POLITECHNIKA WROCŁAWSKA WYDZIAŁ INFORMATYKI I ZARZĄDZANIA PHISHING CZYLI JAK SIĘ ŁOWI HASŁA W INTERNECIE ARKADIUSZ SKOWRON WROCŁAW 2006
PHISHING - czyli jak się łowi hasła w Internecie Arkadiusz Skowron
PHISHING - czyli jak się łowi hasła w Internecie 1. Definicja pojęcia 2. Ogólny schemat Phishingu 3. Sposoby łowienia haseł 4. Studium przypadku Westpac Bank 5. Skala zjawiska 6. Phishing w Polsce 7. Tendencje we współczesnym Phishingu 8. Sposoby ochrony przed Phishingiem stosowane przez banki 9. Nie daj się złowić, czyli przykazania Anti-phishing Working Group
Definicja pojęcia Phishing (spoofing), w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Pharming, niebezpieczniejsza dla użytkownika oraz trudniejsza do wykrycia forma phishingu w której oszust wykorzystuje dodatkowo serwer DNS celem ukrycia prawdziwego adresu IP podrobionej strony internetowej.
Pharming
Pharming
Pharming? SERWER DNS
Pharming? SERWER DNS www.mbank.com.pl 193.41.230.81
Pharming? SERWER DNS www.mbank.com.pl 193.41.230.81 193.41.230.81
Pharming? SERWER DNS www.mbank.com.pl 193.41.230.81 193.41.230.81
Pharming? SERWER DNS www.mbank.com.pl 193.41.230.81 213.180.130.200
Pharming? SERWER DNS www.mbank.com.pl 193.41.230.81 213.180.130.200 213.180.130.200
Pharming? SERWER DNS www.mbank.com.pl 193.41.230.81 213.180.130.200 213.180.130.200
Ogólny schemat Phishingu 1. Stworzenie podrobionej strony internetowej do złudzenia przypominającej np. stronę logowania do serwisu bankowości internetowej 2. Zwabienie jak największej liczby ofiar skłonnych udostępnić poufne dane (kwestia wiarygodności) wywołanie poczucia natychmiastowej reakcji
Przykłady wywoływania poczucia natychmiastowej reakcji zanotowaliśmy próby logowania na Pańskie konto, prosimy o zalogowanie się w celu weryfikacji tożsamości Zostałeś wybrany spośród grupy klientów do wypełnienia krótkiej ankiety. W podziękowaniu za Twój czas przekażemy na Twoje konto 5$ [Citizens Bank; 2005]
Sposoby łowienia haseł wysłanie wiadomości e-mail z prośbą o zalogowanie się na podanej stronie internetowej zainstalowanie na komputerze ofiary konia trojańskiego i keyloggera (programu zapisującego znaki wpisywane na klawiaturze), które zajmą się zapisaniem poufnych informacji i przesłaniem ich pod wskazany adres zmiana adresu IP strony na serwerze DNS i przekierowanie ruchu na specjalnie przygotowaną stronę zmiana adresu IP w pliku HOSTS na komputerze ofiary i przekierowanie na specjalnie przygotowaną stronę
Studium przypadku W lutym 2004 r. niektórzy australijscy internauci otrzymali e-maile do złudzenia przypominające typowy komunikat marketingowy z banku Westpac. W treści znalazło się nawet stwierdzenie, że Westpac nigdy nie poprosi Cię o podanie jakichkolwiek informacji potrzebnych do zalogowania w serwisie. Klikając w zawarty w liście link, internauta otwierał podrobioną stronę logowania do serwisu transakcyjnego przygotowaną przez oszustów (w popupie bez widocznego paska adresu), jak również autentyczną witrynę banku w drugim oknie przeglądarki znajdującym się pod podróbką.
Studium przypadku Jednoczesne otwarcie dwóch okien pozwoliło uśpić czujność ofiar, które podświadomie zakładały, że pomiędzy jednym (prawdziwym) a drugim (podrobionym) oknem zachodzi związek. Po ewentualnym wpisaniu identyfikatora i hasła dostępu pojawiał się komunikat o błędzie w logowaniu i użytkownik był przekierowywany tym razem do prawdziwej strony logowania Westpac. Wpisane wcześniej dane trafiały do oszustów. Atak był szczególnie niebezpieczny ponieważ wielu klientów nie zwróciło uwagi na nietypowe zachowanie przeglądarki, myśląc, że po prostu pomyliło się przy wpisywaniu hasła.
Skala zjawiska
Skala zjawiska
Skala zjawiska
Skala zjawiska
Phishing w Polsce styczeń 2004 Drogi Kliencie, z przyjemnością informujemy, iż zakończyliśmy prace nad zintegrowanym serwisem bankowości internetowej. Wkrótce nowa platforma zastąpi obecny system, ale już teraz zachęcamy Cię do zapoznania się z możliwościami i udogodnieniami, jakie oferuje zintegrowany serwis. Prosimy o jak najszybsze zalogowanie się oraz sprawdzenie naszego nowego systemu. Zaloguj się http://www.online.citibank.pl
Phishing w Polsce
Phishing w Polsce Bank BPH (2005 rok) koń trojański + keylogger Ofiary skorzystały z opcji zapisania klucza prywatnego podpisu cyfrowego na serwerze banku, a więc oszuści musieli podsłuchać hasło zabezpieczające ten klucz. Straty wynikające z działania internetowych złodziei sięgnęły miliona złotych, co uznać można za pierwszy poważny (i upubliczniony) elektroniczny skok na bank w historii polskiej bankowości.
Tendencje we współczesnym Phishingu rosnące znaczenie ataków z użyciem szkodliwego oprogramowania (malware), wykorzystanie komunikatorów internetowych (IM - Instant Messaging) zamiast tradycyjnej e-mailowej przynęty, jak również jako nośnika szkodliwego oprogramowania, użycie techniki cross site scripting (XSS) w celu lepszego zamaskowania odnośników przenoszących ofiary na podrobione strony, pharming - polegający na nadpisywaniu pliku HOSTS, co sprawia, że ofiara wpisując w przeglądarce adres serwisu www np. banku zostaje w rzeczywistości skierowana na stronę-podróbkę.
Sposoby ochrony przed Phishingiem stosowane przez banki
Sposoby ochrony przed Phishingiem stosowane przez banki
Sposoby ochrony przed Phishingiem stosowane przez banki
Sposoby ochrony przed Phishingiem stosowane przez banki
Sposoby ochrony przed Phishingiem stosowane przez banki edukowanie klientów na temat możliwych schematów działania oszustów szybka reakcja w razie wystąpienia sytuacji kryzysowej wykorzystanie specjalistycznego oprogramowania pozwalającego wykrywać ataki poświęcanie należytej uwagi bezpieczeństwu funkcjonowania serwisu internetowego
Sposoby ochrony przed Phishingiem stosowane przez banki (uwierzytelnianie) Lista haseł jednorazowych (np. mbank, Inteligo, Multibank), Jednorazowe hasła SMS (BZ WBK S.A., mbank), Token (np. BZ WBK S.A., Volkswagen Bank direct, BGŻ S.A., Lukas Bank S.A.), Podpis cyfrowy (np. Bank BPH S.A., ING Bank Śląski S.A.), Dodatkowe hasło (np. Kredyt Bank S.A.).
Sposoby ochrony przed Phishingiem stosowane przez banki (uwierzytelnianie)
Sposoby ochrony przed Phishingiem stosowane przez banki (uwierzytelnianie)
Nie daj się złowić, czyli przykazania Anti-phishing Working Group Z nieufnością traktuj każdą wiadomość, w której żąda się podania poufnych informacji dotyczących Twoich finansów Jeśli wiadomość nie została opatrzona elektronicznym podpisem nie możesz być pewien czy faktycznie pochodzi od nadawcy widniejącego w nagłówku Phisherzy z reguły straszą nas jakimiś konsekwencjami próbując wymóc na ofierze natychmiastową reakcję i domagają się osobistych informacji (jak np. haseł, numerów kart płatniczych itp.) Wiadomości-przynęty mają z reguły charakter bezosobowy, podczas gdy w większości przypadków informacje pochodzące z banków mają charakter spersonalizowany
Nie daj się złowić, czyli przykazania Anti-phishing Working Group Nie używaj linków zamieszczonych w wiadomościach e- mailowych. Jeśli chcesz zalogować się np. w serwisie bankowości internetowej zrób to wpisując adres ręcznie w swojej przeglądarce Nie wpisuj żadnych poufnych informacji w formularzach przesyłanych e-mailem, korzystaj wyłącznie z bezpiecznych stron internetowych używających protokołu SSL Sprawdzaj adres i autentyczność strony, na której wpisujesz poufne informacje. Strony takie powinny korzystać z bezpiecznego połączenia (o czym świadczy symbol zamkniętej kłódki w przeglądarce i https:// w pasku adresu). Ponieważ podrobione strony www mogą również korzystać z szyfrowanej transmisji, sprawdzaj także autentyczność certyfikatu.
Nie daj się złowić, czyli przykazania Anti-phishing Working Group
PHISHING - czyli jak się łowi hasła w Internecie Dziękuję
BIBLIOGRAFIA ARTYKUŁY I ROZPRAWY Kisiel M., Phishing, czyli jak się łowi hasła w Internecie, Bankier.pl Polski Portal Finansowy, 07.06.2005 Jeleśniański M., Pharming - nadchodzi nowe zagrożenie?, PCCentre.pl, 04.02.2006 Samcik M., Na tropie fałszerzy internetowych stron bankowych, Gazeta.pl, 16.02.2005 Macierzyński M., Sieciowi oszuści znowu zaatakowali!, PRNews.pl, 23.02.2004 RAPORTY Z BADAŃ Phishing Activity Trends Report, Anti-Phishing Working Group, February 2006 ŹRÓDŁA INNE Wikipedia. Wolna Encyklopedia., http://pl.wikipedia.org/ W pracy wykorzystano fragmenty serwisów internetowych oraz znaki handlowe następujących banków: Bank BPH, BZ WBK, Citibank Handlowy, ING Bank Śląski, Inteligo, mbank, Westpac Bank of Australia.