Phishing – hakerzy, „słupy", botnety czyli anatomia oszustwa internetowego

Phishing, czyli łowienie haseł

Najprostsza definicja tego zjawiska brzmi: phishing to atak, którego celem jest wyłudzenie od użytkownika poświadczeń jego tożsamości - identyfikatorów kont, haseł i innych kodów (numery PIN, kody autoryzacyjne), niezbędnych do zalogowania się do systemów oraz autoryzowania wykonywanych w nich operacji. Z uwagi na finansową opłacalność przedsięwzięcia celem ataków agresorów są głównie systemy transakcyjne, w tym oczywiście - najczęściej atakowana - bankowość internetowa.

Należy wyraźnie zaznaczyć, że „phishing", jako tzw. „atak realizowany po stronie klienta", jest skierowany na użytkownika systemu (jego zachowania, poziom świadomości oraz stosowanie zasad bezpieczeństwa), a także komputer, którym posługuje się do nawiązywania połączeń (na przykład z bankiem internetowym). Jego celem nie jest natomiast infrastruktura dostawcy usług, czyli na przykład serwery bankowości internetowej i towarzyszące im systemy zabezpieczeń.

Na czym polega zagrożenie?

W przeciągu ostatnich kilku lat zasadniczym zmianom uległy mechanizmy oraz poziom złożoności ataków phishingowych. W najprostszym z możliwych przypadków, użytkownik jest nakłaniany do kliknięcia na odnośnik przesłany w odpowiednio przygotowanej przez oszusta wiadomości e-mail. W konsekwencji dochodzi do nawiązania połączenia jego komputera z kontrolowanym przez agresorów serwerem, gdzie prezentowane są fałszywe formularze z monitem o podanie identyfikatora konta, hasła dostępowego i ewentualnie innych poufnych, wrażliwych z finansowego punktu widzenia, informacji. Tym sposobem wyłudzone informacje zostają natychmiast przesłane do oszustów. Są one dalej wykorzystywane, służąc na przykład do logowania się w imieniu ofiary do systemów transakcyjnych i wykonywania oszukańczych transakcji, kończących się wyprowadzeniem części lub całości środków z rachunku.

Wypada zaznaczyć, że nie zawsze łupem internetowych złodziei (tzw. „phisherów") są poświadczenia tożsamości klientów banków. Czasem padają nim inne cenne informacje - hasła do systemów poczty, portali społecznościowych i innych komercyjnych serwisów internetowych. Konsekwencje także w tych przypadkach mogą być bardzo bolesne, zwłaszcza dla zachowania dobrej reputacji, ujawnienia wrażliwych danych, rozsyłania spamu z zaatakowanych kont pocztowych ofiary, szantażu, publikacji i propagacji nieprawdziwych, obraźliwych lub w jakikolwiek inny sposób niezgodnych z prawem i dobrymi obyczajami treści (na stronach WWW lub w portalach społecznościowych).

Oprogramowanie złośliwe, boty i botnety – co to takiego?

Wzrost złożoności mechanizmów ataków, towarzyszący udoskonalaniu narzędzi używanych do ich przeprowadzania, zmierza w kierunku stosowania przez oszustów groźnych wirusów, które nie tylko potrafią wyłudzić od użytkownika kody i hasła, ale dodatkowo mogą działać jako keylogger (rejestrator klawiatury), screen-grabber (rejestrator zrzutów ekranowych), a nawet potrafią „w locie" podmienić elementy transakcji (na przykład konto beneficjenta i kwotę przelewu) na dowolne dane podstawione przez agresorów.

Infekcja komputera tego typu wirusami następuje najczęściej na skutek braku elementarnych zabezpieczeń lub słabości tych mechanizmów (brak oprogramowania antywirusowego lub zaniedbania w aktualizacji bazy wirusów, brak zainstalowanych aktualnych poprawek bezpieczeństwa, używanie archaicznych wersji przeglądarek internetowych, brak osobistego firewalla). Równie groźne jest nieprzestrzeganie podstawowych zasad bezpieczeństwa (instalowanie oprogramowania  z niezaufanych źródeł, machinalne otwieranie wszelkich załączników, 'surfowanie' po niebezpiecznych stronach internetowych itp.).

Wirusy te często umożliwiają agresorom przejęcie pełnej zdalnej kontroli nad zainfekowanym komputerem poprzez dołączenie komputera do wirtualnej sieci zwanej botnetem.

Agresorzy kierują botnetem z poziomu centralnej konsoli zarządzającej nazywanej serwerem C&C (ang: command and control). Zakres możliwej kontroli jest pełny i nic, co dzieje się na zainfekowanej stacji, nie jest bezpieczne. Oszuści zarządzający botnetem mogą w dowolnym momencie zastosować keylogging (rejestrowanie naciśnięć klawiszy na klawiaturze komputera), a tym samym zebrać wszystkie hasła logowania, nie tylko do bankowości internetowej, przekierowywać połączenia użytkownika do fałszywych serwerów, wyprowadzać dowolne dane z zainfekowanego komputera, zapisywać pliki na dyskach, „zabijać" dowolne procesy, w tym procesy odpowiedzialne za bezpieczeństwo komputera, osłabiać lub wyłączać mechanizmy zabezpieczeń, osłabiać bezpieczeństwo przeglądarki lub nawet uszkadzać system operacyjny zainfekowanego komputera.

Jak nie zostać słupem

Kradzież poświadczeń tożsamości stanowi zaledwie pierwszy etap złożonego mechanizmu oszustwa.

Na dalszych etapach dochodzi do ich wykorzystania do podszycia się pod użytkownika przez zalogowanie się na jego koncie w systemie i wykonanie przestępczych operacji, na przykład operacji wyprowadzenia środków z rachunku zaatakowanego klienta na konto innej osoby. Tutaj w „łańcuszku" oszustwa pojawia się funkcja tzw. „słupa".

„Słup" to pośrednik zwerbowany przez przestępców do pomocy w wyprowadzania środków z rachunków ofiar phishingu (pranie pieniędzy). Jego rola polega na przyjęciu zleconego przez agresora przelewu z rachunku ofiary, niezwłocznego wypłacenia otrzymanych środków i wysłania ich, po potrąceniu dla siebie na ogół dziesięcioprocentowej prowizji, do przestępców, korzystając w tym celu z serwisów świadczących usługi szybkich, międzynarodowych przekazów pieniężnych (np. Western Union, MoneyGram, PayDirect itp.).

Osoby pełniące funkcje „słupów" przeważnie nie są świadome uczestnictwa w przestępstwie. Są wręcz przekonane, że uczestniczą w legalnymi biznesie, ponieważ takie wrażenie sprawiają oszuści dokonujący ich rekrutacji.

Werbunek odbywa się poprzez ogłoszenia e-mailowe, komunikaty publikowane na stronach WWW lub oferty w formie papierowej, zamieszczane na tablicach ogłoszeń wiarygodnych instytucji (na przykład wyższych uczelni). Oferty są redagowane w sposób nie budzący wątpliwości co do tego, że ich autorem jest legalna firma.

Oferowane stanowisko, to na ogół „financial manager" lub temu podobne. Warunki wstępne, jakie musi spełnić potencjalny pracobiorca, są raczej skromne. Wystarczy podstawowa znajomość języka angielskiego, dysponowanie komputerem z dostępem do Internetu, kontem w banku internetowym, trochę czasu i chęci. Oferty nęcą perspektywą dużych dochodów w zamian za minimum wysiłku.

Kandydat na „financial managera" staje się „słupem" po podaniu swoich danych osobowych i często także podpisaniu umowy. Wkrótce potem otrzymuje pierwszy przelew, telefoniczne powiadomienie od przestępców o fakcie jego wykonania i instrukcje dalszego postępowania. Bogatszy o kwotę prowizji snuje dalsze plany zdobywania fortuny, przeważnie nieświadomy tego, że biznes już się zakończył, a zaczęły prawdziwe kłopoty.

Historia współpracy tajemniczego pracodawcy ze „słupem" kończy się bowiem zazwyczaj na jednym przelewie. Potem do drzwi nieszczęśnika w każdej chwili może zapukać i na ogół puka policja.

Wykrywalność procederu tego typu „pośrednictwa finansowego" jest duża. „Słup" jest tym aktorem na scenie przestępstwa, który od samego początku nie może liczyć na anonimowość. Na ogół szybko zostaje namierzony, zidentyfikowany i ukarany.