Obecnie bardzo powszechne w Internecie są ataki typu phishing. W komunikacie wyjaśniamy jak wygląda standardowy ataki oraz wskazujemy przykłady fałszywych stron WWW jako lekcja dla wszystkich użytkowników Internetu.
Na czy polega atak?
Przestępcy przygotowują serwis www, który ma łudząco przypominać inny. Następnie spreparowana strona www zostaje dostarczona użytkownikom właściwego serwisu, aby skłonić ich do podania danych do logowania. W przypadku, gdy uda się użytkownika oszukać, jego dane zostaną wykorzystane do zalogowania do właściwego serwisu przez przestępców.
Świadomość użytkowników dotycząca phishingu z roku na rok jest coraz większa. Dlatego w celu przeprowadzenia skutecznego ataku, przestępcy są zmuszeni do starannego przygotowywania materiałów wykorzystywanych w phishingu oraz do wymyślania coraz to nowych technik.
W obszarze phishingu z wykorzystaniem fałszywego serwisu www atakujący mogą korzystać np.:
z certyfikatów HTTPS i SSL – dzisiaj w łatwy i tani sposób atakujący może zapewnić szyfrowanie połączenia w komunikacji z fałszywą stroną www, co sprawi, że strona będzie wyglądać na godną zaufania;
z nazw domen przypominających te prawdziwe (IDN homograph attack) – atakujący mogą tworzyć nazwy domen wykorzystując dogodne ustawienie liter, które będą przypominały inne litery, np. wykorzystanie nn lub rn, które można przeczytać jako literę m, cl jako d, czy vv jako w itp. Ponadto atakujący przy tworzeniu nazw domen mogą wykorzystywać specjalne znaki, wykraczające poza zakres podstawowego łacińskiego zbioru znaków Unicode, np. znaki: ḁ, ḇ, ḛ (rozszerzony łaciński Unicode) albo ã, ë, þ (UTF-8);
z reklam wyświetlanych w mediach społecznościowych lub w wyszukiwarkach internetowych;
z możliwości ukrywania prawdziwego adresu URL, tj. jego zakodowania metodą URL Charakter Encoding, (np. przy użyciu linku https://%73%6f%63%7a%6b%6f%2e%70%6c użytkownik zostanie przekierowany do strony soczko.pl, która akurat jest bezpieczna 😊);
z usług skracania adresów URL, które jednocześnie ukrywają ten prawdziwy (np. link https://bit.ly/3rKlCVs poprowadzi do strony https://www.soczko.pl/oferta/ochrona-danych-osobowych/).
Wyłudzenie danych
Jeżeli fałszywa strona ma za zadanie wyłudzenie danych, to będzie ona wyposażona w formularz łudząco przypominający panel do logowania. Po jego wypełnieniu i kliknięciu w stosowny przycisk, zamiast zalogowania do serwisu online, podane przez użytkownika dane zostaną przesłane do kontrolowanego przez przestępców serwera.
UWAGA! Spreparowany formularz może być skonstruowany tak, że po przesłaniu danych do logowania ofiara zostanie automatycznie przekierowana do właściwego serwisu, gdzie będzie mogła ponownie podjąć próbę logowania (tym razem, pomyślnego – o ile użytkownik posłuży się poprawnymi danymi do logowania). Dzięki czemu ofiara może się nie zorientować, iż wcześniej ujawniła swoje poświadczenia.
Co więcej, aby zwiększyć prawdopodobieństwo podania przez ofiarę prawidłowych danych, podrobiony formularz może zwracać komunikat o błędnie podanym identyfikatorze (loginie) lub haśle. Dzięki temu ofiara kilkukrotnie wprowadza swoje poświadczenia, potwierdzając ich prawidłowość.
Klienci banków na celowniku przestępców
Klienci banków oraz pośredników płatności stają się często celem przestępców, o czym pisaliśmy w naszym Komunikacie. ostrzegającym przed oszustami podszywającymi się pod bank. Dotyczy to również fałszowania stron internetowych, czego potwierdzeniem są ataki z ostatnich miesięcy, w których odnotowano podszywanie się, aż pod 6 różnych serwisów www polskich banków.
Poniżej przedstawiono zestawienie ostatnich przypadków oszustw. W szczególności na uwagę zasługuje ostatni z nich, w którym atakujący posłużyli się nazwą domeny łudząco przypominającą prawdziwą.
Informacje o fałszywych stronach oraz zrzuty ekranów pochodzą z CSIRT KNF.
Alior Bank (informacja z dnia 16-tego września)
Fałszywy adres: hxxps://aliorgroup.org Prawidłowy adres: https://www.aliorbank.pl
ING Bank Śląski (informacja z dnia 29-tego września)
Fałszywy adres: hxxps://inq-login.com/ Prawidłowy adres: https://login.ingbank.pl/
Bank Credit Agricol (informacja z dnia 5-tego października)
Fałszywy adres: hxxps://agricol-bank.com Prawidłowy adres: https://www.credit-agricole.pl/
Bank Pekao (informacja z dnia 11-tego października)
Fałszywy adres: hxxps://pekaopl.com Prawidłowy adres: https://www.pekao.com.pl/
Bank Millennium (informacja z dnia 4-tego listopada)
Fałszywy adres: hxxtps://id.my-1235.xyz Prawidłowy adres: https://www.bankmillennium.pl/
mBank (informacja z dnia 29-tego listopada)
Fałszywy adres: hxxtps://online.mbḁnk.com Prawidłowy adres: https://online.mbank.pl
