Dlouho jsem přemýšlel, na jaké téma se zaměřím ve třetím díle seriálu o BackTrack a Kali Linuxu, až jsem se nakonec rozhodl pro praktický úvod do techniky s libozvučným názvem phishing, jejíž podstata je z části technická a z části psychologická, a právě to je na ní tak krásné. Často totiž vůbec není nutné pracně prolamovat sofistikovaná zabezpečení počítačových systému, nepoučený uživatel se snadno chytí do nastražené pasti a přístupové údaje sám dobrovolně vydá.
Phishing se řadí do oblasti tzv. sociálního inženýrství, které v 80. letech minulého století proslavil Američan Kevin Mitnick, autor knihy Umění klamu (v orig.: The Art of Deception: Controlling the Human Element of Security). Kevin Mitnick, dnes podnikatel v oboru bezpečnostního poradenství, k průnikům do systémů nepoužíval ani tak znalosti z oblasti informačních technologii, ale spíše chytrou, účelovou manipulaci, byl to vlastně takový kouzelník, který nepřekonával samotná zabezpečení systémů, nýbrž si pohrával s myslí oprávněných uživatelů, a přesně to je kvintesencí sociálního inženýrství.
Dnes vám tedy opět na konkrétním příkladu ukážu, jak s pomocí nástroje SET a jednoduché webové stránky, která se tváří jako webová hra, nebo e-mailu s falešnou hlavičkou, vytvořit phishingovou návnadu. Pokud se vám na ni uživatel chytí, získáte přístupové údaje k jeho facebookovému účtu. V praxi je možné takovou věc využít zejména při penetračním testování, kdy bezpečně vyzkoušíte ostražitost uživatelů a poté je můžete na navazujícím školení vylekat tím, co všechno je možné takto o nich zjistit.
Ještě předtím vás však, již tradičně, musím upozornit, že veškeré tyto informace slouží pouze k edukativním účelům, autor článku ani provozovatel serveru Root.cz nenesou odpovědnost za jejich případné zneužití k protiprávnímu jednání, jakým je podle § 209 Trestního zákoníku podvod, za který může být ve velmi závažném případě uložen trest odnětí svobody až na 10 let.
SET jako Site Cloner
Ke správnému fungování vaší pasti, vytvořené pomocí nástroje SET, je nutné, aby byl váš počítač dostupný zvenčí, je tedy potřeba mít od svého poskytovatele připojení k Internetu (ISP) veřejnou IP adresu. Část z nich vám ji dnes již poskytuje automaticky, ve většině případů se však vaše stanice nachází za překladačem adres (NAT). Pokud máte nad svým routerem s natem kontrolu, můžete na něm vytvořit potřebné přesměrování portů.
# ip rou
V prvním řádku byste měli vidět default via a adresu svého routeru, u mě je to 10.0.0.138. Když nyní znáte místní IP adresu svého routeru, otevřete webový prohlížeč a zapište ji do pole pro adresu URL.
Ocitnete se s největší pravděpodobností na přihlašovací stránce, pokud jste nikdy dříve nastavení routeru neupravovali, vaše přihlašovací údaje budou nejspíše na výchozích hodnotách, což může být např. login: admin, heslo: admin, nahlédněte do manuálu ke svému routeru, nebo vygooglete frázi [značka a typ routeru] default username password. Jakmile se dostanete do nastavení, pátrejte po položce NAT a pod ní po možnosti Port Mapping. Uvidíte kolonky pro nastavení interního a externího portu (Internal Port, External Port) a interního hosta (Internal Host), oba porty tedy nastavte na hodnotu 80, neboť budeme pracovat na portu HTTP (HTTPS je na portu 443) a jako adresu interního hosta zadejte místní IP adresu počítače, na kterém poběží vaše past. Tu zjistíte v Terminálu, zadáním příkazu ip a, u zařízení (eth0, nebo wlan0 atp.), prostřednictvím něhož jste připojení k místní síti, je označena jako inet.
Když máte správně nastavené přesměrování portu, spusťte nástroj SET (menu Applications → BackTrack (nebo Kali Linux) → Exploration Tools → Social Engineering Tools → Social Engineering Toolkit) a vyberte možnost s číslem 1 (Social Engineering Attacs), pak č. 2 (Website Attack Vectors), č. 3 (Credential Harvester Attack Method) a nakonec znovu č. 2 (Site Cloner). SET vás nyní požádá o zadání IP adresy zařízení, na kterém past poběží (IP adress for the POST back in Harvester/Tabnabbing) což je vaše veřejná IP adresa, kterou zjistíte např. na stránce www.whatismyip.com.
Následně o zadání URL adresy stránky, kterou chcete naklonovat do své pasti – třeba www.facebook.com. Chvíli vyčkejte, než se obsah stránky překopíruje, a na vyzvání akci potvrďte klávesou ENTER. Pokud teď prostřednictvím svého webového prohlížeče přejdete na svoji veřejnou IP adresu, měla by se před vámi objevit přesná kopie původního webu. Tohle je vaše phishingová past.
Podsunutí falešné přihlašovací stránky uživateli
Nyní přichází na řadu ta spíše psychologická část celé techniky. Uživatele můžete do své pasti nalákat hned několika způsoby – předvedu vám dva z nich. Je možné to udělat přes stránku tvářící se jako webová hra s možností přihlásit se pomocí Facebooku a prostřednictvím e-mailu s podvrženou hlavičkou, který vypadá jako e-mail od technické podpory Facebooku.
„Web-based adventura“
Nejprve si musíte zřídit vlastní webhostingový prostor pro zveřejnění vaší fiktivní internetové stránky, můžete tak učinit zdarma třeba na adrese www.000webhost.com. Je to velmi jednoduché, stačí vám k tomu platný e-mail a vyplnění krátkého registračního formuláře. Ke svému prostoru pak můžete přistupovat pomocí služby FTP nebo prostřednictvím webového rozhraní. Až budete mít svůj webhostingový prostor, vytvořte v něm složku src a nahrajte do ní logo nějaké fiktivní hry. To buď sami vytvořte, nebo někde stáhněte. Dále najděte obrázek pro tlačítko „Přihlásit se pomocí Facebooku“, takových se na internetu povaluje spousta, jak se můžete sami přesvědčit pomocí vyhledávače obrázků od Googlu. Vedle složky src pak vytvořte soubor index.html s následujícím obsahem:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"> <html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8" /> <title>[NÁZEV HRY] : Web-Based Adventure Game</title> <link rel="stylesheet" href="style.css"> </head> <body> <div id="head"> <p><img src="src/logo.png" alt=""></p> </div> <div id="main"> <p> [NÁZEV HRY] je adventura, běžící kompletně ve vašem internetovém prohlížeči, zahrajete si jí tedy na jakékoliv platformě a bez nutnosti cokoliv stahovat nebo instalovat. Ocitnete se v blízké budoucnosti ve fiktivním českém městě Boudov, kde v roli čerstvě suspendovaného policisty na vlastní pěst pátráte po stopách sériového vraha a postupně se vám odkrývá i vaše vlastní minulost. <br> Veškerý herní postup navíc můžete snadno sdílet na svém facebookovém profilu. </p> </div> <div id="bottom"> <p><strong>Verze hry: 1.0 Beta</strong></p> <p><a href="[VAŠE VEŘEJNÁ IP ADRESA]" target="_blank"><img src="src/login_button.png" alt="Přihlásit se pomocí Facebooku"></a></p> <p id="copyright">Copyright 2014 [NÁZEV HRY] Team</p> </div> </body> </html>
Přidejte ještě soubor kaskádového stylu style.css obsahující:
p {
font-size: 16px;
font-family: sans;
}
#head {
margin-top: 8%;
margin-left: 20%;
text-align: center;
width: 60%;
}
#main {
margin-top: 3%;
margin-left: 21%;
width: 60%;
}
#bottom {
margin-top: 2%;
margin-left: 20%;
text-align: center;
width: 60%;
}
#copyright {
font-size: 12px;
font-family: sans;
}
Tím je celá vaše phishingová past hotová, nyní můžete nic netušícím uživatelům podstrčit adresu této stránky s „úžasnou webovou adventurou“ třeba prostřednictvím nějakého diskusního fóra. Přes Facebook ji neposílejte, ten obsahuje bezpečnostní nástroje, které odkaz automaticky proskenují, obsah označí jako škodlivý a zablokují jeho odeslání. Tuto ochranu nelze obejít ani přesměrováním přes zkracovače url adres, jakými jsou např. goo.gl nebo bit.ly. Řešením by mohlo být vytvoření úvodní stránky s nutností přepsat captchu, nebo jinak zamezit (Kolik je 2+5?) botům v přístupu k samotné phishingové pasti.
Falešný e-mail
Odeslat e-mail s podvrženou hlavičkou, který na první pohled vypadá jako od jiného odesilatele, který ho ve skutečnosti vůbec neodeslal, je celkem jednoduché. Lze to provést hned několika způsoby, např. pomocí Telnetu, utility sendEmail nebo skrze PHP skript. Nejjednodušší variantou je využít hotového webového maileru, jakých je možné na internetu nalézt celou řadu.
Tento způsob byl zhruba před 10 lety velmi efektivní a jeho účinnost byla vysoká. Dnes však již ty nejčastěji používané e-mailové služby, jako Gmail apod., e-maily odeslané z takových mailerů odfiltrují jako spam. Proto jsem vás také nezatěžoval postupem odesílání e-mailu pomocí utility sendEmail, nebo programováním vlastního PHP maileru, přestože je obojí velice jednoduché. Řešením by mohlo být použití vlastního SMTP serveru, postup na jeho zprovoznění sice již přesahuje téma tohoto článku.
Pro dnešek je to vše, obrana je v tomto případě myslím více než jasná – nezadávat přihlašovací údaje do žádných formulářů mimo originální stránku a před přihlášením raději vždy pečlivě zkontrolovat správnost url adresy. Máte-li nějaký dotaz, můžete se na mě obrátit prostřednictvím e-mailu, nebo ho zveřejnit v diskuzi.
