Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Co to jest phishing?

Tagi:

Phishing to typ oszustwa internetowego, które podstępem wyłudza od użytkownika jego osobiste dane. Phishing obejmuje kradzież haseł, numerów kart kredytowych, danych kont bankowych i innych poufnych informacji.

Wiadomości phishingowe przybierają zazwyczaj formę fałszywych powiadomień z banków, komunikatów od dostawców systemów e-płatności i innych poważanych organizacji. Wiadomość zawsze próbuje zachęcić odbiorcę, z takiego lub innego powodu, aby w trybie pilnym wprowadził, czy zaktualizował swoje poufne informacje, bo w przeciwnym razie dotknie go utrata krytycznych danych, awaria systemu lub inne nieszczęście.

Ataki phishingowe są coraz bardziej zaawansowane i wykorzystują wyrafinowane metody socjotechniczne. W większości przypadków oszuści próbują strachem wymusić na odbiorcy ujawnienie swoich danych osobistych. Takie wiadomości zwykle zawierają groźby zablokowania lub utraty konta, jeśli odbiorca nie spełni określonych wymagań. Na przykład: "jeśli nie podasz swoich danych osobowych do końca tygodnia, Twoje konto zostanie NIEODWRACALNIE ZABLOKOWANE". Jak na ironię, często stosowanym przez phisherów trikiem jest odniesienie do konieczności poprawy przez użytkownika systemów antyphishingowych, aby nie utracił on swoich cennych danych. Typowym zwrotem może być: "jeśli chcesz zabezpieczyć się przed phishingiem, kliknij łącze, a następnie wprowadź nazwę użytkownika i hasło".


Rysunek 1: Próbka sfałszowanej wiadomości, rzekomo od National Credit Union Administration,
zawierająca prośbę o kliknięcie odnośnika i zaktualizowanie danych użytkownika.

Średni czas życia witryny phishingowej to 5 dni. Filtry antyphishingowe bardzo szybko otrzymują informacje na temat nowego zagrożenia i dlatego phisherzy stale muszą rejestrować nowe strony internetowe imitujące oficjalne witryny różnych wiarygodnych organizacji.

Aby uzyskać dostęp do fałszywej strony, użytkownik musi wprowadzić swoje informacje dotyczące logowania. Te informacje są dokładnie tym, czego chcą oszuści. Kiedy uzyskają oni już dostęp do skrzynki e?mail użytkownika lub jego konta bankowego, phisherzy stają przed problemem usunięcia gotówki z konta ofiary bez pozostawienia śladów ? a nie jest to łatwe zadanie. Jeżeli osoba uczestnicząca w tej nielegalnej działalności zostanie złapana przez organy ścigania, na pewno zostanie oskarżona. Dlatego phisherzy sprzedają skradzione dane innym oszustom, którzy opracowali sprawdzone metody do wycofywania pieniędzy z kont bankowych postronnych obywateli.

Banki, elektroniczne systemy płatności oraz aukcje internetowe ? to główne cele phisherów. To wskazuje, że oszuści są najbardziej zainteresowani pozyskiwaniem danych osobowych, które umożliwiają dostęp do pieniędzy ofiary. Kradzież poświadczeń pocztowych jest równie popularna, ponieważ te informacje mogą zostać sprzedane osobom rozpowszechniającym wirusy lub tworzącym sieci zainfekowanych komputerów (tzw. botnety).

"Jakość" wiadomości phishingowych jest zwykle bardzo wysoka. Fałszywa strona będzie generalnie wyglądała tak samo jak oryginał, tak aby użytkownik nie podejrzewał, że coś jest nie tak, kiedy wprowadza swoją nazwę użytkownika i hasło, aby uzyskać dostęp do witryny.

Kolejną sztuczką phishingową jest używanie odnośników, które wyglądają bardzo podobnie do adresów URL wiarygodnych witryn. Ten trik przeznaczony jest do oszukiwania mniej doświadczonych użytkowników. Ostrożny użytkownik zauważy, że odnośnik na pasku adresu przeglądarki w rzeczywistości różni się od adresu autentycznej witryny. Takie odnośniki mogą rozpoczynać się adresem IP, chociaż duże firmy już od dawna nie używają zapisu tego typu.

Jakby nie było, phishing bardzo często używa odnośników spreparowanych w taki sposób, aby przypominały prawdziwy adres URL legalnej firmy. Mogą one obejmować nazwę oryginalnego adresu URL z dodatkowymi znakami, czy wyrazami (np. "www.login-nazwabanku.pl" zamiast "www.nazwabanku.pl"). Kolejną sztuczką jest stosowanie kropek zamiast ukośników (np. "www.nazwabanku.pl.login" lub "www.nazwabanku.pl-login" zamiast "www.nazwabanku.pl/login").


Rysunek 2: Próbka wiadomości phishingowej (imitacja powiadomienia z eBaya)
zawierająca kilka odsyłaczy, z których jeden prowadzi do sfałszowanej strony.

Treść wiadomości pozornie zawiera link do autentycznej witryny, lecz adres URL jest inny. Czujność użytkownika może zostać uśpiona poprzez zamieszczenie kilku dodatkowych odnośników do oficjalnej strony, ale główny link, która wymaga od użytkownika, aby wprowadził swoją nazwę i hasło, prowadzi do fałszywej strony.

Czasami użytkownik musi wprowadzić swoje poufne dane na tej samej stronie, na której wyświetlana jest sama wiadomość. Każdy powinien być świadomy faktu, że żaden bank lub inna podobna organizacja nigdy nie poprosi użytkownika, aby to zrobił.


Rysunek 3: Wiadomość phishingowa imitująca powiadomienie z Barclays Bank
- prosząca o wprowadzenie danych logowania na tej samej stronie, na której wyświetlany jest komunikat.

Oszuści stale podnoszą swoje kwalifikacje i ulepszają technologie. Spowodowało to pojawienie się nowego trendu ? "pharmingu". Ten rodzaj oszustwa internetowego przeznaczony jest również do kradzieży danych dostępu, takich jak nazwy użytkownika czy hasła, ale w przeciwieństwie do phisherów, którzy do osiągnięcia swoich celów wykorzystują e-mail, pharmerzy kradną tożsamości za pośrednictwem oficjalnych stron internetowych. Przekierowują użytkowników do fałszywych stron zmieniając legalne adresy witryn na serwerach DNS. Pharming jest poważniejszym zagrożeniem niż phishing, ponieważ jest to prawie niemożliwe, aby użytkownik mógł dostrzec fakt, że został oszukany.

Najpopularniejszymi celami ataków phishingowych są eBay i PayPal. Inne cele obejmują banki na całym świecie. Phishing może być przypadkowy lub ukierunkowany. Ataki przypadkowe skierowane są na najbardziej popularne serwisy, takie jak eBay, ponieważ istnieje duże prawdopodobieństwo, że potencjalny odbiorca wiadomości phishingowej posiada tam konto. W przypadku ataków ukierunkowanych, oszuści ustalają wcześniej, czy użytkownik posiada konto w danym banku, elektronicznym systemie płatności, serwisie itd. Dla phisherów ta metoda jest dużo bardziej skomplikowana i kosztowna, jednak prawdopodobieństwo, że odpowiednia ofiara zostanie oszukana, również jest o wiele wyższe.


Rysunek 4: Wiadomość phishingowa imitująca powiadomienie z popularnego systemu e ? płatności PayPal.

Kradzież tożsamości to nie jedyne zagrożenie, jakie niesie ze sobą odnośnik phishingowy. Może on prowadzić do pobrania oprogramowania szpiegowskiego, keyloggera lub trojana. Zatem, nawet jeśli użytkownik nie posiada konta, które mogłoby paść łupem oszustów, nigdy nie jest całkowicie bezpieczny.

Zgodnie z raportem Gartnera, w roku 2006 typowa ofiara phishingu w Stanach Zjednoczonych straciła 1244 dolary amerykańskie, podczas, gdy w roku 2005 średnia strata nie przekraczała 257 dolarów. Liczby te są dowodem niesamowitego sukcesu phisherów.

Sukces phishingu determinowany jest przez niski poziom świadomości użytkowników w zakresie metod wykorzystywanych przez oszustów do naśladowania autentycznych firm i organizacj. Wiele legalnych witryn zawiera specjalne ostrzeżenia mówiące, że nigdy nie proszą one użytkowników o przesyłanie poufnych danych. Jednak użytkownicy nadal wysyłają swoje hasła do phisherów. Właśnie dlatego kilka lat temu powołana została Grupa Antyphishingowa APWG (ang. Anti-Phishing Working Group), w której znalazły się zarówno firmy będące głównym celem phisherów, jak i producenci oprogramowania antyphishingowego / antyspamowego. APWG organizuje specjalne spotkania i stara się informować użytkowników o problemie. Dodatkowo, członkowie APWG informują siebie nawzajem o nowych zagrożeniach i witrynach phishingowych. Obecnie w skład APWG wchodzi 2500 członków. Wśród nich znajdują się wielkie, międzynarodowe banki i czołowe firmy z branży IT. Według optymistycznych prognoz, w niedalekiej przyszłości, użytkownicy nauczą się ostrożności w obliczu stron phishingowych, tak samo, jak zrobili to w przypadku wiadomości pocztowych z załącznikami od nieznanych nadawców. Do tego czasu, główną linią obrony przed phishingiem pozostają filtry antyphishingowe.