Hlavní navigace

BackTrack, Kali Linux a zkouška phishingu

Marian Pekár 29. 12. 2014

Ve třetím díle seriálu o linuxových distribucích BackTrack a Kali Linux, primárně určených k penetračním testům počítačových sítí, vám povím něco o phishingu, o člověku jménem Kevin Mitnick a na praktickém příkladu předvedu použití této techniky, jenž spadá do kategorie tzv. sociálního inženýrství.

Dlouho jsem přemýšlel, na jaké téma se zaměřím ve třetím díle seriálu o BackTrack a Kali Linuxu, až jsem se nakonec rozhodl pro praktický úvod do techniky s libozvučným názvem phishing, jejíž podstata je z části technická a z části psychologická, a právě to je na ní tak krásné. Často totiž vůbec není nutné pracně prolamovat sofistikovaná zabezpečení počítačových systému, nepoučený uživatel se snadno chytí do nastražené pasti a přístupové údaje sám dobrovolně vydá.

Phishing se řadí do oblasti tzv. sociálního inženýrství, které v 80. letech minulého století proslavil Američan Kevin Mitnick, autor knihy Umění klamu (v orig.: The Art of Deception: Controlling the Human Element of Security). Kevin Mitnick, dnes podnikatel v oboru bezpečnostního poradenství, k průnikům do systémů nepoužíval ani tak znalosti z oblasti informačních technologii, ale spíše chytrou, účelovou manipulaci, byl to vlastně takový kouzelník, který nepřekonával samotná zabezpečení systémů, nýbrž si pohrával s myslí oprávněných uživatelů, a přesně to je kvintesencí sociálního inženýrství.

Dnes vám tedy opět na konkrétním příkladu ukážu, jak s pomocí nástroje SET a jednoduché webové stránky, která se tváří jako webová hra, nebo e-mailu s falešnou hlavičkou, vytvořit phishingovou návnadu. Pokud se vám na ni uživatel chytí, získáte přístupové údaje k jeho facebookovému účtu. V praxi je možné takovou věc využít zejména při penetračním testování, kdy bezpečně vyzkoušíte ostražitost uživatelů a poté je můžete na navazujícím školení vylekat tím, co všechno je možné takto o nich zjistit.

Ještě předtím vás však, již tradičně, musím upozornit, že veškeré tyto informace slouží pouze k edukativním účelům, autor článku ani provozovatel serveru Root.cz nenesou odpovědnost za jejich případné zneužití k protiprávnímu jednání, jakým je podle § 209 Trestního zákoníku podvod, za který může být ve velmi závažném případě uložen trest odnětí svobody až na 10 let.

SET jako Site Cloner

Ke správnému fungování vaší pasti, vytvořené pomocí nástroje SET, je nutné, aby byl váš počítač dostupný zvenčí, je tedy potřeba mít od svého poskytovatele připojení k Internetu (ISP) veřejnou IP adresu. Část z nich vám ji dnes již poskytuje automaticky, ve většině případů se však vaše stanice nachází za překladačem adres (NAT). Pokud máte nad svým routerem s natem kontrolu, můžete na něm vytvořit potřebné přesměrování portů.

# ip rou

V prvním řádku byste měli vidět default via a adresu svého routeru, u mě je to 10.0.0.138. Když nyní znáte místní IP adresu svého routeru, otevřete webový prohlížeč a zapište ji do pole pro adresu URL.

Ocitnete se s největší pravděpodobností na přihlašovací stránce, pokud jste nikdy dříve nastavení routeru neupravovali, vaše přihlašovací údaje budou nejspíše na výchozích hodnotách, což může být např. login: admin, heslo: admin, nahlédněte do manuálu ke svému routeru, nebo vygooglete frázi [značka a typ routeru] default username password. Jakmile se dostanete do nastavení, pátrejte po položce NAT a pod ní po možnosti Port Mapping. Uvidíte kolonky pro nastavení interního a externího portu (Internal Port, External Port) a interního hosta (Internal Host), oba porty tedy nastavte na hodnotu 80, neboť budeme pracovat na portu HTTP (HTTPS je na portu 443) a jako adresu interního hosta zadejte místní IP adresu počítače, na kterém poběží vaše past. Tu zjistíte v Terminálu, zadáním příkazu ip a, u zařízení (eth0, nebo wlan0 atp.), prostřednictvím něhož jste připojení k místní síti, je označena jako inet.

Když máte správně nastavené přesměrování portu, spusťte nástroj SET (menu Applications → BackTrack (nebo Kali Linux) → Exploration Tools → Social Engineering Tools → Social Engineering Toolkit) a vyberte možnost s číslem 1 (Social Engineering Attacs), pak č. 2 (Website Attack Vectors), č. 3 (Credential Harvester Attack Method) a nakonec znovu č. 2 (Site Cloner). SET vás nyní požádá o zadání IP adresy zařízení, na kterém past poběží (IP adress for the POST back in Harvester/Tabnabbing) což je vaše veřejná IP adresa, kterou zjistíte např. na stránce www.whatismyip.com.

Následně o zadání URL adresy stránky, kterou chcete naklonovat do své pasti – třeba www.facebook.com. Chvíli vyčkejte, než se obsah stránky překopíruje, a na vyzvání akci potvrďte klávesou ENTER. Pokud teď prostřednictvím svého webového prohlížeče přejdete na svoji veřejnou IP adresu, měla by se před vámi objevit přesná kopie původního webu. Tohle je vaše phishingová past.

Podsunutí falešné přihlašovací stránky uživateli

Nyní přichází na řadu ta spíše psychologická část celé techniky. Uživatele můžete do své pasti nalákat hned několika způsoby – předvedu vám dva z nich. Je možné to udělat přes stránku tvářící se jako webová hra s možností přihlásit se pomocí Facebooku a prostřednictvím e-mailu s podvrženou hlavičkou, který vypadá jako e-mail od technické podpory Facebooku.

„Web-based adventura“

Nejprve si musíte zřídit vlastní webhostingový prostor pro zveřejnění vaší fiktivní internetové stránky, můžete tak učinit zdarma třeba na adrese www.000webhost.com. Je to velmi jednoduché, stačí vám k tomu platný e-mail a vyplnění krátkého registračního formuláře. Ke svému prostoru pak můžete přistupovat pomocí služby FTP nebo prostřednictvím webového rozhraní. Až budete mít svůj webhostingový prostor, vytvořte v něm složku src a nahrajte do ní logo nějaké fiktivní hry. To buď sami vytvořte, nebo někde stáhněte. Dále najděte obrázek pro tlačítko „Přihlásit se pomocí Facebooku“, takových se na internetu povaluje spousta, jak se můžete sami přesvědčit pomocí vyhledávače obrázků od Googlu. Vedle složky src pak vytvořte soubor index.html s následujícím obsahem:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[NÁZEV HRY] : Web-Based Adventure Game</title>
<link rel="stylesheet" href="style.css">
</head>
<body>
<div id="head">
<p><img src="src/logo.png" alt=""></p>
</div>

<div id="main">
<p>
[NÁZEV HRY] je adventura, běžící kompletně ve vašem internetovém prohlížeči, zahrajete si jí tedy na jakékoliv platformě a bez nutnosti cokoliv stahovat nebo instalovat. Ocitnete se v blízké budoucnosti ve fiktivním českém městě Boudov, kde v roli čerstvě suspendovaného policisty na vlastní pěst pátráte po stopách sériového vraha a postupně se vám odkrývá i vaše vlastní minulost.
<br>
Veškerý herní postup navíc můžete snadno sdílet na svém facebookovém profilu.
</p>
</div>

<div id="bottom">
<p><strong>Verze hry: 1.0 Beta</strong></p>

<p><a href="[VAŠE VEŘEJNÁ IP ADRESA]" target="_blank"><img src="src/login_button.png" alt="Přihlásit se pomocí Facebooku"></a></p>

<p id="copyright">Copyright 2014 [NÁZEV HRY] Team</p>
</div>

</body>
</html>

Přidejte ještě soubor kaskádového stylu style.css obsahující:

p {
font-size: 16px;
font-family: sans;
}

#head {
margin-top: 8%;
margin-left: 20%;
text-align: center;
width: 60%;
}

#main {
margin-top: 3%;
margin-left: 21%;
width: 60%;
}

#bottom {
margin-top: 2%;
margin-left: 20%;
text-align: center;
width: 60%;
}

#copyright {
font-size: 12px;
font-family: sans;
}

Tím je celá vaše phishingová past hotová, nyní můžete nic netušícím uživatelům podstrčit adresu této stránky s „úžasnou webovou adventurou“ třeba prostřednictvím nějakého diskusního fóra. Přes Facebook ji neposílejte, ten obsahuje bezpečnostní nástroje, které odkaz automaticky proskenují, obsah označí jako škodlivý a zablokují jeho odeslání. Tuto ochranu nelze obejít ani přesměrováním přes zkracovače url adres, jakými jsou např. goo.gl nebo bit.ly. Řešením by mohlo být vytvoření úvodní stránky s nutností přepsat captchu, nebo jinak zamezit (Kolik je 2+5?) botům v přístupu k samotné phishingové pasti.

Falešný e-mail

Odeslat e-mail s podvrženou hlavičkou, který na první pohled vypadá jako od jiného odesilatele, který ho ve skutečnosti vůbec neodeslal, je celkem jednoduché. Lze to provést hned několika způsoby, např. pomocí Telnetu, utility sendEmail nebo skrze PHP skript. Nejjednodušší variantou je využít hotového webového maileru, jakých je možné na internetu nalézt celou řadu.

Tento způsob byl zhruba před 10 lety velmi efektivní a jeho účinnost byla vysoká. Dnes však již ty nejčastěji používané e-mailové služby, jako Gmail apod., e-maily odeslané z takových mailerů odfiltrují jako spam. Proto jsem vás také nezatěžoval postupem odesílání e-mailu pomocí utility sendEmail, nebo programováním vlastního PHP maileru, přestože je obojí velice jednoduché. Řešením by mohlo být použití vlastního SMTP serveru, postup na jeho zprovoznění sice již přesahuje téma tohoto článku.

Pro dnešek je to vše, obrana je v tomto případě myslím více než jasná – nezadávat přihlašovací údaje do žádných formulářů mimo originální stránku a před přihlášením raději vždy pečlivě zkontrolovat správnost url adresy. Máte-li nějaký dotaz, můžete se na mě obrátit prostřednictvím e-mailu, nebo ho zveřejnit v diskuzi.

Našli jste v článku chybu?

30. 12. 2014 13:46

Karel (neregistrovaný)

Také jsem rád, že tu nebydlíte.

30. 12. 2014 0:44

Jan33 (neregistrovaný)

Poznej svého nepřítele. Nejprve musím vědět jak se to dělá, pak se můžu bránit. Naznačení vektorů útoku je také mimořádně užitečné pro obranu. Já jsem za článek rád. Jen tak dál!

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu