Phishing? A co to w ogóle jest?

Przez /

Phishing. To słowo bardzo często ostatnio przewija się we wszelkiego rodzaju publikacjach. Odmieniane przez wszystkie przypadki. Pewnie Ty też o nim słyszałeś. Ale co to jest? Mówiąc krótko, a właściwie sprowadzając do jednego słowa, phishing jest to … oszustwo. Bardzo sprytne oszustwo.

Zacznijmy więc od początku. Rozwój technologii informatycznych i sieci komputerowych, szeroki dostęp do nich spowodował przeniesienie wielu istniejących negatywnych zjawisk ze świata rzeczywistego do cyberprzestrzeni. W tym i tradycyjne oszustwa, która z wykorzystaniem nowoczesnych technologii i adaptując techniki inżynierii społecznej, zataczają znacznie szersze kręgi, niż ich klasyczne odpowiedniki.

Phishing to pewnego rodzaju oszustwo, w którym przestępca (oszust) podszywa się pod kogoś innego – czy to osobę czy to instytucję – by osiągać swój zamierzony cel. Proste, nie? Celem tym może być:

  • wyłudzenie poufnych informacji,
  • pozyskanie środków pieniężnych,
  • przejęcie danych dostępowych (poczty email, konta bankowego, itp.),
  • zainfekowania komputera złośliwym oprogramowaniem,
  • nakłonienie potencjalnej ofiary do podjęcia (lub zaniechania) określonych działań,
  • i tak można by wymieniać jeszcze długo ….

Jak widzimy, pomimo swoje pozornej prostoty, wachlarz możliwości ataku phishingowego jest spory. A skoro jest to blog technologiczny, rozbierzmy atak na czynniki pierwsze.

Czym jest więc phishing od stromy technicznej. Tutaj możemy wyróżnić kilka typów ataku:

  1. E-mail. Najbardziej rozpowszechniona metoda. Przestępca wysyła upatrzonej ofierze, odpowiednio spreparowaną wiadomość email, której treść nakłania odbiorcę, do podjęcia odpowiedniego działania (np. kliknięcia w zawarty w tej właśnie wiadomości odnośnik URL). Podążając za instrukcjami, użytkownik może stracić dostęp do poczty elektronicznej, konta bankowe, autoryzować transakcje dla przestępców, itp.
  2. SMS (smishing). Użytkownik otrzymuje wiadomość SMS, zawierająca zwykle odnośnik do strony wyłudzającej dane lub fałszywej bramki płatności. oraz sugestywną treść („opłać lub odetniemy Ci prąd!”) by podążać za odnośnikiem i wykonywać widoczne w formularz polecenia.
  3. Rozmowa telefoniczna (Vishing). Przestępca przedstawia się zwykle jako pracownik danej instytucji (banku, firmy pożyczkowej/windykacyjnej) i za pomocą sugestywnej manipulacji próbuje uzyskać dostęp do telefonu/komputera ofiary czy jego konta. Popularny ostatnimi czasy atak z wykorzystaniem „pracownika banku”.
  4. Atak ukierunkowany na konkretną osobę (spear-phishing). Otrzymana wiadomość, zawiera wiele personalnych odwołań do celu ataku – przestępcy poświecili czas na zdobycie informacji o ofierze (OSINT), które w sugestywny sposób wykorzystali w ukierunkowanych tylko przeciwko niej ataku. Atak może wykorzystywać wszystkie powyższe elementy (email, SMS, rozmowę telefoniczną). Przestępca wie wiec o ofierze dużo i dlatego łatwo mu ją przekonać do wykonania pożądanych przez niego czynności.
  5. Atak na VIP (Whaling). Odmiana spear-phishingu, z tym że celem jest ważna w danej organizacji osoba (kierownik, manager, właściciel, dyrektor, itp.).

Powyższe opisy znaleźć możemy we wszystkich opisach, artykułach, stronach związanych z cyberbezpieczeństwem, dotyczących przedstawienia ataku phishingowego. Nie będę więc się na nich skupiał.

Jednakże…

W toku moich badań nad phishingiem, opisałem kilka innych technik implementacji ataku, stosowanych przez przestępców. Należą do nich:

  1. Clone phishing – wiadomość phishingowa wykorzystująca jako źródło oryginalną wiadomość (z oficjalną szatą graficzną, układem wiadomości, wykorzystywaną czcionką) w której jeden z elementów został podmieniony (np. odnośnik do pobrania dokumentu kierujący na fałszywą stronę, załącznik ze modyfikowaną zawartością lub doklejonym złośliwym kodem). Clone phishing również bazuje na technikach email phishing
Przykład ataku typu „clone phishing”. Wiadomość udająca korespondencję od administratora systemu Pocztowego Wirtualnej Polski. Wyświetlany przycisk przekierowuje do zainfekowanej strony internetowej, źródło: opracowanie własne.
  1. Angler phishing – wykorzystanie funkcjonalności aplikacji mediów społecznościowych. Wiadomości zwykle dystrybuowane są z fałszywych kont mediów społecznościowych, udających kampanie reklamowe, marketingowe, badania społeczne, np. Oferują wzięcie udziału w badaniu marketingowym w zamian za drobną nagrodę – wymagają do wówczas podania wielu danych osobowych, dzięki czemu zyskują dane do przeprowadzenie dalszych ataków, wykorzystania pozyskanych danych jako tzw. Konta przesiadkowego1.
  2. Pharming – najbardziej techniczny z wariantów ataku phishingowego. Wariant ten nie zakłada bezpośredniego ataku na potencjalną ofiarę, ale na pośrednika (serwer DNS), z którego usług dany użytkownik korzysta. Atak następuje
    w dwóch fazach:
    • Atak na serwer DNS do którego zapytanie kierowane są ze stacji danego użytkownika. Serwer DNS na pytanie kierowane ze stacji użytkownika,
      o rozwiązanie adresu danej domeny, zamienia rzeczywisty adres IP, na który wskazuje dana domeną na adres IP podstawiony przez przestępców.
    • Przekierowanie ruchu sieciowego na podstawioną domenę phishingową – która w zależności od scenariusza ma za zadanie wyłudzanie danych użytkownika, wykradanie danych autoryzujących i uzyskiwanie dostępu do
  3. Pop-up phishing – wykorzystanie mechanizmu wyskakujących okienek do serwowania użytkownikowi złośliwego kodu lub uruchomienie mechanizmu śledzenia opartego np. na cookies2. Z uwagi na stosowanie przez użytkowników mechanizmów blokowania wyskakujących okienek na witrynach internetowych, odmianą tego ataku jest wykorzystanie funkcjonalności powiadomień przeglądarek internetowych by stosując socjotechnikę przekonać użytkownika do zezwolenia na uruchomienie powiadomień – które jednocześnie serwuje użytkownikowi złośliwy kod.
  4. Evil twin – wykorzystanie fałszywego hotspot3 WiFi, podstawianego
    w publiczny miejscu, który udaje legalny punkt dostępu. Użytkownicy łączący się do fałszywego punktu dostępowego mogą być przekierowani do strony phishingowej, ich ruch wychodzący może być podsłuchiwany (atak typu man-in-the-middle4). Atak tego typu pozwala zbierać dane, takie jak dane logowania lub poufne informacje przesyłane przez połączenie – które mogą zostać wykorzystane do konstrukcji bardziej złożonego ataku (np. atak typu spear phishing).
  5. Watering hole phishing – drugi z typów najbardziej technicznych wariantów ataków phishingowych. W tej wersji atak nie następuje bezpośrednio na docelową ofiarę (podobnie jak w przypadku pharmingu). Atakujący zbierają informacje o najczęściej odwiedzanych witrynach internetowych przez interesującą ich grupę użytkowników. Witryna ta jest odpowiednio modyfikowana by w trakcie odwiedzania jej przez internautów, zbierać informację o nich, uruchamiać mechanizm śledzący czy też infekować ich stację roboczą złośliwym kodem. Przykładem skutecznej kampanii phishingowej wykorzystującej technikę „Watering hole phishing” był atak na stronę Komicję Nadzoru Finansowego, poprzez którą infekowani byli pracownicy sektora finansowego.
  6. Atak responsywny – nowy trend i technika ataku oparty na inżynierii społecznej. Pierwsza otrzymana wiadomość email przez odbiorcę, nie zawiera zarówno żadnych odnośników URL, jak i żadnych załączników (które często są nośnikiem złośliwego oprogramowania). Treść wiadomości ma zachęcić potencjalną ofiarę (odbiorcę wiadomości), do wykonania „pierwszego kroku” – odpowiedzi na otrzymanego emaila. W ten sposób atakujący jednocześnie weryfikuje skuteczność kampanii i ma pewność, że otrzymując odpowiedzi, dany użytkownik (dany adres email, na który wysłał wiadomość phishingową) jest aktywny (jego skrzynka odbiorcza jest obsługiwana) oraz może być podatny na sugestię i techniki manipulacyjne. W odpowiedzi na reakcję użytkownika, atakujący przesyła kolejną wiadomość, w której również za pomocą inżynierii społecznej zachęca do ujawnienia innych, lub większej ilości danych osobowych. Motywy jakie przewijają się w treści wiadomości, zachęcające do nawiązania kontaktu, to:
    • odziedziczenie spadku przez dalekiego krewnego,
    • istnienie konta bankowego zmarłej osoby o tym samym co odbiorca wiadomości nazwisku,
    • wylosowanie adresu email przez „fundusze inwestycyjne”,
    • uniknięcie opodatkowania przez różnego rodzaju fundacje poprzez przekazanie potencjalnej ofierze darowizny (zwykle wysokich kwot),
    • wygrane w loteriach.
Przykład ataku responsywnego – zachęta do kontaktu pod pozorem przekazania sporej sumy pieniężnej

Wiadomość taką, nazywać będziemy wiadomością inicjalizującą. Atakujący inicjuje nawiązanie kontaktu, testując jednoczenie czas odpowiedzi – krótszy czas odpowiedzi sugeruje użytkownika aktywnie korzystającego z sieci Internet i komunikacji elektronicznej, który odbiera wiadomości, odpisuje na nie, przez co zwiększa jednocześnie szansę powodzenia ataku.

Kolejnymi etapami (w przypadku otrzymania odpowiedzi od ofiary) jest:

  • Prośba o podanie danych osobowych lub danych karty płatniczej (np.
    w celu wykonania opisywanego w wiadomości inicjującej spadku / darowizny), w formie odpowiedzi na wiadomość, lub poprzez wypełnienie formularza dostępnego w sieci Internet.
  • Przesłanie odnośnika do pobrania pliku, który może zawierać złośliwe oprogramowanie
  • Przesłanie załącznika zawierającego złośliwy kod, po uruchomieniu którego nawiązane jest połączenie z serwerem C&C, z którego pobierane jest właściwe złośliwe oprogramowanie infekujące komputer ofiary.
  1. HTML smuggling – atak polegający na dostarczeniu w wiadomości email do potencjalnej ofiary dokumentu HTML zawierającego osadzony w nim skrypt (głównie JavaScript).
Przykład ataku „HTML smuggling”. Źródło: opracowanie własne.

Skrypt wykorzystując technikę JavaScript Blob5, dekoduje zapisany w postaci kodu binarnego wewnątrz dokumentu plik i uruchamia automatyczne pobieranie pliku. Atak taki obejmuje fazy:

  • Dostarczenie wiadomości email do skrzynki odbiorczej celu ataku.  Wiadomość zawiera plik formatu HTML. Treść dokumentów tekstowych nie jest skanowana przez oprogramowanie antywirusowe, plik więc przechodzi przez infrastrukturę bezpieczeństwa.
  • Odbiorca wiadomości, uruchamia plik. Zgodnie z formatem, domyślnym oprogramowaniem uruchamiającym dokumenty formatu HTML jest przeglądarka internetowa.
  • Atak bazuje na wykorzystaniu podstawowej funkcjonalności przeglądarki internetowej (techniki LotL6), która domyślnie wykonuje cały kod zawarty w pliku HTML. Plik zawiera funkcję (zwykle z wykorzystaniem języka JavaScript), która na podstawie wartości pewnej zmiennej również zapisanej w tym pliku (kod binarny), uruchamia dekodowanie
    i utworzenie na jej podstawie nowego pliku. Popularnym formatem do jakiego generowany jest kod binarny zapisany w pliku jest format ISO7/ IMG8 lub zip.
  • Zdekodowany plik jest zapisywany na dysku odbiorcy wiadomości.
  • Użytkownik uruchamia zdekodowany z dokumentu HTML, pobrany plik, uruchamiając jednocześnie domyślną akcję przypisaną temu formatowi.
  • W przypadku plików ISO / IMG domyślną akcją jest zamontowanie dysku wirtualnego zawierającego plik „autorun”, który uruchamia niezłośliwy plik wykonywalny znajdujący się na dysku wirtualnym (exe) – kolejne użycie techniki LotL Uruchomiony plik wczytuje następnie plik biblioteki *.dll, która już zawiera złośliwy kod.
  • Wywołane zostaje okno konsoli systemowej i uruchomione funkcje odpowiedzialne za infekcję systemu.

W ten sposób bezpośrednio do sytemu użytkownika dostarczony może być złośliwy kod, całkowicie omijający oprogramowanie antywirusowe. Wykorzystując kombinację technik „spear-phishingu”, inżynierii społecznej, spoofingu i „HTML smuggling”, można w bardzo skuteczny sposób infekować wyselekcjonowane ofiary pomimo stosowanych zabezpieczeń własnego systemu teleinformatycznego.

  1. Phishing as a Service – określenie to nie odnośni się do konkretnej kategorii ataku phishingowego (jest w dużej mierze zbiorem poszczególnych kategorii), ale opisuje nowy trend. Phishing as a Service jest usługą oferowaną w darknecie przez grupy cyberprzestępców, które za opłatą oferują:
    • Dostęp do infrastruktury teleinformatycznej fałszywych bramek płatności
      i przesłanie uzyskanych za jej pomocą środków finansowych bezpośrednio na konto zlecającego atak (wykupującego daną usługę).
    • Szablonów stron popularnych usług finansowych i banków.
    • Szablony wiadomości email oraz infrastrukturę konieczną do jej wysyłania. Szablony zwykle są powtarzalne.
    • Domen phishingowych z całą wymaganą infrastrukturą teleinformatyczną.
    • Serwerów Command and Control (C2).
    • Dostosowane do indywidualnych potrzeb złośliwe oprogramowanie wraz z panelem sterowania.
    • Wiedzę niezbędną do przeprowadzenia ataku (w zakresie obsługi dostępnego oprogramowania, skutecznego doboru metody, np.), wsparcie przeprowadzenia całego ataku.
Przykład usługi „Phishing as a Service”.

Tego typu usługi, umożliwiają przeprowadzenie ataków phishingowych przez osoby nietechniczne, nie wymagają przeprowadzenia rekonesansu (warunku posiadania wiedzy o obiekcie ataku). Jednocześnie oferowanie takich usług, pozwala na uzyskanie wysokich przychodów bez konieczności samodzielnego wyszukiwania celu ataku.

  1. Wykorzystanie metod i technik sztucznej inteligencji i uczenia maszynowego. Dynamiczny rozwój metod uczenia maszynowego i technik sztucznej inteligencji oraz udostępnienie szerokiej publiczności interfejsów do komunikacji z algorytmami Machine Learning (np. chatGPT9) zostało wykorzystane do prowadzenia skuteczniejszych ataków phishingowych. Podstawowym środkiem komunikacji w wielu firmach (jak i dla osób prywatnych) nadal pozostaje poczta email [27], a łatwość implementacji szybko rozwijających się narzędzi typu AI10 (w tym zarówno do generowania treści jak i grafiki), powoduje, że wytworzenie bardziej przekonywującej wiadomości jest znacznie łatwiejsze. Sprawia to jednocześnie, że detekcja ataku phishingowego, staje się trudniejsza do identyfikacji przez człowieka. Wg autorów raportu Darktrace pt. Generative AI: Impact on Email Cyber-AttacksP, odnotowano 135% wzrost ataków opartych na inżynierii społecznej w okresie styczeń – luty 2023 roku, co odpowiada okresowi upowszechnieniu się i dynamicznemu wzrostowi korzystania z dostępnych usług ChatGPT. Narzędzia AI mogą być również wykorzystane do generowania kodu do narzędzi wykorzystywanych w różnego rodzaju atakach, co spowoduje, że całość procesu będzie mniej kosztowana i czasochłonna. Sam wygenerowany kod może być łatwo rozpoznawalny przez rozwiązania antywirusowe, jednak wykorzystanie narzędzi AI do jego wytworzenia przyczyni się do szerokiego wykorzystania przez mniejsze grupy, które do tej pory nie posiadały zasobów, wiedzy ani umiejętności do przeprowadzania tego typu ataków. Przełoży się to na dalsze zwiększenie wolumenu ataków i jednoczesne zwiększenie trudności wykrywania doczasowych metod detekcji.
  2. Quishing – atak phishingowy na urządzenie mobilne z wykorzystaniem odpowiednio spreparowanego kodu QR11 dostarczonego poprzez wiadomość email. Odbiorca wiadomości otrzymuje w jej treści kod QR, a jej treść sugeruje użytkownikowi zeskanowanie załączonego kodu pod pozorem np. dokonania pilnej płatności na niewielką kwotę (wykorzystanie inżynierii społecznej). Kod prowadzi do serwisu udającego pośrednika płatności, gdzie użytkownik podając swoje rzeczywiste dane, umożliwia jednocześnie ich przechwycenie przez atakującego.  Innym znanym wariantem tego ataku jest przekierowanie użytkownika bezpośrednio do pobrania na jego urządzenie odpowiednio spreparowanego pliku zawierającego złośliwy kod. Istnieje również wersja ataku, w której użytkownik otrzymuje wiadomość niezawierającej żadnej treści, a jedynie odpowiednio spreparowany kod QR. Badania przeprowadzone przez Sharevski, Devine, Pieroni, Jachim („Gone Quishing: A Field Study of Phishing with Malicious QR Codes”) wykazują, że quisinbg jest niezwykle skutecznym typem ataku. Spośród uczestników poddanych badaniom, 67% z nich zarejestrowało się przy użyciu danych logowania Google lub Facebook, 18,5% utworzyło nowe konto, a tylko 14,5% pominęło rejestrację.

Opisy wszystkich powyższych scenariuszy ataku, wraz ze wskazówkami jak je odpowiednio rozpoznać i przedstawione zostaną ze szczegółami w kolejnych wpisach z cyklu „Akademia cyberbezpieczeństwa” publikowana na łamach naszego bloga.

Jak więc wygląda standardowy atak?

Jak napisałem wcześniej, najpopularniejszym typem ataku phishingowego, jest otrzymanie odpowiednio spreparowanej wiadomości email. Otrzymujemy więc wiadomość email:

Fałszywa wiadomość o wygranej. Źródło: opracowanie własne.

Zachęcony możliwością wygranej użytkownik klika przycisk. Następuje przekierowanie do strony: hxxps://partlyrins[.]website/21899f0a77617319001c1b1c295a83e4, a użytkownik widzi dobrze spreparowaną stronę, udającą serwis Allegro. \

Przekierowanie do fałszywej strony. Źródło: opracowanie własne.

Kliknięcie przycisku „OK”, uruchamia na stronie rzekomą ankietę zadowolenia i preferencji klienta:

Fałszywa ankieta preferencji klienta. Źródło: opracowanie własne.

Po kliknięciu odpowiedzi na wszystkie pytania, uruchamiana jest animacji, która rzekomo wyszukuje nagrodę a udzielenie podwędzi w ankiecie. Nagrodą jest oczywiści najnowszy model telefonu:

Rzekoma nagroda za wypełnienie ankiety. Źródło: opracowanie własne.

Kliknięcie przycisku „REZERWUJ TERAZ” uruchamia wyświetlenie okna komunikatu o powodzeniu procesu rezerwacji nagrody.

Rzekoma rezerwacja nagrody. Źródło: opracowanie własne.

Nagroda jest tuż tuż, więc kolejne kliknięcie przenosi użytkownika do wypełnienia formularza swoimi danymi adresowymi. Rzeczywisty atak phishingowy zaczyna się na tym właśnie etapie:

Fałszywy formularz wysyłki, który de facto przechwytuje dane użytkownika. Źródło: opracowanie własne.

Przestępcy dodali walidację wprowadzanych do formularza danych. Pole „Numer telefonu” wymaga podania rzeczywistego numeru z polskiej przestrzeni numeracji telefonii komórkowej:

Walidacja numeru telefonu komórkowego. Źródło: opracowanie własne.

Zgodnie z informacjami, wybrana przez użytkownika nagroda, będzie jego. Jedyną czynnością jaką mu pozostaje jest opłacenie niewielkich kosztów przesyłki. Użytkownik przenoszony jest więc do kolejnej podstrony, którą jest fałszywa bramka płatności:

Formularz wyłudzający dane karty płatniczej. Źródło: opracowanie własne.

Ostatnim elementem ataku jest podanie danych karty kredytowej (służącej rzekomo do zapłaty za przesyłkę). Na tym etapie przestępcy przechwytują dane karty ofiary (wraz z kodem CVV), które mogą zostać wykorzystane do obciążania tej karty w różnych serwisach.

Pamiętaj!

  1. Nigdy nie podawaj swoich danych osobowych, ani danych swojej karty płątniczej w serisach, co do których masz jakiekolwiek wątpliwości.
  2. Coś co wygląda zbyt pięknie (wygrana najnowszego modelu telefonu za odpowiedź na kilka tendencyjnych pytań), zwykle nie jest prawdziwe.

Dziękuję, że dotarłeś do końca mojego wpisu! 🙂 Niedługo, opiszę scenariusze ataku na wymienione powyżej metody, ze wskazaniem na jakie cechy należy zwracać, by nie stać się ofiarą tego ataku. Zostań więc z nami i regularnie odwiedzaj nasz blog!

Przypisy:

  1. Konto przesiadkowe – wykorzystanie pozyskanej tożsamości do utworzenia fałszywego profilu, z którego prowadzone są dalsze ataki, w celu zamaskowania prawdziwego sprawcy ↩︎
  2. http cookie – tekst zwykle zakodowany przesyłany przez serwer do przeglądarki klienta, która zapisuje go w swoim folderze, aby go ponownie odczytać podczas kolejnych odwiedzin danego serwera i przesłać zapisany test. Mechanizm cookies pozwala.m.in. na identyfikacje użytkowników, rozróżniania różnych maszyn tego samego użytkownika, itp. ↩︎
  3. Hotspot (z ang.– „gorący punkt”) – punkt dostępu do sieci bezprzewodowej, umożliwiający za jego pośrednictwem połączenie z siecią Internet ↩︎
  4. man-in-the-middle – rodzaj ataku polegający na podsłuchu i modyfikacji informacji przesyłanych pomiędzy dwiema stronami bez ich wiedzy. ↩︎
  5. avaScript Blob (ang. JavaScript Binary Large Object) – programowalna za pomocą języka JavaScript struktura zawierająca obiekt niezmiennych, nieprzetworzonych danych ↩︎
  6. Lotl (ang. Living off the Land) – technika ataku wykorzystująca dostępne, wbudowane funkcje systemów operacyjnych, narzędzia systemowe do przejęcia kontroli nad tym systemem lub dostarczenia złośliwego oprogramowania do danego systemu. Wykorzystanie legalnych komponentów danego systemu teleinformatycznego, oprogramowania systemu operacyjnego nie prowadzi do uruchomienia alarmu wykorzystywanego w danym środowisku rozwiązania bezpieczeństwa (IDS, IPS, EDR, np.). ↩︎
  7. ISO – jest to skompresowany plik obrazu dysku archiwum, który reprezentuje zawartość całych danych na dysku optycznym, takim jak CD lub DVD. W oparciu o standard ISO-9660, format pliku obrazu ISO zawiera dane dysku wraz z przechowywanymi na nim informacjami o systemie plików, źródło: https://docs.fileformat.com/pl/compression/iso/ ↩︎
  8. IMG – jest to format plików binarnych które przechowują nieprzetworzone obrazy dysków (analogicznie jak ISO). ↩︎
  9. https://chat.openai.com/chat/ ↩︎
  10. Pod tym pojęciem należy rozumieć ogół technik uczenia maszynowego, klasyfikacji oraz analizy Big Data. ↩︎
  11. QR (właściwe QR code, ang. Quick Response, pol. szybka odpowiedź) – pewnego rodzaju dwuwymiarowy, kwadratowy kod kreskowy, pozwalający na zapisanie dużej ilości danych w pop stacji matrycy obrazkowej. ↩︎
Post Views: 76

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przewijanie do góry