Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
Prijevodi ove stranice:

Gmail phishing

Sažetak

Phishing je kriminalna aktivnost u kojoj se meta kontaktira elektroničkom poštom, telefonom ili tekstualnom porukom na način da se napadač predstavi kao netko drugi. Osim phishinga putem elektroničke pošte i web stranica, postoji i vishing (glasovni phishing), smishing (SMS phishing) i nekoliko drugih phishing tehnika.

U ovom seminarskom radu naglasak će biti na phishing napadima putem elektroničke pošte, proći će se teme kao što su prepoznavanje phishing e-maila, neki tipični primjeri, forenzička analiza primljenog e-maila, metoda obrane od takve vrste napada te jedan konkretni primjer uspješnog i ozbiljnog phishing napada iz prakse.

Ključne riječi: phishing, e-mail, napad

Uvod

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Phishing je zlonamjerna aktivnost kojom se, koristeći tehničke alate i socijalni inženjering, žrtvi želi ukrasti osjetljive osobne i financijske podatke. Riječ je o jednoj od najstarijih vrsta napada koji potiče iz 1990-ih godina, a ujedno predstavlja jednu od najraširenijih i najštetnijih metoda zbog povećanja njezine sofisticiranosti tijekom godina. Naziv doslovno znači pecanje, u analogiji s bacanjem udice (poruke elektroničke pošte) u nadi da će netko zagristi. Najčešće se očituje u porukama elektroničke pošte kojima se navodi korisnika da klikne na određeni link koji ga preusmjerava na stranice zloćudnog web poslužitelja koje oponašaju izgled stvarnih stranica.</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Gotovo trećina napada u 2019. godini odnosila se na phishing, a najgora vijest od svih je što napadači postaju sve uspješniji zahvaljujući dobro pripremljenim predlošcima te korištenjem sve kvalitetnijih alata. Tajna uspješnosti phishing napada leži u ljudskoj prirodnoj znatiželji i činjenici da korisnici ne očekuju da im se dogodi išta loše tijekom svakodnevne rutine.</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Neki oblici phishing napada:</font>

  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>jednostavni zahtjev – pošiljatelj se lažno predstavi kao primjerice administrator nekog web servisa kojem su potrebni korisnikovi podaci koje on u odgovoru elektroničke pošte šalje</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>lažni linkovi u e-mail porukama – lažni link u poruci elektroničke pošte koji vodi na zloćudnu web stranicu na kojoj se traži unos korisničkog imena i lozinke ili nekih drugih osjetljivih podataka</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>lažna web sjedišta – klikom na link koji vodi na web poslužitelj koji prekrije svoj stvarni URL i predstavi se legitimnim obmanjuje se korisnika koji misli da je na legalnoj stranici te se od njega skupljaju podaci</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>lažni prozor na legitimnim web sjedištima banaka – pojava „popup“ prozora na legitimnoj web stranici koji sadrži polja za unos povjerljivih informacija</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>„tabnabbing“ – metoda koja se koristi prilikom nekoliko istovremeno otvorenih tabova od kojih se jedan od neaktivnih osvježi zloćudnim sadržajem koji imitira legitimnu web stranicu</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Najuspješniji phishing napadi ciljaju samo jednu osobu i personalizirani su do te mjere da se uopće ne doimaju kao napad, nego nalikuju na običnu privatnu ili poslovnu interakciju. Postoje i masovniji napadi koji su generalizirani i obično lijeni, no svejedno vrlo učinkoviti. To su mailovi o propuštenim pošiljkama ili problemima s nedostavljenim mailom. Dnevno se šalju na tisuće različitih mail adresa, od čega nekih 0.5% korisnika nasjedne na prevaru. Na taj način moguće je skupiti i na tisuću novih žrtvi mjesečno. A s obzirom da veliki broj korisnika reciklira svoje lozinke, neprestano se povećava broj žrtava korištenjem već postojeće žrtve kao izvor napada.</font>

Phishing kit

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Phishing napadi najčešće naglašavaju hitnost situacije, izazivaju osjećaj straha, upozoravaju na ozbiljne posljedice, a vrlo često su pokrenuti zbog znatiželje žrtve.</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Postoji takozvani phishing kit koji predstavlja komponentu phishing napada, a dizajniran je da oponaša legitimnu web stranicu s ciljem navođenja žrtve na dijeljenje podataka o prijavi ili ostale osjetljive podatke. Razvijen je kombinacijom HTML-a i PHP-a te je pohranjen na kompromitiranim web stranicama i obično zaživi svega 36 sati prije nego ga se otkrije i ukloni. Phishing kit funkcionira kao normalna web stranica s glavnom stranicom te poljem za login, s dodatkom skripte za krađu podataka. Nakon dohvaćanje različitih e-mail adresa, šalju se linkovi koji usmjeravaju na nove, lažne stranice.</font>

Forenzička analiza e-maila

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Najvažniji dio e-maila u pogledu njegove forenzičke analize jest zaglavlje koje sadrži znatnu količinu informacija. Analiza se provodi od dna prema vrhu jer se podaci u donjem dijelu zaglavlja odnose na pošiljatelja, a u gornjem na primatelja.</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Neka osnovna polja zaglavlja:</font>

  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>From → e-mail adresa (ponekad ime) autora e-maila</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>To → e-mail adresa (ponekad ime) primatelja e-maila</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>Cc → Carbon Copy, tj. adresa primatelja kopije e-maila</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>Bcc → Blind Carbon Copy, tj. adresa primatelja tajne kopije e-maila</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>Subject → sažetak teme</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>Date → lokalno vrijeme i datum kad je e-mail poslan</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>Reply-to → adresa na koju će se poslati odgovor na e-mail</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>Message-ID → jedinstveni globalni identifikator poruke izgeneriran prilikom slanja</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>References → identificira ostale dokumente povezane s porukom, poput drugog e-maila</font>
  • <font 11pt/Calibri,sans-serif;;inherit;;inherit>Received → praćena informacija generirana od strane poslužitelja koji su prethodno rukovali porukom, u obrnutom redoslijedu</font>

<font 11pt/Calibri,sans-serif;;inherit;;inherit>Istraga incidenata i zločina vezanih uz elektroničku poštu uključuje različite tehnike poput: analize zaglavlja, istrage poslužitelja, istrage mrežnog uređaja, analize ugradbenih softvera, otisaka prstiju pošiljatelja, korištenje e-mail pratitelja, analize promjenjive memorije i analize privitaka.</font>

Kako prepoznati phishing e-mail?

1. Legitimne tvrke neće nikada tražiti osjetljive podatke putem e-maila

  • velike su šanse da se radi o prevari budući da većina tvrtki ne šalje e-mailove tražeći lozinke, brojeve kreditnih kartica ili ostale informacije za koje je potrebno obaviti login
  • takav e-mail često započinje generičkim pozdravom te sadrži sumnjivi link u prilogu

2. Legitimne tvrtke obično oslovljavaju korisnika imenom

primjer2_1.jpg

primjer2_2.jpg

  • phishing e-mailovi često koriste generičke pozdrave poput “Poštovani članu”, “Poštovani korisničke računa” ili “Poštovani kupcu”
  • no, ako legitimna tvrtka treba podatke korisnika računa, u e-mailu će koristiti oslovljavanje imenom te zahtijevati dodatni kontak telefonom
  • neki hakeri izbjegavaju pozdrave, pogotovo kod reklamnih e-mailova

3. Legitimne tvrtke koriste valjanu e-mail domenu

  • važno je pogledati i adresu e-maila, a ne samo ime pošiljatelja te u slučaju da se pojavljuju dodatni brojevi ili slova u domeni e-maila, radi se o lažnom e-mailu, npr. michelle@paypal.com i michelle@paypal23.com
  • no, ovo nije najsigurnija metoda jer ponekad tvrtke doista koriste jedinstvene ili različite domene za slanje e-maila
  • treba pripaziti i na logo koji se može razlikovati od pravog

costco-logo.jpg

4. Legitimne tvrtke upoznate su s pravopisom i gramatikom

  • možda banalan primjer, ali vjerojatno najlakši način prepoznavanja zloćudnog e-maila jest provjerom gramatike
  • zapravo postoji svrha iza tih pogrešnih izraza, naime hakeri generalno nisu neupoznati s ispravnom gramatikom već namjerno ciljaju na manje obrazovanu publiku, a time i lakše mete

5. Legitimne tvrtke ne forsiraju svoju web stranicu

  • ponekad su phishing e-mailovi u potpunosti kodirani kao link pa slučajnim klikom bilo gdje u poruci otvara se lažna web stranica ili se preuzme neželjeni sadržaj na računalo

6. Legitimne tvrtke ne šalju netražene privitke

  • tvrtke ne šalju e-mail s privitkom već preusmjeravaju korisnika na njihovu službenu web stranicu gdje se mogu preuzeti odgovarajući dokumenti
  • no, ovo nije pravilo i može se dogoditi da legitimne tvrtke koje imaju korisnikovu adresu e-maila doista šalju informacije u privitku e-maila te u tom slučaju treba obratiti posebnu pažnju na vrstu privitka (.exe, .zip)

7. Legitimne tvrtke koriste legitimne URL-ove

  • ako opis linka tvrdi da će preusmjeriti korisnika na određenu adresu, ne mora značiti da će se to stvarno i dogoditi
  • potrebno je dvaput provjeriti URL na način da se mišem prijeđe iznad linka i pročita koja je stvarna adresa, a dodatna sigurnost osigurana je ako veza počinje s https

Primjeri

1. zastrašivanje deaktivacijom

zastrasivanje_deaktivacijom.jpg

  • ovaj oblik mamca često uspijeva jer ništa ne plaši ljude više od obavijesti o deaktivaciji
  • e-mail tvrdi da će račun biti deaktiviran u slučaju da se na priloženom linku ne unese korisničko ime i lozinka te poduzme potrebna akcija

2. slične web-stranice

slicne_web_stranice.jpg

  • postalo je sve teže pronaći razliku između stvarne i phishing web stranice; one lažne su vrlo precizne kopije te dio njihovog URL-a čini URL prave stranice
  • malo boljim pogledom uočljivo je da lažna stranica ipak upućuje na neku drugu domenu

3. Nigerijska prevara

nigerijska_prevara.jpg

  • poznata i kao napredna prevara plaćanja, a ime je dobila po tome što su je nigerijski prevaranti pokušavali izvesti više nego ikoja druga država, barem po glavi stanovnika
  • unatoč lošoj gramatici i smiješnom scenariji, koji su namjerno takvi, šalje se na milijune takvih mailova i dok ih određeni antivirusni programi blokiraju, nađe se poneki osjetljivi korisnik koji podlegne ovom napadu

4. direktan odlazak u zatvor

direktan_odlazak_u_zatvor.jpg

  • napadači često koriste žrtvinu grižnju savjest, čak i ako nešto za što se žrtva osjeća krivom nije ilegalno, svejedno ih se prevari misleći da su uhvaćeni
  • ovakvi napadi koriste lažna FBI upozorenja zbog ilegalnog preuzimanja glazbe ili neplaćanja poreza
  • ljudi ponekad plate unatoč tome što nisu ništa od navedenog radili, u nadi da će prijetnje i upozorenja prestati, ali to se ne dogodi

E-mail kojim je hakiran John Podesta

U ožujku 2016. godine John Podesta, predsjednik kampanje Hillary Clinton, primio je od “Google-a” mail u kojem je pisalo da treba hitno promijeniti svoju lozinku jer se netko u Ukrajini pokušao ulogirati u njegov račun.

John je ovaj mail proslijedio IT osoblju kako bi provjerili je li mail stvaran, budući da je izgledao vrlo uvjerljivo: sadržavao je oslovljavanje imenom te navodnu IP adresu s koje se pristupilo njegovom računu, no pošiljateljeva adresa bila je googlemail, a u tijelu poruke nalazio se i sumnjivi link za promjenu adrese. Osoblje mu je uzvratilo porukom da je mail legitiman te da treba hitno promijeniti svoju lozinku ali slijedeći službeni link, no iz nekog razloga tko god da je bio odgovoran za situaciju kliknuo je na kratki link u originalnom e-mailu te su napadači (ruska hakerska skupina Fancy Bear) uspješno pristupili Podestinim podacima za Gmail što im je omogućilo da hakiraju njegov račun i 60 tisuća pohranjenih mailova koje je u listopadu iste godine svakodnevno objavljivao WikiLeaks, točno prije predsjedničkih izbora.

Kako spriječiti phishing?

Najbolji način obrane od phishing napada jest naučiti se prepoznati sumnjive e-mailove, a to je najlakše proučavanjem stvarnih primjera napada, npr. na stranici: https://lts.lehigh.edu/phishing/examples

Ako postanete žrtva phishing napada:

  1. izmijenite zaporke za Vaše aplikacije i mrežne račune s drugog telefona ili računala
  2. skenirajte svoje računalo za viruse i zlonamjerni sadržaj
  3. pošaljite prijavu krađe policiji i zadržite kopiju
  4. pošaljite prijavu incidenta Vašoj organizaciji ili banci, APWG-u (reportphishing@apwg.org) te Nacionalnom CERT-u (incident@cert.hr)

Zaključak

Sve u svemu, phishing je vrlo opasna aktivnost na koju svi moraju obratiti pozornost jer se bilo kome može dogoditi da nasjedne na napad, a to može završiti vrlo skupo po osobu ili organizaciju. Stoga, treba biti oprezan, otvoriti oči na sve pa čak i minimalno sumnjive poruke, inače se može dogoditi da postanete sljedeća žrtva prevaranata.

Sources

racfor_wiki/email/gmail_phishing.txt · Zadnja izmjena: 2023/06/19 18:17 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0