Phishing

Thursday, 18 February, Year 2 d.Tr. | Author: Mircea Popescu

"Phishing" nu este un cuvant. Chiar daca nu este un cuvant, el totusi numeste o chestie, si anume, atunci cand un website se preface c-ar fi altul, pentru a va afla parolele. S-o luam cu exemple.

Sa zicem ca exista un website respectabil, Politica.com, care raspunde la adresa http://politica.com. Sa zicem ca dumneavoastra aveti un cont acolo, care are o valoare oarecare, din orice motiv. Un site care se numeste "intamplator" Po1itica.com, si raspunde la adresa http://po1itica.com va momeste cu un design absolut identic cu cel al websitului original. Daca smecheria reuseste si cadeti in plasa va veti scrie numele si parola, pe care proprietarul Po1itica le poate acum folosi pentru a va fura identitatea pe adevaratul site Politica. Indeobste asa ceva se foloseste pentru a fura datele de identificare ale clientilor diverselor banci, si mai apoi pentru a le goli conturile, efectuand in numele lor transferuri bancare.

In teoria securitatii, atacul pe care Po1itica il desfasoara asupra dumneavoastra se numeste man-in-the-middle, adica al intermediarului, si este de tipul social engineering, adica nu functioneaza exploatand o eroare sau functionalitate neprevazuta in cadrul programelor, ci o eroare sau functionalitate neprevazuta in cadrul comportamentelor oamenilor. Nu este deci o abordare tehnica, ci sociala a securitatii.

Motivul pentru care se numeste phishing tine de istoria explorarilor lumii masinilor. Cu multi ani in urma, inainte sa existe internet, si inainte sa existe PC-uri, si inainte sa existe killer micros, si inainte sa existe Apple sau Microsoft exista totusi o retea. Prima retea, reteaua de telefonie prin cablu.

Aceasta retea functiona pe baza unui "soft" de facto, dar foarte rudimentar, si in cea mai mare parte analogic, nu digital. Oamenii curiosi din fire, cu o anumita constitutie mentala, sa-i spunem geeky, pentru ca asa se numeste, au devenit interesati de studierea proprietatilor acestei retele. Reteaua fiind operata de interese comerciale pentru scopuri comerciale, si intelegerea oamenilor asupra retelelor fiind inca foarte primitiva, toate regulile se gaseau tinute frumos sub cheie de catre companiile proprietare ale cablurilor si centralelor telefonice.

Un geek adevarat nu poate rezista unei enigme bune la fel cum un Fat Frumos adevarat nu poate rezista unei blonde adormite de vrajitoarea cea rea, si ca atare mult efort - mult mai mult decat ar fi fost sau ar fi putut fi rational justificat - s-a indreptat inspre studierea si descrierea secretelor primei retele. S-au obtinut rezultate notabile, hackeri capabili sa fluiere pe gustul detectoarelor de ton care administrau reteaua, cutii negre, cutii rosii, cutii roz bombon cu picatele, tot tacamul unui film cu spioni, sau unei povesti cu Cosanzene, sau oricarui alt mit.

Preocuparea asta s-a numit phreaking, si preocupatii phreaks, pentru ca e mai cool sa scrii ph decat f, dovedind astfel o cunoastere fina a unor conventii lingvistice secrete (precum phaptul ca pe Phillip il strigi de fapt Filip si nu Pilip). Iara freaks vine de la aia ca-i extraordinar, rar, deosebit, special, nec plus ultram, o chestie rara.

Pe acelasi tipar, operatiunea de-a pescui naivi dispusi sa nu observe diferenta intre po1itica si politica s-ar putea destul de inspirat numi fishing, a pescui pe englezeste, si atunci de ce sa n-o scriem phishing si sa fim speciali ?

Dupa acest exhaustiv excurs istoric, daca n-ati adormit, sa ajungem si la ce voiam de fapt sa spun. (Da, exista.) Toate atacurile intermediarilor, printre care si phishingul, au o vulnerabilitate fundamentala : intermendiarul nu cunoaste parola dumneavoastra. Tocmai asta e si scopul intregului exercitiu, s-o afle. Daca ar cunoaste-o, nu si-ar mai bate capul.

Asta inseamna ca el nu poate discerne intre doua cazuri diferite : cazul a) cand dumneavoastra va chiar scrieti parola si cazul b) cand scrieti ceva acolo, la intamplare. Spre deosebire de intermediar, destinatarul stie foarte bine care va este parola, si ca atare discerne intre cele doua cazuri. Daca a) atunci va recunoaste, daca b) atunci va roaga sa mai incercati o data.

Si asta inseamna ca puteti deosebi intotdeauna si foarte usor intre un site autentic si un site de phishing, indiferent ce tehnologie se foloseste sau in ce situatie concreta va aflati : ori de cate ori suspectati posibilitatea unui intermediar, scrieti-va parola gresit. Daca destinatarul de facto se comporta ca si cum ati fi scris-o corect, e clar cum sta treaba.

O dovada in plus ca securitatea nu este o functie a tehnologiei.

Category: Trilenciclopedia
Comments feed : RSS 2.0. Leave your own comment below, or send a trackback.

19 Responses

  1. dragut articol, am alfat si eu ca phishing vine de la fishing! insa mnoa, ca si detaliere a preocuparii psihingului articolul lasa de dorit. nu ca nu e si ce ai zis tu, dar mai sunt multe aplicatii ale pescuitului si multe metode de a prinde musca in panza.

    dar in fine, daca imi permiti, ma incumet sa dau o definitie, asa din burta, cum se poate da la ora asta, asupra psihingului.

    pshihing - actiune desfasurata pe internet de o persoana sau un grup de persoane asupra unei alte persoane sau al altui grup de persoane pentru a sustrage anumite informatii de la persoana sau grupul tinta, in scopul obtinerii de foloase personale de pe urma prelucrarii acelor date.

  2. *psihing -

  3. Mircea Popescu`s avatar
    3
    Mircea Popescu 
    Thursday, 18 February 2010

    Zic ca-i mai slaba decat definitia mea.

  4. Intr-o vreme faceam chestia asta, pe vremea atacurilor care incercau sa impersoneze Raiffeisen - dadeam click pe link si introduceam bogus data, chit ca n-aveam nici macar cont. Then again, am realizat ca probabil dau de munca unui robotel si nu unui om, asa ca nu merita sa-mi irosesc timpul, era ca si cum as raspunde unui mail de spam cu "pizda ma-tii" .. masinii nu-i pasa.

    Ca side-topic, imi amintesc ca am incercat in generala impreuna cu un coleg sa contruim ceva blue box or whatever, dar pe langa ca nu prea stiam electronica, nici structura retelei de la Romtelecom nu semana deloc cu cea descrisa, so we dropped it. But still, i-am admirat mereu pe baietii destepti care au reusit in U.S. sa utilizeze loopholes din structura AT&T si sa obtina internet si telefonie gratis, doar prin exploatarea gaurilor gigantului. That's what I call balls.

  5. n-am incredere deloc in tranyactiile pe internet sau bancomate, sunt tipul conservator care prefera banul in forma sa bruta, nu digitala. insa daca e si nu se poate altfel sunt cu ochii in patru de fiecare data cand imi introduc datele. ai punctt foarte bine la sfarsit, cea mai buna metoda de a incerca daca siteul e autentic sau nu ar mai fi metoda verificarii grselilor de pe pagina, pentru ca de obicei paginile de phishing contin greseli, dar asta inseamna sa citesti foarte bine toata pagina si sa stii cum arata pagina originala, plus ca au inceput si hackerii astia sa depuna mai mult efort in ultima perioada pentru a realiza o copie cat mai fidela, un alt efect al crizei prsupun. multi nu inteleg nici macar ca atunci cand esti la bancomat, indiferent ca esti la sediul central sau nu, acoperi codul pin cu mana cand tastezi, nu stiu de ce e asa de greu de inteles.

  6. sa fi vazut ce frumos arata clona de la Raiffeisen Bank. am primit suficiente link-uri de gen in mail. sa vi fazut ce frumos arata clonele de la Cajamadrid din Spania. Una peste alta, mare lucru nu e. As indrazni sa spun ca cine furnizeaza acestor pagini date de genul PIN, nu este pregatit sa aiba un cont nici la adevarata banca. Asa cum nici aceia care raspund unui SMS de genul "ati castigat o suma de X euro si avem nevoie de un cod de reincarcare in valoare de 20 euro" nu sunt pregatiti sa poarte un telefon mobil. Am fost un pic rau ?

  7. dar ce zici tu de faza ca phisheru :)))) (lol, ce csq suna asta) deci siteul ala care te fura, incearca sa te logheze pe siteul original indata ce are parola, si daca nu reuseste iti afiseaza pagina de "wrong pass or user" care-i leit cu cea originala, si daca reuseste te redirecteaza spre siteul original. :D ca mai nou mai toate saitele au API-uri si API-tzii pentru tot felul de operatiuni inclusiv loginul.

    dar, ce-i mai grav, ce zici tu ca ingrijorator de multi algoritmi de criptare, de la md5, wep, wpa, tcm, criptarea din gsm si mai nou si cartile de credit (care se pot fura fara sa stii pin-ul dupa ceva vulnerabilitate nou descoperita cf. aici http://www.adevarul.ro/societate/viata/Cum_pot_fi_pradate_cardurile_de_credit_0_210579428.html si aici http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/ )
    deci ziceam ca ingrijorator de multe chestii odata pe vremuri sigure is acum ca o umbra de securitate.

  8. @MP

    neah, tu nu ai vreo definitie in text... ai doar istorie si un exemplu! :P

    psihingul asta se foloseste mai comun, e utilizat de diverse companii care vand in cercetari de marketing. obtin datele din sondaje(asta in .ro ca mno la noi in cadrul sondajelor te pune sa iti dai numele si numarul de telefon, chestie care nu se face) sau concursuri, tombole.

  9. Mircea Popescu`s avatar
    9
    Mircea Popescu 
    Friday, 19 February 2010

    @dAImon Nu stiu daca face o masina sau nu, as zice ca-i probabil 50-50. Cat ma duce pe mine capul, cel mai probabil niste smecheri wannabe au angajat un prieten de-al lor sa le faca un site, l-au pus undeva pe un hosting intr-o tara mai dubioasa si asta-i tot planul. Sigur, cealalta jumatate e Mafia, dupa cum rezulta acu' recent in niste procese, in care caz probabil se fac niste prime verificari automate, ca de exemplu daca exista contul.

    Oricum, solutia problemei "oricum o masina citeste, deci n-are rost sa scriu cu mana" nu-i sa nu mai scrii deloc, e sa nu mai scrii cu mana :D Trebuia sa faci si tu un script lol.

    Iti dai totusi seama ca daca foloseau acelasi, hai sa nu zic volum de efort intelectual, ca iese ridicol, dar acelasi interval de timp, lucrand la at&t, chiar si pe post de TESA, faceau mai multi bani decat de-un abonament la telefon ? Cu alte cuvinte, that's what I call naive :)

    @Mikael Eon Si eu prefer cum zici, banul in forma bruta, doar ca de la o vreme mi s-o luat de organizat caravane cu bani spre si dinspre orientul mijlociu, coordonat vase din state si camioane din rusia, prins si pedepsit piratii si nomazii si etc. Pe scurt, vezi mai sus :p

    In tot cazul, eu nu am spus nici un cuvant de greselile de pe pagina, te rog sa recitesti. Si vreau sa subliniez ca solutia tehnologica (verificat pagina) e stupida, ineficienta si inaplicabila. Chiar daca toata lumea (care nu se pricepe) acolo sare. Nu are rost sa validam pagini, trebuie sa validam procesul.

    @Porcul de Yorc Nu.

    @fcbl Posibil, dar riscul fundamental vorbind este ca banca, sau ma rog, destinatarul, observa ca un script incearca sa logheze un numar mare de clienti, si se prinde. Pentru siguranta phisherul ar trebui sa procedeze cu mana. Practic ce ceri tu este ca destinatarul sa fie atata de tantalau incat sa furnizeze servicii de api phisherului, in care caz, din punct de vedere al securitatii vorbind, nu mai avem un atac, ci o simpla interactiune cu un tert de incredere.

    Dupa cum stii, exista enigme care pot rezista la tot soiul de chestii, dar nu exista enigme care sa reziste timpului.

  10. Mircea Popescu`s avatar
    10
    Mircea Popescu 
    Friday, 19 February 2010

    @Mihai "el totusi numeste o chestie, si anume, atunci cand un website se preface c-ar fi altul, pentru a va afla parolele."

  11. s-a inteles gresit ce am vrut sa zic, se mai intampla... am vrut sa spun ca o alta metoda dar nu la fel de valida (spre deloc) ca cea prezentata de tine ar fi citirea cu atentie a paginii, dar nu prea functioneaza, motive ar fi o multime.

  12. Mircea Popescu`s avatar
    12
    Mircea Popescu 
    Friday, 19 February 2010

    A. Da, asa da. Problema este ca orice greseli se vor gasi in pagina baietii le vor repara mai devreme sau mai tarziu, dupa care aplicatia de gasit greseli va raporta ca situ-i bun. Ceea ce-i foarte rau.

  13. Intr-o vreme Banca Transilvania era victima preferata! :)

  14. Problema asta cu furtu de indentitate e foarte serioasa. Acu vrun an ia furat unu indentitatea lui Gramo:

    http://gramo.ro/2009/06/03/ce-mai-fura-lumea-identitatea-virtuala-deh/

    Siasa sa suparat Cel Mai Mare Blogar Roman In Viata ca la acuzat pana si pe dadatroll dea trebuit sa aduc martori ca nus eu ala care ia furat pretioasa indentitate:

    http://dadatroll.wordpress.com/2009/06/03/furtu-de-indentitate/

  15. Mircea Popescu`s avatar
    15
    Mircea Popescu 
    Friday, 19 February 2010

    Tu probabil ca ai furat identitatea martorilor...

  16. cum iei tu painea de la gura unora ... :))

  17. Mei, nu-i vorba de banii pentru abonamentul de telefon, e senzatia ca they're screwing the Man !!!1

  18. Mircea Popescu`s avatar
    18
    Mircea Popescu 
    Friday, 19 February 2010

    @donted Sarmanii.

    @dAImon De-asta-i si asa amuzant. Senzatia de a, divortata de faptul de a. Similara cu senzatia de-a o fute pe Pamela, da' prin monitor, nu prin dormitor.

  19. Ciudat lucru, eu prima oara am crezut ca ``phishing`` vine de la pi┼čare, fiindca se aseamana mult cu `` a face pipi in capul prostilor``.
    Exista `jde mii de metode de a te feri de phishing dar nu-mi mai bat capul cu cei numiti mai sus (in comentariul meu). N-ai decit sa faci articol utilitar: cum sa ne ferim de phishing. Cineva tot o sa te pomeneasca de bine.

Add your cents! »
    If this is your first comment, it will wait to be approved. This usually takes a few hours. Subsequent comments are not delayed.