Anatomi af en phishing-operation

I foråret 2009 blev jeg nogens phishee. Du skulle tro, at en person, der skriver om it-sikkerhed, ville vide det bedre. Men det gjorde jeg ikke. Af alle de følelser, jeg følte, var forlegenhed langt den værste. Især da jeg kun dage tidligere har skrevet artiklen "Phishing: Er dette websted ægte eller ikke?"

Mens jeg var i min "stakkels mig" -funk, huskede jeg tilfældigvis en veludslidt kliché og besluttede, at jeg lige så godt kunne lave den ordsprægede limonade i stedet for at sulte. Eller endnu bedre, spørg eksperterne, hvordan man kan undgå digitale con-kunstnere som den, jeg stødte på, og derefter skrive om det.

Med henblik herpå vil jeg gerne have, at du møder nogen, jeg ville ønske, jeg havde kendt dengang. Hans navn er John Brozycki. Han forstår phishing, hver ubehagelige detalje; hans legitimationsoplysninger: en spand fuld af GIAC-certificeringer, mange års erfaring og en vilje til at dele det, han ved.

Ironisk nok skrev John lige omkring det tidspunkt, hvor jeg blev phishing, "Inside a Phish", et papir om en bestemt phisher, hans eskapader og eventuelt aftagelse fra myndighederne. Det er en af ​​de bedste kommentarer, jeg har læst om den indre funktion af en vellykket phishing-operation.

Det, der gør dette papir værdifuldt, var Johns evne til at dele detaljer om, hvordan et phishing-angreb blev udført ved hjælp af information fra både phisheren og phishee:

Jeg havde ofte ønsket, at jeg kunne være en "flue på væggen" og se, hvordan en phish fungerede, idet jeg forstod, at det ikke ville repræsentere alle phishere mere end at se en bank heist ville repræsentere alle bankranere. Uanset hvad, vidste jeg, at der kunne være en masse information i e-mails, og jeg fandt mig straks med at spørge, om jeg kunne studere dataene.

Det tog et stykke tid, faktisk flere år, før John endelig fik tilladelse til at se på sagsregistret, der var involveret i efterforskningen:

Jeg fik at vide, at jeg ikke kunne, mens det var en aktiv undersøgelse. Efter nogle få år fik mine periodiske anmodninger endelig et positivt svar. Jeg lærte, at jeg kunne komme ind for at gennemgå dataene, og accepterede ikke at bruge detaljer som navne, IP-adresser og organisationer. Jeg ønskede at studere phishens metoder og arbejde.

John forklarede også, hvorfor det var vigtigt at revidere den involverede finansielle institution:

Da jeg begyndte at gennemgå oplysningerne, begyndte jeg også at tænke på den finansielle institution, som denne phish blev udøvet imod. Hvad gjorde de, og hvordan reagerede de, mens phishen spillede? Hvad blev der gjort effektivt, og hvad kunne der have været gjort bedre?

Et eksempel

Inden vi kommer til detaljerne i John's undersøgelse, tænkte jeg, at det ville være bedst at forklare rudimentet med phishing. En phish består af to grundlæggende komponenter: anmodninger og svar.

Anmodning : Det påtænkte offer modtager en e-mail (anatomi af en e-mail-besked med svindel) - angiveligt fra en organisation (normalt økonomisk), som det påtænkte offer hører til - med en anmodning sammensat med en ting i tankerne - få offeret til svare. Den følgende dias er et eksempel på en sådan anmodning (begge dias med tilladelse fra Cadzow.com).

Svar : Offeret beslutter, om det skal klikkes på linket i e-mailen eller ej. Hvis offeret klikker på linket, åbnes følgende phishing-webside med endnu en anmodning.

Som du kan se, prøver phisheren at få følsomme økonomiske oplysninger. Og hvis offeret reagerer, vinder phisheren. Ifølge min kilde (ikke verificeret) narrede denne phishing-kampagne mere end et par Citibank-medlemmer. Lad os nu se, hvad John's undersøgelse dukkede op.

Phishing-sæt

Som en del af aftalen med retshåndhævelse lovede John ikke at afsløre nogen synlig information; så mød Bob - den grimme phisher - og GIAC Bank - den copycattede finansielle institution. Ved at blive enige, kunne John se på phishing-kit og e-mail-samtaler, Bob havde med andre operative.

For dem, der ikke kender phishing-sæt, er det et arkiv med alle de filer, der kræves for at lave phishing-webstedet. John nævner, hvorfor dissektion af et phishing-kit er nyttigt:

Når du kan få det phishing kit, kan det give et væld af oplysninger. Åbning af kittet og gennemgang af kildekoden fra PHP-scripts, jeg fandt den e-mail-adresse, hvor phish-dataene blev sendt.

Jeg tænkte, at det kunne være interessant at se på et par af de filer, John fandt i GIAC Bank phishing-kit:

  • Config.php konfigurerer hosting-URL, phishers blind-drop-e-mail-adresse, hvor kontooplysninger skal sendes, og navnet på den finansielle institution, der målrettes mod.
  • Index.php opretter forsiden, der beder om logonoplysninger. Når du har indtastet de relevante oplysninger og klikket på knappen Send, sendes dataene til Login.php.
  • Login.php opsætter webformularen, der anmoder om følgende: kortnummer, udløbsdato, cvv2 (nummer trykt på kortets bagside) og pinkode.

Et falsk websted, der ligner nok til at narre et flertal af mennesker, der beder om følsomme finansielle kontooplysninger - hvad skal man ikke lide? For at gøre det endnu mere officielt udseende sørgede Bob for, at phishing-webstedet gav indtryk af at have de rigtige digitale certifikater.

GIAC Bank viser et Secured by Verisign-billede på bankens websider. Bob anmodede om, at elementet også skulle være på phishing-webstedet - ingen lille opgave, som John forklarer:

GIAC Bank bruger Verisign til stedets digitale certifikat og kører et element på dets side leveret af Verisign for at hjælpe med at sikre besøgende, at siden, de ser, er både autentisk og sikker. Phish har erstattet en Adobe Shockwave-fil med en animation, der efterligner det rigtige Verisign-element (figur 11). Dette er et smart touch. Endnu pænere er denne animation lavet af vektorgrafik, ikke en billedoptagelse fra det ægte logo.

E-mail-logfiler

Mens efterforskningen foregik, hjalp John retshåndhævelse med at dechiffrere e-mail-logfilerne, men var ikke interesseret i de faktiske e-mails i flere år (husk, at John måtte vente til undersøgelsen blev afsluttet). Bare fra at se logfilerne var John overbevist om, at de faktiske e-mails ville give en enorm mængde operationelle oplysninger.

Når myndighederne gav John adgang til e-mails, lærte han noget interessant. Bob udførte meget lidt af det faktiske arbejde; han var en koordinator, der kørte flere phishing-operationer, der hver især målrettede sig mod fem forskellige finansielle institutioner. Job, som Bob uddelte var:

  • Rekognosering af potentielle ofre, og hvilke finansielle institutioner de var tilknyttet var et vigtigt første skridt.
  • Der var behov for måladresselister over ofre, der bruger fælles finansielle institutioner.
  • Maillevering af phishing-e-mails til hvert af de potentielle ofre.
  • Kompromiser webservere, så phishing-sæt kunne installeres uden den faktiske ejers viden.
  • Oprettelse og ændring af phish-kit var kritisk for at give den bedste chance for at narre ofre.
  • Indtjening af kompromitterede kortkonti for at betale Bob og alle involverede tredjepartsoperatører.

Dette skulle give dig en idé om, hvad der kræves for at køre en vellykket phishing-operation, og dybden phishere går til, når der er penge at tjene.

Hvad Bob gjorde forkert

Ifølge John begik Bob flere fejl. Først slettede han ikke phish-kittet fra de kompromitterede webservere. Dette gjorde det muligt for myndighederne at advare de målrettede finansielle institutioner og hjælpe med at afbøje et flertal af angrebets virkning. Bob førte også en log over ofrene på webserveren. Listen over ofre gav myndighederne chancen for at advare mange af ofrene hurtigt nok til at forhindre, at deres konti kompromitteres.

Endelige tanker

Et par ting skiller sig ud i mit sind. Eksperter kommenterer, hvordan kriminelle driver deres operationer på en forretningsmæssig måde. Og det ser ud til at være sandt i Bobs tilfælde. Der er dog et udgangspunkt - finansiering; håndtering af penge ser ud til at være lidt mere kreativ end hvad jeg er vant til. Flere gange påpegede John, hvis Bob havde brug for noget - personligt eller til sin operation - han blot ville bruge stjålne bankkort. Det er en måde at eliminere risikovirkelige investeringer på.

Denne artikel var et komplekst stykke at trække sammen; Jeg kan forestille mig den indsats, John gennemgik i sine mange år med forskning. Derfor ønsker jeg også at takke John og SANS for at give mig mulighed for at bruge dele af Johns papir i denne artikel.

Jeg har rapporteret støt om phishing siden 2009, og mange af artiklerne er stadig relevante. Hvis du er interesseret, kan de findes her.

© Copyright 2020 | mobilegn.com