Românii, primii la phishing în martie. Cum se face, de ce, cum te fereşti

Pentru a lămuri anumite aspecte dezbătute la articolul anterior, scris de Alex, despre phishing-ul Raiffeisen, ne-am gândit să ne implicăm voluntar şi să încercăm periodic să vă oferim cât mai multe informaţii despre ce se întâmplă cu adevărat în spatele acestor mesaje.

Mai întâi, puţină istorie

Phishing-ul, la noi, este încă la început. Abia anul acesta numărul de atacuri a crescut suficient de mult încât să devină considerabil şi enervant.

Dacă acum 2-3 ani era la început, atât din punctul de vedere al tehnicilor utilizate, cât şi al numărului de clienţi la care era trimis, phishing-ul a evoluat foarte mult, ajungând şi în România la standarde internaţionale. În 2007, phishing-urile conţineau greşeli gramaticale, pe când acum se folosesc de HTML-uri ataşate şi de posibilităţile de encodare din Java pentru a ocoli soluţiile antiphishing (în special cele integrate în browserele internet care se bazează strict pe un RBL – real time blacklisting).

Phishing-ul este cel mai important şi cel mai periculos tip de spam. Phishing (derivat din termenul din limba engleză pentru “pescuit”) sau “brand spoofing” (imitarea imaginii), este o formă elaborată de sustragere de date, care vizează mai ales clienţii companiilor ISP, ai băncilor, ai serviciilor bancare online, agenţii guvernamentale etc.

Autorii de phishing creează pagini web contrafăcute, care imită imaginea unor corporaţii furnizoare de servicii binecunoscute, pentru a inspira încredere. După ce colectează sau generează adrese de email, infractorii “lansează momeala”.

Este trimis un mesaj prin e-mail sau mesagerie instant, cu un subiect credibil, prin care încearcă să convingă să se completeze informaţii confidentiale prin accesarea unei pagini web (link “click aici”; link URL; link tip imagine; text link) sau prin completarea unui formular în textul mesajului. Mesajul pare să aibă un motiv plauzibil şi chiar aduce argumente convingătoare pentru a vă determina să acţionaţi imediat.

Exemple de subiect pentru email: “Update Your PayPal Account“, “Your eBay User Account has been suspended!“, “Iniţiativa Băncii Naţionale a României (BNR) – colaborare”. Informaţiile cerute sunt de obicei:

  • Numărul cardului de credit-debit
  • Codul PIN pentru ATM
  • Informaţii despre contul bancar
  • Codul numeric personal/contul de asigurare
  • Parole
  • Conturi de email
  • Alte date personale.

Odată publicate, informaţiile nu mai sunt confidenţiale şi sunt imediat folosite de către infractori, în interesul lor. În general, este foarte greu sa recuperaţi sumele pierdute, deoarece paginile folosite de autorii de phishing sunt online numai pentru câteva zile sau chiar ore.

Tehnici de phishing

Principala metodă este folosirea unui e-mail credibil, intenţionat să vă direcţioneze către o pagină falsă. Unele mesaje conţin un formular de înscriere direct în textul conţinut. Trebuie să ţineţi cont de faptul că organizaţiile oficiale nu trimit niciodată astfel de mesaje, care solicită informaţii personale. În aceste pagini este posibil să observaţi că adresa URL nu este cea corectă. Există, totuşi, metode de falsificare a URL-ului:

  • “Social engineering”
    URL-ul este foarte asemănător cu cel real, lucru ce poate fi detectat la prima vedere. De exemplu, adresa http://www.volksbank.com poate fi înlocuită cu http://www.voIksbank.com. Daca aveţi impresia că sunt identice, vă înşelaţi. Litera mica “L” este înlocuită cu majuscula literei “I” (l vs. I).
  • Vulnerabilităţile browser-ului
    Pagina falsă poate conţine un script de exploatare a browser-ului. În acest caz, se afişează URL-ul real, însă pagina accesată este cea de pe serverul fals. De exemplu, în bara de adrese din browser se poate afişa o imagine. Nu puteţi da “click” în câmpul barei pentru a marca URL-ul. Alte tehnici de exploatare aplică un camp fals, în care veţi putea chiar să marcaţi un URL.
  • Pop-up
    Link-ul din e-mail este către pagina reală, însă o altă fereastră de navigare se afişează în prim-plan. Pagina reală poate fi navigată, practic, fără riscuri, însă trebuie să vă feriţi de cealaltă fereastră. De obicei, aceste ferestre pop-up nu au o bară de adrese, prin care să identificaţi o pagină falsă.
  • Nici o bară de adrese
    Unele pagini false nu afişează nici o bară de adrese şi, dacă nu urmăriţi acest lucru în mod deosebit, este posibil să nu observaţi că lipseşte.

În afară de exploatarea barei de adrese, se folosesc şi alte tehnici, în mod individual sau suplimentar, pentru a accesa informaţii confidenţiale:

  • Alte vulnerabilităţi ale browser-ului
    Se pot exploata şi alte vulnerabilităţi pentru a descărcă şi a rula cod malware. Un asemenea program poate fi un troian, care înregistrează datele introduse de la tastatură şi traficul Internet, mai ales când completaţi şi trimiteţi un formular online.
  • “Man in the middle”
    Probabil cea mai elaborată metodă, deoarece nu trebuie să modifice nimic pe computerul local. Autorul de phishing este situat între utilizator şi serverul fals, dirijând astfel conexiunea.

Tehnici de camuflaj

Pagina de phishing poate folosi şi trucuri precum:

  • Tooltip falsificat
  • Click-dreapta inaccesibil.

Autorii de phishing folosesc tehnici de evitare a programelor antispam/antiphishing:

  • Caractere aleatoare sau citate celebre în subiectul sau textul mesajului
  • Text invizibil în e-mail în format HTML
  • Conţinut HTML sau Java în loc de text simplu
  • Numai imagini (fără alt text) în conţinutul mesajului.

De regulă, o soluţie antispam rezolvă problema phishing-ului pe mail. Însă “momeala” poate ajunge şi prin mai multe metode la utilizator, cum ar fi:

  • IM – un prieten îţi scrie (neştiind că are un virus)
  • SMS
  • De pe internet (un articol pe blog, o notificare într-o reţea socială) etc.

Deci, în mod evident, este nevoie şi de o tehnologie integrată în browser.

Este vina băncii?

Categoric, nu. Orice soluţie de securitate ar propune o instituţie bancară, cu siguranţă se vor găsi câţiva baieţi deştepţi care vor găsi o modalitate să o ocolească. În momentul de faţă, sunt alese băncile unde este foarte uşor de extras banii. Însa phishing nu se face doar la Raiffeisen, ci şi la BRD, RomCard, Banca Transilvania, BancPost, etc. Şi altele vor urma, iar numărul acestora se va înteţi.

Numărul de atacuri de phishing ce ţintesc Raiffeisen e în continuare extrem de mic faţă de cel al atacurilor ce ţintesc Bank Of America, de exemplu. Phishing-ul în România este în plină ascensiune, dar numărul de atacuri pe zi şi numărul de bănci atacate este încă foarte mic faţă de ce vom vedea în viitor. Timide încă, băncile au venit totuşi cu diverse soluţii de prevenire:

  1. Educarea clienţilor – Până şi phishing-urile spun că banca nu va cere niciodată informaţii confidenţiale, rugându-te, totuşi, să te reloghezi
  2. Autentificare bazată pe certificate – sunt phishing-uri care spun că se face un update la certificate şi se doreşte selectarea solicitării de “update certificate”
  3. Parole peste parole peste parole – nici o problemă, vor cere doar datele de pe card
  4. Adăugarea de noi conturi în sistemul de online banking se va face doar telefonic prin validarea de informaţii personale (date CI, etc) – unele phishing-uri (chiar în România) cer deja datele acestea.
  5. Token based – “Dragă clientule… introdu, te rog, user, parolă, şi tokenul curent. Banca nu-ţi va cere niciodată doar combinaţia de user şi parolă. Noi cerem şi tokenul, deci clar suntem legitimi“, iar un script automat va începe deja să plimbe banii prin diverse conturi (unele automat, altele prin persoane racolate prin programe de “work @ home“).

Şi exemplele pot continua. Banca poate adăuga zeci de sisteme de securitate, însă trebuie să aibe în vedere că, dacă totul devine prea complicat, prea puţini clienţi vor adera la acest sistem. Iar phishing-ul va funcţiona. Scopul lui nu este să păcălească pe toată lumea (de regulă, enerveaza în 98% din cazuri), însă dacă 0,01% din persoanele la care acest e-mail a fost trimis au “muşcat momeala”, scopul lui a fost atins.

Costurile pentru spamul de o asemenea anvergură (încă mică, reţineţi, dacă ne referim doar la România) e undeva la câteva zeci de dolari. De regulă, un kit de phishing la Raiffeisen se poate obţine şi gratuit de pe internet. Un singur om dacă este păcălit, este suficient să asigure o marjă de profit pentru investiţia efectuată.

De ce Raiffeisen?

Intrebarea preferată a tuturor de până acum. De ce ei? Din cauză că retragerea banilor din conturile Raiffeisen este extrem de facilă şi nu necesită o confirmare a băncii. Pur şi simplu, sunt transferaţi banii din contul respectiv în cel al autorului de phishing. Simplu, nu? BRD şi alte bănci solicită ca tranferurile să fie executate telefonic, printr-un reprezentant la băncii.

Viitorul sună bine?

Aaa… nici pe departe. Dacă un număr tot mai mare de utilizatori ai internetului ştiu deja ce este phishing-ul, suntem siguri că nu aţi auzit de “verişorul primar” şi mai sofisticat al său, denumit “pharming“. Ca şi phishing-ul, pharming-ul încearcă să păcălească utilizatorul să viziteze un anumit site şi să sustragă informaţii confidenţiale. Cu toate acestea, în loc să păcălească destinatarii să acceseze un link dintr-un e-mail, pharming-ul poate redirecţiona în secret victimele către un site compromis direct din browser.

Astfel, pharming-ul elimină definitiv existenţa unui e-mail ca “momeală” şi este, în consecinţă, mult mai periculos decât tehnicile uzuale de phishing. Chiar şi un utilizator cunoscător în ale phishing-ului poate cădea cu uşurinţă victima unei tentative de pharming, fără măcar să-şi dea seama, iar posibilitatea ca utilizatorul sa ignore atenţionarea unei soluţii antiphishing este cu atât mai mare cu cât pagina către care va fi redirecţionat va imita la perfecţie toate caracteristicile paginii oficiale ale băncii – un user foarte avizat ar putea considera că este, de fapt, o eroare a soluţiei de securitate şi va continua procesul de login.

Momentan, la nivel mondial, pharming-ul nu este la fel de răspândit ca phishing-ul, din cauză că dacă pentru a crea un atac de phishing ai nevoie de un nivel de cunoştinţe de 2 pe o scară de la 1 la 10, pentru un atac de pharming îţi trebuie un nivel de aproape 7. Cu toate acestea, atacurile de pharming vor creşte în amploare pe măsură ce tot mai mulţi autori de ameninţări informatice vor prefera mai degrabă această tehnică decât phishing-ul.

Infractorii vor începe să profite din ce în ce mai mult şi de reţelele sociale pentru a trimite spam-uri şi phishing personalizat. De exemplu, un infractor online găseşte o persoană, pe o anumită reţea socială, din al cărui profil reiese că a fost plecat în Turcia printr-o anumită agenţie de turism. Tot ce face infractorul atunci este să folosească numele persoanei şi să trimita un mail personalizat, în care este informat de noi servicii ale agenţiei sau noi oportunităţi de călătorii. Aceste atacuri fac mult mai multe victime decât cele trimise în masă.

Românii, primii la phishing

Top phishing la nivel de ţări
Top phishing la nivel de ţări

Cu toate că nu este întotdeauna vizibil pentru utilizatorul mediu, tehnicile din spate, prin care se încearcă evitarea detectării, au crescut simţitor. În continuare, sunt în plină dezvoltare, însă progresul care s-a observat în ultimele 3 luni este uimitor. Dacă în noiembrie 2008 au fost 8 atacuri, de la începutul anului 2009 şi până acum sunt deja peste 200.

Criza economica implică, după cum se observă, de altfel, şi din ce în ce mai multe atacuri informatice, în special phishing şi spam. România a reuşit “performanţa” de a ocupa luna trecută locul 1 la nivel mondial pe segmentul de phishing.

*sursa imaginii: http://www.marshal8e6.com/TRACE/phishing_statistics.asp

De citit: despre phishingul în România şi pe reţele sociale

Materialul următor va avea ca temă ameninţările care vin din reţelele sociale.

21 comentarii

  1. Felicitari, e cel mai bine scris articol despre fenomen pe care l-am citit la noi!

  2. Bravo, Alex. Am subiectul în sumar pentru emisiunea mea de duminică, acum o să te citez :-)

  3. Foarte interesant si util! Primesc si eu zilnic e-mailuri de la “Reiffesein”.

  4. De ce Raiffeisen? Pentru ca nu au “two-factor authentication”. Toate celelalte banci (cu care am intrat eu in contact) folosesc ori digipass ori un certificat digital (ex. BT). Metoda folosita de Raiffeisen este cretina, se pot afla relativ usor cifrele de pe card (pe langa faptul ca se folosesc doar ultimele 8!) o metoda fiind phishingul.
    Introducerea unui digipass ar reduce cu 90-95% atacurile.

    • Autentificarea la Raiffesisen Online se face cu username, password (se solicita schimbarea periodic) si 2 cifre aleatorii din seria card-ului. Asa ca daca nu ai toate detaliile nu prea poti sa faci nimic, iar daca esti suficient de idiot si nu ai 2 adrese de mail (una pt activitati curente si una pt prostii pe net) si iti publici adresa de mail peste tot si te trezesti cu astfel de solicitari si le mai si dao raspuns o meriti. Eu sunt client RZB din 2001 si pana acum nu am primit nici un mail de la “banca” prin care sa imi solicitate date personale.

      Cu alte cuvinte daca nu cascati ochii, cascati punga !

      Bye, bye !

    • Si eu cred la fel, daca esti suficient de idiot sa comunici cuiva datele contului tau (user, parola, cifrele de pe card) atunci meriti ce o sa primesti :)
      Asta nu are insa nicio legatura cu faptul ca aproape toate atacurile de acest tip sunt indreptate catre clientii RZB. La fel cum idiotii mai anterior mentionati si-o merita la fel se poate spune si despre RZB, isi merita publicitatea negativa pe care o primeste pentru ca sistemul de securitate pe care il foloseste este relativ usor de spart (este mai greu sa furi banii unui client care trebuie sa-si confirme fiecare tranzactie cu un cod generat de un digipass, nu crezi?)

  5. Oare mai exista un om care sa nu primeasca mail-uri de la vreun fraier care nu are ce face????astia nu isi dau seama ca le fac numele de rahat????!!!!

  6. @George Din pacate pentru banca, autorii de phishing au putine scrupule…spre deloc, iar faptul ca astfel se creaza un prejudiciu de imagine, nu ii intereseaza.

    Nu uita ca din phishing se obtin niste castiguri imense. Te mai gandesti la imaginea bancii respective? :)

  7. Super tare articolul…am avut multe de invatat din el! ;)

  8. Nu stiu daca am inteles bine, dar pharmingul se propaga prin aceleasi metode ca si troienii, nu? Adica tu ai intrat pe un site aiurea, din linkuri aiurea, si aia ti-au luat datele contului, nu? Sau te redirectioneaza catre o pagina unde trebuie sa le introduci tu?

    Ce nu am mai inteles eu, cum mi se pot fura datele de pe amazon spre exemplu, fara ca eu sa le introduc altundeva? Sper sa nu vorbesc prostii.

  9. @myke Pharming-ul nu-ti ia pur si simplu datele…nici macar nu-ti trimite un mail sa te intrebe de “sanatate” :)

    În traducere liberă, chiar dacă introduci manual adresa web a băncii tale sau a instituţiei financiare direct în browser, sau o accesezi prin bookmark-urile folosite anterior, este foarte posibil ca un atac de pharming să redirecţioneze browser-ul fără să-ţi dai seama către un site compromis. Dacă acesta este realizat în „chipul şi asemănarea” celui al instituţiei respective, utilizatorul îşi poate insera liniştit datele de acces la cont, parola şi alte informaţii confidenţiale fără să-şi dea seama ce se întămplă.

    Astfel, browserul va trimite adresa scrisa de utilizator, catre serverul sau de DNS, iar acesta ii va raspunde cu adresa IP de unde se poate incarca pagina corespunzatoare adresei respective. Pentru a nu se efectua de fiecare data cautarea, fiecare server DNS are un cache unde sunt pastrate cele mai accesate adrese pentru a raspunde mai repede. Un hacker se poate folosi de diverse vulnerabilitati pentru a compromite acest cache si astfel serverul va intoarce alt IP, un IP al phisherului unde se va gasi o clona identica a site-ului bancii. (inclusiv linkul in adress bar este acelasi si de aceea este foarte probabil ca utlizatorii sa ignore aceste alerte).

    Da, functioneaza si pentru Amazon. (poate e mai complicat pentru Amazon daca intai te apuci sa cauti carti si apoi vrei sa platesti, dar da, se poate si pt amazon)…. de ce nu?

  10. Ok, si cum iti dai seama ca esti victima unui site pharming? Doar prin faptul ca ti se cer date care in mod normal n-ar fi necesare?

  11. Vestea proasta e ca nu-ti dai seama. Da, ai putea, daca iti cer date suplimentare, sau e un comportament ciudat fata de cum e de obicei, etc.
    Elementele de identificare sunt identice, difera doar IP-ul… dar cine verifica asa ceva? Ar fi indicata o solutie care sa ofere protectie antipharming.

    Vestea buna e ca e foarte greu sa faci un asemenea atac. Cum ziceam mai sus, nivelul de cunostinte trebuie sa fie mult mai mare decat in cazul phishingului.

  12. Bine, fiind la inceput e normal sa para greu de invins. Dar, cu timpul, sunt sigur ca se va gasi ceva de combatut si aceasta problema.

    Multumesc pentru lamuriri.

  13. …pana atunci, nici noi nu stam degeaba ;)

  14. poti te rog sa extinzi un pic rationamentul pentru “De ce Raiffeisen?”:
    “Din cauză că retragerea banilor din conturile Raiffeisen este extrem de facilă şi nu necesită o confirmare a băncii. Pur şi simplu, sunt transferaţi banii din contul respectiv în cel al autorului de phishing. Simplu, nu? ”

    ceva imi scapa aici… cum adica ‘confirmare a bancii’? ci cum adica ‘… la BRD şi alte bănci solicită ca tranferurile să fie executate telefonic, printr-un reprezentant la băncii.”

    altfel, excelent articolul.

  15. @engambament

    La BRD-net de exemplu, daca vrei sa transferi bani din contul tau in alt cont, trebuie sa suni la serviciul Vocalis, sa spui ce cont trebuie sa adaugi. Ca functionara de acolo sa te asculte, trebuie sa-i dai datele tale de pe buletin si parola de la contul Vocalis etc…..e un pic mai complicat.

    La alte banci, ai acel token care iti genereaza tie (si doar tie) un cod PIN valabil doar 2 minute, timp in care poti face tranzactia.

    Dar cand si Raifeissen va adera la un astfel de sistem….nu se vor opri din phishing. Pur si simplu vor cere direct datele de pe card (lucru care il fac deja pt celelalte banci).

  16. Nu stiu daca se verifica tot timpul chestia asta, dar de obicei, in emailurile ‘false’ ti se adreseaza gen “Ba utilizatorule de Paypal”, pe cand in emailurile autentice iti zice clar pe nume. O metoda destul de simpla sa iti dai seama daca iti este adresat emailul sau nu. Daca tu esti tinta atacului … atunci te poti pacali singur. :)

  17. Legat de acest subiec acum am primit un email la subiect:

    Return-path:
    Envelope-to: xxx@westdesign.ro
    Delivery-date: Mon, 27 Apr 2009 08:34:59 +0300
    Received: from mail.flexistockage.fr ([86.64.10.66]
    helo=multibox-arg.Multibox.local) by s01.rohost.com with esmtp (Exim 4.69)
    (envelope-from ) id 1LyJUZ-00016n-Ky for
    xxx@westdesign.ro; Mon, 27 Apr 2009 08:34:59 +0300
    Received: from oncity.cc ([192.168.1.254]) by multibox-arg.Multibox.local with
    Microsoft SMTPSVC(6.0.3790.3959); Mon, 27 Apr 2009 07:30:37 +0200
    Message-ID:
    From: “Banca Transilvania”
    To: xxx@westdesign.ro
    Subject: Mesaj nou in aplicatia BT 24 – 5531
    Date: Mon, 27 Apr 2009 08:34:59 +0300
    MIME-Version: 1.0
    Content-Type: text/html; charset=”iso-8859-1″
    Content-Transfer-Encoding: quoted-printable
    X-OriginalArrivalTime: 27 Apr 2009 05:30:37.0750 (UTC) FILETIME=[4BCAAD60:01C9C6F9]
    …. etc…

    Asa ca, clientii BTR atentie !

  18. Tot eu, nu se vede Return Path, este: BT24@oncity.cc
    Deci cred ca e vorba de phising, dar vedeti voi si moderati mesajul corespunzator…

  19. Nu puteti fi pacaliti daca stiti sa folositi armamentul din dotare.
    Daca aveti antivirus, firewall avansat si firefox cu ‘no script’ add-on instalat.