Phishing: metody ataków

Przeczytaj także: Świąteczne prezenty: robaki i trojany

Do niedawna (na szczęście problem jest już rozwiązany przez Google) inną metodą ukrywania prawdziwych linków było wykorzystywanie Google redirect. W metodzie tej, każda litera alfabetu ma określony trójznakowy symbol... Przykładowo A to %61, B to %62, C to %63 itd. Dodatkowo początek adresu zawsze zaczyna się od http://www.google.com/url?q= tak więc chcąc przekierować kogoś na stronę, na przykład, VirusList.pl wystarczyło użyć tego adresu URL (jak pisałem wyżej, Google naprawiło błąd i ostrzega o przekierowaniu strony): http://www.google.com/url?q=%68%74%74%70%3A//%77%77%77%2e%76%69%72%75%73%6C%69%73%74%2e%70%6C

Teraz pora skupić się na trojanach i programach szpiegujących jakie są używane w phishingu. Nie sposób omówić wszystkich trojanów oraz sposobów ich działania, dlatego autor artykułu skupił się na tych bardziej znanych, a są to Trojan-Spy.html, Trojan.Win32.Qhost oraz Trojan.Win32.DNSChanger. Ten pierwszy ma wiele wariacji, a każda z nich dotyczy innego banku/instytucji (wtedy do głównej nazwy dodawana jest informacja kojarząca tego trojana z konkretną firmą).
Rysunek obok prezentuje pierwszego trojana: Trojan-Spy.html w wersji Bankfraud.ri. Działa on w przeglądarkach Internet Explorer w wersjach 5 i 6 wykorzystując lukę FrameSpoof. Wiadomość jest kierowana do klientów banku BB&T. Po kliknięciu odnośnika, trojan wyświetla formularz w postaci strony HTML, który po wypełnieniu trafia do twórcy trojana.

Trojan.Win32.Qhost - jest to trojan ukrywający się pod postacią pliku PE EXE o rozmiarze około 2 KB (kompresja FSG, rozmiar po rozpakowaniu - około 24 KB). Podczas uruchamiania trojan modyfikuje plik %System%\drivers\etc\hosts wykorzystywany do tłumaczenia nazw domenowych na adresy IP. Szkodnik dodaje do pliku hosts poniższe teksty, w wyniku czego użytkownik zainfekowanego komputera nie ma możliwości odwiedzania tych stron WWW:

127.0.0.1 e-finder.cc
127.0.0.1 fast-look.com
127.0.0.1 vv7.al.57e.net
127.0.0.1 ewizard.cc
127.0.0.1 awmdabest.com
.
.
.
127.0.0.1 www.6o9.com
127.0.0.1 new.8ad.com
127.0.0.1 adulthell.com
127.0.0.1 datingforlove.org
127.0.0.1 meetyourfriend.biz

Źródło: http://viruslist.pl/encyclopedia.html?cat=11&uid=4444

Bardzo ciekawym, a zarazem mało popularnym, bo trudnym do przeprowadzenia atakiem jest pharming. W skrócie polega on na zmianie adresów DNS na komputerze/serwerze ofiary. Jak wiadomo, w sieci każda strona jest tłumaczona z adresu IP, na postać zrozumiałą dla ludzi. Jest to wygodne, a adresy łatwiej zapamiętać.