Atacurile de tip phishing Dr. Valentin Petru MĂZĂREANU Facultatea de Economie și Administrarea Afacerilor, Universitatea “Alexandru Ioan Cuza” din Iași Co-Regional Director PRMIA Bucharest Chapter Project Manager www.managementul-riscurilor.ro
Atacul de tip phishing presupune1 încercarea de a înşela o persoană în scopul obţinerii datelor de acces (nume de utilizator, parolă, număr de cont bancar) sau a altor informaţii importante. Modul de operare al acestor atacatori este unul simplu: se trimit sute de mesaje pe email (atacatorii dispun de baze de date cu utilizatori ai serviciilor de email) folosindu-se o identitate falsă (de regulă cea a unei instituţii financiar-bancare2) prin care destinatarul este sfătuit să-şi actualizeze datele de autentificare la contul personal pe care îl are la instituţia respectivă şi este invitat a accesa un link care ar duce către pagina de autentificare (figura 1). Dacă din punct de vedere vizual adresa furnizată în email este cea reală, care ar trebui să ducă în mod clar pe site-ul instituţiei, printr-un artificiu html, adresa la care persoana este direcţionată este cu totul alta, cea a unui site fals, menit doar a colecta aceste date de acces (figura 2). Atacatorii se bazează pe faptul că un anumit procent din cei ce primesc respectivul email sunt clienţi ai instituţiei precizate în mesaj iar dintre aceştia un anumit procent cred mesajul şi accesează site-ul menţionat, furnizând astfel datele de acces la contul personal.
Adresa furnizată Fig. 1Mesaj email vizualizat în Microsoft Outlook 2003 în format html (de observat adresa furnizată – adresă reală a Lloyds TSB)
1
Tullochm M., Microsoft Encyclopedia of Security, Ed. Microsoft Press, Redmond, 2003, p.243 Deși în mod frecvent instituțiile vizate sunt cele financiar-bancare (conform Anti-Phishing Working Group), pe lista instituțiilor sunt și companii precum eBay, Amazon.com, PayPal, MSN etc. 2
Adresa afișată
Adresa reală (cea care se va deschide în momentul accesării)
Fig. 2 Vizualizarea corpului de text (plain text) a mesajului email (de observat diferenţa dintre cele două adrese, cea furnizată şi cea spre care se va face redirecţionarea utilizatorului)
În vederea realizării unui atac de tip phishing, uneori se poate apela la tehnica de falsificare a adresei domeniului accesat (spoofing). Folosind această tehnică, chiar dacă victima vizitează un site fals, în bara de adrese a browser-ului (ex. Internet Explorer) apare adresa reală a domeniului (URL-ul băncii) (figura 3).
Fig. 3 Atac de tip phishing derulat prin folosirea tehnicii spoofing Sursa: Anti-Phishing Working Group, la http://www.antiphishing.org, accesat în 18.08.2008
În vederea derulării atacului, atacatorii folosesc ingineria socială (pentru că scopul este obţinerea datelor de acces la un cont bancar, se urmăreşte convingerea unei persoane că mesajul primit este unul real, trimis de o instituţie financiar-bancară şi atragerea respectivei persoane pe un site fals, dar care este similar celui real) sau mijloace tehnologice (abilitatea ca o dată cu mesajul email să se trimită şi programe tip troian sau keylogger, care monitorizează paginile web accesate şi au capacitatea de a detecta şi trimite către atacator combinaţiile de tip nume utilizator-parolă folosite). Începând cu anul 20033, atacul de tip phishing s-a dezvoltat în atacuri de tip pharming. După cum spune şi numele, dacă în cazul primei forme era vorba de a pescui victime, în cel de-al doilea atac se recurge la plantarea de seminţe (programe) în scopul obţinerii de recolte (persoane care să răspundă). În acest caz nu se mai recurge la inginerie socială, ci la tehnici de infectare a calculatoarelor cu programe de tip troian, spyware, keylogger sau backdoor care monitorizează activitatea utilizatorului pe internet şi raportează prin canale IRC (Internet Relay Chat) către atacator informaţii precum date cu caracter personal (folosite în furtul de identitate) sau date de acces în diverse sisteme.
3
Fuller, E., They are phishing for you, The Security Journal, vol.17, fall 2006, p.24, la www.securityhorizon.com, accesat în 27.08.2008