HARD CORE SECURITY LAB

Ataki phishingowe, czyli takie podczas których komputerowi przestępcy starają się zwabić internautów na utworzoną przez siebie witrynę podszywającą się pod inny serwis internetowy, w celu przechwycenia danych logowania, stają się coraz popularniejsze. Co chwilę dowiadujemy się o nowych, zmasowanych atakach tego typu, warto więc wiedzieć, że powstał właśnie nowy rodzaj niezwykle sprytnego ataku phishingowego!

Atak phishingowy rozpoczyna się zazwyczaj od dostarczenia ofierze (za pomocą wiadomości e-mail, IM lub też coraz częściej w ramach serwisów społecznościowych) odnośnika do witryny przygotowanej przez komputerowych przestępców, która swym wyglądem imituje jakiś inny znany serwis, a jej zadaniem jest w praktyce wyłącznie przechwytywanie poświadczeń należących do nieostrożnych internautów.

Aza Raskin, znany amerykański ekspert zajmujący się przede wszystkim zagadnieniami dotyczącymi interfejsów użytkownika, zaprezentował niezwykle interesującą koncepcję nowego rodzaju ataku phishingowego.

Prototypowy atak wygląda następująco:

• Internauta odwiedza pewną witrynę internetową, która wzbudza jego zainteresowanie, dzięki czemu pozostaje otwarta w jednej z kart przeglądarki.
• Użytkownik przechodzi do innych witryn otwartych w innych kartach, co stanowi dziś typowy sposób surfowania wielu internautów.
• Złośliwa witryna wykrywa swą nieaktywność i całkowicie zmienia swój wygląd, imitując tym samym jakiś znany serwis internetowy (np. Gmail). Podmieniona zostaje również ikona witryny (favicon) oraz tytuł strony, dzięki czemu wygląd całej karty dokładnie imituje wygląd karty zawierającej znany  internaucie serwis.
• W trakcie gdy wzrok internauty padnie na znajomo wyglądającą kartę, podświadomie zostanie ona potraktowana jako karta z serwisem Gmail, która musiała pozostać po ostatnich odwiedzinach tegoż serwisu.
• Po przejściu do karty, oczom internauty ukaże się znajomy interfejs logowania, co ostatecznie rozwieje wszelkie wątpliwości. Internauta pomyśli, że został wylogowany z poprzedniej sesji, zaloguje się więc ponownie. W tej oto chwili poświadczenia zostały przechwycone przez fałszywą witrynę, a sam internauta zostanie przekierowany do prawdziwego Gmaila... nie zdając sobie w ogóle sprawy z zaistniałej sytuacji.

Aza Raskin przygotował również witrynę pokazową (najlepiej współpracującą obecnie z Firefoksem), dzięki czemu każdy może przekonać się o praktycznych możliwościach tego ataku. Wystarczy tylko otworzyć tę stronę jako jedną z kart, na 5 sekund przejść do innych witryn i po chwili powrócić do pokazowej witryny. Oczywiście strona testowa zawiera jedynie obraz interfejsu Gmail, a nie prawdziwy formularz logowania. Udostępniony został również przykładowy kod źródłowy.

Warto również zauważyć, że połączenie powyższego ataku z atakami pozwalającymi na przechwycenie historii odwiedzin internauty (CSS history attack) i zaimplementowaniem możliwości udawania wielu różnych najpopularniejszych witryn w zależności od odkrytej w danym przypadku historii, może być potencjalnie niezwykle skutecznym sposobem ataku...

Biorąc pod uwagę duży potencjał nowego ataku (w chwili obecnej internauci zupełnie nie spodziewają się tego, że witryna internetowa może nagle zmienić się w zupełnie inny serwis), można się spodziewać, że zostanie on wykorzystany do przeprowadzania prawdziwych ataków. Pamiętajmy więc, by w trakcie surfowania zawsze zachowywać daleko idącą ostrożność oraz nieufność. Warto również wyrobić sobie nawyk dokładnego sprawdzania zawartości paska adresowego. Przed atakiem tego typu może nas również uchronić rozwiązanie takie, jak popularny Noscript.

[źródło]