Phishing: metody ataków

Przeczytaj także: Świąteczne prezenty: robaki i trojany

Wymienione przykłady phishingu mają na celu głównie zainfekowanie komputera. Czy zostanie on później przyłączony do botnetu, czy atakujący przechwyci hasła do różnych serwisów czy banku zależy od atakującego. Jednak niektóre typy phishingu skierowane są głównie na zysk poprzez bezpośredni dostęp do konta. W tym celu fałszerz podrabia strony banków i wysyła informacje do jego klientów.

Głównym problemem w przypadku fałszywych maili udających korespondencję bankową jest ryzyko utraty dorobku życia. Do tej pory niektóre banki nie stosują żadnych zabezpieczeń poza uwierzytelnieniem loginem i hasłem. Jednak nawet zabezpieczanie hasłami jednorazowymi z kart czy kodów SMS-owych nie stanowi 100% pewności, że faktycznie nasze konto będzie bezpieczne. I nie potrzeba do tego przeprowadzać skomplikowanych ataków. Wystarczy phishing i bardzo dobra socjotechnika, która nakłoni użytkownika do postępowania w myśl atakującego. Wyobraźmy następującą sytuację... Atakujący jako cel upatrzył sobie bank, który posiada dodatkowe zabezpieczenie przed niepowołaną autoryzacją - kody jednorazowe w postaci zdrapki. Pozyskanie samego hasła przy zastosowaniu tylko fałszywej witryny wydaje się być pozbawione sensu. Wystarczy jednak, że w treści umieści informację, iż dane podane w formularzu (na stronie, która jest fałszywa), muszą zostać potwierdzone przez kod ze zdrapki. Jeżeli ktoś da się nabrać, poda nie tylko login i hasło, ale także jeden, pierwszy wolny kod jednorazowy (który de facto nie został użyty i nie jest wykreślony z listy przez prawdziwy system banku). Dzięki temu cyberprzestępca bez problemu może dokonać udanego ataku...
Istnieją także bardziej zaawansowane metody phishingu jak np. MiTM (Man In The Middle). Atak ten wykorzystuje dodatkowy serwer, który łączy klienta z serwerem docelowym. Jego ideą jest przejmowanie pakietów, ich modyfikacja i wykorzystywanie w celu osiągnięcia własnych korzyści. W praktyce atak ten jest trudny do wykrycia, zwłaszcza po stronie użytkownika. Atakujący może nie tylko przechwycić pakiety, ale także wykradać informacje, przechwycić aktualną sesję i dowolnie ją modyfikować. Większość działań opiera się na sniffingu (podsłuchu). Pewnym minusem w stosunku do "typowego" phishingu jest fakt, że nie można go stosować masowo. O ile wysyłając maile ze sfałszowanymi stronami atakujący otrzymuje wiele numerów kont i haseł, o tyle w tego rodzaju ataku musi się skupić na jednym, ewentualnie kilku klientach, którzy w dodatku niekoniecznie muszą na koncie mieć sumę "rekompensującą" wysiłek włożony w tego typu atak. Dlatego właśnie MiTM najczęściej stosuje się w celu kradzieży tożsamości i danych.

Wiele osób może się zastanawiać w jaki sposób atakujący wysyła maile z zaufanej domeny. Ściśle rzecz biorąc, nie robi on tego dosłownie z domeny np. Microsoftu, jak było w przypadku fałszywej aktualizacji, ale korzysta z metod podrabiania nadawcy. Poniżej Macieja Ziarka zaprezentował taki właśnie przykład: