Фішингові програми дозволяють. Тренінг персоналу з виявлення фішингових атак

Олексій Комаров

Погрози, що виникли з появою фішингу, зажадали впровадження адекватних заходів захисту. У рамках цієї статті будуть розглянуті як вже поширені способи протидії фішингу, так і нові ефективні методи. Поділ це дуже умовно: до традиційних віднесемо добре відомі (у тому числі й самим зловмисникам) способи протидії фішингу та проаналізуємо їх ефективність у першій частині цієї статті. Згідно з звітом APWG, за першу половину 2008 р. було виявлено 47 324 фішингові сайти. У цьому ж звіті наведено і середні втрати користувачів і компаній внаслідок роботи фішерського сайту – вони становлять щонайменше $300 за годину. Нескладні множення дозволяють зробити висновок про високу прибутковість цього виду чорного бізнесу.

Сучасний фішинг

Слово "фішинг" (phishing) утворене від англійських слів password - пароль і еshing - риболовля, вивужування. Мета цього виду Інтернет-шахрайства - обманний відведення користувача на підроблений сайт, щоб надалі вкрасти його особисту інформацію або, наприклад, заразити комп'ютер користувача, перенаправленого на підроблений сайт, трояном. Заражений комп'ютер може активно використовуватися в ботнет-мережах для розсилки спаму, організації DDOS-атак, а також для збору даних про користувача та відправлення їх зловмиснику. Спектр застосування "вивченої" у користувача інформації досить широкий.

Механізми фішингу

Головний вектор атаки фішингу спрямований на найслабшу ланку будь-якої сучасної системи безпеки – на людину. Не завжди клієнт банку точно знає, яка адреса є правильною: mybank.account. com або account.mybank. com? Зловмисники можуть використовувати і той факт, що в деяких шрифтах рядкова i і велика L виглядають однаково (I = l). Такі способи дозволяють обдурити людину за допомогою схожого на справжнє посилання в електронному листі, при цьому навіть наведення курсору миші на таке посилання (з метою побачити справжню адресу) не допомагає. В арсеналі зловмисників є й інші засоби: від банальної заміни в локальній базі IP-адрес реальної адреси на підроблену (в ОС Windows XP, наприклад, для цього достатньо відредагувати файл hosts) до фармінгу. Ще один вид шахрайства - заміна Web-сторінки локально, "на льоту". Спеціальний троян, що заразив комп'ютер користувача, може додавати до сайту, що відображається браузером, додаткові поля, відсутні на оригінальній сторінці. Наприклад, номер кредитної картки. Звісно, ​​для успішного проведення такої атаки треба знати банк чи платіжну систему, якими користується жертва. Саме тому тематичні бази електронних адрес користуються великою популярністю і є на чорному ринку ліквідним товаром. Небажаючі нести додаткові витрати фішери просто спрямовують свої атаки на найбільш популярні сервіси – аукціони, платіжні системи, великі банки – сподіваючись, що випадковий одержувач спам-листа має там обліковий запис. На жаль, надії зловмисників найчастіше виправдовуються.

Традиційні методи протидії фішинговим атакам

Унікальний дизайн сайту Суть цього методу така: клієнт, наприклад, банку під час укладання договору вибирає одне із запропонованих зображень. Надалі при вході на сайт банку йому показуватиметься саме це зображення. Якщо користувач його не бачить або бачить інше, він повинен залишити підроблений сайт і негайно повідомити про це службу безпеки. Передбачається, що зловмисники, які не були присутні під час підписання договору, апріорі не зможуть вгадати правильне зображення та обдурити клієнта. Однак на практиці цей спосіб не витримує критики. По-перше, для того, щоб показати користувачеві його картинку, його спочатку треба ідентифікувати, наприклад, за логіном, який він ввів на першій сторінці сайту банку. Зловмисникові не важко підготувати підроблений сайт, щоб дізнатися цю інформацію, а для самого користувача - емулювати помилку зв'язку. Тепер достатньо звернутися на реальний сервер, ввести вкрадений логін та підглянути правильне зображення.

Інший варіант – видати клієнту фальшиве попередження про закінчення терміну дії його зображення та запропонувати вибрати нове...

Одноразові паролі

Класичні паролі є багаторазовими: користувач вводить той самий пароль щоразу при проходженні процедури аутентифікації, не змінюючи його часом роками. Перехоплений зловмисником цей пароль може неодноразово використовуватися без відома господаря.

На відміну від класичного, одноразовий пароль використовується лише один раз, тобто, при кожному запиті на надання доступу користувач вводить новий пароль. Для цього використовуються, зокрема, спеціальні пластикові картки із нанесеним захисним шаром. Клієнт банку щоразу стирає чергову смужку та вводить потрібний одноразовий пароль. Усього на картку стандартного розміру міститься близько 100 паролів, що з інтенсивному використанні послуг телебанкінгу потребує регулярної заміни носія. Більш зручними, але, щоправда, і дорогими видаються спеціальні пристрої – генератори одноразових паролів. В основному розрізняють два типи генерації: у часі, коли поточний одноразовий пароль відображається на екрані і періодично змінюється (наприклад, раз на дві хвилини); події, коли нове значення генерується кожного разу при натисканні користувачем на кнопку пристрою.

Будучи безпечнішим, ніж класична парольна автентифікація, такий метод, проте, залишає зловмиснику певні шанси на успіх. Наприклад, автентифікація з використанням одноразових паролів не захищена від атаки "людина посередині". Суть її полягає у "вклиниванні" в інформаційний обмін між користувачем та сервером, коли зловмисник "представляється" користувачеві сервером, і навпаки. Серверу передається вся інформація від користувача, в тому числі і введений одноразовий пароль, але вже від імені зловмисника. Сервер, отримавши правильний пароль, дозволяє доступ до закритої інформації. Не викликаючи підозри, зловмисник може дозволити користувачеві попрацювати, наприклад, зі своїм рахунком, пересилаючи йому всю інформацію від сервера та назад, але при завершенні користувачем свого сеансу роботи не розривати зв'язок із сервером, а зробити потрібні транзакції нібито від імені користувача.

Щоб не втрачати час в очікуванні завершення сеансу користувача, зловмисник може просто імітувати помилку зв'язку і не дозволяти легальному користувачеві працювати зі своїм рахунком. Залежно від використовуваного методу генерації, перехоплений одноразовий пароль буде діяти або протягом короткого часу, або тільки для першого сеансу зв'язку, але в будь-якому випадку це дає зловмисникові можливість успішно провести крадіжку даних або грошей користувача.

На практиці аутентифікація за допомогою одноразових паролів використовується рідко, для підвищення безпеки застосовується встановлення захищеного з'єднання ще до аутентифікації, наприклад, з використанням протоколу SSL.

Одностороння автентифікація

Використання протоколу безпечних з'єднань SSL (Secure Sockets Layer) забезпечує захищений обмін даними між Web-сервером та користувачами. Попри те що, що протокол дозволяє аутентифікувати як сервер, а й користувача, практично найчастіше застосовується лише одностороння аутентифікація. Для встановлення з'єднання SSL необхідно, щоб сервер мав цифровий сертифікат, що використовується для аутентифікації. Сертифікат зазвичай видається і засвідчується третьою довіреною стороною, в ролі якої виступають центри, що засвідчують (УЦ) або центри сертифікації (у західній термінології). Роль УЦ полягає в тому, щоб підтверджувати справжність Web-сайтів різних компаній, дозволяючи користувачам, "повіривши" одному єдиному центру, що засвідчує, автоматично мати можливість перевіряти справжність тих сайтів, власники яких зверталися до цього ж УЦ.

Список довірених центрів, що засвідчують, зазвичай зберігається в реєстрі операційної системи або в налаштуваннях браузера. Саме ці списки і зазнають атак з боку зловмисника. Справді, видавши фішинговому сайту сертифікат від підробленого центру, що засвідчує, і додавши цей УЦ у довірені, можна, не викликаючи жодних підозр у користувача, успішно здійснити атаку.

Звичайно, такий спосіб вимагатиме від фішера більше дій і витрат, але користувачі, на жаль, часто самі допомагають у крадіжці своїх даних, не бажаючи розбиратися в тонкощах і особливостях використання цифрових сертифікатів. В силу звички або некомпетентності нерідко ми натискаємо кнопку "Так", не особливо враховуючи повідомлення браузера про відсутність довіри до організації, що видала сертифікат.

До речі, дуже схожий спосіб використовують деякі засоби контролю SSL-трафіку. Справа в тому, що останнім часом почастішали випадки, коли сайти, заражені троянськими програмами, і самі трояни використовують протокол SSL для того, щоб уникнути шлюзових систем фільтрації трафіку - адже шифровану інформацію ні антивірусне ядро, ні система захисту від витоку даних перевірити не в стані. Вклинювання в обмін між Web-сервером і комп'ютером користувача дозволяє таким рішенням замінити сертифікат Web-сервера на виданий, наприклад, корпоративним УЦ і без видимих ​​змін у роботі користувача сканувати трафік користувача при використанні протоколу SSL.

URL-фільтрація

У корпоративному середовищі фільтрація сайтів застосовується для обмеження нецільового використання Інтернету співробітниками і як захист від фішерських атак. У багатьох антивірусних засобах захисту цей спосіб боротьби з підробленими сайтами взагалі є єдиним.

Фішингові повідомлення електронної пошти в корпоративному середовищі зазвичай знаменують таргетовану атаку, добре продумані і реалізовані. На відміну від звичайних користувачів, співробітники компаній можуть бути проінструктовані належним чином про існуючі загрози інформаційній безпеці. За повідомленнями електронної пошти може бути встановлений той чи інший контроль із боку співробітників ІТ/ІБ підрозділів.

Прелюдія

Фішингові листи, спрямовані на рядових користувачів, зазвичай мало «персоналізовані», для привернення уваги може бути підставлений тільки email користувача. У сфері атак на корпоративні системи фішингу передує ретельний збір та аналіз інформації про об'єкт та суб'єктів атаки, горизонтальні зв'язки, можливі зони відповідальності та повноваження. Це необхідно для розробки продуманого соціотехнічного сценарію та додавання деталей, що дозволяють приспати пильність одержувачів листа.

Нині зростає відсоткова частка цільових фішингових атак, організованих через розсилку листів електронною поштою, у яких можна виділити конкретну організацію чи групу осіб. Цільові користувачі отримують ретельно розроблені фішингові повідомлення, які змушують людину ввести більш конфіденційні персональні відомості – типу логіну та паролю, які дають доступ до корпоративних мереж або баз даних з найважливішою інформацією. Крім запиту облікових даних, цільові листи фішинга можуть також містити шкідливе ПЗ. Так, наприклад, при натисканні певної клавіші можуть завантажуватись програми для відстеження всього, що жертва вводитиме за допомогою клавіатури.

За звичайним сценарієм, проникнення в систему почалося з фішингової розсилки. Оскільки тут ми маємо справу зі спрямованою атакою, фішингове розсилання було максимально адаптоване для конкретного одержувача. Як зазначив Брюс Шнайєр, це не просто фішинг, а фішинг із «лазерним прицілом».

У цьому випадку листи призначалися американським чиновникам, які прямували до Копенгагена на конференцію зі зміни клімату. Вони отримали поштою шкідливі файли. Що характерно, листи були озаглавлені «Китай та зміна клімату», а як зворотна адреса була вказана підроблена адреса відомого журналіста National Journal, який спеціалізується на статтях з міжнародної економіки. Вже один факт свідчить про те, що зловмисники ретельно продумали атаку і розрахували, що адресати повинні обов'язково відкрити вкладений файл.

Додатково, в тілі листа містилися коментарі, які справляють враження, що документ безпосередньо пов'язаний із робочими обов'язками чиновників.

Проведення цільових фішингових кампаній вимагає від кіберзлочинців більше часу та грошей, ніж у випадку традиційних фішингових кампаній. Шахраї повинні отримати доступ або вкрасти списки діючих адрес електронної пошти для цільової організації або групи осіб, а потім створити правдоподібні листи, які з ймовірністю залучать одержувачів і нададуть свої персональні дані. Однак у разі успіху фінансова віддача від цільового фішингу може бути набагато вищою, тому інвестиції цілком окупаються.

Що спільного в гучних історіях про витік даних із систем провідних рітейлерів Target та Neiman Marcus, гіганта медичного страхування Anthem та Sony Pictures? Усі вони почалися з ретельно спланованої таргетованої атаки фішинга з використанням повідомлень електронної пошти. До листів було додано документи, заражені шкідливими програмами. При цьому вони виглядали цілком звичайно і були адресовані конкретним співробітникам всередині організації.

Точковий фішинг став найпоширенішим типом таргетованої атаки з однієї простої причини: ця техніка по-справжньому працює, вводячи в оману навіть користувачів, які серйозно підходять до питань безпеки. Вона створює для хакерів опорний пункт для проникнення корпоративної мережі. За даними дослідження Check Point, проведеного серед понад 10 тисяч організацій по всьому світу, у 84% з них за останні 12 місяців було завантажено хоча б один заражений документ. Це відбувається тому, що зловмисникові досить просто отримати уявлення про компанію або про конкретних її співробітників в мережі Інтернет, а потім написати такий лист, який спонукає навіть найпильнішого працівника відкрити шкідливе вкладення і тим самим ініціювати атаку хакерів.

Збір інформації

Збір інформації проводиться з публічних джерел, з використанням спеціалізованих інструментів, запитів у пошукових системах, спеціалізованих сервісів, аналізу профілів компанії у соціальних мережах та на сайтах вакансій. Такі збір інформації можна співвіднести з методологією OSINT (Open Source Intelligence - розвідка на основі аналізу відкритих джерел інформації). Чим об'ємніша, точніша (як мінімум два-три джерела) і актуальніша інформація - тим вищий успіх атаки.

Але левову частку фішингових повідомлень становлять шкідливі файли (користувач може знати свій пароль, або авторизація на ресурсах відбувається через LDAP тощо.), модифіковані RAT і офісні документи, що містять макроси з тим чи іншим функціоналом.

Приклад формування back-connect шелла за допомогою макросів офісного пакету та PowerShell:

Кейси із практики

Приклади та різновиди атак залежать безпосередньо від обраної зловмисниками мети, давати конкретику досить складно, тому як десерт кілька прикладів з практики нашої компанії та наших колег.

На одну з фінансових організацій було здійснено фішингове розсилання. Адреси співробітників були вилучені за допомогою SQL-ін'єкції з CRM, що розробляється, на одному з піддоменів. Корпоративна пошта була налаштована на gmail. Фішингове повідомлення містило посилання на схожий ресурс та форму входу gmail. Вишенькою на торті був впроваджений у цю сторінку iframe-код однієї з відомих зв'язок експлоїтів. Тобто. крім експлуатації соціотехнічного вектора було реалізовано і додатковий вектор як засобів експлуатації вразливостей браузерів та його компонентів. Атака дозволила зловмисникам отримати контроль над деякими обліковими записами.

В одну організацію було надіслано листа, що містить шкідливу програму у вигляді .scr файлу. Нульовий пацієнт, який завантажив і запустив шкідливу програму, не побачив явних ознак її роботи і спробував зробити це ще кілька разів. Після чого він розіслав це вкладення своїм колегам з ремаркою: «Ніяк не можу відкрити, спробуй, може, у тебе відкриється?». Потерпілий сам ініціював пандемію вірусної активності у корпоративному середовищі.

Захист

В даний час застосовуються все більш витончені способи, щоб змусити жертву перейти за посиланнями на певні веб-сайти, де люди мимоволі залишають зловмисникам цінну інформацію або завантажують на свій комп'ютер шкідливе програмне забезпечення. Більшість спам-повідомлень тепер містять URL-адреси, за якими одержувачі переходять на шкідливі веб-сайти. При цьому шахрайські веб-сайти, куди прямують жертви, виглядають так само, як їхні законно діючі аналоги.

Згідно з даними дослідження, проведеного в Каліфорнійському університеті в Берклі, навіть ті, хто давно і часто користується Інтернетом, іноді трапляються на вудку шахраїв та переходять на їхні сайти. Щоб убезпечити себе від фішингових веб-сайтів, користувачі повинні застосовувати стратегію комплексної перевірки ймовірного рівня достовірності вмісту, контролювати рядок адреси та налаштування безпеки в ній, звертати увагу на зображення замка у вікні браузера та сертифікат безпеки кожного веб-сайту, куди перенаправляється користувач.

В якості заходів захисту необхідно встановити контроль за поштовими вкладеннями та посиланнями, проводити тренінги з персоналом про наявність нових загроз, дотримуватися запобіжних заходів та повідомляти про всі підозрілі випадки технічний персонал.

Фішинг, або шахрайство з метою крадіжки даних за допомогою копіювання зовнішніх образів популярних ресурсів, тільки-но приходить у мобільний світ. У цій статті ми розберемо анатомію подібних атак і дізнаємося, як саме хакери успішно роблять замах на гроші користувачів андроїдофонів.

Статистика фішингу на мобільних платформах.

Смартфони та планшети так швидко увірвалися в наше життя, що поведінка героїв із фільмів п'ятирічної давності вже видається анахронізмом. Природно, що разом із корисними та не дуже звичками користувач придбав і нових інтернет-ворогів.

За статистикою, на 85% всіх мобільних пристроїв встановлена ​​одна з версій Android, і не дивно, що більшість атак та зловредів націлені саме на нашу улюблену операційну систему. Звичайно, ситуація ще не така погана, як з Windows років десять тому, але тенденція лякає.

У січні минулого року ми розбирали, наскільки легко створити криптолокер під Android - програму, що шифрує дані користувача. І трохи пізніше, у квітні 2016 року, «Лабораторія Касперського» підтвердила наші побоювання: компанія заявила про появу трояна-локера Fusob, який атакував смартфони користувачів більш ніж із ста країн.

Різноманітність фішингу

Мімікування шкідливих програм під щось корисне - досить старий тренд. Років десять-п'ятнадцять тому був бум популярності сайтів, які дуже схожі на офіційні портали банків або платіжних систем. Такі фішингові ресурси намагалися витягнути користувальницькі акаунти, а ще краще – дані кредитних карток.

Але хвиля розкрадань обійшла країни СНД стороною. Просто брати в нас не було чого: Павло Дуров ще нічого не написав, а пластикові карти популярністю не користувалися. Зараз для шахраїв ситуація стала по-справжньому «смачною»: інтернет-покупки, мобільний банкінг, всілякі соціальні мережі - дуже багато тепер доступно через мобільний телефон, підключений до інтернету.

Поки що ще не було історій про епідемії фішингу, але неприємні дзвіночки вже є. Серфінг інтернету з мобільних пристроїв став набагато менш безпечним: спочатку веб-майстри адаптували рекламу під мобільний контент, а потім підтяглися й нечисті люди. Нещодавно, на початку грудня 2016 року, на одному популярному спортивному ресурсі вискакувало віконце з пропозицією «оновити застарілий WhatsApp» - природно, розробники месенджера жодного відношення до такої реклами не мають.

Мал. 2. Вірусна партнерка на великому ресурсі

Такі повідомлення генеруються на стороні сервера і виглядають досить незграбно. Але, потрапивши всередину пристрою, зловмисник може зробити більш елегантну та ефективну атаку. Давай розберемося, наскільки складно в Android підмінити робочий додаток на його шкідливий аналог.

У світі досі немає нічого універсальнішого, ніж гроші, тому варто спробувати отримати доступ до гаманця користувача. Як списують гроші за допомогою надсилання СМС на короткі номери, ми вже говорили, сьогодні дістанемося банківської картки.

Майже Google Market

Для фішингу не потрібно точнісінько реалізовувати функціональність Google Market - простіше написати додаток, що розширює його можливості без зміни вихідного коду. Цікаво дізнатися, як хакери провертають подібне? Тоді поїхали!

Вибір

Неправильно намагатиметься підробити програму, якою власник пристрою зовсім не користується. Як і при звичайному вторгненні, шахраю потрібно спочатку оцінити, в яке середовище він потрапив. Різноманітність вендорів, що випускають мобільні пристрої, призвело до великих змін і самої ОС. І хоча, за словами маркетологів, всі вони працюють на єдиній платформі Android, набір запущених програм може бути зовсім різним. Android має вбудований API для отримання списку запущених процесів - це системний сервіс ACTIVITY_SERVICE.

ActivityManager am = (ActivityManager) getSystemService (Context .ACTIVITY_SERVICE); List< ActivityManager .RunningAppProcessInfo >runningAppProcessInfo = am .getRunningAppProcesses() ;

Google з метою безпеки з кожним роком все більше обмежує можливості програм взаємодіяти між собою. У документації це явно не вказано, але для Android версії 4.0 і новіше такий виклик поверне список тільки з однієї програми - твого власного. Не все втрачено – в основі Android лежить ядро ​​Linux, а значить, у нас є консоль. До неї можна дістатися руками за допомогою утиліти adb, що входить до Android Studio.

Результат роботи очікувано схожий на висновок, який дає однойменна лінуксова команда - таблиця з безліччю значень, розділених табуляцією.

media _ rw1730 1176 7668 1876 1 20 0 0 0 fg inotify_re b75c3c46 S/system/bin/sdcard (u:0, s:3) u0 _ a151798 1202 1298044 30520 0 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .google .android .googlequicksearchbox : interactor (u : 3 , s : 1 ) u0 _ a351811 1202 1272580 37692 1 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .android .inputmethod .latin (u : 9 , s : 1 ) u0 _ a81871 1202 1428180 77468 0 20 0 0 0 fg SyS_epoll_ b72f9d35 S com.google.android.gms.persistent(u:168,s:163)

Власне, у цьому висновку міститься достатня для фішингу інформація: ім'я процесу, його ідентифікатор, пріоритет виконання тощо. Запустити утиліту можна не тільки руками, але й з програми – для доступу до шелла у стандартному API є клас Shell.

List< String >stdout = Shell.SH.run ("toolbox ps-p-P-x-c");

Лінуксоїдам часто доводиться писати однорядкові скрипти, тому розпарсувати такий висновок для них не проблема. Але ООП-розробники ніжніші і напевно не захочуть таким займатися.

На Гітхабі вже є проект, у якому реалізовано необхідну функціональність. Створив його Джаред Раммлер (Jared Rummler), за що скажемо йому спасибі. Обробка результату виконання інструменту toolbox створена у вигляді бібліотеки, яку можна підключити прямо через Gradle.

Вся інформація про запущені процеси обернута в об'єкт класу AndroidAppProcess. Якщо подивитися вихідники бібліотеки, то нічого зайвого там немає - тільки парсінг консольного виводу. Інформацію про конкретну програму доведеться витягувати прямим перебором.

for (AndroidAppProcess pr : processes ) ( if (pr .getPackageName() .equals (ps_name ) ) ( // do smth

Зверніть увагу: починаючи з Android 7.0, Google ввела обмеження на доступ до інформації про процеси інших додатків. Тепер її не можна отримати навіть за допомогою команди ps та прямого читання файлової системи /proc. Втім, на Android 7+ більшість користувачів перейде дуже не скоро - якщо взагалі перейде.

Активні програми

Успішні фішингові операції, як правило, добре підготовлені - шахраї вміють підібрати момент так, що у користувача не виникає навіть найменших підозр у підробці. Тому телефон не повинен просто так попросити ввести дані банківської картки - це буде дуже підозріло. Фішингові повідомлення з'являються під якимось приводом, наприклад платні псевдооновлення для 1C або фіктивні банківські ресурси на адресах, схожих на написання з легальними.

Багатозадачність Android тут може зіграти на руку - в ОС можуть працювати одночасно з десяток програм, змінюючи один одного. Недосвідчений користувач може навіть і не зрозуміти (та й взагалі не замислюватися), в якому додатку він зараз працює. Висновок ps дає інформацію, які саме програми зараз активно взаємодіють з користувачем - тобто йому видно.

u0 _ a65. . . bg SyS_epoll_ b7366d35 S com .localhost .app .noizybanner (u : 248 , s : 84 ) u0 _ a64. . . fg SyS_epoll_ b7366d35 S com .localhost .app .fragments (u : 7 , s : 11 )

Цей параметр знаходиться в 11 колонці - тут може бути значення bg (background, прихований) або fg (foreground, видно). ОС самостійно відстежує такі стану додатків, тому завдання розробника - лише іноді викликати ps.
На основі бібліотеки виходить простенький метод, що визначає стан програми, що шукається.

private Boolean isProccessForeground (String ps_name ) List< AndroidAppProcess >processes = AndroidProcesses .getRunningForegroundApps (getApplicationContext()); . . .

Ми маємо можливість відразу вибрати лише видимі процеси за допомогою однойменного методу. Але він не завжди спрацьовує коректно і видає навіть додатки, які зараз користувачеві невидимі. У цій ситуації потрібно перевіряти значення методу foreground, яке буде true, якщо якесь Activity видно користувачеві.

for (AndroidAppProcess pr : processes ) if (pr .getPackageName () .equals (ps_name ) && (pr .foreground == true ) ) ( Log .e ("ps", "" + pr. getPackageName() + "foreground" + pr. return true; . . .

Тепер є можливість знайти зручний момент для атаки – виклик цього методу покаже, чи зараз працює користувач у певному додатку. Як тільки метод поверне true, можна запустити будь-яку Activity, яка відразу буде показана користувачеві. У цьому полягає суть атаки - продемонструвати користувачеві фішингове вікно під виглядом повідомлення від довіреної програми.

// Перевіряємо, чи відкрили Google Market if (isProccessForeground ("com.android.vending" ) ) ( Intent i = new Intent(); i. setClass (getApplicationContext (), FakeGUI. class); startActivity (i);

Загалом фішингова атака вже побудована. Для її експлуатації потрібно налаштувати періодичне відстеження програми-жертви, а також намалювати вікна GUI для введення даних банківської картки.

Сервіси

Відстежувати стан програми нескладно, потрібно лише з певною періодичністю перезапускати метод isProccessForeground - це можна реалізувати в компоненті Activity або Service. Але довго тримати запущеним один і той самий екземпляр Activity не вийде, рано чи пізно він буде вивантажений системою. До того ж, це дуже помітно для користувача.

В Android, як і в «великих» операційних системах, є сервіси – компоненти, що дозволяють незримо для користувача виконувати якусь рутинну роботу. Зазвичай це завантаження даних чи отримання оновлень, але фішингу теж піде.

Сервіси можуть бути різними: так званий foreground service працюватиме в системі завжди і зупиниться лише разом із вимкненням телефону. Ми вже детально розбирали роботу сервісів раніше, тому сьогодні буду стислим. Foreground serviceуспадковується від класу Service і повинен обов'язково мати іконку, яка буде в панелі повідомлень пристрою.

NotificationCompat .Builder mBuilder = New NotificationCompat .Builder (this ) SetSmallIcon (R .mipmap .ic_launcher )

Фішинг – загроза дуже поширена. Листом із посиланням на шкідливий сайт чи шкідливе вкладення нікого не здивуєш, а розвиток шифрувальників лише додав олії у вогонь.

Технічні заходи захисту від фішингу, такі як фільтрація та аналіз поштового/веб трафіку, обмеження програмного середовища, заборона запуску вкладень - дуже ефективні, але вони не можуть протистояти новим загрозам і, що більш важливо, не можуть протистояти людській дурості допитливості та лінощів. Траплялися випадки, коли користувач, будучи не в змозі відкрити/запустити шкідливий вміст на робочому місці, пересилав його на свій домашній комп'ютер і запускав, з усіма випливаючими...

Тому, яку б ґрунтовну технічну систему захисту ми не будували, про головну ланку у всьому ланцюзі - користувача, та її навчання забувати не варто.

Періодичні інструктажі та інформаційні розсилки є важливою складовою навчання персоналу, але, як показує практика, їхня ефективність значно нижча, ніж навчання співробітників на власних помилках.

Що робитиме система:

1. Розсилати фішингові листи користувачам;
2. При натисканні на посилання в тілі листа повідомляти користувача про його помилку - надсилати на веб-сайт з навчальною сторінкою;
3. Вести статистику щодо неуважних користувачів.

Розсилка листів

Ім'я користувача у привітанні береться з його поштової скриньки. Лист цілеспрямовано зроблено таким чином, щоб у користувача була можливість вважати його підозрілим. Після кількох тренувань складність листів можна підвищувати.

Посилання, що веде на фішинговий сайт, виду http://phishingsite-327.com/p/ [email protected] змінюється залежно від імені користувача. Таким чином, ми надаємо на сайт інформацію про користувача і можемо вести звітність.

Створення навчальної сторінки

Наше завдання полягає не в тому, щоб звинуватити користувача в порушенні, а в тому, щоб пояснити йому в чому полягає загроза фішингових атак, показати де він припустився помилок і дати просте керівництво до дії на майбутнє. Тому інформаційна сторінка містить докладний аналіз його дій:

Навчальна сторінка розміщується на Web-сервері організації, включає PHP код для ведення статистики.

На локальних DNS серверах організації налаштовуємо CNAME запис для нашого web-сервера таким чином, щоб посилання було більше схоже на шкідливе, наприклад: http://phishingsite-327.com/

У випадку, якщо ми хочемо контролювати факт відкриття шкідливого посилання з не робочих місць (наприклад, коли співробітник пересилає листа на свою особисту пошту), то доведеться використовувати реальну адресу в мережі Інтернет. Або моніторити факт пересилання листа на зовнішню адресу через засоби захисту та адміністрування.

З часом аналізуємо звіт зі списком користувачів, що пройшли за фішинговим посиланням. У нашому випадку PHP скрипт зберігає в csv-файл інформацію про час, адресу електронної пошти та ip-адресу вузла, з якого було здійснено захід на сайт.

Звіт допомагає оцінити рівень підготовки персоналу, виявити слабкі ланки. А під час проведення періодичних перевірок (щомісячно/щоквартально) можна:

1. Побудувати криву підготовленості персоналу до фішингових атак, використовувати її як один із кількісних показників захищеності інфраструктури;
2. Виявити користувачів, які регулярно роблять одні й самі помилки, з метою застосування до них інших заходів підвищення освіченості.

Досвід впровадження

• Підготовка ІТ персоналу
  Перед розсилкою слід попередити ІТ персонал і пояснити, як слід реагувати на звернення користувачів про дивний лист. Але перед цим слід провести тестування на них самих. У разі неуважності ІТ персоналу не варто обмежуватися рекомендаціями, оскільки в майбутньому подібна недбалість може бути вкрай плачевною для інфраструктури.
• Підготовка керівництва
  Керівництво організації про заплановане тестування слід попередити. Або навіть оформити проведення тестування внутрішнім актом. Користувач, залежно від його посади та особистих якостей при усвідомленні того, що він порушив вимоги ІБ, що він "введений в оману" може реагувати вельми непередбачувано. Аргументи на користь служби ІБ у вигляді документів та підтримки керівництва зайвими не будуть.
• Вибір мети
  При масовій розсилці по всіх співробітниках сарафанне радіо значно зіпсує об'єктивність кінцевої оцінки. Краще проводити тестування частинами, не забуваючи змінювати текст листа.

Вперше результати тренінгу можуть здивувати і навіть засмутити, адже вони надають більш об'єктивну інформацію про підготовленість персоналу, ніж підписи в Журналах інструктажу.
Ефективність подібної міри дуже висока і проведення тренінгів на регулярній основі дозволяє суттєво підвищити підготовленість та пильність персоналу.

Багато організацій вводять більш жорсткі правила у фільтрації спаму, і вони змушені вживати проактивні заходи боротьби з фішингом. Розібравшись в інструментах та методах, що використовуються зловмисниками, та аналізуючи слабкі місця в системі безпеки периметра, ми зможемо заздалегідь захиститись від багатьох атак.

Останнім часом в області фішингу виділяються нові напрямки – змішинг, вішинг та фармінг (див. урізання «Словник»).

Ця стаття присвячена опису деяких видів фішингу, що, сподіваюся, дозволить вам успішніше захищатися від подібних атак. Професіонали в галузі інформаційної безпеки та звичайні користувачі мають бути готові відобразити їх.

Шахрайство 21 століття

Здатність викрадати особисті ідентифікаційні дані завжди високо цінувалася злочинцями. Отримуючи доступ до чиїхось особистих даних і виконуючи потім роль законного користувача, зловмисник може вчиняти злочини під чужим ім'ям. Подібний крадіжка ніколи не був більш простим, ніж зараз, в епоху цифрових технологій.

Приховані серед куп електронної макулатури, що обходять багато сучасних антиспамових фільтрів, нові засоби нападу дозволяють викрадати конфіденційну особисту інформацію. Професійні злочинці тепер використовують спеціально сформовані повідомлення, щоб заманити свої жертви до пасток, призначених для крадіжки ідентифікаційних даних користувачів.

Назва даного типу атак - Phishing (фішинг), процес обману або обробка методами соціальної інженерії клієнтів для подальшого крадіжки їхніх особистих даних та передачі їх конфіденційної інформації для використання в корисливих цілях. Злочинці використовують спам або заражені раніше комп'ютери. При цьому розмір компанії-жертви не такий важливий; якість особистої інформації, отриманої злочинцями внаслідок нападу, має значення саме собою.

Кошти Phishing-шахрайства з кожним днем ​​продовжують зростати не лише кількісно, ​​а й якісно. Phishing-атакам сьогодні піддається все більше клієнтів, масова розсилка подібних листів йде на мільйони адрес електронної пошти в усьому світі. Використовуючи безліч типів атак, фішери можуть легко ввести в оману клієнтів передачі фінансових даних (наприклад, номери платіжної картки) і пароля. В той час, як спам тільки відволікає увагу одержувачів, Phishing веде до фінансових втрат через шахрайське переміщення валюти.

У звіті за січень 2007 року за даними Anti-Phishing Working Group ( www. anti- phishing. org) наводяться такі цифри:

Кількість унікальних фішингових атак
Кількість унікальних фішингових сайтів
Кількість торгових марок, викрадених фішерами у січні
Країна, в якій у січні було відкрито максимальну кількість фішингових сайтів	Сполучені Штати Америки
Кількість сайтів, які містять деяку частину справжнього імені сайту на адресі
Кількість сайтів, що містять лише IP-адресу
Відсоток сайтів, які не використовують 80-й порт
Середній час активності сайту	4 дні
Максимальний час активності сайту	30 днів

Рисунок 1. Число фішингових сайтів за період із січня 2006 року до січня 2007 року

Деякі фінансові організації та великі компанії, чий бізнес безпосередньо пов'язаний з Internet, пояснюють своїм клієнтам проблему фішингу. Більшість організацій зробили дуже небагато для активної боротьби з цим злом. Однак треба мати на увазі, що існує багато доступних інструментальних засобів та методів для захисту від подібних атак.

Маючи високий рівень захисту від фішингових атак, організації можуть отримати чималу вигоду від збереження лояльності своїх клієнтів.

Хронологія фішингу

Слово "phishing" народилося з аналогії, яка полягає в тому, що перші зловмисники Internet використовували поштові приманки для паролів та фінансових даних безлічі користувачів Internet. Використання "ph", найімовірніше, пов'язане з популярними хакерськими угодами про імена типу "Phreaks", що простежуються в історії хакерського руху, починаючи з проблеми "phreaking" - зламування телефонних систем.

Термін був вперше вжитий в 1996 хакерами, що захопили управління обліковими записами America Online (AOL) і викрали паролі користувачів AOL. Вперше термін phishing був згаданий в Internet у групі новин alt.2600 hacker newsgroup у січні 1996 року, проте він, можливо, використовувався і раніше в популярному інформаційному бюлетені хакера "2600". Наводжу без коментарів: «Ви використовуєте, щоб ви могли писати обліковий запис на AOL, коли ви маєте кредитний картку generator. However, AOL became smart. Now they verify every card with a bank по it typed in. Does anyone know of a way to get an account other than phishing?

До 1996 зламані облікові записи називали "phish", і до 1997 phish активно продавалися хакерами як форма електронної валюти. Через деякий час визначення того, що складає phishing-атаку, було значно розширено. Термін «фішинг» тепер включав не тільки отримання подробиць облікового запису користувача, але й доступ до всіх його особистих та фінансових даних. Спочатку використовуючи повідомлення електронної пошти для отримання паролів та фінансових даних ошуканих користувачів, тепер фішери створили підроблені сайти, навчилися задіяти троянські програми, та атаки типу man-in-the-middle data proxies.

Наразі мережне шахрайство включає використання підроблених робочих місць або пропозицій роботи.

Чинник соціальної інженерії

Фішинг-атаки засновані на комбінації технічного обману та факторів соціальної інженерії. У більшості випадків "Фішер" повинен переконати жертву виконати ряд дій, які забезпечать доступ до конфіденційної інформації.

Сьогодні «фішери» активно використовують популярність таких засобів зв'язку як електронна пошта, web-сторінки, IRC та служби миттєвої передачі повідомлень (IM). У всіх випадках фішер повинен діяти від імені довіреного джерела (наприклад, служби підтримки відповідного банку тощо), щоб ввести жертву в оману.

Донедавна найуспішніші напади фішерів здійснювалися електронною поштою - при цьому фішер відіграє роль уповноваженої особи (наприклад, імітуючи вихідну адресу електронної пошти та використовуючи впровадження відповідних корпоративних емблем). Наприклад, жертва отримує електронну пошту від [email protected] (Адреса підмінена) з рядком повідомлення "модифікація захисту", в якому її просять перейти за адресою www . mybank - validate . info (ім'я домену належить нападникові, а не банку) та ввести його банківський PIN-код.

Однак фішери використовують і багато інших методів соціальної інженерії, щоб змусити жертву добровільно видати конфіденційну інформацію. Наприклад, жертва вважає, що її банківська інформація використовується ще кимось для здійснення незаконної угоди. У такому разі жертва спробувала б увійти в контакт із відправником відповідного електронного листа та повідомити його про незаконність угоди та скасувати її. Далі, залежно від типу шахрайства, фішер створив би мережну "безпечну" web-сторінку для того, щоб жертва могла запровадити конфіденційні подробиці (адресу, номер кредитної картки тощо) та скасувати угоду. У результаті фішер отримав достатньо інформації, щоб здійснити реальну угоду.

Рисунок 2. Приклад фішингового листа

Рисунок 3. Сторінка фішингового сайту

Однак цей сайт, незважаючи на зовнішню схожість з оригінальним, призначений виключно для того, щоб жертва сама запровадила конфіденційні дані.

Рисунок 4. Приклад із підробленою поштовою адресою відправника

Під онлайн-фішингом мається на увазі, що зловмисники копіюють будь-які сайти (найчастіше це Internet-магазини онлайн-торгівлі). При цьому використовуються схожі доменні імена та аналогічний дизайн. Ну, а далі все просто. Жертва, потрапляючи до такого магазину, вирішує придбати якийсь товар. Причому кількість таких охочих досить велика, адже ціни в неіснуючому магазині будуть буквально непридатними, а всі підозри користувачів розсіюються через популярність сайту, що копіюється. Купуючи товар, жертва реєструється та вводить номер та інші дані своєї кредитної картки.

Такі методи фішингу існують досить давно. Завдяки поширенню знань у галузі інформаційної безпеки вони поступово втрачають свою ефективність.

Рисунок 5. Лист тільки з одним фішерським посиланням із багатьох справжніх

Третій спосіб – комбінований. Суть його у тому, що створюється підроблений сайт якоїсь організації, який потім залучаються потенційні жертви. Їм пропонується зайти на якийсь веб-сайт і там зробити ті чи інші операції самим. Причому зазвичай використовується психологія.

Малюнок 6. Приклад фішингового листа користувачам пошти Mail.ru

Численні попередження, щодня що з'являються в Internet, роблять подібні методи шахрайства все менш ефективними. Тому тепер зловмисники все частіше вдаються до застосування кей-логгерів, key-loggers - спеціальних програм, які відслідковують натискання клавіш і надсилають отриману інформацію за заздалегідь призначеними адресами.

Якщо ж ви думаєте, що фішинг-атаки є актуальними лише для далекого зарубіжжя, то ви помиляєтеся. Першу спробу фішингу на території СНД було зареєстровано у 2004 році. Жертвами її стали клієнти московського Сітібанку.

В Україні жертвами фішингових атак стали клієнти «Приват-банку» та компанії «Київстар».

Доставка фішинговогоcповідомлення

Електронна пошта та спам.Найбільш поширені атаки фішинга за допомогою електронної пошти. Використовуючи методи та інструментальні засоби спамерів, фішери можуть надіслати спеціальні повідомлення на мільйони адрес електронної пошти протягом декількох годин (або хвилин, якщо задіяти розподілені бот-мережі). У багатьох випадках списки адрес електронної пошти фішери отримують з тих самих джерел, що й спамери.

Використовуючи відомі недоліки в поштовому протоколі SMTP, фішери здатні створити електронні листи з підробленим рядком "Mail From:" заголовки у такому разі будуть уособленням будь-якої обраної ними організації. У деяких випадках вони можуть встановити поле "Replay To:" на адресу вибраної ними електронної пошти, внаслідок чого будь-яка відповідь клієнта на лист фішингу буде автоматично пересилатися фішеру. У пресі часто пишуть про фішингові атаки, тому більшість користувачів побоюється надсилати конфіденційну інформацію (на зразок паролів і PIN-коду) електронною поштою, проте такі атаки все ще ефективні.

Методи, що використовуються фішерами під час роботи з електронною поштою:

Офіційний вид листа;

Копіювання законних корпоративних адрес з незначними змінами URL;

HTML, який використовується в електронних повідомленнях, заплутує інформацію про URL;

Стандартні вкладення вірусу/хробака у повідомлення;

Використання технологій заплутування антиспамових фільтрів;

Обробка "індивідуалізованих" чи унікальних поштових повідомлень;

Використання підробленого рядка "Mail From:" адреси та відкриті поштові шлюзи маскують джерело електронної пошти.

Фішинг-атаки з використаннямweb-Контенту.Наступний метод фішинг-атак полягає у використанні шкідливого вмісту веб-сайту. Цей контент може бути включений до сайту фішера або сторонній сайт.

Доступні методи доставки контенту включають:

використання особливостей мережі (приховані елементи в межах сторінки - типу графічного символу нульового розміру), щоб простежити за потенційним клієнтом;

Використання спливаючих вікон, щоб замаскувати справжнє джерело фішерського повідомлення.

IRCта передачаIM-повідомлень.Порівняно новим є використання IRC та IM-повідомлень. Однак, ймовірно, цей спосіб стане популярною основою фішинг-атак. Так як ці канали зв'язку все більше подобаються домашнім користувачам, і разом з тим у дане програмне забезпечення включено велику кількість функціональних можливостей, число фішинг-атак з використанням цих технологій різко збільшуватиметься.

Разом з тим необхідно розуміти, що багато IRC та IM клієнтів враховують впровадження динамічного змісту (наприклад, графіка, URL, мультимедіа тощо) для пересилки учасниками каналу, а це означає, що впровадження методів фішингу є досить тривіальним завданням.

Загальне використання роботів - автоматизованих програм, що обробляють повідомлення користувачів, які беруть участь в обговореннях групи - у багатьох популярних каналах означає, що фішеру нічого не варто анонімно надіслати посилання та фальсифікувати інформацію, призначену для потенційних жертв.

Використання троянських програм.У той час як середовище передачі для фішинг-атак може бути різним, джерело атаки все частіше виявляється на попередньо скомпрометованому домашньому комп'ютері. При цьому як частина процесу компрометації використовується встановлення троянського програмного забезпечення, яке дозволить фішеру (поряд зі спамерами, програмними піратами, DdoS-ботами тощо) використовувати комп'ютер як розповсюджувач шкідливих повідомлень. Отже, простежуючи напад фішерів, надзвичайно складно виявити реального зловмисника.

Необхідно звернути увагу, що, незважаючи на зусилля антивірусних компаній, кількість заражень троянськими програмами безперервно зростає. Багато злочинних груп розробили успішні методи обману домашніх користувачів для встановлення програмного забезпечення і тепер використовують цілі мережі, розгорнуті за допомогою троянського програмного забезпечення. Такі мережі використовуються, зокрема, для розсилки фішингових листів.

Однак не варто думати, що фішери не можуть використовувати троянські програми проти конкретних клієнтів, щоб збирати конфіденційну інформацію. Фактично, щоб зібрати конфіденційну інформацію кількох тисяч клієнтів одночасно, фішери повинні вибірково збирати інформацію, що записується.

Троянські програми для вибіркового збирання інформації.На початку 2004 року фішери створили спеціалізований кейлоггер. Впроваджений у межах стандартного повідомлення HTML (і в поштовому форматі, і на кількох скомпрометованих популярних сайтах) він був кодом, який спробував запускати аплет Java, названий javautil.zip. Незважаючи на розширення zip, фактично це був файл, що виконувався, який міг бути автоматично виконаний у браузерах клієнтів.

Троянський кейлоггер був призначений для фіксування всіх натискань клавіш у межах вікон із заголовками різних найменувань, що включають: -commbank, Commonwealth, NetBank, Citibank, Bank of America, e-gold, e-bullion, e-Bullion, evocash, EVOCash, EVOca intgold, INTGold, paypal, PayPal, bankwest, Bank West, BankWest, Національний Інтернет Banking, cibc, CIBC, scotiabank та ScotiaBank.

Напрями фішингових атак

Фішери змушені задіяти багато методів шахрайства, щоб здійснювати успішні напади. Найзагальніші включають:

Напади методом "людина посередині" (Man-in-the-middle);

Атаки із заміною URL;

Напади, що використовують кроссайтові сценарії, Cross-site Scripting;

Попередньо встановлені сесії атак;

Підміна клієнтських даних;

Використання вразливих місць на стороні клієнта.

Напади "людина посередині"

Одним із найуспішніших способів отримання інформації від клієнта та захоплення управління ресурсами є атака "людина посередині". У цьому класі атак нападник «розташовується» між клієнтом та реальним додатком, доступним через мережу. З цієї точки нападник може спостерігати та робити запис усіх подій.

Ця форма нападу успішна для протоколів HTTP та HTTPS. Клієнт з'єднується з сервером зловмисників, як із реальним сайтом, тоді як сервер зловмисників виконує одночасне підключення до реального сайту. Сервер зловмисників у разі грає роль proxy-сервера всім з'єднань між клієнтом і доступним через мережу прикладним сервером у часі.

У разі безпечного з'єднання HTTPS підключення SSL встановлюється між клієнтом та proxy-сервером зловмисників (отже система зловмисників може робити запис всього трафіку в незашифрованому стані), тоді як proxy-сервер зловмисників створює власне підключення SSL між собою та реальним сервером.

Малюнок 8. Структура атаки man-in-the-middle

Для проведення успішних атак "людина посередині" нападник має бути підключений безпосередньо до клієнта замість реального сервера. Це можна зробити за допомогою безлічі методів:

DNS Cache Poisoning

URL Obfuscation

Browser Proxy Configuration

Прозорі прокси-сервери

Розташований у тому самому сегменті мережі або на маршруті до реального сервера (наприклад, корпоративний шлюз), прозорий proxy-сервер може перехопити всі дані, пропускаючи через себе вихідний HTTP і HTTPS. У цьому випадку ніякі зміни конфігурації на стороні клієнта не потрібні.

DNSCachePoisoning- отруєння кешуDNS

МетодDNSCachePoisoningможна використовувати для того, щоб перервати нормальну маршрутизацію трафіку, вводячи помилкові IP адреси. Наприклад, нападник модифікує кеш служби доменної системи імен та мережевий міжмережевий захист так, щоб весь трафік, призначений для адреси IP MyBank, тепер йшов на адресу IP proxy-сервера нападаючих.

ПідмінаURL

Використовуючи цей метод, нападник змінює зв'язок замість реального сервера на з'єднання з proxy-сервером зловмисників. Наприклад, клієнт може слідувати за посиланням до замість www. mybank. com/>

Конфігурація proxy-сервера у браузері клієнта

Цей тип атаки може бути помічений клієнтом під час перегляду налаштувань браузера. У багатьох випадках зміна налаштувань браузера здійснюється безпосередньо перед фішинг-повідомленням.

Рисунок 9. Конфігурація браузера

Напади підміни адрес

Секрет успіху багатьох атак фішингу полягає в тому, щоб змусити одержувача повідомлення слідувати за посиланням (URL) на сервер зловмисників. На жаль, фішери мають доступ до цілого арсеналу методів, щоб заплутати клієнта.

Звичайні методи заміни адрес включають:

Фальшиві домени.

Дружні імена URL

Підміну імен хостів

Підміну URL-адреси.

Фальшиві імена домену

Один із тривіальних методів підміни – використання фальшивого імені домену. Розглянемо фінансовий інститут MyBank із зареєстрованим доменом mybank.comта пов'язаний з клієнтом діловий сайт . Фішер міг встановити сервер, використовуючи будь-яке з таких імен, щоб заплутати реальний хост адресата:

http :// privatebanking . mybank . com . ch
http:// mybank. privatebanking. com
http:// privatebanking. mybonk. com або навіть
http:// privatebanking. mybá nk. com
http:// privatebanking. mybank. hackproof. com

Оскільки організації реєстрації доменів рухаються в напрямку інтернаціоналізації своїх послуг, отже, можлива реєстрація імен доменів іншими мовами та певними наборами символів. Наприклад, "o" у символах кирилиці виглядає ідентично стандартному ASCII "o", але доменне ім'я буде іншим.

Нарешті, навіть стандартний набір символів ASCII враховує двозначності на кшталт верхнього регістру "i" та нижнього регістру "L".

Дружні іменаURL

Багато web-браузерів враховують складну URL-адресу, яка може включити розпізнавальну інформацію типу імені, що входить до системи та пароля. Загальний формат – URL:// username: password@ hostname/ path.

Фішери можуть замінити ім'я користувача та поле пароля. Наприклад, наступна URL-адреса встановлює ім'я користувача = mybank.com,пароль =ebanking, та ім'я хоста адресата - evilsite. com.

mybank . com : ebanking @ evilsite . com / phishing / fakepage . htm >

Цей дружній вхід до URL може успішно обдурити багатьох клієнтів, які вважатимуть, що вони фактично відвідують справжню сторінку MyBank.

Підміна імен хостів

Більшість користувачів Internet знайомі з навігацією по сайтам та послугам з використанням повного імені домену, типу www.evilsite.com. Для того щоб web-браузер міг зв'язатися з даним хостом по Internet, ця адреса повинна бути перетворена на IP-адресу, типу 209.134.161.35 для www.evilsite.com. Це перетворення IP-адреси на ім'я хоста досягається за допомогою серверів доменних імен. Фішер може використовувати IP-адресу як частину URL, щоб заплутати хост і, можливо, обійти системи фільтрації змісту, або приховати адресат від кінцевого користувача.

Наприклад, наступна URL:

mybank . com : ebanking @ evilsite . com / phishing / fakepage . htm >

міг бути заплутаним за сценарієм

mybank . com : ebanking @210.134.161.35/ login . htm >

У той час як деякі клієнти знайомі з класичним десятковим уявленням IP-адрес (000.000.000.000), більшість з них незнайома з іншими можливими уявленнями. За допомогою цих уявлень IP в межах URL можна навести користувача на фішерський сайт.

Залежно від програми, що інтерпретує IP адресу, можливе застосування різноманітних способів кодування адрес, крім класичного пунктирно-десяткового формату. Альтернативні формати включають:

Dword - значення подвійного слова, тому що це складається з двох подвійних "слів" 16 бітів; але виражено у десятковому форматі,

Вісімковий

Шістнадцятковий.

Ці альтернативні формати краще пояснити, використовуючи приклад. Розглянемо, як URL перетворюється на IP-адресу 210.134.161.35. Це може інтерпретуватися як:

Десяткова кількість -

Dword - http:// 3532038435/

Вісімковий -

Шістнадцятковий - або навіть

У деяких випадках можна навіть змішати формати (наприклад, ).

Підміна URL

Щоб гарантувати підтримку місцевих мов у програмному забезпеченні Internet типу веб-браузерів, більшість програмного забезпечення підтримує додаткові системи кодування даних.

Кроссайтові сценарії

Типові формати XSS ін'єкції в достовірну URL-адресу включають:

Повна заміна HTML типу: mybank . com / ebanking ? URL=http://evilsite.com/phishing/fakepage.htm>

Вбудоване використання сценарію типу: http:// mybank . com / ebanking ? Page=1*client = СЦЕНАРІЙ > evilcode ...

Наприклад, клієнт отримав наступну URL-адресу за допомогою електронного фішинг-листа:

У той час як клієнт дійсно спрямований і пов'язаний з реальним MyBank-додатком мережі через помилкове кодування додатком банком, компонент ebankingприйме URL для вставки в межах поля URLповерненої сторінки. Замість програми, що забезпечує розпізнавальну форму MyBank, впроваджену в межах сторінки, нападник пересилає клієнта до сторінки під керуванням на зовнішньому сервері ( evilsite. com/ phishing/ fakepage. htm> ).

Смішинг

Онлайнові шахраї останнім часом освоюють новий для себе напрямок – атаки на мобільні телефони. Випадки масового розсилання SMS, які заманюють користувачів на заздалегідь підготовлені інфіковані сайти, спостерігалися, наприклад, в Ісландії та Австралії. У тексті фальшивої SMS користувачеві повідомляється про те, що він підписаний на платну послугу і з його рахунку утримуватиметься 2 дол. щодня і якщо він хоче відмовитися від цієї послуги, то повинен зайти на сайт. На сайті користувачів чекає троянська програма, написана на VBS, яка відкриває хакерам лазівку на заражений нею комп'ютер і починає автоматичне розсилання SMS на випадкові номери через відповідні web-сервіси двох стільникових операторів в Іспанії.

Фармінг

Фармінг - це перенаправлення жертви на хибну адресу. І тому може використовуватися якась навігаційна структура (файл hosts, система доменних імен - domain name system, DNS).

Як це відбувається?

Механізм фармінгу має багато спільного із стандартним вірусним зараженням. Жертва відкриває поштове повідомлення або відвідує веб-сервер, на якому виконується вірус-сценарій. При цьому спотворюється файл hosts. Шкідлива програма може містити вказівники URL багатьох банківських структур. В результаті механізм перенаправлення активізується, коли користувач набирає адресу, що відповідає його банку. В результаті жертва потрапляє на один із хибних сайтів.

Механізмів захисту від фармінгу на сьогоднішній день просто не існує. Необхідно уважно стежити за поштою, регулярно оновлювати антивірусні бази, закрити вікно попереднього перегляду в поштовому клієнті і т.д.

"Вішинг"

У липні 2006 року з'явився новий різновид фішингу, який одразу отримав назву «вішинг».

"Вішинг" (vishing) названий так за аналогією з "фішингом" - поширеним мережевим шахрайством, коли клієнти будь-якої платіжної системи отримують повідомлення електронною поштою нібито від адміністрації або служби безпеки даної системи з проханням вказати свої рахунки, паролі тощо. . При цьому посилання у повідомленні веде на підроблений сайт, на якому відбувається крадіжка інформації. Сайт цей знищується через деякий час, і відстежити його творців в Інтернеті досить складно

Схеми обману, загалом, ідентичні, лише у разі вишинга у повідомленні міститься прохання зателефонувати певний міський номер телефону. При цьому зачитується повідомлення, де потенційну жертву просять повідомити свої конфіденційні дані.

Власників такого номера знайти не просто, тому що з розвитком Internet-телефонії дзвінок на міський номер може бути автоматично перенаправлений у будь-яку точку земної кулі. Той, хто телефонує, про це не здогадується.

Згідно з інформацією від Secure Computing, шахраї конфігурують "war dialler" ("автонабирач"), який набирає номери у певному регіоні і, коли на дзвінок відповідають, відбувається таке:

Автовідповідач попереджає споживача, що з його карткою здійснюються шахрайські дії, і дає інструкції - зателефонувати за певним номером негайно. Це може бути номер 0800, часто з вигаданим ім'ям фінансової організації, що дзвонив від імені;

Коли за цим номером телефонують, на іншому кінці дроту відповідає типово комп'ютерний голос, що повідомляє, що людина повинна пройти звірку даних і ввести 16-значний номер картки з клавіатури телефону;

Як тільки номер запроваджено, «вішер» стає власником всієї необхідної інформації (номер телефону, повне ім'я, адреса), щоб, наприклад, накласти на карту штраф;

Потім, використовуючи цей дзвінок, можна зібрати додаткову інформацію, таку як PIN-код, термін дії картки, дата народження, номер банківського рахунку тощо.

Як захиститись від цього? Насамперед, за допомогою здорового глузду, а саме:

Ваш банк (або кредитна компанія, картою якої ви користуєтеся) зазвичай звертається до клієнта на ім'я та прізвище, як по телефону, так і електронною поштою. Якщо це не так, то, швидше за все, це шахрайство;

Не можна дзвонити з питань безпеки кредитної картки або банківського рахунку за запропонованим номером телефону. Для дзвінків в екстрених випадках вам надається телефонний номер на зворотному боці платіжної картки. Якщо дзвінок є законним, то в банку зберігається його запис і вам допоможуть;

Якщо ж вам дзвонить хтось, що представляється вашим провайдером і ставить запитання щодо ваших конфіденційних даних - повісьте слухавку.

, http:// www. itacademy. com. ua

Словник

Фішинг(англ. phishing, від password- пароль та fishing- риболовля, вивужування) - вид Internet-шахрайства, мета якого - отримати ідентифікаційні дані користувачів. Організатори фішинг-атак використовують масові розсилки електронних листів від імені найпопулярніших сайтів. У ці листи вони вставляють посилання на фальшиві сайти, які є точною копією справжніх. Опинившись на такому сайті, користувач може повідомити злочинцям цінну інформацію, що дозволяє керувати його рахунком з Інтернету (ім'я користувача та пароль для доступу), або навіть номер своєї кредитної картки.

Вішінг- (Vishing) названий за аналогією з "фішингом". Схеми, за якими дурять користувачів, в обох випадках схожі, тільки у випадку "вішингу" в повідомленні міститься прохання не зайти на сайт, а зателефонувати на міський телефонний номер. Тим, хто зателефонував йому, зачитується повідомлення з проханням повідомити конфіденційні дані.

Фармінг- при фармінг хакери перенаправляють Internet-трафік з одного сайту на інший, що має ідентичний вигляд, щоб обманом змусити користувача ввести ім'я користувача і пароль в базу даних на фальшивому сервері.