Redakcja
Biulety przygotowuje redakcja Dziennika Internautów
Copyright © 2007-2009
Dziennik Internautów
AKTUALNOŚCI
Socjotechnika, phishing i keyloggery, czyli jak nie stracić hasła do swego konta
Scenariuszy mogących prowadzić do utraty hasła jest dużo. Część cyberprzestępców stawia na niewiedzę użytkowników sieci, inni liczą na ich niefrasobliwość. Wiele metod wyłudzania poufnych danych opiera się na socjotechnice, nazywanej też inżynierią społeczną.
To czynnik ludzki jest piętą achillesową systemów bezpieczeństwa – napisał w swojej książce pt. „Sztuka podstępu” Kevin Mitnick, jeden z najbardziej znanych komputerowych włamywaczy, skazany za swoje przestępstwa na wieloletnie pozbawienie wolności. Aby uzyskać poufne informacje, posługiwał się on szeregiem socjotechnicznych tricków.
„Stopa w drzwiach” czy „drzwiami w twarz”?
Uprawnienia potrzebne do infiltracji systemów informatycznych Mitnick zdobywał... prosząc o nie. Psychologom znane są dwie metody wyłudzania zastrzeżonych danych, takich jak loginy i hasła. Pierwsza nosi nazwę „stopa w drzwiach” i polega na poprzedzaniu właściwej prośby innymi mniej istotnymi. Dzięki temu pomiędzy kolejnymi prośbami nie ma dużego kontrastu i osoba je spełniająca nie czuje z tego powodu dyskomfortu. W przypadku drugiej metody, nazywanej „drzwiami w twarz”, ofiara proszona jest o spełnienie prośby nieco wygórowanej w stosunku do właściwej. Zabieg ten sprawia, że osoba ulegająca socjotechnikowi nie chce odmawiać kolejny raz i podaje mu potrzebne dane.
Czy to działa? Tak, a udowodnili to tegoroczni uczestnicy konferencji Defcon. Otrzymali oni zadanie zdobycia poufnych informacji z wykorzystaniem inżynierii społecznej. Każdy miał do dyspozycji 25 minut, w czasie których dzwonił do jednej z wybranych przez organizatorów korporacji. Znalazły się wśród nich tak znane firmy, jak Apple, Google, Microsoft, Cisco Systems, brytyjski koncern naftowy BP, Procter and Gamble, Pepsi, Coca-Cola, Ford oraz Shell. Jedynie pracownicy trzech z dziesięciu korporacji odmówili współpracy (zob. Wielkie korporacje nieodporne na inżynierię społeczną – http://di.com.pl/news/32914.html).
Jeszcze lepsze warunki do wykradania haseł stwarza internet. Cyberprzestępcy mają do swojej dyspozycji czaty, komunikatory, pocztę elektroniczną, fora internetowe i zyskujące coraz większą popularność serwisy społecznościowe, które umożliwiają nawiązanie znajomości z obcymi osobami. Rozmawiając z kimś poznanym przez sieć, należy zachować ostrożność i nie odpowiadać nigdy na niegroźne z pozoru pytania dotyczące banku, w jakim mamy konto, stosowanych przez niego metod uwierzytelniania itp.
Spam i phishing – ulubione narzędzia socjotechników
Dobrym przykładem manipulowania w sieci jest spam. Według specjalistów ds. bezpieczeństwa stanowi on co najmniej 80 proc. wiadomości krążących w internecie. Część z nich zawiera odnośniki do spreparowanych stron internetowych służących wyłudzaniu poufnych danych. Typowy atak phishingowy składa się z kilku kroków. W pierwszej kolejności cyberprzestępca tworzy witrynę do złudzenia przypominającą oryginalną stronę logowania. Eksperci z laboratorium PandaLabs szacują, że co tydzień w sieci pojawia się 57 tys. nowych stron podszywających się pod około 375 rozpoznawalnych marek z całego świata. Prawie 65 proc. z nich udaje witryny różnych banków. Na drugim miejscu z udziałem przekraczającym 26 proc. plasują się podrobione strony sklepów internetowych (zob. Co tydzień przybywa 57 tys. złośliwych stron internetowych – http://di.com.pl/news/34072.html).
Kolejnym krokiem jest rozpowszechnienie odnośnika do spreparowanej strony. Cyberprzestępcy korzystają w tym celu z poczty elektronicznej, starają się też podrobione witryny wysoko wypozycjonować w wynikach wyszukiwania popularnych wyszukiwarek, takich jak Google czy Bing, mając nadzieję, że nieostrożni użytkownicy przez pomyłkę je odwiedzą. Jeżeli rozsyłane wiadomości będą sprawiać wrażenie wiarygodnych, jest szansa, że jej odbiorcy klikną zamieszczony w treści odnośnik i próbując zalogować się na stworzonej przez wyłudzacza stronie, przekażą mu dane dostępowe do swego konta (zob. Phishing – jak go rozpoznać i jak się przed nim chronić – http://bfi.di.com.pl/porady/34077.html).
Bardziej wyrafinowaną odmianą phishingu jest pharming. Cyberprzestępcy korzystający z tej metody nie muszą wysyłać do swoich ofiar żadnych e-maili, aby przekierować je na sfałszowaną stronę. Wystarczy, że zmienią adresy DNS na ich komputerach lub serwerach. Wówczas – po wpisaniu w przeglądarce adresu obranego za cel banku – użytkownicy automatycznie zostaną przeniesieni na podrobioną witrynę. Można to osiągnąć, wykorzystując odpowiedniego konia trojańskiego. Jak wynika z raportu firmy McAfee za III kwartał 2010 roku, codziennie zostaje wykrytych średnio 60 tys. nowych szkodliwych programów. Nie brakuje wśród nich aplikacji stworzonych w celu modyfikowania ustawień DNS na zainfekowanych komputerach. Cyberprzestępcy rozpowszechniają je m.in. przy użyciu poczty elektronicznej (zob. Pharming – na czym polega i jak się przed nim zabezpieczyć – http://bfi.di.com.pl/porady/34094.html).
Keyloggery – do czego służą i jak się przed nimi bronić
Kolejną metodą zdobywania poufnych informacji jest zainstalowanie na komputerze ofiary szkodliwego oprogramowania z funkcją keyloggera. Umożliwia ono monitorowanie i rejestrowanie wszystkich uderzeń klawiszy bez wiedzy użytkownika. Bardziej wyrafinowane narzędzia mogą śledzić odwiedzane strony WWW i zapisywać tylko te uderzenia klawiszy, które dotyczą serwisów istotnych z punktu widzenia atakującego. Pozyskane w ten sposób loginy, hasła i inne dane są przesyłane cyberprzestępcy.
Keyloggery rozprzestrzeniają się tak samo, jak inne złośliwe programy. Mogą np. zostać zainstalowane w systemie podczas otwierania pliku załączonego do e-maila. Według ekspertów z Kaspersky Lab w III kwartale 2010 roku liczba wiadomości spamowych zawierających szkodliwe załączniki zwiększyła się prawie dwukrotnie w porównaniu z poprzednim kwartałem. Spamerzy i cyberprzestępcy zaczęli ze sobą współpracować, a ich celem jest tworzenie złożonych strategii infekcji, które obejmują przyłączanie zainfekowanych komputerów do botnetu, wysyłanie spamu, kradzież informacji osobowych itd. – komentuje Daria Gudkowa, szefowa działu analizy i badań treści w Kaspersky Lab (zob. Spamerzy i cyberprzestępcy połączyli siły – http://di.com.pl/news/34645.html).
Atakujący może posłużyć się także skryptem zaimplementowanym w kodzie stworzonej przez siebie strony, który wykorzysta lukę w przeglądarce. Proces instalacji może zostać automatycznie uruchomiony, gdy użytkownik odwiedzi zainfekowaną witrynę. Odnośniki do tego typu stron są często publikowane w serwisach społecznościowych, takich jak Facebook czy Twitter. Oszuści starają się też wypozycjonować je w wynikach wyszukiwania, używając do tego celu aktualnych, wzbudzających zainteresowanie tematów.
Internauci świadomi kwestii bezpieczeństwa mogą łatwo zabezpieczyć się przed phishingiem, ignorując podejrzane wiadomości i unikając podawania informacji osobowych na niewiarygodnych stronach WWW. Trudniej jest walczyć z keyloggerami. Jedyną skuteczną metodą jest korzystanie z oprogramowania antywirusowego z ochroną proaktywną, która ostrzeże użytkownika w przypadku prób zainstalowania lub aktywowania aplikacji rejestrującej uderzenia klawiszy. Do ochrony przed keyloggerami można też wykorzystać wirtualną klawiaturę – program, który wyświetla klawiaturę na ekranie (system operacyjny Windows posiada wbudowaną klawiaturę ekranową, którą można uruchomić, wybierając po kolei następujące polecenia: Start > Programy > Akcesoria > Ułatwienia dostępu > Klawiatura ekranowa).
Zminimalizować straty, jeśli wprowadzone hasło zostanie przechwycone, może też pomóc stosowanie jednorazowych kodów uwierzytelniających. W przypadku Pekao24 transakcję można potwierdzić, posługując się 6-cyfrowym „hasłem” z karty kodów, kodem SMS albo kodem wygenerowanym przez PekaoToken, aplikację typu challenge-response instalowaną w telefonie komórkowym. Bez wątpienia najbezpieczniejszą metodą autoryzacji jest użycie PekaoTokena.