Az adathalász művelet anatómiája

2009 tavaszán valakinek a fiókjává vált. Gondolnád, hogy egy olyan ember, aki informatikai biztonságról ír, jobban tud. De nem tettem. Az összes érzelem közül a szégyenteltség volt a legrosszabb. Különösen azért, mert csak nappal korábban írtam a cikk: "Az adathalászat: az a web valódi vagy sem?"

Míg a "szegény engem" funkciómban, eszembe jutott egy jól viselt klixe, és úgy döntöttem, hogy a közmondásos limonádét készíthetem a szoptatás helyett. Vagy még jobb, kérdezze meg a szakértőket, hogyan lehet elkerülni az olyan digitális művészeket, mint amilyenbe beleütköztem, majd írjak róla.

Ebből a célból szeretném, ha találkozol valakivel, akinek bárcsak akkor ismertem volna meg. Johnnak hívják Brozycki. Megérti az adathalászatot, minden bosszantó részletet; megbízólevele: egy vödör tele van GIAC tanúsítvánnyal, éves tapasztalattal és hajlandósággal megosztani azt, amit tud.

Ironikus módon abban a pillanatban, amikor adathalászok voltak, John "Az adathalász belsejében" című cikket írt egy adott adathalászról, annak meneküléseiről és a hatóságok általi esetleges levetésről. Ez az egyik legjobb kommentár, amelyet olvastam a sikeres adathalászati ​​művelet belső működéséről.

Értékessé teszi ezt a papírt az, hogy John képes az adathalász és az adathalász adatai alapján összegyűjteni az adathalász támadás végrehajtásának részleteit:

Sokszor azt akartam, hogy lehetek „légy a falon”, és megnézem, hogyan működik egy adathalász, megértve, hogy nem csak az összes adathalászat reprezentálja, csak az, ha egy bankfelfüggesztést figyelnek, az összes bankrablót képvisel. Függetlenül attól, tudtam, hogy nagyon sok információ található az e-mailekben, és rögtön rákérdeztem, hogy tudom-e megvizsgálni az adatokat.

Időbe telt, néhány évvel később, amíg John végre engedélyt kapott a vizsgálatban részt vevő ügyek áttekintésére:

Azt mondták, hogy nem tudtam, míg aktív nyomozás volt. Néhány év után az időszakos kéréseim végre pozitív választ kaptak. Megtanultam, hogy bejelentkezhetek az adatok áttekintésére, és vállaltam, hogy nem használok részleteket, például neveket, IP-címeket és szervezeteket. Tanulmányozni akartam a phish módszereit és működését.

John azt is elmagyarázta, miért fontos az érintett pénzügyi intézmény ellenőrzése:

Amikor elkezdtem áttekinteni az információkat, elkezdtem gondolkodni azon pénzügyi intézményen is, amely ellen az adathalász elkövette. Mit csináltak és hogyan reagáltak, miközben az adathalász játékban volt? Mit csináltak hatékonyan, és mit tehetek volna jobban?

Egy példa

Mielőtt megismernénk a János nyomozásának részleteit, azt gondoltam, hogy a legjobb volna megmagyarázni az adathalászat kezdeteit. A phish két alapvető összetevőből áll: kérések és válaszok.

Kérés : A szándékos áldozat e-mailt kap (egy átverés e-mail üzenetének anatómiája) - állítólag egy olyan szervezettől (általában pénzügyi), amelyhez a szándékos áldozat tartozik - egy kérvényt hordozva, egy szem előtt tartva - kérje az áldozatot reagál. Az alábbi dia példa egy ilyen kérelemre (Mindkét diák a Cadzow.com jóvoltából).

Válasz : Az áldozat dönti el, hogy az e-mailben található linkre kattint-e vagy sem. Ha az áldozat rákattint a linkre, megnyílik a következő adathalász weboldal, amely újabb kérést jelenít meg.

Mint láthatja, az adathalász megkísérel érzékeny pénzügyi információkat szerezni. És ha az áldozat reagál, akkor az adathalász nyeri. Forrásom szerint (nem ellenőrzött) ez az adathalász kampány több mint a Citibank tagjait becsapta. Most nézzük meg, mit indított John nyomozása.

Adathalász-készletek

A rendészeti szervekkel kötött megállapodás részeként John megígérte, hogy nem fog nyilvánosságra hozni észrevehető információkat; Tehát találkozzon Bob-val - a csúnya adathalóval - és a GIAC Bankkal - a másolt pénzintézettel. Megállapodással John megnézte az adathalász készletet és az e-mail beszélgetéseket, amelyeket Bob más ügynökökkel folytatott.

Azok számára, akik nem ismerik az adathalász készleteket, ez az adathalász webhely létrehozásához szükséges összes fájl archívuma. John megemlíti, hogy miért hasznos az adathalászkészlet boncolása:

Ha beszerezheti adathalász készlet, rengeteg információt nyújthat. Megnyitva a kit és a forráskódot a PHP parancsfájlokból átnézve megtaláltam azt az e-mail címet, ahova az adatgyűjtés történt.

Arra gondoltam, hogy érdekes lehet néhány olyan fájlt megnézni, amelyet John a GIAC Bank adathalászati ​​készletében talált:

  • A Config.php konfigurálja a tárhely URL-jét, az adathalász vak-csepp e-mail címét, ahol a számlaadatokat el kell küldeni, valamint a megcélzott pénzügyi intézmény nevét.
  • Az Index.php létrehozza a kezdőlapot, amely bejelentkezési információkat kér. A megfelelő információk megadása és a beküldés gombra kattintás után az adatok a Login.php fájlba kerülnek.
  • A Login.php beállítja az internetes űrlapot, amely a következőket kéri: kártya száma, lejárat dátuma, cvv2 (a kártya hátoldalára nyomtatott szám) és PIN-kód.

Olyan hamis webhely, amely elég hasonló ahhoz, hogy becsapja az emberek többségét, és érzékeny pénzügyi számlainformációkat kér - mi nem tetszik? Ahhoz, hogy még hivatalosabbá váljon, Bob meggyőződött arról, hogy az adathalász webhely benyomást kelt a megfelelő digitális tanúsítványokkal.

A GIAC Bank megjeleníti a Verisign által biztosított képet a bank weboldalain. Bob azt kérte, hogy az elem az adathalász weboldalon is legyen - nem kis feladat, ahogy John elmagyarázza:

A GIAC Bank a Verisign-t használja a webhely digitális tanúsítványához, és az oldalán egy elemet futtat, amelyet a Verisign biztosít, ezzel biztosítva a látogatók számára, hogy a megtekintett oldal hiteles és biztonságos. A phish az Adobe Shockwave fájlt olyan animációval helyettesítette, amely utánozza a valódi Verisign elemet (11. ábra). Ez egy okos érintés. Még szebb is, ez az animáció vektorgrafikákból készül, nem pedig a valódi logóból készült képrögzítés.

E-mail naplók

Mialatt a vizsgálat zajlott, John segített a rendészeti szerveknek az e-mail naplók megfejteni, ám évek óta nem volt ismert a tényleges e-mailekkel (ne feledje, hogy Johnnak meg kellett várnia, amíg a nyomozás befejeződik). A naplók megnézése után John meg volt győződve arról, hogy a tényleges e-mailek hatalmas mennyiségű operatív információt nyújtanak.

Miután a hatóságok hozzáférést adtak Johnnak az e-mailekhez, megtudott valami érdekes dolgot. Bob nagyon kevés munkát végzett a tényleges munkából; koordinátor volt, több adathalász műveletet végzett, mindegyik öt különböző pénzügyi intézményre irányult. Bob parcellázott munkahelyek a következők voltak:

  • A potenciális áldozatok felderítése és az azokhoz kapcsolódó pénzügyi intézmények felmérése fontos első lépés volt.
  • Szükség volt az áldozatok célcím-felsorolására a közös pénzügyi intézmények segítségével.
  • Az adathalász e-mailek postai kézbesítése az összes lehetséges áldozatnak.
  • Veszélyes webszerverek, így az adathalász készletek a tényleges tulajdonos tudta nélkül telepíthetők.
  • Az adathalászkészlet létrehozása és módosítása kritikus volt az áldozatok becsapásának legnagyobb esélye számára.
  • A veszélyeztetett kártyaszámlák bevételszerzése Bob és az összes érintett harmadik fél üzemeltetője számára.

Ennek el kell adnia egy ötletet, hogy mi szükséges a sikeres adathalász művelet végrehajtásához, és a mélység-adathalászok akkor mennek oda, ha pénzt kell keresni.

Mit tett rosszul Bob?

John szerint Bob több hibát követett el. Először, nem törölte az adathalászkészletet a veszélyeztetett webszerverekről. Ez lehetővé tette a hatóságok számára, hogy figyelmeztessék a megcélzott pénzügyi intézményeket, hozzájárulva a támadás hatásának nagy részének eltereléséhez. Bob az áldozatok naplóját is tartotta a webszerveren. Az áldozatok listája lehetőséget adott a hatóságoknak, hogy hamarosan figyelmeztessék az áldozatokat, hogy megakadályozzák számláik veszélyeztetését.

Végső gondolatok

Néhány dolog kiemelkedik a fejemben. A szakértők kommentálják, hogy a bűnözők hogyan működnek üzleti módon. És Bob esetében ez igaz. Van még egy kiindulási pont - finanszírozás; A pénzkezelés kicsit kreatívabbnak tűnik, mint amit megszoktam. John többször is rámutatott, hogy ha Bobnak bármi szüksége van - akár személyes, akár a mûveletére -, akkor egyszerűen ellopott bankkártyákat használ. Ez az egyik módja annak, hogy kiküszöböljük a kockázattal járó beruházásokat.

Ez a cikk összetett darab volt; El tudom képzelni, hogy John milyen erőfeszítéseket hajtott végre kutatási évei alatt. Ezért szeretném őszinte szívből köszönetet mondani Johnnak és a SANS-nak is, mert megengedte, hogy ebben a cikkben felhasználjam John részének cikkeit.

2009 óta folyamatosan jelentést teszek az adathalászról, és sok cikk továbbra is releváns. Ha érdekli, itt találhatók.

© Copyright 2020 | mobilegn.com