Phishing-ul: variantă de inginerie socială la modă

După cum sugerează şi traducerea din limba engleză, “phishing” în materie de securitate informaţională este în principiu o pescuială. Cu menţiunea că este mult mai profitabilă în acest domeniu faţă de ceea ce fac pescarii noştri ajunşi celebri datorită poveştilor fantastice cu care se înconjoară.

Pentru a putea da o definiţie acceptabilă phishing-ului, trebuie să explic mai întâi ce înseamnă o inginerie socială. Ingineria socială este procedeul prin care oamenii întreprind acţiuni sau divulgă informaţii confidenţiale ca urmare a unei manipulări din partea unei terţe persoane, spre deosebire de tehnica aflării acestor informaţii prin procedee tehnice (hacking/cracking/brute force), care nu implică participaţia directă a victimei. Exemplul tipic este cel în atacatorul, sub identitatea unui coleg (inexistent în realitate) de la o sucursală îndepărtată a companiei unde lucrează victima, o abordează şi, sub pretextul unui proiect comun sau a unor verificări de rutină, îi solicită acesteia informaţiile confidenţiale de care are nevoie. În cele mai multe cazuri escrocul nu se întâlneşte fizic cu victima, comunicând cu aceasta fie prin intermediul internet-ului (mail/chat) sau prin telefon/SMS. Kevin Mitnick este cel mai renumit guru al ingineriilor sociale, datorită în primul rând necazurilor pe care le-a avut cu agenţii FBI la sfârşitul anilor ’80. Fac aici precizarea că în mod total eronat i s-a atribuit lui Kevin Mitnick eticheta de “cel mai tare hacker” a tutorur timpurilor, deoarece majoritatea acceselor ilegale şi a activităţii infracţionale informatice au fost rezultatul unor inginerii sociale, de tipul celei abia explicate. Care are tot atâtea puncte în comun cu hackereala la fel ca şinele de tren – adică sunt complet paralele şi se întâlnesc doar în triaj. Vinovată de acest mit mare cât un balon de săpun este presa de (ne)specialitate, căreia îi plac la nebunie poveştile cu hackeri. Dar de hackeri şi crackeri o s-o rog pe prietena mea Coţofana să se ocupe într-un articol separat. Ca fapt divers amintesc că site-urile lui Kevin Mitnick (care oferă în prezent consultanţă în domeniul securităţii informatice) au fost compromise în trecut, deci nimeni nu este la adăpost de sălbăticiunile internet-ului.

O altă variantă de inginerie socială acum la modă prin România este cea a ţepelor prin SMS. Toată lumea ştie că românii sunt mari amatori de chilipiruri, iar când primesc un SMS prin care sunt anunţaţi că au câştigat un telefon mobil sau chiar o Dacia Logan pun botu’ la caşcaval mai ceva ca Jerry în desenele alea animate cu motanul Tom. Drept urmare trimit bani sau încarcă cu puncte cartele preplătite ale infractorilor (de regulă nişte adolescenţi “isteţi”).

Phishing-ul este un proces prin care un individ (sau mai mulţi) încearcă să procure informaţii sensibile (nume utilizator, parole, detalii cărţi de credit), prin inducerea în eroare a victimei cu privire la identitatea entităţii care solicită aceste informaţii şi, implicit la legitimitatea solicitării. Cea mai “populară” abordare a phishing-ului prin spaţiul virtual românesc este îndreptată asupra informaţiilor privitoare la e-banking. Mecanismul este de regulă următorul:

a) un mesaj e-mail este expediat la un număr foarte mare de destinatari (de la câteva mii la câteva milioane);

b) adresa de e-mail a expeditorului acestui mesaj seamănă foarte mult cu o adresă legitimă; dacă o bancă foloseşte adresa anti-frauda@banca.ro, un e-mail care conţine o tentativă de phishing va avea ca adresă expeditoare anti-frauda@banca-ro.com, de exemplu;

c) din conţinutul mesajului reiese fie că banca a avut o problemă tehnică ce i-a cauzat pierderea unor date importante (datele contului tău, parola şi numele tău de utilizator etc.), ori, mai nou, că banca s-a sesizat cu privire la unele accesări suspecte ale contului tău de e-banking (şi-ţi înşiruie nişte adrese IP de prin ţări unde nu ai cum să fi pus piciorul vreodată – asta dacă nu cumva eşti vreun James Bond);

d) pentru a te asigura că nu-ţi vei pierde definitiv preţioasele tale date bancare sau că altcineva îţi va goli conturile, acelaşi mesaj conţine un link (adresă web accesabilă executând click cu mouse-ul pe aceasta), către o pagină (chipurile) securizată. Bineînţeles că eşti îndrumat călduros să accesezi respectiva pagina şi să urmezi instrucţiunile de acolo.

e) pagina care se deschide accesând link-ul amintit mai sus, este o pagină clonă a celei oficiale cu unele mici (dar esenţiale) modificări:

  • este găzduită fie pe un server care oferă acest serviciu gratuit, fie pe un server compromis (“spart”) anterior atacului de tip phishing. Numele site-ului clonă este de obicei setat de atacator pe un nume de domeniu înregistrat de el (direct sau indirect) care să includă cumva numele băncii și să sune cât mai “oficial”, pentru a trezi suspiciuni minime din partea utilizatorului neexperimentat. De exemplu dacă site-ul oficial al băncii este www.banca.ro, pagina clonată poate fi accesată la adresa: www.banca-online.ro (domeniul banca-online.ro în acest caz neavând nimic de a face cu banca, el fiind de fapt al atacatorului). În realitate sunt deseori întâlnite cazuri în care în e-mail-ul respectiv nu este dată o denumire apropiată de cea a site-ului bănci, ci apare chiar adresa reală, www.banca.ro (frauda fiind mai greu de depistat de utilizator în acest caz). Numai că pagina care se încarcă atunci când faci click pe această adresă nu este cea originală, ci tot o clonă aflată pe un alt server decât al băncii. Acest lucru este posibil datorită mai multor trucuri a căror detaliere depăşeşte scopul acestui articol. Mă voi rezuma doar la a aminti că un astfel de truc este cunoscut sub denumirea de DNS cache poisoning (otrăvirea DNS-ului), posibil în cazul în care serverul DNS» folosit de client este vulnerabil și nu verifică dacă serverele DNS care îi furnizează diverse informații (în cursul interogărilor DNS) sunt autorizate să facă acest lucru, acceptându-le și pe baza lor furnizând clientului răspunsuri intenționat modificate de atacator pentru a dirija browserul clientului spre site-ul clonă. Google promite că ne poate apăra de această vulnerabilitate a DNS-ului dacă folosim noul lor serviciu DNS, relativ recent lansat, dar în realitate pentru a fi la adăpost de DNS cache poisoning este suficient să folosim un server DNS local care nu are vulnerabilități.
  • deşi are elemente comune cu pagina originală a băncii (logo, slogan, adresă de contact), conţine în plus un formular care trebuie completat de către victima phishing-ului; acest formular diferă în funcţie de scopul atacului: astfel, dacă băieţii răi vor să-ţi afle datele cărţii de credit, formularul va conţine următoarele rubrici: nume, prenume, tipul şi numărul cardului, codul PIN, CVV/CVC, eventual luna şi anul expirării; în cazul în care sunt curioşi de contul tău de e-banking, formularul îţi va cere numele utilizatorului şi parola de acces pentru respectivul cont, şi aşa mai departe, în funcţie de nevoile lor.

e) după completarea formularului respectiv, victima apasă butonul “Trimite” sau “Submit”, moment în care toate datele completate pe respectiva pagină sunt trimise printr-un e-mail celor care au iniţiat atacul phishing (acest lucru este posibil datorită unui script» care rulează pe server-ul compromis unde este găzduită şi pagina clonată); în încheiere victima vede fie o eroare a navigatorului, ori o pagină prin care banca (a se citi băieţii răi) îţi mulţumeşte pentru timpul acordat (dar asta se întâmplă numai în cazul în care ai de-a face cu nişte phisheri finuţi şi eleganţi, cărora le pasă de tine).

Lucruri care fac phishing-ul posibil:

  • protocolul învechit folosit pentru trimiterea mesajelor e-mail, şi arăt cu degetul către SMTP (Simple Mail Transfer Protocol), bătrân de aproape 30 de ani şi care-mi permite să trimit un e-mail din partea cui vreau eu (Traian Băsescu, Barack Obama, Bill Gates, singura limită fiind doar fantezia mea); sper ca odată cu răspândirea conceptului web 2.0 (din care va face parte cu siguranţă şi  noul HTML 5), să fie şi acest protocol adus la zi în ceea ce priveşte securitatea;
  • naivitatea oamenilor care se datorează în primul rând lipsei de cultură în materie de securitate informaţională; iar pentru această lipsă de informaţie o parte din vină le revine şi băncilor care nu acordă o atenţie mai mare informării clienţilor sau întăririi securităţii; cu toate acestea, oricine trebuie să ştie că nici o bancă din lumea asta nu-ţi va cere în absolut nici o situaţie informaţii confidenţiale cum ar fi codul PIN sau parola de la contul de e-banking (nici măcar telefonic, darmite printr-un e-mail sau SMS); dar, aşa cum am mai spus-o şi altădată, omul este în continuare veriga slabă din lanţul securităţii informatice.

O altă subspecie de phishing este aceea practicată de unele site-uri de matrimoniale porcoase. Pentru a vedea profilul (şi pozele porno ale unui utilizator), trebuie să-ţi faci cont pe respectivul site, unde numele de utilizator este o adresă de e-mail şi o parolă. Naivul şi excitatul client introduce adresa proprie de e-mail împreună cu aceeaşi parolă pe care o foloseşte pentru contul de e-mail. Faza se termină cu imposibilitatea accesării adresei de e-mail urmată de un mic şantaj din partea proprietarului site-ului de matrimoniale  care cere bani pentru recuperarea accesului la respectivul cont de e-mail. O afacere urâtă şi murdară precum oamenii care stau în spatele ei.

Cam în asta constă mecanismul phishing-ului explicat grosso modo, pe înţelesul cât mai multor persoane. Dacă aveţi întrebări suplimentare, nu ezitaţi să mă întrebaţi prin intermediul comentariilor.

Share on Facebook
Share on LinkedIn

acesta prescurtează expresia Domain Name System, al cărui principal rol în funcţionarea internetului este acela de a translata numele de domeniu folosit la accesarea unui serviciu (ex. www.it4fans.ro) într-o adresă IP care identifică în internet serverul unde serviciul respectiv este găzduit. Sau altfel spus, se ocupă de traducerea unui nume de domeniu dintr-un limbaj uman într-un alt limbaj priceput de calculatoarePowered by Hackadelic Sliding Notes 1.6.5
mini-program care poate executa o succesiune de comenzi simple în mod automatPowered by Hackadelic Sliding Notes 1.6.5

Publicat în: eCrimeGlosar

Etichete:

Despre autor: A avut o copilărie nefericită, lucru care se pare că l-a marcat pe viață. E cel mai în vârstă din echipa IT4Fans și, după cum îi sugerează şi ID-ul, cârcotește (pertinent, sper) pe marginea problemelor sâcâitoare din zona IT-ului. Nu poți purta cu el nicio discuție fără să-ți verse în cap toate frustrările lui, dar cu toate astea e un fârtate de nădejde și nu te lasă la greu.

RSSComentarii

Comentează | URL trackback

  1. Valerica spune:

    As dori si eu o lamurire, in anul 2012 pe data de 8 martie cu adresa mea de IP si-a creat un cont pe ebay unde sa postat la vanzare niste produse. In luna septembrie am fost contactat de catre politie sa dai explicatii ce am facut la data respectiva, dupa lungi cautari am reusit sa refac tot traseul de atunci si ei sau convins ca nu sunt vinovat.
    Detin o conexiune la internet de pe o retea fixa Telecom Italia cu numar de telefon iara conexiunea la internet este de tip ADSL.
    Imi poti spune cum este posibil ?
    Multumesc
    Vali


Pingbacks

  1. [...] Cunoștința ta a fost victima unui atac phishing care i-a compromis datele de conectare la contul de email. Ce este un atac phishing? Pe scurt, o șmecherie prin care băieții răi intră în posesia unor date personale sensibile (conturi și parole de email, detalii ale cardurilor sau conturilor bancare etc.). O descriere mai detaliată a phishing-ului o găsești aici. [...]


Trackbacks

  1. bagamare.ro spune:

    Phishing-ul: variantă de inginerie socială la modă | IT4Fans – te ajută să te miști în IT!…

    După cum sugerează şi traducerea din limba engleză, “phishing” în materie de securitate informaţională este în principiu o pescuială. Cu menţiunea că este mult mai profitabilă în acest domeniu faţă de ceea ce fac pescarii noştri ajunşi celebri datori…

Comentează




Dacă vrei să apară o poză la comentariul tău, fă-ți rost de un Gravatar.