Phishing prevare su Email poruke koje sadrže link ka falsifikovanoj Web strani i imaju cilj da od Vas izvuče podatke o kreditnoj kartici i računu u banci. Za ovakvu vrstu Internet prevare potrebni su Spam sistem za masovno slanje Email mamaca i Web server na kome ce se postaviti “klopka”.
Ovoga puta cemo nešto više pažnje posvetiti Web serveru.
Krajem novembra, u Email sandučiću smo pronašli sledeću poruku: Primetili smo da je nedavno sa više različitih IP adresa pokušan pristup vašem OnLine računu. Posle niza unosa pogrešnih šifri, blokirali smo vaš nalog. Ako na ovu poruku ne odgovorite do 30-tog novembra, moraćemo da vam trajno suspendujemo nalog… Kliknite ovde…
Lako je složiti se da ovakva poruka deluje uznemirujuće ubedljivo i da bi lako mogla nekoga da izazove na reakciju. Međutim, interesantno je da je Email adresa sa koje je poruka navodno stigla “youraccount.com” (Vaš-nalog.com), te da nema nikakvog znaka, logoa, niti imena banke unutar poruke.
Ponudeni link vodi ka Web sajtu http://140.126.167.1:8080/, koji Vas preusmerava dalje do Web servera na adresi http://67.18.94.147/. Na toj adresi se pojavljuje stranica koja liči na stranicu neke banke, ali sve vreme ostaje pitanje koje?
U prilici ste da u nekoliko uredno organizovanih koraka popunite podatke o vašoj kartici/računu, pri cemu na ekranu vidite poruku sa ikonom sigurnosnog katanca koja Vam tvrdi da su “svi ekrani sigurni”. Medutim, nijedna stranica nije pod sigurnosnim HTTPS protokolom, što se vidi iz same adrese (http, a ne https), ali i kao nedostatak simbola zaključanog katanca u statusnoj liniji.
Osim podataka o samoj kartici, Web forme vas korak po korak dovode do toga da unesete i CVV broj sa poledine kartice (!), kao i PIN za korišcenje bankomata (!).
Korišcene Web stranice pažljivo proveravaju podatke koje unosite, što znaci da smo morali da unesemo sve tražene podatke i pravi broj VISA kartice, da bi stigli do kraja. Validacija podataka je ujedno jedini nivo detalja unutar ove prevare koji je uraden “kako treba”.
Pažljivim čitanjem koda Web stranica dolazimo do saznanja da je prevara uperena protiv klijenata čuvene americke Chase banke, a pri tome nailazimo na niz bizarnih detalja. Pogledajte deo programskog koda:
Pravi biser predstavlja postavljanje Phishing Web strane u kojoj se pozivaju datoteke sa lokalnog računara prevaranta (C:\Documents and Settings\…). Radi se o programskoj omašci koja se može svakome dogoditi, ali ipak od prevaranata očekujemo nešto bolje znanje HTML-a.
Tako dolazimo do rešenja misterije zašto nema logo-a banke unutar Email Phishing poruke i Web stranica. Odgovor je da je logo bio predviđen da se pojavi, ali je greškom programera ostao kao adresa sa C: diska.
Web server na kome se dešava glavni deo prevare je priča za sebe i praktično naša glavna tema.
Web adresa na kojoj se prevara odvija je: http://67.18.94.147/~demo/cgi-bin/… Znak ~ (koji se cita kao “tilda”) u Web svetu znači putanju do Home direktorijuma pojedinog korisnika. Ako je vaš nalog “demo”, onda bi vaš Web Home direktorijum bio “~demo”. Pitanje je šta se sve nalazi u okviru DEMO sadržaja. Jedan pogled na Web adresu http://67.18.94.147/~demo/ objašnjava ceo problem.
Stvarno se radi o DEMO zoni, unutar koje su skice 10-tak Web sajtova za hotele, restorane, golf igrališta. Medutim, paralelno sa tim sadržajem tu su i bar dve Phishing prevare, kao i nekoliko specaijalnih virusa, hakerskih alata i ozbiljan Spam Web program.
Pa da krenemo redom…
Unutar DEMO direktorijuma nalazi se program sh.c, sa sledećim zaglavljem: Trebao mi je bazični Backdoor, a većina na koje sam naleteo zveče, ili su ih kodirali eLe3t c0d3 pa su beskorisni. Nije mi trebalo nešto za šta će mi trebati nedelja da shvatim kako radi…Pametno bi bilo ovo staviti unutar rc datoteka, tako da radi i ako vas nadu i rebutuju…
Evo kratkog uputstva:
/* I needed a basic backdoor and most of the ones
I ran across had so many bells and whistles,
or were coded in eLe3t c0d3 that they were useless.
I didn't need something that took a week to figure
out and configure, and I didn't need shit that was
made as a joke. This is a small, portable, and
functional fake daemon. You tell it what you want it to run as under 'ps' and what port to bind to
in the defines below. The smart thing to do would
be to put this into the rc files so it will start up if they find you and reboot… to complie:
# gcc backhole.c -o backhole
to run: # ./backhole & i.e. # mv backhole /some/path/fakemail
# chmod 4770 /path/to/fakemail
# echo "/path/to/fakemail &" >> /etc/rc.d/rc.local # /path/to/fakemail &
coded by Bronc Buster Feb 1999 */
Backdoor je termin koji označava skriveni program koji omogućava napadaču daljinski pristup vašem računaru. Ovaj primer je pisan za Unix/Linux okruženje, ali je funkcionalnost tipična za većinu savremenih Email crva. U kontekstu Email crva Backdoor (sporedna vrata) služi za učitavanje dodatnih programa, kao što su minijaturni Proxy serveri, koji dalje emituju hiljade Spam poruka, ili učitavaju dodatne DDoS alate, čiji je cilj ometanje rada određenog Web domena.. Specifičnost rešenja je u triku kojime se rad ovog programa maskira kao HTTP proces i time odvlači pažnja administratora (čak i kada ovakav program pronade).
Daljim isrtraživanjem saznajemo da se pronađeni program zove blackhole.c ili backhole.c (u prevodu Crna rupa, odnosno Sporedna rupa) i da se smatra dobrim za vežbu pocetnika (?).
Pokušaj da pregledamo jednu od datoteka unutar DEMO zone sa benignim imenom “a.txt”, završio se rekacijom Anti-Virus alata, sa alarmom da se radi o Backdoor.PerlShellbot.a virusu.
Radi se o rezidentnom PERL skript programu koji se konektuje na odredeni IRC server, koristeci TCP port 6667. Pridružuje se odredenom IRC kanalu i ceka komande od udaljenog napadaca, koji tako dobija kontrolu nad zaraženim sistemom.
Pokazuje se da je Backdoor.PerlShellbot.a hakerski alat koji se ucitava posle proboja mrežnih crva tipa Santy, koji se širi putem greške u kodu phpBB programa. Kako smo na D
 |
|
|
|
