Locked History Actions

Phishing

Phishing

Duomenų vagystė „phishing“ (angl. terminas phishing kilęs nuo žodžių password fishing - slaptažodžių žvejyba) - tai tokia sukčiavimo forma prieš organizacijas ar privačius asmenis, kai pasinaudojant nepageidaujamomis elektroninio pašto žinutėmis ar falsifikuotais internetiniais tinklalapiais siekiama išgauti prisijungimo prie informacinių sistemų slaptažodžius ar kitus konfidencialius duomenis. Dažniausiai tokio pobūdžio atakos būna nukreiptos prieš bankų klientus, siekiant sužinoti jų prisijungimo prie elektroninės bankininkystės sistemų slaptažodžius ar kreditinių kortelių duomenis. Vėliau tokiu būdu gauta informacija gali būti panaudota siekiant pasipelnyti vykdant nusikalstamas veikas: neteisėtus prisijungimus prie informacinių sistemų, pinigų vagystes iš sąskaitų ar elektroninėje erdvėje atsiskaitant už prekes svetimomis kortelėmis.

Kaip veikia „phishing“?

Paprastai ataka pradedama nuo elektroninio pašto laiškų, atrodančių taip, lyg jie būtų siunčiami banko ar kitos rimtos organizacijos.

1.jpg

1 pav. Pishing laiško pavyzdys

2.jpg

2 pav. Pishing laiško pavyzdys

Laiško siuntėjo laukelyje esantis adresas dažniausiai būna netikras (falsifikuotas). Pavyzdžiui, laiške gali būti pranešama, kad sustabdytas vartotojo sąskaitos galiojimas, ir nurodoma, kad kol jis neužpildys tam tikrų duomenų pateiktoje anketoje, jo sąskaitos galiojimas nebus atnaujintas. Arba neva keičiantis aptarnavimo sistemai ar jos konfigūracijai reikia atnaujinti prisijungimo duomenis, todėl prašoma juos pateikti ir t.t.

Pagrindinė „phishing“ laiškų taisyklė – įtikinama priežastis (kodėl vartotojas turi pateikti tam tikrus duomenis) ir įtikinama aplinka tiems veiksmams atlikti (oficiali laiško forma bei suklastotas organizacijos neva siunčiančios tokį prašymą svetainė).

Dažniausiai tokiuose laiškuose būna nuoroda į suklastotą internetinį puslapį, neva priklausantį organizacijai, kurios vardu siunčiamas „phishing“ laiškas. Verta atkreipti dėmesį, kad tinklalapio adresas kartais būna beveik identiškas tikrajam tos organizacijos svetainės adresui (gali skirtis viena raidė ar simbolis). Kadangi dažniausiai klonuojami bankų tinklalapiai, paprastai prašoma atsiųsti banko sąskaitos duomenis, prisijungimo slaptažodžius ar kitus konfidencialius duomenis.

3.jpg

3 pav. Suklastotas Yahoo puslapis

4.jpg

4 pav. Suklastotas TEO puslapis

5.jpg

5 pav. Suklastotas facebook puslapis

Laiškas, be teksto ir nuorodų, gali turėti priedus su kenkėjiška programine įranga, atidarius, tokį priedą įsilaužėliai gali gauti priėjimą prie jūsų kompiuterio ir savarankiškai susirinkti jiems reikiamus duomenis iš sistemos.

Dažniausiai naudojami scenarijai

Žinutės iš banko. Banko vardu siunčiamas elektroninis laiškas, kurio forma bei grafinis išpildymas atrodo įtikinamai. Paprastai tokiame laiške yra pretekstas, pavyzdžiui, „Jūsų banko sąskaitos galiojimas laikinai sustabdytas, norėdami atnaujinti sąskaitos galiojimą nuspauskite žemiau esančią nuorodą bei prisijunkite prie elektroninės bankininkystės svetainės“. Vartotojas nuspaudęs tokią nuorodą, patenka į suklastotą neva banko tinklalapį. Tokio tinklalapio išpildymas vizualiai gali nesiskirti nuo realios bankinės sistemos, tačiau tikrai skirsis jo interneto adresas – galbūt viena raide, galbūt vienu skaičiumi ar simboliu. Taip pat tokia svetainė nenaudos saugaus https ryšio bei neturės galiojančio, banko vardu išduoto SSL sertifikato. Kitas žingsnis – prisijungimui bus reikalaujama ne vieno kodų kortelės kodo, bet, tikėtina, visų. Taip yra todėl, kad net ir žinodami jūsų vartotojo vardą bei slaptažodį, nusikaltėliai negali prisijungti prie jūsų banko sąskaitos neturėdami jūsų kodų kortelės duomenų. Kadangi bankai prašo vartotojų įvesti vieną iš daugelio kodų bandant prisijungti prie banko sąskaitos, o banko sistemos kodas prašomas kodas bendru atveju parenkamas atsitiktiniu būdu - tai neleidžia nusikaltėliams nuspėti, kokio kodo reikės prisijungimui, todėl paprasčiausias sprendimas jų atžvilgiu paprašyti vartotojų įvesti visus.

Kitas banko prašymo scenarijus: banko vardu išsiunčiamas įtikinamai atrodantis laiškas, kurio forma bei grafinis išpildymas nekelia didelių įtarimų. Tokiame laiške bus tam tikras pretekstas prašymui, pavyzdžiui, kvietimas dalyvauti klientų apklausoje bei galbūt laimėti įvairius prizus. Norėdamas sudalyvauti apklausoje, vartotojas turi nuspausti nuorodą, esančią laiške bei prisijungti prie suklastotos elektroninės bankininkystės sistemos tinklalapio. Scenarijus yra panašus į prieš tai esantį, tačiau, jo mintis yra tokia – „dalyvavimui apklausoje“ reikia prisijungti prie banko, tam jūsų prašoma įvesti vartotojo vardą, slaptažodį bei vieną kodą iš kodų kortelės. Toks prisijungimas lyg ir nesukelia įtarimų, tačiau šio scenarijaus metu, suklastotas tinklalapis fone perduoda šiuos prisijungimo duomenis realiai banko sistemai. Vėliau būtų atvaizduojama „apklausa“, o atsakius į jos klausimus, jūsų būtų paprašyta įvesti dar vieną kodą iš kodų kortelės tam, kad būtų patvirtinamas jūsų dalyvavimas „apklausoje“. T.y. viskas atrodo kaip realus darbas su banko sistema - vienas kodas prisijungimui, kitas kodas „dalyvavimui patvirtinti“, tačiau iš tikrųjų, antruoju kodu yra paprasčiausiai patvirtinamas pinigų pervedimas į kitą, nusikaltėlių kontroliuojamą, sąskaitą ir fone perduodamas realiai banko sistemai įvykdyti.

Taigi paprasčiausias būdas apsisaugoti – traktuoti banko vardu siunčiamus elektroninius laiškus su prašymais prisijungti prie sistemos kaip „phishing“ bandymus. Bankai nesiunčia elektroninių laiškų su prašymais pateikti vartotojo ar asmens duomenis.

Prašymas iš sistemų administratoriaus – dar vienas galimas scenarijus yra toks: jūsų įmonės ar organizacijos IT ūkio administratoriaus vardu yra siunčiamas laiškas su prašymu paleisti prisegtą vykdomąją bylą ar atsisiųsti ją iš pateikiamos nuorodos internete. Pretekstas gali būti „siekiant išvengti ryšio sutrikimų“ ar kažkoks kitas, nesukeliantis įtarimo. Jūs paleidžiate vykdomąją bylą, kurioje iš tiesų yra kenkėjiška programinė įranga, o įsilaužėliai gauna priėjimą prie jūsų kompiuterio sistemos. Taip pat sistemų administratoriaus ar kito darbuotojo vardu gali būti prašoma atskleisti prisijungimo duomenis prie kažkokios sistemos ar pan. Elektroninio laiško siuntėjo adresas yra lengvai suklastojamas, todėl nėra laikomas patikimumo įrodymu.

Kaip apsisaugoti?

Norint apsisaugoti, reikia suvokti, jog „phishing“ laiškus gausite jei ne kas dieną tai bent keletą kartų į metus. Pastebima, jog „phishing“ bandymai, nukreipti prieš kitų valstybių bankų naudotojus Lietuvoje traktuojami kaip nepageidaujami elektroniniai laiškai, bei nesulaukia didesnio vartotojų dėmesio, dėl to, kad tai paprasčiausiai neaktualu. Tačiau „phishing“ laiškai siunčiami lietuvių kalba atrodo įtikinamiau.

Siekiant neužkibti, visų pirma, labai atsargiai įvertinkite laiškus, kuriuose prašoma pateikti konfidencialią informaciją.

Žinokite, kad patikimos kompanijos, o ypač bankai, niekada neprašo tokios informacijos pateikti elektroninio pašto laiškais.

Neatsakinėkite į aukščiau aprašytus požymius atitinkančius „phishing“ laiškus ir nesinaudokite pateikiamomis nuorodomis į internetinius tinklalapius, kadangi tai gali būti užmaskuoti „phishing“ tinklalapiai arba kenkėjiška programinė įranga, skirta duomenims slapta rinkti jūsų kompiuteryje.

Jeigu nusprendėte „prisijungti“, padarykite tai atskirame naršyklės lange, rankiniu būdu įvesdami savo elektroninės bankininkystės sistemos adresą, kuriuo lankotės įprastai (t. y. ne tą, kuris pateikiamas el. laiške).

Neįvedinėkite svarbios informacijos į iššokančius (pop-up) langus.

Naudokite antivirusinį sprendimą – antivirusinė sistema neretai yra paskutinis gynybos ruožas, lemiantis pažeidžiamumo išnaudojimo sėkmę. Net jei ir naudojate pažeidžiamą programinę įrangą, antivirusinė sistema gali pastebėti ir sustabdyti pažeidžiamumo išnaudojimo bandymą.

Atnaujinkite antivirusinio sprendimo duomenų bazes – antivirusinių programų gamintojai išleidžia atnaujinimus beveik kasdien, todėl atnaujinę bazes visuomet būsite pasiruošę atremti naujausias grėsmes.

Naudokite užkardą – tinkamai suderinta užkarda gali užkirsti kelią įsilaužėliams į jūsų sistemą, kadangi užkarda blokuos bandymus atakuoti jūsų kompiuterį per joje veikiančią tinklo programinę įrangą ar nuotoliniu būdu išnaudoti operacinės sistemos spragas.

Įsitikinkite, kad puslapis naudoja SSL ryšį. Puslapio adresas turi prasidėti ne http://, o https://, be to, naršyklės vartotojo sąsajoje atsiranda specialus ženklelis, kurį paspaudus galima patikrinti šifravimui naudojamą SSL sertifikatą.

Reguliariai atnaujinkite kompiuterio operacinę sistemą bei programinę įrangą. Laiku atsinaujinant sumažėja tikimybė, jog įsilaužėliams pavyks pasinaudoti įvairiais pažeidžiamumais

„Phishing“ laiškų ir tinklalapių paplitimo mastas

Nuo 2012 m. pastebimas „phishing“ atakų augimas socialiniuose tinkluose. Pirmąjį 2014 m. ketvirtį duomenų vagystės socialiniuose tinkluose sudarė 37,6 proc. visų „phishing“ atakų. Nusikaltėliai dažniausiai klastoja „Facebook“ ir „Linkedln“ pranešimus. Tolimesniduomenis vagiančių nusikaltėlių prioritetai buvo paieškos sistemos (16 proc.), finansinės operacijos ir el. mokėjimai (14 proc.). Visų šių atakų tikslas – išgauti asmeninius vartotojo duomenis, suteikiančius prieigą prie jo mokėjimo sistemų.

Duomenų vagysčių aktyvumo pasiskirstymas pirmąjį 2014 metų ketvirtį „Kaspersky lab“ duomenimis atrodė taip:

6.jpg

Daugiausia duomenų vagysčių tinklalapių talpinama JAV (25,4 proc.). Antroje vietoje – Jungtinė Karalystė (8,2 proc.). „Phishing“ tinklalapių talpinimo pasiskirstymas pagal šalis atrodo taip:

7.jpg

paskutinį kartą redaguota 2014-04-07 18:39:21 redaktoriaus JevgenjPetrik