Skoči na vsebino

Phishing z “inline” spletno stranjo

Phishing napad je star in preverjen način za krajo gesel za dostop do spletnih storitev. Dandanes ga štejemo med najbolj pogoste napade na omrežju, storilci pa tu in tam vpeljejo nove pristope, ki pripomorejo k uspešnosti napada. Prvič smo opazili, da se je v podtaknjeni povezavi po preusmeritvah uporabil “inline” način podajanja spletne vsebine v naslovu URL.

Sporočilo

Phishing sporočilo, namenjeno komitentom Abanke
Phishing sporočilo, namenjeno komitentom Abanke

Phishing sporočilo je dokaj običajno, oblikovano je kot HTML besedilo, kjer se za prikaz povezave uporabi naslov legitimne strani, a ta ni važen, saj je dejanski cilj povezave drug: v tem primeru naslov na Twitterjevem okrajševalniku naslovov, t.co.

Zaglavje sporočila pa kaže, da je bil za razpošiljanje uporabljen “botnet”, omrežje zlorabljenih računalnikov na različnih koncih sveta. Storilci se tako uspešno skrijejo, tovrstno storitev pa pogosto tudi najamejo na črnem trgu pri tistih, ki imajo takšne botnete pod nadzorom.

Preusmeritve

Če naslovnik klikne na povezavo, se kontaktira okrajševalnik, ki sporoči, da se spletna stran nahaja na drugem naslovu (kar je tudi osnovna funkcija okrajševalnikov):

HTTP/1.1 301 Moved Permanently
cache-control: private,max-age=300
content-length: 0
date: Sat, 09 Apr 2016 09:44:14 GMT
expires: Sat, 09 Apr 2016 09:49:14 GMT
location: http://www.villesdefrance.fr/videos
server: tsa_b
set-cookie: muc=8a5a3faa-247b-4e21-bea1-3419125c4340; Expires=Thu, 22 Mar 2018 09:44:14 GMT; Domain=t.co
strict-transport-security: max-age=0
x-connection-hash: 765b5461b4868464d239bbfcbafdede4
x-response-time: 18

Do tu je zgodba čisto običajna, tu pa pridemo do novosti: ciljna stran zopet opravi preusmeritev, vendar tokrat na “inline” vsebino: ta se nahaja zakodirana v sami povezavi.

Izsek kode
Izsek kode

(1) Povezava ne vodi na novo spletno stran, ta je podana v (3) kot BASE64 zakodirana kopija spletni strani banke (v kateri je spremenjen le naslov, kamor se pošlje vpisano geslo). (2) V zgornjem primeru podaja dodatni parameter, ki sicer ne vpliva na sam prikaz strani, se pa uporabniku prikaže v naslovni vrstici brskalnika in ga tako poskuša zavesti, da se dejansko nahaja na legitimni strani banke (in oteži prijavo, saj ciljna phishing stran ni vidna).

Zavajajoč naslov, ki NE vodi na zaščiteno spletno stran Abanke
Zavajajoč naslov, ki NE vodi na zaščiteno spletno stran Abanke

Ukrepanje

Običajno uporabnikom svetujemo, da naj preverijo spletni naslov v brskalniku, da se prepričajo, da res uporabljajo storitve banke in ne phishing strani. Do sedaj so storilci uporabljali podobne domene ali poddomene za namen zavajanja, s prikazovanjem “inline” strani pa to ni več potrebno. Še vedno pa velja, da če povezava ni označena kot varna (običajno z zeleno ključavnico v brskalniku). Za več informacij si lahko ogledate vodila varnega e-bančništva.

Kadar prejmete sporočilo, za katerega menite, da je “phishing” napad, usmerjen na komitente banke v Sloveniji ali uporabnike drugih spletnih storitev slovenskih ponudnikov, nam lahko sporočilo posredujete na SI-CERT po elektronski pošti (cert@cert.si). Vpletene povezave bomo lahko sporočili na blokirne sezname brskalnikov in skušali čimprej odstraniti spletne strani na tujih strežnikih, ter tako zmanjšali izpostavljenost uporabnikov.

Prva objava: 11. 4. 2016

Preberite tudi

SI-CERT s prenovljenim spletnim mestom

Glavna vodila pri prenovi so bila: bolj jasna vsebinska struktura, enostavna navigacija za obiskovalce in hitrejša orientacija na vstopni strani. V skladu z našimi zakonsko predpisanimi nalogami smo na najvidnejše mesto postavili aktualno varnostno obvestilo.
Več

“Kripto zlorabe” Twitter računov

V sredo, 15. 7 .2020, je bila družbena platforma Twitter tarča dosedaj najbolj odmevnega kibernetskega napada.
Več

SI-CERT prejel Slovensko veliko nagrado varnosti za program Varni na internetu

SI-CERT je letos prejel Slovensko veliko nagrado varnosti za program Varni na internetu
Več