie do niej logowania i typowych procesów płatności w popularnej grze.

Popularność sieci społecznościowych i gier online w portalach takich jak Facebook będzie silnym motorem rozwoju phishingu połączonego z grami.

Obrona przed phishingiem

Zdecydowana większość wiadomości, które służą do późniejszego ataku, dociera do użytkowników za pomocą poczty elektronicznej lub portali społecznościowych. Ponieważ jest to atak wykorzystujący socjotechnikę, pracownicy muszą mieć świadomość współodpowiedzialności za bezpieczeństwo firmy. Oto kilka porad, jak minimalizować ryzyko ataku:

- Poważne serwisy rzadko proszą użytkowników o odwiedzenie i zalogowanie się na stronie przez wiadomości e-mail. Należy wyrobić czujność wśród pracowników - każda taka wiadomość powinna być weryfikowana.

- Instytucje finansowe nigdy nie żądają ujawnienia żadnych danych uwierzytelnienia. Wszelkie takie żądania są próbą oszustwa i należy je zgłaszać do osób odpowiedzialnych za bezpieczeństwo.

- Nie należy otwierać linków URL bezpośrednio z otrzymanych wiadomości, gdyż łatwo jest podobne hiperłącze podrobić w taki sposób, by przekierowywało do obcej witryny.

- System operacyjny komputera, klienta poczty elektronicznej, przeglądarkę internetową, a także oprogramowanie filtrujące ruch www należy utrzymywać w stanie aktualności.

- W wiadomościach e-mail nigdy nie wolno wysyłać haseł ani innych danych uwierzytelnienia. Wszelkie żądania należy pozostawić bez odpowiedzi i zgłosić oficerowi bezpieczeństwa.

- Należy sprawdzać, czy połączenie jest szyfrowane za pomocą HTTPS (SSL) i czy adres docelowej strony rzeczywiście należy do domeny właściwej dla podmiotu, który jest dostawcą usług. Nie ma obecnie instytucji finansowej, która oferowałaby usługi bankowości elektronicznej w nieszyfrowanym połączeniu, zatem brak szyfrowania SSL lub nieprawdziwa domena oznacza oszustwo.

- Należy korzystać wyłącznie z nowoczesnych przeglądarek. Internet Explorer 6 oraz 7 czy starsze wydania Firefoksa nie są bezpieczne.

- Trzeba zadbać o bezpieczeństwo DNS. Można je podwyższyć, korzystając z usług detekcji phishingu wbudowanych w usługę OpenDNS.

Taktyka ataków się nie zmienia

Mimo zmian ilościowych nadal niezmienna jest taktyka ataków. Przestępcy rozpoznają cel, szykują odpowiednią stronę, a następnie kierują do niej ofiary. Do tego niezbędny jest hosting, a także podróbka oryginalnej strony. Najbardziej pożądane są strony udające logowanie do amerykańskich banków, dostawców kart kredytowych oraz dedykowane strony logowania, z których korzystają korporacyjni użytkownicy produktów bankowości elektronicznej i domów maklerskich online.

Aby umieścić taką stronę w internecie, złodzieje korzystają z przejętych serwerów www, na których umieszczony jest serwis obdarzony dobrą lub neutralną reputacją. Zdobywanie takich serwerów odbywa się w sposób zautomatyzowany, za pomocą zestawu narzędzi z różnymi eksploitami. Wykorzystywane są podatności oprogramowania i typowe błędy ludzkie, np. zbyt proste hasła.

Pojawiają się także zaawansowane ataki, wykorzystujące specjalnie opracowany kod oraz niestandardowy schemat ataku, w którym występuje przekierowanie, niekiedy kilkukrotne, do różnych punktów infekcji.

Na podstawie raportu "The Year in Phishing. Fraud report", styczeń 2013, RSA


TOP 200