All Posts By

Thanos Giannopoulos

Επιθέσεις τύπου phishing

By | Best practices, Web Security | No Comments

Οι επιθέσεις τύπου phishing είναι ένα παράδειγμα κοινωνικής μηχανικής (social engineering), μιας τεχνικής που χρησιμοποιεί ψυχολογική χειραγώγηση για να παρασύρει χρήστες στο να εκτελέσουν ανεπιθύμητες ενέργειες ή στο να αποκαλύψουν εμπιστευτικές πληροφορίες.

Τις περισσότερες φορές, οι επιθέσεις τύπου phishing εξαπατούν τους χρήστες ώστε να καταχωρήσουν προσωπικές τους πληροφορίες σε ψεύτικες ιστοσελίδες, οι οποίες παριστάνουν άλλες έγκυρες, με το να αντιγράφουν την όψη και τη συμπεριφορά τους. Συνήθως, μια τέτοια επίθεση εκτελείται μέσω ενός συνδέσμου προς μία phishing ιστοσελίδα, που μπορεί να βρεθεί μέσα σε ένα phishing email, δηλαδή ένα email που προσπαθεί να παρασύρει το πιθανό θύμα να επισκεφθεί μία phishing ιστοσελίδα.

Ακόμα, ένας σύνδεσμος προς μία phishing ιστοσελίδα μπορεί να βρεθεί στα αποτελέσματα μιας μηχανής αναζήτησης, ειδικά στο πεδίο με τις διαφημίσεις ή τα χορηγούμενα αποτελέσματα. Για παράδειγμα, αρκετές φορές απατεώνες έχουν χρησιμοποιήσει την πλατφόρμα adwords της Google προκειμένου να προωθήσουν τις phishing ιστοσελίδες τους, πληρώνοντας την Google για να εμφανίσει τις ιστοσελίδες αυτές στο πάνω μέρος των αποτελεσμάτων αναζήτησης. Μπορείτε να διαβάσετε περισσότερα για μία τέτοια υπόθεση στο [5].

Ιδιότητες μιας phishing ιστοσελίδας:

Οι ιστοσελίδες τύπου phishing συνήθως προσπαθούν να μιμηθούν άλλες έγκυρες σελίδες οι οποίες φιλοξενούν κάποιου είδους καταχώρηση δεδομένων. Για παράδειγμα ηλεκτρονικό ταχυδρομείο, κοινωνικά δίκτυα, διαδικτυακές τραπεζικές συναλλαγές, κλπ.

Πρέπει να είμαστε εξαιρετικά προσεκτικοί όταν επισκεπτόμαστε τέτοιου είδους ιστοσελίδες  και να σιγουρευτούμε ότι ‘επισκεπτόμαστε’ μια έγκυρη σελίδα και όχι μία phishing. Μία phishing ιστοσελίδα μπορεί να έχει μερικές ενδιαφέρουσες ιδιότητες που μπορεί να προδώσουν τις κακόβουλες προθέσεις της.

  • Μη αναμενόμενη όψη και συμπεριφορά.
    • Στην περίπτωση που μας είναι γνώριμη μία ιστοσελίδα, για παράδειγμα η σελίδα σύνδεσης της τράπεζας ή του ηλεκτρονικού ταχυδρομείου, και παρατηρήσουμε διαφορές όπως ένα αναδυόμενο παράθυρο, εικόνες, κείμενο ή κάτι διαφορετικό στην λειτουργικότητα της σελίδας, θα πρέπει να το διερευνήσουμε περαιτέρω.
  • Διαφορετικό όνομα ιστοσελίδας (domain).
    • Συνήθως, οι phishing σελίδες φιλοξενούνται σε έναν ιστότοπο με όνομα (domain) παρόμοιο με το αντίστοιχο της έγκυρης σελίδας. Το ψεύτικο όνομα θα μπορούσε να διαφέρει ελαφρώς από το σωστό έτσι ώστε να παραπλανήσει τους χρήστες που το κοιτούν βιαστικά. Π.χ. g00gle.com αντί για google.com, ή ακόμα και αρκετά πιο ύπουλες περιπτώσεις όπως στο [3] και στο [4].
    • Δεδομένου ότι γνωρίζουμε το σωστό όνομα μιας ιστοσελίδας, θα πρέπει να ελέγξουμε ότι το όνομα που εμφανίζεται στην μπάρα διευθύνσεων του browser ταιριάζει ακριβώς με αυτό που γνωρίζουμε. Για παράδειγμα το όνομα alpha-bank.gr δεν είναι το όνομα του ιστότοπου της τράπεζας Alpha Bank (το σωστό είναι το alpha.gr).
    • Για να διευκρινίσουμε, όταν ελέγχουμε για σωστό όνομα ιστότοπου μέσα σε ένα URL μας ενδιαφέρει το τμήμα που αναγράφεται ως host στην παρακάτω εικόνα.
    • URL breakdown
    • Ένα URL μπορεί να αποτελείται από πολλά μέρη. Εάν δεν είμαστε σίγουροι για το πραγματικό όνομα εξυπηρετητή (host) μπορούμε να χρησιμοποιήσουμε ένα εργαλείο σαν αυτό στο [1] για να διακρίνουμε το πραγματικό όνομα-στόχο (το οποίο μπορεί να είναι διαφορετικό από αυτό που αρχικά νομίζουμε).
    • Source: [1]
    • Στο πεδίο του εξυπηρετητή μπορεί επίσης να εμφανίζεται μια διεύθυνση IP αντί για όνομα ιστότοπου, όπου θα πρέπει να μας ανησυχεί στις περισσότερες των περιπτώσεων.
  • Μη ασφαλής σύνδεση.
    • Αν η σελίδα που επισκεπτόμαστε δεν εξυπηρετείται μέσω του πρωτοκόλλου https δεν μπορούμε να πειστούμε ότι έχουμε όντως συνδεθεί με τον ιστότοπο που νομίζουμε. Ακόμα και αν το όνομα του ιστοτόπου στη μπάρα του URL είναι σωστό, η σελίδα δεν είναι έμπιστη αν την επισκεπτόμαστε μέσω απλής http σύνδεσης.
    • Οι σύγχρονοι browsers παρέχουν μία οπτική ένδειξη για τις ασφαλείς (https) συνδέσεις. Συνήθως αυτή είναι ένα (ενίοτε πράσινο) λουκέτο στη γραμμή διευθύνσεων, ακριβώς δίπλα στο URL. Παρόλα αυτά, ο Google Chrome θα καταργήσει αυτήν την οπτική ένδειξη τελικά για τις ασφαλείς συνδέσεις, ενώ θα επισημαίνει όλες τις συνδέσεις μέσω http ως μη ασφαλείς [2].

Δεν μπορεί να τονιστεί αρκετά ότι τόσο ο έλεγχος του ονόματος του ιστοτόπου όσο και η ασφαλής σύνδεση είναι εξίσου σημαντικά. Δεν μπορούμε να εμπιστευτούμε μία ιστοσελίδα της οποίας το όνομα δεν αναγνωρίζουμε ανεξάρτητα από την ύπαρξη ασφαλούς σύνδεσης. Παρόμοια, δεν μπορούμε να εμπιστευτούμε μία ιστοσελίδα με “σωστό” όνομα στη γραμμή διευθύνσεων του browser αν δεν διαθέτει ασφαλή σύνδεση (https, ένδειξη με λουκέτο, κλπ).

Ιδιότητες phishing email:

  • Αίσθηση επείγουσας απόκρισης,
    • το email μπορεί να έχει τόνο με σκοπό να προκαλέσει μία αίσθηση έκτακτης ανάγκης ή άμεσης ανταπόκρισης στους αποδέκτες, ώστε να δράσουν με βιασύνη.
  • Στους αποδέκτες προσφέρεται κάτι το οποίο δεν είχαν ζητήσει προηγουμένως, όπως κάποιο τιμολόγιο, οτιδήποτε δωρεάν, …
  • Το κείμενο/ θέμα του email σχετίζεται με δημοφιλείς τάσης ή θέματα επικαιρότητας και προέρχεται από άγνωστους/εξωτερικούς αποστολείς.

Τα ηλεκτρονικά μηνύματα που σχετίζονται με επιθέσεις τύπου phishing χρησιμοποιούν συχνά αυτή την τεχνική ώστε να κάνουν τους χρήστες να πατήσουν κάποιο υπερσύνδεσμο ή να κάνουν λήψη συνημμένων.

Το κείμενο/ θέμα του email σχετίζεται με δημοφιλείς τάσης ή θέματα επικαιρότητας και προέρχεται από άγνωστους/εξωτερικούς αποστολείς.

Τα ηλεκτρονικά μηνύματα που σχετίζονται με επιθέσεις τύπου phishing χρησιμοποιούν συχνά αυτή την τεχνική ώστε να κάνουν τους χρήστες να πατήσουν κάποιο υπερσύνδεσμο ή να κάνουν λήψη συνημμένων.

Δείκτες ότι ένα mail μπορεί να είναι τύπου phishing:

  • Οι σύνδεσμοι δείχνουν σε ύποπτα websites,
    • για να ελέγξει κανείς που κατευθύνουν οι σύνδεσμοι, μπορεί να τοποθετήσει τον κέρσορα πάνω από τον υπερσύνδεσμο.
  • Ο αποστολέας ή/και άλλοι παραλήπτες είναι άγνωστοι,
  • Η διεύθυνση του αποστολέα φαίνεται ύποπτη,
  • Γραμματικά/ Συντακτικά/ Ορθογραφικά λάθη,
  • Ο τύπος του συνημμένου δεν είναι αναμενόμενος,
    • jar, exe, …

Ενδεδειγμένες πρακτικές:

  • Χρήση σελιδοδεικτών στον browser για τις συχνά χρησιμοποιούμενες σημαντικές ιστοσελίδες όπως ηλεκτρονικό ταχυδρομείο, τραπεζικές συναλλαγές, κοινωνικά δίκτυα, κλπ. Να μην γίνεται αναζήτηση τους σε κάποια μηχανή αναζήτησης και επίσκεψη των αποτελεσμάτων. Να μην γίνεται επίσης επίσκεψη ύποπτων συνδέσμων που βρίσκονται σε email.
  • Αφού επισκεφτούμε μία ιστοσελίδα, πάντα ελέγχουμε το όνομα του ιστοτόπου στη γραμμή διευθύνσεων και είμαστε απολύτως βέβαιοι ότι ταιριάζει με αυτό που γνωρίζουμε ότι είναι σωστό.
  • Πάντα ελέγχουμε ότι είμαστε ασφαλώς συνδεδεμένοι στην ιστοσελίδα. Αυτό σημαίνει μέσω του πρωτοκόλου https αντί για απλό http. Ψάχνουμε για την ένδειξη με το λουκέτο στους browsers που το υποστηρίζουν.
  • Δεν μοιραζόμαστε πληροφορίες σε ιστοσελίδες οι οποίες κανονικά δεν μας ζητάνε.

Αναφορές:

[1] https://www.namecheck.com/phishing-check/
[2] https://www.cnet.com/news/say-good-bye-to-that-green-secure-lock-on-google-chrome/
[3] https://en.wikipedia.org/wiki/PayPaI
[4] https://en.wikipedia.org/wiki/IDN_homograph_attack
[5] https://www.bleepingcomputer.com/news/security/group-makes-50-million-by-phishing-bitcoin-users-using-google-adwords/