Anatomien til en phishing-operasjon

Våren 2009 ble jeg noens phishee. Du skulle tro at en person som skriver om IT-sikkerhet vil vite bedre. Men det gjorde jeg ikke. Av alle følelser jeg følte, var flau det aller verste. Spesielt siden jeg bare dager tidligere har skrevet artikkelen "Phishing: Er det nettstedet ekte eller ikke?"

Mens jeg var i den "stakkars meg" -funken, husket jeg tilfeldigvis en godt slitt klisjé, og bestemte meg for at jeg like gjerne kunne lage den ordspråklige sitronaden i stedet for å sulke. Eller enda bedre, spør ekspertene hvordan du kan unngå digitale con-artister som den jeg støt på, og så skrive om det.

I den forbindelse ønsker jeg at du skal møte noen jeg skulle ønske jeg hadde kjent den gang. Hans navn er John Brozycki. Han forstår phishing, hver ubehagelige detalj; legitimasjon: en bøtte full av GIAC-sertifiseringer, mange års erfaring og vilje til å dele det han vet.

Ironisk nok skrev John rett rundt den gangen jeg ble phish, "Inside a Phish", et papir om en bestemt phisher, hans eskapader og eventuell nedtakelse av myndigheter. Det er en av de beste kommentarene jeg har lest om de indre funksjonene til en vellykket phishing-operasjon.

Det som gjorde denne artikkelen verdifull, var Johns evne til å sette sammen detaljer om hvordan et phishing-angrep ble utført ved hjelp av informasjon fra både phisher og phishee:

Jeg hadde ofte ønsket at jeg kunne være en "flue på veggen" og se hvordan en phish opererte, for å forstå at den ikke ville representere alle phishere mer enn å se en bank heist ville representere alle bankrøverne. Uansett visste jeg at det kunne være mye informasjon i e-postene, og jeg fant meg umiddelbart med å spørre om jeg kunne studere dataene.

Det tok en stund, faktisk flere år, før John omsider fikk tillatelse til å se på sakene som var involvert i etterforskningen:

Jeg ble fortalt at jeg ikke kunne det mens det var en aktiv etterforskning. Etter noen år fikk mine periodiske forespørsler endelig et positivt svar. Jeg lærte at jeg kunne komme inn for å se gjennom dataene, og gikk med på å ikke bruke detaljer som navn, IP-adresser og organisasjoner. Jeg ville studere metodene og funksjonene til phishen.

John forklarte også hvorfor det var viktig å revidere den involverte finansinstitusjonen:

Da jeg begynte å gjennomgå informasjonen, begynte jeg også å tenke på finansinstitusjonen denne phish ble utført mot. Hva gjorde de, og hvordan reagerte de mens phishen var i spill? Hva ble gjort effektivt, og hva kunne vært gjort bedre?

Et eksempel

Før vi kommer til detaljene i Johns undersøkelse, tenkte jeg at det ville være best å forklare rudimentene om phishing. En phish består av to grunnleggende komponenter: forespørsler og svar.

Forespørsel : Det tiltenkte offeret mottar en e-post (Anatomien til en e-postmelding med svindel) - angivelig fra en organisasjon (vanligvis økonomisk) som det tiltenkte offeret tilhører - med en forespørsel sammensatt med en ting i tankene - få offeret til svar. Følgende lysbilde er et eksempel på en slik forespørsel (Begge lysbildene med tillatelse fra Cadzow.com).

Respons : Offeret bestemmer seg for om han vil klikke på lenken i e-posten eller ikke. Hvis offeret klikker på lenken, åpnes følgende phishing-webside med enda en forespørsel.

Som du kan se, prøver phisheren å skaffe sensitiv økonomisk informasjon. Og hvis offeret svarer, vinner phisheren. I følge min kilde (ikke bekreftet) lurte denne phishing-kampanjen mer enn noen få Citibank-medlemmer. La oss se hva Johns etterforskning dukket opp.

Phishing-sett

Som en del av avtalen med rettshåndhevelse, lovet John å ikke avsløre noen merkbar informasjon; så møt Bob - den ekle phisheren - og GIAC Bank - den kopierte finansinstitusjonen. Ved å bli enige, kunne John se på phishing-settet og e-postsamtaler som Bob hadde med andre operatører.

For de som ikke er kjent med phishing-sett, er det et arkiv med alle filene som kreves for å lage phishing-nettstedet. John nevner hvorfor dissekering av phishing-sett er nyttig:

Når du kan få det phishing kit, kan det gi et vell av informasjon. Åpning av settet og gjennomgang av kildekoden fra PHP-skriptene, fant jeg e-postadressen der phished-data ble sendt.

Jeg tenkte at det kunne være interessant å se på noen av filene John fant i GIAC Bank phishing-settet:

  • Config.php konfigurerer vertsadressen, phishers blind-drop-e-postadresse der kontoinformasjon skal sendes, og navnet på finansinstitusjonen som målrettes.
  • Index.php oppretter forsiden som ber om påloggingsinformasjon. Etter å ha lagt inn riktig informasjon og klikket på send-knappen, blir dataene lagt ut på Login.php.
  • Login.php setter opp nettskjemaet som ber om følgende: kortnummer, utløpsdato, cvv2 (nummer trykt på kortets bakside) og PIN-kode.

Et falskt nettsted som er likt nok til å lure et flertall mennesker, og be om sensitiv finansiell kontoinformasjon - hva er det ikke å like? For å gjøre det enda mer offisielt, sørget Bob for at phishing-nettstedet ga inntrykk av å ha riktige digitale sertifikater.

GIAC Bank viser et Secured by Verisign-bilde på bankens hjemmesider. Bob ba om at elementet også skulle være på phishing-nettstedet - ingen liten oppgave slik John forklarer:

GIAC Bank bruker Verisign for nettstedets digitale sertifikat, og kjører et element på siden levert av Verisign for å sikre de besøkende at siden de ser på er både autentisk og sikker. Nettfisken har erstattet en Adobe Shockwave-fil med en animasjon som etterligner det virkelige Verisign-elementet (figur 11). Dette er en smart touch. Enda finere, denne animasjonen er laget av vektorgrafikk, ikke et bildeopptak fra den virkelige logoen.

E-postlogger

Mens etterforskningen pågikk, hjalp John lovhåndhevelse med å tyde e-postloggene, men var ikke interessert i selve e-postene på flere år (husk at John måtte vente til etterforskningen ble avsluttet). Bare fra å se loggene, var John overbevist om at de faktiske e-postene ville gi en enorm mengde driftsinformasjon.

Når myndighetene ga John tilgang til e-postene, lærte han noe interessant. Bob gjorde veldig lite av det faktiske arbeidet; han var en koordinator, og drev flere phishing-operasjoner, og målrettet hver mot fem forskjellige finansinstitusjoner. Jobbene Bob della ut var:

  • Rekognosering av potensielle ofre, og hvilke finansinstitusjoner de var tilknyttet var et viktig første skritt.
  • Det var nødvendig med måladresselister over ofre som bruker vanlige finansinstitusjoner.
  • Postlevering av phishing-e-postene til hvert av de potensielle ofrene.
  • Kompromisse webservere slik at phishing-sett kan installeres uten den faktiske eierens kunnskap.
  • Oppretting og modifisering av phish-sett var avgjørende for å ha den beste sjansen for å lure ofre.
  • Inntektsgenerering av kompromitterte kortkontoer for å betale Bob og alle involverte tredjeparter.

Dette bør gi deg en ide om hva som kreves for å utføre en vellykket phishing-operasjon, og dybdefiskerne vil gå til når det er penger å tjene.

Hva Bob gjorde galt

Ifølge John gjorde Bob flere feil. For det første slettet han ikke phish-settet fra de kompromitterte webserverne. Dette tillot myndighetene å advare de målrettede finansinstitusjonene, og hjelpe til med å avlede et flertall av angrepets effekt. Bob førte også en logg over ofrene på webserveren. Listen over ofre ga myndighetene sjansen til å advare mange av ofrene snart nok til å forhindre at deres kontoer kompromitteres.

Siste tanker

Et par ting skiller seg ut i tankene mine. Eksperter kommenterer hvordan kriminelle driver sin virksomhet på en forretningsmessig måte. Og det ser ut til å være sant i Bobs tilfelle. Det er imidlertid et utgangspunkt; finansiering; Å håndtere penger ser ut til å være litt mer kreativ enn det jeg er vant til. Flere ganger påpekte John at hvis Bob trengte noe - personlig eller til operasjonen - ville han ganske enkelt bruke stjålne bankkort. Det er en måte å eliminere risikovillige investeringer på.

Denne artikkelen var et sammensatt stykke å trekke sammen; Jeg kan forestille meg innsatsen John gjennomgikk i løpet av sine forskningsår. Derfor vil jeg også takke John og SANS for å takke ja til å bruke deler av Johns papir i denne artikkelen.

Jeg har rapportert jevnlig om phishing siden 2009, og mange av artiklene er fortsatt relevante. Hvis du er interessert, kan de bli funnet her.

© Copyright 2020 | mobilegn.com