Phishing napadi

CCERT-PUBDOC-2005-01-106

Sigurnosni problemi u raunalnim programima i operativnim sustavima podruje je

na kojem CARNet CERT kontinuirano radi.
Rezultat toga rada ovaj je dokument koji je nastao suradnjom CARNet CERT-a i LS&Sa, a za koji se nadamo se da e Vam koristiti u poboljanju sigurnosti Vaeg sustava.

CARNet CERT,

www.cert.hr - nacionalno sredite za sigurnost

raunalnih mrea i sustava.

LS&S, www.lss.hr- laboratorij za sustave i signale pri Zavodu za

elektronike sustave i obradbu informacija Fakulteta elektrotehnike i
raunarstva Sveuilita u Zagrebu.

Ovaj dokument predstavlja vlasnitvo CARNet-a (CARNet CERT-a). Namijenjen je za javnu objavu, njime se moe
svatko koristiti, na njega se pozivati, ali samo u originalnom obliku, bez ikakvih izmjena, uz obavezno
navoenje izvora podataka. Koritenje ovog dokumenta protivno gornjim navodima, povreda je autorskih prava
CARNet-a, sukladno Zakonu o autorskim pravima. Poinitelj takve aktivnosti podlijee kaznenoj odgovornosti
koja je regulirana Kaznenim zakonom RH.

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 2 / 23

Sadraj

1.

UVOD..................................................................................................................................................4

2.

PHISHING ...........................................................................................................................................4

3.

TIJEK NAPADA .....................................................................................................................................5

3.1.
3.2.
3.3.
4.

OSMILJAVANJE I PRIPREMANJE NAPADA ......................................................................................................... 5

PROVOENJE NAPADA .............................................................................................................................. 5
PRIKUPLJANJE POVJERLJIVIH INFORMACIJA ...................................................................................................... 5
TEHNIKE PROVOENJE NAPADA .............................................................................................................6

4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
4.7.1.
4.7.2.
4.7.3.
5.

MASKIRANJE URL ADRESA......................................................................................................................... 6

MAN IN THE MIDDLE NAPADI ...................................................................................................................... 7
CROSS SITE SCRIPTING ............................................................................................................................. 8
UPRAVLJANJE SJEDNICAMA ...................................................................................................................... 10
NAPREDNE HTML FUNKCIONALNOSTI ........................................................................................................... 11
PRIKUPLJANJE PODATAKA PRAENJEM AKTIVNOSTI KORISNIKA ............................................................................... 13
RANJIVOSTI UNUTAR WEB PREGLEDNIKA........................................................................................................ 14
Microsoft Internet Explorer Embedded Image URI Obfuscation Weakness ............................................... 14
Microsoft Internet Explorer URL Vulnerability.................................................................................... 15
Sigurnosni propusti Opera Web preglednika ...................................................................................... 15

ZATITA OD PHISHING NAPADA ........................................................................................................... 16

5.1.
PREVENTIVNE MJERE ............................................................................................................................. 16
5.1.1.
Zatita na strani posluitelja i aplikacija davatelja usluga ................................................................... 16
5.1.2.
Zatita na strani klijenta................................................................................................................ 18
5.2.
DETEKCIJSKE KONTROLE .......................................................................................................................... 20
5.2.1.
Registracija domena slinog imena.................................................................................................. 21
5.2.2.
Koritenje antispam servisa i alata .................................................................................................. 21
5.2.3.
Prijave od strane korisnika ............................................................................................................. 21
6.

STATISTIKI PODACI ........................................................................................................................... 21

7.

ZAKLJUAK ....................................................................................................................................... 23

8.

REFERENCE........................................................................................................................................ 23

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 3 / 23

1. Uvod
Sustav elektronike pote (eng. e-mail) oduvijek je bio vrlo privlana meta za neovlatene korisnike.
Iznimno velik broj korisnika koji se koriste elektronikom potom te popularnost i jednostavnost SMTP
protokola, elementi su koji e-mail servis ine idealnim izborom kada se radi o planiranju i provoenju
neovlatenih aktivnosti. U prilog tomu idu i statistiki podaci koji jasno pokazuju da se najvei broj
malicioznih aktivnosti provodi upravo putem e-mail servisa. Nakon virusa, crva, neeljene elektronike
pote (SPAM-a), hoax poruka i razliitih kombinacija ovih prijetnji, u posljednje vrijeme na Internetu
je uoen izniman porast tzv. phishing napada, koji se u veini sluajeva takoer baziraju na koritenju
e-mail servisa. Kod phishing napada neovlateni korisnici nastoje doi do povjerljivih korisnikih
podataka, koji e im omoguiti izravno ili neizravno ostvarivanje financijske koristi. Najee je rije o
korisnikim zaporkama, PIN brojevima, brojevima kreditnih kartica te drugim slinim povjerljivim
podacima koji neovlatenom korisniku omoguuju pristup informacijskom sustavu financijske
ustanove (najee banke), u kojoj korisnik posjeduje svoje raune i putem koje obavlja financijske
transakcije.
U vrijeme kada popularnost Internet bankarstva i obavljanja transakcija koritenjem Interneta raste iz
dana u dan, ovakvi napadi su posebno uinkoviti i opasni. Zlonamjernim korisnicima dodatno u prilog
ide i nedovoljna edukacija korisnika te slabo poznavanje Internet tehnologija i opasnosti koje s njima
dolaze. Problem je dodatno naglaen injenicom da se svakim danom javljaju nove i sve naprednije
tehnike provoenja phishing napada. E-mail vie nije jedini medij koji se koristi u ovu svrhu. Sve su
ei primjeri koji koriste instant messaging aplikacije, lairane banner poruke na Web posluiteljima,
specijalno razvijene trojan horse programe te brojne druge tehnike kojima se pokuava poveati
uinkovitost napada.
U dokumentu su opisane osnovne karakteristike i nain provoenja phishing napada, tehnike koje
neovlateni korisnici najee koriste te sigurnosne mjere kojima je mogue sprijeiti ili ublaiti
posljedice napada. Takoer su izneseni i relevantni statistiki podaci koji ukazuju na ozbiljnost ovog
problema i vanost njegovog suzbijanja.

2. Phishing
Iako postoji nekoliko razliitih definicija phishing napada, u osnovi one se mnogo ne razlikuju.
Phishing napadi podrazumijevaju aktivnosti kojima neovlateni korisnici koritenjem lairanih poruka
elektronike pote i lairanih Web stranica financijskih organizacija pokuavaju korisnika navesti na
otkrivanje povjerljivih osobnih podataka. Pritom se prvenstveno misli na podatke kao to brojevi
kreditnih kartica, korisnika imena i zaporke, PIN kodovi i sl., iako postoje i druge alternative.
Termin phishing dolazi od engleske rijei "fishing" kojom se metaforiki opisuje postupak kojim
neovlateni korisnici mame korisnike Interneta kako bi dobrovoljno otkrili svoje povjerljive podatke.
Pretpostavlja se da prefiks ph dolazi od termina phreaking, danas ve prilino zaboravljene tehnike
kojom su neovlateni korisnici kompromitirali telefonske sustave. Spajanjem ove dvije fraze (fishing +
phreaking) dobivena je nova kovanica pod nazivom phishing.
Iako se termin phishing prvi puta pojavio jo 1996. godine na alt.2600 hakerskoj newsgrupi, tek se
posljednjih godina isti proirio u iroj javnosti i to ponajvie zbog iznimnog porasta neovlatenih
aktivnosti ovog tipa. Iako u Republici Hrvatskoj jo nisu zabiljeeni primjeri phishing napada, u
razvijenijim zemljama ovaj je problem postao prilino aktualan i sve se vie panje posveuje
edukaciji korisnika i ostalim sigurnosnim kontrolama koje mogu pomoi u sprjeavanju takvih napada.
Najvei problem u prevenciji phishing napada je taj to se isti ne bazira iskljuivo na tehnikim
elementima, ve se koriste sve sloenije i naprednije tehnike socijalnog inenjeringa (engl. social
engineering), koje iskoritavaju neiskustvo i neznanje korisnika Interneta. Kreiranjem specijalno
osmiljenih i lairanih poruka elektronike pote, korisnika se pokuava navesti na dobrovoljno i
nesvjesno odavanje vlastitih povjerljivih informacija neovlatenom korisniku.
Provoenje napada dodatno olakavaju brojne napredne tehnologije za izradu Web stranica
(JavaScript, DHTML, ActiveX, Flash itd.), koje osim svojih legitimnih primjena sve vie mjesta pronalaze
u neovlatenim aktivnostima kao to je npr. phishing. Koritenjem navedenih tehnologija mogue je
osmisliti vrlo sloene napade koji e zavarati i najiskusnije korisnike. Dodatni problem predstavljaju i

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 4 / 23

brojne ranjivosti unutar razliitih Web preglednika i e-mail klijenata, koje u kombinaciji sa nekim od
navedenih tehnologija predstavljaju vrlo mono oruje u rukama neovlatenih korisnika. Kao najbolji
dokaz tomu su statistiki podaci koji pokazuju broj korisnika koji su prevareni ovim putem. Neto vie
informacija o statistikim podacima vezanim uz phishing napade dano je u poglavlju (Poglavlje 6).

3. Tijek napada
Tijek provoenja phishing napada mogue je podijeliti u nekoliko faza:
1. osmiljavanje i pripremanje napada,
2. provoenje napada,
3. prikupljanje povjerljivih informacija i njihovo iskoritavanje.
Slijedi kratki opis pojedinih faza.

3.1.

Osmiljavanje i pripremanje napada

U fazi pripreme napada, napada prikuplja informacije o organizaciji koja se eli kompromitirati te
korisnicima koji su potencijalne mete napada. Budui da uinkovitost napada u velikoj mjeri ovisi o
tome koliko je napad paljivo i detaljno planiran, iskusniji neovlateni korisnici ovoj fazi posveuju
dosta vremena i resursa.
Prvi korak osmiljavanja, odnosno pripreme napada podrazumijeva identifikaciju ciljne organizacije,
detaljnu analizu sadraja i uoavanje sigurnosnih propusta unutar Web stranica, identifikaciju
ranjivosti na strani klijenta te druge sline postupke. Na temelju prikupljenih informacija napada
kreira lairanu kopiju Web stranica ciljne organizacije te osmiljava sadraj phishing poruka koje e
prosljeivati potencijalnim metama napada. Naini kreiranja lairanih Web stranica ovise prvenstveno
o iskustvu i vjetini neovlatenih korisnika, a slino vrijedi i za lairanje poruka elektronike pote.
Dosadanja iskustva pokazuju da se phishing napadi mogu prilino razlikovati u sloenosti i
sofisticiranosti, to kasnije utjee i na njihovu uinkovitost. Poruke elektronike pote nastoje se
oblikovati tako da djeluju slubeno, pri emu se sadrajem poruke kod korisnika pokuavaju izazvati
osjeaji koji e smanjiti mogunost realne procjene situacije (strah, nesigurnost i sl.).
U fazu osmiljavanja i pripreme takoer spada i postupak identifikacije ranjivih e-mail posluitelja
koji e se iskoristiti za prosljeivanje poruka elektronike pote. U tu svrhu najee se koriste
nezatieni e-mail ili proxy posluitelji (eng. open relay), a sve ee se koriste i kompromitirana
osobna raunala na kojima su instalirani specijalni programi koji omoguuju slanje e-mail poruka.
Nakon to su pripremljeni svi upravo opisani elementi napada moe nastaviti sa sljedeim fazama
provoenja napada.

3.2.

Provoenje napada
U fazi provoenja napada, napada alje pripremljene poruke elektronike pote na adrese korisnika
koji su odabrani kao potencijalne mete napada. Osim sustava elektronike pote, poruke je mogue
distribuirati i putem newsgrupa, ICQ-a i drugih slinih instant messaging servisa, oglaavanjem putem
bannera na Web stranicama i sl.
Osim korisnika koji su ciljane mete napada, napadai vrlo esto koriste i dodatne kanale kojima bi
mogli privui vei broj korisnika. Tako na primjer, napadai lairane Web stranice vrlo esto prijavljuju
na Internet trailice, kako bi se na taj nain privukli oni korisnici koji za dolazak do adresa Web
stranica koriste alate kao to je npr. Google pretraiva. Nakon to su poruke poslane na pripremljene
adrese napada se prikriva i oekuje prve rtve napada.

3.3.

Prikupljanje povjerljivih informacija

U finalnoj fazi napada, napada putem lairanih Web stranica prikuplja povjerljive informacije od
krajnjih korisnika i pohranjuje ih za kasnije koritenje. Prikupljeni podaci mogu se iskoristiti za
izravno ostvarivanje financijske koristi ili ih je mogue dalje prodavati zainteresiranim osobama.
Krajnji cilj ove faze je svakako financijska korist.

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 5 / 23

4. Tehnike provoenje napada

Nakon osnovnih pojmova i pojanjenja samog termina phishing-a, u nastavku e ukratko biti opisan
tipian primjer provoenja phishing napada. Slino kao i kod drugih malicioznih aktivnosti, metode
provoenja napada svakodnevno napreduju kako bi se poveala njihova uinkovitost. U sluaju
phishing napada, zabiljeeno je nekoliko razliitih tehnika koje e ukratko biti opisane u ovom
dokumentu.

4.1.

Maskiranje URL adresa

Jedna od najeih tehnika koju phiseri koriste prilikom lairanja poruka elektronike pote je
maskiranje URL adresa (engl. URL obfuscation). Koritenjem specijalnih tehnika, URL adrese navedene
unutar poruka elektronike pote korisnika preusmjeravaju na maliciozne Web stranice, koje su svojim
izgledom vrlo sline, najee gotovo identine Web stranicama financijske ustanove koja se eli lano
prikazati. Vjerujui da se radi o slubenim Web stranicama ustanove, korisnik u predvienu Web formu
unosi povjerljive podatke, a da pritom nije svjestan da se radi o prijevari. Tehnike maskiranja URL
adresa najee ovise o iskustvu i vjetini neovlatenog korisnika, no u veini sluajeva dovoljno su
sloene da mogu zavarati i one iskusnije korisnike. Veina tehnika maskiranja URL adresa bazira se na
koritenju naprednih svojstava HTML jezika i drugih srodnih tehnologija (Java Script, ActiveX, DHTML i
sl.), to znai da koritenje ovakvih tehnika nije mogue kod poruka u istom tekstualnom obliku
(engl. plain tex).
U nastavku poglavlja ukratko su opisane neke od najpopularnijih tehnika maskiranja URL adresa.
Koritenje domena slinog imena
Najei i najjednostavniji primjer URL maskiranja zasigurno je koritenje imena domene koje se na
prvi pogled ne razlikuje od legitimnog imena domene organizacije koja se impersonira. Npr. ukoliko se
elo kompromitirati banka ije se legitimne stranice nalaze na adresi http://www.banka.hr, koritenje
naziva domena kao to su www.banka.city.hr, banka.private.hr, www.banka.biz zavarati e
iznenaujue velik broj korisnika.
Naravno, poznati su i sluajevi gdje su koritene znatno sloenije metode koje su dodatno oteavale
mogunost detekcije napada. Npr. registracija domena koritenjem specijalnih znakova iz odreenog
jezinog podruja, zatim zamjena slova O sa brojem 0, ili velikog slova I sa malim slovom l i sl.
Iskustva pokazuju da ovakve jednostavne tehnike maskiranja mogu biti vrlo uinkovite i vrlo efikasne
u smislu zavaravanja korisnika.
Koritenje URL adresa s ukljuenim korisnikim imenom i zaporkom
Poznato je da veina modernih Web preglednika sadri mogunost da se kao dio URL adrese navede
korisniko ime i zaporka korisnikog rauna pod ijim se ovlastima pristupa Web sadrajima. Format
URL adrese u tom sluaju je http://username:password@www.example.com.
Slino kao i u brojnim drugim sluajevima, vjeti napada ovakvu konstrukciju URL adrese moe
iskoristiti za preusmjeravanje korisnika na adresu na kojoj se nalaze maliciozne Web stranice
postavljenje u svrhu prikupljanja povjerljivih korisnikih informacija.
Npr. URL adresa http://banka:internet_bankarstvo@malicious.com/login.php neiskusnog e
korisnika preusmjeriti na Web posluitelj na adresi malicious.com, iako je on uvjeren da se radi o
slubenim Web stranicama banke.
S obzirom na mogunosti primjene ovakve strukture URL adresa u maliciozne svrhe, Microsoft je u
novijim inaicama Internet Explorera uklonio ovu funkcionalnost.
Skraene URL adrese
Budui da Web aplikacije vrlo esto koriste sloene i prilino dugake URL adrese, pojavile su se
organizacije koje nude besplatnu uslugu kojom se takve dugake adrese skrauju na prihvatljivije
duljine. Jedna od takvih usluga je i ona koja se moe nai na adresi http://www.tinyurl.com.
Koristei tehnike socijalnog inenjeringa i svojstava pojedinih klijenata za pregledavanje elektronike
pote, koji dugake URL adrese razlome u vie redaka, phiseri vrlo esto upravo ovakve servise koriste
za preusmjeravanje prometa na svoje posluitelje. Umjesto da se od korisnika zahtjeva da dijelove
dugake, izlomljene adrese nekoliko puta kopiraju u Adress Bar polje Web preglednika, lairane
poruke korisnicima nude mogunost da koriste skraeni oblik koji e korisnika preusmjeriti na
maliciozni posluitelj.

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 6 / 23

U tom sluaju phishing poruka elektronike pote sadri informacije koje korisnika navode da posjeti
skraeni oblik URL adrese, kako bi se izbjegli problemi sa razlomljenim URL adresama. Neiskusniji
korisnici vrlo esto prihvaaju takvu mogunost, to napadaima dodatno olakava provoenje
napada.
Kodiranje URL adresa
Kako bi se osigurala podrka za razliite jezine skupine, veina novijih programskih paketa podrava
razliite tipove kodiranja kojima je mogue prikazati specifine dijakritike znakove. Takav je sluaj i
sa veinom modernih Web preglednika, to neovlateni korisnici esto koriste za provoenje
neovlatenih aktivnosti. Osim phishing napada, gdje je ovo svojstvo iznimno praktino za zavaravanje
korisnika, sline tehnike koristile su se i za provoenje brojnih drugih napada.
Neke od osnovnih tehnika kodiranja URL adrese opisane su u nastavku:
- URL kodiranje (escaped encoding) klasian oblik kodiranja URL adresa specifian
po znaku % koji se stavlja ispred heksadecimalnog zapisa znaka koji se kodira. Npr.
znak / prikazuje se u obliku niza %2F.
- Unicode kodiranje Unicode je internacionalni standard za kodiranje znakova, koji
koritenjem 16-bitnog zapisa omoguuje prikaz gotovo 50000 znakova iz razliitih
jezinih skupina. Standard je razvijen zbog ogranienog broja znakova koje je bilo
mogue prikazati u ASCII formatu, zbog ega su razliita jezina podruja koristila
razliite implementacije ASCII kodiranja. S obzirom na probleme kompatibilnosti sa
starijim sustavima s vremenom su razvijene modificirane inaice ovog standarda od
kojih je svakako najpoznatiji UTF-8 standard opisan u nastavku.
- UTF-8 kodiranje UTF-8 standardom podrava kodiranje znakova koritenjem
jednog do est bajtova. To znai da se isti znak moe prikazati na nekoliko razliitih
naina, a dodatna pogodnost je ta to je ovaj standard u potpunosti kompatibilan sa
tradicionalnim ASCII kodiranjem.
Primjer koritenja UTF-8 standarda prikazan je na kodiranju znaka toka ("."). 8bitni prikaz 2E, 16-bitni prikaz C0 AE, 24-bitni prikaz E0 80 AE, 32-bitni prikaz F0 80
80 AE itd.
- Heksadecimalni, oktalni i decimalni prikaz kod prikaza URL adrese mogue je
uvijek koristiti i drugaiji format zapisa IP adrese kako bi se zavaralo korisnika. Npr.
decimalni prikaz adrese http://192.168.1.1 mogue je prikazati na sljedee naine:
heksadecimalni prikaz http://0xC0.0xA8.0x1.0x1
oktalni prikaz http://0300.0250. 0001
Na slian nain mogue je koristiti i prikaz bez koritenja znaka toke kojim se
odvajaju pojedini dijelovi adrese (engl. dotless). Npr. http:// 3232235777 u
decimalnom obliku ili http:// C0A80101 u heksadecimalnom obliku.

4.2.

Man in the Middle napadi

Presretanje komunikacije izmeu klijenta i posluitelja jedna je od najeih tehnika dolaska do
povjerljivih korisnikih informacija. Ubacivanjem u komunikacijski kanal uspostavljen izmeu klijenta
i posluitelja napada je u mogunosti analizirati kompletni promet koji se razmjenjuje izmeu ove
dvije toke, ak i onda kada se koristi kriptirana komunikacija. Samim time, primjena Man in the
Middle (MITM) napada gotovo je idealna za provoenje phishing napada.
Za uspjenu realizaciju napada, klijenta je potrebno preusmjeriti na malicioznu adresu putem koje e
se promet dalje preusmjerivati na legitimne Web posluitelje financijske ustanove koja se eli lano
prikazati. Napadaevo raunalo u tom sluaju obavlja funkciju proxy posluitelja, pri emu biljei sve
podatke koji su neophodni za daljnje provoenje napada. Na sljedeoj slici prikazan je osnovni
koncept MITM napada.

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 7 / 23

Web stranice banke

http://www.banka.hr

Maliciozni korisnik

Korisnik aplikacije

Prikupljeni podaci
(zaporke, PIN brojev, brojevi kred. kartica)

Slika 1: Presretanje komunikacije izmeu klijenta i posluitelja

Tehnike kojima se korisnici navode na maliciozne proxy posluitelje variraju. Osim tehnika maskiranja
URL adresa opisanih u prethodnom poglavlju, mogue je koristiti i znatno sloenije napade koji e
dodatno oteati detekciju napada.
Jedna od mogunosti je koritenje DNS cache poisoning napada. U tom sluaju napada u DNS bazu
banke ili neke druge financijske ustanove ubacuje maliciozne DNS zapise koji e korisnike, umjesto na
legitimne Web posluitelje ustanove, preusmjeriti na malicioznu adresu koja je pod kontrolom
neovlatenog korisnika. Osnovni problem ove metode je taj da neovlateni korisnik mora biti u
mogunosti kompromitirati DNS posluitelj ciljane ustanove, to vrlo esto zahtjeva dodatna znanja i
iskustva.

4.3.

Cross Site Scripting

Za dolazak do povjerljivih korisnikih podataka napada moe iskoristiti i sigurnosne propuste unutar
Web aplikacije ustanove iji se korisnici ele kompromitirati. Ukoliko je aplikacija ranjiva na Cross Site
Scripting (XSS) napade, napadau se otvaraju dodatne mogunosti za provoenje napada.
Za one itatelje koji nisu upoznati sa Cross Site Scripting napadima, potrebno je rei da je to vrsta
napada kojom se unutar Web preglednika korisnika pokuava izvriti maliciozni skriptni kod (najee
Java Script ili VBS Script), koji e napadau omoguiti realizaciju zlonamjernih postupaka. XSS
ranjivost najee se javlja kao posljedica nedovoljnog filtriranja sadraja koje aplikacija ispisuje na
Web stranice. Ukoliko aplikacija bez ikakve provjere na stranicu ispisuje podatke koje korisnik moe
proizvoljno ureivati, vrlo je velika vjerojatnost da je aplikacija ranjiva na XSS napad. Ukoliko korisnik
aplikaciji, umjesto legitimnih podataka prenese maliciozni skriptni kod koji e aplikacija bez provjere
ispisati unutar stranice, taj e se kod izvriti unutar Web preglednika krajnjeg korisnika.
Na sljedeoj slici prikazan je osnovni koncept XSS napada (Slika 2).
Ranjiva Web aplikacija

cookie

54

13
maliciozni kod
Maliciozni korisnik

Maliciozna phising poruka

cookie

22

43

Legitimni korisnik aplikacije

Slika 2: Cross Site Scripting

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 8 / 23

U prvom koraku legitimni se korisnik prijavljuje u sustav koritenjem odgovarajueg Web suelja i
nastavlja sa radom unutar aplikacije. U tom trenutku napada istom korisniku prosljeuje malicioznu
poruku elektronike pote u kojoj je sadrana URL adresa s ugraenim malicioznim skriptnim kodom,
koji se eli izvriti na korisnikovom raunalu. Maliciozni kod izvrava se unutar korisnikog Web
preglednika (korak 3) te izvrava maliciozne radnje odreene uitanim kodom (u ovom sluaju kraa
Web kolaia u kojem je sadran identifikator sjednice za pristup sustavu). U koracima 4 i 5 napada
pomou prikupljenih podataka ostvaruje pristup sustavu.
Primjer XSS napada opisan je u nastavku:
<A HREF="http://example.com/comment.cgi? komentar=<SCRIPT>malicious
code</SCRIPT>"> http://www.cert.hr</A>

Slika 3: Maliciozna URL adresa

Pritiskom na navedenu URL adresu korisnik se usmjerava na posluitelj example.com, gdje se

ujedno nalazi i ranjiva Web aplikacija koja izravno na stranicu ispisuje sadraj parametra komentar.
Ukoliko parametar komentar sadri maliciozni skriptni kod, taj e se kod izvriti unutar
korisnikovog Web preglednika, ponekad i s prilino visokom razinom ovlasti budui da dolazi sa
stranice kojoj korisnik inicijalno vjeruje. Maliciozni kod koji e se izvriti na strani klijenta ovisi o
vjetini napadaa i tipu napada koji se provodi, a najee se koristi programski kod kojim se
prikupljaju cookie datoteke koje sadre identifikatore sjednice za pristup Web aplikaciji. Prikupljene
podatke neovlateni korisnik kasnije moe iskoristiti za daljnje provoenje malicioznih aktivnosti.
Takoer treba napomenuti da postoje razliite varijante XSS napada, ovisno o nainu na koji se
klijentu prosljeuje maliciozni kod. U upravo opisanom primjeru u tu je svrhu iskoritena lairana
poruke elektronike pote sa malicioznom URL adresom u koju je ugraen skriptni kod koji se eli
izvriti.
Jedna od varijanti XSS napada, koja je posebno zanimljiva sa stanovita provoenja phishing napada,
je ona koja iskoritava svojstva pojedinih aplikacija da unutar odreene stranice uita sadraj druge,
vanjske, Web stranice.
Npr., zamislimo Web aplikaciju koja putem parametra unutar URL adrese omoguuje uitavanje
vanjskih Web sadraja. URL adresa u tom sluaju imala bi oblik slian ovome
http://www.banka.com/index.php?URL=http://www.malicious.com. Posjeivanjem navedene adrese
unutar index.php stranice, automatski se uitava sadraj koji se nalazi na adresi www.malicious.com.
Ukoliko se radi o malicioznom sadraju isti e biti izvren unutar Web preglednika klijenta koji
pristupa stranici.
Za potrebe phisnig napada, napada moe kreirati lairanu Web stranicu koja e biti identina Web
stranicama banke ili neke druge financijske organizacije iji su korisnici meta napada. Ukoliko se
takva, maliciozna Web stranica uita u Web preglednik korisnika, on nee biti svjestan da se radi o
lairanoj Web stranici kojoj je jedini cilj prikupljanje povjerljivih korisnikih informacija. Naravno, za

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 9 / 23

uspjeno provoenje napada ciljna Web aplikacija organizacije mora omoguavati uitavanje
proizvoljnih vanjskih Web sadraja.
Tijek napada u tom je sluaju vrlo jednostavan. Napada korisniku prosljeuje lairanu poruku
elektronike
pote
koja
sadrava
sljedeu
URL
adresu
http://www.banka.com/index.php?http://www.malicious.com/fakepage.html (naravno, pritom se
vrlo esto koriste tehnike maskiranja URL adresa kako bi se oteala mogunost detekcije napada te
dodatne tehnike koje su specifine za phishing napade). Unutar legitimnih Web stranica organizacije
www.bank.com u tom se sluaju uitavaju maliciozne Web stranice kreirane od strane malicioznog
korisnika.

4.4.

Upravljanje sjednicama
Upravljanje sjednicama (engl. session management) dobro je poznat problem kod Web aplikacija.
Budui da je HTTP bezkonekcijski protokol (engl. conectionless), problematiku upravljanja i praenja
sjednica potrebno je rjeavati na razini samih aplikacija. U tu svrhu najee se koriste identifikatori
sjednica (engl. session ID), jedinstveni nizovi putem kojih se prati stanje pojedinih sjednica. Naini
na koji se ovi identifikatori razmjenjuju izmeu klijenta i posluitelja variraju, a najee metode
podrazumijevaju Web kolaie, skrivene forme, parametri GET zahtjeva i sl.
Nakon uspjene autentikacije, posluitelj jednom od upravo navedenih metoda, klijentu prosljeuje
jedinstveni identifikator sjednice kojeg klijent za vrijeme cijelog trajanja sjednice koristi za pristup
aplikaciji. Kao dio svakog HTTP upita, klijent aplikaciji prosljeuje dobiveni identifikator na temelju
kojeg aplikacija prati aktivnost korisnika.
Ukoliko je upravljanje sjednicama loe rijeeno unutar Web aplikacije, phiseri to mogu vjeto
iskoristiti za dolazak do povjerljivih korisnikih informacija. Tako su na primjer poznate Web aplikacije
koje su korisnicima omoguavale da sami definiraju inicijalnu vrijednost identifikatora sjednice
prilikom prijavljivanja u sustav. Nakon inicijalne autentikacije korisnika, predefinirana se vrijednost
identifikatora sjednice za vrijeme cijelog trajanja sjednice koristi za pristup sustavu.
U ovom sluaju tijek napada je sljedei (Slika 4). Napada korisniku prosljeuje lairanu poruku
elektronike pote koja sadri URL adresu s ukljuenim identifikatorom sjednice koja e se kasnije
koristiti za pristup aplikaciji (korak 1). Budui da je predefinirana vrijednost identifikatora sjednice u
ovom sluaju napadau poznata, on moe ostvariti pristup aplikaciji bez ikakvih ogranienja nakon to
se korisnik prijavi u sustav. Najvei problem u ovom sluaju je upravo odreivanje trenutka kada se
korisnik prijavio u sustav pritiskom na vezu koja se nalazi u lairanoj poruci elektronike pote. Ovaj
problem neovlateni korisnici najee rjeavaju tako da kontinuirano pokuavaju pristupiti ciljnoj
aplikaciji s identifikatorom sjednice koji je navedena u lairanoj poruci. Za vrijeme dok korisnik nije
prijavljen u sustav, napadaevi pokuaji biti e odbijeni, budui da aplikacija nema podatke o
iniciranoj sjednici (korak 2). U trenutku kada se korisnik prijavi u sustav (korak 3), napada bez
ogranienja moi pristupiti aplikaciji koritenjem poznatog identifikatiora sjednice (korak 4).
Maliciozna phising poruka
http://www.banka.hr/session=XYZ

Legitimni korisnik aplikacije

Ranjiva Web aplikacija

Maliciozni korisnik

12
http://www.banka.hr/session=XYZ
http://www.banka.hr/session=XYZ

32
AUTHENTICATED

2
FAILED

http://www.banka.hr/session=XYZ

4
AUTHENTICATED

Slika 4: Sigurnosni propust upravljanja sjednicama

Kako bi ovaj napad u potpunosti uspio potrebno je zadovoljiti nekoliko uvjeta. Prvo, ciljna Web
aplikacija mora sadravati propuste u nainu implementacije upravljanja sjednicama. Nakon toga
klijenta je potrebno navesti da posjeti URL adresu ranjive Web aplikacije, te u zadnjem koraku
naknadno predvidjeti trenutak kada e se klijent prijaviti u sustav. Tak nakon to su zadovoljeni svi

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 10 / 23

navedeni uvjeti, napada moe pristupiti sustavu pod ovlastima korisnikog rauna koji je
kompromitiran.

4.5.

Napredne HTML funkcionalnosti

Budui da je socijalni inenjering jedan od temeljnih naela na kojima poivaju phishing napadi,
phiseri svakodnevno razvijaju sve naprednije tehnike kojima e zavarati krajnje korisnike i navesti ih
na postupke koji idu u prilog napadau. Veina ovih tehnika bazira se na koritenju naprednih
funkcionalnosti HTML jezika te brojnih drugih tehnologija vezanih uz razvoj Web stranica. Koritenjem
specijalnih tehnika kreiraju se lairane poruke elektronike pote koje svojim izgledom vrlo vjerno
oponaaju stranice financijskih ustanova koje se ele kompromitirati. U nastavku su opisane neke od
najeih tehnika koje se primjenjuju u ovu svrhu.
Web okviri (eng. frames)
Web okviri posebno su zanimljivi sa stanovita provoenja phishing napada, budui da napadaima
otvaraju brojne mogunosti prikazivanja malicioznih sadraja unutar legitimnih Web stranica.
Koritenjem specijalno kreiranih Web stranica, baziranih na okvirima, korisniku je mogue prikazati
maliciozni Web sadraj, a da on pritom ne primijeti da se radi o pokuaju napada.
U sljedeem primjeru koristi se tzv. skriveni okvir (engl. hidden frame) koji e se iskoristiti za
uitavanje i prikrivanje malicioznog HTML koda.
Hidden_frame.html
<html>
<FRAMESET ROWS="*,1" FRAMEBORDER="0" BORDER=0 BORDER="0">
<FRAME SRC="http://www.cert.hr" NAME="main" SCROLLING=AUTO>
<FRAME
SRC="http://malicious.lss.hr/frame.html"
NAME="hidden"
SCROLLING=NO >
</FRAMESET>
</html>

Navedena stranica rezultirati e uitavanjem sadraja sa Web posluitelja http://security.lss.hr unutar

glavnog okvira (main), dok e se unutar skrivenog okvira uitati stranica frame.html sa
posluitelja http://malicious.lss.hr (sadraj stranice frame.html koritene u sklopu ovog primjera
prikazana je u nastavku).
frame.html
<html>
<script>alert("Kod ucitan sa malicioznog posluzitelja")</script>
</html>

Uitavanje stranice hidden_frame.html u ovom e sluaju rezultirati sljedeim prikazom.

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 11 / 23

Slika 5: Uitavanje malicioznog koda koritenjem okvira

Kao to je mogue primijetiti, osim glavne stranice uitan je (i izvren) maliciozni kod sa adrese
http://malicious.lss.hr. Iako je u ovom sluaju iskoriten jednostavni Java Script kod, stvarni primjeri
napada mnogo su sloeniji i koriste mnogo destruktivniji programski kod.
Ovakav tip napada neovlateni korisnici mogu iskoristiti u razliite svrhe:
- prikrivanje izvora s kojeg se uitava maliciozan kod. Adresu malicioznog posluitelja u
ovom je sluaju mogue vidjeti jedino pregledavanjem izvornog koda
hidden_form.html datoteke. Address polje Web preglednika sadri adresu HTML
datoteke sa definiranim frameset elementima, iz ega nije mogue naslutiti da se radi
o pokuaju napada.
- prikrivanje izvornog koda uitane Web stranice. U sluaju Web stranice koja koristi Web
okvire, odabir opcije View source nee rezultirati prikazom izvornog koda stranica koje su
uitane u Web preglednik. Kao to je ranije pokazano, izvorni kod hidden_form.html
datoteke sadri samo definiciju frameset elemenata sa vezama na odgovarajue
stranice koje e se uitati u pojedini okvir.
- umetanje malicioznog koda koji e se izvravati u pozadini i prikupljati podatke o
aktivnostima korisnika unutra glavnog prozora Web preglednika. Ovakva upotreba moe se
usporediti sa spyware, adaware i drugim slinim malicioznim programima.
- koristei napredna svojstva skriptnih jezika, koji se izvravaju na strani klijenta
(JavaScript, Visual Basic i sl.), mogue je skrivene okvire iskoristiti i za modifikaciju
prikaza pojedinih polja Web preglednika (Address polje, Status polje s pripadajuim
ikonama, Toolbar polja i sl.). Ove tehnike napadai mogu upotrijebiti u sklopu sloenijih
napada s ciljem zavaravanja iskusnijih korisnika.
Prepisivanje sadraja Web stranica
Prepisivanje sadraja Web stranica (eng. page content overriding) takoer je jedna od tehnika koju
maliciozni korisnici vrlo esto koriste za prikaz proizvoljnog Web sadraja. U tu svrhu najee se
koriste svojstva DIV direktive koja dolazi u sklopu Dynamic HTML jezika (DHTML). DIV direktiva Web
programerima omoguuje grupiranje Web sadraja u tzv. virtualne kontejnere, koje je kasnije mogue
proizvoljno pozicionirati unutar prozora Web preglednika i na taj nain prepisati postojee sadraje.
Ukoliko vjeto osmiljeni, ovakvi napadi mogu biti iznimno opasni i vrlo teki za otkrivanje.
Primjer koritenja DHTML DIV funkcije prikazan je u nastavku.
<html>
<DIV
STYLE="position:relative;left:30px;top:30px;height:100px;width:100px">
Izvorni dio teksta koji je prekriven malicioznim Web sadrzajem.
<IMG SRC="cert.gif" STYLE="position:absolute; left:40px; top:40px">
</DIV>

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 12 / 23

</html>

U navedenom primjeru dio teksta Web stranice (oznaen utom bojom) djelomino je prekriven slikom
pod nazivom cert.gif. Na sljedeoj slici mogue je vidjeti kako e navedena stranica izgledati nakon
to je uitana unutar Web preglednika.

Slika 6: Prepisivanje sadraja koritenjem DHTML DIV direktive

Iako je ovdje prikazan prilino jednostavan, i sam po sebi neupotrebljiv primjer koritenja DHTML DIV
direktive, vrlo je lako uoiti mogunosti primjene ove tehnologije i u maliciozne svrhe. Mogunost
proizvoljnog pozicionirana HTML sadraja unutar Web stranica vrlo je mono oruje neovlatenih
korisnika ukoliko se paljivo upotrebi.
Zamjena grafikih elemenata unutar Web stranice
No, bez obzira na brojne tehnike koje neovlatenim korisnicima omoguuju prikazivanje malicioznih
Web sadraja unutar Web preglednika korisnika, postoje i neki dodatni elementi na koje je potrebno
utjecati ukoliko se napad eli uiniti potpuno realnim. Pritom se prvenstveno misli na elemente Web
preglednika koji nisu vezani uz sam sadraj Web stranice kao to su npr. Address Bar i Status Bar polja,
zatim ikone kojima se oznaava kriptirana komunikacija (maleni lokot u donjem desnom kutu prozora)
i sl. Za razliku od manje iskusnih korisnika, koje e u veini sluajeva zavarati neki od ranije opisanih
trikova, iskusniji korisnici mogu prepoznati da se radi o malicioznim stranicama ukoliko se ne vodi
rauna o svim detaljima koji su vezani uz izgled aplikacije koja se kompromitira.
Kako bi rijeili ovaj problem i poveali uinkovitost svojih napada, neovlateni korisnici osmislili su
specijalne metode koje omoguuju manipulaciju nekim od navedenih objekata. U tu svrhu najee se
koriste svojstva skriptnih jezika kao to su Java Script, VBS Script i dr.

4.6.

Prikupljanje podataka praenjem aktivnosti korisnika

Pored koritenja dosad opisanih metoda, koje se prvenstveno baziraju na socijalnom inenjeringu,
lairanju Web stranica i preusmjeravanju korisnika na maliciozne posluitelje, napadai sve ee
koriste i neke alternativne, ponekad mnogo jednostavnije, ali i uinkovitije metode dolaska do
povjerljivih informacija. Kao primjer se mogu navesti key-logger i screen-capture programi koji biljee
aktivnosti korisnika na osobnom raunalu te ih prosljeuju na adresu malicioznog korisnika.
Za razliku od ranije spomenutih tehnika, koje zahtijevaju mnogo truda i vremena kako bi se napad
realizirao u potpunosti, ponekad je mnogo jednostavnije na osobno raunalo korisnika postaviti
maliciozni program koji e biljeiti povjerljive podatke i prosljeivati na adresu malicioznog korisnika.
Naravno, za provoenje ovakvog tipa napada potrebno je prethodno ostvariti pristup korisnikom
raunalu kako bi se omoguilo postavljanje malicioznog programa. U tu svrhu mogue je iskoristiti
neki od sigurnosnih propusta unutar operacijskog sustava ili programa kojeg korisnik koristi, a u
posljednje vrijeme iznimno su popularni i tzv. spyware, adware i drugi slini programi.

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 13 / 23

Danas je na Internetu mogue pronai velik broj programa koji nude mogunost biljeenja znakova
unesenih putem tipkovnice ili hvatanje slike prikazane na zaslonu raunala. Neki od tih alata potpuno
su legalni i mogue ih je bez veih problema nai na Internetu, iako postoje i oni maliciozni koji su
puno manje poznati i najee razvijeni za specifine namjene. U smislu zatite od ovakvog tipa
napada korisnicima se preporuuje redovita instalacija sigurnosnih zakrpi, te koritenje osobnih
vatrozida i redovito auriranih antivirusnih programa.

4.7.

Ranjivosti unutar Web preglednika

Kao to je ve ranije spomenuto, socijalni inenjering igra vrlo vanu ulogu u procesu provoenja
phishing napada. Budui da zavaravanje korisnika i njihovo navoenje na otkrivanje povjerljivih
osobnih informacija predstavlja jedan od temelja za uspjeno provoenje napada, napadai posebnu
panju posveuju nainu na koji kreiraju lairane poruke elektronike pote. Poruke se nastoje uiniti
to vjerodostojnijima i slubenijima, kako bi se napad uinio to uvjerljivijim. Kako bi se umanjila
mogunost prepoznavanja maliciozne aktivnosti, vrlo esto se koriste sigurnosni propusti i slabosti
unutar popularnih programskih paketa za pristup Internetu (Web preglednici, klijenti za pregledavanje
poruka elektronike pote i sl.),. Internet Explorer Web preglednik posebno je poznat po brojnim
sigurnosnim propustima, iako se sigurnosni propusti sve ee otkrivaju i kod alternativnih Web
preglednika kao to su Mozzila Fireworks, Opera i sl.
U nastavku e biti opisane neke od poznatijih ranjivosti koje je mogue iskoristiti u ovu svrhu kao i
nain njihove primjene. Sloenost napada ovisi naravno i o iskustvu i vjetini osobe koja provodi
napad.

4.7.1.

Microsoft Internet Explorer Embedded Image URI Obfuscation Weakness

U 5. mjesecu 2004. godine otkrivena je ranjivost unutar Microsoft Internet Explorer Web preglednika
koja omoguuje prikrivanje stvarne URL adrese na koju je Web preglednik usmjeren. Propust je
mogue iskoristiti koritenjem specijalno kreirane IMG HTML oznake smjetena unutar HREF direktive.
Primjer programskog koda koji iskoritava opisani sigurnosni propust prikazan je u nastavku:
<html>
<A HREF=http://security.lss.hr alt="http://security.lss.hr"> <IMG
SRC="lss.gif" USEMAP="#cert" border=0
alt="http://security.lss.hr"></A> <map NAME="cert"
alt="http://security.lss.hr"> <area SHAPE=RECT COORDS="224,21"
HREF="http://www.cert.hr"alt="http://security.lss.hr"> </MAP>
</html>

Uitavanje koda unutra Internet Explorer Web preglednika rezultirat e sljedeim prikazom.

Slika 7: Iskoritavanje sigurnosnog propusta unutar IE Web preglednika

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 14 / 23

Iako Status Bar polje i kursor mia prikazuju da veza pokazuje na adresu http://security.lss.hr,
korisnik e pritiskom na gornju adresu biti preusmjeren na adresu http://www.cert.hr. Ovakve i brojne
druge sline ranjivosti korisnik moe iskoristiti za preusmjeravanje korisnika na maliciozne adrese, a
da pritom vrlo vjeto prikrije stvarnu URL adresu posluitelja. Za provoenje ovog napada vrlo je vano
koritenje MAP funkcije, koja e u ovom sluaju nadjaati HREF direktivu i prikazati proizvoljan tekst
koji napadau omoguuje provoenje napada.
4.7.2.

Microsoft Internet Explorer URL Vulnerability

Internet Explorer URL ranjivost IE Web preglednika takoer je vrlo pogodna za provoenje phishing
napada. Propust je vezan uz nain na koji Internet Explorer Web preglednik procesira URL adrese koje
u sebi sadre korisniko ime i zaporku za pristup sustavu, tzv. Friendly Login URL adrese (npr.
http://username:password@security.lss.hr).
Primijeeno je da ukoliko login dio URL adrese prije znaka @ sadri znak %01, Web preglednik u
Address bar polju nee prikazati niti jedan znak koji se nalazi iza umetnutog znaka %01. Npr.
http://www.banka.com%01@www.malicious.com
Prikazanu adresu ranjivi e Web preglednik prikazati bez dijela adrese koji se nalazi iza znaka %01, to
neovlatenom korisniku omoguuje prikrivanje stvarne adrese na koju je preglednik usmjeren. Kako je
ve ranije spomenuto, ova funkcionalnost je uklonjena kod novijih inaica IE Web preglednika.

4.7.3.

Sigurnosni propusti Opera Web preglednika

Veina modernih Web preglednika implementira "Shortcut Icon" svojstvo, koje omoguuje prikaz
odgovarajue ikone unutar Address Bar polja. Iako i Opera Web preglednik podrava spomenuto
svojstvo, primijeeno je da za razliku od ostalih Web preglednika, Opera podrava koritenje iznimno
dugakih ikona. Iako na prvi pogled nije oito kako bi se ovakva funkcionalnost mogla iskoristiti u
maliciozne svrhe, neovlateni korisnici su vrlo brzo uoili takvu mogunost.
Opisano svojstvo mogue je iskoristiti tako da se kreira specijalno osmiljena ikona koja e osim
sliice sadravati i URL adresu koja se eli prikazati u Web pregledniku korisnika. Budui da se ikona
pozicionira ispred URL adrese, ovim je putem mogue prikazati proizvoljnu adresu unutar Address Bar
polja koja e zavarati krajnjeg korisnika.
U nastavku je prikazan primjer iskoritavanja upravo opisanog problema.
<html>
<head>
<title>Banka.com</title>
<link rel="shortcut icon" href="banka4.gif">
<script>
onload=function () {
if (!location.search) {
location.href=location.href+"
&#8207;"
} else if (window.name!="rDone") {
window.name="rDone";
setTimeout(function () {
location.reload(true); },350);
}
}
</script>
</head>
<body>
Web stranice postavljene od strane malicioznog korisnika, iako
Address Bar polje to ne pokazuje.
</body>
</html>

Uitavanje prikazanog koda u Opera Web preglednik rezultirati e sljedeim prikazom.

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 15 / 23

Slika 8: Lairanje URL adrese unutra Opera Web preglednika

Adresa http://www.banka.com dio je ikone postavljene unutra Address Bar polja Web preglednika.
Stvarna adresa na koju je klijent usmjeren mogue je vidjeti pomicanjem kursora unutar Address polja
i prikazana je na sljedeoj slici.

Slika 9: Stvarna adresa na koju je klijent preusmjeren

Iz priloenog primjera mogue je uoiti da lairana adresa djeluje vrlo uvjerljivo i da veina korisnika
nee posumnjati da se radi o malicioznoj adresi.

5. Zatita od phishing napada

Zatitu od phishing napada potrebno je implementirati na vie razina. Budui da se radi o napadu koji
kombinira tehnike elementa sa socijalnim inenjeringom, zatitu je potrebno usmjeriti u oba smjera.
Tehnike aspekte potrebno je rijeiti odgovarajuim sigurnosnim kontrolama koje e onemoguiti
provoenje napada (certifikati, sigurno programiranje, redovita instalacija sigurnosnih zakrpi i sl.),
dok je probleme socijalnog inenjeringa mogue rijeiti prvenstveno edukacijom i podizanjem svijesti
krajnjih korisnika.
Slino kao i u ostalim sferama raunalne sigurnosti kontrole je mogue podijeliti u detekcijske i
preventivne. Detekcijske kontrole vezane su uz mogunost pravovremenog otkrivanja i sprjeavanja
napada nakon to se isti pojavi, dok su preventivne kontrole vezane uz aktivnosti koje sprjeavaju
samu pojavu napada. Naravno, najbolji rezultati dobivaju se kombiniranjem oba pristupa.

5.1.

Preventivne mjere

5.1.1.

Zatita na strani posluitelja i aplikacija davatelja usluga

Implementacijom odgovarajuih anti-phishing sigurnosnih kontrola davatelji usluga mogu znatno
podii razinu sigurnosti koju nude svojim korisnicima. Preventivni pristup rjeavanju problema
znatno e umanjiti mogunost provoenja phishing napada, a korisnici e imati vie povjerenja u
usluge koje koriste.

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 16 / 23

 Edukacija korisnika
Budui da socijalni inenjering predstavlja temelj za provoenje phishing napada, jedan od
najvanijih koraka u njihovom sprjeavanju je upravo edukacija korisnika. Korisnike je potrebo
pravovremeno i redovito informirati o potencijalnim sigurnosnim problemima i nainima njihovog
sprjeavanja. Korisnike je potrebno jasno upoznati sa nainima komunikacije koje ustanova koristi i
naglasiti da je bilo koji drugi oblik komunikacije nevaei.
Neke od metoda koje mogu pomoi u podizanju svijesti i edukaciji korisnika su:
- Redovito obavjetavanje korisnika o aktualnim promjenama i novostima unutar ustanove.
Uvijek je mogue navesti i primjere neovlatenih aktivnosti kako bi se korisnike upoznalo
sa osnovnim tehnikama zavaravanja koje neovlateni korisnici koriste.
- Omoguavanje prijave phishinga napada. Pravovremena detekcija phishing napada znatno
e umanjiti broj njenih rtava. Naravno, ustanova mora uloiti dovoljno sredstava u
obradu takvih upozorenja i suradnju sa zakonodavnim tijelima kako bi se omoguilo
istraivanje takvih sluajeva.
- Isticanje elemenata provjeravanjem kojih je mogue provjeriti legitimnost slubenih Web
stranica organizacije (HTTPS konekcija, ikona lokota, valjanost certifikata, provjera URL
adrese i sl.).
- Kreiranje sigurnosnih politika i pravilnika vezanih uz poslovanje ustanove i odnosne s
korisnicima. Kreiranjem i uvoenjem ovakvih dokumenata korisnicima se olakava
detekcija svih postupaka koji odstupaju od definiranih pravila.
Snana autentikacija korisnika
Svim bankama i drugim slinim organizacijama preporuuje se koritenje snanih mehanizama koji e
onemoguiti provoenje phishing napada, ak ukoliko i napada doe do povjerljivih korisnikih
informacija. U tom smislu preporuuje se koritenje token i smart card autentikacijskih mehanizama u
kombinaciji sa PIN brojem ili zaporkom. Dvostruka autentikacija od korisnika zahtjeva da dva puta
dokae svoj identitet, ime se dodatno podie razina sigurnosti. Osim poznavanja PIN broja koji je
potreban za pristup sustavu, korisnik mora i fiziki posjedovati sam token ureaj kako bi ostvario
pristup. Dodatna prednost ovakvih ureaja je injenica da koriste jednokratne zaporke ija je
valjanost ograniena odreenim vremenskim periodom.
Ovakav oblik autentikacije davatelju usluge, ali i krajnjem korisniku, daje vei osjeaj sigurnosti, to je
vrlo vano kod kritinih sustava koji procesiraju osjetljive informacije. Osnovni nedostatak ovakvih
rjeenja su neto vei trokovi davatelja usluge po korisniku, vee potrebe za edukacijom i podrkom i
sl.
Siguran razvoj Web aplikacija
Siguran razvoj programskog koda jedan je od temeljnih uvjeta za uspostavu sigurnog i pouzdanog
informacijskog sustava. Budui da su phishing napadi usmjereni prema ustanovama koje nude
financijske usluge, ovaj je problem dodatno naglaen.
Osnovno pravilo koje vrijedi prilikom razvoja informacijskih sustava visoke razine sigurnosti je da se
sigurnosni aspekti moraju ukljuiti u to ranijoj fazi projekta. Naknadno rjeavanje sigurnosnih
problema, nakon to je aplikacija ve dovrena, najee e rezultirati velikim brojem pogreaka i
slabosti koje predstavljaju potencijalnu opasnost. Obzirom da je sigurnost Web aplikacija iznimno
iroko podruje ovdje e biti navedene neke osnovne preporuke kojih bi se programeri trebali drati:
- restriktivno filtrirati korisniki unos,
- restriktivno filtrirati sve podatake koji se ispisuju na stranicu,
- koristiti snane i provjerene kriptografske algoritame,
- koristiti provjerene sustave za upravljanje sjednicama,
- prilikom ispisivanja pogreaka ne otkrivati podatke o radu aplikacije,
- provesti detaljno testiranje aplikacija prije uvoenja u produkcijsko okruenje,
- koristiti sigurne autentikacijske mehanizme i kontrolu pristupa.
Sigurnost mail posluitelja
Budui da se u sklopu provoenja phishing napada za zavaravanje korisnika najee koriste lairane
poruke elektronike pote, sigurnost mail posluitelja takoer igra vrlo vanu ulogu u zatiti od
ovakvih napada. Obzirom da SMTP protokol, na kojem se bazira e-mail servis, ne podrava sigurnosne
kontrole koje bi osigurale integritet, povjerljivost i autentinost poruka elektronike pote, upravo je
to jedan od osnovnih razloga zato se e-mail servis najee koristi za provoenje malicioznih

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 17 / 23

aktivnosti. Dodatno, poruke elektronike pote vrlo je lako lairati, to spammeri i phiseri vrlo esto
koriste kako bi zavarali korisnike i poveali uinkovitost svojih napada.
Kako bi se rijeio problem lairanja poruka elektronike pote dosad je predloeno nekoliko rjeenja,
no niti jedno od njih nije u potpunosti zaivjelo.
Jedno je od rjeenja je ono od Microsofta pod nazivom Caller ID, odnosno Sender ID. Osnovna ideja
ovog koncepta je da organizacije u svoje DNS posluitelje, osim dolaznih MX posluitelja zaduenih za
primanje poruka elektronike pote, navedu i one odlazne, koji se koriste za slanje poruka elektronike
pote. Primatelj poruke bi na temelju From: polja dolazne poruke mogao provjeriti da li je ista poslana
sa legitimnog e-mail posluitelja koji je registriran kao odlazni MX posluitelj domene ije je ime
navedeno u poruci. Na ovaj nain bi za svaku poruku bilo mogue provjeriti da li zaista dolazi sa
domene koja je navedena u samoj poruci. Opisani koncept prikazan je na sljedeoj slici (Slika 10).
From: user1@LSS.hr
To: user2@example.com

Outgoing MX for
LSS.hr
MX1.LSS.HR
Incoming MX za
example.com

Primarni DNS za
LSS.hr

user1@LSS.hr

OK
user2@example.com

LSS.COM
Da li je MX.LSS.HR legitimni
MX za domenu LSS.HR ?

EXAMPLE.COM

Slika 10: Koncept zatite od lairanja email poruka

Detaljnije informacije o Sender ID konceptu mogue je pronai na stranicama Microsfta

(http://www.microsoft.com/mscorp/twc/privacy/spam/senderid/default.mspx) te u CARNet CERT
dokumentu
pod
nazivom
"Identifikacija
poiljatelja
poruke
elektronike
pote"
(http://www.cert.hr/filehandler.php?did=168). Slian koncept predloen je i pod nazivom RMX (engl.
Remote Mail Exchanger) zapisi (http://www.mikerubel.org/computers/rmx_records/).
Digitalno potpisivanje poruka elektronike pote
Digitalnim potpisivanjem poruka mogue je znatno podii razinu sigurnosti e-mail sustava.
Koritenjem asimetrine kriptografije i certifikata osigurava se autentinost, integritet i povjerljivost
poruke to je temeljni sigurnosni zahtjev kod modernih informacijskih sustava. Kao primjer standarda
koji se moe koristiti za digitalno potpisivanje poruka elektronike pote mogu se navesti S/MIME i
PGP, odnosno OpenPGP. Vano je napomenuti da iako ova dva standarda korisnicima nude gotovo
identine funkcionalnosti, postoje odreene razlike koje ove dvije tehnologije ini meusobno
nekompatibilnima. S/MIME originalno je zamiljen od strane tvrtke RSA Data Security. Zapis poruka
baziran je na PKCS #7 formatu, dok se za certifikate koristi X.509v3 standard. Za razliku od S/MIME
servisa, PGP koristi svoje vlastite formate to ova dva servisa ini meusobno nekompatibilnima.
Takoer, digitalno potpisivanje i provjeru poruka elektronike pote mogue je implementirati ili na
razini klijenta elektronike pote ili na razini mail posluitelja putem kojeg se poruke alju ili primaju.
Danas na tritu postoji velik broj alata koji nude ove funkcionalnosti i tvrtke koje se bave
financijskim poslovanjem svakako bi trebale ozbiljno razmotriti mogunosti njihovog koritenja.
5.1.2.

Zatita na strani klijenta

Osim zatite posluitelja i aplikacija na strani davatelja usluga, potrebno je voditi rauna i o zatiti
osobnih raunala koje korisnici koriste za pristup Internetu. Sigurnosne propuste unutar operacijskih
sustava i razliitih programskih paketa to su MS Office, Internet Explorer i sl., neovlateni korisnici
vrlo esto koriste za provoenje neovlatenih aktivnosti. Ukoliko se ne vodi rauna o sigurnosnim
postavkama i redovitoj nadogradnji sustava, korisnici osobnih raunala postaju vrlo lake mete za
neovlatene korisnike. Na Internetu je danas mogue pronai velik broj malicioznih programa putem
kojih je vrlo lako ostvariti pristup osobnom raunalu ukoliko isto nije redovito odravano. Problem je
postao dodatno naglaen pojavom tehnologija koje omoguuju stalnu vezu na Internet (cable modem,

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 18 / 23

xDSL i sl.) budui da su raunala 24h dnevno izloena prijetnjama s Interneta. Slino vrijedi i za
phishing napade koji vrlo esto koriste sigurnosne propuste unutar programa kao to su Internet
Explorer, MS Outlook, Opera, Mozzila Firefox i sl.
U nastavku e biti spomenute neke od mjera koje e podii razinu sigurnosti osobnih raunala.
Antivirusna zatita, antispam, osobni vatrozidi
U prvu liniju obrane kada se govori o osobnim raunalima zasigurno spadaju alati kao to su
antivirusna zatita i osobni vatrozidi, a sve ee se u tu kategoriju svrstavaju antispam i antispyware
alati te sustavi za detekciju neovlatenih aktivnosti (engl. Intrusion detection Sysetm, IDS). Ispravno
koritenje i redovito auriranje ovih alata temelj je za odravanje zadovoljavajue razine sigurnosti na
osobnim raunalima.
Njihova upotreba u veini e sluajeva sprijeiti pojavu malicioznih programa kao to su virusi, crvi,
trojanski konji i sl., blokirati maliciozne konekcije s Interneta, detektirati pokuaje nelegitimnog
pristupa sustavu te brojne druge sline maliciozne aktivnosti. Takoer, kombiniranjem navedenih
alata automatski se postie i razina zatite sustava,.
Instalacija sigurnosnih zakrpi
Slino kao i na razini posluiteljskoj razini, redovita instalacija sigurnosnih zakrpi igra vanu ulogu
kod odravanja klijentskih raunala. Koritenje alata koji automatiziraju postupke dohvaanja i
instalacije sigurnosnih zakrpi sve je popularnije te se svakako preporuuje njihovo koritenje,
pogotovo kod veih sustava sa velikim brojem klijentskih i posluiteljskih raunala.
Sigurnost klijenata elektronike pote
S obzirom na sve naprednije funkcionalnosti koje dolaze sa klijentima za pregledavanje elektronike
pote, poveao se i broj mogunosti koje napadai mogu iskoristiti za provoenje neovlatenih
aktivnosti. S ciljem podizanja sigurnosti klijenata za pregledavanje poruka elektronike pote
preporuuje se onemoguavanje prikaza poruka u HTML formatu, izvravanje skriptnih jezika kao to
su VBS, Java Script i sl., blokiranje potencijalno malicioznih privitaka (engl. attachment), koritenje
alata za detekciju SPAM poruka i sl. Onemoguavanjem HTML prikaza sprijeiti e se veina phishing
napada koji koriste maskiranje URL adresa.
Sigurnost Web preglednika
Slino kao i kod klijenata za pregledavanje poruka elektronike pote, uvoenje naprednih
funkcionalnosti i kod Web preglednika donose nove sigurnosne propuste koje neovlateni korisnici
mogu iskoristiti za provoenje malicioznih aktivnosti. S ciljem podizanja razine sigurnosti osobnog
raunala i prevencije phishing napada preporuuju se sljedei koraci:
onemoguavanje pop-up funkcionalnosti,
onemoguavanje podrke za Java aplikacije,
onemoguavanje ActiveX podrke,
zabrana automatskog izvravanja svih datoteka dohvaenih sa Interneta,
minimalna podrka za multimedijalne formate,
redovita instalacija sigurnosnih zakrpi,
koritenje alternativnih Web preglednika (Opera, Mozzila i sl.).
Dok e neke od navedenih postavki moda biti prestroge za kune korisnike, u poslovnim okruenjima
one bi trebale biti standard kojeg e se pridravati svi korisnici.
Obzirom na iznimno velik broj sigurnosnih problema koji su se u posljednje vrijeme pojavili unutra IE
Web preglednika, sve vei broj korisnika prelazi na alternativna rjeenja kao to su Mozzila Firefox,
Opera i sl. Analize pokazuju da je IE Web preglednik trenutno najsofisticiraniji Web preglednik na
Internetu, iako veina korisnika koristi svega 5% njegovih funkcionalnosti. Problem je dodatno
naglaen injenicom da su komponente IE Web preglednika integrirane u sam operacijski sustav, to
znai da iskoritavanje sigurnosnih propusta automatski moe omoguiti potpuno preuzimanje
kontrole nad sustavom.
U smislu zatite od phishing napada sve su popularniji i specijalni dodaci za Web preglednike koji
ukljuuju specijalne sigurnosne kontrole namijenjene detekciji i sprjeavanju phishing napada. U
veini implementacija ovi alati provjeravaju da li je odreena adresa poznata kao izvor phishing
napada. Jedan od takvih alata je i Netcraft Toolbar koji je mogue dohvatiti sa sljedee adrese
http://toolbar.netcraft.com/install. Alat se nakon uspjene instalacije integrira unutar Web
preglednika, nakon ega je mogue koristiti njegove funkcionalnosti (Slika 11).

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 19 / 23

Slika 11: Netcraft toolbar

Ugraeni dodatak korisniku omoguuje jednostavan i brz dolazak do brojnih informacija o Web
stranicama koje posjeuje, na temelju ega je mogue kvalitetnije prosuditi o njihovom integritetu i
legitimnosti. Detaljnije informacije o nainu rada Netcraft Toolbar dodatka mogue je pronai na Web
stranicama proizvoaa (http://news.netcraft.com/).
Opreznost korisnika
U veini sluajeva korisnici svojom opreznou i promiljenim postupcima mogu umanjiti mogunost
da postanu rtve phishing napada. U nastavku su navedene neke od preporuka na temelju korisnik
moe prepoznati phishing napad ili neku drugu slinu malicioznu aktivnost:
Na sve slubene obavijesti koje korisnika putem elektronike pote obavjetavaju o
osjetljivim pitanjima kao to je zatvaranje rauna, potreba za promjenom korisnikih
podataka i sl., preporuuje se reagirati telefonski ili usmeno. Nikako ne odgovarati na
primljenu poruku ili koristiti adrese navedene u tijelu poruke.
Sve slubene poruke financijskih ustanova trebale bi biti digitalno potpisane. Ukoliko to
nije sluaj, preporuuju se dodatne mjere opreznosti.
Strogo izbjegavati odavanje povjerljivih financijskih informacija putem poruka
elektronike pote. SMTP protokol podatke mreom alje u istom tekstualnom obliku to
ga ini ranjivim na napade praenjem mrenog prometa (engl. sniffing).
Ukoliko se povjerljive informacije unose putem Web suelja, preporuuje se poseban oprez
i dodatne provjere kojima e se utvrditi legitimnost i integritet posluitelja. Potrebno je
provjeriti da li se koristi kriptirana komunikacija (https:// oznaka u Address Bar polju ili
mali lokot u donjem desnom kutu Web preglednika).
Detaljno analizirati SSL certifikat ponuen od strane davatelja usluge. Provjeriti da li je
certifikat valjan i da li je izdan od odgovarajue ustanove. Informacije o certifikatu
mogue je dobiti u bilo kojem trenutku dvostrukim klikom mia na ikonu u obliku lokota u
donjem dijelu prozora.
Ukoliko se na Web stranicama organizacije primijete "udne" promjene u odnosu na ranije
poznati izgled, preporuuje se dodatni oprez. Phiseri vrlo esto prilikom lairanja stranica
naprave sitne pogreke, kojima se lairane stranice mogu razlikovati od originalnih.

5.2.

Detekcijske kontrole
Vrlo vaan aspekt zatite od phishing napada zasigurno je i njihova pravovremena detekcija, na
temelju koje je mogue poduzeti odgovarajue sigurnosne mjere koje e minimizirati posljedice
napada. Nakon detektiranog napada organizacije mogu svojim korisnicima poslati obavijest koja e ih

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 20 / 23

upozoriti na potencijalnu opasnost, a mogue su i puno stroe mjere kao to je privremeno

onemoguavanje usluge za sve korisnike sustava.
5.2.1.

Registracija domena slinog imena

U svrhu detekcije phishing napada financijske ustanove bi trebale redovito pratiti registraciju domena
ije je ime slino imenu domene organizacije. U sklopu provoenja phishing napada, napadai vrlo
esto registriraju imena domene koja su slina imenima domene organizacije koja se eli iskoristiti za
phishing napad. Npr., ukoliko se Web stranice organizacije nalaze na adresi
http://www.gradskabanka.com, poeljno je pratiti registraciju svih domena iji je naziv u odreenoj
mjeri slian ovome. Npr.
- dodavanje crtice: gradska-banka.com,
- koritenje domena: drugih drava: gradskabanka.ch,
- izbacivanje znakova: gradska-bank.com,
- slina imena: grad-banka.com
- itd...
Iako uvijek postoji mogunost da se radi o legitimnoj domeni, ovakve registracije domena svakako je
poeljno imati pod kontrolom.
Na slian nain potrebno je voditi rauna i o isteku registriranih domena kako bi se pravovremeno
produila njihova valjanost. Danas na Internetu postoje organizacije koje vode rauna o isteku
registracije domena i nude ih drugim korisnicima koji su zainteresirani za njihovu kupnju.
Organizacije koje imaju registrirano nekoliko razliitih domena posebno trebaju voditi rauna o ovome
problemu, budui da se nepanjom neko od tih imena moe zaboraviti.

5.2.2.

Koritenje antispam servisa i alata

Postoje komercijalni alati i servisi koji omoguuju prepoznavanje poruka elektronike pote koje u
sebi sadre karakteristike phishing napada. Koritenjem ovakvih alata mogue je prepoznati pokuaje
napada te prijaviti problem odgovornim osobama organizacije uz koju je napad vezan. Na temelju
detektiranih poruka takoer je mogue kreirati odgovarajue potpise koji e se distribuirati ostalim
proizvoaima antispam alata u svrhu detekcije novih pokuaja napada.

5.2.3.

Prijave od strane korisnika

Detekciju phishing napada mogue je uiniti uinkovitijom ukoliko se korisnicima omogui
jednostavan i brz mehanizam za prijavu uoenih incidenata. Na temelju poruke elektronike pote za
koju korisnik smatra da je vezana uz provoenje phishing napada, mogue je obavijestiti odgovorne
osobe ukoliko za to postoji odgovarajui mehanizam. U ovom sluaju odgovornost je na strani banaka
i ostalih slinih ustanova da korisnike obavijeste o mogunostima prijave napada i nainima na koje je
to mogue provesti.

6. Statistiki podaci
Kako bi se itateljima ukazalo na ozbiljnost phishing napada, u ovom e poglavlju biti prikazani neki
openiti statistiki podaci vezani uz ovaj tip neovlatenih aktivnosti. Podaci su preuzeti sa Web
stranica Anti-Phishing working Group grupe (http://www.antiphishing.org), ije su aktivnosti vezane
iskljuivo uz phishing napade. Izneseni podaci vrijede za 12. mjesec 2004. godine.
Openite informacije:
Broj aktivnih phishing Web stranica u 12. mjesecu
1707
Prosjeni mjeseni porast u broju phishing
24%
napada izmeu 7. i 12. mjeseca 2004. godine
Broj ustanova koje su bile pogoene phishing
55
napadima
Drava u kojoj je postavljeno najvie lairanih
United States
phishing Web stranica
Broj lairanih URL adresa koje u sebi sadre ime
24%
organizacije koja se eli iskoristiti za napad

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 21 / 23

Broj phishing posluitelja bez registriranog imena

63%
(samo IP adresa)
Broj phishing posluitelja koji ne koriste TCP port
13.1%
80
Prosjeni vijek trajanja phishing posluitelja
5,9 dana
Najdui vijek trajanja phishing posluitelja
30 dana
Iz priloenih podataka jasno se moe zakljuiti da se radi o alarmantnom broju phishing napada, a
dodatno zabrinjava da je ovaj broj u konstantnom porastu. Prosjeni porast phishing napada izmeu
7. i 12. mjeseca 2004. godine je 24%, a treba uzeti da su u tim brojkama uzeti u obzir samo prijavljeni
napadi. Takoer je zabrinjavajui podatak da su neki od malicioznih posluitelja bili aktivni skoro
mjesec dana, to je iznimno dugaak period.
Grafiki prikaz na sljedeoj slici (Slika 12) prikazuje broj phishing posluitelja u 12. mjesecu 2004.
godine po tjednima.

Slika 12: Broj phishing napada po tjednima u 12. mjesecu 2004. godine.

Podaci takoer pokazuju da 13% posluitelja ne koristi TCP portove 80 i 443 za pokretanje Web
posluitelja. U ovu skupinu najveim dijelom spadaju kompromitirana osobna raunala na kojima su
podignuti maliciozni Web posluitelji na neuobiajenim portovima, kako bi se izbjegla detekcija od
strane korisnika sustava. Sljedea tablica prikazuje najee koritene TCP portove za uspostavu
malicioznih phishing Web posluitelja.
TCP port
Postotak
80/TCP
86%
87/TCP
3,6%
85/TCP
1,88%
5180/TCP
1,5%
2333/TCP
1%
Broj prijavljenih phishing poruka elektronike pote takoer je u porastu u odnosu na ranije mjesece
(ukupno 9,019 prijavljenih poruka), iako ovaj porast iznosi svega 6% u odnosu na mjesec studeni.
Prosjeni porast phishing poruka u odnosu na 7. mjesec, to je puno mjerodavniji podatak, iznosi puno
veih 38%.
Najvei broj malicioznih Web posluitelja zasada je identificiran u Sjedinjenim Amerikim Dravama
(oko 32%), iza koje slijede prvenstveno Azijske zemlje; Kina (12%), Koreja (11.8), Japan (2.8).

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 22 / 23

Slika 13: Lokacije malicioznih phishing posluitelja

7. Zakljuak
Phishing napadi nova su prijetnja korisnicima Interneta. Kombiniranjem tehnika socijalnog
inenjeringa te lairanja Web stranica i poruka elektronike pote neovlateni korisnici pokuavaju
doi do povjerljivih korisnikih informacija koje e im omoguiti ostvarivanje financijske koristi. Kako
je detaljno objanjeno u dokumentu, tehnike koje neovlateni korisnici koriste u ovu svrhu vrlo su
sloene to rezultira iznimno velikim brojem rtava phishing napada. Iako u Hrvatskoj jo nisu
zabiljeeni pokuaji phishing napada, korisnike se ovim putem eli upozoriti na njihove osnovne
karakteristike i naine provoenja te mogunosti zatite.

8. Reference
[1] Anti-Phishing Workgroup (APWG), http://www.antiphishing.org
[2] The Phishing Guide, Next Generation Security Software
[3] APWG, Proposed Solution to Address the threat of email spoofing scams

Revizija v1.1

CCERT-PUBDOC-2005-01-106

Stranica 23 / 23