Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00130 011012 7496266 na godz. na dobę w sumie
Mroczne odmęty phishingu. Nie daj się złowić! - ebook/pdf
Mroczne odmęty phishingu. Nie daj się złowić! - ebook/pdf
Autor: , , Liczba stron: 224
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-283-2907-2 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo systemów
Porównaj ceny (książka, ebook (-20%), audiobook).
Ataki za pomocą specjalnie spreparowanych wiadomości e-mail stały się jednym z najczęstszych i najbardziej uciążliwych zagrożeń. Mimo kampanii edukacyjnych i szeroko zakrojonych programów bezpieczeństwa phishing wciąż jest niezwykle skuteczną bronią przestępców. Jest tak, gdyż wykorzystuje odruchy, którymi kieruje się znakomita większość ludzi. Aby więc ochronić się przed atakiem, trzeba poznać zarówno podstawy ataków e-mailowych, jak i pewnych zasad psychologii i metod manipulacji ludzkim postępowaniem.

Trzymasz w ręku świetny przewodnik po mrocznym świecie phishingu. Opisano tu formy tego rodzaju ataków, przedstawiono sposoby rozpoznawania fałszywych wiadomości e-mail czy sklonowanych stron internetowych. Omówiono również socjotechniczne aspekty phishingu, dzięki czemu lepiej zrozumiesz psychologiczne mechanizmy rządzące postępowaniem ofiary. Po lekturze tej książki będziesz również wiedział, jak udoskonalić firmowy system bezpieczeństwa, aby skutecznie odpierać ataki e-mailowe — nawet te bardzo wyrafinowane!

W tej książce:

Nie daj się złapać na haczyk! Strzeż swego bezpieczeństwa!


Christopher Hadnagy jest założycielem spółki Social-Engineer. Od ponad 15 lat zajmuje się kwestiami bezpieczeństwa informacji. Specjalizuje się w badaniu socjotechnicznych metod zdobywania nieuprawnionego dostępu do informacji. Wzięty autor i aktywny uczestnik wielu konferencji.

Michele Fincher jest behawiorystką, badaczką i ekspertką w dziedzinie bezpieczeństwa informacji. Pracowała dla Sił Powietrznych USA, gdzie zajmowała się bezpieczeństwem informacji, włączając w to wykłady w Air Force Academy. Obecnie przyczynia się do sukcesu firmy Social-Engineer.
Znajdź podobne książki

Darmowy fragment publikacji:

Tytuł oryginału: Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails Tłumaczenie: Rafał Ociepa ISBN: 978-83-283-2906-5 Copyright © 2015 by John Wiley Sons, Inc., Indianapolis, Indiana All rights reserved. This translation published under license with the original publisher John Wiley Sons, Inc. Translation copyright © 2017 by Helion S.A. No part of this publication may be reproduced, stored in a retrieval system or transmitted in any form or by any means, electronic, mechanical, photocopying, recording, scanning or otherwise, without either the prior written permission of the Publisher Wiley and the Wiley logo are trademarks or registered trademarks of John Wiley Sons, Inc. and/or its affiliates, in the United States and other countries, and may not be used without written permission. All other trademarks are the property of their respective owners. Wiley Publishing, Inc., is not associated with any product or vendor mentioned in this book. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/mrodph Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność Spis treści O autorach O redaktorze technicznym Podziękowania Przedmowa Wprowadzenie Rozdział 1. Wypływamy na odmęty phishingu ABC phishingu Jak idzie się na phishing Przykłady Głośne włamania Fisze w środowisku naturalnym Fisze z ostrymi zębami Spearphishing Podsumowanie Rozdział 2. Psychologiczne zasady podejmowania decyzji Podejmowanie decyzji: drobne rzeczy Błąd poznawczy Stan fizjologiczny Czynniki zewnętrzne Podejmowanie decyzji w skrócie Wtedy akurat myślałem, że to dobry pomysł Jakiej przynęty używają phisherzy Przedstawiamy ciało migdałowate Gildia porywaczy ciał (migdałowatych) Zakładanie kagańca na ciało migdałowate Namydlić, spłukać, powtórzyć Podsumowanie 9 11 13 17 21 27 28 30 33 34 37 49 54 56 59 60 61 63 64 66 66 68 70 71 74 76 77 Poleć książkęKup książkę 6 Mroczne odmęty phishingu Rozdział 3. Wpływ i manipulacja Dlaczego ta różnica jest dla nas istotna Jak poznać różnicę? W jaki sposób zbudujemy relację z naszymi celami? Jak będą się czuły osoby wzięte przez nas na cel po tym, gdy zorientują się, że je sprawdzaliśmy? Jakie mamy zamiary? Ale atakujący będą stosować manipulację… To wszystko kłamstwa „K” jak „kara” Zasady wywierania wpływu Wzajemność Zobowiązanie Ustępstwo Rzadkość Władza Konsekwencja i zaangażowanie Sympatia Społeczny dowód słuszności Zabawa z wpływem Społeczna natura człowieka Reakcja fizjologiczna Reakcja psychologiczna Co warto wiedzieć o manipulacji Podsumowanie Rozdział 4. Lekcje samoobrony Lekcja pierwsza: Krytyczne myślenie Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie? Lekcja druga: Mysz w zawisie A co, jeśli już kliknąłem w link i wydaje się on niebezpieczny? Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie? Lekcja trzecia: Rozszyfrowywanie adresów URL Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie? Lekcja czwarta: Analizowanie nagłówków e-maila Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie? Lekcja piąta: Piaskownica Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie? Ściana baranków, czyli sieć złych pomysłów Na kłopoty — przeklejanie Dzielenie jak marzenie Moja komórka jest bezpieczna Dobry antywirus Cię ocali Podsumowanie 81 83 84 84 84 85 85 86 87 89 90 90 91 92 92 93 94 95 95 96 96 97 98 99 103 104 105 106 108 110 110 113 114 117 118 119 120 120 121 122 123 123 Poleć książkęKup książkę Rozdział 5. Planowanie wypadu na fisze: Jak stworzyć firmowy program phishingowy Podstawowy przepis Dlaczego? Jaki jest motyw? Nie całkiem na bakier z prawem Opracowanie programu szkolenia Ustalenie poziomu odniesienia Ustalenie poziomu trudności Pisanie wiadomości phishingowych Mierzenie wyników i statystyki Raportowanie Atakuj, edukuj, powtarzaj Podsumowanie Rozdział 6. Dobre, złe i brzydkie: polityki i coś ponadto Prosto w serce: polityki a emocje Znaczenie Złe Jak zmienić to na „dobre”? Szefa to nie dotyczy Znaczenie Złe Jak zmienić to na „dobre”? Załatam tylko jedną dziurę Znaczenie Złe Jak zmienić to na „dobre”? Testuj do obrzydzenia Znaczenie Złe Jak zmienić to na „dobre”? Zadzwoń pod ten numer, gdy zauważysz fiszę Znaczenie Złe Jak zmienić to na „dobre”? W poniedziałki atakujący odpoczywają Znaczenie Złe Jak zmienić to na „dobre”? Gdy zamknę oczy, nic mi nie będzie Znaczenie Złe Jak zmienić to na „dobre”? Spis treści 7 125 127 127 130 133 136 137 138 150 151 154 156 158 159 160 161 161 161 162 162 162 163 163 164 164 164 165 165 165 166 167 167 168 168 168 169 170 170 170 171 171 172 Poleć książkęKup książkę 8 Mroczne odmęty phishingu Lekcja dla nas wszystkich Podsumowanie Rozdział 7. Przybornik zawodowca Programy płatne Rapid7 Metasploit Pro ThreatSim PhishMe Wombat PhishGuru PhishLine Aplikacje open source SET: Social-Engineer Toolkit Phishing Frenzy Zestawienie Zarządzane czy nie? Podsumowanie Rozdział 8. Na fisze na bogato Phishing na głębokich wodach Z czym mamy do czynienia Ustalcie realne cele dla Waszej firmy Zaplanujcie program Zrozumcie statystyki Reagujcie odpowiednio do sytuacji Dokonajcie wyboru: wewnętrznie czy zewnętrznie? Podsumowanie Skorowidz 172 173 175 176 177 180 185 189 192 195 196 198 201 203 204 205 206 206 208 209 210 211 212 214 217 Poleć książkęKup książkę R O Z D Z I A Ł 1 Wypływamy na odmęty phishingu Lana: Nie uważasz, że to może być pułapka? Archer: Co? Nie, nie uważam, że to pułapka! Chociaż… nigdy tak nie uważam… A często to wtedy jest pułapka. — Archer, sezon 4, odcinek 13 Jako że spędzimy razem sporo czasu, mam wrażenie, że powinnam zacząć naszą relację od ujawnienia czegoś o sobie. Choć uważam się za relatywnie inteli- gentnego człowieka, popełniłam niezliczoną ilość głupich błędów. Wiele z nich zrodziło się z momentów, w których zawołałam: „Hej, popatrzcie na mnie!” lub gdy pomyślałam sobie: „Ciekawe, co się stanie, jeśli tu wstaw niebezpieczną/ głupią sytuację”. Ale najczęściej moje błędy brały się nie z próby przelicytowania kogoś innego czy z zastanawiania się nad możliwymi konsekwencjami, a właśnie z braku zastanowienia. Ten brak zastanowienia zazwyczaj prowadził do jednej i tej samej rzeczy: podjęcia impulsywnego działania. W jakimś poprzednim wcieleniu na pewno trafiali na mnie scamerzy, przestępcy i oszuści, bo taka ce- cha to jeden z kluczowych aspektów potrzebnych im do skutecznych ataków. Phishing w różnych postaciach stał się ważnym wektorem ataku dla takich lu- dzi, ponieważ jest dość prostym sposobem na dotarcie do ofiar i skłonienie ich do działania bez zastanowienia. UWAGA Zanim na dobre zaczniemy, chcę zwrócić uwagę na jeszcze jedną rzecz. Być może zauważyliście, że kiedy mówię o atakującym, używam zaimka „on” (właśnie, nawet „atakujący” jest rodzaju męskiego). To nie wynik moich uprzedzeń ani tego, że wszyscy atakujący są mężczyznami. Jest to po prostu łatwiejsze niż pisanie „on lub ona”, dzięki czemu unikamy niepotrzebnych komplikacji na dodatkowym poziomie językowym. A zatem to „on” popełnia przestępstwa. Niemniej jednak atakujący może być dowolnej płci. Poleć książkęKup książkę 28 Mroczne odmęty phishingu ABC phishingu Zacznijmy od podstawowych informacji. Co to jest phishing? Definiujemy to zjawisko jako wysyłanie e-maili, które wydają się pochodzić z wiarygodnych źródeł, a mają na celu wpłynięcie na odbiorcę lub pozyskanie danych osobowych. To przydługi sposób powiedzenia, że phishing to podstępne e-maile od złych ludzi. Łączy w sobie socjotechnikę i sztuczki technologiczne. Może obejmować załącznik do e-maila wczytujący do komputera malware (złośliwe oprogra- mowanie). Może to też być link do podstawionej strony internetowej. Strony takie mogą podstępem skłaniać nas do pobierania malware’u lub podawania poufnych danych. Istnieje również tzw. spearphising, czyli forma phishingu na- celowana na daną osobę. Atakujący zwykle poświęcają dużo czasu na poznanie celu i utworzenie wiadomości spersonalizowanych, związanych z sytuacją da- nej osoby. Dlatego tego typu wiadomości mogą być trudne do wykrycia, a jesz- cze trudniej jest się przed nimi bronić. Prawdopodobnie każda osoba na świecie posiadająca adres e-mail otrzymała wiadomość phishingową, a patrząc na dane statystyczne z raportów, można powiedzieć, że wiele tych osób kliknęło w link czy załącznik. Powiedzmy sobie pewną rzecz bardzo jasno. To, że ktoś tam klika, bynajmniej nie znaczy, że ten ktoś jest głupi. To błąd, który zdarza się, kiedy nie poświęcamy odpowiednio dużo czasu na przemyślenie tego, co robimy, lub kiedy nie mamy informacji potrzebnych do podjęcia właściwej decyzji (dla porównania: głupie było to, że przejechałam jednym ciągiem z Biloxi w stanie Missisipi do Tucson w Arizonie). Można powiedzieć, że są pewne typowe cele i typowi atakujący. Motywacje phisherów na ogół są dość standardowe: pieniądze lub informacje (dzięki którym można zdobyć pieniądze). Jeśli, jak wiele innych osób, otrzymaliście kiedyś e-mail, w którym proszono o udzielenie pomocy zdetronizowanemu księciu chcącemu przenieść swój majątek, to byliście po prostu częścią swoistej loterii. Niewiele osób jest bajecznie bogatych. Ale jeśli phisherowi uda się nakłonić grupę przeciętnych osób do wspomożenia księcia przez przekazanie małej „opłaty za przelew”, po- magającej przenieść jego fundusze (takie prośby często pojawiają się w tego typu przekrętach), to ziarnko do ziarnka i zbiera się niezła sumka. A z kolei jeśli e-mail od „mojego banku” spowoduje, że podam swoje poufne dane, to jeśli ktoś ukrad- nie moją tożsamość, może to mieć dla mnie poważne konsekwencje finansowe. Do częstych celów należą również szeregowi pracownicy danej firmy. Co prawda każdy z osobna może nie dysponować większymi zasobami informacji, ale przez omyłkowe podanie swojego loginu i hasła może umożliwić atakują- cemu dostęp do firmowego intranetu. To może być jego ostatecznym celem, jeśli zyski z tego są wystarczająco duże, ale może to też być sposób na eskalację ataku na inne cele. Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 29 Oczywiście poza zwykłymi ludźmi są też cele o większej wartości, takie jak osoby na wyższych szczeblach piramid organizacyjnych dużych korporacji czy rządów. Im wyżej ktoś stoi w hierarchii danej organizacji, tym większe jest prawdopodobieństwo, że stanie się celem ataku spearphishingowego ze wzglę- du na stosunek czasu i pracy potrzebnych do przygotowania ataku względem jego skutków. Wtedy właśnie konsekwencje ataków stają się poważne dla całej gospodarki, a nie tylko dla pojedynczych osób. Jeśli wyjdziemy poza przeciętnych przestępców oraz zwyczajowe pobudki zdobycia pieniędzy, to okazuje się, że mamy do czynienia z szeroko zakrojo- nymi atakami, osnutymi na poważnych motywach. Z jednej strony możemy mieć tu do czynienia z osobami zainteresowanymi skompromitowaniem jakiejś dużej organizacji z przyczyn osobistych lub politycznych. Na przykład Syryjska Armia Elektroniczna (ang. Syrian Electronic Army, SEA) miała związek z wie- loma niedawnymi przypadkami e-maili phishingowych, które doprowadziły do włamań do różnych organizacji medialnych, w tym m.in. Associated Pressi, CNNii i magazynu „Forbes”iii. Naturalnie pojawiły się konsekwencje finansowe: na przykład włamanie na konto AP na Twitterze spowodowało spadek indeksu Dow Jones o 143 punkty (rysunek 1.1). Takie coś to nie płotka, ale co z utratą reputacji ważnego źródła informacji? Moglibyśmy przez cały dzień dyskuto- wać sobie, które z tych konsekwencji są w praktyce większe. Miało to też jednak pewien pozytywny skutek: zmusiło nas do zastanowienia się, czy rzeczywiście serwisy społecznościowe to najlepsze miejsce do śledzenia wiarygodnych, naj- świeższych wiadomości. Rysunek 1.1. Zhakowany tweet AP o treści: „Pilne: dwie eksplozje w Białym Domu; Barack Obama ranny” Schodząc jeszcze głębiej, trafimy na poziom cyberszpiegostwa na skalę prze- mysłową, a nawet międzypaństwową. Tu gra toczy się o tajemnice handlowe, gospodarkę światową i bezpieczeństwo narodowe. Konsekwencje tego są jasne nawet dla osób zupełnie niezorientowanych w temacie. Nagłaśniane jest teraz w mediach międzynarodowych podejrzenie, że chińscy hakerzy wojskowi wła- mali się do systemów pięciu ważnych firm amerykańskich i pewnego związku zawodowegoiv. Firmy te zajmują się produkcją energii jądrowej, słonecznej i stali. Poleć książkęKup książkę 30 Mroczne odmęty phishingu Po raz pierwszy w dziejach Stany Zjednoczone oskarżyły inne państwo o szpiego- stwo internetowev. A wszystko to zaczęło się od prostych e-maili. Chcę przez to powiedzieć, że z phishingiem powinien być choć trochę obe- znany każdy, a nie tylko pasjonaci bezpieczeństwa. Może i nie myślicie za czę- sto o cyberszpiegostwie, ale założę się, że sporo uwagi poświęcacie swojemu kontu bankowemu i zdolności kredytowej. Moja mama nadal nie wie, jak od- słuchać wiadomość w poczcie głosowej (serio!), ale zdecydowanie wie, że nie powinna otwierać e-maili od obcych osób. Wasze mamy też powinny się sto- sować do tej zasady. A teraz, skoro wiecie już, „co”, „kto” i „dlaczego”, porozmawiajmy o „jak”. Jak idzie się na phishing Rozpoznanie podejrzanego e-maila byłoby banalnie proste, gdyby jego nadawca nazywał się „Dawaj Kasę”. Niestety, jeden z najprostszych sposobów naciąga- nia ofiar polega na spoofingu adresu e-mail, czyli fałszowaniu informacji w polu Od wiadomości e-mail, przez co wiadomość wydaje się pochodzić od osoby znajomej lub z innego wiarygodnego źródła (np. od operatora usług telewizyj- nych czy internetowych). W rozdziale 4. opisujemy pewne łatwe kroki, jakie można podjąć, żeby sprawdzić, czy nadawca jest tym, za kogo się podaje. W mię- dzyczasie warto pamiętać, że uznawanie e-maila za bezpieczny tylko dlatego, że znamy nadawcę, nie zawsze jest dobrym pomysłem. Kolejną techniką, za pomocą której scamerzy podnoszą swoją wiarygodność, jest stosowanie klonowania stron. Ta technika polega na kopiowaniu prawdzi- wych stron w celu skłonienia ofiary do tego, żeby podała swoje dane osobowe lub dane logowania. Za pomocą takich fałszywych stron można też bezpośred- nio atakować komputer odbiorcy. Chris osobiście spotkał się na przykład z fał- szywą stroną Amazon.com. To świetny przykład z kilku powodów. Po pierwsze, to powszechny przekręt, bo wiele osób, nie tylko w USA, ma konta na Amazon.com. Widzieliśmy stronę serwisu i wysyłane przez niego e-maile już tyle razy, że ra- czej nie przyglądamy im się bacznie. Po drugie, fałszywka jest na tyle dobra, że prawie złapał się na nią nawet ktoś, kto ma dużo doświadczenia z podstępny- mi zabiegami scamerów. Chris od lat stosuje phishing wobec naszych klientów (oczywiście za ich zgo- dą). Wysłał setki tysięcy takich e-maili i doskonale wie, jak są tworzone i dla- czego działają. W zeszłym roku otrzymał e-mail informujący go, że dostęp do jego konta na Amazon.com ma zostać zablokowany. Tak się złożyło, że e-mail ten zbiegł się w czasie z naszymi przygotowaniami do dorocznego turnieju na Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 31 konferencji DEF CON. Chris jest praktycznie zawsze zajęty, ale na miesiąc przed tą konferencją co roku zaczyna się w jego biurze coś, co można porównać tylko do dziewięciu kręgów piekielnych Dantego — naraz. Nie wiem, co sobie po- myślał czy powiedział na głos, kiedy dostał ten fałszywy e-mail z Amazona, ale pewnie domyślacie się, jaki jest ciąg dalszy tej anegdoty. Rysunek 1.2 pokazuje właśnie ten e-mail, który dostał. Rysunek 1.2. Niesławny e-mail phishingowy, rzekomo z Amazon.com1 Jeśli przeczytacie tę wiadomość z uwagą, to zauważycie, że jej język nieco odbiega od zwykłego poziomu i zdarzają się tam pewne nieprawidłowości, na przykład zapisywanie niektórych słów wielką literą bez powodu. Takie cechy są typowe dla wiadomości phishingowych, bo dla wielu z ich twórców angielski 1 Treść e-maila: „Drodzy Klienci, kontaktujemy się z Wami, aby przypomnieć Wam, że nasz Zespół Oceny stwierdził, że Wasze konto zostało ograniczone. Zgodnie z Regulaminem Użytkowników Amazona oraz aby zapewnić, że logowanie na Wasze konto nie nastąpiło z niewłaściwych lokalizacji, dostęp do Waszego konta został ograniczony. Wasz dostęp Internetowy zostanie ZABLOKOWANY, jeśli ten problem nie zostanie natychmiastowo rozwiązany. Prosimy, zalogujcie się na swoje konto, klikając w link poniżej, żeby przywrócić swoje konto Natychmiastowo. https://www.amazon.com/verify/idp/login.htm Dziękujemy za korzystanie z Amazona. Konsultant ds. bezpieczeństwa Amazon Online” — przyp. tłum. Poleć książkęKup książkę 32 Mroczne odmęty phishingu nie jest językiem ojczystym. Najważniejsze jest jednak to, że jakość tego e-maila jest na tyle wysoka, że nie zwróci uwagi rozgorączkowanego, śpieszącego się odbiorcy. Chris kliknął na link i trafił na stronę wyglądającą ze wszech miar jak stro- na Amazon.com, co widać na rysunku 1.3. Nawet dokładne oględziny nie ujawni- łyby, że to fałszywa strona, bo została sklonowana. Rysunek 1.3. Fałszywa strona Amazon.com W tym momencie zadziałały lata praktyki Chrisa. Spojrzał na URL strony (czyli jej adres) i zrozumiał, że nie jest prawdziwa. Gdyby podał tutaj swoje dane logowania, jak wymagała tego przesłana wiadomość, to ktoś zyskałby dostęp do jego konta na Amazonie, zawierającego dane osobowe Chrisa i dane jego karty kredytowej. Prawie się to udało, bo strona była dokładną kopią oryginału, a e-mail przyszedł do Chrisa w momencie, kiedy był akurat zajęty, zmęczony i rozkojarzony — co poważnie ogranicza ludzką zdolność do krytycznego my- ślenia (omówimy to bliżej w rozdziale 4.). Sednem sprawy jest fakt, że klono- wanie stron to bardzo sugestywny sposób na przekonanie odbiorcy, że wiado- mość phishingowa jest prawdziwa. Kolejną sztuczką lubianą przez scamerów jest dzwonienie do ofiary po wy- słaniu jej e-maila phishingowego. Taki zabieg znany jest jako vishing (z angiel- skiego voice phishing) czy phishing telefoniczny. Vishing ma wiele niecnych celów, Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 33 od zwiększenia wiarygodności e-maila po różne sposoby bezpośredniego wy- dobywania od rozmówcy poufnych informacji. Ta technika jeszcze bardziej una- ocznia nam, jak bardzo powinniśmy chronić nasze dane osobowe. Dorastałam w czasach, kiedy na czekach dawanych pracownikom na koniec miesiąca re- gularnie drukowane były ich numery telefonów i numery Social Security2, za- raz pod adresem pracownika, co praktycznie wołało: „Panie złodzieju, proszę ukraść moją tożsamość!”. Wyobraźmy sobie, jak przekonująca byłaby sytuacja, w której otrzymujecie e-mail, a zaraz po nim telefon od „pracownika banku”, który namawia Was do kliknięcia w link z e-maila, wejście na stronę i zaktu- alizowanie danych konta. Niedawno taka sytuacja miała rzeczywiście miejsce w świecie korporacji. Zo- stało to ochrzczone mianem „frankofonii”, bo wzięte na cel firmy działały przede wszystkim na terenie Francjivi. Atak był dobrze zaplanowany. Asystentka ds. administracyjnych w jednej z firm otrzymała e-mail w sprawie faktury, po którym nastąpił telefon od kogoś, kto przedstawił się jako jeden z wiceprezesów firmy. Rozmówca poprosił asystentkę o niezwłoczne zajęcie się tą fakturą. Asystentka kliknęła więc w e-mailu w link, który prowadził do pliku uruchamiającego na komputerze malware. To złośliwe oprogramowanie pozwoliło atakującym przejąć kontrolę nad komputerem i wykraść informacje. Przykład ten jest interesujący dlatego, że pojawia się w nim wiele czynników, takich jak wykorzystanie pozycji władzy i różnic płci, ale najważniejszym morałem z tej historii jest to, że każda rzecz wydaje się bardziej prawdopodobna, jeśli usłyszymy o niej z kilku źródeł. Przykłady Nie wiem jak Wy, ale ja i Chris najlepiej uczymy się na przykładach. W tej części książki wspomnimy o głośnych włamaniach, które zaczęły się od phishingu, a także o najczęściej stosowanych obecnie zabiegach phishingowych. Omówi- my też, dlaczego tak często są one skuteczne. Przede wszystkim musimy tutaj wspomnieć o Anti-Phishing Working Gro- up (APWG — www.apwg.org). Moglibyśmy poświęcić całe strony peanom na cześć tych wspaniałych ludzi, ale najważniejsze jest to, że stanowią międzynaro- dowe konsorcjum pasjonatów bezpieczeństwa, którzy badają, definiują i przygo- towują raporty na temat tego, jak funkcjonuje phishing na świecie. 2 Numer identyfikacyjny powszechnie stosowany w USA w sposób podobny do numeru PESEL w Polsce, związany zarazem z dostępem do świadczeń społecznych — przyp. tłum. Poleć książkęKup książkę 34 Mroczne odmęty phishingu Według raportu APWG z sierpnia 2014 roku statystyki phishingowe nadal zwalają z nóg. W drugim kwartale 2014 roku APWG otrzymało od konsu- mentów zgłoszenia o 128 378 unikatowych stronach phishingowych i 171 801 unikatowych e-mailachvii. Odkąd APWG zaczęło prowadzić te statystyki, tylko raz wykryto większą liczbę stron phishingowych w ciągu jednego kwartału. Na cel atakujący brali najczęściej (w 60 ataków) serwisy płatnościowe i sektor fi- nansów, ale w tej kategorii pojawił się też nowy trend: coraz częściej phishing wymierzany był w płatności internetowe i użytkowników kryptowalut. Skoro mamy już za sobą ogólny rzut na statystyki, czas przejść do konkretów. Głośne włamania Chyba jednym z najgłośniejszych, jak dotąd, włamań jest przypadek Target Corporation. Atak ten dotknął niemal 110 milionów konsumentów — szacun- ki mówią o 40 milionach kart kredytowych i 70 milionach osób, których dane osobowe wykradziono; przy takich wynikach nawet część z Was mogła znaleźć się w tej grupieviii. Najciekawsze w tej sprawie jest jednak to, że wydaje się, iż atak nie był skierowany konkretnie przeciwko firmie Targetix. To świetny przykład eskalacji ataku. Target stał się ofiarą z przypadku, kiedy nadarzyła się okazja po rzeczywistym, zaplanowanym włamaniu. Pierwszą ofiarą był dostawca urządzeń klimatyzacyjnych dla sklepów Target, który miał dostęp do ich wewnętrznej sieci. Jakiś pracownik tej firmy klimatyzacyjnej dostał wiadomość phishingową i kliknął w link, który spowodował zainstalowanie na jego komputerze malware, które z kolei wykradło dane do logowania. Sieć firmy wykonawczej była powią- zana z systemem sieciowym firmy Target na potrzeby wystawiania rachunków i przedstawiania zleceń. Nie znamy wszystkich szczegółów ataku, ale po tym, jak atakujący rozeznali się w systemach wykonawcy, znaleźli możliwość dostę- pu na serwery korporacyjne firmy Target i włamali się do systemu płatności. Choć w tej chwili nie jest do końca jasne, jakie ostatecznie szkody poniosą konsumenci, to włamanie to kosztowało już ponad 200 milionów dolarów — to cena, jaką instytucje finansowe zapłaciły za ponowne wydanie kart kredyto- wych, których dane wykradziono; zarazem ta kwota nie uwzględnia kosztów potencjalnych spraw o oszustwo, za co nie ponoszą finansowej odpowiedzial- ności konsumenci. Podsumowując, była to dramatyczna i droga lekcja na temat zagrożeń związanych z phishingiem. Inne ważne włamanie, o którym może nawet nie pamiętacie, dotknęło RSA. W tej chwili chyba każda wzmianka o RSA w jakiś sposób wiąże się z debatą o szyfrowaniu, która zaczęła się pod koniec 2013 roku w związku z działania- mi National Security Agency. Sprawa ta była tak głośna, że niemal zupełnie przysłoniła włamanie, którego ofiarą padła ta firma w 2011 rokux. Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 35 W odróżnieniu od wykorzystującego łut szczęścia ataku na Target włamanie do RSA było prawdopodobnie efektem dobrze przemyślanych działań skiero- wanych przeciwko pracownikom tej firmy. Wszystko wskazuje na to, że nastą- piło w wyniku przesłania złośliwego arkusza kalkulacyjnego Excel w załączni- ku e-maila wysłanego do niskich szczeblem pracowników RSA (rysunek 1.4). Rysunek 1.4. Wiadomość phishingowa do RSA o treści: „Przesyłam ten plik do wglądu. Proszę otwórz i zapoznaj się z nim.” Filtry spamu RSA podobno przechwyciły te e-maile i skierowały je do fol- derów ze spamem na kontach użytkowników. Co ciekawe, użytkownicy prze- jęli kontrolę nad automatycznymi funkcjami, które zadziałały w tym przypad- ku tak, jak powinny. Przynajmniej jeden z odbiorców otworzył e-mail i jego załącznik. Dało to atakującym dostęp do intranetu firmy i umożliwiło im kra- dzież informacji związanych z niektórymi produktami RSA. Według dostępnych informacji w kwartale po włamaniu spółka matka RSA, EMC, wydała 66 mi- lionów dolarów na działania związane z usuwaniem szkód, takie jak monito- rowanie transakcji oraz wymiana tokenów szyfrowania. Innym godnym uwagi włamaniem do firmy produktowej był atak na Coca- Colę w 2009 rokuxi. Ta sprawa zaczęła się od bardzo spersonalizowanego ata- ku na kierownictwo Coca-Coli — o temacie „Save power is save money! (from CEO)”, czyli „Oszczędzać prąd to oszczędzać pieniądze (od CEO)”. Ten temat brzmi źle, ale trzeba wziąć pod uwagę dwie inne rzeczy: po pierwsze, e-mail jako nadawcę podawał wysoko postawioną osobę w dziale prawnym firmy. Po drugie, w czasie tego ataku Coca-Cola prowadziła kampanię promującą oszczędzanie energii (atakujący dobrze się przygotowali). Dyrektor będący ce- lem ataku otworzył wiadomość i kliknął w link, który miał prowadzić do dal- szych informacji na temat programu oszczędzania energii. Ale zamiast tego wczytał na komputer rozmaite złośliwe oprogramowanie, w tym keyloggera, Poleć książkęKup książkę 36 Mroczne odmęty phishingu który przez tygodnie zapisywał wszystko, co użytkownik wpisał na klawiaturze zainfekowanego komputera. To włamanie umożliwiło chińskim hakerom do- stęp do intranetu firmy i wykradanie danych aż do momentu, kiedy włamanie wykryto — kilka tygodni później. Włamanie nastąpiło w lutym 2009 roku, a Coca-Cola dowiedziała się o nim dopiero w marcu, od FBI. Do tamtej pory wykradziono ogromne ilości pouf- nych danych. Atak miał miejsce zaledwie kilka dni przed podjętą przez Coca- Colę — i ostatecznie nieudaną — próbą kupienia za 2,4 miliarda dolarów jed- nego z chińskich producentów napojów. Gdyby transakcja ta doszła do skutku, byłaby największym, jak dotąd, nabyciem chińskiej firmy przez podmiot zagra- niczny. Wyjaśnienia powodów, dla których nie doszło do transakcji, są sprzeczne, ale co najmniej jedna firma zajmująca się bezpieczeństwem twierdzi, że stało się to za sprawą wycieku istotnych informacji dotyczących strategii i polityki cenowej, przez co Coca-Cola nie była w stanie negocjować warunków zakupu. Jak wspomnieliśmy wcześniej, włamanie na konto AP było imponujące już choćby ze względu na to, jak wielki wpływ na giełdę miał jeden tweetxii. Nato- miast sposób, w jaki atakujący zyskali dostęp do konta, sprowadzał się do prostej wiadomości spearphishingowej wysłanej do wybranych pracowników AP z adresu wydającego się adresem jednego z ich współpracowników (rysunek 1.5). Rysunek 1.5. Wiadomość spearphishingowa do Associated Press Choć treść tego e-maila jest dość niekonkretna, trzeba pamiętać, że pochodził on ze „znanego” źródła i wydawał się kierować na rzeczywistą stronę w serwi- sie gazety „The Washington Post”. Ofiary, które kliknęły w link z wiadomości, Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 37 były przekierowywane na podstawioną stronę zbierającą od nich dane logowa- nia. Podejrzewa się, że podstawiona strona pozwalała na logowanie z użyciem konta na Twitterze, co doprowadziło do włamania na konto AP. Jak wyraźnie widać, korporacje są równie podatne na phishing, jak zwykli ludzie, mimo swoich działów technicznych i polityk bezpieczeństwa. A co z phis- hingiem nastawionym na mniejsze cele? Kolejna część rozdziału opisuje kilka często spotykanych przykładów, na które mogliście się natknąć nawet sami. Fisze w środowisku naturalnym Jakkolwiek na to spojrzeć, nie możemy omawiać na poważnie tematu phishin- gu, nie zaczynając od przekrętu nigeryjskiego (zwanego też afrykańskim szwin- dlem lub przekrętem 419). Ten typ oszustwa, znany też jako wyłudzenie zaliczki, stosowany jest podobno od ponad 200 lat (jak możecie sobie wyobrazić, cały proces prowadzony tradycyjną pocztą trwał znacznie dłużej, ale też miał miej- sce). Najnowszą nazwę zawdzięcza złej sławie Nigerii, która rzekomo jest oj- czyzną największej liczby przypadków takich wyłudzeń. Liczba 419 wzięła się stąd, że w kodeksie karnym Nigerii paragraf 419 odnosi się do wyłudzeń. Niewątpliwie spotkaliście się z różnymi wariacjami na temat tego oszustwa. Dla przykładu: bogaty książę został zdetronizowany i potrzebuje pomocy, że- by przenieść swój ogromny majątek, albo umierający człowiek chce zrehabili- tować się za to, że był niemiłym człowiekiem, i potrzebuje pomocy w przekazaniu pieniędzy na cele charytatywne. Niezależnie od tego, jaka jest przykrywka, są tu pewne stałe elementy:  Chodzi o ogromne sumy.  Nadawca powierza właśnie Tobie, osobie zupełnie dla siebie obcej, przekazanie funduszy, dysponowanie nimi lub ich przechowanie.  Nadawca oferuje Ci jakąś kwotę za fatygę, ale najpierw musisz zrobić którąś z następujących rzeczy:  Podać dane swojego konta bankowego, żeby nadawca mógł wpłacić na nie pieniądze.  Pomóc mu, opłacając koszty przekazu, najczęściej ze względu na jakąś trudną sytuację polityczną lub osobistą. Rysunek 1.6. pokazuje wzięty z życia e-mail, który niedawno krążył w in- ternecie. Dobra, akurat ten e-mail przysłał ktoś z Wybrzeża Kości Słoniowej, ale rozumiecie zasadę. Poleć książkęKup książkę 38 Mroczne odmęty phishingu Rysunek 1.6. Nigeryjski phishing Znakomita większość odbiorców dość łatwo pozna, że to przekręt, ale jakie konkretnie elementy pomogły mi określić, że to nie jest prawdziwa oferta od jakiejś rodziny ambasadora w Afryce?  Nie znam nikogo mieszkającego w Abidżanie. Nie znam nikogo nazwiskiem Hamson.  Nie ma też powodu, żeby Ruth Hamson miała znać mnie. Zresztą najwyraźniej wcale mnie nie zna, bo nie zwróciła się do mnie po imieniu. Taki złoty interes, a ona nawet nie wie, jak się nazywam?!?  Cenię sobie spontaniczność, ale ta propozycja naprawdę wzięła się nie wiadomo skąd.  Powierza mi (a nie bezpośrednio kościołowi, fundacji czy choćby kancelarii prawniczej) 2,5 miliona dolarów. Wyobraźcie sobie na chwilę tę kwotę. Chciałabym myśleć, że jestem osobą zasadniczo godną zaufania, ale wiecie, ile krabów i ciasta można zjeść za 2,5 miliona dolarów? Nigeryjski szwindel to przekręt phishingowy dla początkujących. Jest dość oczywiste, że to próba wyłudzenia i dość łatwo go rozpoznać. Można się zatem spodziewać, że po 200 latach nie powinniśmy się już na niego łapać. Niemniej Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 39 nadal ma się dobrze i wciąż znajduje kolejne ofiary, pewnie nawet teraz, kiedy czytacie tę książkę. Dlaczego nadal jest skuteczny?  Chciwość: To pierwszy, a zarazem najbardziej prozaiczny powód. Większość z nas nigdy nawet nie zobaczy kwot tak dużych, jak te proponowane w przekrętach 419, i to samo w sobie wystarczy, by wiele osób nie podeszło do sprawy na chłodno. W końcu zawsze jest szansa, że ta historyjka jest prawdziwa, nie? Właśnie nie. Ale jeśli ktoś potrafi wmówić sobie, że ma naprawdę szansę wygrać na loterii, to nie wymaga pewnie od niego wiele więcej wysiłku przekonanie samego siebie, że obca osoba rzeczywiście chce przekazać mu swój majątek.  Brak wiedzy: Omawiamy ten czynnik znacznie dokładniej w dalszych częściach książki, ale na świecie jest niemała grupa ludzi (do których do niedawna zaliczała się moja mama), którzy nie wiedzą, że źli ludzie mogą spróbować ukraść ich tożsamość lub pieniądze za pomocą e-maili.  Zwykła naiwność: Są ludzie, którzy całkowicie ufają innym na słowo. Byłoby cudownie, gdybyśmy żyli w świecie, w którym taka ufność nie wystawiałaby nas na niebezpieczeństwo. Poza przypadkami, kiedy ktoś proponuje nam ogromny majątek, pojawiają się też inne częste motywy chętnie wykorzystywane przez naciągaczy. Nie- które z nich są na tyle przekonujące, że zmuszają do zastanowienia. Motywy finansowe Motywy finansowe są jednym z większych „przebojów” wśród phisherów. Więk- szość z nas coś robi z pieniędzmi, obraca nimi, płaci podatki, a zatem otrzymanie zawiadomienia z jakiejś instytucji finansowej najczęściej wystarczy, żebyśmy przynajmniej otworzyli taki e-mail. Wspomniany phishing ma nieskończenie wiele odmian, ale najczęściej wymaga od odbiorcy potwierdzenia tożsamości przez podanie szczegółowych danych konta w jakimś formularzu internetowym. Najpowszechniejsze phishe finansowe to między innymi:  Nastąpiło wiele nieudanych prób zalogowania na twoje konto.  Twój bank zmienił zabezpieczenia online.  Zalegasz z płatnością za kredyt lub z podatkami. Rysunki 1.7 – 1.10 pokazują przykłady phishy w środowisku naturalnym. Większość tych prób jest zdecydowanie lepsza i bardziej dopracowana niż prze- kręt nigeryjski, mogą na przykład zawierać logo i elementy graficzne, dzięki czemu wyglądają bardziej wiarygodnie. Powiedzmy, że jest to średnio zaawan- sowany poziom phishingu. Poleć książkęKup książkę 40 Mroczne odmęty phishingu Rysunek 1.7. Przykład wiadomości phishingowej „PGE” Rysunek 1.8. Przykład wiadomości phishingowej banku „BZWBK” Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 41 Rysunek 1.9. Przykład wiadomości phishingowej „Poczty Polskiej” Rysunek 1.10. Przykład wiadomości phishingowej „Allegro” Mimo że te próby są bardziej wysublimowane, to nadal pojawiają się w nich szczegóły, które pozwalają nam rozpoznać oszustwo:  Zwroty do adresata są na ogół nieprecyzyjne: przecież bank powinien wiedzieć, jak nazywa się jego własny klient. „Witaj!” się tu nie liczy. Poleć książkęKup książkę 42 Mroczne odmęty phishingu  Ortografia, gramatyka i użycie wielkich liter są na wyższym poziomie, ale czegoś im nadal brakuje.  Linki do formularzy internetowych pokazują, że adres URL wcale nie należy do rzekomego nadawcy.  Stosowanie ponaglających zwrotów („Jeżeli przesyłka nie dotrze w ciągu 7 dni roboczych Poczta Polska będzie miała prawo do ubiegania się koszty utrzymania przesyłka 50 zł za jeden dzień”). Te e-maile wymuszają na odbiorcy działanie przede wszystkim przez wpro- wadzenie pewnego strachu czy niepokoju. Wszystko, co stawia pod znakiem za- pytania możliwość dostępu do naszych pieniędzy, jest dla nas straszne. Więk- szość przykładów, które przytaczamy w tej części, ma sporo wspólnych cech, zwłaszcza jeśli chodzi o metody, którymi skłaniają odbiorców do działania:  Przyjęcie pozycji władzy: To jedna z zasad wpływu omówionych szerzej w rozdziale 3.; w skrócie można powiedzieć, że ludzie są stworzeniami społecznymi i wszyscy reagują na jakieś formy autorytetu.  Ograniczenia czasowe: O nie! Piszą, że stracisz dostęp do konta w ciągu 48 godzin! Takie sformułowania powodują naprawdę duży lęk. Nasz wrodzony instynkt przetrwania sprawia, że wszystko, co stanowi zagrożenie dla możliwości dostępu do jakichś zasobów, odbieramy jako istotne niebezpieczeństwo.  Możliwość włamania: Naprawdę przeraża nas możliwość, że nasz bank odkrył niepowołane próby wejścia na nasze konto. Jest tylko jedna osoba, która może pławić się w moim złocie: ja. No i może jeszcze Smaug. Zagrożenia w mediach społecznościowych Innym motywem często pojawiającym się w phishingu jest korzystanie z me- diów społecznościowych. W końcu są one właśnie po to, żebyśmy uczestniczyli w społeczności. A zatem e-mail od któregoś z tych serwisów z prośbą, by dodać kogoś jako kontakt lub obejrzeć jakiś link, wydaje się całkowicie uzasadniony. Na ogół tego typu wiadomości mają zbliżony poziom do phishy dotyczących usług finansowych i można je rozpoznać po podobnych szczegółach. Nie- mniej, moim zdaniem, na niektóre z nich łatwiej się nabrać, bo jeśli należymy do jakiegoś serwisu społecznościowego, to często dostajemy jakieś zaproszenia — a co ważniejsze, liczymy na to, że będziemy je dostawać. Dodatkowo takie wiadomości, w odróżnieniu od niespodziewanego e-maila z banku, mogą nie budzić podejrzeń, więc odbiorca nie jest aż tak ostrożny. Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 43 Podobnie jak phishing związany z usługami finansowymi, tak i tego typu e-maile często odwołują się do strachu przed czymś w celu nakłonienia do określonych działań (rysunek 1.11). Rysunek 1.11. Przykład wiadomości phishingowej „YouTube” Strach motywuje bardzo mocno, ale utrata dostępu do konta w jakimś serwisie społecznościowym jest raczej niedogodnością niż poważną sprawą (przynajm- niej dla większości z nas). Niemniej jednak pretekst, jaki dają media społeczno- ściowe, pozwala też atakującym na stosowanie metod innych niż budzenie stra- chu, żeby skłonić odbiorcę do reakcji. Ataki te zasadzają się też na poczuciu obowiązku. Serwisy społecznościowe rozwijają się dzięki tworzonym w nich relacjom. Uczestnictwo w nich jest frajdą, bo dzięki temu możemy należeć do jakiejś grupy. Źródłem ataków phishingowych są te same motywacje. Wiele osób klika w przesłany link dlatego, że nie chce zrobić przykrości innej osobie (czyli odrzucić zaproszenie do grona znajomych) albo nie chce robić złego wrażenia i nie odpowiadać — nawet na zaproszenia od nieznanych osób (ry- sunki 1.12 i 1.13). Poleć książkęKup książkę 44 Mroczne odmęty phishingu Rysunek 1.12. Przykład wiadomości phishingowej „Facebooka” Rysunek 1.13. Przykład wiadomości phishingowej „LinkedIn” UWAGA Kiedy byłam dzieckiem, utrzymywałam swego rodzaju znajomość wirtualną. Miałam przyjaciółkę korespondencyjną. Dokładnie pamiętam, że nie czułam wtedy takiej siły i bezpośredniości tej przyjaźni, jaka dla wielu osób zdaje się cechować obecne wirtualne relacje. Zjawisko mediów społecznościowych jest dla mnie wciąż bardzo interesujące. Dzięki niemu ludzie mają do dyspozycji szybki i niewymagający wysiłku sposób na budowanie więzi dalece wykraczających poza ich normalne kręgi znajomych i współpracowników. Niestety z tych samych Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 45 powodów osoby zainteresowane poznawaniem nowych ludzi i rozwijaniem swojej sieci znajomych są szczególnie podatne na phishing należący do tej kategorii. W tym przypadku dobrze jest udawać, że żyje się w jaskini. Na jednym z moich kont czekają na mnie od dawna 34 prawdziwe zaproszenia. Pewnie powinnam zacząć się tym bardziej przejmować, bo jeszcze ludzie sobie pomyślą, że nie chcę mieć żadnych przyjaciół. Przekręty związane z głośnymi wydarzeniami Ostatnia kategoria phishy w środowisku naturalnym jest wyjątkowo obrzydliwa. Należą do niej e-maile, które oszuści wysyłają bezpośrednio po jakimś nagło- śnionym wydarzeniu: katastrofie naturalnej, rozbiciu się samolotu, ataku ter- rorystycznym — nadaje się do tego wszystko, czemu media poświęcają bardzo dużo uwagi, a co w związku z tym bardzo zajmuje opinię publiczną. Oszuści tacy żerują na naszych naturalnych reakcjach, czyli obawach, ciekawości i współ- czuciu. Przykłady te w większości są na poziomie dość zaawansowanym, jeśli przyjrzeć się im krytycznie. Nadal jednak zawierają pewne oznaki pozwalające stwierdzić, że są nieprawdziwe. Niemniej niektóre osoby są podatne na tego ty- pu ataki choćby ze względu na własną reakcję emocjonalną na dane wydarze- nie. A jaki jest najlepszy sposób na to, żeby ofiara nie myślała trzeźwo? Wzbudzić w niej silne emocje. Rozdział 2. opisuje ciekawe zjawisko zwane „porwaniem przez ciało migdałowate”. Nie minęła doba od czasu, gdy Target podał do wiadomości publicznej in- formacje o włamaniu, a scamerzy zaczęli już wykorzystywać obawy, jakie ludzie mieli w związku ze stanem swoich danych osobowych i kredytowych. Ziden- tyfikowano wtedy co najmniej 12 różnych oszustw, z których jedno obejmowało e-mail identyczny z wiadomością, którą Target wysyłał klientom, by wyjaśnić sytuację i zaproponować darmowy monitoring karty kredytowejxiii. Jak poka- zujemy na rysunku 1.14, ten przekręt trudno było wyłapać nawet specjalistom. Ponieważ sama treść była dokładną kopią wiadomości przesłanej przez Target, trzeba było sprawdzić adres nadawcy lub linki. Kolejnym szczegółem, który utrudniał właściwą decyzję, było to, że prawdziwy e-mail wysłany przez Target pochodził z adresu TargetNews@target.bfi0.com, który dla każdego wyglądał podejrzanie. Zapanowały strach i niepewność, a oszuści wykorzystali sytuację. Naturalnie najpodatniejsze na ten atak były osoby posiadające konta Target. Target jest jednak ogromną siecią sklepów, przez co właściwie każdemu nieco skoczyło ciśnienie na wieść o włamaniu. Trudno znaleźć w USA (i nie tylko) kogoś, kto ani razu nie kupił czegoś w sklepie tej sieci. Chcemy z Chrisem przede wszystkim edukować, a nie osądzać, ale warianty oszustw stosowane bezpośrednio po katastrofach są szczególnie godne potępienia. Ataki te zamiast prób zastraszenia odbiorcy (co samo w sobie jest ohydną rzeczą) Poleć książkęKup książkę 46 Mroczne odmęty phishingu Rysunek 1.14. Prawda czy phish? wykorzystują jego empatię. Oszuści atakowali w ciągu zaledwie kilku godzin od zamachu bombowego podczas maratonu w Bostonie w 2013 rokuxiv. Wiele ataków było prostymi e-mailami, które zawierały linki do rzekomych nagrań eksplozji. Linki te, wykorzystujące naturalną ludzką ciekawość, prowadziły do stron, które wgrywały malware na komputer ofiary. W innym wariancie tego ataku skorzystano z takich aspektów, jak ciekawość i pozycja władzy, i podszyto się pod e-mail od CNN (rysunek 1.15). Najgorsze są oczywiście te ataki, które żerują na chęci pomocy innym. Sca- merzy często wysyłają wiadomości zawierające prośbę o pomoc już w kilka godzin po dowolnym tragicznym zdarzeniu. Rysunek 1.16 pokazuje jeden z e-maili, które pojawiły się po tym, jak w 2011 roku nastąpiło w Japonii najpierw trzę- sienie ziemi, a zaraz po nim — tsunami. Według niektórych sprawozdań ataki zaczęły się zaledwie trzy godziny po pierwszym trzęsieniu ziemi. Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 47 Rysunek 1.15. Wariant ataku po zamachu podczas maratonu w Bostonie Rysunek 1.16. Atak phishingowy po tsunami w Japonii Poleć książkęKup książkę 48 Mroczne odmęty phishingu Przykład z rysunku 1.16 można łatwo rozpoznać jako phishing, dlatego że Czerwony Krzyż przyjmuje dotacje bezpośrednio na swojej stronie internetowej, a nie korzysta z przelewów za pośrednictwem serwisów takich jak MoneyBookers, przeznaczonych dla konta pod adresem e-mailowym w domenie yahoo.com. Ale musimy pamiętać, że po takim bolesnym i głośnym wydarzeniu wiele osób po prostu chciało pomóc. Osoby odpowiedzialne za te, często proste i łatwe do rozpoznania, ataki wzmacniają je telefonami, a czasem nawet nachodzeniem ludzi w domach, co zwiększa wiarygodność tych ataków. Fisze na talerzu Podsumowując, phishe mają różne rodzaje i postaci, ale powtarzają się w nich pewne elementy:  przekręt nigeryjski (warianty zaliczkowe lub kradzieży tożsamości),  usługi finansowe/płatnicze,  serwisy społecznościowe,  wykorzystywanie głośnych wydarzeń. Ta lista w praktyce mogłaby być znacznie dłuższa i zawierać dowolne pod- mioty, które mogą komunikować się przez internet (takie jak eBay, Netflix, Allegro, producenci oprogramowania czy choćby Poczta Polska), ale chyba ro- zumiecie już ogólną zasadę. Można powiedzieć, że większość ataków jest na pod- stawowym lub zaawansowanym poziomie złożoności; mają też one wiele ele- mentów wspólnych. Żeby skłonić ofiarę do działania, stosuje się w nich na przykład jeden z poniższych elementów:  chciwość,  strach,  szacunek dla władzy,  chęć nawiązania kontaktu,  ciekawość,  współczucie. Większość ataków na tym poziomie ma cechy, które pozwalają nam rozpo- znać, że są oszustwami. Natomiast należy pamiętać, że kiedy mamy do czynienia z bardziej rozwiniętymi przypadkami phishingu, następujące cechy stają się mniej oczywiste:  niekonkretne powitanie/pożegnanie,  nieznany/podejrzany nadawca, Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 49  linki do nieznanych/podejrzanych stron,  literówki, błędy gramatyczne, ortograficzne i interpunkcyjne,  mało prawdopodobne preteksty (zwłaszcza w przekrętach nigeryjskich),  naglące sformułowania. Fisze z ostrymi zębami Czy macie już wrażenie, że toniecie w odmętach oszustw? Przebiegłość, jaką wykazują ludzie, żeby okraść innych, jest naprawdę obezwładniająca. Co gor- sza, przykłady przytoczone wcześniej należą właściwie do najprostszych ata- ków. Są różne ich wariacje, które wynoszą je na nowe (i jeszcze bardziej przy- gnębiające) poziomy. Zaczęliśmy z Chrisem kategoryzować poziomy trudności ataków, żeby ułatwić naszym klientom zrozumienie, z czym mają do czynienia, a także po to, by śledzić postępy naszych klientów w rozpoznawaniu coraz bardziej skompli- kowanych przekrętów. Szczegółowym opisem poszczególnych poziomów trudności zajmiemy się w rozdziale 6. Ataki zaawansowane Przykłady, które widzieliście wcześniej, należą głównie do poziomów: podsta- wowego i zaawansowanego, ale niektóre z nich stawiamy na górnym końcu skali przypadków zaawansowanych. Na przykład fałszywa wiadomość od sieci Target była dokładną kopią prawdziwego e-maila, tyle że zawierała linki do złośliwych stron. Wypłyńmy więc na głębsze wody i rozłóżmy na czynniki pierw- sze kilka trudniejszych przypadków. Pierwszym z nich jest kolejna wiadomość podszywająca się pod wiadomość z banku (rysunek 1.17). Zastanówmy się, co zostało tutaj zrobione „dobrze”. Co mogło skłonić od- biorców do kliknięcia w link w tym e-mailu?  Logo banku: Pewnie zauważyliście to już wcześniej, ale wiele zaawansowanych ataków wykorzystuje prawdziwe logo i grafiki, dzięki czemu takie wiadomości wydają się bardziej wiarygodne. Przywykliśmy już do tego, że kiedy kontaktują się z nami duże firmy, widzimy markę firmy, więc logo jest dobrym sposobem na upozorowanie fałszywej wiadomości tak, aby wydawała się prawdziwa, i na uśpienie naszej czujności. Poleć książkęKup książkę 50 Mroczne odmęty phishingu Rysunek 1.17. Zaawansowany atak „z banku”  Wykorzystanie strachu/niepewności: W tym e-mailu stwierdzono, że jeśli odbiorca nie podejmie pewnych działań, to jego dostęp do środków może zostać ograniczony.  Stosowanie ponagleń: W tym e-mailu nie posunięto się do stwierdzenia, że odbiorca musi podjąć działanie w określonym przedziale czasu, ale zdecydowanie zachęca się do działania bez zwłoki. Po tym, co omówiliśmy do tej pory, liczę, że nie było Wam trudno rozpo- znać oszustwa z rysunku 1.17. Czy wychwyciliście charakterystyczne oznaki?  bezosobowe powitanie,  brak wskazania nadawcy,  nieprawidłowości gramatyczne, w tym mało prawdopodobny temat wiadomości,  przekierowanie linku — jeśli sprawdzicie link, to pewnie okaże się, że wcale nie prowadzi na stronę banku (np. zamiast kierować na www.citizensedmond.com prowadzi na www.nieznanaosobaozlych zamiarach.com). OSTRZEŻENIE Przez „sprawdzenie” rozumiemy przesunięcie kursora nad link, tak żeby tylko wyświetlić adres strony. Absolutnie nie należy klikać w link ani wklejać adresu do przeglądarki, chyba że jest się specem od bezpieczeństwa i ma się solidnie „ufortyfikowany” komputer. Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 51 Na pierwszy rzut oka przykład z rysunku 1.18 jest podobny do poprzednie- go e-maila „z banku”, ale warto zwrócić uwagę na kilka rzeczy, przez które może być trudniej rozpoznać, że to fałszywka. Przyjrzyjcie się. Rysunek 1.18. Zaawansowany atak phishingowy „BBB” Jeśli zwróciliście baczną uwagę, to zauważyliście pewnie kilka następują- cych elementów, dzięki którym wiadomość z rysunku 1.18 jest bardziej prze- konująca od przeciętnego ataku:  Personalizowanie: Widać, że ta wiadomość została wysłana do danej osoby, a w treści znajduje się wzmianka o firmie adresata. Chociaż nie pojawia się tu logo ani grafika, to Better Business Bureau jest w USA dobrze znaną organizacją.  Lepsze wykorzystanie strachu/niepewności: Ten e-mail jest reklamacją, pochodzi od BBB i powołuje się na problemy z umową oraz na to, że firma adresata nie zareagowała na reklamację. Każda z tych rzeczy budzi niepokój przedsiębiorcy.  Wykorzystanie pozycji władzy: Pojawia się masa numerów referencyjnych, numerów sprawy, numerów Office of Management and Budget — wszystko wygląda bardzo oficjalnie.  Adres e-mail: Adres nadawcy wygląda wiarygodnie, a e-mail wydaje się pochodzić z domeny @bbb.org. Poleć książkęKup książkę 52 Mroczne odmęty phishingu Na szczęście ten e-mail ma też słabe punkty. Znaleźliście je?  Numer sprawy w tytule nie zgadza się z numerem sprawy w treści.  Brak wskazania nadawcy. Owszem został wysłany przez BBB, ale można by się spodziewać, że do sprawy zostałaby przydzielona jakaś osoba kontaktowa.  I tym razem, gdybyśmy sprawdzili link prowadzący do reklamacji, zauważylibyśmy, że nie prowadzi do domeny należącej do BBB.  Pojawiają się drobne błędy gramatyczne.  Nie ma czegoś takiego jak Better Business Bureau of Consumer Protection Consumer Response Center. Sprawdziłam. Phishing dla zaawansowanych Dobra, czas zająć się czymś trudniejszym do rozszyfrowania. Przykład z rysun- ku 1.19 to zaawansowany atak phishingowy. W odróżnieniu od e-maila z „Lin- kedIn”, pokazanego na rysunku 1.13, w tej wiadomości niełatwo rozpoznać fałszywkę. Podejrzewam, że to kopia e-maili, w których zachęca się do dodania kontaktu w serwisie, podobnie jak kopią był e-mail od sieci Target z rysunku 1.14. Rysunek 1.19. Zaawansowana wiadomość phishingowa od „LinkedIn” Dlaczego ten e-mail może zadziałać?  Pochodzi od „prawdziwej” osoby. Ma ona konto w serwisie LinkedIn, więc na pewno taka osoba istnieje, prawda?  To serwis społecznościowy, więc jesteśmy przyzwyczajeni do zaproszeń od nieznanych osób.  Ma znaki firmowe i jest taki sam jak inne zaproszenia z LinkedIn. Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 53 Fakt, phish z rysunku 1.19 jest dobrą podróbką. Jeśli rzeczywiście jest sklo- nowanym e-mailem, to nie będzie miał żadnych widocznych oznak w postaci języka, formatowania czy znaków graficznych, po których będzie go można rozpoznać. W tym przypadku trzeba sprawdzić go dokładniej.  Sprawdzamy, dokąd prowadzą linki (i przypomnę, że sprawdzamy nie znaczy klikamy w nie!).  Sprawdzamy, czy adres, na który przyszedł ten e-mail, to adres podany przez nas na naszym koncie w serwisie LinkedIn (test na myślenie krytyczne).  Osoby szczególnie ostrożne mogą zignorować tę wiadomość i zalogować się na swoje konto LinkedIn, żeby sprawdzić, czy tam też pojawiło się takie zaproszenie. Wiadomość z rysunku 1.20 dostał pewien mój znajomy. E-maile od AT T nie są dla niego rzadkością, bo ta właśnie firma jest jego operatorem komórko- wym. Na swoje szczęście jest on też specem od bezpieczeństwa i ma lekką pa- ranoję zawodową, więc zanim zareagował, sprawdził pewne rzeczy. Zdecydo- wanie sklasyfikowałabym ten atak jako zaawansowany. Rysunek 1.20. Zaawansowany atak „AT T” Poleć książkęKup książkę 54 Mroczne odmęty phishingu Nie wiem, czy e-mail z rysunku 1.20 to klon prawdziwego e-maila od AT T, ale jeśli tak nie jest, to został naprawdę dobrze sfałszowany. Przeciętny odbiorca pewnie kliknąłby w link z powodu następujących cech:  użyto logo AT T, kolorów i grafik firmowych;  brak jest ewidentnych problemów z gramatyką, ortografią czy interpunkcją;  jako pretekst podano brak dostępu do poczty głosowej — w takiej sytuacji większość z nas zareagowałaby od razu. Co zatem spowodowało, że mój znajomy nie stał się ofiarą oszustwa?  Zajęło mu to chwilę, ale zorientował się, że adres e-mail, na który przyszła ta wiadomość, to nie ten adres, którego używał ze swoim kontem AT T. Właściwie to właśnie ta jedna rzecz go uratowała.  Wiadomość nie ma bezpośredniego zwrotu do odbiorcy.  W e-mailu jest tylko jeden zły link! Mój znajomy sprawdził wszystkie linki i zauważył coś ciekawego. Z wyjątkiem jednego linku, prowadzącego do rzekomej wiadomości, wszystkie inne były prawdziwe. A zatem gdyby nie sprawdził ich wszystkich dokładnie, nie zauważyłby, że to nie jest prawdziwy e-mail. Jak wyraźnie widać, w tym przykładzie trudno rozpoznać oszustwo; zdecy- dowanie przechodzi podstawowe testy. Na szczęście mój znajomy ma taki zwy- czaj, że nigdy nie wchodzi na żadne ze swoich kont poprzez linki w e-mailach. Mam nadzieję, że kiedy przeczytacie tę książkę, też zastanowicie się nad swoimi przyzwyczajeniami w sieci. Spearphishing Na koniec rozdziału zajmijmy się spearphishingiem. Jak wspomnieliśmy, jest to atak phishingowy, który został przygotowany pod kątem określonego odbiorcy. Atakujący przeprowadził rozeznanie i zna co najmniej imię, nazwisko i adres e-mailowy swojego „celu”. Jeśli ofiara jest osobą wysoko postawioną, mógł dowie- dzieć się na jej temat o wiele więcej. Wystarczy odrobina poszukiwań w sieci i można znaleźć ofiarę w serwisach społecznościowych, na stronie firmowej czy w ramach innych przejawów jej obecności online. Jeśli ofiara jest naprawdę ważna, to atakujący może dowiedzieć się wszystkiego o jej hobby, zaintereso- waniach i majątku, a nawet może zdobyć informacje o rodzinie ofiary. Ba, jeśli znajdzie coś naprawdę złego czy kompromitującego, to nie będzie nawet mu- siał uciekać się do phishingu, żeby zdobyć to, o co mu chodzi. Będzie mógł Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 55 wtedy po prostu szantażować ofiarę, żeby wyłudzić od niej pieniądze lub zmu- sić ją do ujawnienia jakichś informacji. Ale zmieniam temat, a przecież na- szym tematem jest phishing. Coś takiego jest bardzo niepokojące, a do tego skutkuje atakiem phishingo- wym, któremu bardzo trudno się oprzeć. Atakujący, któremu naprawdę zależy na pieniądzach czy danych wybranej ofiary, nie cofnie się przed niczym. Do- wie się, że ofiara przeszła ciężką chorobę i wspomaga teraz organizacje chary- tatywne związane z taką chorobą. Dowie się, czy ofiara uprawia w sieci hazard, czy że ma kredyt hipoteczny przekraczający jej zdolność kredytową. To jest to, co leży u podstaw spearphishingu. Jest nieubłaganie personalny. Rysunek 1.21 pokazuje przykład ataku spearphishingowego, którego celem byli niedawno dyrektorzy dużych firmxv. Wyobrażacie sobie, że dostajecie coś takiego? Rysunek 1.21. Atak spearphishingowy o treści: „NINIEJSZYM WZYWA SIĘ do stawienia się i zeznawania przed Ławą Przysięgłych Sądu Rejonowego Stanów Zjednoczonych w miejscu i czasie wskazanych poniżej.” Zróbmy jeszcze analizę e-maila z tego rysunku. Co sprawia, że to przeko- nująca wiadomość?  Zawiera logo federalnego sądu rejonowego USA.  Posiłkuje się strachem i szacunkiem wobec władzy. Czy dla kogokolwiek jest przyjemne, gdy znienacka dostaje wezwanie i NAKAZ stawienia się przed sądem? Poleć książkęKup książkę 56 Mroczne odmęty phishingu  Wiadomość jest spersonalizowana do tego stopnia, że zawiera pełne nazwisko, adres e-mailowy, nazwę firmy i numer telefonu ofiary.  Narzuca ograniczenia czasowe: podana jest data i godzina, o której odbiorca ma się stawić na miejscu — w przeciwnym razie poniesie konsekwencje.  Nie ma tu oczywistych literówek ani błędów gramatycznych.  Nadawca jest dość wiarygodny: subpoena@uscourts.com. Szczerze mówiąc, nie ma osoby, która z łatwością wyłapałaby ten atak. Ja by- łam w stanie znaleźć tylko dwie przesłanki:  Link prowadzący do właściwego wezwania jest złośliwy. Link z tego przykładu prowadzi do strony, która instalowała na komputerze keyloggera.  Adres nadawcy ma domenę @uscourts.com, która nie budzi zastrzeżeń, póki nie przypomnimy sobie, że sądy amerykańskie korzystają z domen .gov. I tyle! Dwie szanse na to, żeby rozpoznać, że wiadomość, która powoduje u odbiorcy niepokój i potrzebę reakcji, jest nakierowanym atakiem. Jak wspo- mniałam wcześniej, jeśli ktoś nie ma wyrobionych dobrych nawyków, to łatwo może się złapać na ataki tej klasy. Podsumowanie Zapoznaliście się już ze światem phishingu. W tym momencie powinniście już znać:  definicję phishingu,  często spotykane cele i typy atakujących,  powody stosowania phishingu,  techniki stosowane przez oszustów,  przykłady głośnych włamań, które zaczęły się od ataków phishingowych,  powszechnie spotykane przykłady ataków,  zarys poziomów złożoności ataków. Poleć książkęKup książkę Rozdział 1  Wypływamy na odmęty phishingu 57 Mam nadzieję, że rozumiecie już lepiej, czym jest phishing, jaki jest jego zasięg i jakie są powody, dla których staje się dla wszystkich coraz większym problemem. Podsumujmy ten rozdział wybranymi danymi statystycznymi. W krótkim przedziale czasu, od maja 2012 roku do kwietnia 2013 roku, ataki phishingowe zgłosiło ponad 37 milionów użytkowników. To ataki, które zostały zgłoszone do jednej instytucji, a zatem to tylko ta część ataków, o której wiemy. Szacuje się, że codziennie wysyłanych jest blisko 300 miliardów e-maili, a 90 z nich to spam i wirusyxvi. To niewyobrażalne statystyki, które jednak prowadzą do jednego, niezaprzeczalnego wniosku. A mianowicie: jeśli masz adres e-mail, to wcze- śniej czy później trafi do Ciebie wiadomość phishingowa. Bez dwóch zdań. Siądźcie wygodnie, bo za chwilę zanurzymy się w bardzo mętnych wodach. W phishingu nie chodzi tylko o to, w co klikasz, ale o to, dlaczego w to klikasz. Zajrzymy pod maskę systemu operacyjnego marki Człowiek i sprawdzimy, jak działa. Zapowiada się świetna zabawa, co? Bierzmy się do pracy. Przypisy i Geoffrey Ingersoll, Inside the Clever Hack That Fooled the AP and Caused the DOW to Drop 150 Points („Kulisy przebiegłego ataku, który pokonał AP i spowodował spadek indeksu Dow Jones o 150 punktów”), „Business Insider”, 22 listopada 2013, http://www.businessinsider.com/inside-the-ingenious-hack-that-fooled-the-ap-and-caused- -the-dow-to-drop-150-points-2013-11. ii Tim Wilson, Report: Phishing Attacks Enabled SEA to Crack CNN’s Social Media („Raport: ataki phishingowe umożliwiły SEA włamanie do serwisów społecznościowych CNN”), DarkReading.com, 27 stycznia 2014, http://www.darkreading.com/attacks- -breaches/report-phishing-attacks-enabled-sea-to-crack-cnns-social-media/d/d-id/1141215?. iii Andy Greenberg, How the Syrian Electronic Army Hacked Us: A Detailed Timeline („Jak włamała się do nas Syryjska Armia Elektroniczna: oś czasu”), „Forbes”, 20 lutego 2014, http://www.forbes.com/sites/andygreenberg/2014/02/20/how-the-syrian-electronic- -army-hacked-us-a-detailed-timeline/. iv Danny Yadron, Alleged Chinese Hacking: Alcoa Breach Relied on Simple Phishing Scam („Chiny podejrzane o hacking: włamanie do Alcoa polegało na prostym ataku phishingowym”), „The Wall Street Journal”, 19 maja 2014, http://www.wsj.com/news/articles/ SB10001424052702303468704579572423369998070. v Brett LoGiurato, The US Government Indicts 5 Chinese Military Hackers on Cyberspying Charges („Rząd USA stawia 5 chińskim hakerom wojskowym zarzuty cyberszpiegostwa”), „Business Insider”, 19 maja 2014, http://www.businessinsider.com/us-china-spying- -charges-2014-5. Poleć książkęKup książkę 58 Mroczne odmęty phishingu vi Symantec Official Blog, Francophoned — A Sophisticated Social Engineering Attack („Frankofonia — wyrafinowany atak socjotechniczny”), 28 sierpnia 2013, http://www. symantec.com/connect/blogs/francophoned-sophisticated-social-engineering-attack. vii Anti-Phishing Working Group, Phishing Activity Trends Report, 2nd Quarter 2014 („Raport na temat trendów w działaniach phishingowych, 2. kw. 2014”), 28 sierpnia 2014, http://docs.apwg.org/reports/apwg_trends_report_q2_2014.pdf. viii Michael Riley, Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It („Przegapione sygnały ostrzegawcze i 40 milionów skradzionych numerów
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Mroczne odmęty phishingu. Nie daj się złowić!
Autor:
, ,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: