image
Alegerea editorului

Phishing-ul Modern – Am Intrebat Sucuri Cum Functioneaza

Phishing-ul Modern

Foarte posibil ca multi dintre noi sa fi avut parte de phishing-ul modern. Observam ca paginile de conectare sunt create pentru a convinge utilizatorii care se logheaza intr-un serviciu valid. Atunci cand utilizatorul nu observa ca pagina de phishing este falsa, datele de conectare sau informatiile despre cartea de credit sunt trimise atacatorilor. Acreditarile furate si informatiile personale sunt folosite pentru a efectua furtul de identitate si pentru activitati frauduloase.

Iata ce spune un angajat de la Sucuri.net :

,,Lucrul in calitate de Cercetator de Malware imi ofera o mare oportunitate de a vedea multe incercari despre phishing-ul modern din interior. Cu alte cuvinte, vad ce se afla in spatele cortinei’’.

In cele mai multe cazuri, metoda folosita de phishing-ul modern este doar o copie foarte simpla a unei pagini de conectare pentru Facebook, Google, Banci, Companii de asigurari etc. Atacatorii includ imagini stocate local, CSS si JavaScript pentru a produce copii aproape identice ale paginii de autentificare originale . Diferenta importanta este reprezentata de scripturile malware PHP care trimit numele de utilizator si parola direct la atacator. Este atat de simplu. Vom analiza cateva exemple despre modul in care incercarile de phishing cresc in complexitate, pentru a pacali utilizatorii si pentru a abuza de resursele de pe site-uri hacku-ite.

back to menu ↑

Fishing-ul Modern – Atacurile de baza

In atacurile de baza cu fishing-ul modern , sarcina atacatorului este dupa ce informatiile delicate sunt colectate si utilizatorului îi este prezentata o pagina falsa. Un rezultat comun este pictograma de incarcare care da impresia ca ceva se intampla (adica sunteti aproape conectat!)

Imagine preluata

Imagine preluata

Daca sunteti blocat vreodata de o pictograma de incarcare care se roteste mult timp, verificati bara de adrese. Daca va aflati pe un site gresit, reimprospatarea sau inchiderea browserului nu va ajuta. Din momentul vederii pictogramei de incarcare, datele dvs. sensibile au fost deja trimise atacatorilor.

Vestea buna este ca ati descoperit phishing-ul modern la timp (si stiind ca ati fost compromis) va ofera timp pentru a reactiona rapid:

  • Schimbati-va parolele
  • Verificati contul bancar pentru tranzactii neobisnuite
  • Blocati-va cardul de credit
  • Contactati site-ul de unde a aparut pagina de phishing
back to menu ↑

Atacurile complexe de phishing

Mai multe atacuri de tip phishing implica doar cateva linii suplimentare de cod. Aceste pagini contin in continuare pictograma de incarcare, dar dupa cateva secunde, ele va redirectioneaza catre site-ul real (chiar direct la pagina de autentificare legitima).

In acest moment, inca nu sunteti conectat, deoarece datele dvs. de conectare au fost trimise atacatorului in schimb.

Sfat Rapid:

Daca te-ai conecat si dupa redirectioanre ti se va deschide din nou pagina oficiala de conectare si nu contul tau oficial, inseamna ca ai facut cunostinta cu phishing-ul modern. Intra repede in contul oficial si schimba-ti parola, blocheaza cardul, anunta banca etc.

De data aceasta nu ai avut ocazia sa observi, deoarece bara de adrese afiseaza site-ul legitim. Majoritatea victimelor cred ca a existat o problema cu parola lor sau cu o alta problema de natura tehnica, asa ca incearca din nou si se inregistreaza cu succes.

Victima uita despre aceasta problema si continua ca si cum nu s-ar fi intamplat nimic. Cateva ore, zile sau chiar luni mai tarziu, problemele reale incep. In cazul in care opteaza pentru aceasta, atacatorul poate incepe sa utilizeze acreditarile furate si informatiile personale imediat dupa ce datele le sunt trimise cu succes.

Imagine preluata

Imagine preluata

back to menu ↑

Verificati bara de adrese

Dupa cum s-a demonstrat mai sus, este esential sa verificati unde introduceti informatii sensibile. In multe cazuri, o verificare simpla a barei de adrese din browser va ajuta sa intelegeti ca nu va aflati pe site-ul dorit.

Iata cateva lucruri pe care le puteti verifica pentru a evita phishing-ul modern:

  • Introduceti informatiile dvs. de conectare la Google Drive pe docs.gooogle.com?
  • Este site-ul HTTPS (securizat HTTP)?
  • Exista o problema cu certificatul SSL raportat pe pictograma de blocare? ( Click pe lacatelul verde pentru a vedea daca certificatul SSL este valid )
back to menu ↑

Detalii tehnice privind atacurile avansate de tip phishing

Dar cum arata intr-adevar un atac de phishing-ul modern din perspectiva unui specialist de Malware? Pentru cei care sunt interesati, hai sa aruncam o privire din spatele cortinei.

Incepem cu un singur index.php. Asteptati copierea paginii de phishing? Nu chiar…

Acesta este un exemplu frumos a unui backend de phishing complex, permitand atacatorului nu doar sa fure informatiile, ci sa o faca intr-un mod inteligent ca sa obtina mult mai mult de la acesta.

Modulul chmod.php creeaza (cu permisiuni corespunzatoare) toate fisierele de jurnal pentru backend:

Imagine preluata

Imagine preluata

Acum este timpul de logare – visitor_log.php inregistreaza pur si simplu datele vizitatorului, chiar si fusul orar. Asta ne-ar putea spune ceva despre atacator. Pai da, vorbim de phishing-ul modern, atacatorul evita trezirea lui in mijlocul noptii, daca nu este necesar. Cred ca atacatorii vor sa citeasca informatiile in propriul lor fus orar.

Imagine preluata

Imagine preluata

Acum intram in lucruri interesante. Acesti atacatori verifica de la ce site vine vizitatorul (prin HTTP_REFERER).

Daca vizitatorul vine de pe un serviciu de securitate (cum ar fi phishtank.com, care permite utilizatorilor sa verifice paginile de phishing raportate), acestia afiseaza o pagina de eroare 404 pentru a incerca sa-i insele pe cercetatorii din domeniul securitatii si sa se creada ca pagina este inexistenta. Acest lucru îi ajuta sa-si protejeze campania de phishing. Phishing-ul modern a ajuns foarte greu de depistat, dar nu imposibil.

Imagine preluata

Imagine preluata

Dar asta nu este tot. Atacatorii nu numai ca verifica serviciile de phishing, dar si propria lor lista neagra, care blocheaza alte servicii de securitate care ar putea fi o amenintare pentru ei. In imaginea de mai jos, sunt listate 122 de companii, inclusiv domeniile IP.

Imagine preluata

Imagine preluata

Dupa toate inregistrarile si verificarile, vom vedea in sfarsit datele de phishing.

Acesti atacatori inregistreaza toate atacurile si toate informatiile disponibile despre victima, cum ar fi browser-ul si agentul utilizator:

Imagine preluata

Imagine preluata

back to menu ↑

Concluzie

In afara de incercarile de phishing de baza (care sunt la fel de periculoase ca si cele complexe), observam tendinte similare in orice alta afacere. De exemplu, exista mai putine copii de script-uri si mai multi hackeri de elita. Aceste infractiuni cibernetice sunt comise de grupuri experimentate cu oameni calificati care stiu ce sa faca si cum sa o faca.

In acest sens, in calitate de proprietari de site-uri web, trebuie sa platim timp si o atentie deosebita modului in care sunt utilizate activele web pentru a facilita aceste atacuri. Cea mai mare provocare pe care o vad este ca majoritatea proprietarilor de site-uri web nu sunt constienti de faptul ca site-urile lor sunt folosite pentru acte nefaste, iar cei mai multi proprietari de site-uri rezonabile ar fi rusinati.

Cea mai mare provocare despre phishing-ul modern este ca acestea sunt dificil de detectat. Avand in vedere exemplele de mai sus, puteti vedea cum codul in sine nu este rau intentionat si ar putea sa se potriveasca perfect in constructia site-ului web. Atacatorii stiu acest lucru si complica procesul prin incorporarea paginilor adanc in structura fisierelor site-ului dvs. Pentru a rezolva acest lucru, este important sa monitorizati in mod activ integritatea fisierelor si a directoarelor site-urilor dvs.

Daca banuiti ca site-ul dvs. este utilizat intr-o campanie de phishing, scanati-va site-ul cu unealta gratuita oferita de Sucuri. Si pentru 10 dolari pe luna, puteti dormi linistiti.

Recomandarile Editorului:

Wal-Mart.com USA, LLC
NU PIERDETI NOUTATILE!
Abonati-va la Newsletter!

Primeste in casuta ta de email, noutati wordpress, idei de business, sfaturi de marketing si multe alte lucruri interesante si utile.

Invalid email address
Comunitatea WordPress nu trimite spam. Va puteti dezabona in orice moment.
Search and buy domains from Namecheap. Lowest prices!
We will be happy to hear your thoughts

Leave a reply