Алексей Комаров
Возникшие с появлением фишинга угрозы потребовали внедрения адекватных мер защиты. В рамках данной статьи будут рассмотрены как уже широко распространенные способы противодействия фишингу, так и новые эффективные методы. Разделение это весьма условно: к традиционным отнесем хорошо известные (в том числе и самим злоумышленникам) способы противодействия фишингу и проанализируем их эффективность в первой части данной статьи. Согласно отчету APWG, за первую половину 2008 г. было выявлено 47 324 фишинговых сайтов. В этом же отчете приведены и средние потери пользователей и компаний в результате работы фишерского сайта – они составляют не менее $300 в час. Несложные умножения позволяют сделать вывод о высокой доходности этого вида черного бизнеса.
Современный фишинг
Слово "фишинг" (phishing) образовано от английских слов password – пароль и ёshing – рыбная ловля, выуживание. Цель этого вида Интернет-мошенничества – обманный увод пользователя на поддельный сайт, чтобы в дальнейшем украсть его личную информацию или, например, заразить компьютер пользователя, перенаправленного на подложный сайт, трояном. Зараженный компьютер может активно использоваться в ботнет-сетях для рассылки спама, организации DDOS-атак, а также для сбора данных о пользователе и отправки их злоумышленнику. Спектр применения "выуженной" у пользователя информации достаточно широк.
Механизмы фишинга
Главный вектор атаки фишинга направлен на самое слабое звено любой современной системы безопасности – на человека. Далеко не всегда клиент банка точно знает, какой адрес является правильным: mybank.account. com или account.mybank. com? Злоумышленники могут использовать и тот факт, что в некоторых шрифтах строчная i и прописная L выглядят одинаково (I = l). Такие способы позволяют обмануть человека с помощью похожей на настоящую ссылку в электронном письме, при этом даже наведение курсора мыши на такую ссылку (с целью увидеть настоящий адрес) не помогает. В арсенале злоумышленников есть и другие средства: от банальной подмены в локальной базе IP-адресов реального адреса на поддельный (в ОС Windows XP, например, для этого достаточно отредактировать файл hosts) до фарминга. Еще один вид мошенничества – подмена Web-страницы локально, "на лету". Специальный троян, заразивший компьютер пользователя, может добавлять в отображаемый браузером сайт дополнительные поля, отсутствующие на оригинальной странице. Например, номер кредитной карты. Конечно, для успешного проведения такой атаки надо знать банк или платежную систему, которыми пользуется жертва. Именно поэтому тематические базы электронных адресов пользуются большой популярностью и являются на черном рынке ликвидным товаром. Нежелающие нести дополнительные расходы фишеры просто направляют свои атаки на наиболее популярные сервисы – аукционы, платежные системы, крупные банки – в надежде на то, что случайный получатель спам-письма имеет там учетную запись. К сожалению, надежды злоумышленников зачастую оправдываются.
Традиционные методы противодействия фишинговым атакам
Уникальный дизайн сайта Суть этого метода такова: клиент, например, банка при заключении договора выбирает одно из предложенных изображений. В дальнейшем при входе на сайт банка ему будет показываться именно это изображение. В случае если пользователь его не видит или видит другое, он должен покинуть поддельный сайт и немедленно сообщить об этом службе безопасности. Предполагается, что злоумышленники, не присутствовавшие при подписании договора, априори не смогут угадать правильное изображение и обмануть клиента. Однако на практике этот способ не выдерживает критики. Во-первых, для того чтобы показать пользователю его картинку, его сначала надо идентифицировать, например, по логину, который он ввел на первой странице сайта банка. Злоумышленнику не составляет труда подготовить поддельный сайт, чтобы узнать эту информацию, а для самого пользователя – эмулировать ошибку связи. Теперь достаточно обратиться на реальный сервер, ввести украденный логин и подсмотреть правильное изображение.
Другой вариант – выдать клиенту фальшивое предупреждение об истечении срока действия его изображения и предложить выбрать новое...
Одноразовые пароли
Классические пароли являются многоразовыми: пользователь вводит один и тот же пароль каждый раз при прохождении процедуры аутентификации, не меняя его порой годами. Перехваченный злоумышленником, этот пароль может неоднократно использоваться без ведома хозяина.
В отличие от классического, одноразовый пароль используется только один раз, то есть при каждом запросе на предоставление доступа пользователь вводит новый пароль. Для этого используются, в частности, специальные пластиковые карточки с нанесенным защитным слоем. Клиент банка каждый раз стирает очередную полоску и вводит нужный одноразовый пароль. Всего на карточку стандартного размера помещается около 100 паролей, что при интенсивном использовании услуг телебанкинга требует регулярной замены носителя. Более удобными, но, правда, и дорогими представляются специальные устройства – генераторы одноразовых паролей. В основном различают два типа генерации: по времени, когда текущий одноразовый пароль отображается на экране и периодически меняется (например, раз в две минуты); по событию, когда новое значение генерируется каждый раз при нажатии пользователем на кнопку устройства.
Являясь более безопасным, чем классическая парольная аутентификация, такой метод, тем не менее, оставляет злоумышленнику определенные шансы на успех. Например, аутентификация с использованием одноразовых паролей не защищена от атаки "человек посередине". Суть ее состоит во "вклинивании" в информационный обмен между пользователем и сервером, когда злоумышленник "представляется" пользователю сервером, и наоборот. Серверу передается вся информация от пользователя, в том числе и введенный им одноразовый пароль, но уже от имени злоумышленника. Сервер, получив правильный пароль, разрешает доступ к закрытой информации. Не вызывая подозрений, злоумышленник может позволить пользователю поработать, например, со своим счетом, пересылая ему всю информацию от сервера и обратно, но при завершении пользователем своего сеанса работы не разрывать связь с сервером, а совершить нужные транзакции якобы от имени пользователя.
Чтобы не терять время в ожидании завершения пользовательского сеанса, злоумышленник может попросту имитировать ошибку связи и не позволять легальному пользователю работать со своим счетом. В зависимости от используемого метода генерации перехваченный одноразовый пароль будет действовать либо в течение короткого времени, либо только для первого сеанса связи, но в любом случае это дает злоумышленнику возможность успешно провести кражу данных или денег пользователя.
На практике аутентификация с помощью одноразовых паролей сама по себе используется редко, для повышения безопасности применяется установление защищенного соединения еще до аутентификации, например, с использованием протокола SSL.
Односторонняя аутентификация
Использование протокола безопасных соединений SSL (Secure Sockets Layer) обеспечивает защищенный обмен данными между Web-сервером и пользователями. Несмотря на тот факт, что протокол позволяет аутентифицировать не только сервер, но и пользователя, на практике чаще всего применяется только односторонняя аутентификация. Для установления SSL-соединения необходимо, чтобы сервер имел цифровой сертификат, используемый для аутентификации. Сертификат обычно выдается и заверяется третьей доверенной стороной, в роли которой выступают удостоверяющие центры (УЦ) или центры сертификации (в западной терминологии). Роль УЦ заключается в том, чтобы подтверждать подлинность Web-сайтов различных компаний, позволяя пользователям, "поверив" одному единственному удостоверяющему центру, автоматически иметь возможность проверять подлинность тех сайтов, владельцы которых обращались к этому же УЦ.
Список доверенных удостоверяющих центров обычно хранится в реестре операционной системы или в настройках браузера. Именно эти списки и подвергаются атакам со стороны злоумышленника. Действительно, выдав фишинговому сайту сертификат от поддельного удостоверяющего центра и добавив этот УЦ в доверенные, можно, не вызывая никаких подозрений у пользователя, успешно осуществить атаку.
Конечно, такой способ потребует от фишера больше действий и соответственно затрат, но пользователи, к сожалению, зачастую сами помогают в краже своих данных, не желая разбираться в тонкостях и особенностях использования цифровых сертификатов. В силу привычки или некомпетентности нередко мы нажимаем кнопку "Да", не особо вчитываясь в сообщения браузера об отсутствии доверия к организации, выдавшей сертификат.
Кстати, очень похожий способ используют некоторые средства по контролю SSL-трафика. Дело в том, что в последнее время участились случаи, когда сайты, зараженные троянскими программами, и сами трояны используют протокол SSL с тем, чтобы миновать шлюзовые системы фильтрации трафика – ведь шифрованную информацию ни антивирусное ядро, ни система защиты от утечки данных проверить не в состоянии. Вклинивание в обмен между Web-сервером и пользовательским компьютером позволяет таким решениям заменить сертификат Web-сервера на выданный, например, корпоративным УЦ и без видимых изменений в работе пользователя сканировать трафик пользователя при использовании протокола SSL.
URL-фильтрация
В корпоративной среде фильтрация сайтов применяется для ограничения нецелевого использования сети Интернет сотрудниками и как защита от фишерских атак. Во многих антивирусных средствах защиты данный способ борьбы с поддельными сайтами вообще является единственным.
Фишинговые (мошеннические) программы выманивают ваши пароли01:37
Фишинговые (мошеннические) программы выманивают ваши пароли
07:37
Последнее время участились случаи выманивания паролей у пользователей системы. Связано это с распространением лжепрограмм: "uCoz - Администратор", "Ucoz Агент", возможно еще каких-то аналогичных. Внешний вид их интерфейсов можно видеть на картинках в этом сообщении.
Как несложно убедиться, окна этих «программ» просят ввести пароль, секретный ответ. Вынужден в очередной раз напомнить, вводить подобные данные данные нигде не следует. На сегодня не существует никаких программ, утилит, адонов и т.п которые бы мы выпустили, или же реальных продуктов от сторонних разработчиков. И даже когда они будут, они, безусловно, не будут запрашивать все возможные ваши пароли, и абсолютно точно никогда не будут запрашивать ваш секретный ответ.
Прежде чем устанавливать, а тем более вводить какие-либо пароль данные в той или иной программе, необходимо убедиться в ее источники. В целях предосторожности следует найти информацию о продукте на официальном сайте компании, и, безусловно, подобный сайт не будут располагаться на сторонних доменах, таких как http://uagent.nm.ru/, http://nucoz.tk/ и т.п. Скачиваться файл так же должен с официального сайта, а не с файловых обменников или сторонних серверов.
Подобная логика, безусловно, касается не только программ связанных с юкозом, но и любых других. Чаще всего так выманиваются пароли для доступа к почтовым сервисам, онлайн играм, платежным системам.
Мы, в свою очередь, ведем борьбу с подобными явлениями, но реально защитить себя можете только вы сами. Рекомендую также прочитать материал про фишинг, если вы не делали этого ранее и прочие материалы по вопросам безопасности.
Если у вас все же выманили пароль, вам следует обратиться в нашу службу разбора жалоб.
Выбрать в форме обратной связи тему «Кража пароля». Перед тем как написать стоит внутренне успокоиться. Напомнить себе, что именно вы тем или иным образом утратили пароль, и ни система, ни человек который будет это читать в этом не виноваты, а значить лишние эмоции надо отбросить. Запастись терпением, разбирательство займет какое-то время, и по существу изложить вашу проблему. Не забыть указать о каком аккаунте идет речь, и пришедшие вам в голову доказательства того что вы владелец аккаунта. Скорее всего, вам зададут ряд вопросов на которые будет необходимо ответить.
Фишинговые сообщения электронной почты в корпоративной среде обычно знаменуют собой таргетированную атаку , хорошо продуманы и реализованы. В отличии от рядовых пользователей, сотрудники компаний могут быть проинструктированы должным образом о существующих угрозах информационной безопасности. За сообщениями электронной почты может быть установлен тот или иной контроль со стороны сотрудников ИТ/ИБ подразделений.
Прелюдия
Фишинговые письма, направленные на рядовых пользователей обычно мало «персонализированы», для привлечения внимания может быть подставлен только email пользователя. В сфере атак на корпоративные системы фишингу предшествует тщательный сбор и анализ информации об объекте и субъектах атаки, горизонтальные связи, возможные зоны ответственности и полномочия. Это необходимо для разработки продуманного социотехнического сценария и добавления деталей, позволяющих усыпить бдительность получателей письма.В настоящее время растет процентная доля целевых фишинговых атак, организуемых через рассылку писем по электронной почте, в которых можно выделить конкретную организацию или группу лиц. Целевые пользователи получают тщательно разработанные фишинговые сообщения, заставляющие человека ввести более конфиденциальные персональные сведения – типа логина и пароля, которые дают доступ к корпоративным сетям или базам данных с важнейшей информацией. Помимо запрашивания учетных данных, целевые фишинговые письма могут также содержать вредоносное ПО. Так, например, при нажатии определенной клавиши могут загружаться программы для отслеживания всего, что жертва будет вводить с помощью клавиатуры.
По обычному сценарию, проникновение в систему началось с фишинговой рассылки. Поскольку здесь мы имеет дело с направленной атакой, фишинговая рассылка была максимально адаптирована для конкретного получателя. Как отметил Брюс Шнайер, это не просто фишинг, а фишинг с «лазерным прицелом».В данном случае письма предназначались американским чиновникам, которые направлялись в Копенгаген на конференцию по изменению климата. Они получили по почте вредоносные файлы. Что характерно, письма были озаглавлены «Китай и изменение климата», а в качестве обратного адреса был указан поддельный адрес известного журналиста National Journal, который специализируется на статьях по международной экономике. Уже один этот факт свидетельствует о том, что злоумышленники тщательно продумали атаку и рассчитали, что адресаты должны обязательно открыть вложенный файл.
Дополнительно, в теле письма содержались комментарии, создающие впечатление, что документ непосредственно связан с рабочими обязанностями чиновников.
Проведение целевых фишинговых кампаний требует от киберпреступников больше времени и денег, чем в случае традиционных фишинговых кампаний. Мошенники должны получить доступ или украсть списки действующих адресов электронной почты для целевой организации или группы лиц, а затем создать правдоподобные письма, которые с высокой вероятностью привлекут получателей и те предоставят свои персональные данные. Однако в случае успеха финансовая отдача от целевого фишинга может быть намного выше, поэтому инвестиции вполне окупаются.
Что общего в нашумевших историях об утечке данных из систем ведущих ритейлеров Target и Neiman Marcus, гиганта медицинского страхования Anthem и Sony Pictures? Все они начались с тщательно спланированной таргетированной фишинговой атаки с использованием сообщений электронной почты. К письмам были приложены документы, зараженные вредоносными программами. При этом все они выглядели вполне обычно и были адресованы конкретным сотрудникам внутри организации.
Точечный фишинг стал самым распространенным типом таргетированной атаки по одной простой причине: эта техника по-настоящему работает, вводя в заблуждение даже тех пользователей, которые серьезно подходят к вопросам безопасности. Она создает для хакеров опорный пункт для проникновения в корпоративную сеть. По данным исследования Check Point, проведенного среди более 10 тысяч организаций по всему миру, в 84% из них за последние 12 месяцев был скачан хотя бы один зараженный документ. Это происходит потому, что злоумышленнику достаточно просто получить представление о компании или о конкретных ее сотрудниках в сети Интернет, а затем написать такое письмо, которое побудит даже самого бдительного работника открыть вредоносное вложение и тем самым инициировать хакерскую атаку.
Сбор информации
Сбор информации проводится из публичных источников, с использованием специализированных инструментов , запросов в поисковых системах , специализированных сервисов , анализа профилей компании в социальных сетях и на сайтах вакансий. Такого рода сбор информации можно соотнести с методологией OSINT (Open Source Intelligence - разведка на основе анализа открытых источников информации). Чем объемнее, точнее (как минимум два-три источника) и актуальнее информация - тем выше успех атаки.Но львиную долю фишинговых сообщений составляют вредоносные файлы (пользователь может не знать свой пароль, либо авторизация на ресурсах происходит через LDAP и т.д.), модифицированные RAT и офисные документы, содержащие макросы с тем или иным функционалом.
Пример формирования back-connect шелла с помощью макросов офисного пакета и powershell:
Кейсы из практики
Примеры и разновидности атак зависят непосредственно от выбранной злоумышленниками цели, давать конкретику довольно сложно, поэтому в качестве десерта пару примеров из практики нашей компании и наших коллег.На одну из финансовых организаций была произведена фишинговая рассылка. Адреса сотрудников были извлечены с помощью SQL-инъекции с разрабатываемой CRM на одном из поддоменов. Корпоративная почта была настроена на gmail. Фишинговое сообщение содержало ссылку на похожий ресурс и форму входа gmail. Вишенкой на торте был внедренный в эту страницу iframe - код одной из известных связок эксплоитов . Т.е. помимо эксплуатации социотехнического вектора был реализован и дополнительный вектор в виде средств эксплуатации уязвимостей браузеров и их компонентов. Атака позволила злоумышленникам получить контроль на некоторыми учетными записями.
В одну организацию было отослано письмо, содержащее вредоносную программу в виде .scr файла. Нулевой пациент , скачавший и запустивший вредоносную программу не увидел явных признаков ее работы и попытался сделать это еще несколько раз. После чего он разослал это вложения своим коллегам с ремаркой «Никак не могу открыть, попробуй, может у тебя откроется?» Пострадавший сам инициировал пандемию вирусной активности в корпоративной среде.
Защита
В настоящее время применяются все более изощренные способы для того, чтобы заставить жертву перейти по ссылкам на определенные веб-сайты, где люди невольно оставляют злоумышленникам ценную информацию или загружают на свой компьютер вредоносное программное обеспечение. Большинство спам-сообщений теперь содержат URL-адреса, по которым получатели переходят на вредоносные веб-сайты. При этом мошеннические веб-сайты, куда направляются жертвы, выглядят совершенно так же, как их законно действующие аналоги.Согласно данным исследования, проведенного в Калифорнийском университете в Беркли, даже те, кто давно и часто пользуется Интернетом, иногда попадаются на удочку мошенников и переходят на их сайты. Чтобы обезопасить себя от фишинговых веб-сайтов, пользователи должны применять стратегию комплексной проверки вероятного уровня достоверности содержимого, контролировать строку адреса и настройки безопасности в ней, обращать внимание на изображение замка в окне браузера и сертификат безопасности каждого веб-сайта, куда перенаправляется пользователь.
В качестве мер защиты необходимо установить контроль за почтовыми вложениями и ссылками, проводить тренинги с персоналом о наличии новых угроз , соблюдать меры предосторожности и уведомлять о всех подозрительных случаях технический персонал.
Многие организации вводят более жесткие правила в фильтрации спама, и при этом они вынуждены принимать проактивные меры в борьбе с фишингом. Разобравшись в инструментах и методах, используемых злоумышленниками, и анализируя слабые места в системе безопасности периметра, мы сможем заранее защититься от многих атак.
В последнее время в области фишинга выделяются новые направления - смишинг, вишинг и фарминг (см. врезку «Словарь»).
Эта статья посвящена описанию некоторых видов фишинга, что, надеюсь, позволит вам более успешно защищаться от подобных атак. Профессионалы в области информационной безопасности и обычные пользователи должны быть готовы отразить их.
Мошенничество 21-го века
Способность похищать личные идентификационные данные всегда высоко ценилась преступниками. Получая доступ к чьим-либо личным данным и исполняя затем роль законного пользователя, злоумышленник может совершать преступления под чужим именем. Подобное воровство никогда не было делом более простым, чем сейчас, в эпоху цифровых технологий.
Скрытые среди груд электронной макулатуры, обходящие многие современные антиспамовые фильтры, новые средства нападения позволяют похищать конфиденциальную личную информацию. Профессиональные преступники теперь используют специально сформированные сообщения, чтобы заманить свои жертвы в ловушки, предназначенные для кражи идентификационных данных пользователей.
Название данного типа атак - Phishing (фишинг), процесс обмана или обработка методами социальной инженерии клиентов для последующего воровства их личных данных и передачи их конфиденциальной информации для использования в корыстных целях. Преступники для своих целей используют спам или зараженные ранее компьютеры. При этом размер компании-жертвы не так важен; качество личной информации, полученной преступниками в результате нападения, имеет значение само по себе.
Средства Phishing-мошенничества с каждым днем продолжают расти не только количественно, но и качественно. Phishing-атакам сегодня подвергается все большее число клиентов, массовая рассылка подобных писем идет на миллионы адресов электронной почты во всем мире. Используя множество типов атак, фишеры могут легко ввести в заблуждение клиентов для передачи финансовых данных (например, номера платежной карты) и пароля. В то время как спам только отвлекает внимание получателей, Phishing ведет к финансовым потерям из-за мошеннического перемещения валюты.
В отчете за январь 2007 года по данным Anti-Phishing Working Group (www . anti - phishing . org ) приводятся следующие цифры:
|
Количество уникальных фишинговых атак |
|
|
Количество уникальных фишинговых сайтов |
|
|
Количество торговых марок, похищенных фишерами в январе |
|
|
Страна, в которой в январе было открыто максимальное количество фишинговых сайтов |
Соединенные Штаты Америки |
|
Количество сайтов, содержащих некоторую часть подлинного имени сайта в адресе |
|
|
Количество сайтов, содержащих только IP-адрес |
|
|
Процент сайтов, не использующих 80-й порт |
|
|
Среднее время активности сайта |
4 дня |
|
Максимальное время активности сайта |
30 дней |
Рисунок 1. Число фишинговых сайтов за период с января 2006 года по январь 2007 года
Некоторые финансовые организации и большие компании, чей бизнес напрямую связан с Internet, разъясняют своим клиентам проблему фишинга. Большинство же организаций сделали очень немногое для активной борьбы с этим злом. Однако надо иметь в виду, что существует много доступных инструментальных средств и методов для защиты от подобных атак.
Обладая высоким уровнем защиты от фишинговых атак, организации могут получить немалую выгоду от сохранения лояльности своих клиентов.
Хронология фишинга
Слово "phishing" родилось из аналогии, которая заключается в том, что первые злоумышленники Internet использовали почтовые приманки для паролей и финансовых данных множества пользователей Internet. Использование "ph", вероятнее всего, связано с популярными хакерскими соглашениями об именах типа "Phreaks", которые прослеживаются в истории хакерского движения, начиная с проблемы "phreaking" - взлом телефонных систем.
Термин был впервые употреблен в 1996 году хакерами, захватившими управление учетными записями America Online (AOL) и похитившими пароли пользователей AOL. Впервые термин phishing был упомянут в Internet в группе новостей alt.2600 hacker newsgroup в январе 1996 года, однако он, возможно, использовался и ранее в популярном хакерском информационном бюллетене "2600". Привожу без комментариев: «It used to be that you could make a fake account on AOL so long as you had a credit card generator. However, AOL became smart. Now they verify every card with a bank after it is typed in. Does anyone know of a way to get an account other than phishing ?
К 1996 году взломанные учетные записи называли "phish", и к 1997 phish активно продавались хакерами как форма электронной валюты. Через какое-то время определение того, что составляет phishing-атаку, было значительно расширено. Термин «фишинг» теперь включал не только получение подробностей учетной записи пользователя, но и доступ ко всем его личным и финансовым данным. Первоначально используя сообщения электронной почты для получения паролей и финансовых данных обманутых пользователей, теперь фишеры создали поддельные сайты, научились задействовать троянские программы, и атаки типа man-in-the-middle data proxies .
В данный момент сетевое мошенничество включает использование поддельных рабочих мест или предложений работы.
Фактор социальной инженерии
Фишинг-атаки основаны на комбинации технического обмана и факторов социальной инженерии. В большинстве случаев «Фишер» должен убедить жертву выполнить ряд действий, которые обеспечат доступ к конфиденциальной информации.
Сегодня «фишеры» активно используют популярность таких средств связи как электронная почта, web-страницы, IRC и службы мгновенной передачи сообщений (IM). Во всех случаях фишер должен действовать от имени доверенного источника (например, службы поддержки соответствующего банка и т.д.), чтобы ввести жертву в заблуждение.
До недавнего времени самые успешные нападения фишеров осуществлялись по электронной почте - при этом фишер играет роль уполномоченного лица (например, имитируя исходный адрес электронной почты и используя внедрение соответствующих корпоративных эмблем). Например, жертва получает электронную почту от [email protected] (адрес подменен) со строкой сообщения "модификация защиты", в котором ее просят перейти по адресу www . mybank - validate . info (имя домена принадлежит нападавшему, а не банку) и ввести его банковский PIN-код.
Однако фишеры используют и много других методов социальной инженерии для того, чтобы заставить жертву добровольно выдать конфиденциальную информацию. Например, жертва считает, что ее банковская информация используется еще кем-то для осуществления незаконной сделки. В таком случае жертва попыталась бы войти в контакт с отправителем соответствующего электронного письма и сообщить ему о незаконности сделки и отменить ее. Далее, в зависимости от типа мошенничества, фишер создал бы сетевую "безопасную" web-страницу для того, чтобы жертва могла ввести конфиденциальные подробности (адрес, номер кредитной карточки и т.д.) и отменить сделку. В результате фишер получил бы достаточно информации, чтобы совершить реальную сделку.
Рисунок 2. Пример фишингового письма
Рисунок 3. Страница фишингового сайта
Однако данный сайт, несмотря на внешнюю схожесть с оригинальным, предназначен исключительно для того, чтобы жертва сама ввела конфиденциальные данные.
Рисунок 4. Пример с поддельным почтовым адресом отправителя
Под онлайн-фишингом подразумевается, что злоумышленники копируют какие-либо сайты (чаще всего это Internet -магазины онлайн-торговли). При этом используются похожие доменные имена и аналогичный дизайн. Ну а дальше все просто. Жертва, попадая в такой магазин, решает приобрести какой-либо товар. Причем число таких желающих достаточно велико, ведь цены в несуществующем магазине будут буквально бросовыми, а все подозрения пользователей рассеиваются ввиду известности копируемого сайта. Покупая товар, жертва регистрируется и вводит номер и другие данные своей кредитной карты.
Такие способы фишинга существуют уже достаточно давно. Благодаря распространению знаний в области информационной безопасности они постепенно утрачивают свою эффективность.
Рисунок 5. Письмо только с одной фишерской ссылкой из многих подлинных
Третий способ - комбинированный. Суть его состоит в том, что создается поддельный сайт некоей организации, на который потом завлекаются потенциальные жертвы. Им предлагается зайти на некий сайт и там произвести те или иные операции самим. Причем, как правило, используется психология.
Рисунок 6. Образец фишингового письма пользователям почты Mail.ru
Многочисленные предупреждения, практически ежедневно появляющиеся в Internet, делают подобные методы мошенничества все менее эффективными. Поэтому теперь злоумышленники все чаще прибегают к применению кей-логгеров, key-loggers - специальных программ, которые отслеживают нажатия клавиш и отсылают полученную информацию по заранее назначенным адресам.
Если же вы думаете, что фишинг-атаки актуальны лишь для дальнего зарубежья, то вы ошибаетесь. Первая попытка фишинга на территории СНГ была зарегистрирована в 2004 году. Жертвами ее стали клиенты московского Ситибанка.
На Украине жертвами фишинговых атак стали клиенты «Приват-банка» и компании «Киевстар».
Доставка фишингового c ообщения
Электронная почта и спам. Наиболее распространены фишинговые атаки с помощью электронной почты. Используя методы и инструментальные средства спамеров, фишеры могут разослать специальные сообщения на миллионы адресов электронной почты в течение нескольких часов (или минут, если задействовать распределенные бот-сети). Во многих случаях списки адресов электронной почты фишеры получают из тех же источников, что и спамеры.
Используя известные недостатки в почтовом протоколе SMTP, фишеры способны создать электронные письма с поддельной строкой "Mail From:" заголовки в таком случае будут олицетворением любой выбранной ими организации. В некоторых случаях они могут установить поле "Replay To:" на адрес выбранной ими электронной почты, в результате чего любой ответ клиента на фишинговое письмо будет автоматически пересылаться фишеру. В прессе часто пишут о фишинговых атаках, поэтому большинство пользователей опасается посылать конфиденциальную информацию (вроде паролей и PIN-кода) по электронной почте, однако такие атаки все еще эффективны.
Методы, используемые фишерами при работе с электронной почтой:
Официальный вид письма;
Копирование законных корпоративных адресов с незначительными изменениями URL;
HTML, используемый в электронных сообщениях, запутывает информацию об URL;
Стандартные вложения вируса/червя в сообщения;
Использование технологий запутывания антиспамовых фильтров;
Обработка "индивидуализированных" или уникальных почтовых сообщений;
Использование поддельной строки "Mail From:" адреса и открытые почтовые шлюзы маскируют источник электронной почты.
Фишинг-атаки с использованием web -контента. Следующий метод фишинг-атак заключается в использовании вредоносного содержимого web-сайта. Этот контент может быть включен в сайт фишера, или сторонний сайт.
Доступные методы доставки контента включают:
Использование особенностей сети (скрытые элементы в пределах страницы - типа графического символа нулевого размера), чтобы проследить за потенциальным клиентом;
Использование всплывающих окон, чтобы замаскировать истинный источник фишерского сообщения.
IRC и передача IM -сообщений. Сравнительно новым является использование IRC и IM-сообщений. Однако, вероятно, этот способ станет популярной основой для фишинг-атак. Так как эти каналы связи все больше нравятся домашним пользователям, и вместе с тем в данное программное обеспечение включено большое количество функциональных возможностей, число фишинг-атак с использованием этих технологий будет резко увеличиваться.
Вместе с тем необходимо понимать, что многие IRC и IM клиенты учитывают внедрение динамического содержания (например графика, URL, мультимедиа и т.д.) для пересылки участниками канала, а это означает, что внедрение методов фишинга является достаточно тривиальной задачей.
Общее использование ботов - автоматизированных программ, обрабатывающих сообщения пользователей, которые участвуют в обсуждениях группы - во многих популярных каналах означает, что фишеру ничего не стоит анонимно послать ссылки и фальсифицировать информацию, предназначенную для потенциальных жертв.
Использование троянских программ. В то время как среда передачи для фишинг-атак может быть различной, источник атаки все чаще оказывается на предварительно скомпрометированном домашнем компьютере. При этом как часть процесса компрометации используется установка троянского программного обеспечения, которое позволит фишеру (наряду со спамерами, программными пиратами, DdoS-ботами и т.д.) использовать компьютер как распространителя вредоносных сообщений. Следовательно, прослеживая нападение фишеров, чрезвычайно сложно выявить реального злоумышленника.
Необходимо обратить внимание на то, что, несмотря на усилия антивирусных компаний, число заражений троянскими программами непрерывно растет. Многие преступные группы разработали успешные методы обмана домашних пользователей для установки у них программного обеспечения и теперь используют целые сети, развернутые с помощью троянского программного обеспечения. Такие сети используются, в том числе, для рассылки фишинговых писем.
Однако не стоит думать, что фишеры не могут использовать троянские программы против конкретных клиентов, чтобы собирать конфиденциальную информацию. Фактически, чтобы собрать конфиденциальную информацию нескольких тысяч клиентов одновременно, фишеры должны выборочно собирать записываемую информацию.
Троянские программы для выборочного сбора информации. В начале 2004 года фишеры создали специализированный кейлоггер. Внедренный в пределах стандартного сообщения HTML (и в почтовом формате, и на нескольких скомпрометированных популярных сайтах) он был кодом, который попытался запускать апплет Java, названный "javautil.zip". Несмотря на расширение zip, фактически это был исполняемый файл, который мог быть автоматически выполнен в браузерах клиентов.
Троянский кейлоггер был предназначен для фиксирования всех нажатий клавиш в пределах окон с заголовками различных наименований, включающих:-commbank, Commonwealth, NetBank, Citibank, Bank of America, e-gold, e-bullion, e-Bullion, evocash, EVOCash, EVOcash, intgold, INTGold, paypal, PayPal, bankwest, Bank West, BankWest, National Internet Banking, cibc, CIBC, scotiabank и ScotiaBank.
Направления фишинговых атак
Фишеры вынуждены задействовать множество методов мошенничества, чтобы осуществлять успешные нападения. Самые общие включают:
Нападения методом "человек посередине " (Man-in-the-middle);
Атаки с подменой URL;
Нападения, использующие кроссайтовые сценарии, Cross-site Scripting;
Предварительно установленные сессии атак;
Подмена клиентских данных;
Использование уязвимых мест на стороне клиента.
Нападения "человек посередине"
Одним из самых успешных способов получения информации от клиента и захвата управления ресурсами является атака "человек посередине". В этом классе атак нападающий «располагается» между клиентом и реальным приложением, доступным через сеть. Из этой точки нападающий может наблюдать и делать запись всех событий.
Эта форма нападения успешна для протоколов HTTP и HTTPS. Клиент соединяется с сервером злоумышленников, как будто с реальным сайтом, в то время как сервер злоумышленников выполняет одновременное подключение к реальному сайту. Сервер злоумышленников в таком случае играет роль proxy-сервера для всех соединений между клиентом и доступным через сеть прикладным сервером в реальном времени.
В случае безопасного соединения HTTPS подключение SSL устанавливается между клиентом и proxy-сервером злоумышленников (следовательно, система злоумышленников может делать запись всего трафика в незашифрованном состоянии), в то время как proxy-сервер злоумышленников создает собственное подключение SSL между собой и реальным сервером.
Рисунок 8. Структура атаки man-in-the-middle
Для проведения успешных атак "человек посередине" нападающий должен быть подсоединен напрямую к клиенту вместо реального сервера. Это можно сделать с помощью множества методов:
DNS Cache Poisoning
URL Obfuscation
Browser Proxy Configuration
Прозрачные proxy-серверы
Расположенный в том же сегменте сети или на маршруте к реальному серверу (например, корпоративный шлюз), прозрачный proxy-сервер может перехватить все данные, пропуская через себя весь исходящий HTTP и HTTPS. В этом случае никакие изменения конфигурации на стороне клиента не требуются.
DNS Cache Poisoning - отравление кэша DNS
Метод DNS Cache Poisoning можно использовать для того, чтобы прервать нормальную маршрутизацию трафика, вводя ложные адреса IP. Например, нападающий модифицирует кэш службы доменной системы имен и сетевой межсетевой защиты так, чтобы весь трафик, предназначенный для адреса IP MyBank, теперь шел на адрес IP proxy-сервера нападавших.
Подмена URL
Используя данный метод, нападавший изменяет связь вместо реального сервера на соединение с proxy-сервером злоумышленников. Например, клиент может следовать по ссылке к вместо www . mybank . com />
Конфигурация proxy-сервера в браузере клиента
Данный тип атаки может быть замечен клиентом при просмотре настроек браузера. Во многих случаях изменение настроек браузера осуществляется непосредственно перед фишинг-сообщением.
Рисунок 9. Конфигурация браузера
Нападения подмены адресов
Секрет успеха многих фишинговых атак состоит в том, чтобы заставить получателя сообщения следовать за ссылкой (URL) на сервер злоумышленников. К сожалению, фишеры имеют доступ к целому арсеналу методов, чтобы запутать клиента.
Обычные методы подмены адресов включают:
Фальшивые имена доменов
Дружественные имена URL
Подмену имен хостов
Подмену URL.
Фальшивые имена домена
Один из тривиальных методов подмены - использование фальшивого имени домена. Рассмотрим финансовый институт MyBank с зарегистрированным доменом mybank.com и связанный с клиентом деловой сайт . Фишер мог установить сервер, используя любое из следующих имен, чтобы запутать реальный хост адресата:
http
://
privatebanking
.
mybank
.
com
.
ch
http
://
mybank
.
privatebanking
.
com
http
://
privatebanking
.
mybonk
.
com
или даже
http
://
privatebanking
.
myb
á
nk
.
com
http
://
privatebanking
.
mybank
.
hackproof
.
com
Поскольку организации по регистрации доменов двигаются в направлении интернационализации своих услуг, следовательно, возможна регистрация имен доменов на других языках и определенных наборах символов. Например, "o" в символах кириллицы выглядит идентично стандартному ASCII "o", но доменное имя будет другим.
Наконец, даже стандартный набор символов ASCII учитывает двусмысленности вроде верхнего регистра "i" и нижнего регистра "L".
Дружественные имена URL
Много web-браузеров учитывают сложный URL, который может включить опознавательную информацию типа имени входящего в систему и пароля. Общий формат - URL://username : password @ hostname / path .
Фишеры могут заменить имя пользователя и поле пароля. Например, следующий URL устанавливает имя пользователя = mybank.com , пароль = ebanking , и имя хоста адресата - evilsite . com .
mybank . com : ebanking @ evilsite . com / phishing / fakepage . htm >
Этот дружественный вход в систему URL может успешно обмануть многих клиентов, которые будут считать, что они фактически посещают настоящую страницу MyBank.
Подмена имен хостов
Большинство пользователей Internet знакомо с навигацией по сайтам и услугам с использованием полного имени домена, типа www.evilsite.com . Для того чтобы web-браузер мог связаться с данным хостом по Internet, этот адрес должен быть преобразован в адрес IP, типа 209.134.161.35 для www.evilsite.com . Это преобразование IP-адреса в имени хоста достигается с помощью серверов доменных имен. Фишер может использовать адрес IP как часть URL, чтобы запутать хост и, возможно, обойти системы фильтрации содержания, или скрыть адресат от конечного пользователя.
Например, следующий URL:
mybank . com : ebanking @ evilsite . com / phishing / fakepage . htm >
мог быть запутанным по сценарию
mybank . com : ebanking @210.134.161.35/ login . htm >
В то время как некоторые клиенты знакомы с классическим десятичным представлением адресов IP (000.000.000.000), большинство из них незнакомо с другими возможными представлениями. С помощью этих представлений IP в пределах URL можно привести пользователя на фишерский сайт.
В зависимости от приложения, интерпретирующего адрес IP, возможно применение разнообразных способов кодирования адресов, кроме классического пунктирно-десятичного формата. Альтернативные форматы включают:
Dword - значение двойного слова, потому что это состоит по существу из двух двойных "слов" 16 битов; но выражено в десятичном формате,
Восьмеричный
Шестнадцатеричный.
Эти альтернативные форматы лучше всего объяснить, используя пример. Рассмотрим, как URL преобразовывается к IP-адресу 210.134.161.35. Это может интерпретироваться как:
Десятичное число -
Dword - http:// 3532038435/
Восьмеричный -
Шестнадцатеричный - или даже
В некоторых случаях можно даже смешать форматы (например, ).
Подмена URL
Чтобы гарантировать поддержку местных языков в программном обеспечении Internet типа web-браузеров, большинство программного обеспечения поддерживает дополнительные системы кодирования данных.
Кроссайтовые сценарии
Типичные форматы XSS инъекции в достоверный URL включают:
Полная замена HTML типа: mybank . com / ebanking ? URL=http: // evilsite.com/phishing/fakepage.htm>
Встроенное внедрение сценария типа: http: // mybank . com / ebanking ? Page=1*client = СЦЕНАРИЙ > evilcode ...
Например, клиент получил следующий URL с помощью электронного фишинг-письма:
В то время как клиент действительно направлен и связан с реальным MyBank-приложением сети, из-за ошибочного кодирования приложения банком, компонент ebanking примет URL для вставки в пределах поля URL возвращенной страницы. Вместо приложения, обеспечивающего опознавательную форму MyBank, внедренную в пределах страницы, нападавший пересылает клиента к странице под управлением на внешнем сервере ( evilsite . com / phishing / fakepage . htm > ).
Смишинг
Онлайновые мошенники в последнее время осваивают новое для себя направление - атаки на мобильные телефоны. Случаи массовой рассылки SMS, заманивающих пользователей на заранее подготовленные инфицированные сайты, наблюдались, например, в Исландии и Австралии. В тексте фальшивой SMS пользователю сообщается о том, что он подписан на платную услугу и с его счета будет удерживаться 2 долл. ежедневно и если он хочет отказаться от данной услуги, то должен зайти на сайт. На сайте пользователей ожидает троянская программа, написанная на VBS, которая открывает хакерам лазейку на зараженный ею компьютер и начинает автоматическую рассылку SMS на случайные номера, через соответствующие web-сервисы двух сотовых операторов в Испании.
Фарминг
Фарминг - это перенаправление жертвы по ложному адресу. Для этого может использоваться некая навигационная структура (файл hosts, система доменных имен - domain name system, DNS).
Как это происходит?
Механизм фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает почтовое сообщение или посещает некий web-сервер, на котором выполняется вирус-сценарий. При этом искажается файл hosts. Вредоносная программа может содержать указатели URL многих банковских структур. В результате механизм перенаправления активизируется, когда пользователь набирает адрес, соответствующий его банку. В результате жертва попадает на один из ложных сайтов.
Механизмов защиты от фарминга на сегодня просто не существует. Необходимо внимательно следить за получаемой почтой, регулярно обновлять антивирусные базы, закрыть окно предварительного просмотра в почтовом клиенте и т.д.
"Вишинг"
В июле 2006 года появилась новая разновидность фишинга, тут же получившая название «вишинг».
"Вишинг" (vishing) назван так по аналогии с "фишингом" - распространенным сетевым мошенничеством, когда клиенты какой-либо платежной системы получают сообщения по электронной почте якобы от администрации или службы безопасности данной системы с просьбой указать свои счета, пароли и т.п. При этом ссылка в сообщении ведет на поддельный сайт, на котором и происходит кража информации. Сайт этот уничтожается через некоторое время, и отследить его создателей в Internet достаточно сложно
Схемы обмана, в общем-то, идентичны, только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер телефона. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.
Владельцев такого номера найти не просто, так как с развитием Internet-телефонии звонок на городской номер может быть автоматически перенаправлен в любую точку земного шара. Звонящий же об этом не догадывается.
Согласно информации от Secure Computing, мошенники конфигурируют «war dialler» («автонабиратель»), который набирает номера в определенном регионе и, когда на звонок отвечают, происходит следующее:
Автоответчик предупреждает потребителя, что с его картой производятся мошеннические действия, и дает инструкции - перезвонить по определенному номеру немедленно. Это может быть номер 0800, часто с выдуманным именем звонившего от лица финансовой организации;
Когда по этому номеру перезванивают, на другом конце провода отвечает типично компьютерный голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;
Как только номер введен, «вишер» становится обладателем всей необходимой информации (номер телефона, полное имя, адрес), чтобы, к примеру, наложить на карту штраф;
Затем, используя этот звонок, можно собрать и дополнительную информацию, такую как PIN-код, срок действия карты, дата рождения, номер банковского счета и т.п.
Как защититься от этого? Прежде всего, с помощью здравого смысла, а именно:
Ваш банк (или кредитная компания, картой которой вы пользуетесь) обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то, скорее всего, это мошенничество;
Нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному вам номеру телефона. Для звонков в экстренных случаях вам предоставляется телефонный номер на обратной стороне вашей платежной карточки. Если звонок законный, то в банке сохраняется его запись и вам помогут;
Если же вам звонит некто, представляющийся вашим провайдером и задает вопросы, касающиеся ваших конфиденциальных данных - повесьте трубку.
, http :// www . itacademy . com . uaСловарь
Фишинг (англ. phishing , от password - пароль и fishing - рыбная ловля, выуживание) - вид Internet-мошенничества, цель которого - получить идентификационные данные пользователей. Организаторы фишинг-атак используют массовые рассылки электронных писем от имени популярных сайтов. В эти письма они вставляют ссылки на фальшивые сайты, являющиеся точной копией настоящих. Оказавшись на таком сайте, пользователь может сообщить преступникам ценную информацию, позволяющую управлять его счетом из Internet (имя пользователя и пароль для доступа), или даже номер своей кредитной карты.
Вишинг - (vishing) назван по аналогии с "фишингом". Схемы, по которым обманывают пользователей, в обоих случаях похожи, только в случае "вишинга" в сообщении содержится просьба не зайти на сайт, а позвонить на городской телефонный номер. Тем, кто позвонил на него, зачитывается сообщение с просьбой сообщить конфиденциальные данные.
Фарминг - при фарминге хакеры перенаправляют Internet-трафик с одного сайта на другой, имеющий идентичный вид, чтобы обманом заставить пользователя ввести имя пользователя и пароль в базу данных на фальшивом сервере.
Фишинг, или мoшенничество с целью кражи данных при помощи копирования внешних образов популярных ресурсов, только-только приходит в мобильный мир. В этой статье мы разберем анатомию подобных атак и узнаем, как именно хакеры успешно покушаются на деньги пользователей андроидофонов.
Статистика фишинга на мобильных платформах.
Смартфоны и планшеты так быстро ворвались в нашу жизнь, что поведение героев из фильмов пятилетней давности уже кажется анахронизмом. Естественно, что вместе с полезными и не очень привычками пользователь приобрел и новых интернет-врагов.
По статистике, на 85% всех мобильных устройств установлена одна из версий Android, и неудивительно, что большинство атак и зловредов нацелены именно на нашу любимую операционную систему. Конечно, ситуация еще не так плoха, как с Windows лет десять назад, но тенденция пугает.
В январе прошлого года мы разбирали, насколько легко создать криптолокер под Android - программу, шифрующую пользовательские данные. И чуть позже, в апреле 2016 года, «Лаборатория Касперского» подтвердила наши опасения: компания заявила о появлении трояна-локера Fusob, атаковавшего смартфоны пользователей более чем из ста стран.
Многообразие фишинга
Мимикрирование вредоносных программ подо что-то полезное - довольно старый тренд. Лет десять-пятнадцать назад был бум популярности сайтов, которые очень похожи на официальные порталы банков или платежных сиcтем. Такие фишинговые ресурсы старались вытянуть пользовательские аккаунты, а еще лучше - данные кредитных карт.
Но та волна хищений обошла страны СНГ стороной. Просто брать у нас было нечего: Павел Дуров еще ничего не написал, а пластиковые карты популярностью не пользовались. Сейчас же для мошенников ситуация стала по-настоящему «вкусной»: интернет-покупки, мобильный банкинг, всевозможные социальные сети - очень многое теперь доступно через мoбильный телефон, подключенный к интернету.
Пока еще не было историй об эпидемиях фишинга, но неприятные звоночки уже есть. Серфинг интернета с мобильных устройств стал намного менее безопасным: сначала веб-мастера адаптировали рекламу под мобильный контент, а затем подтянулись и нечистые на руку люди. Совсем недавно, в начале декабря 2016 года, на одном популярном спортивном ресурсе выскакивало окошко с предложением «обновить устаревший WhatsApp» - естественно, разработчики мессенджера никакого отношения к такой рекламе не имеют.
Рис. 2. Вирусная партнерка на крупном ресурсе
Такие сообщения генерируются на стороне сервера и выглядят достаточно топорно. Но, попав внутрь устройства, злоумышленник может совершить более элегантную и эффективную атаку. Давай разберемся, насколько сложно в Android подменить рабочее приложение на его вредоносный «аналог».
В мире до сих пор нет ничего более универсального, чем деньги, поэтому стоит попробовать получить доступ к кошельку пользователя. Как списывают деньги при помощи отправки СМС на короткие номера, мы уже говорили, сегодня доберемся до банковской карты.
Почти Google Market
Для фишинга не нужно точь-в-точь реализовывать функциональность Google Market - проще написать приложение, расширяющее его возможности без изменения исходного кода. Интересно узнать, как хакeры проворачивают подобное? Тогда поехали!
Выбор
Будет неправильным пытаться подделать приложение, которым владелец устройства совсем не пользуется. Как и при обычном вторжении, мошеннику нужно сначала оценить, в какую среду он попал. Многообразие вендоров, выпускающих мобильные устройства, привело к большим изменениям и в самой ОС. И хотя, со слов маркетологов, все они работают на единой платформе Android, набор запущенных приложений может быть совершенно разным. В Android есть встроeнный API для получения списка запущенных процессов - это системный сервис ACTIVITY_SERVICE.
ActivityManager am = (ActivityManager ) getSystemService (Context .ACTIVITY_SERVICE ) ; List < ActivityManager .RunningAppProcessInfo > runningAppProcessInfo = am .getRunningAppProcesses () ; |
Google в целях безопасности с каждым годом все больше ограничивает возможности приложений взаимодействовать между собой. В документации это явно не указано, но для Android версии 4.0 и новее такой вызов вернет список только из одного приложения - твоего собственного. Не все потеряно - в основе Android лежит ядро Linux, а значит, у нас есть консоль. К ней можно добраться руками с помощью утилиты adb , входящей в Android Studio.
Результат рабoты ожидаемо похож на вывод, который дает одноименная линуксовая команда, - таблица с множеством значений, разделенных табуляцией.
media _ rw1730 1176 7668 1876 1 20 0 0 0 fg inotify_re b75c3c46 S / system / bin / sdcard (u : 0 , s : 3 ) u0 _ a151798 1202 1298044 30520 0 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .google .android .googlequicksearchbox : interactor (u : 3 , s : 1 ) u0 _ a351811 1202 1272580 37692 1 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .android .inputmethod .latin (u : 9 , s : 1 ) u0 _ a81871 1202 1428180 77468 0 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .google .android .gms .persistent (u : 168 , s : 163 ) |
Собственно, в этом выводе содержится достаточная для фишинга информация: имя процесса, его идентификатор, приоритет выполнения и так далее. Запустить утилиту можно не только руками, но и из приложения - для доступа к шеллу в стандартном API есть класс Shell.
List < String > stdout = Shell .SH .run ("toolbox ps -p -P -x -c" ) ; |
Линуксоидам чаcто приходится писать однострочные скрипты, поэтому распарсить такой вывод для них не проблема. Но ООП-разработчики более нежные и наверняка не захотят таким заниматься.
На Гитхабе уже есть проект, в котором реализована необходимая функциональность. Создал его некто Джаред Раммлер (Jared Rummler), за что скажем ему спасибо. Обработка результата выполнения toolbox создана в виде библиотеки, которую можно подключить прямо через Gradle.
Вся информация о запущенных процессах обернута в объект класса AndroidAppProcess . Если посмотреть исходники библиотеки, то ничего лишнего там нет - только пaрсинг консольного вывода. Информацию о конкретном приложении придется вытаскивать прямым перебором.
for (AndroidAppProcess pr : processes ) { if (pr .getPackageName () .equals (ps_name ) ) { / / do smth |
Обрати внимание: начиная с Android 7.0 Google ввела ограничение на доступ к информации о процессах других приложений. Теперь ее нельзя получить даже с помощью команды ps и прямого чтения файловой системы /proc. Впрочем, на Android 7+ большая часть юзеров перейдет очень не скоро - если вообще перейдет.
Активные приложения
Успешные фишинговые операции, как правило, хорошо подготовлены - мошенники умеют подобрать момент так, что у пользователя не возникает даже малейших подозрений в подлоге. Поэтому телефон не должен просто так попросить ввести данные бaнковской карты - это будет очень подозрительно. Фишинговые сообщения пoявляются под каким-то предлогом, например платные псевдoобновления для 1C или фиктивные банковские ресурсы на адресах, схожих по написанию с лeгальными.
Многозадачность Android тут может сыграть на руку - в ОС могут работать одновременно с десяток приложений, сменяя друг друга. Неопытный пользователь может даже и не понять (да и вообще не задумываться), в каком именно приложении он сейчас работает. Вывод ps дает информацию, какие именно приложения сейчас активно взаимoдействуют с пользователем - то есть ему видны.
u0 _ a65. . . bg SyS_epoll_ b7366d35 S com .localhost .app .noizybanner (u : 248 , s : 84 ) u0 _ a64. . . fg SyS_epoll_ b7366d35 S com .localhost .app .fragments (u : 7 , s : 11 ) |
Этот параметр находится в 11-й колонке - тут может быть значение bg (background, скрыт) или fg (foreground, виден). ОС самостоятельно отслеживает такие состояния приложений, поэтому задача разработчика - только время от времени вызывать ps.
На основе библиотеки получается простенький метод, определяющий состояние искомого приложения.
private Boolean isProccessForeground (String ps_name ) List < AndroidAppProcess > processes = AndroidProcesses .getRunningForegroundApps (getApplicationContext () ) ; . . . |
У нас есть возможность сразу выбрать только видимые процессы с помощью одноименного метода. Но он не всегда срабатывает корректно и выдает даже пpиложения, которые сейчас пользователю невидимы. В этой ситуации нужно проверять значение метода foreground, которое будет true, если какое-либо Activity видно пользователю.
for (AndroidAppProcess pr : processes ) if (pr .getPackageName () .equals (ps_name ) && (pr .foreground == true ) ) { Log .e ("ps" , " " + pr .getPackageName () + " foreground " + pr .foreground ) ; return true ; . . . |
Теперь есть возможность найти удобный момент для атаки - вызов этого метода покажет, работает ли сейчас пользователь в определенном приложении. Как только метод вернет true, можно запустить любое Activity, которое тут же будет показано пользователю. В этом и заключается суть атаки - продемонстрировать пользователю фишинговое окно под видом уведомления от доверенного приложения.
/ / Проверяем, открытлиGoogle Market if (isProccessForeground ("com.android.vending" ) ) { Intent i = new Intent () ; i .setClass (getApplicationContext () , FakeGUI .class ) ; startActivity (i ) ; |
В целом фишингoвая атака уже построена. Для ее эксплуатации нужно настроить периодическое отслеживание приложения-жертвы, а также нарисовать GUI окна для ввода данных банковской карты.
Сервисы
Отслеживать состояние приложения несложно, нужно только с определенной периодичностью перезапускать метод isProccessForeground - это можно реализовать в кoмпоненте Activity или Service. Но долго держать запущенным один и тот же экземпляр Activity не получится, рано или поздно он будет выгружен системой. К тому же это слишком заметно для пользователя.
В Android, как и в «больших» операционных системах, есть сервисы - компоненты, позволяющие незримо для пользователя выполнять какую-то рутинную работу. Обычно это загрузка данных или получение обновлений, но для фишинга тоже пойдет.
Сервисы могут быть разными: так называемый foreground service будет работать в системе всегда и остановится только вместе с выключением телефона. Мы уже подробно разбирали работу сервисов раньше, поэтому сегодня буду краток. Foreground service наследуется от класса Service и должен обязательно имeть иконку, которая будет присутствовать в панели уведомлений устройства.
NotificationCompat .Builder mBuilder = new NotificationCompat .Builder (this ) SetSmallIcon (R .mipmap .ic_launcher ) |
