Nauka w świecie cyfrowym okiem młodego inżyniera – phishing w mediach elektronicznych | Politechnika Gdańska

Treść strony

Aktualności

Data dodania: 2021-12-14

Nauka w świecie cyfrowym okiem młodego inżyniera – phishing w mediach elektronicznych

hacer
Phishing to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych danych, zainstalowania szkodliwego oprogramowania bądź też nakłonienia ofiary do wykonania określonych zadań. Jest to przestępstwo wykorzystujące zarówno metody socjotechniczne, jak i sztuczki technologiczne do osiągnięcia zaplanowanego celu. Działania hakerów żerują na nieostrożnych ofiarach, skłaniając je do uwierzenia, że mają do czynienia z zaufanym źródłem.

Istnieje wiele metod oraz mediów, które atakujący mogą wykorzystać do przeprowadzenia ataku. Jedną z najpowszechniejszych taktyk są wiadomości e-mailowe zawierające treści mające na celu przestraszenie lub zdezorientowanie ofiary, dzięki czemu traci ona czujność, a atak ma większe szanse na powodzenie.
W wiadomości takiej znajdują się również linki bądź załączniki, które wyglądają wiarygodnie, ale prowadzą do niebezpiecznych stron lub instalują złośliwe oprogramowanie w celu bezpośredniej kradzieży danych uwierzytelniających. Często dzieje się to przy użyciu systemów, które przechwytują nazwy użytkowników i hasła kont użytkownika lub błędnie przekierowują go do fałszywych witryn internetowych, które wymagają podania danych.

Gdy atakującemu uda się przechytrzyć ofiarę i wykraść potrzebne mu dane, może on następnie wykorzystać je do przeprowadzenia ataku socjotechnicznego bądź do dalszych kradzieży innych informacji powiązanych z ofiarą. Atak może mieć bardzo poważne skutki. W przypadku osób fizycznych są to zazwyczaj kradzież funduszy, nieautoryzowane zakupy czy też podszywanie się pod ofiarę celem wyłudzenia różnych informacji.
W przypadku organizacji instytucja ulegająca atakowi, oprócz spadku udziału w rynku, reputacji i zaufania konsumentów, zazwyczaj ponosi również poważne straty finansowe.

Przeprowadzenie takiego ataku nie wymaga posiadania zaawansowanej wiedzy technicznej, co czyni go jednym z najprostszych ataków cybernetycznych. Jednocześnie dzięki wykorzystaniu sprytnych technik informatyki społecznej oraz coraz nowszym metodom jest on również jednym z najbardziej niebezpiecznych i skutecznych rodzajów. To między innymi dlatego, że atakuje on najbardziej wrażliwy i potężny komputer na świecie – ludzki mózg,a to zazwyczaj właśnie człowiek jest najsłabszym ogniwem w systemie bezpieczeństwa.

Historia ataków phishingowych

Ewolucja ataków phishingowych, ich skala oraz wiele różnorodnych metod wykorzystywanych do przechytrzenia ofiar sprawiły, że są one jednymi z najpoważniejszych zagrożeń cybernetycznych. Wraz z rozwojem Internetu oraz wszechobecnego dostępu do sieci wzrastają zarówno możliwości hakerów, jak i liczba poszkodowanych. Oszustwa i podstępy istnieją w naszym świecie od wieków. Jednym z najpopularniejszych historycznych przykładów jest wielki koń zbudowany w trakcie wojny trojańskiej, w którym schowali się Achajowie, by przechytrzyć Trojan. Podarunek ten miał pozorować odstąpienie od oblężenia, a w rzeczywistości doprowadził do zdobycia miasta. Gdyby nie wielki spryt, a z drugiej strony naiwność ludzka, bieg wydarzeń mógłby być zupełnie inny. Podobne czynniki mają wpływ na skuteczność ataków phishingowych, a nasze systemy informatyczne w dzisiejszych czasach są odwzorowaniem murów twierdzy trojańskiej.

Pierwsze użycie słowa phishing w mediach drukowanych pojawiło się w artykule napisanym przez Eda Stansela dla Florida Tense Studio opublikowanym 16 marca 1997 roku. Ostrzegał on wówczas czytelników słowami „Nie dajcie się nabrać internetowym phisherom, którzy polują na dane kont”. Łatwo można zauważyć, że nazwa phishing przywołuje skojarzenie ze słowem fishing – czyli z języka angielskiego – łowieniem ryb. Porównanie to jest niezwykle trafne, ponieważ zarówno w trakcie jednej, jak i drugiej czynności atakujący stosuje przynętę w celu zwabienia ofiary.
Litera f została zastąpiona przez ph, co jest jedną z zasad w slangu używanym przez hakerów nazywanym Haxor lub też Leetspeak. W żargonie tym zastępuje się standardowe litery odpowiadającymi im znakami ASCII. Zniekształcenia te powstały w wyniku prób uniknięcia cenzury, która nakładana jest przez niektórych usługodawców sieciowych na treści niezgodne z obowiązującym prawem, a wzrost popularności zawdzięcza forom oraz grom internetowym.
Uważa się, że pochodzenie słowa phishing jest rozszerzeniem słowa phreaking. Phreaking został wymyślony przez Johna Drapera, który stworzył niesławny blue box, czyli urządzenie emitujące sygnały dźwiękowe i umożliwiające włamywanie się do systemów telefonicznych na początku lat 70. Phreaking to łamanie zabezpieczeń sieci telefonicznych, najczęściej w celu wykonania darmowych lub tańszych połączeń. Ten rodzaj oszustwa przeobraził się w pierwsze ataki phishingowe, które przyniosły za sobą dużo większe zagrożenie.

Najwcześniejsze zarejestrowane oszustwa phishingowe dotyczyły kradzieży danych uwierzytelniających użytkowników firmy America Online (AOL), wiodącego dostawcy usług internetowych w latach 90. ubiegłego wieku. Wówczas ludzie korzystali z Internetu dzięki wykorzystaniu modemów telefonicznych. Po podłączeniu się do dostawcy użytkownicy podawali nazwę użytkownika oraz hasło, a następnie usługodawca pobierał opłaty za każdą wykorzystaną minutę. Pierwsze ataki, które dziś klasyfikujemy jako phishingowe, rozpoczęły się w 1994 roku z wykorzystaniem komunikatora AOL Instant Messenger.
Hakerzy korzystali z tymczasowych kont, podając fałszywe dane kart kredytowych, i mieli dostęp do Internetu, dopóki dane ich konta nie zostały zweryfikowane, a konto zablokowane, co następowało zazwyczaj w ciągu pięciu minut. W tym czasie mogli oni odnaleźć potencjalne ofiary i uzyskać dostęp do kont, które zapewniały im stały dostęp do usługi. Dzięki zdobyciu danych uwierzytelniających do konta innego użytkownika sieci sprytni oszuści internetowi mogli korzystać z nielimitowanego, bezpłatnego połączenia internetowego, obciążając tym samym konto ofiary. Osoby poszkodowane mogły nie wiedzieć o tym, że są okradane, nawet przez kilka miesięcy, ponieważ pieniądze były pobierane bezpośrednio z ich kart kredytowych. Dodatkowo skradzione dane kart kredytowych pozwalały hakerom również na tworzenie kont w innych serwisach internetowych, które wymagały weryfikacji danych rozliczeniowych.

Najpopularniejszą metodą kradzieży danych było wykorzystywanie do tego celu czatów dostępnych poprzez komunikator AOL Instant Messenger, szczególnie tych zbierających nowych użytkowników, którzy ze względu na małe doświadczenie byli najłatwiejszym celem. Przebieg takiego ataku można opisać w pięciu krokach.

  • Uzyskanie anonimowego konta AOL przy użyciu fałszywego numeru konta bankowego czy karty kredytowej lub wykorzystanie konta, które zostało wcześniej skradzione.
  • Utworzenie oficjalnie brzmiącej nazwy użytkownika wyświetlanej na ekranie.
  • Napisanie wiadomości, która będzie służyć za przynętę dla ofiary i skłoni ją do przekazania swoich danych logowania. Taka wiadomość powinna wyjaśniać użytkownikom potrzebę weryfikacji ich haseł lub informacji rozliczeniowych.
  • Odnalezienie pokoju rozmów dla nowych użytkowników i otwarcie jego listy użytkowników.
  • Wysłanie prywatnej wiadomości zawierającej stworzoną wiadomość do każdej osoby w pokoju.

Dwa ostatnie kroki powtarzane były do czasu, aż konto zostało zablokowane przez pracowników AOL. Choć darmowy dostęp do usług internetowych można już było uzyskać dzięki podaniu fałszywych danych karty kredytowej, stworzone w ten sposób konta były dostępne jedynie przez kilka minut.
Koceilah Rekouche, znany pod pseudonimem „Da Chronic”, w 1994 roku w wieku 16 lat postanowił dołączyć do społeczności hakerskiej działającej na platformie AOL i przeprowadzającej opisane ataki. Postanowił zautomatyzować ten proces, udało mu się to osiągnąć na początku 1995 roku. Stworzony przez niego system phishingowy AOHell był pierwszym zautomatyzowanym narzędziem udostępnionym publicznie w celu dokonywania ataków oraz inspiracją do powstawania wielu kolejnych podobnych systemów. Narzędzia te były ogólnodostępne i wiele ludzi wykorzystywało je do przeprowadzania niezliczonej liczby przestępstw. To właśnie w tym programie po raz pierwszy został użyty termin phishing, który dopiero po 2 latach pojawił się w mediach drukowanych.

Prosty i przyjazny dla użytkownika interfejs oraz zawarte w nim instrukcje miały kluczowe znaczenie dla procesu, w którym phishing stał się tak powszechnym zjawiskiem. Z systemu mogły korzystać nie tylko doświadczone osoby oraz hakerzy, ale każdy użytkownik sieci. Dzięki temu duża liczba osób, które bez odpowiedniej wiedzy nie zaangażowałyby się w taką działalność, została sprawnymi złodziejami haseł oraz kart kredytowych przy niewielkim nakładzie pracy.
Pod koniec dekady ataki phishingowe zaczęły się przenosić z AOL do innych sieci,a ostatecznie zaczęły angażować zawodowych przestępców w Internecie. To, co zaczęło się jako zabawa grupy nastolatków polegająca na kradzieży haseł, przekształciło się w jedno z największych zagrożeń bezpieczeństwa systemów komputerowych dotykające ludzi, korporacje i rządy na całym świecie. Hakerzy zaczęli wykorzystywać coraz bardziej wyrafinowane metody kradzieży.

Cykl ataku phishingowego

Większość ataków phishingowych rozpoczyna się od e-maili, które mogą zostać wysłane do użytkowników losowo lub być skierowane do wybranych wcześniej grup lub osób. Jednakże skrzynka pocztowa nie jest jedynym wektorem, dzięki któremu atakujący może osiągnąć swój cel. Potencjalnymi narzędziami są komunikatory internetowe, wiadomości SMS czy rozmowy telefoniczne. Niezależnie od sposobu dostarczenia wiadomości, cały proces musi zostać dokładnie zaplanowany, aby był skuteczny.

1. Faza planowania
To pierwszy etap ataku phishingowego, w trakcie którego atakujący podejmuje wszystkie decyzje mające umożliwić wykonanie zaplanowanej akcji oraz doprowadzić do jej sukcesu. Phisher rozpoczyna swoje działania od wybrania celów oraz zgromadzenia informacji o nich. Zebranymi danymi mogą być dane osobowe, loginy, adresy e-mail czy też informacje finansowe, a posiadanie ich ma pomóc zwabić ofiary na podstawie ich słabych punktów, które wyszukiwane będą w kolejnym etapie. Celem może być zarówno jednostka, jak i grupa osób lub firma. W pierwszym przypadku użytkownicy są filtrowani i wybierani są tylko ci posiadający pewne pożądane cele. Natomiast w drugim przypadku jedyną wspólną cechą ofiar jest przynależność do tej samej społeczności lub grupy użytkowników (np. portal społecznościowy, aplikacja bankowa) lub przedsiębiorstwa. Atakujący decyduje też w tej fazie, czy obiekty ataku zostaną wybrane losowo poprzez masowe wysyłanie wiadomości, czy będą to osoby wybrane wcześniej na podstawie informacji zebranych o nich z Internetu, mediów społecznościowych lub innego, dowolnego źródła. Kolejnym zadaniem atakującego w tej fazie jest również określenie podstawowego punktu docelowego, którym może być między innymi kradzież danych uwierzytelniających lub uzyskanie wrażliwych informacji. Po zdefiniowaniu ofiar oraz głównego zamiaru atakujący wykorzystuje zgromadzone informacje do planowania i przygotowania ataku.

2.  Faza przygotowania
Po podjęciu kluczowych decyzji wypisanych w pierwszej fazie oraz zebraniu informacji o wybranych celach, phisher przystępuje do przygotowania ataku. Na tym etapie haker podejmuje decyzje o wyborze medium, którymi mogą być skrzynki pocztowe, telefony komórkowe, media społecznościowe, zainfekowane strony internetowe czy systemy bankowe. Oprócz wybrania środka, dzięki któremu dotrze do ofiary, poszukuje także jej słabych stron oraz luk w zabezpieczeniach, które mogą zostać wykorzystane do finalizacji cyberataku. Po odnalezieniu wszystkich potrzebnych informacji oraz podjęciu kluczowych decyzji phisher wybiera również jedną z metod ataku oraz tworzy potrzebne narzędzia do jego przeprowadzenia.

3.  Faza ataku
Na tym etapie wszystkie zmienne potrzebne do przeprowadzenia działań mających na celu oszukanie ofiary są już zebrane oraz przetworzone. Przy użyciu wcześniej wspomnianych technik oraz poprzez dane medium do ofiary dostarczane jest potencjalne zagrożenie w formie wybranej przez atakującego. Takimi zagrożeniami mogą być fałszywe e-maile zawierające niebezpieczne linki lub załączniki, złośliwe oprogramowanie, wiadomości SMS, połączenia telefoniczne oraz botnety. W fazie tej bezpośrednio w interakcję zaangażowana zostaje również ofiara lub grupa ofiar, do których dotarła wiadomość. To na tym etapie rozstrzygnięte zostaje, czy przynęta została złapana, a atak przebiegł zgodnie z oczekiwaniami phishera. Każdy użytkownik może zostać ofiarą poprzez kliknięcie groźnego linku, ściągnięcie załącznika ze złośliwym oprogramowaniem czy zalogowanie się swoimi danymi do fałszywego systemu.

4.  Faza wykorzystania zbiorów
W tej fazie atakujący przystępuje do kolekcjonowania zebranych informacji oraz wykorzystywania ich na własny użytek. Dane te mogą być przetworzone na wiele nielegalnych sposobów, począwszy od dokonywania płatności, przez dalsze pozyskiwanie pieniędzy bez wiedzy ofiary, kradzież tożsamości, po sprzedawanie ich dalej na czarnym rynku. Atakujący celują w szeroki zakres informacji, które mogą zostać skradzione, od zasobów materialnych aż po ludzkie życie. Na przykład atak na systemy medyczne może zakończyć się poważnym uszczerbkiem zdrowia pacjenta, jeśli dostęp do systemu zostanie zablokowany.
Phisher może zdobyć potrzebne mu dane poprzez bezpośrednie otrzymanie ich od ofiary w wyniku wejścia w interakcję oraz wymiany wiadomości albo w sposób zautomatyzowany poprzez różne dostępne techniki, na przykład wykorzystując fałszywe formularze, które wypełniane są przez użytkowników ich poufnymi danymi. Informacje dostępne na temat ofiary oraz kolejnych potencjalnych ofiar są również zbierane, między innymi z profili społecznościowych osoby poszkodowanej lub jej kontaktów, a następnie używane w celu zainicjowania kolejnych ataków.

Rodzaje phisherów

1.  Script kiddies
Terminem script kiddies w żargonie komputerowym określani są niedoświadczeni atakujący, którzy mają znikomą wiedzę techniczną lub nie mają żadnej wiedzy na temat pisania zaawansowanych programów lub tworzenia narzędzi phishingowych.
W celu przeprowadzenia ataku korzystają z rozwiązań opracowanych przez innych, bez dogłębnej znajomości zasad ich działania, w celu uzyskania nieuprawnionego dostępu lub wymuszenia informacji. Choć termin w języku angielskim oznacza „skryptowe dzieciaki”, mianem tym nie nazywa się jedynie dzieci oraz nastolatków i nie odnosi się on do faktycznego wieku phishera, a jedynie do motywacji, które nim kierują. Ich włamania są zazwyczaj kierowane chęcią zabawy, brakiem innego zajęcia bądź poszukiwaniem uznania wśród innych początkujących hakerów. Script kiddies nie ograniczają się jednak tylko do czerpania radości z phishingu, ale mogą również spowodować poważne szkody.

W lutym 2000 roku kanadyjski piętnastolatek Michael Calce, znany pod pseudonimem „MafiaBoy”, wykonał serię ataków DDoS na serwery między innymi takich firm jak Yahoo!, Dell, CNN, eBay oraz Amazon. Straty poniesione na skutek jego działań zostały wycenione na ponad 1,7 miliarda dolarów amerykańskich. Adwokat chłopaka w celu obrony udowodnił przed sądem, że ataki DDoS nie wymagają większych umiejętności informatycznych, a programy, które zostały przez oskarżonego użyte, były dostępne publicznie w Internecie. Calce przyznał się do większości zarzucanych mu czynów i został skazany na 8 miesięcy otwartego aresztu, rok w zawieszeniu, ograniczenie w korzystaniu z Internetu. Ostatecznie musiał zapłacić niewielką grzywnę.

2.  Black hat hackers
Mianem tym można opisać hakerów, którzy przeprowadzają zaawansowane ataki w złośliwych celach. Kradną dane kont, kart kredytowych, niszczą ważne pliki lub sprzedają ukradzione dane dla osobistych korzyści, najczęściej finansowych. Mają umiejętności techniczne i mogą opracowywać, tworzyć oraz udostępniać złośliwe oprogramowanie, z których następnie korzystają inni użytkownicy sieci, niejednokrotnie wyżej opisani script kiddies. Termin black hat w języku angielskim oznacza czarny kapelusz i pochodzi z westernów, w których zazwyczaj pozytywni bohaterowie ubrani byli w białe kapelusze, zaś negatywni w czarne. Rozróżnienie to dotyka problematyki etycznego hakerstwa, które zapewnić ma bezpieczeństwo systemów oraz ujawniać braki w zabezpieczeniach z wykorzystaniem umiejętności programistycznych.

3.  Zorganizowane grupy cyberprzestępcze
Zorganizowana grupa cyberprzestępcza to zespół hakerów ekspertów, którzy dzielą się swoimi umiejętnościami i zasobami w zakresie tworzenia złożonych ataków i przeprowadzania kampanii phishingowych przeciwko osobom i organizacjom. Dzięki połączeniu sił i doświadczenia wielu osób są oni w stanie przeprowadzać skomplikowane i bardzo szkodliwe ataki, które inaczej mogłyby być niemożliwe. Podobnie jak typowa organizacja lub korporacja, ta cyberprzestępcza również ma przejrzystą strukturę z dobrze zdefiniowanymi rolami. Grupy te oferują swoją pracę jako usługę i mogą być zatrudniane przez grupy, organizacje lub pojedyncze osoby. Jest to najbardziej zorganizowany i skuteczny rodzaj phishera, który może uczynić znaczne szkody ofierze, a nawet całkowicie zniszczyć jej tożsamość, wykorzystując posiadane umiejętności, narzędzia oraz siłę roboczą. Takie organizacje ciągle się doskonalą, adaptują i dostosowują do trendów, wynajdując coraz to nowsze sposoby i metody na pozyskiwanie danych.

4.  Cyberterroryści
Terroryzm to przestępstwa oraz akty przemocy popełniane przez jednostki i grupy w celu realizacji celów ideologicznych, takich jak te o charakterze politycznym, religijnym, społecznym, rasowym lub środowiskowym. Cyberterroryzm jest terroryzmem, który odbywa się w cyberprzestrzeni i odnosi się do bezprawnych ataków oraz gróźb ataków na sieci, komputery oraz przechowywane w nich informacje. Tego rodzaju przestępstwa mogą być skierowane przeciwko rządom, organizacjom lub osobom. Cyberterroryści są szczególnie niebezpieczną grupą, ponieważ nie obawiają się konsekwencji wynikających z przeprowadzanych nielegalnych akcji, takich jak kara więzienia. Internet jest dla nich idealnym miejscem do wywoływania strachu, szerzenia nienawiści oraz stosowania przemocy, ponieważ działanie w nim wymaga mniej zasobów, wysiłku oraz funduszy w porównaniu z tradycyjnymi atakami, do których potrzebny jest na przykład zakup trudno dostępnego sprzętu.

Podsumowanie

Rosnąca zależność naszych społeczeństw od technologii informatycznych, w tym szeroko rozumianej automatyzacji, stworzyła nową formę podatności na zagrożenia. Wiele osób dostało szansę na zbliżenie się do celów, które w innym razie byłyby całkowicie nie do zdobycia. Prywatność schodzi na drugi plan, jeżeli tylko możemy się czymś pochwalić w mediach elektronicznych. Zdaje się, że im bardziej rozwinięte społeczeństwo, im więcej jest dostępnych urządzeń i technologii łączności z siecią, tym bardziej wskazana jest ciągła edukacja, aby ograniczyć naszą podatność na phishing.
*
Artykuł powstał w ramach pracy magisterskiej pt. „Analiza metod phishingu w mediach elektronicznych” realizowanej na Wydziale Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej.

Dominika Bieńkowska, Przemysław Falkowski-Gilski / Wydział Elektroniki, Telekomunikacji i Informatyki
przemyslaw.falkowski-gilski@pg.edu.pl

221 wyświetleń