ebib 
Nr 4/2010 (113), Cyberkłopoty i pułapki sieci. Artykuł
 poprzedni artykuł następny artykuł   

 


Dominik Mirosław Piotrowski
Biblioteka Uniwersytecka w Toruniu

Bibliotekarzu! Strzeż się phishingu!


Współczesny skok na bank nie przypomina już znanych nam dobrze brawurowych akcji z klasycznych kryminałów. W dobie Internetu cybernetyczni przestępcy nie muszą już składać osobistych „wizyt” w bankach, lecz działając zdalnie poprzez swój komputer, przełamują wszelkie zabezpieczenia. Te kluczowe, współczesne działania przestępcze skierowane są nie tyle na bank, lecz na samego klienta!

Dlaczego phishing jest groźny?

Phishing to wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Phishing wpisuje się w techniki związane z inżynierią społeczną, która stanowi zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę.


Rys. 1. Phishing.
Źródło: www.sxc.hu[1]

Pojęcie phishing powstało w latach 90., kiedy hakerzy, podszywając się pod pracowników firmy OAL, wysyłali wiadomości e-mail z prośbą o podanie hasła w celu rzekomej weryfikacji konta. Phisher, czyli osoba zajmująca się pishingiem, wysyła listy do wielu osób, wykorzystując w tym celu pocztę e-mailową W treści listu nakłania swoje ofiary do odwiedzenia przygotowanej przez siebie strony internetowej, imitującej np. serwis banku[2].


Rys. 2. Phisher.
Źródło: www.sxc.hu

Phisher, udając pracownika banku, informuje o możliwości zablokowania konta w wypadku nieodwiedzenia bankowej strony internetowej i niewprowadzenia osobistych danych. Innymi metodami używanymi przez phisherów jest stosowanie programów typu spyware lub rejestratorów klawiatury w celu przechwycenia danych wpisywanych przez potencjalne ofiary[3].


Rys. 3. Fałszywa wiadomość e-mail wysłana z rzekomego banku.
Źródło: opracowanie własne.

Phishing, dzięki łatwym mechanizmom działania, staje się coraz częstszą formą hakerskiego ataku. Liczba fałszywych stron w sieci stale rośnie, a profil branży traci powoli na znaczeniu. Coraz więcej ataków odnotowuje się w popularnych serwisach społecznościowych WEB 2.0, w których użytkownicy sami chętnie ujawniają swoje dane. Obecnie preparuje się nie tylko serwisy banków, ale nawet serwisy dla dzieci. Fałszywe witryny lub wiadomości e-mailowe to prawdziwa plaga naszych czasów.

Phishing zagrożeniem dla serwisów społecznościowych Web 2.0

Od niedawna problem ataków i zagrożenia cyberprzestępczością staje się zauważalny także w serwisach społecznościowych cieszących się dużą popularnością. Serwisy te, stają się obecnie częstym celem cyberataków ze względu na setki milionów aktywnych użytkowników oraz ogólnoświatowy zasięg. Powoduje to, że społeczności internetowe narażone są na działania przestępców zajmujących się kradzieżą niejawnych informacji za pomocą wyrafinowanych metod socjotechnicznych[4]. Za sztandarowy uznać można przykład z polskiego podwórka – mam na myśli atak na użytkowników serwisu Nasza-Klasa. W 2008 r. użytkownicy Naszej-Klasy dostali wiadomości e-mailowe zachęcające do kliknięcia na link prowadzący do strony z wiadomością lub zdjęciem znajomego. Po wejściu na tę stronę okazywało się, że aby ją wyświetlić, należy pobrać aktualną wersję programu Flash Player, który w rzeczywistości był szkodliwym wirusem[5]. Nader podobny mechanizm wykorzystali cyberprzestępcy, atakując użytkowników serwisu Fotka.pl. Tam również rozesłano wiadomości z informacją o tym, że ktoś komu przypadliśmy do gustu, chce się z nami skontaktować. Po kliknięciu na link umieszczony w wiadomości wyświetlał się komunikat z propozycją aktualizacji Flash Playera. Naturalnie rzekomy odtwarzacz plików Flash był złośliwym wirusem.


Rys. 4. Nasza-Klasa - fałszywa wiadomość.
Źródło: http://di.com.pl/news/20483,0,Falszywe_e-maile_takze_od_Naszej-Klasy.html.

W 2009 r. doszło do kradzieży tysięcy haseł serwisu Wykop.pl, co przełożyło się na zagrożenie kradzieżą tożsamości wielu użytkowników. Zagrożone są nie tylko polskie portale, ale w szczególności globalne, takie jak Facebook, Twitter czy MySpace. Zauważa się wyraźny wzrost liczby prób wyłudzeń danych w tych serwisach. Użytkownicy otrzymują spreparowane wiadomości e-mailowe, w których proszeni są o aktualizację konta lub zresetowanie hasła. Dodatkowo spreparowane wiadomości mają hiperłącza do zainfekowanych plików lub do stron mających za zadanie wyłudzenie danych.


Rys. 5. Spreparowana wiadomość wysyłana do użytkowników serwisu Facebook.
Źródło: http://www.symantec.com/connect/blogs/users-social-networking-websites-face-malware-and-phishing-attacks.

Niebezpieczeństwo wykradania danych jest powszechne, ponieważ jak ilustrują powyższe przykłady, dotyczy wszystkich internautów korzystających z serwisów społecznościowych. Na podstawie wyników ankiety Bezpieczeństwo w społecznościach internetowych (Bringing Social Security to the Online Community), realizowanej on-line w drugim kwartale 2009 r. w USA, należy stwierdzić, że bardzo niewielu użytkowników sieci zabezpiecza się przed cyberprzestępstwami[6]. Z ankiety wynika, że prawie każdy korzysta z portalu społecznościowego (86% z 250 badanych osób), przy czym:

  • 64% respondentów zmienia hasło nieregularnie lub wcale,
  • 57% nie dostosowuje ustawień prywatności,
  • 90% nie informuje administratora o napotkanych zagrożeniach,
  • 21% użytkowników akceptuje zaproszenia osób nieznanych,
  • 64% klika na nadesłane linki,
  • 26% osób udostępnia pliki znajomym z serwisu[7].

Ataki phishing stają się coraz częstsze. Centrum przeciwdziałania oszustwom internetowym (Anti-Fraud Command Center) zarejestrowało w okresie od sierpnia do października 2009 r. najwyższe z dotychczas odnotowanych wskaźników intensywności ataków phishingu[8]. Z tego względu ważne jest, aby umiejętnie i bezpiecznie korzystać z ulubionych serwisów Web 2.0. Poniżej podano kilka reguł, dzięki którym można funkcjonować bezpieczniej:

  • wyłącz opcję zapamiętywania haseł,
  • nie pozwalaj znajomym logować się do twojego komputera i unikaj logowania się na swoje konto z komputera innego użytkownika,
  • nigdy nie udostępniaj swoich danych personalnych i finansowych, serwisy społecznościowe ich nie wymagają,
  • co najmniej raz na tydzień czyść historię przeglądanych stron,
  • pamiętaj o zmianie swojego hasła przynajmniej raz w miesiącu,
  • blokuj wyskakujące okna lub zainstaluj program skanujący strony internetowe, który kontroluje bezpieczeństwo witryn, jeszcze przed kliknięciem na hiperłącze,
  • nie zmieniaj hasła w odpowiedzi na wiadomość, w której jesteś o to proszony,
  • nie akceptuj zaproszeń od osób, których nie znasz[9].

Robaki pocztowe i trojany w służbie phishingu

Cyberprzestępcy nie poprzestają na preparowaniu wiadomości e-mailowych oraz podrabianiu stron internetowych. Do przeprowadzania ataków w celu pozyskania naszych poufnych danych stosują wyrafinowany mechanizm, używając oprogramowania, takiego jak robaki pocztowe oraz konie trojańskie. Złośliwe aplikacje w połączeniu z klasycznymi metodami phishingu stają się niebywale groźne, a obecnie służą przede wszystkim do kradzieży danych.


Rys. 6. Robak komputerowy.
Źródło: http://www.iconfinder.com.

Robak komputerowy jest samodzielnym programem, który rozprzestrzenia się we wszystkich sieciach podłączonych do zarażonego komputera poprzez wykorzystanie luk w systemie operacyjnym. Koń trojański (trojan) zaś, to określenie oprogramowania, które udając inne oprogramowanie, umożliwia przejęcie kontroli nad zainfekowanym komputerem. Trojan jest odmianą wirusa komputerowego, bardzo trudną do wykrycia. W przeciwieństwie do wirusa często nie powiela się samodzielnie, lecz instaluje się na dysku jedynie poprzez program będący jego nosicielem[10].


Rys. 7. Wirus komputerowy.
Źródło: http://www.iconfinder.com.

Wiele robaków pocztowych i koni trojańskich zaopatrzono w tzw. keylogger, czyli aplikację spyware, która rejestruje wszystkie uderzenia w klawiaturę i pozwala przestępcom na przechwytywanie poufnych danych użytkownika. Keylogger filtruje dane w poszukiwaniu haseł i informacji dotyczących kart kredytowych. Obroną przed szkodliwym oprogramowaniem jest zainstalowanie programu antywirusowego oraz regularne aktualizacje systemu operacyjnego. Zwykła instalacja aktualizacji może znacznie ograniczyć rozprzestrzenianie się szkodników. Programów antywirusowych jest wiele, jednak na uwagę zasługuje darmowy AVG Anti-Virus Free Editio, który zapewnia podstawowe, lecz dobre zabezpieczenie przed wirusami i trojanami.


Rys. 8. AVG Anti-Virus Free Edition.
Źródło: http://2aali.files.wordpress.com/2009/01/188143_large.jpeg.

Ataki typu spear phishing

Kolejnym zagrożeniem jest tzw. spear phishing, czyli phishing profilowany. Jest to odmiana phishingu, którego celem jest wyłudzenie informacji od ściśle określonej grupy osób, np. pracowników danej firmy, członków agencji rządowej lub organizacji. Osoby dokonujące ataków typu spear phishing wysyłają do konkretnej osoby wiadomość e-mailową, która wygląda na oryginalną i prawdziwą[11]. Odbiorca wiadomości może pomyśleć, że była ona wysłana przez szefa lub kolegę z pracy. Taki e-mail jest starannie przygotowany i może zawierać prośbę o podanie nazw użytkowników lub haseł. W ten sposób oszuści starają się wyłudzić informacje oraz próbują przekonać ludzi do ujawnienia poufnych danych. Metoda ta jest bardziej efektywna z tego względu, że wiadomość przesyłana jest do konkretnej osoby z wykorzystaniem informacji firmowych. Dlatego też może spowodować uśpienie czujności ofiary, która przestaje mieć się na baczności.


Rys. 9. Spear phishing.
Źródło: www.sxc.hu.

Celem takiego ataku może stać się administrator systemu komputerowego danej organizacji, który w otrzymanej wiadomości wymieniany jest z imienia i nazwiska. Informacje te mogą pochodzić z wywiadu lub włamań do baz. Celem spear phishingu wysyłanego do administratorów jest stworzenie dziur w systemie bezpieczeństwa firmy. Wiadomości tego typu zawierają prośby o wyłączenie firewalla, specjalne skonfigurowanie serwera pocztowego lub udostępnienie określonych zasobów sieciowych[12]. Phishing profilowany wpisuje się w metody inżynierii społecznej i może być groźny także dla bibliotekarzy pracujących w dziale komputeryzacji. Należy pamiętać, że na ataki narażone są często osoby mające wysoką pozycję w organizacji. Ofiarą ataku może stać się np. pracownik odpowiedzialny za system biblioteczny lub administrator sieci czy też bibliotecznego serwisu WWW. Niemniej ataków spear phishingu można uniknąć, stosując się do poniższych zasad:

  • nie otwieraj hiperłączy znajdujących się w treści listu, w którym prosi się o podanie osobistych lub finansowych informacji,
  • zanim odpowiesz na wiadomość, skontaktuj się z osobą wyświetloną w polu od (from),
  • jeśli używasz przeglądarki Internet Explorer, to zaktualizuj ją do wersji 8, ponieważ zawiera ona filtr witryn wyłudzających informacje,
  • jeśli podejrzewasz, że e-mail może być próbą phishingu profilowanego, należy zgłosić to przełożonemu,
  • nigdy nie ujawniaj informacji osobistych i finansowych w odpowiedzi na e-mail[13].

Na zakończenie kilka cennych rad obronnych

Do walki z procederem phishingu powołane zostało konsorcjum The Anti-Phishing Working Group (APWG), które jest międzynarodową organizacją skupiającą firmy podatne na ataki phishingowe, pharmingowe czy spoofingowe. Głównym celem APWG jest walka z nadużyciami finansowymi. The Anti-Phishing Working Group przedstawiła listę zaleceń, jakich należy przestrzegać w celu uniknięcia phishingu. Znajdują się wśród nich następujące:

  • nie ufaj żadnej wiadomości zawierającej prośbę udostępnienia informacji osobistych,
  • nie klikaj w linki zawarte w wiadomościach e-mailowych, jeśli podejrzewasz, że list może nie być autentyczny lub gdy nie znasz nadawcy,
  • unikaj wypełniania formularzy w wiadomościach e-mailowych, które zawierają prośbę o wpisanie osobistych informacji finansowych,
  • podczas wpisywania poufnych informacji w przeglądarce internetowej upewniaj się, że znajdujesz się na bezpiecznej stronie (żółta kłódka w prawym dolnym rogu przeglądarki oraz zielony kolor w pasku adresu informują o bezpiecznym połączeniu),
  • regularnie loguj się do swoich kont on-line,
  • regularnie sprawdzaj stan konta oraz monitoruj wszystkie transakcje on-line,
  • upewnij się, czy korzystasz z aktualnej wersji przeglądarki[14].


Rys. 10. Phishing.
Źródło: www.sxc.hu.

Przypisy

[1] Wszystkie odesłania do stron internetowych przedstawiają wersję aktualną w dniu 05.04.2010 r.

[2] BANACH, A. Phishing zagrożeniem dla e-biznesu [on-line]. [Dostęp 18 kwietnia 2010]. Dostępny w World Wide Web: http://www.e-mentor.edu.pl/artykul_v2.php?numer=12&id=227.

[3] Tamże.

[4] PETERSEM, J. Nie ufamy już serwisom społecznościowym [on-line]. [Dostęp 11 kwietnia 2010]. Dostępny w World Wide Web: http://komputerwfirmie.gazeta.pl/itbiznes/1,54785,7538904,Nie_ufamy_juz_serwisom_spolecznosciowym.html.

[5] WASILEWSKA-ŚPIOCH, A. Ceńmy swoje dane - serwisy społecznościowe a bezpieczeństwo [on-line]. [Dostęp 7 kwietnia 2010]. Dostępny w World Wide Web: http://webmade.org/wiadomosci/serwisy-spolecznosciowe-zagrozenia-phishing.php.

[6] Serwisy społecznościowe najbardziej zagrożone. Komputer w Firmie: Czasopismo Nowych Technologii [on-line]. [Dostęp 7 kwietnia 2010]. Dostępny w World Wide Web: http://www.komputerwfirmie.org/article/Serwisy_spolecznosciowe_najbardziej_zagrozone.htm.

[7] Tamże.

[8] Nie ufamy już serwisom społecznościowym. W: finansowy.wroclaw.pl [on-line]. [Dostęp 7 kwietnia 2010]. Dostępny w World Wide Web: http://www.finansowy.wroclaw.pl/content/nie-ufamy-ju%C5%BC-serwisom-spo%C5%82eczno%C5%9Bciowym.

[9] Serwisy społecznościowe… dz. cyt.

[10] Koń trojański. W: Onet WIEM [on-line]. [Dostęp 7 kwietnia 2010]. Dostępny w World Wide Web: http://portalwiedzy.onet.pl/135727,,,,kon_trojanski,haslo.html.

[11] Ataki typu spear phishing: oszustwa ze ściśle określoną grupą docelową - e-bankowość. W: Onet.pl Bezpieczeństwo [on-line]. [Dostęp 11 kwietnia 2010]. Dostępny w World Wide Web: http://bezpieczenstwo.onet.pl/1568990,item,0,Ataki_typu_spear_phishing:_oszustwa_ze_scisle_okreslona_grupa_docelowa,ebankowosc.html.

[12] NIEMIROWSKI, G. Phishing kierowany do administratorów [on-line]. [Dostęp 11 kwietnia 2010]. Dostępny w World Wide Web: http://www.dobreprogramy.pl/Phishing-kierowany-do-administratorow,Aktualnosc,16917.html.

[13] Ataki typu spear phishing… dz. cyt.

[14] Consumer Advice: How to Avoid Phishing Scam. W: APWG [on-line]. [Dostęp 14 kwietnia 2010]. Dostępny w World Wide Web: http://www.antiphishing.org/consumer_recs.html.

Literatura

1. Ataki typu spear phishing: oszustwa ze ściśle określoną grupą docelową - e-bankowość. W: Onet.pl Bezpieczeństwo [on-line]. [Dostęp 11 kwietnia 2010]. Dostępny w World Wide Web:
http://bezpieczenstwo.onet.pl/1568990,item,0, Ataki_typu_spear_phishing:_oszustwa_ze_scisle_okreslona_grupa_docelowa,ebankowosc.html.

2. BANACH, A. Phishing zagrożeniem dla e-biznesu [on-line]. [Dostęp 18 kwietnia 2010]. Dostępny w World Wide Web: http://www.e-mentor.edu.pl/artykul_v2.php?numer=12&id=227.

3. Consumer Advice: How to Avoid Phishing Scam. W: APWG [on-line]. [Dostęp 14 kwietnia 2010]. Dostępny w World Wide Web: http://www.antiphishing.org/consumer_recs.html.

4. GAJEWSKI, M. Phishing - łowienie naiwnych [on-line]. [Dostęp 11 kwietnia 2010]. Dostępny w World Wide Web:
http://technologie.gazeta.pl/technologie/1,94881,7272325,Phishing___lowienie_naiwnych.html.

5. JANUS, R., DELIO, M. Niebezpieczne wędkowanie. PC World Komputer 2005, nr 4. ISSN: 1232-3004.

6. Koń trojański. W: Onet WIEM [on-line]. [Dostęp 7 kwietnia 2010]. Dostępny w World Wide Web:
http://portalwiedzy.onet.pl/135727,,,,kon_trojanski,haslo.html.

7. Kreatywność cyberprzestępców nie zna granic. W: Bezpieczeństwo – Dziennik Internautów z dnia 13-12-2007, [on-line]. [Dostęp 12 kwietnia 2010]. Dostępny w World Wide Web:
http://di.com.pl/news/18445,0,Kreatywnosc_cyberprzestepcow_nie_zna_granic.html.

8. MAJ, M. Fałszywe e-maile także od Naszej-Klasy. W: Bezpieczeństwo – Dziennik Internautów [on-line]. [Dostęp 14 kwietnia 2010]. Dostępny w World Wide Web:
http://di.com.pl/news/20483,0,Falszywe_e-maile_takze_od_Naszej-Klasy.html.

9. MITNICK, K., SIMON, W. L. Sztuka podstępu. Łamałem ludzi, nie hasła. Gliwice: Helion, 2003. ISBN: 83-7361-116-9.

10. Nie ufamy już serwisom społecznościowym. W: finansowy.wroclaw.pl [on-line]. [Dostęp 7 kwietnia 2010]. Dostępny w World Wide Web:
http://www.finansowy.wroclaw.pl/content/nie-ufamy-ju%C5%BC-serwisom-spo%C5%82eczno%C5%9Bciowym.

11. NIEMIROWSKI, G. Phishing kierowany do administratorów [on-line]. [Dostęp 11 kwietnia 2010]. Dostępny w World Wide Web:
http://www.dobreprogramy.pl/Phishing-kierowany-do-administratorow,Aktualnosc,16917.html.

12. PETERSEM, J. Nie ufamy już serwisom społecznościowym [on-line]. [Dostęp 11 kwietnia 2010]. Dostępny w World Wide Web:
http://komputerwfirmie.gazeta.pl/itbiznes/1,54785,7538904,Nie_ufamy_juz_serwisom_spolecznosciowym.html.

13. PHISHING – rezultaty wyszukania w najnowszych wiadomościach gospodarczych i finansowych. W: Gazeta.pl Gospodarka [on-line]. [Dostęp 14 kwietnia 2010]. Dostępny w World Wide Web: http://info.gospodarka.gazeta.pl/szukaj/gospodarka/phishing.

14. Serwisy społecznościowe najbardziej zagrożone. Komputer w Firmie: Czasopismo Nowych Technologii [on-line]. [Dostęp 7 kwietnia 2010]. Dostępny w World Wide Web:
http://www.komputerwfirmie.org/article/Serwisy_spolecznosciowe_najbardziej_zagrozone.htm.

15. SOSNOWSKA, J., Phishing - na celowniku Facebook oraz MySpace [on-line]. [Dostęp 11 kwietnia 2010]. Dostępny w World Wide Web:
http://technologie.gazeta.pl/technologie/1,85253,7250036,Phishing___na_celowniku_Facebook_oraz_MySpace.html.

16. WASILEWSKA-ŚPIOCH, A. Ceńmy swoje dane - serwisy społecznościowe a bezpieczeństwo [on-line]. dodano: 2008-10-05. [Dostęp 7 kwietnia 2010]. Dostępny w World Wide Web:
http://webmade.org/wiadomosci/serwisy-spolecznosciowe-zagrozenia-phishing.php.

 Początek strony



Bibliotekarzu! Strzeż się phishingu! / Dominik Mirosław Piotrowski // W: Biuletyn EBIB [Dokument elektroniczny] / red. naczelny Bożena Bednarek-Michalska - Nr 4/2010 (113) maj. - Czasopismo elektroniczne. - [Warszawa] : Stowarzyszenie Bibliotekarzy Polskich KWE, 2010. - Tryb dostępu: http://www.ebib.info/2010/113/a.php?piotrowski. - Tyt. z pierwszego ekranu. - ISSN 1507-7187