Na zaproszenie Hong Kong Productivity Council (HKPC) zespół CERT Polska zorganizował w Hongkongu dwudniowe warsztaty techniczne traktujące o atakach z wykorzystaniem stron internetowych (Monitoring and Analyzing Web Client Side Attacks Workshop). Wydarzenie to odbyło się w ramach międzynarodowej konferencji Information Security Summit 2009. Grupą docelową byli specjaliści związani z bezpieczeństwem IT zarówno instytucji walczących z cyberprzestępczością, jak i instytucji finansowych, e-commerce i banków. Wszyscy uczestnicy pochodzili z regionu Azji i Pacyfiku. Poza warsztatami nasz przedstawiciel wygłosił także prezentację dostępną dla wszystkich uczestników konferencji opisującą projekt HoneySpider Network.

Biorący udział w szkoleniu poznawali motywy i cele cyberprzestępców, oraz przede wszystkim metody wykrywania i walki ze złośliwymi stronami internetowymi. W tym celu przygotowaliśmy przenośne laboratorium. Składało się ono z laptopów pełniących rolę serwerów, routera z access pointem, oraz obrazów wirtualnych stacji roboczych. Wśród serwerów były m.in. serwery www zawierające specjalnie spreparowane złośliwe strony www, a wirtualne systemy posiadały narzędzia do ich analizy. Wszystko to zostało umiejscowione w odizolowanym i kontrolowanym środowisku sieciowym. Dodatkowo, również na przenośnych serwerach, zaprezentowany został rozwijany przez NASK i partnerów holenderskich system HoneySpider Network. Dzięki temu uczestnicy szkolenia mogli zdiagnozować zarówno stworzone na potrzeby warsztatu, jak i rzeczywiste złośliwe strony internetowe. Wykorzystane zostało także jedno z ćwiczeń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA opracowanych wspólnie z NASK i przeznaczonych dla zespołów typu CERT (ENISA CERT Exercises).

(więcej…)

1. W jaki sposób phishing znalazł się na Twoim komputerze (dla początkujących).
2. Jak rozpoznać phishing (dla początkujących).
3. Jak się ustrzec przed phishingiem (dla początkujących).
4. Analiza uploadu złośliwego oprogramowania do maszyny ofiary.

 
Ad 1. W jaki sposób phishing znalazł się na Twoim komputerze ?

Jak więc wygląda współczesny phishing i skąd się spodziewać ataku?
Zacznę od stwierdzenia, że użyte powyżej sformułowanie “namawiania ofiary” w przypadku ostatnio obserwowanych phishingów nie oddaje istoty zjawiska. Cały mechanizm bazuje na złośliwym oprogramowaniu instalowanym na komputerze ofiary (oczywiście bez jej wiedzy). Infekcja następuje zazwyczaj po odwiedzeniu strony WWW. W tym momencie zapewne pojawia się pytanie, jak ofiara trafia na taką stronę i co to są za strony ? Przestępca nie próbuje wskazać adresu ofierze. Stara się za to dopisać złośliwy kod do jak największej liczby witryn. Oczywiście najlepiej gdyby była to popularna strona, odwiedzana przez dużą liczbę użytkowników (patrz nasz wcześniejszy artykuł Zagrożenie na www.pajacyk.pl – jednak malware, a nie reklama).

Mechanizm infekcji i podszywania się pod bank.
Jak wspomniałem, do kodu strony WWW zostaje dopisane “coś złośliwego”. Jest to zazwyczaj zaciemniony skrypt JavaScript. Z punktu widzenia użytkownika jest on niewidoczny. W przeglądarce nie pojawiają sią żadne dodatkowe obrazy czy tekst. Jednym słowem wszystko wydaje się być w porządku. W tle natomiast skrypt sprawdza kilka najpopularniejszych dziur np. w Internecie Explorerze, Firefoksie, Operze, Adobe Readerze czy kontrolkach ActiveX. Jeśli takową znajdzie, następuje załadowanie i uruchomienie za jej pośrednictwem złośliwego oprogramowania. Jest ono zazwyczaj ściągane z serwera zewnętrznego, bardzo często znajdującego się w Chinach czy Rosji. W następnej fazie złośliwe oprogramowanie ukrywa się w systemie i zaczyna nasłuchiwać połączeń do dedykowanych banków. Klient odwiedza stronę banku, podaje swój identyfikator i hasło do konta bankowego… Do tego momentu wszystko odbywa się prawidłowo. Jednak po kliknięciu w klawisz “zaloguj” pojawia się fałszywa strona z prośbą o podanie kilku kolejnych kodów jednorazowych. Po podaniu danych, są one wysyłane na serwer kontrolowany przez przestępcę. Ofierze zostaje zwrócona strona z komunikatem o niepoprawnym logowaniu.
Istnieje również wariant, w którym wyłudza się kody jednorazowe wysyłane za pośrednictwem sms’a (na razie wykorzystywany na niewielką skalę). Oszustwo odbywa się podczas dokonywania transakcji. Ofiara wykonuje zdefiniowany przez siebie przelew, dochodzi do momentu kiedy prosi bank o przesłanie kodu sms’owego i tutaj złośliwe oprogramowanie przejmuje prośbę, uzupełnia ją swoimi danymi i wysyła do banku. Ofiara dostaje smsa, w którym jest potwierdzenie transakcji dokonanej przez przestępcę. Jeśli nie zwróci uwagi na jego treść potwierdzi nie swoją operacje.

(więcej…)

Ministerstwo Gospodarki zleciło Polskiemu Towarzystwu Informatycznemu przygotowanie raportu na temat bezpieczeństwa teleinformatycznego w Internecie. Ważnym elementem w stworzeniu tego raportu mają być wyniki ankiety, którą przygotowało PTI.

Twórcy ankiety chcą zebrać informację na temat poczucia bezpieczeństwa wśród polskich internautów, przy okazji sprawdzają wiedzę na temat podstawowych zagadnień związanych z bezpieczeństwem IT i tego jak internauci reagują na zagrożenia w sieci.

Szczególną uwagę w całym badaniu zwraca się na zagadnienia bankowości elektronicznej oraz handlu w internecie. Zgodnie z informacją Towarzystwa, przyszły portal ma właśnie odnosić się do tych zagadnień i ma zawierać zbiór przystępnych informacji oraz konkretnych porad dotyczących e-bezpieczeństwa.

Autorów przedsięwzięcia trzymamy za słowo i życzymy sukcesu, a wszystkich zachęcamy do wypełnienia krótkiej ankiety.

Na celowniku wyłudzaczy danych kart kredytowych znaleźli się klienci banku BZ WBK. W ciągu ostatnich dwóch dni rozesłano wiele e-maili podszywających się pod komunikaty banku z informacją o obowiązku zalogowania się na stronie internetowej, która została spreparowana przez przestępców.
Pierwsza seria listów rozsyłana była w poniedziałek wielkanocny i napisana była w języku angielskim. Zawierała lakoniczną informację o zablokowaniu karty płatniczej i obowiązku jej ponownej aktywacji. W mailach użyto kilku grafik ze strony banku, lecz całość wyglądała mało profesjonalnie. Podstawiona strona, na którą przekierowywała wiadomość znajdowała się na polskim serwerze i została szybko usunięta przez administratorów.

Druga seria listów podszywających się pod BZ WBK rozsyłana była od poniedziałkowego wieczoru i jest rozsyłana nadal. Została ona przygotowana nieco lepiej. Tym razem komunikat napisany jest w języku polskim (choć bez polskich liter), a cała wiadomość jest w stylistyce podobna do rzeczywistych wiadomości od banku – także z użyciem oryginalnych elementów graficznych. Tym razem podstawioną stronę umieszczono na serwerach zagranicznych i w niektórych miejscach jest ona nadal aktywna.

Przypominamy, że wszelkie wiadomości e-mailowe wymagające od odbiorcy zalogowania się w jakimkolwiek serwisie służą najczęściej wyłudzeniu danych dostępowych. O otrzymaniu takiej wiadomości najlepiej poinformować serwis, z którego rzekomo pochodzą (w tym przypadku bank) – zarówno celem weryfikacji jak i powiadomienia serwisu o możliwej próbie ataku na klientów.

Cyberprzestępcy wykorzystali luki pozwalające na atak XSS (Cross-Site Scripting) w serwisie WWW włoskiego banku, by wyłudzić dane jego klientów.

W specjalnie spreparowanym odnośniku do rzeczywistej strony banku możliwe było zawarcie poleceń, dzięki którym w oryginalną stronę logowania “wstrzykiwany” był znacznik HTML IFRAME. W nim znajdowało się odniesienie do fałszywej strony logowania umieszczonej na serwerze na Tajwanie. Przez nią przestępcy wykradali dane wpisywane przez klientów banku, którzy dostali sfałszowany URL w wiadomości e-mail udającej komunikat wysłany przez bank do klientów. Ofiary łatwo dawały się oszukać, ponieważ oprócz fałszywej strony łudząco podobnej do oryginalnej, dodatkowo w pasku adresu przeglądarki internetowej widniał prawdziwy adres strony banku, całe połączenie odbywało się poprzez SSL, a widoczny certyfikat był prawdziwym certyfikatem banku.

Sfałszowany odnośnik nie wyglądał na podejrzany, ponieważ odwoływał się, by przekazać spreparowane dane składające się głównie z cyfr i przecinków, bezpośrednio do skryptu JS znajdującego się na serwerze banku.

Źródło: netcraft.com

Od niedawna w Internecie rozpowszechnia się nowatorski rodzaj phishingu wykorzystujący… telefonię i strach użytkowników Internetu przed kradzieżą tożsamości.
Wiadomości e-mail kierowane do potencjalnej ofiary skonstruowane są w taki sposób, by wzbudzić jak największe zaufanie i wrażenie autentyczności. Najczęściej komunikat ma charakter ostrzeżenia przed … typowym phishingiem. Adresat jest informowany, że do klientów danej instytucji rozsyłany był niedawno sfałszowany e-mail zawierający odnośnik do specjalnie spreparowanej strony WWW, przez którą wyłudzane były poufne informacje. Często dodawane jest także przypomnienie, że firma nigdy nie rozsyła tego typu wiadomości.

Kluczowy fragment znajduje się jednak dalej: podawana jest informacja, że z powodów bezpieczeństwa wszystkim użytkownikom zostały prewencyjnie zablokowane konta czy karty kredytowe, natomiast jedyną drogą ich odblokowania jest zadzwonienie pod podany niżej numer i skontaktowanie się z pracownikiem firmy. Oczywiście pod podanym numerem telefonu znajduje się cyberprzestępca lub zastępujący go interaktywny system głosowy, któremu ofiara zdradza swoje poufne dane.

Podobnego rodzaju atak – a właściwie jego próby – był już wcześniej obserwowany, ale nigdy na taką skalę i nie był tak wyrafinowany. Jest on o tyle groźny, że bazuje nie tylko na ludzkiej nieostrożność czy ufności, ale także na świadomości ofiary o istnieniu zagrożenia ze strony złodziei tożsamości i strachu przed nimi. Dodatkowo cyberprzestępcy wykorzystują fakt, że ludzie bardziej ufają telefonom, niż kontaktom drogą elektroniczną.

Atak ten pojawił się w Stanach Zjednoczonych i jeszcze nie był widziany w Polsce, jednak jeżeli się sprawdzi, to pojawienie się go u nas będzie tylko kwestią czasu. Celem mogą być głównie klienci banków lub innych instytucji finansowych, ale także firm korzystające z e-commerce (np. sklepów internetowych, portali aukcyjnych).

Dla wspólnego bezpieczeństwa apelujemy, by każdy rodzaj napotkanego phishingu zgłaszać do naszego zespołu CERT Polska.

Źródło:

www.ghidinelli.com, inf. własna.

Przez cały weekend skrzynki pocztowe polskich użytkowników internetu były zalewane listami opatrzonymi logo mBanku, wzywającymi do podania swoich danych na fałszywej stronie banku. Rzekomo w celu ich weryfikacji.

Złodzieje umieścili w treści listu link, który sugerował, że prowadzi do mBanku. W rzeczywiści wskazywał na stronę wyglądającą zupełnie jak strona logowania banku. Po “zalogowaniu” użytkownik proszony był o podanie wielu danych, między innymi nazwiska panieńskiego matki, daty urodzenia, adresu, numerów telefonów i… numeru karty kredytowej wraz z datą ważności oraz kodem CVV2. Po “weryfikacji tych danych” był przenoszony na oryginalną stronę mBanku.

Ten sposób “phishingu” występuje w internecie od dawna, jednak w Polsce na taką skalę pojawił się po raz pierwszy. I nie można wykluczyć, że wiele osób podało swoje dane. Mimo, że banki zawsze informują (np. na swoich stronach) klientów, że nigdy o takie dane nie będą prosiły.