Darmowy fragment publikacji:
Tytuł oryginału: Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails
Tłumaczenie: Rafał Ociepa
ISBN: 978-83-283-2906-5
Copyright © 2015 by John Wiley Sons, Inc., Indianapolis, Indiana
All rights reserved. This translation published under license with the original
publisher John Wiley Sons, Inc.
Translation copyright © 2017 by Helion S.A.
No part of this publication may be reproduced, stored in a retrieval system or transmitted
in any form or by any means, electronic, mechanical, photocopying, recording, scanning or
otherwise, without either the prior written permission of the Publisher
Wiley and the Wiley logo are trademarks or registered trademarks of John Wiley Sons, Inc.
and/or its affiliates, in the United States and other countries, and may not be used without
written permission. All other trademarks are the property of their respective owners. Wiley
Publishing, Inc., is not associated with any product or vendor mentioned in this book.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej
publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną,
fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym
powoduje naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi
ich właścicieli.
Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje
były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie,
ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz
Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody
wynikłe z wykorzystania informacji zawartych w książce.
Wydawnictwo HELION
ul. Kościuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/mrodph
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
• Kup książkę
• Poleć książkę
• Oceń książkę
• Księgarnia internetowa
• Lubię to! » Nasza społeczność
Spis treści
O autorach
O redaktorze technicznym
Podziękowania
Przedmowa
Wprowadzenie
Rozdział 1. Wypływamy na odmęty phishingu
ABC phishingu
Jak idzie się na phishing
Przykłady
Głośne włamania
Fisze w środowisku naturalnym
Fisze z ostrymi zębami
Spearphishing
Podsumowanie
Rozdział 2. Psychologiczne zasady podejmowania decyzji
Podejmowanie decyzji: drobne rzeczy
Błąd poznawczy
Stan fizjologiczny
Czynniki zewnętrzne
Podejmowanie decyzji w skrócie
Wtedy akurat myślałem, że to dobry pomysł
Jakiej przynęty używają phisherzy
Przedstawiamy ciało migdałowate
Gildia porywaczy ciał (migdałowatych)
Zakładanie kagańca na ciało migdałowate
Namydlić, spłukać, powtórzyć
Podsumowanie
9
11
13
17
21
27
28
30
33
34
37
49
54
56
59
60
61
63
64
66
66
68
70
71
74
76
77
Poleć książkęKup książkę6
Mroczne odmęty phishingu
Rozdział 3. Wpływ i manipulacja
Dlaczego ta różnica jest dla nas istotna
Jak poznać różnicę?
W jaki sposób zbudujemy relację z naszymi celami?
Jak będą się czuły osoby wzięte przez nas na cel po tym,
gdy zorientują się, że je sprawdzaliśmy?
Jakie mamy zamiary?
Ale atakujący będą stosować manipulację…
To wszystko kłamstwa
„K” jak „kara”
Zasady wywierania wpływu
Wzajemność
Zobowiązanie
Ustępstwo
Rzadkość
Władza
Konsekwencja i zaangażowanie
Sympatia
Społeczny dowód słuszności
Zabawa z wpływem
Społeczna natura człowieka
Reakcja fizjologiczna
Reakcja psychologiczna
Co warto wiedzieć o manipulacji
Podsumowanie
Rozdział 4. Lekcje samoobrony
Lekcja pierwsza: Krytyczne myślenie
Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie?
Lekcja druga: Mysz w zawisie
A co, jeśli już kliknąłem w link i wydaje się on niebezpieczny?
Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie?
Lekcja trzecia: Rozszyfrowywanie adresów URL
Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie?
Lekcja czwarta: Analizowanie nagłówków e-maila
Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie?
Lekcja piąta: Piaskownica
Czy atakujący mogą w jakiś sposób obejść to zabezpieczenie?
Ściana baranków, czyli sieć złych pomysłów
Na kłopoty — przeklejanie
Dzielenie jak marzenie
Moja komórka jest bezpieczna
Dobry antywirus Cię ocali
Podsumowanie
81
83
84
84
84
85
85
86
87
89
90
90
91
92
92
93
94
95
95
96
96
97
98
99
103
104
105
106
108
110
110
113
114
117
118
119
120
120
121
122
123
123
Poleć książkęKup książkęRozdział 5. Planowanie wypadu na fisze:
Jak stworzyć firmowy program phishingowy
Podstawowy przepis
Dlaczego?
Jaki jest motyw?
Nie całkiem na bakier z prawem
Opracowanie programu szkolenia
Ustalenie poziomu odniesienia
Ustalenie poziomu trudności
Pisanie wiadomości phishingowych
Mierzenie wyników i statystyki
Raportowanie
Atakuj, edukuj, powtarzaj
Podsumowanie
Rozdział 6. Dobre, złe i brzydkie: polityki i coś ponadto
Prosto w serce: polityki a emocje
Znaczenie
Złe
Jak zmienić to na „dobre”?
Szefa to nie dotyczy
Znaczenie
Złe
Jak zmienić to na „dobre”?
Załatam tylko jedną dziurę
Znaczenie
Złe
Jak zmienić to na „dobre”?
Testuj do obrzydzenia
Znaczenie
Złe
Jak zmienić to na „dobre”?
Zadzwoń pod ten numer, gdy zauważysz fiszę
Znaczenie
Złe
Jak zmienić to na „dobre”?
W poniedziałki atakujący odpoczywają
Znaczenie
Złe
Jak zmienić to na „dobre”?
Gdy zamknę oczy, nic mi nie będzie
Znaczenie
Złe
Jak zmienić to na „dobre”?
Spis treści
7
125
127
127
130
133
136
137
138
150
151
154
156
158
159
160
161
161
161
162
162
162
163
163
164
164
164
165
165
165
166
167
167
168
168
168
169
170
170
170
171
171
172
Poleć książkęKup książkę8
Mroczne odmęty phishingu
Lekcja dla nas wszystkich
Podsumowanie
Rozdział 7. Przybornik zawodowca
Programy płatne
Rapid7 Metasploit Pro
ThreatSim
PhishMe
Wombat PhishGuru
PhishLine
Aplikacje open source
SET: Social-Engineer Toolkit
Phishing Frenzy
Zestawienie
Zarządzane czy nie?
Podsumowanie
Rozdział 8. Na fisze na bogato
Phishing na głębokich wodach
Z czym mamy do czynienia
Ustalcie realne cele dla Waszej firmy
Zaplanujcie program
Zrozumcie statystyki
Reagujcie odpowiednio do sytuacji
Dokonajcie wyboru: wewnętrznie czy zewnętrznie?
Podsumowanie
Skorowidz
172
173
175
176
177
180
185
189
192
195
196
198
201
203
204
205
206
206
208
209
210
211
212
214
217
Poleć książkęKup książkęR O Z D Z I A Ł
1
Wypływamy
na odmęty phishingu
Lana: Nie uważasz, że to może być pułapka?
Archer: Co? Nie, nie uważam, że to pułapka! Chociaż…
nigdy tak nie uważam… A często to wtedy jest pułapka.
— Archer, sezon 4, odcinek 13
Jako że spędzimy razem sporo czasu, mam wrażenie, że powinnam zacząć naszą
relację od ujawnienia czegoś o sobie. Choć uważam się za relatywnie inteli-
gentnego człowieka, popełniłam niezliczoną ilość głupich błędów. Wiele z nich
zrodziło się z momentów, w których zawołałam: „Hej, popatrzcie na mnie!”
lub gdy pomyślałam sobie: „Ciekawe, co się stanie, jeśli tu wstaw niebezpieczną/
głupią sytuację”. Ale najczęściej moje błędy brały się nie z próby przelicytowania
kogoś innego czy z zastanawiania się nad możliwymi konsekwencjami, a właśnie
z braku zastanowienia. Ten brak zastanowienia zazwyczaj prowadził do jednej
i tej samej rzeczy: podjęcia impulsywnego działania. W jakimś poprzednim
wcieleniu na pewno trafiali na mnie scamerzy, przestępcy i oszuści, bo taka ce-
cha to jeden z kluczowych aspektów potrzebnych im do skutecznych ataków.
Phishing w różnych postaciach stał się ważnym wektorem ataku dla takich lu-
dzi, ponieważ jest dość prostym sposobem na dotarcie do ofiar i skłonienie ich
do działania bez zastanowienia.
UWAGA Zanim na dobre zaczniemy, chcę zwrócić uwagę na jeszcze jedną rzecz.
Być może zauważyliście, że kiedy mówię o atakującym, używam zaimka „on” (właśnie,
nawet „atakujący” jest rodzaju męskiego). To nie wynik moich uprzedzeń ani tego,
że wszyscy atakujący są mężczyznami. Jest to po prostu łatwiejsze niż pisanie
„on lub ona”, dzięki czemu unikamy niepotrzebnych komplikacji na dodatkowym
poziomie językowym. A zatem to „on” popełnia przestępstwa. Niemniej jednak
atakujący może być dowolnej płci.
Poleć książkęKup książkę28
Mroczne odmęty phishingu
ABC phishingu
Zacznijmy od podstawowych informacji. Co to jest phishing? Definiujemy to
zjawisko jako wysyłanie e-maili, które wydają się pochodzić z wiarygodnych
źródeł, a mają na celu wpłynięcie na odbiorcę lub pozyskanie danych osobowych.
To przydługi sposób powiedzenia, że phishing to podstępne e-maile od złych
ludzi. Łączy w sobie socjotechnikę i sztuczki technologiczne. Może obejmować
załącznik do e-maila wczytujący do komputera malware (złośliwe oprogra-
mowanie). Może to też być link do podstawionej strony internetowej. Strony
takie mogą podstępem skłaniać nas do pobierania malware’u lub podawania
poufnych danych. Istnieje również tzw. spearphising, czyli forma phishingu na-
celowana na daną osobę. Atakujący zwykle poświęcają dużo czasu na poznanie
celu i utworzenie wiadomości spersonalizowanych, związanych z sytuacją da-
nej osoby. Dlatego tego typu wiadomości mogą być trudne do wykrycia, a jesz-
cze trudniej jest się przed nimi bronić.
Prawdopodobnie każda osoba na świecie posiadająca adres e-mail otrzymała
wiadomość phishingową, a patrząc na dane statystyczne z raportów, można
powiedzieć, że wiele tych osób kliknęło w link czy załącznik. Powiedzmy sobie
pewną rzecz bardzo jasno. To, że ktoś tam klika, bynajmniej nie znaczy, że ten
ktoś jest głupi. To błąd, który zdarza się, kiedy nie poświęcamy odpowiednio
dużo czasu na przemyślenie tego, co robimy, lub kiedy nie mamy informacji
potrzebnych do podjęcia właściwej decyzji (dla porównania: głupie było to, że
przejechałam jednym ciągiem z Biloxi w stanie Missisipi do Tucson w Arizonie).
Można powiedzieć, że są pewne typowe cele i typowi atakujący. Motywacje
phisherów na ogół są dość standardowe: pieniądze lub informacje (dzięki którym
można zdobyć pieniądze). Jeśli, jak wiele innych osób, otrzymaliście kiedyś e-mail,
w którym proszono o udzielenie pomocy zdetronizowanemu księciu chcącemu
przenieść swój majątek, to byliście po prostu częścią swoistej loterii. Niewiele osób
jest bajecznie bogatych. Ale jeśli phisherowi uda się nakłonić grupę przeciętnych
osób do wspomożenia księcia przez przekazanie małej „opłaty za przelew”, po-
magającej przenieść jego fundusze (takie prośby często pojawiają się w tego typu
przekrętach), to ziarnko do ziarnka i zbiera się niezła sumka. A z kolei jeśli e-mail
od „mojego banku” spowoduje, że podam swoje poufne dane, to jeśli ktoś ukrad-
nie moją tożsamość, może to mieć dla mnie poważne konsekwencje finansowe.
Do częstych celów należą również szeregowi pracownicy danej firmy. Co
prawda każdy z osobna może nie dysponować większymi zasobami informacji,
ale przez omyłkowe podanie swojego loginu i hasła może umożliwić atakują-
cemu dostęp do firmowego intranetu. To może być jego ostatecznym celem,
jeśli zyski z tego są wystarczająco duże, ale może to też być sposób na eskalację
ataku na inne cele.
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
29
Oczywiście poza zwykłymi ludźmi są też cele o większej wartości, takie jak
osoby na wyższych szczeblach piramid organizacyjnych dużych korporacji czy
rządów. Im wyżej ktoś stoi w hierarchii danej organizacji, tym większe jest
prawdopodobieństwo, że stanie się celem ataku spearphishingowego ze wzglę-
du na stosunek czasu i pracy potrzebnych do przygotowania ataku względem
jego skutków. Wtedy właśnie konsekwencje ataków stają się poważne dla całej
gospodarki, a nie tylko dla pojedynczych osób.
Jeśli wyjdziemy poza przeciętnych przestępców oraz zwyczajowe pobudki
zdobycia pieniędzy, to okazuje się, że mamy do czynienia z szeroko zakrojo-
nymi atakami, osnutymi na poważnych motywach. Z jednej strony możemy
mieć tu do czynienia z osobami zainteresowanymi skompromitowaniem jakiejś
dużej organizacji z przyczyn osobistych lub politycznych. Na przykład Syryjska
Armia Elektroniczna (ang. Syrian Electronic Army, SEA) miała związek z wie-
loma niedawnymi przypadkami e-maili phishingowych, które doprowadziły
do włamań do różnych organizacji medialnych, w tym m.in. Associated Pressi,
CNNii i magazynu „Forbes”iii. Naturalnie pojawiły się konsekwencje finansowe:
na przykład włamanie na konto AP na Twitterze spowodowało spadek indeksu
Dow Jones o 143 punkty (rysunek 1.1). Takie coś to nie płotka, ale co z utratą
reputacji ważnego źródła informacji? Moglibyśmy przez cały dzień dyskuto-
wać sobie, które z tych konsekwencji są w praktyce większe. Miało to też jednak
pewien pozytywny skutek: zmusiło nas do zastanowienia się, czy rzeczywiście
serwisy społecznościowe to najlepsze miejsce do śledzenia wiarygodnych, naj-
świeższych wiadomości.
Rysunek 1.1. Zhakowany tweet AP o treści: „Pilne: dwie eksplozje w Białym Domu;
Barack Obama ranny”
Schodząc jeszcze głębiej, trafimy na poziom cyberszpiegostwa na skalę prze-
mysłową, a nawet międzypaństwową. Tu gra toczy się o tajemnice handlowe,
gospodarkę światową i bezpieczeństwo narodowe. Konsekwencje tego są jasne
nawet dla osób zupełnie niezorientowanych w temacie. Nagłaśniane jest teraz
w mediach międzynarodowych podejrzenie, że chińscy hakerzy wojskowi wła-
mali się do systemów pięciu ważnych firm amerykańskich i pewnego związku
zawodowegoiv. Firmy te zajmują się produkcją energii jądrowej, słonecznej i stali.
Poleć książkęKup książkę30
Mroczne odmęty phishingu
Po raz pierwszy w dziejach Stany Zjednoczone oskarżyły inne państwo o szpiego-
stwo internetowev. A wszystko to zaczęło się od prostych e-maili.
Chcę przez to powiedzieć, że z phishingiem powinien być choć trochę obe-
znany każdy, a nie tylko pasjonaci bezpieczeństwa. Może i nie myślicie za czę-
sto o cyberszpiegostwie, ale założę się, że sporo uwagi poświęcacie swojemu
kontu bankowemu i zdolności kredytowej. Moja mama nadal nie wie, jak od-
słuchać wiadomość w poczcie głosowej (serio!), ale zdecydowanie wie, że nie
powinna otwierać e-maili od obcych osób. Wasze mamy też powinny się sto-
sować do tej zasady.
A teraz, skoro wiecie już, „co”, „kto” i „dlaczego”, porozmawiajmy o „jak”.
Jak idzie się na phishing
Rozpoznanie podejrzanego e-maila byłoby banalnie proste, gdyby jego nadawca
nazywał się „Dawaj Kasę”. Niestety, jeden z najprostszych sposobów naciąga-
nia ofiar polega na spoofingu adresu e-mail, czyli fałszowaniu informacji w polu
Od wiadomości e-mail, przez co wiadomość wydaje się pochodzić od osoby
znajomej lub z innego wiarygodnego źródła (np. od operatora usług telewizyj-
nych czy internetowych). W rozdziale 4. opisujemy pewne łatwe kroki, jakie
można podjąć, żeby sprawdzić, czy nadawca jest tym, za kogo się podaje. W mię-
dzyczasie warto pamiętać, że uznawanie e-maila za bezpieczny tylko dlatego,
że znamy nadawcę, nie zawsze jest dobrym pomysłem.
Kolejną techniką, za pomocą której scamerzy podnoszą swoją wiarygodność,
jest stosowanie klonowania stron. Ta technika polega na kopiowaniu prawdzi-
wych stron w celu skłonienia ofiary do tego, żeby podała swoje dane osobowe
lub dane logowania. Za pomocą takich fałszywych stron można też bezpośred-
nio atakować komputer odbiorcy. Chris osobiście spotkał się na przykład z fał-
szywą stroną Amazon.com. To świetny przykład z kilku powodów. Po pierwsze, to
powszechny przekręt, bo wiele osób, nie tylko w USA, ma konta na Amazon.com.
Widzieliśmy stronę serwisu i wysyłane przez niego e-maile już tyle razy, że ra-
czej nie przyglądamy im się bacznie. Po drugie, fałszywka jest na tyle dobra, że
prawie złapał się na nią nawet ktoś, kto ma dużo doświadczenia z podstępny-
mi zabiegami scamerów.
Chris od lat stosuje phishing wobec naszych klientów (oczywiście za ich zgo-
dą). Wysłał setki tysięcy takich e-maili i doskonale wie, jak są tworzone i dla-
czego działają. W zeszłym roku otrzymał e-mail informujący go, że dostęp do
jego konta na Amazon.com ma zostać zablokowany. Tak się złożyło, że e-mail
ten zbiegł się w czasie z naszymi przygotowaniami do dorocznego turnieju na
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
31
konferencji DEF CON. Chris jest praktycznie zawsze zajęty, ale na miesiąc przed
tą konferencją co roku zaczyna się w jego biurze coś, co można porównać tylko
do dziewięciu kręgów piekielnych Dantego — naraz. Nie wiem, co sobie po-
myślał czy powiedział na głos, kiedy dostał ten fałszywy e-mail z Amazona, ale
pewnie domyślacie się, jaki jest ciąg dalszy tej anegdoty. Rysunek 1.2 pokazuje
właśnie ten e-mail, który dostał.
Rysunek 1.2. Niesławny e-mail phishingowy, rzekomo z Amazon.com1
Jeśli przeczytacie tę wiadomość z uwagą, to zauważycie, że jej język nieco
odbiega od zwykłego poziomu i zdarzają się tam pewne nieprawidłowości, na
przykład zapisywanie niektórych słów wielką literą bez powodu. Takie cechy
są typowe dla wiadomości phishingowych, bo dla wielu z ich twórców angielski
1 Treść e-maila:
„Drodzy Klienci,
kontaktujemy się z Wami, aby przypomnieć Wam, że nasz Zespół Oceny stwierdził, że Wasze konto
zostało ograniczone. Zgodnie z Regulaminem Użytkowników Amazona oraz aby zapewnić, że
logowanie na Wasze konto nie nastąpiło z niewłaściwych lokalizacji, dostęp do Waszego konta został
ograniczony. Wasz dostęp Internetowy zostanie ZABLOKOWANY, jeśli ten problem nie zostanie
natychmiastowo rozwiązany. Prosimy, zalogujcie się na swoje konto, klikając w link poniżej, żeby
przywrócić swoje konto Natychmiastowo.
https://www.amazon.com/verify/idp/login.htm
Dziękujemy za korzystanie z Amazona.
Konsultant ds. bezpieczeństwa
Amazon Online”
— przyp. tłum.
Poleć książkęKup książkę32
Mroczne odmęty phishingu
nie jest językiem ojczystym. Najważniejsze jest jednak to, że jakość tego e-maila
jest na tyle wysoka, że nie zwróci uwagi rozgorączkowanego, śpieszącego się
odbiorcy.
Chris kliknął na link i trafił na stronę wyglądającą ze wszech miar jak stro-
na Amazon.com, co widać na rysunku 1.3. Nawet dokładne oględziny nie ujawni-
łyby, że to fałszywa strona, bo została sklonowana.
Rysunek 1.3. Fałszywa strona Amazon.com
W tym momencie zadziałały lata praktyki Chrisa. Spojrzał na URL strony
(czyli jej adres) i zrozumiał, że nie jest prawdziwa. Gdyby podał tutaj swoje dane
logowania, jak wymagała tego przesłana wiadomość, to ktoś zyskałby dostęp
do jego konta na Amazonie, zawierającego dane osobowe Chrisa i dane jego
karty kredytowej. Prawie się to udało, bo strona była dokładną kopią oryginału,
a e-mail przyszedł do Chrisa w momencie, kiedy był akurat zajęty, zmęczony
i rozkojarzony — co poważnie ogranicza ludzką zdolność do krytycznego my-
ślenia (omówimy to bliżej w rozdziale 4.). Sednem sprawy jest fakt, że klono-
wanie stron to bardzo sugestywny sposób na przekonanie odbiorcy, że wiado-
mość phishingowa jest prawdziwa.
Kolejną sztuczką lubianą przez scamerów jest dzwonienie do ofiary po wy-
słaniu jej e-maila phishingowego. Taki zabieg znany jest jako vishing (z angiel-
skiego voice phishing) czy phishing telefoniczny. Vishing ma wiele niecnych celów,
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
33
od zwiększenia wiarygodności e-maila po różne sposoby bezpośredniego wy-
dobywania od rozmówcy poufnych informacji. Ta technika jeszcze bardziej una-
ocznia nam, jak bardzo powinniśmy chronić nasze dane osobowe. Dorastałam
w czasach, kiedy na czekach dawanych pracownikom na koniec miesiąca re-
gularnie drukowane były ich numery telefonów i numery Social Security2, za-
raz pod adresem pracownika, co praktycznie wołało: „Panie złodzieju, proszę
ukraść moją tożsamość!”. Wyobraźmy sobie, jak przekonująca byłaby sytuacja,
w której otrzymujecie e-mail, a zaraz po nim telefon od „pracownika banku”,
który namawia Was do kliknięcia w link z e-maila, wejście na stronę i zaktu-
alizowanie danych konta.
Niedawno taka sytuacja miała rzeczywiście miejsce w świecie korporacji. Zo-
stało to ochrzczone mianem „frankofonii”, bo wzięte na cel firmy działały przede
wszystkim na terenie Francjivi. Atak był dobrze zaplanowany. Asystentka ds.
administracyjnych w jednej z firm otrzymała e-mail w sprawie faktury, po którym
nastąpił telefon od kogoś, kto przedstawił się jako jeden z wiceprezesów firmy.
Rozmówca poprosił asystentkę o niezwłoczne zajęcie się tą fakturą. Asystentka
kliknęła więc w e-mailu w link, który prowadził do pliku uruchamiającego na
komputerze malware. To złośliwe oprogramowanie pozwoliło atakującym przejąć
kontrolę nad komputerem i wykraść informacje. Przykład ten jest interesujący
dlatego, że pojawia się w nim wiele czynników, takich jak wykorzystanie pozycji
władzy i różnic płci, ale najważniejszym morałem z tej historii jest to, że każda
rzecz wydaje się bardziej prawdopodobna, jeśli usłyszymy o niej z kilku źródeł.
Przykłady
Nie wiem jak Wy, ale ja i Chris najlepiej uczymy się na przykładach. W tej części
książki wspomnimy o głośnych włamaniach, które zaczęły się od phishingu,
a także o najczęściej stosowanych obecnie zabiegach phishingowych. Omówi-
my też, dlaczego tak często są one skuteczne.
Przede wszystkim musimy tutaj wspomnieć o Anti-Phishing Working Gro-
up (APWG — www.apwg.org). Moglibyśmy poświęcić całe strony peanom na
cześć tych wspaniałych ludzi, ale najważniejsze jest to, że stanowią międzynaro-
dowe konsorcjum pasjonatów bezpieczeństwa, którzy badają, definiują i przygo-
towują raporty na temat tego, jak funkcjonuje phishing na świecie.
2 Numer identyfikacyjny powszechnie stosowany w USA w sposób podobny do numeru PESEL
w Polsce, związany zarazem z dostępem do świadczeń społecznych — przyp. tłum.
Poleć książkęKup książkę34
Mroczne odmęty phishingu
Według raportu APWG z sierpnia 2014 roku statystyki phishingowe nadal
zwalają z nóg. W drugim kwartale 2014 roku APWG otrzymało od konsu-
mentów zgłoszenia o 128 378 unikatowych stronach phishingowych i 171 801
unikatowych e-mailachvii. Odkąd APWG zaczęło prowadzić te statystyki, tylko
raz wykryto większą liczbę stron phishingowych w ciągu jednego kwartału. Na
cel atakujący brali najczęściej (w 60 ataków) serwisy płatnościowe i sektor fi-
nansów, ale w tej kategorii pojawił się też nowy trend: coraz częściej phishing
wymierzany był w płatności internetowe i użytkowników kryptowalut.
Skoro mamy już za sobą ogólny rzut na statystyki, czas przejść do konkretów.
Głośne włamania
Chyba jednym z najgłośniejszych, jak dotąd, włamań jest przypadek Target
Corporation. Atak ten dotknął niemal 110 milionów konsumentów — szacun-
ki mówią o 40 milionach kart kredytowych i 70 milionach osób, których dane
osobowe wykradziono; przy takich wynikach nawet część z Was mogła znaleźć się
w tej grupieviii. Najciekawsze w tej sprawie jest jednak to, że wydaje się, iż atak
nie był skierowany konkretnie przeciwko firmie Targetix. To świetny przykład
eskalacji ataku. Target stał się ofiarą z przypadku, kiedy nadarzyła się okazja po
rzeczywistym, zaplanowanym włamaniu. Pierwszą ofiarą był dostawca urządzeń
klimatyzacyjnych dla sklepów Target, który miał dostęp do ich wewnętrznej
sieci. Jakiś pracownik tej firmy klimatyzacyjnej dostał wiadomość phishingową
i kliknął w link, który spowodował zainstalowanie na jego komputerze malware,
które z kolei wykradło dane do logowania. Sieć firmy wykonawczej była powią-
zana z systemem sieciowym firmy Target na potrzeby wystawiania rachunków
i przedstawiania zleceń. Nie znamy wszystkich szczegółów ataku, ale po tym,
jak atakujący rozeznali się w systemach wykonawcy, znaleźli możliwość dostę-
pu na serwery korporacyjne firmy Target i włamali się do systemu płatności.
Choć w tej chwili nie jest do końca jasne, jakie ostatecznie szkody poniosą
konsumenci, to włamanie to kosztowało już ponad 200 milionów dolarów —
to cena, jaką instytucje finansowe zapłaciły za ponowne wydanie kart kredyto-
wych, których dane wykradziono; zarazem ta kwota nie uwzględnia kosztów
potencjalnych spraw o oszustwo, za co nie ponoszą finansowej odpowiedzial-
ności konsumenci. Podsumowując, była to dramatyczna i droga lekcja na temat
zagrożeń związanych z phishingiem.
Inne ważne włamanie, o którym może nawet nie pamiętacie, dotknęło RSA.
W tej chwili chyba każda wzmianka o RSA w jakiś sposób wiąże się z debatą
o szyfrowaniu, która zaczęła się pod koniec 2013 roku w związku z działania-
mi National Security Agency. Sprawa ta była tak głośna, że niemal zupełnie
przysłoniła włamanie, którego ofiarą padła ta firma w 2011 rokux.
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
35
W odróżnieniu od wykorzystującego łut szczęścia ataku na Target włamanie
do RSA było prawdopodobnie efektem dobrze przemyślanych działań skiero-
wanych przeciwko pracownikom tej firmy. Wszystko wskazuje na to, że nastą-
piło w wyniku przesłania złośliwego arkusza kalkulacyjnego Excel w załączni-
ku e-maila wysłanego do niskich szczeblem pracowników RSA (rysunek 1.4).
Rysunek 1.4. Wiadomość phishingowa do RSA o treści: „Przesyłam ten plik do wglądu. Proszę
otwórz i zapoznaj się z nim.”
Filtry spamu RSA podobno przechwyciły te e-maile i skierowały je do fol-
derów ze spamem na kontach użytkowników. Co ciekawe, użytkownicy prze-
jęli kontrolę nad automatycznymi funkcjami, które zadziałały w tym przypad-
ku tak, jak powinny. Przynajmniej jeden z odbiorców otworzył e-mail i jego
załącznik. Dało to atakującym dostęp do intranetu firmy i umożliwiło im kra-
dzież informacji związanych z niektórymi produktami RSA. Według dostępnych
informacji w kwartale po włamaniu spółka matka RSA, EMC, wydała 66 mi-
lionów dolarów na działania związane z usuwaniem szkód, takie jak monito-
rowanie transakcji oraz wymiana tokenów szyfrowania.
Innym godnym uwagi włamaniem do firmy produktowej był atak na Coca-
Colę w 2009 rokuxi. Ta sprawa zaczęła się od bardzo spersonalizowanego ata-
ku na kierownictwo Coca-Coli — o temacie „Save power is save money! (from
CEO)”, czyli „Oszczędzać prąd to oszczędzać pieniądze (od CEO)”. Ten temat
brzmi źle, ale trzeba wziąć pod uwagę dwie inne rzeczy: po pierwsze, e-mail
jako nadawcę podawał wysoko postawioną osobę w dziale prawnym firmy. Po
drugie, w czasie tego ataku Coca-Cola prowadziła kampanię promującą
oszczędzanie energii (atakujący dobrze się przygotowali). Dyrektor będący ce-
lem ataku otworzył wiadomość i kliknął w link, który miał prowadzić do dal-
szych informacji na temat programu oszczędzania energii. Ale zamiast tego
wczytał na komputer rozmaite złośliwe oprogramowanie, w tym keyloggera,
Poleć książkęKup książkę36
Mroczne odmęty phishingu
który przez tygodnie zapisywał wszystko, co użytkownik wpisał na klawiaturze
zainfekowanego komputera. To włamanie umożliwiło chińskim hakerom do-
stęp do intranetu firmy i wykradanie danych aż do momentu, kiedy włamanie
wykryto — kilka tygodni później.
Włamanie nastąpiło w lutym 2009 roku, a Coca-Cola dowiedziała się o nim
dopiero w marcu, od FBI. Do tamtej pory wykradziono ogromne ilości pouf-
nych danych. Atak miał miejsce zaledwie kilka dni przed podjętą przez Coca-
Colę — i ostatecznie nieudaną — próbą kupienia za 2,4 miliarda dolarów jed-
nego z chińskich producentów napojów. Gdyby transakcja ta doszła do skutku,
byłaby największym, jak dotąd, nabyciem chińskiej firmy przez podmiot zagra-
niczny. Wyjaśnienia powodów, dla których nie doszło do transakcji, są sprzeczne,
ale co najmniej jedna firma zajmująca się bezpieczeństwem twierdzi, że stało
się to za sprawą wycieku istotnych informacji dotyczących strategii i polityki
cenowej, przez co Coca-Cola nie była w stanie negocjować warunków zakupu.
Jak wspomnieliśmy wcześniej, włamanie na konto AP było imponujące już
choćby ze względu na to, jak wielki wpływ na giełdę miał jeden tweetxii. Nato-
miast sposób, w jaki atakujący zyskali dostęp do konta, sprowadzał się do prostej
wiadomości spearphishingowej wysłanej do wybranych pracowników AP z adresu
wydającego się adresem jednego z ich współpracowników (rysunek 1.5).
Rysunek 1.5. Wiadomość spearphishingowa do Associated Press
Choć treść tego e-maila jest dość niekonkretna, trzeba pamiętać, że pochodził
on ze „znanego” źródła i wydawał się kierować na rzeczywistą stronę w serwi-
sie gazety „The Washington Post”. Ofiary, które kliknęły w link z wiadomości,
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
37
były przekierowywane na podstawioną stronę zbierającą od nich dane logowa-
nia. Podejrzewa się, że podstawiona strona pozwalała na logowanie z użyciem
konta na Twitterze, co doprowadziło do włamania na konto AP.
Jak wyraźnie widać, korporacje są równie podatne na phishing, jak zwykli
ludzie, mimo swoich działów technicznych i polityk bezpieczeństwa. A co z phis-
hingiem nastawionym na mniejsze cele? Kolejna część rozdziału opisuje kilka
często spotykanych przykładów, na które mogliście się natknąć nawet sami.
Fisze w środowisku naturalnym
Jakkolwiek na to spojrzeć, nie możemy omawiać na poważnie tematu phishin-
gu, nie zaczynając od przekrętu nigeryjskiego (zwanego też afrykańskim szwin-
dlem lub przekrętem 419). Ten typ oszustwa, znany też jako wyłudzenie zaliczki,
stosowany jest podobno od ponad 200 lat (jak możecie sobie wyobrazić, cały
proces prowadzony tradycyjną pocztą trwał znacznie dłużej, ale też miał miej-
sce). Najnowszą nazwę zawdzięcza złej sławie Nigerii, która rzekomo jest oj-
czyzną największej liczby przypadków takich wyłudzeń. Liczba 419 wzięła się
stąd, że w kodeksie karnym Nigerii paragraf 419 odnosi się do wyłudzeń.
Niewątpliwie spotkaliście się z różnymi wariacjami na temat tego oszustwa.
Dla przykładu: bogaty książę został zdetronizowany i potrzebuje pomocy, że-
by przenieść swój ogromny majątek, albo umierający człowiek chce zrehabili-
tować się za to, że był niemiłym człowiekiem, i potrzebuje pomocy w przekazaniu
pieniędzy na cele charytatywne. Niezależnie od tego, jaka jest przykrywka, są
tu pewne stałe elementy:
Chodzi o ogromne sumy.
Nadawca powierza właśnie Tobie, osobie zupełnie dla siebie obcej,
przekazanie funduszy, dysponowanie nimi lub ich przechowanie.
Nadawca oferuje Ci jakąś kwotę za fatygę, ale najpierw musisz zrobić
którąś z następujących rzeczy:
Podać dane swojego konta bankowego, żeby nadawca mógł wpłacić
na nie pieniądze.
Pomóc mu, opłacając koszty przekazu, najczęściej ze względu
na jakąś trudną sytuację polityczną lub osobistą.
Rysunek 1.6. pokazuje wzięty z życia e-mail, który niedawno krążył w in-
ternecie. Dobra, akurat ten e-mail przysłał ktoś z Wybrzeża Kości Słoniowej,
ale rozumiecie zasadę.
Poleć książkęKup książkę38
Mroczne odmęty phishingu
Rysunek 1.6. Nigeryjski phishing
Znakomita większość odbiorców dość łatwo pozna, że to przekręt, ale jakie
konkretnie elementy pomogły mi określić, że to nie jest prawdziwa oferta od
jakiejś rodziny ambasadora w Afryce?
Nie znam nikogo mieszkającego w Abidżanie. Nie znam nikogo
nazwiskiem Hamson.
Nie ma też powodu, żeby Ruth Hamson miała znać mnie. Zresztą
najwyraźniej wcale mnie nie zna, bo nie zwróciła się do mnie po
imieniu. Taki złoty interes, a ona nawet nie wie, jak się nazywam?!?
Cenię sobie spontaniczność, ale ta propozycja naprawdę wzięła się
nie wiadomo skąd.
Powierza mi (a nie bezpośrednio kościołowi, fundacji czy choćby
kancelarii prawniczej) 2,5 miliona dolarów. Wyobraźcie sobie na chwilę tę
kwotę. Chciałabym myśleć, że jestem osobą zasadniczo godną zaufania,
ale wiecie, ile krabów i ciasta można zjeść za 2,5 miliona dolarów?
Nigeryjski szwindel to przekręt phishingowy dla początkujących. Jest dość
oczywiste, że to próba wyłudzenia i dość łatwo go rozpoznać. Można się zatem
spodziewać, że po 200 latach nie powinniśmy się już na niego łapać. Niemniej
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
39
nadal ma się dobrze i wciąż znajduje kolejne ofiary, pewnie nawet teraz, kiedy
czytacie tę książkę. Dlaczego nadal jest skuteczny?
Chciwość: To pierwszy, a zarazem najbardziej prozaiczny powód.
Większość z nas nigdy nawet nie zobaczy kwot tak dużych, jak te
proponowane w przekrętach 419, i to samo w sobie wystarczy, by wiele
osób nie podeszło do sprawy na chłodno. W końcu zawsze jest szansa,
że ta historyjka jest prawdziwa, nie? Właśnie nie. Ale jeśli ktoś potrafi
wmówić sobie, że ma naprawdę szansę wygrać na loterii, to nie wymaga
pewnie od niego wiele więcej wysiłku przekonanie samego siebie,
że obca osoba rzeczywiście chce przekazać mu swój majątek.
Brak wiedzy: Omawiamy ten czynnik znacznie dokładniej w dalszych
częściach książki, ale na świecie jest niemała grupa ludzi (do których
do niedawna zaliczała się moja mama), którzy nie wiedzą, że źli ludzie
mogą spróbować ukraść ich tożsamość lub pieniądze za pomocą e-maili.
Zwykła naiwność: Są ludzie, którzy całkowicie ufają innym na słowo.
Byłoby cudownie, gdybyśmy żyli w świecie, w którym taka ufność
nie wystawiałaby nas na niebezpieczeństwo.
Poza przypadkami, kiedy ktoś proponuje nam ogromny majątek, pojawiają
się też inne częste motywy chętnie wykorzystywane przez naciągaczy. Nie-
które z nich są na tyle przekonujące, że zmuszają do zastanowienia.
Motywy finansowe
Motywy finansowe są jednym z większych „przebojów” wśród phisherów. Więk-
szość z nas coś robi z pieniędzmi, obraca nimi, płaci podatki, a zatem otrzymanie
zawiadomienia z jakiejś instytucji finansowej najczęściej wystarczy, żebyśmy
przynajmniej otworzyli taki e-mail. Wspomniany phishing ma nieskończenie
wiele odmian, ale najczęściej wymaga od odbiorcy potwierdzenia tożsamości
przez podanie szczegółowych danych konta w jakimś formularzu internetowym.
Najpowszechniejsze phishe finansowe to między innymi:
Nastąpiło wiele nieudanych prób zalogowania na twoje konto.
Twój bank zmienił zabezpieczenia online.
Zalegasz z płatnością za kredyt lub z podatkami.
Rysunki 1.7 – 1.10 pokazują przykłady phishy w środowisku naturalnym.
Większość tych prób jest zdecydowanie lepsza i bardziej dopracowana niż prze-
kręt nigeryjski, mogą na przykład zawierać logo i elementy graficzne, dzięki
czemu wyglądają bardziej wiarygodnie. Powiedzmy, że jest to średnio zaawan-
sowany poziom phishingu.
Poleć książkęKup książkę40
Mroczne odmęty phishingu
Rysunek 1.7. Przykład wiadomości phishingowej „PGE”
Rysunek 1.8. Przykład wiadomości phishingowej banku „BZWBK”
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
41
Rysunek 1.9. Przykład wiadomości phishingowej „Poczty Polskiej”
Rysunek 1.10. Przykład wiadomości phishingowej „Allegro”
Mimo że te próby są bardziej wysublimowane, to nadal pojawiają się w nich
szczegóły, które pozwalają nam rozpoznać oszustwo:
Zwroty do adresata są na ogół nieprecyzyjne: przecież bank powinien
wiedzieć, jak nazywa się jego własny klient. „Witaj!” się tu nie liczy.
Poleć książkęKup książkę42
Mroczne odmęty phishingu
Ortografia, gramatyka i użycie wielkich liter są na wyższym poziomie,
ale czegoś im nadal brakuje.
Linki do formularzy internetowych pokazują, że adres URL wcale
nie należy do rzekomego nadawcy.
Stosowanie ponaglających zwrotów („Jeżeli przesyłka nie dotrze w ciągu
7 dni roboczych Poczta Polska będzie miała prawo do ubiegania się
koszty utrzymania przesyłka 50 zł za jeden dzień”).
Te e-maile wymuszają na odbiorcy działanie przede wszystkim przez wpro-
wadzenie pewnego strachu czy niepokoju. Wszystko, co stawia pod znakiem za-
pytania możliwość dostępu do naszych pieniędzy, jest dla nas straszne. Więk-
szość przykładów, które przytaczamy w tej części, ma sporo wspólnych cech,
zwłaszcza jeśli chodzi o metody, którymi skłaniają odbiorców do działania:
Przyjęcie pozycji władzy: To jedna z zasad wpływu omówionych szerzej
w rozdziale 3.; w skrócie można powiedzieć, że ludzie są stworzeniami
społecznymi i wszyscy reagują na jakieś formy autorytetu.
Ograniczenia czasowe: O nie! Piszą, że stracisz dostęp do konta
w ciągu 48 godzin! Takie sformułowania powodują naprawdę duży lęk.
Nasz wrodzony instynkt przetrwania sprawia, że wszystko, co stanowi
zagrożenie dla możliwości dostępu do jakichś zasobów, odbieramy
jako istotne niebezpieczeństwo.
Możliwość włamania: Naprawdę przeraża nas możliwość, że nasz bank
odkrył niepowołane próby wejścia na nasze konto. Jest tylko jedna osoba,
która może pławić się w moim złocie: ja. No i może jeszcze Smaug.
Zagrożenia w mediach społecznościowych
Innym motywem często pojawiającym się w phishingu jest korzystanie z me-
diów społecznościowych. W końcu są one właśnie po to, żebyśmy uczestniczyli
w społeczności. A zatem e-mail od któregoś z tych serwisów z prośbą, by dodać
kogoś jako kontakt lub obejrzeć jakiś link, wydaje się całkowicie uzasadniony.
Na ogół tego typu wiadomości mają zbliżony poziom do phishy dotyczących
usług finansowych i można je rozpoznać po podobnych szczegółach. Nie-
mniej, moim zdaniem, na niektóre z nich łatwiej się nabrać, bo jeśli należymy
do jakiegoś serwisu społecznościowego, to często dostajemy jakieś zaproszenia
— a co ważniejsze, liczymy na to, że będziemy je dostawać. Dodatkowo takie
wiadomości, w odróżnieniu od niespodziewanego e-maila z banku, mogą nie
budzić podejrzeń, więc odbiorca nie jest aż tak ostrożny.
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
43
Podobnie jak phishing związany z usługami finansowymi, tak i tego typu
e-maile często odwołują się do strachu przed czymś w celu nakłonienia do
określonych działań (rysunek 1.11).
Rysunek 1.11. Przykład wiadomości phishingowej „YouTube”
Strach motywuje bardzo mocno, ale utrata dostępu do konta w jakimś serwisie
społecznościowym jest raczej niedogodnością niż poważną sprawą (przynajm-
niej dla większości z nas). Niemniej jednak pretekst, jaki dają media społeczno-
ściowe, pozwala też atakującym na stosowanie metod innych niż budzenie stra-
chu, żeby skłonić odbiorcę do reakcji. Ataki te zasadzają się też na poczuciu
obowiązku. Serwisy społecznościowe rozwijają się dzięki tworzonym w nich
relacjom. Uczestnictwo w nich jest frajdą, bo dzięki temu możemy należeć do
jakiejś grupy. Źródłem ataków phishingowych są te same motywacje. Wiele
osób klika w przesłany link dlatego, że nie chce zrobić przykrości innej osobie
(czyli odrzucić zaproszenie do grona znajomych) albo nie chce robić złego
wrażenia i nie odpowiadać — nawet na zaproszenia od nieznanych osób (ry-
sunki 1.12 i 1.13).
Poleć książkęKup książkę44
Mroczne odmęty phishingu
Rysunek 1.12. Przykład wiadomości phishingowej „Facebooka”
Rysunek 1.13. Przykład wiadomości phishingowej „LinkedIn”
UWAGA Kiedy byłam dzieckiem, utrzymywałam swego rodzaju znajomość
wirtualną. Miałam przyjaciółkę korespondencyjną. Dokładnie pamiętam, że nie
czułam wtedy takiej siły i bezpośredniości tej przyjaźni, jaka dla wielu osób zdaje
się cechować obecne wirtualne relacje. Zjawisko mediów społecznościowych jest
dla mnie wciąż bardzo interesujące. Dzięki niemu ludzie mają do dyspozycji szybki
i niewymagający wysiłku sposób na budowanie więzi dalece wykraczających poza
ich normalne kręgi znajomych i współpracowników. Niestety z tych samych
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
45
powodów osoby zainteresowane poznawaniem nowych ludzi i rozwijaniem swojej
sieci znajomych są szczególnie podatne na phishing należący do tej kategorii.
W tym przypadku dobrze jest udawać, że żyje się w jaskini. Na jednym z moich
kont czekają na mnie od dawna 34 prawdziwe zaproszenia. Pewnie powinnam
zacząć się tym bardziej przejmować, bo jeszcze ludzie sobie pomyślą, że nie chcę
mieć żadnych przyjaciół.
Przekręty związane z głośnymi wydarzeniami
Ostatnia kategoria phishy w środowisku naturalnym jest wyjątkowo obrzydliwa.
Należą do niej e-maile, które oszuści wysyłają bezpośrednio po jakimś nagło-
śnionym wydarzeniu: katastrofie naturalnej, rozbiciu się samolotu, ataku ter-
rorystycznym — nadaje się do tego wszystko, czemu media poświęcają bardzo
dużo uwagi, a co w związku z tym bardzo zajmuje opinię publiczną. Oszuści tacy
żerują na naszych naturalnych reakcjach, czyli obawach, ciekawości i współ-
czuciu. Przykłady te w większości są na poziomie dość zaawansowanym, jeśli
przyjrzeć się im krytycznie. Nadal jednak zawierają pewne oznaki pozwalające
stwierdzić, że są nieprawdziwe. Niemniej niektóre osoby są podatne na tego ty-
pu ataki choćby ze względu na własną reakcję emocjonalną na dane wydarze-
nie. A jaki jest najlepszy sposób na to, żeby ofiara nie myślała trzeźwo? Wzbudzić
w niej silne emocje. Rozdział 2. opisuje ciekawe zjawisko zwane „porwaniem
przez ciało migdałowate”.
Nie minęła doba od czasu, gdy Target podał do wiadomości publicznej in-
formacje o włamaniu, a scamerzy zaczęli już wykorzystywać obawy, jakie ludzie
mieli w związku ze stanem swoich danych osobowych i kredytowych. Ziden-
tyfikowano wtedy co najmniej 12 różnych oszustw, z których jedno obejmowało
e-mail identyczny z wiadomością, którą Target wysyłał klientom, by wyjaśnić
sytuację i zaproponować darmowy monitoring karty kredytowejxiii. Jak poka-
zujemy na rysunku 1.14, ten przekręt trudno było wyłapać nawet specjalistom.
Ponieważ sama treść była dokładną kopią wiadomości przesłanej przez Target,
trzeba było sprawdzić adres nadawcy lub linki. Kolejnym szczegółem, który
utrudniał właściwą decyzję, było to, że prawdziwy e-mail wysłany przez Target
pochodził z adresu TargetNews@target.bfi0.com, który dla każdego wyglądał
podejrzanie. Zapanowały strach i niepewność, a oszuści wykorzystali sytuację.
Naturalnie najpodatniejsze na ten atak były osoby posiadające konta Target.
Target jest jednak ogromną siecią sklepów, przez co właściwie każdemu nieco
skoczyło ciśnienie na wieść o włamaniu. Trudno znaleźć w USA (i nie tylko)
kogoś, kto ani razu nie kupił czegoś w sklepie tej sieci.
Chcemy z Chrisem przede wszystkim edukować, a nie osądzać, ale warianty
oszustw stosowane bezpośrednio po katastrofach są szczególnie godne potępienia.
Ataki te zamiast prób zastraszenia odbiorcy (co samo w sobie jest ohydną rzeczą)
Poleć książkęKup książkę46
Mroczne odmęty phishingu
Rysunek 1.14. Prawda czy phish?
wykorzystują jego empatię. Oszuści atakowali w ciągu zaledwie kilku godzin
od zamachu bombowego podczas maratonu w Bostonie w 2013 rokuxiv. Wiele
ataków było prostymi e-mailami, które zawierały linki do rzekomych nagrań
eksplozji. Linki te, wykorzystujące naturalną ludzką ciekawość, prowadziły do
stron, które wgrywały malware na komputer ofiary. W innym wariancie tego
ataku skorzystano z takich aspektów, jak ciekawość i pozycja władzy, i podszyto
się pod e-mail od CNN (rysunek 1.15).
Najgorsze są oczywiście te ataki, które żerują na chęci pomocy innym. Sca-
merzy często wysyłają wiadomości zawierające prośbę o pomoc już w kilka godzin
po dowolnym tragicznym zdarzeniu. Rysunek 1.16 pokazuje jeden z e-maili,
które pojawiły się po tym, jak w 2011 roku nastąpiło w Japonii najpierw trzę-
sienie ziemi, a zaraz po nim — tsunami. Według niektórych sprawozdań ataki
zaczęły się zaledwie trzy godziny po pierwszym trzęsieniu ziemi.
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
47
Rysunek 1.15. Wariant ataku po zamachu podczas maratonu w Bostonie
Rysunek 1.16. Atak phishingowy po tsunami w Japonii
Poleć książkęKup książkę48
Mroczne odmęty phishingu
Przykład z rysunku 1.16 można łatwo rozpoznać jako phishing, dlatego że
Czerwony Krzyż przyjmuje dotacje bezpośrednio na swojej stronie internetowej,
a nie korzysta z przelewów za pośrednictwem serwisów takich jak MoneyBookers,
przeznaczonych dla konta pod adresem e-mailowym w domenie yahoo.com.
Ale musimy pamiętać, że po takim bolesnym i głośnym wydarzeniu wiele osób
po prostu chciało pomóc. Osoby odpowiedzialne za te, często proste i łatwe do
rozpoznania, ataki wzmacniają je telefonami, a czasem nawet nachodzeniem
ludzi w domach, co zwiększa wiarygodność tych ataków.
Fisze na talerzu
Podsumowując, phishe mają różne rodzaje i postaci, ale powtarzają się w nich
pewne elementy:
przekręt nigeryjski (warianty zaliczkowe lub kradzieży tożsamości),
usługi finansowe/płatnicze,
serwisy społecznościowe,
wykorzystywanie głośnych wydarzeń.
Ta lista w praktyce mogłaby być znacznie dłuższa i zawierać dowolne pod-
mioty, które mogą komunikować się przez internet (takie jak eBay, Netflix,
Allegro, producenci oprogramowania czy choćby Poczta Polska), ale chyba ro-
zumiecie już ogólną zasadę. Można powiedzieć, że większość ataków jest na pod-
stawowym lub zaawansowanym poziomie złożoności; mają też one wiele ele-
mentów wspólnych. Żeby skłonić ofiarę do działania, stosuje się w nich na przykład
jeden z poniższych elementów:
chciwość,
strach,
szacunek dla władzy,
chęć nawiązania kontaktu,
ciekawość,
współczucie.
Większość ataków na tym poziomie ma cechy, które pozwalają nam rozpo-
znać, że są oszustwami. Natomiast należy pamiętać, że kiedy mamy do czynienia
z bardziej rozwiniętymi przypadkami phishingu, następujące cechy stają się
mniej oczywiste:
niekonkretne powitanie/pożegnanie,
nieznany/podejrzany nadawca,
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
49
linki do nieznanych/podejrzanych stron,
literówki, błędy gramatyczne, ortograficzne i interpunkcyjne,
mało prawdopodobne preteksty (zwłaszcza w przekrętach
nigeryjskich),
naglące sformułowania.
Fisze z ostrymi zębami
Czy macie już wrażenie, że toniecie w odmętach oszustw? Przebiegłość, jaką
wykazują ludzie, żeby okraść innych, jest naprawdę obezwładniająca. Co gor-
sza, przykłady przytoczone wcześniej należą właściwie do najprostszych ata-
ków. Są różne ich wariacje, które wynoszą je na nowe (i jeszcze bardziej przy-
gnębiające) poziomy.
Zaczęliśmy z Chrisem kategoryzować poziomy trudności ataków, żeby
ułatwić naszym klientom zrozumienie, z czym mają do czynienia, a także po to,
by śledzić postępy naszych klientów w rozpoznawaniu coraz bardziej skompli-
kowanych przekrętów. Szczegółowym opisem poszczególnych poziomów
trudności zajmiemy się w rozdziale 6.
Ataki zaawansowane
Przykłady, które widzieliście wcześniej, należą głównie do poziomów: podsta-
wowego i zaawansowanego, ale niektóre z nich stawiamy na górnym końcu
skali przypadków zaawansowanych. Na przykład fałszywa wiadomość od sieci
Target była dokładną kopią prawdziwego e-maila, tyle że zawierała linki do
złośliwych stron. Wypłyńmy więc na głębsze wody i rozłóżmy na czynniki pierw-
sze kilka trudniejszych przypadków.
Pierwszym z nich jest kolejna wiadomość podszywająca się pod wiadomość
z banku (rysunek 1.17).
Zastanówmy się, co zostało tutaj zrobione „dobrze”. Co mogło skłonić od-
biorców do kliknięcia w link w tym e-mailu?
Logo banku: Pewnie zauważyliście to już wcześniej, ale wiele
zaawansowanych ataków wykorzystuje prawdziwe logo i grafiki,
dzięki czemu takie wiadomości wydają się bardziej wiarygodne.
Przywykliśmy już do tego, że kiedy kontaktują się z nami duże firmy,
widzimy markę firmy, więc logo jest dobrym sposobem na upozorowanie
fałszywej wiadomości tak, aby wydawała się prawdziwa, i na uśpienie
naszej czujności.
Poleć książkęKup książkę50
Mroczne odmęty phishingu
Rysunek 1.17. Zaawansowany atak „z banku”
Wykorzystanie strachu/niepewności: W tym e-mailu stwierdzono,
że jeśli odbiorca nie podejmie pewnych działań, to jego dostęp
do środków może zostać ograniczony.
Stosowanie ponagleń: W tym e-mailu nie posunięto się do stwierdzenia,
że odbiorca musi podjąć działanie w określonym przedziale czasu,
ale zdecydowanie zachęca się do działania bez zwłoki.
Po tym, co omówiliśmy do tej pory, liczę, że nie było Wam trudno rozpo-
znać oszustwa z rysunku 1.17. Czy wychwyciliście charakterystyczne oznaki?
bezosobowe powitanie,
brak wskazania nadawcy,
nieprawidłowości gramatyczne, w tym mało prawdopodobny temat
wiadomości,
przekierowanie linku — jeśli sprawdzicie link, to pewnie okaże się,
że wcale nie prowadzi na stronę banku (np. zamiast kierować
na www.citizensedmond.com prowadzi na www.nieznanaosobaozlych
zamiarach.com).
OSTRZEŻENIE Przez „sprawdzenie” rozumiemy przesunięcie kursora nad link,
tak żeby tylko wyświetlić adres strony. Absolutnie nie należy klikać w link ani
wklejać adresu do przeglądarki, chyba że jest się specem od bezpieczeństwa i ma się
solidnie „ufortyfikowany” komputer.
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
51
Na pierwszy rzut oka przykład z rysunku 1.18 jest podobny do poprzednie-
go e-maila „z banku”, ale warto zwrócić uwagę na kilka rzeczy, przez które może
być trudniej rozpoznać, że to fałszywka. Przyjrzyjcie się.
Rysunek 1.18. Zaawansowany atak phishingowy „BBB”
Jeśli zwróciliście baczną uwagę, to zauważyliście pewnie kilka następują-
cych elementów, dzięki którym wiadomość z rysunku 1.18 jest bardziej prze-
konująca od przeciętnego ataku:
Personalizowanie: Widać, że ta wiadomość została wysłana do danej
osoby, a w treści znajduje się wzmianka o firmie adresata. Chociaż nie
pojawia się tu logo ani grafika, to Better Business Bureau jest w USA
dobrze znaną organizacją.
Lepsze wykorzystanie strachu/niepewności: Ten e-mail jest reklamacją,
pochodzi od BBB i powołuje się na problemy z umową oraz na to,
że firma adresata nie zareagowała na reklamację. Każda z tych rzeczy
budzi niepokój przedsiębiorcy.
Wykorzystanie pozycji władzy: Pojawia się masa numerów
referencyjnych, numerów sprawy, numerów Office of Management
and Budget — wszystko wygląda bardzo oficjalnie.
Adres e-mail: Adres nadawcy wygląda wiarygodnie, a e-mail wydaje
się pochodzić z domeny @bbb.org.
Poleć książkęKup książkę52
Mroczne odmęty phishingu
Na szczęście ten e-mail ma też słabe punkty. Znaleźliście je?
Numer sprawy w tytule nie zgadza się z numerem sprawy w treści.
Brak wskazania nadawcy. Owszem został wysłany przez BBB, ale
można by się spodziewać, że do sprawy zostałaby przydzielona jakaś
osoba kontaktowa.
I tym razem, gdybyśmy sprawdzili link prowadzący do reklamacji,
zauważylibyśmy, że nie prowadzi do domeny należącej do BBB.
Pojawiają się drobne błędy gramatyczne.
Nie ma czegoś takiego jak Better Business Bureau of Consumer
Protection Consumer Response Center. Sprawdziłam.
Phishing dla zaawansowanych
Dobra, czas zająć się czymś trudniejszym do rozszyfrowania. Przykład z rysun-
ku 1.19 to zaawansowany atak phishingowy. W odróżnieniu od e-maila z „Lin-
kedIn”, pokazanego na rysunku 1.13, w tej wiadomości niełatwo rozpoznać
fałszywkę. Podejrzewam, że to kopia e-maili, w których zachęca się do dodania
kontaktu w serwisie, podobnie jak kopią był e-mail od sieci Target z rysunku 1.14.
Rysunek 1.19. Zaawansowana wiadomość phishingowa od „LinkedIn”
Dlaczego ten e-mail może zadziałać?
Pochodzi od „prawdziwej” osoby. Ma ona konto w serwisie LinkedIn,
więc na pewno taka osoba istnieje, prawda?
To serwis społecznościowy, więc jesteśmy przyzwyczajeni do zaproszeń
od nieznanych osób.
Ma znaki firmowe i jest taki sam jak inne zaproszenia z LinkedIn.
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
53
Fakt, phish z rysunku 1.19 jest dobrą podróbką. Jeśli rzeczywiście jest sklo-
nowanym e-mailem, to nie będzie miał żadnych widocznych oznak w postaci
języka, formatowania czy znaków graficznych, po których będzie go można
rozpoznać. W tym przypadku trzeba sprawdzić go dokładniej.
Sprawdzamy, dokąd prowadzą linki (i przypomnę, że sprawdzamy nie
znaczy klikamy w nie!).
Sprawdzamy, czy adres, na który przyszedł ten e-mail, to adres podany
przez nas na naszym koncie w serwisie LinkedIn (test na myślenie
krytyczne).
Osoby szczególnie ostrożne mogą zignorować tę wiadomość i zalogować
się na swoje konto LinkedIn, żeby sprawdzić, czy tam też pojawiło się
takie zaproszenie.
Wiadomość z rysunku 1.20 dostał pewien mój znajomy. E-maile od AT T
nie są dla niego rzadkością, bo ta właśnie firma jest jego operatorem komórko-
wym. Na swoje szczęście jest on też specem od bezpieczeństwa i ma lekką pa-
ranoję zawodową, więc zanim zareagował, sprawdził pewne rzeczy. Zdecydo-
wanie sklasyfikowałabym ten atak jako zaawansowany.
Rysunek 1.20. Zaawansowany atak „AT T”
Poleć książkęKup książkę54
Mroczne odmęty phishingu
Nie wiem, czy e-mail z rysunku 1.20 to klon prawdziwego e-maila od AT T,
ale jeśli tak nie jest, to został naprawdę dobrze sfałszowany. Przeciętny odbiorca
pewnie kliknąłby w link z powodu następujących cech:
użyto logo AT T, kolorów i grafik firmowych;
brak jest ewidentnych problemów z gramatyką, ortografią czy
interpunkcją;
jako pretekst podano brak dostępu do poczty głosowej — w takiej
sytuacji większość z nas zareagowałaby od razu.
Co zatem spowodowało, że mój znajomy nie stał się ofiarą oszustwa?
Zajęło mu to chwilę, ale zorientował się, że adres e-mail, na który
przyszła ta wiadomość, to nie ten adres, którego używał ze swoim
kontem AT T. Właściwie to właśnie ta jedna rzecz go uratowała.
Wiadomość nie ma bezpośredniego zwrotu do odbiorcy.
W e-mailu jest tylko jeden zły link! Mój znajomy sprawdził wszystkie
linki i zauważył coś ciekawego. Z wyjątkiem jednego linku,
prowadzącego do rzekomej wiadomości, wszystkie inne były
prawdziwe. A zatem gdyby nie sprawdził ich wszystkich dokładnie,
nie zauważyłby, że to nie jest prawdziwy e-mail.
Jak wyraźnie widać, w tym przykładzie trudno rozpoznać oszustwo; zdecy-
dowanie przechodzi podstawowe testy. Na szczęście mój znajomy ma taki zwy-
czaj, że nigdy nie wchodzi na żadne ze swoich kont poprzez linki w e-mailach.
Mam nadzieję, że kiedy przeczytacie tę książkę, też zastanowicie się nad swoimi
przyzwyczajeniami w sieci.
Spearphishing
Na koniec rozdziału zajmijmy się spearphishingiem. Jak wspomnieliśmy, jest to
atak phishingowy, który został przygotowany pod kątem określonego odbiorcy.
Atakujący przeprowadził rozeznanie i zna co najmniej imię, nazwisko i adres
e-mailowy swojego „celu”. Jeśli ofiara jest osobą wysoko postawioną, mógł dowie-
dzieć się na jej temat o wiele więcej. Wystarczy odrobina poszukiwań w sieci
i można znaleźć ofiarę w serwisach społecznościowych, na stronie firmowej
czy w ramach innych przejawów jej obecności online. Jeśli ofiara jest naprawdę
ważna, to atakujący może dowiedzieć się wszystkiego o jej hobby, zaintereso-
waniach i majątku, a nawet może zdobyć informacje o rodzinie ofiary. Ba, jeśli
znajdzie coś naprawdę złego czy kompromitującego, to nie będzie nawet mu-
siał uciekać się do phishingu, żeby zdobyć to, o co mu chodzi. Będzie mógł
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
55
wtedy po prostu szantażować ofiarę, żeby wyłudzić od niej pieniądze lub zmu-
sić ją do ujawnienia jakichś informacji. Ale zmieniam temat, a przecież na-
szym tematem jest phishing.
Coś takiego jest bardzo niepokojące, a do tego skutkuje atakiem phishingo-
wym, któremu bardzo trudno się oprzeć. Atakujący, któremu naprawdę zależy
na pieniądzach czy danych wybranej ofiary, nie cofnie się przed niczym. Do-
wie się, że ofiara przeszła ciężką chorobę i wspomaga teraz organizacje chary-
tatywne związane z taką chorobą. Dowie się, czy ofiara uprawia w sieci hazard,
czy że ma kredyt hipoteczny przekraczający jej zdolność kredytową. To jest to,
co leży u podstaw spearphishingu. Jest nieubłaganie personalny.
Rysunek 1.21 pokazuje przykład ataku spearphishingowego, którego celem
byli niedawno dyrektorzy dużych firmxv. Wyobrażacie sobie, że dostajecie coś
takiego?
Rysunek 1.21. Atak spearphishingowy o treści: „NINIEJSZYM WZYWA SIĘ do stawienia się
i zeznawania przed Ławą Przysięgłych Sądu Rejonowego Stanów Zjednoczonych w miejscu
i czasie wskazanych poniżej.”
Zróbmy jeszcze analizę e-maila z tego rysunku. Co sprawia, że to przeko-
nująca wiadomość?
Zawiera logo federalnego sądu rejonowego USA.
Posiłkuje się strachem i szacunkiem wobec władzy. Czy dla kogokolwiek
jest przyjemne, gdy znienacka dostaje wezwanie i NAKAZ stawienia się
przed sądem?
Poleć książkęKup książkę56
Mroczne odmęty phishingu
Wiadomość jest spersonalizowana do tego stopnia, że zawiera pełne
nazwisko, adres e-mailowy, nazwę firmy i numer telefonu ofiary.
Narzuca ograniczenia czasowe: podana jest data i godzina, o której
odbiorca ma się stawić na miejscu — w przeciwnym razie poniesie
konsekwencje.
Nie ma tu oczywistych literówek ani błędów gramatycznych.
Nadawca jest dość wiarygodny: subpoena@uscourts.com.
Szczerze mówiąc, nie ma osoby, która z łatwością wyłapałaby ten atak. Ja by-
łam w stanie znaleźć tylko dwie przesłanki:
Link prowadzący do właściwego wezwania jest złośliwy. Link z tego
przykładu prowadzi do strony, która instalowała na komputerze
keyloggera.
Adres nadawcy ma domenę @uscourts.com, która nie budzi zastrzeżeń,
póki nie przypomnimy sobie, że sądy amerykańskie korzystają
z domen .gov.
I tyle! Dwie szanse na to, żeby rozpoznać, że wiadomość, która powoduje
u odbiorcy niepokój i potrzebę reakcji, jest nakierowanym atakiem. Jak wspo-
mniałam wcześniej, jeśli ktoś nie ma wyrobionych dobrych nawyków, to łatwo
może się złapać na ataki tej klasy.
Podsumowanie
Zapoznaliście się już ze światem phishingu. W tym momencie powinniście już
znać:
definicję phishingu,
często spotykane cele i typy atakujących,
powody stosowania phishingu,
techniki stosowane przez oszustów,
przykłady głośnych włamań, które zaczęły się od ataków
phishingowych,
powszechnie spotykane przykłady ataków,
zarys poziomów złożoności ataków.
Poleć książkęKup książkęRozdział 1 Wypływamy na odmęty phishingu
57
Mam nadzieję, że rozumiecie już lepiej, czym jest phishing, jaki jest jego
zasięg i jakie są powody, dla których staje się dla wszystkich coraz większym
problemem.
Podsumujmy ten rozdział wybranymi danymi statystycznymi. W krótkim
przedziale czasu, od maja 2012 roku do kwietnia 2013 roku, ataki phishingowe
zgłosiło ponad 37 milionów użytkowników. To ataki, które zostały zgłoszone
do jednej instytucji, a zatem to tylko ta część ataków, o której wiemy. Szacuje się,
że codziennie wysyłanych jest blisko 300 miliardów e-maili, a 90 z nich to spam
i wirusyxvi. To niewyobrażalne statystyki, które jednak prowadzą do jednego,
niezaprzeczalnego wniosku. A mianowicie: jeśli masz adres e-mail, to wcze-
śniej czy później trafi do Ciebie wiadomość phishingowa. Bez dwóch zdań.
Siądźcie wygodnie, bo za chwilę zanurzymy się w bardzo mętnych wodach.
W phishingu nie chodzi tylko o to, w co klikasz, ale o to, dlaczego w to klikasz.
Zajrzymy pod maskę systemu operacyjnego marki Człowiek i sprawdzimy, jak
działa. Zapowiada się świetna zabawa, co? Bierzmy się do pracy.
Przypisy
i Geoffrey Ingersoll, Inside the Clever Hack That Fooled the AP and Caused the DOW
to Drop 150 Points („Kulisy przebiegłego ataku, który pokonał AP i spowodował
spadek indeksu Dow Jones o 150 punktów”), „Business Insider”, 22 listopada 2013,
http://www.businessinsider.com/inside-the-ingenious-hack-that-fooled-the-ap-and-caused-
-the-dow-to-drop-150-points-2013-11.
ii Tim Wilson, Report: Phishing Attacks Enabled SEA to Crack CNN’s Social Media
(„Raport: ataki phishingowe umożliwiły SEA włamanie do serwisów społecznościowych
CNN”), DarkReading.com, 27 stycznia 2014, http://www.darkreading.com/attacks-
-breaches/report-phishing-attacks-enabled-sea-to-crack-cnns-social-media/d/d-id/1141215?.
iii Andy Greenberg, How the Syrian Electronic Army Hacked Us: A Detailed Timeline
(„Jak włamała się do nas Syryjska Armia Elektroniczna: oś czasu”), „Forbes”, 20 lutego
2014, http://www.forbes.com/sites/andygreenberg/2014/02/20/how-the-syrian-electronic-
-army-hacked-us-a-detailed-timeline/.
iv Danny Yadron, Alleged Chinese Hacking: Alcoa Breach Relied on Simple Phishing Scam
(„Chiny podejrzane o hacking: włamanie do Alcoa polegało na prostym ataku
phishingowym”), „The Wall Street Journal”, 19 maja 2014,
http://www.wsj.com/news/articles/ SB10001424052702303468704579572423369998070.
v Brett LoGiurato, The US Government Indicts 5 Chinese Military Hackers on Cyberspying
Charges („Rząd USA stawia 5 chińskim hakerom wojskowym zarzuty cyberszpiegostwa”),
„Business Insider”, 19 maja 2014, http://www.businessinsider.com/us-china-spying-
-charges-2014-5.
Poleć książkęKup książkę58
Mroczne odmęty phishingu
vi Symantec Official Blog, Francophoned — A Sophisticated Social Engineering Attack
(„Frankofonia — wyrafinowany atak socjotechniczny”), 28 sierpnia 2013, http://www.
symantec.com/connect/blogs/francophoned-sophisticated-social-engineering-attack.
vii Anti-Phishing Working Group, Phishing Activity Trends Report, 2nd Quarter 2014 („Raport
na temat trendów w działaniach phishingowych, 2. kw. 2014”), 28 sierpnia 2014,
http://docs.apwg.org/reports/apwg_trends_report_q2_2014.pdf.
viii Michael Riley, Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target
Blew It („Przegapione sygnały ostrzegawcze i 40 milionów skradzionych numerów
Pobierz darmowy fragment (pdf)