Phishing jest jednym z rodzajów ataków hakerskich opierający się na połączeniu inżynierii społecznej i często złośliwego kodu. W tej metodzie oszustwa atakujący podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, np. danych logowania, numerów z karty kredytowej, zainfekowania komputera ofiary złośliwym oprogramowaniem czy nakłonienia atakowanej osoby do wykonania określonych działań.
Rozróżnia się kilka rodzajów phishingu takich jak vishing, smishing, spear phishing, clone phishing, whaling czy phishing z wykorzystaniem komunikatorów, w tym poczty elektronicznej i mediów społecznościowych.
W niniejszym artykule zaprezentuję phishing wykorzystujący pocztę elektroniczną i komunikatory, opierając się na autentycznych próbach ataków phishingowych, których miałem być podmiotem.
Phishing – od czego się zaczęło?
Termin phishing został po raz pierwszy użyty w połowie lat 90-tych XX wieku przez crackerów wykradających konta w serwisie AOL. Pierwsze tego typu ataki polegały na podszywaniu się przez crackerów pod członka zespołu AOL i wysyłaniu wiadomości do potencjalnej ofiary. Taka wiadomość zawierała informację o konieczności zweryfikowania konta lub potwierdzenia informacji w rachunku, do czego było niezbędne ujawnienie hasła przez ofiarę. Jeśli atakowana osoba podała hasło, atakujący uzyskiwał dostęp do jej konta i wykorzystywał je niezgodnie z wolą tej osoby, np. w celach przestępczych czy do wysyłania spamu.
Często wykorzystywanym typem phishingu jest przesyłanie informacji o rzekomej dezaktywacji konta i konieczności podania poufnych informacji w celu odzyskania dostępu. Stronę przechwytującą informacje poufne cechuje łudzące podobieństwo do strony oryginalnej. Warto zaznaczyć, że w przeszłości hakerzy wykorzystywali błąd w przeglądarce Internet Explorer, która w 2004 roku posiadała ponad 90% rynku przeglądarek, pozwalający zamaskować adres fałszywej strony internetowej. Natomiast obecnie hakerzy wykorzystują ataki phishingowe w celach zarobkowych, gdzie popularnymi celami ataków są klienci banków i portali aukcyjnych oferujących aukcje internetowe. Oszustwo polega na wysyłaniu spamu w postaci wiadomości email do znacznej liczby potencjalnych ofiar, kierując je na określoną stronę w Internecie, która udaje stronę logowania, np. do bankowości elektronicznej, a w rzeczywistości przechwytuje informacje wpisane przez ofiary.
Phishing – przebieg ataku
Na początek warto zaznaczyć, iż phishing, we wszystkich swych rodzajach jest najczęstszym typem ataku. Ten atak różni się podmiotem od innych ataków hakerskich, ponieważ w tym przypadku hakowany jest człowiek a nie sprzęt (np. komputery czy oprogramowanie). Phishing opera się na założeniu, że ofiara uwierzy w spreparowaną wiadomość, w zależności od rodzaju ataku przekazaną elektronicznie lub słownie i poda hakerowi swoje poufne dane. Aby nakłonić ofiarę do podjęcia działań zgodnych z oczekiwaniami hakera, cyberprzestępcy używają różnych metod, głównie opierając się na autorytecie osoby lub instytucji, podszywając się np. pod urzędy, policję, organizacje rządowe, banki i instytucje finansowe czy nawet przełożonych, znajomych lub członków rodziny.
Zazwyczaj treść przekazanej wiadomości ma wzbudzić w ofierze silne emocje, np. takie jak strach czy euforia lub też wymusić pośpiech, aby ofiara nie miała czasu na przeanalizowanie sytuacji i przez to zachowała się zgodnie z wolą atakującego.
Słynne oszustwa „na wnuczka”, czy „na policjanta” też były atakami phishingowymi, o czym dokładniej napiszę w sekcji poświęcone vishingowi.
Wiadomość phishingowa, wykorzystując inżynierię społeczną, socjotechnikę ma na celu skłonić ofiarę do przekazania informacji zawierających:
– dane do logowania do banku,
– dane karty płatniczej (jej numer, kod CVV, datę ważności),
– dane w postaci loginu i hasła używanego do logowania się do skrzynki pocztowej czy innego serwisu internetowego,
– dane osobowe (np. PESEL, nazwisko panieńskie matki, datę urodzenia, miejsce urodzenia, numer dowodu osobistego, skan całego dowodu osobistego), które potrzebne są, np. do zaciągnięcia kredytu czy pożyczki.
Ponadto ofiara phishingu może być nakłaniana do pobrania pliku ze złośliwym oprogramowaniem, kryjącym się w przesłanej elektronicznie fakturze, wezwaniu do zapłaty czy pisma z kancelarii prawnej, firmy windykacyjnej O tym rodzaju phishingu napiszę bardziej szczegółowo poniżej. Tutaj dodam, że otwarcie takiego pliku spowoduje wgranie na urządzenie różnego rodzaju złośliwego oprogramowania, które zainfekuje urządzenie.
Phishing przeprowadzony za pomocą poczty elektronicznej
Pierwszym omawianym rodzajem phishingu będzie – chyba obecnie najpopularniejszy -phishing wykonywany za pomocą poczty elektronicznej. Przeprowadzając ten typ ataku hakerzy mają nieograniczoną wyobraźnię i próbują podszywać się pod różnego rodzaju instytucje, portale, firmy, osoby zaufane, przełożonych, bliskich, bazując jednocześnie na emocjach osoby atakowanej.
Podszywanie się pod TNT
Jako przykład podam autentyczny atak, gdzie hakerzy podszywali się pod firmę TNT. Pewnego dnia otrzymałem taką oto wiadomość:
Powyższa wiadomość email stanowi przykład phisingu bazującego na emocjach, a w szczególności na euforii spowodowanej możliwością wygrania 1000 Euro, a może także i telefonu, po wypełnieniu ankiety przygotowanej przez firme kurierską TNT. Ponadto w wiadomości phisher próbuje wywrzeć presję (czasu), że tego dnia liczba prezentów jest ograniczona (pobudka do działania pod wpływem emocji, że może zabraknąć dla mnie prezentu). Ponadto phiser próbuje się uwiarygodnić bezpiecznym szyfrowaniem TLS, użyciem logotypu TNT i zamieszczeniem w stopce wiadomości przypadkowego amerykańskiego adresu.
W tej wiadomości jako nadawca wskazywany jest „zwycięzca”. Hmm, dziwne, że tak duża korporacja jak TNT używa nazwy zarezerwowanej dla mnie, bo przecież to ja mam być tym „zwycięzcą”. Więc sprawdźmy jaki adres mailowy kryje się pod nadzwyczaj zwięzłym opisem nadawcy:
Czyżby TNT używała tak dziwacznego adresu email i to jeszcze na koncie Google? Chyba raczej nie. Ale nie poddaję się i jako przyszły „zwycięzca” sprawdzam pod jaki adres kieruje mnie jakże radosny link zachęcający do wypełnienia anonimowej ankiety:
Na powyższym zrzucie ekranu link widoczny jest na samym dole grafiki. Czy kieruje nas na stronę TNT? Oczywiście, że nie! Klikając w ten link jesteśmy przekierowywani na stronę spreparowaną przez hakera. Wchodząc na taką stronę nie otrzymamy żadnej nagrody, tylko będziemy poproszeni o podanie swoich danych – tak wiem, ankieta miała być anonimowa. Zastanawia jak anonimowo moglibyśmy wygrać jakąkolwiek nagrodę. Pomijając ten „drobny” szczegół należy dodać, że kliknięcie w podany przez hakera link może wgrać nam złośliwe oprogramowanie, które zostanie wykorzystane przez hakera w celach niekoniecznie przez nas aprobowanych. Wracając jednak do przedmiotowej wiadomości, w oczy rzuca się fakt stosunkowo niezgrabnie napisanej w języku polskim wiadomości, a w szczególności użytego zwrotu „DO STARTU”. Ponadto znaki zapytania w miejscu typowo polskich liter wskazują, że widomość została przygotowana przez obcokrajowca, który korzystał z tłumacza, a jego komputer nie obsługiwał polskich znaków.
Także zastanawiającym jest fakt, że nigdzie nie ma uzasadnienia, dlaczego właśnie TNT organizuje ankietę, ani dlaczego to właśnie ja zostałem wytypowany do udziału w tej ankiecie. Brak jest uzasadnienia czego dotyczy ankieta, wiadomość jest niepodpisana, a wskazanie w stopce dziwnego adresu także budzi podejrzenia.
Podsumowując tego typu wiadomość stanowi rodzaj nienajlepszego phishingu i zastanawiać może, czy rzeczywiście ktoś uwierzy, że został wytypowany przez TNT do anonimowej ankiety, za udział w której można otrzymać nagrodę.
Przesyłka DHL?
Kolejnym przykładem phishingu, z którym zetknąłem się osobiście było podszywanie się przez cyberprzestępców pod firmę kurierską DHL:
W odróżnieniu od poprzedniej wiadomości operator mojej skrzynki pocztowej tego maila słusznie skierował do spamu. Jednakże sam email może posłużyć jako dobry przykład kolejnego rodzaju phishingu, więc przyjrzyjmy się uważnie otrzymanej wiadomości.
Nadawca przedstawia się jako „DHL-EXPERSS”, co ma uwiarygodnić, że email pochodzi od znanej firmy kurierskiej. Temat wiadomości może wskazywać, że chodzi o numer rzekomej przesyłki, a może numer jakiegoś kodu, który powinienem posiadać o czym informuje mnie wiadomość – ale to są jedynie moje przypuszczenia, a odpowiedź zna jedynie haker przygotowujący tego maila. Ponadto szyfrowanie TLS oraz użycie fragmentu nazwy przewoźnika (bez prawdziwego logotypu DHL) ma uwiarygadniać otrzymanie wiadomości od znanej firmy kurierskiej.
Pomijając powyższe „drobne” nieścisłości, zaciekawiony jakiego adresu email używa DHL do informowania klientów o przesyłkach sprawdzam nagłówek wiadomości:
Czyżby tak szanowany przewoźnik kontaktował się z klientami z adresu mdrasul597@gmail.com? Szczerze śmiem wątpić. Weryfikując dalej otrzymaną wiadomość, zastanawia mnie, czy DHL w jakiś dziwny i tajemniczy sposób próbuje przekazać mi wiadomość, a może jakiś pakiet? Ale jaki? Przecież jako potencjalny klient firmy kurierskiej powinienem spodziewać się przesyłki lub informacji o przesyłce, o czym świadczy informacja „zaplanuj dostawę”. Jednakże będąc ciekaw, czy mam do odczytania wiadomość, do odebrania jakiś tajemniczy pakiet, a może faktyczną przesyłkę, sprawdzam pod jaki adres kieruje mnie zamieszczony w tej wiadomości link:
Raczej domena go.sparkpostmail.com nie należy do firmy DHL. Szybka weryfikacja wskazuje, że przedmiotowa domena o IP 35.166.111.228 należy do serwisu Amazon (Hosting: AMAZON-02), a więc nie jest domeną firmy kurierskiej DHL.
Ponadto treść wiadomości w żaden sposób nie odpowiada zasadom budowania zdań i gramatyce języka polskiego, przez co staje się niezrozumiała. Nie jest jasne czego mamy oczekiwać klikając w podejrzany link. Czy jest to wspomniany powyżej tajemniczy pakiet, subskrypcja jakichś wiadomości, czy może wiadomość, która może być odczytana jedynie po kliknięciu w link. Chaos treściowy wiadomości wskazuje, iż phiser przygotowujący tego maila nie był osobą znającą język polski tylko korzystał z jakiegoś bardzo kiepskiej jakości tłumacza.
Prawdopodobnie po kliknięciu w link bylibyśmy poproszeni o podanie naszych danych osobowych, które mogły by zostać wykorzystane w celach przestępczych.
Trojan w zamówieniu
Jeszcze innym pomysłem wykazali się hakerzy wysyłając masowo spam, który trafił także na moją skrzynkę pocztową:
Wiadomość miała być od kupca i dotyczyć dokumentu zamówienia, a ja miałem być potencjalnym dostawcą. Temat wiadomości był zwięzły i niezbyt uważna osoba mogła by pomyśleć, że chodzi o rzeczywiste zamówienie, o ile reprezentowała by producenta podkładek pod myszki komputerowe. Pomijając ten fakt, haker próbuje uwiarygodnić się podając profesjonalny adres email zakończony nazwą domeny firmowej – marsints.com. Zdumienie może budzić fakt, że wiadomość pochodzi od nadawcy admin@marsints.com, ale już „kupiec” w stopce wiadomości użył adresu email: jjobbins@sensiaglobal.com. Czyżby obie firmy były siostrzane lub jedna firma była spółką córką drugiej? Nic bardziej mylnego. Firma Marsints nie istnieje (prawdopodobnie haker próbował poszyć się pod firmę Mars International, posiadającą domenę marsint.com – amerykańskiego producenta sprzętu mechanicznego i elektrycznego).
Natomiast firma Sensia Global jest brytyjską rafinerią. Adres tej firmy wpisany w treści wiadomości jest zupełnie przypadkowy.
Jednakże powyższe „nieścisłości” mające uwiarygodnić hakera mają stosunkowo niewielkie znaczenie w stosunku do załącznika dołączonego do tej wiadomości, który miał być dokumentem zamówienia. Niestety jest on trojanem, czyli czymś co wydaje się legalne, dobre, ale zawiera złośliwy kod. Samo kliknięcie w szczegółowe informacje o wiadomości zaowocowało takim komunikatem programu antywirusowego:
Co do zasady trojan Injector.gen służy do śledzenia naciśnięć klawiszy na komputerze (zawiera keyloggera), przekazuje hakerowi całą historię przeglądania zainfekowanego komputera, spowalnia działanie komputera, może prowadzić do szyfrowania plików (ransomware) – za odszyfrowanie haker żąda okupu, ponadto zmienia ustawienie domyślnej strony głównej w przeglądarkach internetowych i przekierowuje ofiarę do zainfekowanych stron internetowych, automatycznie wzbudza programy, wyłącza zaporę ogniową (firewall) oraz wyświetla niechciane reklamy. W najgorszym przypadku może doprowadzić do całkowitego uszkodzenia komputera. W 2014 roku tym wirusem zostało zainfekowanych od 60 do nawet 80% komputerów na całym świecie!
Ostrzeżenie przed tą wiadomością email znajduje się na tej stronie.
Oszuści na OLX
Kolejnym rodzajem oszustw jest phishing stosowany na portalach aukcyjnych i często w mediach społecznościowych. Jeszcze nie tak dawno temu oszuści podszywali się pod kupujących korzystających z portalu OLX komunikując się ze sprzedającymi za pomocą komunikatora WhatsApp. Skala oszustw była tak duża, że nawet sam portal na swojej stronie ostrzegał przed tymi oszustwami.
Sam też spotkałem się z próbą oszustwa, którą przedstawiam i omawiam poniżej:
Potencjalny „kupujący” zaczynał zawsze rozmowę od pytania o sprzedawany przedmiot i jego dostępność. Oczywiście od razu zgadzał się na cenę. Oszust zamieszczał wiadomość z linkiem do potwierdzenia płatności za przedmiot i potwierdzającym jego dostawę – w moim przypadku po wykryciu próby oszustwa oszust od razu usunął wiadomość z fałszywym linkiem. Co zyskiwał na tym phisher? Sprzedawaną rzecz, bo otrzymywaliśmy potwierdzenie wpłaty (fikcyjne), więc oszukane osoby wysyłały „zakupione” przez oszustów przedmioty, a dodatkowo przekazywały im swoje poufne dane, w tym dane logowania na swoje konto bankowe, bo tego wymagało sfałszowane potwierdzenie płatności. W moim przypadku oszust od razu usunął wiadomość z fałszywym linkiem po tym jak poinformowałem o zgłoszeniu sprawy serwisowi OLX i na Policję. Przy czym był na tyle bezczelny, aby już po usunięciu wiadomości z linkiem wykłócać się, że ma dobre zamiary i rzeczywiście chce kupić etui na telefon.
Pozostałe oszustwa elektroniczne
Hakerzy wykazują się niezwykłą pomysłowością w nakłonieniu swoich ofiar do przekazania poufnych danych i informacji. Oprócz wiadomości email hakerzy niezwykle często wykorzystują komunikatory elektroniczne i media społecznościowe, poczynając od fikcyjnych zbiórek poprzez linki kierujące do fałszywych i zawirusowanych stron, które mają na celu pobrać nasze poufne dane oraz zainfekować nasze urządzenia.
Warto nadmienić, iż w Polsce jeden z najnowszych ataków phishingowych skierowany był na klientów banku PKO BP. W spreparowanej wiadomości email cyberprzestępcy zamieszczali rzekomy wyciąg okresowy salda konta, a w rzeczywistości plik ten zawierał złośliwe oprogramowanie, które niszczy dane zapisane na komputerze i przejmuje dane dostępowe do konta bakowego.
Częstą taktyką nakłaniającą ludzi do podania swoich danych jest informacja o wygaśnięciu hasła, upływającym terminie jego ważności, teoretycznego zablokowania konta z uwagi na próbę nieautoryzowanego dostępu do niego przez osobę trzecią – tu w celu odblokowania konta konieczne jest podanie swoich danych uwierzytelniających. Przy czym hakerzy próbują podszyć się pod banki, operatorów telekomunikacyjnych, platformy społecznościowe czy dostawców usług poczty elektronicznej.
Jednocześnie należy uważać na wszelkie załączniki dołączane do wiadomości elektronicznych, gdyż często zawierają w sobie złośliwe oprogramowanie, jak chociażby wspomniany powyżej Injector.gen. Warto zwrócić uwagę na fakt częstego kompresowania takich załączników w formaty .zip czy .rar, co ma na celu ominięcie detekcji złośliwego kodu przez programy antywirusowe. Wobec tego zawsze należy zastanowić się, dlaczego, np. faktura, czy wspomniany powyżej wyciąg z rachunku bankowego jest skompresowany i zapisany w formacie .zip czy .rar, a nie przesłany np. w formacie .pdf, skoro jego waga nie jest duża.
Podsumowanie
Pomysłowość hakerów w wywieraniu wpływu na swoje ofiary za pomocą środków komunikacji elektronicznej jest nieograniczona. Ich znajomość ludzkiej psychiki oraz technik manipulacji powoduje, że wielu ludzi zostaje złapanych w pułapkę nastawioną przez phisherów. Jedynie dokładna analiza otrzymywanych wiadomości poprzez szczegółową weryfikację nadawcy, linków zawartych w wiadomości, załączników oraz nieścisłości i braku spójności językowej pozwolą skutecznie zabezpieczyć się przed tego typu phishingiem. Ponadto nic nie zastąpi zdrowego rozsądku i opanowania emocji, bo nie zawsze wiadomość z załączoną książką pochodzi od naszego przyjaciela i nie zawsze jesteśmy zwycięzcami wysokich nagród!
Na zakończenie dodam, że w drugiej części artykułu opiszę pozostałe rodzaje ataków phishingowych, a także bardziej szczegółowo zaprezentuję techniki obrony przed phishingiem.
Autor: Michał Mamica