phishing 11809-2014-signed

Икономически университет

Варна

Център „Магистърско обучение“

Реферат по дисциплината „Безопасност и защита на Microsoft

мрежи и приложения“ на тема

“Какво е Phishing? Защита от Phishing”

Изготвил: Проверили:

Росица Христова, 5 курс, ас. Радка Начева сп.Информатика, Фак.№11809 доц. д-р. Стефан Дражев

Какво е Phishing? Защита от Phishing

Росица Христова, Фак.№: 11809 2/16

Съдържание Същност ............................................................................................................ 3

История ............................................................................................................. 3

Phishing техники ............................................................................................... 4

Видове Phishing Email-и .................................................................................... 6

Spoof Website .................................................................................................... 7

Phishing-а и кражбата на самоличност ............................................................ 8

Защита от Phishing ............................................................................................ 9

Anti-Phishing техники ...................................................................................... 10

Anti-Phishing софтуер ...................................................................................... 10

Как се докладва Phishing ................................................................................ 11

Anti-Phishing Working Group (APWG) ............................................................. 12

Статистически данни на APWG ...................................................................... 13

Заключение ..................................................................................................... 16

Информационни източници .......................................................................... 16



Същност

Терминът phishing е вариант на fishing (риболов). Самото наименование подсказва за примамки и лов. Phishing-a, всъщност представлява опит за придобиване на чувствителна информация като потребителски имена, пароли и банкова информация, по начин маскиран като сигурен в електронната комуникация. Такива комуникации претендират да са от името на популярни социални мрежи, сайтове за продажби, банки, сайтове за приемане на електронни разплащания и др.

Обикновено phishing-а се осъществява чрез email-и или мигновени съобщения. Един такъв email съдържа линкове към сайтове, които са заразени със зловреден софтуер или насочва потребителите да въвеждат персонална иформация във фалшив уебсайт, който е почти точно копие на своя оригинал и потребителят трудно би го различил. Phishing-a е пример за инжинерни техники възползващи се от лошите технологии за уеб сигурност. Форма на phishing са и вид телефонни измами, при които с потърпевшите се свързват „служители на банка“ изискващи от тях да разкрият номера или пинове на кредитни карти и др.

От правна гледна точка, phishing-a е признат за кибер престъпление. Първото съдебно дело е заведено през 2004г., срещу калифорнииския тинейджър отговорен за имитацията на уебсайта на America Online. Поради нарастващия брой на докладваните инциденти се правят опити обществото да се справи с подобен вид измами, чрез законодателство, обучение, обществено съзнание, технически мерки за сигурност и др.

История

Първото подробно описание на phishing-a е през 1987г., а през 1995г. са регистриани първите подобни измами. Въпреки че е причинител на сериозни проблеми още от самото начало, phishing-a става популярен едва 10-тина години след това. Позовавайки се на данни от интернет, за първи път термина phishing е бил изпозван публично на 2.02.1996г. от America Online (AOL) – основен доставчик на интернет по онова време, които се оказват първите потърпевши. Първоначално измамниците са използвали алгоритми за съставяне на случайни номера на кредитни карти. Въпреки, че не са регистрирани съществено много попадения, щетите са значителни. За опростяване на процеса са използвани програми като AOHell. През 1995г. AOL слага край на подобни измами, като въвежда допълнителни мерки за сигурност, които предотвратяват успешното използване на случайно генерирани номера на кредитни карти.



Когато AOL слага край на измамите със случайно генерираните номера на кредитни карти, измамниците започват да използват други техники. Чрез email-и и съобщения, се представят за служители на AOL и подканват потребителите да проверят своите акаунти или да потвърдят лична информация. Повечето от клиентите не са заподозряли измамата. В крайна сметка AOL започва да включва предупредителни съобщения в свойте email-и като например: „Никой работещ в AOL няма да поиска Вашата парола или лична информация“.

В много отношения phishing-а не се е променил много от тогава. През 2001г. обаче, т.нар. phishers (хората, които се занимават phishing атаки) се насочват към системи за онлайн разплащания. Въпреки че първата подобна атака през юни 2001г., която е насочена към E-Gold, е неуспешна тя създава здрави основи за по нататъшното развитие на подобен вид измами. В края на 2003г. измамниците регистрират десетки домейни, които претендират да са eBay или PayPal. С помоща на програми за изпращане на email-и (подобни на „червея“) измамниците предупреждавали клиентите, че е наложително да влязат на посочения линк и да актуализират информация за своите кредитни карти, персонална информация и др.

До началото на 2004г., измамнците постигат огромен успех, чрез атаки над банкови сайтове и техните клиенти. Започват да се използват и PopUp прозорци за въвеждане на чувствителна информация. От тогава насам са разработени още множество техники за извършване на подобен род измами, като всички се свеждат до една и съща концепция, която се оказва доста ефективна.

Phishing техники

Има различни техники, които към момента се използват за кражба на лична информация от потребителите през интернет. Технологиите в тази насока стават все по-напреднали. За да се предпазят потребителите от подобен вид измами е добре да познават онсновните техники използвани за подобрен вид измами.

1. Email/Spam. Това е най-популярния начин за кражба на лична информация. Измамниците изпращат един и същи email до милиони потребители, изискващи от тях да предоставят персонална информация, която да бъде използвана за незаконни действия. Повечето такива съобщения съдържат нотка на спешност. Други пък, уведомяват потребителя за нова услуга, която той би могъл да използва след попълване на форма с лична информация.



2. Spoofed Website. Това са уеб сайтове, създадени с цел да заблудят потребителя, че са легитимни сайтове на банкови институции, социални мрежи и т.н. Един phishing сайт представлява копие на своя оригинал и по тази причина обикновените потребители, трудно разбират че са обект на phishing атака. Обикновено се използват за кражба на потребителски акаунти или банкова информация.

3. Web Based Delivery. Тази техника е позната още като „man-in-the-middle“. Измамниците стоят на ниво между потребителя и легитимния уебсайт. Когато потребителя предава информация към този сайт, тя се прихваща без негово знание от хакерите.

4. Instant Messaging. Техника при която потребителите получават съобщение, в което се съдържа линк пренасочващ ги към фалшив уебсайт, който изглежда почти по същия начин като своя оригинал. Ако потребителите не прегледат URL-a, за тях би било трудно да открият разлики между измамния и легитимния сайт.

5. Trojan Hosts. Невидими хакери, които се опитват да се логнат в потребителски акаунти, с цел събиране на перосонална информация, от локалния компютър на потребителя. В последствие информацията се изпраща до phishing системата.

6. Link Manipulation. Тази техника се свързва със съобщения до потребителите, съдържащи линк към определен сайт, който обаче не пренасочва към споменатия сайт а към съвсем друг.

7. Key Loggers. Зловреден софтуер, който се използва за прочитане на въвежданите от клавиатурата данни.

8. Session Hacking. При тази техника, хакерите използват потребителска сеися за кражба на лични данни. Самата процедура, наричаща се още session sniffing използва т.н. sniffer-и за неоторизиран достъп до сървъра.

9. System Reconfiguration. При тази техника се изпраща съобщение до потребителя с молбата да преконфигурира настройките на компютъра си. Този вид съобщения, обикновено претендират да са от достоверен източник.

10. Content Injection. При тази техника, хакерите променят част от съдържанието на страница на надежден сайт. Това се прави с цел да се отведе потребителя извън легитимния сайт и в тази насока да се стигне до кражба на лична информация.

11. Phishing чрез търсачките. Някои phishing измами включват търсачките, като пренасочват потребителя към сайтове за продажба на продукти с лошо качество и ниски цени. Когато потребителя се опита да закупи нещо от подобен сайт и за тази цел въведе данни за



кредитна карта, те вече са достъпни за хакерите. Съществуват много такива сайтове, които предлагат фалшиви банкови кредити или кредитни карти.

12. Phone Phishing. Използват се телефонни обаждания от фалшив номер, които подканват потребителите да разкрият лична информация или да се обадят на друг номер със същата цел.

13. Malware Phishing. Тази техника изисква зловреден софтуер работещ на компютъра на потребителя. Софтуерът обикновено е прикрепен към email изпратен до потребителя или към файлове за сваляне.

Видове Phishing Email-и

1. Примамващи email-и. Тези email-и съдържат примамлива информация, като изгодни оферти

или привличащи вниманието твърдения. Писмата са предназначени за незабавно привличане на вниманието на хората. В тях също така, потърпевшите могат да открият че са щастливи притежатели на скъпа техника, спечелена от лотария. Пленени от примамливите обещания, много хора стават жертва на подобен вид email-и.

2. Спешни email-и. Това е една много популярна phishing тактика, при която се съобщава

на жертвата, че има ограничено време да реагира относно някаква супер оферта. Друг вид подобни email-и са тези, предупреждащи че потребителски акаунт ще бъде спрян, освен ако не се актуализира персонална информация незабавно. Повечето надеждни организации, дават достатъчно време преди да спрат нечий акаунт и никога не биха поискали актуализиране на лична информация по интернет.

3. Email-и съдържащи линк към уебсайт.



Линковете в тези писма дори може да не препращат към реално

написания адрес. По-често представляват препратки към копия на сайтове на банки например, наричани phishing сайтове, на които се въвежда лична информация, информация за кредитни карти и др., която би могла да бъде използвана за достъп до реалната система на банката и дори да бъде изтеглен кредит от нечие име.

4. Spam email-и. Такива писма обикновено се изпращат до голям брой потребители и се

придържат към концепцията за кражба на лична информация. 5. Email-и съдържащи общи обръщения, като “Dear Customer”.

Spoof Website

Spoof уебсайтовете, представляват форма на phishing, при която се хакват или изграждат IT структури с цел кражба на данни. Обикновено тези уебсайтове използват лога, текст и визуален дизайн, с помоща на които са почти точно копие на легитимния сайт за който се представят. Потребителите често биват измамени и предоставят банкова и друга информация, защото смятат че се намират на точното място. Методи като прикриване на URL или пренасочване на домейн, са едни от най-често срещаните признаци, по които потребителят може да разбере, че се намира на подобен уебсайт. Хакерите обаче, могат да използват и изключително сложни методи, за да заблудят крайните потребители. При по-сложните атаки най-често се използва JavaScript и уеб сървър plug-in-и. Първо жертвата бива заразен, чрез зловреден сайт или email. На потребителския компютър се инсталира уеб браузър, който на пръв поглед с нищо не се различава от най-често срещаните браузъри. Докато жертвата използва заразения уеб браузър, целия трафик се пренасочва към зловредния сървър, с цел кражба на данни. Spoof уебсайтове, се създават най-често по подобие на легитимни сайтове, които имат нещо общо с банкова информация, т.е. всеки сайт използван за банкиране, покупка, продажба или парични трансфери, може да бъде обект на spoofing. Когато се използват сайтове в които се изисква въвеждане на банкова информация, едно от най-важните условия е наличието на SSL/TLS (Secure Sockets Layer/Transport Layer Security). SSL се използва за верифициране и идентифициране на сървъра. Ако сайтът не разполага с SSL, той най вероятно е фалшив. Най-добрият начин за



предотвартяване на подобни измами е избягването на хиперлинкове. Вместо потребителя да използва хиперлинк от email е по-добре собственоръчно да го въведе в address bar-а на браузъра. Освен това е добре потребителите да използват различни пароли за различните потребителски акаунти. Намаляване на риска от spoof уебсайтове, може да се постигне по няколко начина. Първото и най-важно нещо е обучение на клиентите относно интернет измамите. Това може да бъде направено чрез различни уведомления, които разясняват и предупреждават за евентуални измами. Ако е възможно е добре да се назначават служители, които да се занимават с мониторинг на уеб пространството, за навременно предовратяване на подобни измами. Когато се установи , че даден уебсайт е нелегитимен, най-важната стъпка е уведомяването на компетнтните органи и предоставянето на важна информация – дали са откраднати клиентски данни и др.

Phishing-а и кражбата на самоличност

По една или друга причина, хората биват много по-лесно измамени по интернет от колкото при директен контакт. Това е и основната причина phishing атаките да са много популярни. Те могат да доведат до редица негативни последици за жертвите, като кражбата на самоличност е най-сериозната сред тях. Кражбата на самоличност е едно най-бързо развиващите се престъпления в съвременното общество. Тя може да засегне всеки от нас, по всяко време. Обикновенно жертвите се избират на случаен принцип. Вероятно най-използвания метод за кражба на самоличност са phishing атаките. Според National Cyber Security Alliance един от четирима потребители е бил обект на phishing атаки, а реално измамените са 70%. Преките икономически загуби за световната икономика от подобни престъпления се увеличават драстично всяка година. Ако не се предприемат сериозни мерки за обуздаването им, те могат сериозно да навредят на потенциала и развитието на електронната търговия. По-голямата част от обществото смята че хакерите няма какво толкова да направят с крадената лична информация, но това съвсем не е така. Чрез достъп до нечий потребителски акаунт, хакерите биха могли да получат банкова информация, лични данни – имена, адреси, номера на лични карти и шофьорски книжки и т.н. С подобен вид информация, биха могли да се насесат сериозни щети на нечия самоличност – да бъдат изтеглени кредити, жертвата да бъде въвлечена в съдебни дела без да



подозира и т.н. Поправянето на подобен род щети изисква много усилия и нерви. Освен това, кражбата на самоличността би могла да попречи за намирането на работа или за изтеглянето на кредити, ипотеки, да навреди на нечие име и т.н.

Защита от Phishing

За защита от phishing потребителите трябва: 1. Внимателно да проверяват email-ите си. Тъй като повечето phishing

email-и претендират да са от достоверни източници е добре потребителите да знаят че легитимните сайтове, не биха изпращали подобен вид спам с изикване за предоставяне на лична или банкова информация. Ако email-а претендира да е от служител на организация, добре е потребителите да се уверят че този служител наистина съществува и е автор на кореспонденцията. Това обаче не бива да става по начини посочени в конкретния email (телефони, линкове и т.н.), а по официално уговорените между страните канали. Добре е когато email-ът съдържа линкове, потребителя да се позиционира с мишката върху тях, без да ги отваря, като по този начин ще разбере къде всъщност ще бъде изпратен.

2. Никога да не въвеждат финансова информация. Потребителите по никакъв начин не трябва да предоставят финансова информация през несигурни линкове по интернет, както изискват повечето phishing сайтове.

3. Да идентифицират фалшиви телефонни обаждания. 4. Да използват Anti-Phishing софтуер. Anti-Spyware софтуера или

firewall-а например, могат да бъдат използвани за защита от Phishing атаки. Firewall защитата предотвратява достъпа на злонамерени приложения. Антивирусния софтуер пък сканира всички файлове, идващи от интернет, което спомага за предотвратяване на щети на компютъра и не само.

5. Никога да не изпращат лична информация по email. 6. Да проверяват редовно своята банкова информация – месечни

извлечения, транзакции и т.н. 7. Никога да не теглят файлове от недостоверни източници. Повечето

уеб браузъри предоствят подобна информация на потребителя, като го предупреждават че сайтът, който иска да посети е ненадежден.



Anti-Phishing техники

За защита от спам email-и могат да се използват т.н. спам филтри. Те оценяват произхода на съобщението, софтуера използван за изпращането му с цел да се дефинира дали това е спам. От време на време обаче, спам филтрите могат да блокират и email-и от достоверни източници и по тази причина не са 100% надеждни.

Настройките на уеб браузъра трябва да бъдат така конфигурирани, че да предотвратяват отваряне на измамнически уеб сайтове. За тази цел те пазят списъци с фалшиви уеб сайтове и ако потребителя се опита да отвори сайт от списъка, браузъра блокира адреса и извежда съобщение до потребителя, че сайтът не е надежден.

Добре е потребителите регулярно да променят своите пароли. Освен това уеб сайтове е добре да използват техники като CAPTCHA за допълнителна сигурност.

Банките и финансовите организации използват системи за мониторинг, с цел предпазване от phishing. Освен това някои от тях провеждат обучения на своите служители с цел по-лесно идентифициране на phishing атаките. Обществото също трябва да има социална отговорност по върпоса и да докладва phishing сайтове, за да могат да се предприемат превантивни мерки срещу тях.

Наложителна е промяна в навиците за сърфиране и особенно в насока предоставянето на лична информация. Ако е нужна идентификация е добре винаги това да става официално, а не по интернет.

Anti-Phishing софтуер

Дори и потребителят да е добре запознат с основните phishing техники и методите за защита от тях, винаги е добре да бъде максимално въоръжен срещу измами. Има много прости за използване софтуерни приложения, които са специално разработени за защита от phishing атаки. Подобен вид защита все пак не е 100% сигурна, но предимството е че по-голямата част от софтуера в тази насока е безплатен и не е нужно потребителя да изразходва средства за използването и. Дали ще работи интегрирано с уеб браузъра или ще е самостоятелно, anti-phishing софтуера работи по много прост но полезен начин. В него се съдържа информация за phishing сайтовете и при опит на потребителя да посети такъв, приложението изпраща съобщение на



потребителя, че сайтът не е надежден. Това може да бъде под формата на изкачащ прозорец в долната част на системата (ако приложението работи самостоятелно) или като част от уеб браузъра (ако работи интегрирано с него). Някои от приложенията директно извеждат потребителя от ненaдеждния сайт, а други му позволяват да остане. Не всички приложения от подобен тип обаче са надеждни. Съществуват такива, които биха могли да блокират и легитимни сайтове. По тази причина е добре потребителите да направят малко проучване за най-високо оценените приложения в тази насока, които съответно би следвало да са и най-надеждни. Като такива биха могли да бъдат определени: NetCraft Toolbar, EarthLink, SpoofGuard и др. Освен това браузърите Google Chrome, Firefox и Internet Explorer, имат доста добра вградена защита срещу phishing атаки.

Как се докладва Phishing

Phishing-а е престъпление, което от години тормози интернет потребителите. Докладването на подобен вид кибер измами на подходящите организации, спомага за органичаването на подобен вид атаки в бъдеще. Има няколко места в интернет, на които потрeбителите могат да докладват за phishing сайтове или атаки:

http://www.us-cert.gov/report-phishing - собственост на правителството на САЩ. Сайтът предоставя информация, къде потребителите да изпратят копие на phishing email или адрес на phishing сайт, за да могат да бъдат разследвани. Също така включва връзки с подробности за подобен вид измами и техники за защита.

http://antiphishing.org/report-phishing/ - сайт на работната група Anti-Phishing Working Group (APWG). За разлика от правителствения сайт, този на APWG разполага с конкретна форма, в която потребителите могат да копират подозрителни email-и които да достигнат директно до институциите занимаващи се с разследване на phishing измами. Този сайт също има връзки, към полезна информация, относно кибер измамите.

http://www.google.com/safebrowsing/report_phish/?rd=1 – страница на Google, на която потребителите, могат да докладвад phishing уебсайтове.

https://www.phishtank.com/index.php - уебсайт за борба с phishing атаките, собсвеност на OpenDNS.



Anti-Phishing Working Group (APWG)

APWG е световна коалиция, обединяваща глобалния отговор на обществото срещу кибер престъпленията, основана през 2003 година. В APWG членуват повече от 2000 световни институции, а мениджърите и научните сътрудници на групата съветват инститиции като: Европейската комисия, ООН, ICANN, Организацията за сигурност и сътрудничество на Европа и др. Членството в групата е достъпно за финансови институции, търговци, доставчици на интернет услуги, телекомуникационни компании, правоприлагащи агенции, правителствени агенции и др. Ползите от челнството в APWG са следните: обществено-образователни конференции за превенция на кибер престъпленията, разработване на стандарти относно предоставянeто на информация за кибер престъпления, насърчаване на научните изследвания в областта, навременна и актуална информация за киберпрестъпността и др. APWG е и съосновател на информационната кампания STOP. THINK. CONNECT.™, която има за цел да помогне сърфирането на всички потребители в интернет пространството по-безопасно и сигурно.

Семейството от уебсайтове на APWG се състои от: публичния сайт на групата http://www.antiphishing.org , сайта на информационната кампания STOP. THINK. CONNECT.™ http://www.stopthinkconnect.org и изследователския уеб сайт http://www.ecrimeresearch.org .



Статистически данни на APWG

4511546895

3447531705

46882

2720928015

22136

5242

5430

5000

10000

15000

20000

25000

30000

35000

40000

45000

50000

2013г.2012г.2011г.2010г.2009г.2008г.2007г.2006г.2005г.2004г.

Брой на уникални Phishing сайтове за м. Септември

45

84

148

92

229

333 335 329

395379

0

50

100

150

200

250

300

350

400

450

2004г. 2005г. 2006г. 2007г. 2008г. 2009г. 2010г. 2011г. 2012г. 2013г.

Брой брандове засегнати от Phishing за м.Септември



13562

22136

38514

33261

40066

22188

18388

22751

56767

0

10000

20000

30000

40000

50000

60000

2005г. 2006г. 2007г. 2008г. 2009г. 2010г. 2011г. 2012г. 2013г.

Брой докладвани Phishing Еmail-и за м.Септември

56,30%21,74%

4,74%

4,26%

1,89%

0,84%

0,82% 0,41% 0,39% 8,61%

Засегнати сектори от Phishing към м.Септември 2013г.

Платежни услуги Финансови услуги Търговия

Интернет доставчици Търгове Хазарт

Правителство Социални мрежи Сайтове за обяви

Други



Според статистическите данни на APWG, най-голямо

съсредоточаване на phishing атаки се наблюдава в USA с над 52%, което на фона на втората най-засегната държава Гемания с 5,68%, е почти 10 пъти повече. Най-засегнатите сектори са платежните услуги с 56,30% и финансовите услуги с 21,74%. При броя на докладваните phishing email-и се наблюдава траен спад през 2010г., 2011г. и 2012г. През 2013г. обаче, докладвания брой phishing email-и достига своя рекорден брой от 56767 спрямо 22751 за 2012г. При броя на засегнатите брандове от phishing атаки, се наблюдава по-скоро непрекъснато покачване. По-последни статистически данни (към м.Септември 2013г.) броят на заегнатите брандове са 379. Броят на phishing сайтовете претърпява няколко шокови покачвания - първо през 2006г. а след това и през 2009г. Спад се наблюдава през 2010г. и 2011г., след което се наблюдава сериозно покачване за 2012г.

52,58%5,68%

5,15%

3,35%

3,21%

3,03%

2,60% 2,21% 1,58% 1,43%

Разпределение на засегнатите от Phishing атаки дръжави към м.Септември 2013г.

United States Germany United Kingdom

France Brazil Russian Federation

Netherlands Canada Romania

Turkey



Заключение

В днешно време, phishing-а се е превърнал в сериозен проблем за интернет сигурността, причиняващ финансови загуби както за потебителите, така и за компаниите. Всеки и по всяко време може да бъде набелязан като мишена за phishing атаки. Техниките, които използват измамниците стават все по-усъвършенствани, а тяхното залавяне и наказване все по-трудно. Въпреки приетите законови мерки срещу phishing-a и наличието на софтуер и техники за защита, няма еднозначно решение на проблема. Най-ефективната защита за потребителите, се оказва тяхната предпазливост и информираност по темата.

Информационни източници

1. What is Phishing, History of Phishing, Phishing Techniques, Anti-Phishing Software, http://www.phishing.org/

2. Phishing, http://en.wikipedia.org/wiki/Phishing 3. Website Spoofing, http://en.wikipedia.org/wiki/Website_spoofing 4. How to recognize phishing email messages, links, or phone calls,

http://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx

5. Phishing Scams, http://www.crimedoctor.com/phishing-scam.htm 6. APWG Phishing Attack Trends Reports,

http://antiphishing.org/resources/apwg-reports/ 7. About the APWG, http://antiphishing.org/about-APWG/

Росица Христова

phishing 11809-2014-signed

Documents