Sadržaj

Gmail phishing
Sažetak
Uvod
Phishing kit
Forenzička analiza e-maila
Kako prepoznati phishing e-mail?
Primjeri
E-mail kojim je hakiran John Podesta
Kako spriječiti phishing?
Zaključak
Sources

Gmail phishing

Sažetak

Phishing je kriminalna aktivnost u kojoj se meta kontaktira elektroničkom poštom, telefonom ili tekstualnom porukom na način da se napadač predstavi kao netko drugi. Osim phishinga putem elektroničke pošte i web stranica, postoji i vishing (glasovni phishing), smishing (SMS phishing) i nekoliko drugih phishing tehnika.

U ovom seminarskom radu naglasak će biti na phishing napadima putem elektroničke pošte, proći će se teme kao što su prepoznavanje phishing e-maila, neki tipični primjeri, forenzička analiza primljenog e-maila, metoda obrane od takve vrste napada te jedan konkretni primjer uspješnog i ozbiljnog phishing napada iz prakse.

Ključne riječi: phishing, e-mail, napad

Uvod

Phishing je zlonamjerna aktivnost kojom se, koristeći tehničke alate i socijalni inženjering, žrtvi želi ukrasti osjetljive osobne i financijske podatke. Riječ je o jednoj od najstarijih vrsta napada koji potiče iz 1990-ih godina, a ujedno predstavlja jednu od najraširenijih i najštetnijih metoda zbog povećanja njezine sofisticiranosti tijekom godina. Naziv doslovno znači pecanje, u analogiji s bacanjem udice (poruke elektroničke pošte) u nadi da će netko zagristi. Najčešće se očituje u porukama elektroničke pošte kojima se navodi korisnika da klikne na određeni link koji ga preusmjerava na stranice zloćudnog web poslužitelja koje oponašaju izgled stvarnih stranica.

Gotovo trećina napada u 2019. godini odnosila se na phishing, a najgora vijest od svih je što napadači postaju sve uspješniji zahvaljujući dobro pripremljenim predlošcima te korištenjem sve kvalitetnijih alata. Tajna uspješnosti phishing napada leži u ljudskoj prirodnoj znatiželji i činjenici da korisnici ne očekuju da im se dogodi išta loše tijekom svakodnevne rutine.

Neki oblici phishing napada:

jednostavni zahtjev – pošiljatelj se lažno predstavi kao primjerice administrator nekog web servisa kojem su potrebni korisnikovi podaci koje on u odgovoru elektroničke pošte šalje
lažni linkovi u e-mail porukama – lažni link u poruci elektroničke pošte koji vodi na zloćudnu web stranicu na kojoj se traži unos korisničkog imena i lozinke ili nekih drugih osjetljivih podataka
lažna web sjedišta – klikom na link koji vodi na web poslužitelj koji prekrije svoj stvarni URL i predstavi se legitimnim obmanjuje se korisnika koji misli da je na legalnoj stranici te se od njega skupljaju podaci
lažni prozor na legitimnim web sjedištima banaka – pojava „popup“ prozora na legitimnoj web stranici koji sadrži polja za unos povjerljivih informacija
„tabnabbing“ – metoda koja se koristi prilikom nekoliko istovremeno otvorenih tabova od kojih se jedan od neaktivnih osvježi zloćudnim sadržajem koji imitira legitimnu web stranicu

Najuspješniji phishing napadi ciljaju samo jednu osobu i personalizirani su do te mjere da se uopće ne doimaju kao napad, nego nalikuju na običnu privatnu ili poslovnu interakciju. Postoje i masovniji napadi koji su generalizirani i obično lijeni, no svejedno vrlo učinkoviti. To su mailovi o propuštenim pošiljkama ili problemima s nedostavljenim mailom. Dnevno se šalju na tisuće različitih mail adresa, od čega nekih 0.5% korisnika nasjedne na prevaru. Na taj način moguće je skupiti i na tisuću novih žrtvi mjesečno. A s obzirom da veliki broj korisnika reciklira svoje lozinke, neprestano se povećava broj žrtava korištenjem već postojeće žrtve kao izvor napada.

Phishing kit

Phishing napadi najčešće naglašavaju hitnost situacije, izazivaju osjećaj straha, upozoravaju na ozbiljne posljedice, a vrlo često su pokrenuti zbog znatiželje žrtve.

Postoji takozvani phishing kit koji predstavlja komponentu phishing napada, a dizajniran je da oponaša legitimnu web stranicu s ciljem navođenja žrtve na dijeljenje podataka o prijavi ili ostale osjetljive podatke. Razvijen je kombinacijom HTML-a i PHP-a te je pohranjen na kompromitiranim web stranicama i obično zaživi svega 36 sati prije nego ga se otkrije i ukloni. Phishing kit funkcionira kao normalna web stranica s glavnom stranicom te poljem za login, s dodatkom skripte za krađu podataka. Nakon dohvaćanje različitih e-mail adresa, šalju se linkovi koji usmjeravaju na nove, lažne stranice.

Forenzička analiza e-maila

Najvažniji dio e-maila u pogledu njegove forenzičke analize jest zaglavlje koje sadrži znatnu količinu informacija. Analiza se provodi od dna prema vrhu jer se podaci u donjem dijelu zaglavlja odnose na pošiljatelja, a u gornjem na primatelja.

Neka osnovna polja zaglavlja:

From → e-mail adresa (ponekad ime) autora e-maila
To → e-mail adresa (ponekad ime) primatelja e-maila
Cc → Carbon Copy, tj. adresa primatelja kopije e-maila
Bcc → Blind Carbon Copy, tj. adresa primatelja tajne kopije e-maila
Subject → sažetak teme
Date → lokalno vrijeme i datum kad je e-mail poslan
Reply-to → adresa na koju će se poslati odgovor na e-mail
Message-ID → jedinstveni globalni identifikator poruke izgeneriran prilikom slanja
References → identificira ostale dokumente povezane s porukom, poput drugog e-maila
Received → praćena informacija generirana od strane poslužitelja koji su prethodno rukovali porukom, u obrnutom redoslijedu

Istraga incidenata i zločina vezanih uz elektroničku poštu uključuje različite tehnike poput: analize zaglavlja, istrage poslužitelja, istrage mrežnog uređaja, analize ugradbenih softvera, otisaka prstiju pošiljatelja, korištenje e-mail pratitelja, analize promjenjive memorije i analize privitaka.

Kako prepoznati phishing e-mail?

1. Legitimne tvrke neće nikada tražiti osjetljive podatke putem e-maila

velike su šanse da se radi o prevari budući da većina tvrtki ne šalje e-mailove tražeći lozinke, brojeve kreditnih kartica ili ostale informacije za koje je potrebno obaviti login
takav e-mail često započinje generičkim pozdravom te sadrži sumnjivi link u prilogu

2. Legitimne tvrtke obično oslovljavaju korisnika imenom

phishing e-mailovi često koriste generičke pozdrave poput “Poštovani članu”, “Poštovani korisničke računa” ili “Poštovani kupcu”
no, ako legitimna tvrtka treba podatke korisnika računa, u e-mailu će koristiti oslovljavanje imenom te zahtijevati dodatni kontak telefonom
neki hakeri izbjegavaju pozdrave, pogotovo kod reklamnih e-mailova

3. Legitimne tvrtke koriste valjanu e-mail domenu

važno je pogledati i adresu e-maila, a ne samo ime pošiljatelja te u slučaju da se pojavljuju dodatni brojevi ili slova u domeni e-maila, radi se o lažnom e-mailu, npr. michelle@paypal.com i michelle@paypal23.com
no, ovo nije najsigurnija metoda jer ponekad tvrtke doista koriste jedinstvene ili različite domene za slanje e-maila
treba pripaziti i na logo koji se može razlikovati od pravog

4. Legitimne tvrtke upoznate su s pravopisom i gramatikom

možda banalan primjer, ali vjerojatno najlakši način prepoznavanja zloćudnog e-maila jest provjerom gramatike
zapravo postoji svrha iza tih pogrešnih izraza, naime hakeri generalno nisu neupoznati s ispravnom gramatikom već namjerno ciljaju na manje obrazovanu publiku, a time i lakše mete

5. Legitimne tvrtke ne forsiraju svoju web stranicu

ponekad su phishing e-mailovi u potpunosti kodirani kao link pa slučajnim klikom bilo gdje u poruci otvara se lažna web stranica ili se preuzme neželjeni sadržaj na računalo

6. Legitimne tvrtke ne šalju netražene privitke

tvrtke ne šalju e-mail s privitkom već preusmjeravaju korisnika na njihovu službenu web stranicu gdje se mogu preuzeti odgovarajući dokumenti
no, ovo nije pravilo i može se dogoditi da legitimne tvrtke koje imaju korisnikovu adresu e-maila doista šalju informacije u privitku e-maila te u tom slučaju treba obratiti posebnu pažnju na vrstu privitka (.exe, .zip)

7. Legitimne tvrtke koriste legitimne URL-ove

ako opis linka tvrdi da će preusmjeriti korisnika na određenu adresu, ne mora značiti da će se to stvarno i dogoditi
potrebno je dvaput provjeriti URL na način da se mišem prijeđe iznad linka i pročita koja je stvarna adresa, a dodatna sigurnost osigurana je ako veza počinje s https

Primjeri

1. zastrašivanje deaktivacijom

ovaj oblik mamca često uspijeva jer ništa ne plaši ljude više od obavijesti o deaktivaciji
e-mail tvrdi da će račun biti deaktiviran u slučaju da se na priloženom linku ne unese korisničko ime i lozinka te poduzme potrebna akcija

2. slične web-stranice

postalo je sve teže pronaći razliku između stvarne i phishing web stranice; one lažne su vrlo precizne kopije te dio njihovog URL-a čini URL prave stranice
malo boljim pogledom uočljivo je da lažna stranica ipak upućuje na neku drugu domenu

3. Nigerijska prevara

poznata i kao napredna prevara plaćanja, a ime je dobila po tome što su je nigerijski prevaranti pokušavali izvesti više nego ikoja druga država, barem po glavi stanovnika
unatoč lošoj gramatici i smiješnom scenariji, koji su namjerno takvi, šalje se na milijune takvih mailova i dok ih određeni antivirusni programi blokiraju, nađe se poneki osjetljivi korisnik koji podlegne ovom napadu

4. direktan odlazak u zatvor

napadači često koriste žrtvinu grižnju savjest, čak i ako nešto za što se žrtva osjeća krivom nije ilegalno, svejedno ih se prevari misleći da su uhvaćeni
ovakvi napadi koriste lažna FBI upozorenja zbog ilegalnog preuzimanja glazbe ili neplaćanja poreza
ljudi ponekad plate unatoč tome što nisu ništa od navedenog radili, u nadi da će prijetnje i upozorenja prestati, ali to se ne dogodi

E-mail kojim je hakiran John Podesta

U ožujku 2016. godine John Podesta, predsjednik kampanje Hillary Clinton, primio je od “Google-a” mail u kojem je pisalo da treba hitno promijeniti svoju lozinku jer se netko u Ukrajini pokušao ulogirati u njegov račun.

John je ovaj mail proslijedio IT osoblju kako bi provjerili je li mail stvaran, budući da je izgledao vrlo uvjerljivo: sadržavao je oslovljavanje imenom te navodnu IP adresu s koje se pristupilo njegovom računu, no pošiljateljeva adresa bila je googlemail, a u tijelu poruke nalazio se i sumnjivi link za promjenu adrese. Osoblje mu je uzvratilo porukom da je mail legitiman te da treba hitno promijeniti svoju lozinku ali slijedeći službeni link, no iz nekog razloga tko god da je bio odgovoran za situaciju kliknuo je na kratki link u originalnom e-mailu te su napadači (ruska hakerska skupina Fancy Bear) uspješno pristupili Podestinim podacima za Gmail što im je omogućilo da hakiraju njegov račun i 60 tisuća pohranjenih mailova koje je u listopadu iste godine svakodnevno objavljivao WikiLeaks, točno prije predsjedničkih izbora.

Kako spriječiti phishing?

Najbolji način obrane od phishing napada jest naučiti se prepoznati sumnjive e-mailove, a to je najlakše proučavanjem stvarnih primjera napada, npr. na stranici: https://lts.lehigh.edu/phishing/examples

Ako postanete žrtva phishing napada:

izmijenite zaporke za Vaše aplikacije i mrežne račune s drugog telefona ili računala
skenirajte svoje računalo za viruse i zlonamjerni sadržaj
pošaljite prijavu krađe policiji i zadržite kopiju
pošaljite prijavu incidenta Vašoj organizaciji ili banci, APWG-u (reportphishing@apwg.org) te Nacionalnom CERT-u (incident@cert.hr)

Zaključak

Sve u svemu, phishing je vrlo opasna aktivnost na koju svi moraju obratiti pozornost jer se bilo kome može dogoditi da nasjedne na napad, a to može završiti vrlo skupo po osobu ili organizaciju. Stoga, treba biti oprezan, otvoriti oči na sve pa čak i minimalno sumnjive poruke, inače se može dogoditi da postanete sljedeća žrtva prevaranata.

Sources

[1] CERT, Phishing

[2] Fruhlinger J., What is phishing? How this cyber attack works and how to prevent it, CSO, 2019

[3] Ellis D., 7 Ways To Recognize A Phishing Email: Email Phishing Examples, Security Metrics

[4] Ragan S., What are phishing kits? Web components of phishing attacks explained, CSO, 2018

[5] Grimes R., 15 real-world phishing examples — and how to recognize them, CSO, 2017

[6] De Alwis C., Email Forensics: Investigation Techniques, Forensic Focus, 2019

[7] Krawchenko K., The phishing email that hacked the account of John Podesta, CBS News, 2016