Какво е Phishing? Защита от Phishing

ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА

по

БЕЗОПАСHОСТ И ЗАЩИТА HА Microsoft МРЕЖИ И

ПРИЛОЖЕHИЯ

На тема:

Какво е Phishing? Защита от Phishing

Варна 2014г.

Изготвил: Николета Радева, VI курс Проверил: доц. д-р Стефан Дражев

Специалност: ПИНФ – ДОВО, 9гр. ас. Радка Начева

Фак. № 400318


2

Николета Стилиянова Радева, спец. ПИНФ, 6 курс, ФН 400318

Съдържание Понятието фишинг. История .......................................................................................................... 4

Фишинг заплахи и основни фишинг сценарии ................................................................................ 8

География на фишинг атаките: ...................................................................................................... 8

Цели на фишинг атаките: ............................................................................................................... 9

Основни фишинг сценарии: ............................................................................................................ 11

Web Based Delivery (Фалшив сайт) ................................................................................... 11

Идентичност с легитимен фирмен имейл (spear phishing)............................................. 12

Хакнат акаунт .................................................................................................................... 13

Телефонен фишинг (vishing) ............................................................................................... 13

Фишинг в социалните мрежи ............................................................................................ 13

Фишинг мигновени съобщения и чат съобщения ............................................................. 13

Keyloggers ............................................................................................................................. 13

System Reconfiguration (преконфигуриране на системните настройки) ....................... 14

Фишинг чрез търсачките ................................................................................................... 14

Методи за анти-фишинг .................................................................................................................. 15

Ниво клиент ................................................................................................................................... 16

- Актуална антивирусна програма ...................................................................................... 16

- Анти - спам софтуер .......................................................................................................... 16

- https (SSL) ............................................................................................................................. 17

- Анти-шпионски софтуер .................................................................................................... 17

- Предотвратяване на фишинг атаки ................................................................................ 17

- Firewall ................................................................................................................................. 18

- Aрхивни изображения система (backup system images) .................................................. 18

- Общи техники ...................................................................................................................... 18

Ниво сървър ..................................................................................................................................... 19

- Подобряване на информираността на потребителите и клиентите.......................... 19

- Валидиране на официалната комуникация ....................................................................... 20

- Сигурност на потребителските уеб приложения........................................................... 20

- Токън автентикация ........................................................................................................... 22

- Установени практики при хостовете и линковете ........................................................ 22

- Защита срещу DNS фарминг атаки .................................................................................. 22

Ниво организация ........................................................................................................................... 23

- Автентикация на имейл сървъра ....................................................................................... 23

- Цифрово подписани имейли ................................................................................................ 24


3


- Мониторинг на домейна ..................................................................................................... 24

- Услуги за защита на входа ................................................................................................. 25

- Управлявани услуги .............................................................................................................. 26

Заключение .......................................................................................................................................... 28

Литература: ....................................................................................................................................... 29


4


Понятието фишинг. История

Фишингът твърде често е в новините през последните няколко години. Бич

за много потребители на интернет, фишинг измами са излъгали хиляди. Но

измамите имат интересна и разнообразна история, простираща се назад в

продължение на много години.

Фишингът

Когато се говори за историята на фишинг атаките, определянето на

понятието е първата жизненоважна задача, за да се разбере откъде идва

фразата. Phishing се определя като "опит да се придобие чувствителна

информация от маскиран като надежден източник в електронна

комуникация". Като техника на социално инженерство, фишингът е логично

продължение на кражбата на самоличност, за да се получи достъп до

определена област, или представянето за лице на органите на реда при

телефонно обаждане. Но поради груповата природа на електронната поща и

други електронни комуникации, е далеч по-лесно да се намери цел за

фишинг атака. На практика има малък шанс на хората, занимаващи се с

фишинг измами да се хванат, и по този начин фишинг измамите носят

напълно достатъчни приходи.

Терминът фишинг произлиза от идеята за "риболов" на цели, изпращане на

стръв с надеждата потенциалната жертва „да клъвне“ и да въведе данни за

пароли, финансова информация и т.н.. Замяната на "f" с "ph" идва от

практиката „phreaking“, или незаконно проучване на телефонни системи.

Ранните измами

Първото проучване на концепцията за фишинг започва през 1987г., по време

на конференцията INTEREX. Джери Феликс и Крис Хоук представят


5


доклад, наречен "Система за сигурност: Перспектива на хакера", в който е

обсъден метод трета страна да имитира надеждна услуга. Първата употреба

на термина фишинг често се дължи на компанията America Online, и е тясно

свързана с първото използване на фишинг техниките. Преди 1995 г. е

възможно да се открие AOL сметка с използването на фалшив,

алгоритмично генериран номер на кредитна карта. След като AOL

общността спряла възможността за регистрация на фалшиви сметки,

активността в общността се насочва към започване на фишинг атаки за

законни сметки. Това често се извършва чрез изпращане на незабавно

съобщение до AIM потребителски акаунт (който е свързан с тяхната AOL

сметка), в което се твърди, че подателят е член на AOL , който изисква

паролата си. Инструменти като AOHell са разработени, за да се

автоматизира този процес и за известно време фишинг е яростен. AOL скоро

разработени мерки за противодействие и от 1997 повечето измамници

сменят техниките на фишинг или работата си. Но посланието "никой не

работи в X, моля предоставете парола си или финансова информация" все

още е често срещано съобщение при много IM клиенти.

Еволюцията на атаките

Онези, които отправят фишинг атаки за AOL сметки скоро осъзнават, че

тези фишинг измами могат да бъдат приложени и в много други системи.

Финансовите институции, в частност, са разглеждани като идеални цели. 11

Сеп 2001 е важна дата за американската психика , но също така и една много

важна дата в историята на фишинга. В резултат на атаките над кулите

близнаци, опортюнистични престъпници използват имейл с молба за "11.09

проверка на ID", за да откраднат финансови данни от услугата E -Gold

цифрова валута. Това е втората известна атаката. Първият подобен опит

срещу E -Gold се провежда през юни същата година. И двата са били


6


разглеждани първоначално като неуспешни, но спомагат престъпни

организации да се заинтересоват от фишинг атаките.

Фишинг История - Модерно противодействие в действие

До 2004 фишингът твърдо намира място сред съществъващите заплахи в

интернет пространството. Между май 2004 и май 2005 г. е изчислено, че 929

милиона щатски долара са загубите от фишинг измами. Оттогава голямо

разнообразие от различни атаки и техники стават обичайни, включително

тези, посочени по-долу:

Link Manipulation (манипулиране на линкове): Един от най-ранните атаки е

към жертвите да се изпрати имейл с линк към подвеждащ домейн, който

изглежда идентичен с легитимен сайт. След това жертвата е подмамена да

въведе финансова информация. С течение на времето това се развива.

Фишърите използват изображения вместо на обикновен текст , в опит да

избегнат спам филтрите, а също и сложни технически средства, за да

направят фалшивите уеб сайтове идентични с този на легитимната

институция. Стъпка в еволюцията на този вид фишинг е да насочи

потребителя към легитимен сайт, а след това се използват крос- сайт

скриптовите недостатъци, за да се покаже прозорец, собственост на

фалшивия сайт над горната част на действителното съдържание.

Social Media (социални медии): Една от основните цели на фишинг

кампаниите са сайтове на социални мрежи като MySpace, Facebook и т.н.

През 2006 г. е бил използван червей, за да се променят връзките на MySpace

и преки потребителите да разкриват своите данни за вход. Този червей

използва уязвимост в JavaScript поддържката на QuickTime и се опитва да

примами потребителите на MySpace към фишинг сайтове. Подробната

информация, съхранявана в сайтове за социални мрежи ги прави


7


примамлива мишена за фишинг атаки, тъй като те могат да бъдат използвани

за кражба на самоличност в голям мащаб.

Vishing (телефонен фишинг): От април 2006 г. фишингът прави

еволюционна крачка в развитието си, като фишинг атаките се пренасят към

цели извън уеб пространството. Чрез използване на VoIP технологията,

нападателите са били в състояние да се възползват от общественото доверие

в системата на VoIP, като компроментира ID на абонати. Автоматизирани

съобщения твърдящи, че са от банкова институция са били използвани за

извличане на данни от банкови сметки и са наречени "vishing", комбинация

от "voice" и "phishing".

Spear Phishing и Whaling (идентичност с фирмен имейл/ имейл фишинг) : и

двете са целенасочени фишинг атаки, разработени след няколко години

опит в традиционните фишинг измами. Spear фишингът е проектиран да се

използва информация, разкрита чрез други средства, например

потребителски имена, пароли и т.н. Whaling фишингът е предназначен за

потребители на ниво изпълнителна власт (китолов), където една-единствена

компроментирана сметка, парола и др. може да доведе до значителна загуба

на информация.

Tab-nabbing: През май 2010 г. Аза Раскин описва tab-nabbing - нов начин за

фишинг атака. При него потребителят на легитимен сайт с отворена сесия в

раздел, се атакува чрез програма за JavaScript, проникнала когато

потребителя разглежда фишинг сайт от друг раздел. Атакуващият променя

съдържанието на неактивния раздел и когато потребителят се върне на него

бива помолен да се логне отново и по този начин акаунтът му бива хакнат.


8


Фишинг заплахи и основни фишинг сценарии

География на фишинг атаките: Най-често атакуваните страни през 2013г.

Фиг.1


9


Потребителите в САЩ през 2013г. са най-често подлагани на фишинг атаки,

следвани от жителите на Руската федерация и Германия.

Цели на фишинг атаките:

Фишинг цели през 2013г.

Фиг.2


10


И през 2013г. социалните мрежи са най-честите цели на фишинг атаките,

следвани от финансовите услуги (фиг.2) като се забелязва тенденция на

увеличението им спрямо 2012г. за разлика от тях имейл атаките са намалели

спрямо 2012г.

Фишинг цели през 2012 и 2013г.

Фиг.3


11


Основни фишинг сценарии:

Web Based Delivery (Фалшив сайт) - атакуващият изпраща имейл линк

към фишинг сайта, който съдържа идентифицираща информация,

взета директно от легитимни уеб сайтове. Адресът на сайта прилича

на името на благонадеждната компания, но с някои правописни

грешки. Използват се също Интернет адреси, в които се пренареждат

буквите на Интернет адресите на добре познати компании. Промените

са трудно забележими на пръв поглед.

За да се засили усещането за истинност дори някои от хиперлинковете

в имейла водят до истинската страница на институцията. Но този,

който води към формата за попълване на информация, препраща към

фалшивия уебсайт.

Разновидност е т.нар. Pharming механизъм, който има много общо и

със стандартната вирусна инфекция. При него също се използват

фалшиви уеб сайтове, но не се изпращат писма. Фармингът се

осъществява чрез т.н. атака "DNS poisoning" или чрез промяна на

"hosts" файла в компютъра на потребителя. По този начин се

пренасочва трафикът от определен уеб сайт към друг, който е негово

копие. DNS сървърът преобразува адресите на уеб сайтовете, които

се изписват в адресната лента на уеб браузъра, в IP адреси.

Потребителят вероятно няма да разбере измамата, защото е написал

собственоръчно адреса.

За да бъдат електронните съобщения още по-достоверни и привидно

законни, може да съдържат препратка, която изглежда, че води към

законният интернет сайт, но всъщност ще отведе потребителя до

фалшивия интернет сайт или до появяващ се прозорец, който

изглежда точно като действителния и официален сайт. HTML-


12


форматираните съобщения могат да съдържат препратки или форми,

които потребителят трябва да попълни.

Фишинг препратките, изискващи от потребителя да кликне върху тях

в e-mail съобщенията, на интернет сайтовете или дори в чат

програмите в реално време, могат да съдържат цялото или част от

името на компанията и обикновено са маскирани, което означава, че

видимата препратката не е към адреса, който е изписан, а някъде

другаде, обикновено към незаконен Интернет сайт.

Друг похват е използването на банер, вграден в сайт на трета страна,

който да привлече клиенти във фалшивия сайт.

Използването на уеб-бъгове и вграждане на вредно съдържание с цел

инсталиране на зловреден софтуер и подготвяне на фишинг атака са

също сред използваните техники.

Идентичност с легитимен фирмен имейл (spear phishing) -

атакуващият създава имейл адрес, който е свързан с благонадеждна

организация. Тези писма използват унифицирана форма за масови

съобщения от добре известни на "жертвата" компании, учреждения

или сайтове като обслужващата му банка, eBay, PayPal, дори и

държавни институции като НАП, като подателят е човек, който може

да е от институцията, в която работи получателят или по принцип

човек, чиято работа предполага връзки с клиенти или служители на

компанията.

Използват се пропуски в общия комуникационен протокол (SMTP).

Фишинг имейлите се отличават с:

- Официална форма;

- Копират имейли на известни корпоративни организации с известни

промени – линкове и т.н.;

- HTML – базирана електронна поща;


13


- Най-често съдържат вируси/троянски коне/червеи/шпионски софтуер;

- Използване на фалшив адрес на подател;

- Спам сигнализиране и др.

Хакнат акаунт - атакуващият използва хакнат потребителски акаунт,

за да изпрати имейл до всички в адресната книга на този акаунт като

по този начин драстично се увеличава надеждността на това послание,

както и вероятността за успешна фишинг атака.

Телефонен фишинг (vishing) - Или така наречената разновидност на

фишинга "voice phishing". Потребителят получава съобщение с молба

за телефонно потвърждаване на сметката и т.н.Когато потребителят

върне обаждането бива помолен да предостави информация – лична,

финансова и т.н. под предлог, че се опреснява базата от данни за

клиентите. Престъпникът може да се свърже с жертвата директно по

телефона, под предлог, че работи за някаква финансова институция

или в службите за разследване на измами. Може да информира, че има

проблем с профила на жертвата и директно да поиска информация за

акаунта и паролата, за да я провери.

Фишинг в социалните мрежи – фалшиво съобщение за обновяване на

профила, получено от администратор на сайта или съобщение,

получено от приятел, съдържащо линк към фишинг сайт.

Фишинг мигновени съобщения и чат съобщения – с позволяването на

динамичното вградено съдържание могат да се приложат много

фишинг техники и похвати за атаки над потребителите – заразяване с

троянски коне за отдалечен достъп(RAT) като NetWiredRC например,

keylogger – и т.н.

Keyloggers - зловреден софтуер, използван за идентифициране на

входа от клавиатурата. Информацията се изпраща на хакери, които

дешифрират пароли и други видове информация, въведена от

клавиатурата. За да се предотврати keylogger-достъп до лична


14


информация се препоръчва да се използва виртуалната клавиатура

при въвеждане на информация за пароли, идентификация и т.н.

System Reconfiguration (преконфигуриране на системните настройки)

- Измамниците могат да изпратят съобщение, в което потребителят е

помолен да преконфигурира настройките на компютъра. Посланието

може да дойде от уеб адрес, който прилича на достоверен източник.

Фишинг чрез търсачките - Някои фишинг измами включват

търсачките, където потребителят се пренасочва към сайтове с

продукти на твърде ниски цени. Когато потребителят се опитва да

закупи продукта чрез въвеждане на данните от кредитната карта, те се

присвояват от измамниците. Има много сайтове, които предлагат

фалшиви банкови кредитни карти или заеми на потребителите на по-

нисък процент, но това са всъщност фишинг сайтове.

Възможни са и други сценарии за фишинг атаки, които обхващат

различни дейности от живота на потребителите. Целта на тези атаки

накратко е кражба на самоличност, финансова информация т.н. от

потребителя с цел материално облагодетелстване.


15


Методи за анти-фишинг

При методите за анти-фишинг основна роля заема софтуерът (както при

атаките, така и при защитата). През 2013г. се наблюдава тенденция да се

използва специализиран софтуер за борба с фишинг атаките в уеб

пространството (фиг.4).

Дял на антифишинг уеб софтуер през 2013г.

Фиг.4

За най-добра защита техниките и технологиите трябва да се прилагат по

нива:

- Ниво клиент – включва компютъра на потребителите;

- Ниво сървър – включва видимите бизнес интернет системи и

приложения;

- Ниво организация – разпределени технологии и трети страни за

управление на услуги.


16


Ниво клиент

Докато фишинг техники стават все по- сложни, има много неща, които могат

да се направят, за да се избегнат фишинг атаките. Например:

- Актуална антивирусна програма - Едно от най-важните неща за

избягване на фишинг атаки е наличието на антивирусна програма с

актуални ъпдейти, защото повечето доставчици на антивирусни

програми предлагат актуална защита срещу повечето фишинг

техники. Наличието й може да предотврати фишинг чрез червеи,

троянски коне, имитиране на сигурна връзка и т.н.. Ако дефинициите

на антивирусната програма не са обновени, потребителите

обикновено са по-податливи на атаки, тъй като са защитени от

остарели форми на фишинг, но не и новите модификации.

Антивирусни програми с платен лиценз са Bitdefender Antivirus Plus,

Kaspersky Anti-Virus, Norton AntiVirus, AVG AntiVirus, G Data

Antivirus, Panda Antivirus Pro, McAfee AntiVirus Plus, Trend Micro

Titanium Antivirus +, ESET NOD32 Antivirus. Безплатни антивирусни

програми са Emsisoft Emergency Kit Free, Comodo Antivirus Free, Avira

Free Antivirus, Panda Cloud Antivirus, avast! Free Antivirus, Ad-Aware

Free Antivirus+, Malwarebytes Anti Malware Free, Microsoft Windows

Defender, AVG AntiVirus Free.

- Анти - спам софтуер – помага за свеждане на фишинг атаките до

минимум. Много от атаките идват под формата на спам. Чрез

използването на анти-спам софтуер се намаляват много видове

фишинг атаки, защото съобщенията никога не попадат в пощенските

кутии на крайните потребители. Най-актуалните платени анти-спам

програми за 2014г. са Spamfighter Pro, Cloudmark DesktopOne Pro,

MailWasher Pro, ChoiceMail One, iHateSpam, CleanMail Home, Spam

Bully, SpamEater Pro, Spam Buster. Безплатни анти-спам програми са

POPFile, Spamato, SpamBayes, K9, Spam Terrier, Spamihilater, Ella,


17


Email remover, eXpurgate, SpamPal, Epam Experts Desktop, Cactus Spam

Filter, SpamRIP, Bullguard Spam Filter, G-Lock Spam Combat,

SpamWeasel, GMail Service.

- https (SSL) – при въвеждане на информация за номер на кредитна карта

или финансова информация в адресната лентаследва да се показва "

https:// ", а не просто " http://" и е налична сигурна икона за заключване

на долния десен ъгъл на уеб браузъра. Двукратно щракане върху

иконата за заключване може да гарантира сертификат SSL с третата

страна, която предоставя услугата HTTPS. Много видове атаки не са

криптирани, но имитират криптирана страница, затова е добре да се

провери дали страницата е наистина криптирана.

- Анти-шпионски софтуер - шпионски софтуер се съхранява до

минимум чрез инсталиране активни анти-шпионски програми, а също

и сканиране с пасивни анти-шпионски програми. Ако уеб браузър е

хакнат, анти-шпионският софтуер открива проблема и да осигурява

корекция в състоянието. Платени антивирусни програми с дефиниции

за spyware са Bitdefender Antivirus Plus, Kaspersky Anti-Virus, Norton

AntiVirus, AVG AntiVirus, G Data Antivirus, Panda Antivirus Pro,

McAfee AntiVirus Plus, Trend Micro Titanium Antivirus +, ESET NOD32

Antivirus, F-Secure Anti-Virus.

- Предотвратяване на фишинг атаки – Това може да се случи ако се

докладва за всяки опит на властите за борба с престъпността в

съответната страна. В САЩ наример може да се съобщава за всяка

подозрителна активност на Федералната комисия по търговия -

[email protected] и на сайта www.ftc.gov. Налични са и специализирани

сайтове за борба с фишинга, които имат за цел да образоват

потребителите, а също така и да се разпространят своевременно

линкове и информация за фишинг сайтове, линкове и т.н, с което

потребителите да се предпазят от евентуални измами. Такъв сайт е

mailto:[email protected]


18


www.phishtank.com. На сайта на Anti Phishing Working Group –

www.antiphishing.org също има възможности за образоване,

докладване и т.н.техники на фишинга.

- Firewall – Използването на защитна стена за софтуера и мрежовата

връзка, която са предотврати проникването на зловреден код на

работната станция. Защитни стени с платен лиценз са Comodo Internet

Security Complete, Agnitum Outpost Pro Firewall, Kaspresky Internet

Security, ZoneAlarm Pro Firewall, Total Defense Internet Security Suite,

Norton Internet Security, Birdefender Internet Security, eScan Internet

Security Suite, Norman Security Suite, McAffe Internet Security.

Безплатни защитни стени са ZoneAlarm Free Firewall, Comodo

Firewall, TinyWall 2.1., Ashampoo FireWall, Online Armor Free, Outpost

Firewall Free, Private Firewall, AVS Firewall.

- Aрхивни изображения система (backup system images) – при

подозрение за фишинг атака имидж на системата може да се използва

за възстановяването й в състояние отпреди атаката. Такива

инструменти са AOMEI Backupper, EaseUS Todo Backup Free, Redo

Backup and Recovery, Cobian Backup, Macrium Reflect Free, DriveImage

XML, FBackup, Backup Maker, Clonezilla, Paragon Backup&Recovery

2013 Free.

- Деактивиране на pop-up прозорците, на поддръжка на Java и на

ActiveX контроли, на всякакви разширения за автоматично

изпълнение.

- Отказ от запаметяване на подозрителни бистквитки.

- Общи техники - проверка на имейла за истинност, да не се въвежда

лична и финансова информация чрез връзки в даден имейл, обръщане

на внимание на телефонният номер и кода при съмнения за “vishing“,

да не се изпращат лични и финансови данни чрез имейл и незабавни

http://www.phishtank.com/

http://www.antiphishing.org/


19


съобщения, редовна проверка за движението по банковите сметки за

операции от неоторизиран източник.

Ниво сървър

Защитата от фишинг на ниво сървър става чрез въвеждането на

интелигентни анти - фишинг техники в сигурността на уеб приложения на

организацията, разработване на вътрешни процеси за борба с фишинг атаки

и образоване на клиентите. Основни дейности тук са:

• Подобряване на информираността на клиентите

• Предоставяне на информация валидиране за официалните съобщения

• Гарантиране, че уеб приложението на Интернет е добре развита и

не включва лесно използваемите вектори за атака

• Използване на силни системи за удостоверяване

• Водене на именуване системи прост и разбираем

- Подобряване на информираността на потребителите и клиентите

– какви са възможните фишинг опасности и възможни превантивни

действия. Организацията трябва да предоставя информация за това как тя

комуникира „безопасно“ със своите клиенти.

Основни стъпки за гарантиране на информираността на клиентите –

напомняне на клиентите многократно, осигуряване на лесен начин за

потребителите да съобщават за фишинг измами, предоставяне на съвети за

това как да се провери целостта на сайта, който се използва (настройките за

сигурност, сигурна SSL, защитна иконка и сертификат за подписване на

страницата, създаване на корпоративна комуникационна политика,

информация за реални фишинг измами и т.н.)


20


- Валидиране на официалната комуникация – изразява се в изпращане

на персонализирани електронни съобщения до клиентите без да се допуска

използване на поверителни данни. Препоръчва се използването на цифрови

сертификати за подписване на съобщенията.

Уеб порталните приложения за валидиране са метод за проверка на

автентичността на полученото от клиента съобщение. Чрез copy/paste на

съобщението в интерактивната форма на портала се проверява

автентичността на полученото съобщение, ако не премине проверката би

следвало да се подаде информация до организацията за оценка на

съдържанието му за фишинг.

Възможно е да се вгради визуална или аудио информация в електронната

поща.

- Сигурност на потребителските уеб приложения - организациите

постоянно подценяват анти-фишинг потенциала на техните

персонализирани уеб приложения. Чрез прилагането на надеждни функции

проверка на съдържанието и прилагането на няколко персонализирани

допълнения за сигурност, много от популярните фишинг сценарии могат да

бъдат предотвратени.

Валидиране на съдържанието – голям пропуск в сигурността на уеб-

базираните приложения е слабото имплантиране на валидизация на

съдържанието на входа. Основните принципи тук са: - недопускане на

доверие в данни, подадени от даден потребител или компоненети на друго

приложение; проверка на всички входящи и изходящи данни от/на

използваните потребителски приложения; проверка на HTML кода на

приложенията за възможен внедрен зловреден код или дупка в кода,

позволяваща закачането на зловреден код (за повече информация “URL

Encoded Attacks” и “HTML Code Injection and Cross-site scripting” от Gunter

Ollmann).


21


Сесийно управление – природата на HTTP и HTTPS комуникацията налага

правилното прилагане на процеси за обработка на сесиите. Много

потребителски приложения изпълняват рутинни потребителски сесии,

които са потенциално уязвими при атаки. За предпазване от този тип атаки

е необходимо: никога да не се отваря сесия от линк на вече използвана сесия;

срокът на сесията е актуален към момента на отваряне и т.н. (виж "Web

Based Management Session " от Гюнтер Олман).

URL Квалификация - за уеб - базирани приложения , при които е

необходимо да се използва пренасочване от страна на клиента на други

страници или хостове, трябва да се проучи предварително много

внимателно естеството на връзката. Най-добрите практики за URL

квалификация са: да не се използват пренасочващи линкове директно в

браузъра, да не се позволява на клиентите да предоставят URL адреси, да не

се позволява използване на IP адреси в URL информация, винаги да се

използва пълно име на домейн или IP адресите да се проверяват дали идват

от домейн, който се счита за благонадежден.

Автентифицирани процеси – организациите следва да наблегнат на

защитата при въвеждане на удостоверителни данни, тъй като при фишинг

измамите това е ключовият фактор за злонамерени действия. Основни

действия са: минимум двуфазна логин система – на първия екран да се

използва информация, която е повтаряща се с други входове и по-малко

сигурна като номер на кредитна карта и потребителско име, а на втория

екран след успешно преминаване на първата страница да се изисква по-

сигурна информация преди да се клиентът да бъде допуснат до

приложението; използване на анти-keylogging техники – избор от падащо

меню на фраза, избиране на части от парола и др.; използване на

персонализирано съдържание (нещо, което клиентът знае), за да се

идентифицират фишинг атаки.


22


Регулиране на изображението - тъй като много от фишинг атаките разчитат

на копие на целевата интернет страница, има възможности организациите

автоматично да идентифицират фалшиви уебсайтове. Две методи са

достъпни за разработчиците на приложения:

• Image Cycling – приложението изисква графично изображение по име,

което се променя на определено време и при статично копие това не се

променя. При легитимната страница сесия от 1+ часа трябва да предупреди

клиента, че е невъзможен вход, поради изтекъл срок на изображението.

• Сесийнообвързани изображения - разширяване на принципа на image

cycling с обвързване на всички изображения в име, което включва ID на

потребителската сесия. По този начин организацията може да открие

опитите за пробив и да се опита да стигне до източника на атаката.

- Токън автентикация – комбинация от потребителско и име и

генеирана едрократно парола от токън устройство.

- Установени практики при хостовете и линковете – обект на атаки са

приложения с комплекни имена на хостове и неразгадаеми URL адреси.

Където е възможно, организацията следва да използва винаги едно и също

име на домейна; автоматично пренасочване на регионални или други

наименования, регистрирани на домейн към основния корпоративен

домейн; използване на хост имена, които представляват същността на уеб -

базираното приложение; когато е възможно да се използв най-простият URL

адрес или име на хост; никога да не се съхранява информация за сесията във

формат URL.

- Защита срещу DNS фарминг атаки - Това е нов тип фишинг атака,

която не ви спам с електронна поща , но отрови вашия местен DNS сървър,

за да пренасочите вашите уеб заявки към друг уеб сайт, който изглежда

подобно на уеб сайт компанията ( напр. иБей или PayPal ) . Например ,

потребителят пише в Web адрес иБей , но отровен DNS сървър пренасочва


23


потребителя към измамни сайтове. Това е , което аз считам нова епоха

фишинг . Това трябва да се управлява от един администратор, който може

да използва модерни техники за сигурност , за да заключите определени

DNS сървърите на компанията

Ниво организация

Бизнесът и интернет доставчици могат да предприемат стъпки на

корпоративно ниво срещу фишинг измами. Корпоративните решения за

сигурност работят в комбинация с клиентската и сървърната част,

предлагайки механизми за защита в дълбочина срещу фишинг и множество

други заплахи.

Основните стъпки за анти - фишинг сигурност на корпоративно ниво

включват -автоматично валидиране на изпращаните имейл сървър адреси;

подписване на имейл услуги; мониторинг на корпоративните домейни и

уведомяване на "подобни" регистрации; периметър или средства за защита

на входа; услуги, управлявани от трети страни.

- Автентикация на имейл сървъра - По същество , сървър за електронна

поща на подателя , се валидира от получаващия имейл сървър. Ако IP

адресът на подателя не е оторизиран адрес за домейна на електронна поща,

имейлът е отхвърлен от получаващия имейл сървър.

Като алтернатива , чрез използването на Secure SMTP , транспортирането на

имейла би могло да се проведе през криптирана SSL/TLS връзка . Когато

изпращащият имейл сървър се свързва с получаващия сървър ,

сертификатите се обменят преди криптирана връзка да бъде установена.

Валидиране на сертификата може да се използва за еднозначно

идентифициране на доверен подател. Липсващи , невалидни или отменени

сертификати ще предотвратят получаване на имейли от непозволен подател.

По желание допълнителна проверка с DNS сървър може да се използва за да


24


се гарантира, че само оторизирани пощенски сървъри могат да изпращат

електронна поща през защитена SMTP връзка.

Целта на валидирането на адреса на изпращащия сървър е да помогне да се

намали обемът на спам съобщенията и да ускори получаването на имейли

от добри източници. Въпреки това , двете предложени системи могат да

бъдат преодолени с лоша конфигурацията на сървъра - особено ако

изпращащият сървър работи и като DHCP сървър. Въпреки това,

валидирането на имейл сървъра е полезно в рамките на

вътрешнокорпоративните комуникации когато се комбинира с правилата на

имейл сървъра, които блокират/забраняват входящи имейли с адреси, които

може да дойдат само от вътрешни потребители.

- Цифрово подписани имейли - изходящата електронна поща на

предприятието може да бъде конфигуриран да винаги подписва изходящите

имейли. По този начин се използва един-единствен " корпоративен "

сертификат и клиенти, които получават тези подписани имейли могат да

бъдат сигурни , че полученото съобщение е легитимно.

- Мониторинг на домейна - Важно е организациите внимателно да

следят регистрацията на интернет домейни, свързани с тяхната организация.

Фирмите трябва непрекъснато да следят домейн регистрите за домейн

имена, които накърняват техните запазени марки , и които биха могли да се

използват за фалеиви уеб сайтове , които да заблудят клиентите. Има две

области, които подлежат на постоянен мониторинг: срокът на валидност и

подновяване на съществуващите корпоративни домейни и регистрацията на

домейни с подобно име.

Валидност и подновяване на домейн име - има много фирми, които

позволяват регистрацията на домейни, собственост на една организация,

която не са били подновени. Тъй като много организации притежават

няколко домейна, трябва много внимателно да се управляват сроковете за


25


плащанията за подновяване. Ненавременната пререгистрация на домейна

води до загуба на обслужване (т.е. името на домейна при търсене вече не се

асоциира с IP адрес) или домейните могат да бъдат закупени от трета страна,

която да ги използва за фишинг атаки.

Регистрацията на подобно домейн име е разпространен трик за заблуда на

клиентите на дадена организация и фишинг атаки. Обикновено

подвеждащото домейн име се различава от легитимното с пренасяне на

имена, използване на разширен домейн на специфична държава, разменени

думи, използване на точка за разделител, добавяне на допълнителна буква и

др. Има търговски услуги, които помагат на организациите да наблюдават

имената на домейни и да сигнализират, когато се регистрират потенциално

застрашаващи нови домейни. Също така, съществуват услуги за

предупреждение които наблюдават популярни хакерски чат стаи и форуми

за дискусии за публикуване на фишинг и други измами.

- Услуги за защита на входа - периметъра на корпоративната мрежа е

идеално място за добавяне на услуги за защита на входа, които могат да

следят и контролират както входящите, така и изходящите комуникации.

Тези услуги могат да бъдат използвани за идентифициране на зловредно

фишинг съдържание, независимо дали то се намира в рамките на електронна

поща или други комуникационни потоци. Типичните услуги включват:

• Gateway Anti - Virus сканиране – използва се за откриване на вируси ,

зловреден скриптов код и двоични прикачени файлове, които съдържат

троянски коне.

• Gateway Anti -Spam филтриране - основава се на правила, проверка на

съдържанието на електронната поща за ключови фрази (като Viagra) и лоши

думи, обикновено се използва за да идентифицира общ спам, но също така

може да спре много форми на фишинг атаки, които са предназначени да

изглеждат като обикновен спам.


26


• Gateway Content филтриране - инспекция на много видове

комуникационни методи ( като например електронна поща, IM, AOL, HTTP,

FTP) за лошо съдържание или искания. Проста защита срещу потребители,

които посещават известни лоши или опасни сайтове.

• Proxy Services – Управление на конкатенацията на интернет протоколи и

контрол върху видове изходни съобщения. Защита срещу входящи атаки

чрез използване на мрежови адреси. Добра защита срещу изтичане на обща

информация за вътрешномрежови конфигурации.

- Управлявани услуги - Докато защитните системи осигуряват добра

защита срещу много общи фишинг атаки, измамници (заедно със

спамърите) са в постоянно разработване на методи, предназначени да

заобиколят тези защитни системи. Управляваните услуги в сферата на анти

- спам и анти - фишинг предоставят ценни подобрения в областта на

сигурността. Това се дължи на тяхната способност да анализират имейл

съобщения на глобално ниво и да се определят общи черти между

злонамерените имейли. Така например , една организация може да получи

само пет или шест прикрити фишинг имейли с незначителни промени в

съдържанието – недостатъчно за задействане на анти -спам отговор - докато

доставчикът на управлявани услуги е запознат с няколко хиляди имейли от

същи тип, което задейства антиспам/анти-фишинг блокиращи процеси.

Когато се става въпрос за фишинг и спам, обемът на имейлите е ключов

компонент при определянето на злонамерените действия. Затова е важен

мониторингът на уеб активността. Доставчиците на управлявани услуги

могат да използват агент - базирани ботове за наблюдение URLs и уеб

съдържание от отдалечени сайтове, активно търсене на всички копия на

логото на организацията, търговската марка или уникално уеб съдържание.

Абонираната организация осигурява на доставчика "бял списък" на

упълномощени потребители на логото, търговската марка , както и на


27


уникално уеб съдържание. Когато ботовете засекат неоторизирани

действия, организацията може да предприеме действия по отстраняването

им от уеб пространството.


28


Заключение И тъй като наистина фишингът има защо да е в новините през последните

няколко години, само добрата информираност и проактивните действия са

в състояние да предпазят клиентите и организациите от фишинг атаки и

измами. Само и единствено прилагането на повече от две средства за защита

и постоянна бдителност при използването на лични и финансови данни в

мрежата са в състояние да предотвратят злонамерено проникване и

последваща измама. И не на последно място отговорността на всеки

индивид към обществото изисква при засичане на опит за фишинг атака да

се сигнализират органите за борба с престъпността, а също и публикуване

на адреса в сайтове за борба с фишинга, за да може да се предотвратят

бъдещи фишинг атаки към други потребители.


29


Литература:

A.Bergholz,G.Paaβ, F.Rechartz, Siehyun Strobel, J.Chang. Improved Phishing

Detection using Model-Based Features

S. Abu-Nimeh, D. Nappa, X. Wang, and S. Nair. A comparison of machine learning

techniques forphishing detection

Gunter Ollmann, The Phishing Guide Understanding & Preventing Phishing Attacks


http://anti-spyware-review.toptenreviews.com/

http://apwg.org/about-APWG/

http://www.brighthub.com/internet/security-privacy/articles/82116.aspx

http://computerspc.ucoz.com/publ/articles/phishing_and_security/1-1-0-4

http://countermeasures.trendmicro.eu/phishing-for-apples-in-the-cloud/

http://www.cybercrime.bg/bg/internet/emailPhishing/

http://docs.apwg.org/reports/apwg_trends_report_q3_2013.pdf

http://idtheft.about.com/od/glossary/g/Vishing.htm

http://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx

http://www.onguardonline.gov/phishing

https://www.phishtank.com/index.php

http://www.phishing.org/phishing-techniques/

https://www.securelist.com/en/threats/spam?chapter=85

http://www.securelist.com/en/analysis/204792330/Financial_cyber_threats_in_2013_P

art_1_phishing#4

http://spam-filter-review.toptenreviews.com/

http://www.webopedia.com/DidYouKnow/Internet/phishing.asp


http://anti-spyware-review.toptenreviews.com/

http://apwg.org/about-APWG/

http://www.brighthub.com/internet/security-privacy/articles/82116.aspx

http://computerspc.ucoz.com/publ/articles/phishing_and_security/1-1-0-4

http://countermeasures.trendmicro.eu/phishing-for-apples-in-the-cloud/

http://www.cybercrime.bg/bg/internet/emailPhishing/

http://docs.apwg.org/reports/apwg_trends_report_q3_2013.pdf

http://idtheft.about.com/od/glossary/g/Vishing.htm

http://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx

http://www.onguardonline.gov/phishing

https://www.phishtank.com/index.php

http://www.phishing.org/phishing-techniques/

https://www.securelist.com/en/threats/spam?chapter=85

http://www.securelist.com/en/analysis/204792330/Financial_cyber_threats_in_2013_Part_1_phishing#4

http://www.securelist.com/en/analysis/204792330/Financial_cyber_threats_in_2013_Part_1_phishing#4

http://spam-filter-review.toptenreviews.com/

http://www.webopedia.com/DidYouKnow/Internet/phishing.asp

Какво е Phishing? Защита от Phishing

Education

Transcript of Какво е Phishing? Защита от Phishing