Pentru a lamuri anumite aspecte dezbatute la articolul anterior, scris de Alex, despre phishing-ul Raiffeisen, ne-am gandit sa ne implicam voluntar si sa incercam periodic sa va oferim cat mai multe informatii despre ce se intampla cu adevarat in spatele acestor mesaje, scrie Simona Bogdan pe blogul Subiectiv.

Mai intai, putina istorie

Phishing-ul, la noi, este inca la inceput. Abia anul acesta numarul de atacuri a crescut suficient de mult incat sa devina considerabil si enervant.

Daca acum 2-3 ani era la inceput, atat din punctul de vedere al tehnicilor utilizate, cat si al numarului de clienti la care era trimis, phishing-ul a evoluat foarte mult, ajungand si in Romania la standarde internationale. In 2007, phishing-urile contineau greseli gramaticale, pe cand acum se folosesc de HTML-uri atasate si de posibilitatile de encodare din Java pentru a ocoli solutiile antiphishing (in special cele integrate in browserele internet care se bazeaza strict pe un RBL - real time blacklisting).

Phishing-ul este cel mai important si cel mai periculos tip de spam. Phishing (derivat din termenul din limba engleza pentru “pescuit”) sau “brand spoofing” (imitarea imaginii), este o forma elaborata de sustragere de date, care vizeaza mai ales clientii companiilor ISP, ai bancilor, ai serviciilor bancare online, agentii guvernamentale etc.

Autorii de phishing creeaza pagini web contrafacute, care imita imaginea unor corporatii furnizoare de servicii binecunoscute, pentru a inspira incredere. Dupa ce colecteaza sau genereaza adrese de email, infractorii “lanseaza momeala”.

Este trimis un mesaj prin e-mail sau mesagerie instant, cu un subiect credibil, prin care incearca sa convinga sa se completeze informatii confidentiale prin accesarea unei pagini web (link “click aici”; link URL; link tip imagine; text link) sau prin completarea unui formular in textul mesajului. Mesajul pare sa aiba un motiv plauzibil si chiar aduce argumente convingatoare pentru a va determina sa actionati imediat.

Exemple de subiect pentru email: “Update Your PayPal Account“, “Your eBay User Account has been suspended!“, “Initiativa Bancii Nationale a Romaniei (BNR) - colaborare”. Informatiile cerute sunt de obicei:

* Numarul cardului de credit-debit

* Codul PIN pentru ATM

* Informatii despre contul bancar

* Codul numeric personal/contul de asigurare

* Parole

* Conturi de email

* Alte date personale.

Odata publicate, informatiile nu mai sunt confidentiale si sunt imediat folosite de catre infractori, in interesul lor. In general, este foarte greu sa recuperati sumele pierdute, deoarece paginile folosite de autorii de phishing sunt online numai pentru cateva zile sau chiar ore.

Tehnici de phishing

Principala metoda este folosirea unui e-mail credibil, intentionat sa va directioneze catre o pagina falsa. Unele mesaje contin un formular de inscriere direct in textul continut. Trebuie sa tineti cont de faptul ca organizatiile oficiale nu trimit niciodata astfel de mesaje, care solicita informatii personale. In aceste pagini este posibil sa observati ca adresa URL nu este cea corecta. Exista, totusi, metode de falsificare a URL-ului:

* “Social engineering”

URL-ul este foarte asemanator cu cel real, lucru ce poate fi detectat la prima vedere. De exemplu, adresa http://www.volksbank.com poate fi inlocuita cu http://www.voIksbank.com. Daca aveti impresia ca sunt identice, va inselati. Litera mica “L” este inlocuita cu majuscula literei “I” (l vs. I).

* Vulnerabilitatile browser-ului

Pagina falsa poate contine un script de exploatare a browser-ului. In acest caz, se afiseaza URL-ul real, insa pagina accesata este cea de pe serverul fals. De exemplu, in bara de adrese din browser se poate afisa o imagine. Nu puteti da “click” in campul barei pentru a marca URL-ul. Alte tehnici de exploatare aplica un camp fals, in care veti putea chiar sa marcati un URL.

* Pop-up

Link-ul din e-mail este catre pagina reala, insa o alta fereastra de navigare se afiseaza in prim-plan. Pagina reala poate fi navigata, practic, fara riscuri, insa trebuie sa va feriti de cealalta fereastra. De obicei, aceste ferestre pop-up nu au o bara de adrese, prin care sa identificati o pagina falsa.

* Nici o bara de adrese

Unele pagini false nu afiseaza nici o bara de adrese si, daca nu urmariti acest lucru in mod deosebit, este posibil sa nu observati ca lipseste.

In afara de exploatarea barei de adrese, se folosesc si alte tehnici, in mod individual sau suplimentar, pentru a accesa informatii confidentiale:

* Alte vulnerabilitati ale browser-ului

Se pot exploata si alte vulnerabilitati pentru a descarca si a rula cod malware. Un asemenea program poate fi un troian, care inregistreaza datele introduse de la tastatura si traficul Internet, mai ales cand completati si trimiteti un formular online.

* “Man in the middle”

Probabil cea mai elaborata metoda, deoarece nu trebuie sa modifice nimic pe computerul local. Autorul de phishing este situat intre utilizator si serverul fals, dirijand astfel conexiunea.

Citeste restul articolului si comenteaza pe blogul lui Alex Mihaileanu.