Hvordan fungerer phishing og pharming?

Phishing har vi hørt om en stund, mens pharming er av nyere dato. Er dette egentlig helt nye fenomener, selv om navnene er nye? Og hvordan fungerer disse sikkerhetsangrepene?

Publisert Sist oppdatert

Phishing er rett og slett forsøk på å få tak i personlig informasjon som siden kan brukes til å svindle oss økonomisk, en form for identitetstyveri. I prinsippet er dette noe vi har hatt lenge i samfunnet, det nye er at Internett brukes til å utføre slike snedige knep.

Grunnlaget for det hele omtales ofte som social engineering. Tidligere ble dette utført ved at man ble oppringt per telefon av en person som påsto vedkommende jobbet i supportavdelingen eller likende. Du kunne for eksempel bli bedt om å oppgi brukernavn og passord fordi man skulle utføre noe vedlikeholdsarbeid på kontoene.

I forbindelse med phishing foregår dette over nettverket. Det dukker for eksempel opp et pop-up på PCen din, og du blir bedt om å skrive inn dine kontoopplysninger. Disse opplysningene blir så overført til en hacker, og ikke til den tjenermaskinen du trodde. Opplysningene kan hackeren deretter bruke til svindel på en eller annen måte.

Ordet phishing er som vi skjønner avledet av fisking, man fisker etter personlige opplysninger. Fenomenet sies å ha oppstått på midten av 1990-tallet i forbindelse med at hackere forsøkte å få tilgang til ulike brukerkontoer hos en ISP. I dag er dette blomstret opp igjen i forbindelse med e-handel og nettbank.

Slik virker det

Den vanligste måten dette fungerer på er at man mottar en e-postmelding fra en nettbutikk for eksempel. Denne meldingen ser tilsynelatende ut til å komme fra en velkjent avsender, men kommer altså egentlig fra en hacker. Se figur 1.

Man blir typisk bedt om å bekrefte sin kontoinformasjon ved å klikke på en lenke (URL). Man blir da ledet til et nettsted som er en tro kopi av nettbutikken (i dette tilfellet), og kan taste inn sine data.

Teksten i e-posten vil typisk gi uttrykk for at det haster å gjøre dette. Den truer for eksempel med at kontoen din blir slettet dersom du ikke gjør dette innen en viss tidsfrist. Nå er etter hvert dette blitt en mer kjent taktikk, så det er ikke sikkert fiskeren bruker akkurat denne metoden i dag.

En annen smart argumentasjon som teksten kan benytte, er at butikken takker for en handel som du naturlig nok vet utmerket godt at du ikke har gjort. Man kan da fort bli ivrig etter å unngå å måtte betale for denne påståtte handelen, og man ender opp med å oppgi den personlige kontoinformasjonen til fiskeren.

For mange PC-brukere er Internett en nokså uforståelig verden. Når man plutselig blir bedt om å oppgi slike data, er det fort gjort å gå på limpinnen. Da phishing var nytt, var også brukerne mindre på vakt mot slik lureri. Mange brukere er mer skeptiske av natur og derfor ikke like enkle å lure.

Hackernes tekniske kyndighet har også økt med årene. De setter sammen de ulike triksene på nye måter. Og de utveksler metodene seg imellom i hackermiljøet. I dette tilfellet er det også snakk om økonomisk vinning, så motivasjonen for nettopp phishing er naturlig nok tilstede.

Under overflaten

Hvordan er det egentlig mulig å få en e-postmelding til å se ekte ut? Dette har sammenheng med svakhetene i e-postsystemet. For det første blir gjerne phishing e-post sendt ut på samme måte som spam. Dermed blir det vanskelig å avsløre hvem denne egentlig kommer fra. Den kan for eksempel sendes via en zombie-PC som er under kontroll av en hacker.

Avsenderadressen som avleses hos mottakeren kan trikses med på ulike måter. Noen e-postklienter viser frem Ola Nilsen når meldingen kommer fra ola.nilsen@banken.no. Dette kan utnyttes til å se ut som at meldingen kommer fra Banken når den kommer fra hacker@tricks.com.

URLen man skal klikke på i e-posten kan også maskeres på ulike måter. Hackeren kan benytte domenenavn som er tilnærmet likt med banken/butikken sitt. URLen kan også oppgis i heksadesimalt format slik at den er uforståelig for brukeren.

Mange e-postmeldinger sendes også i HTML-format. I dette tilfellet kan navnet vises fram på skjermen avvike totalt fra URLen som ligger bak dette (Anchor-taggen). Også grafiske bilder kan brukes for å skjule den egentlige URLen. I alle tilfeller henvises «fisken» til et nettsted som ser ut som en autentisk bank/butikk.

Denne vanligste formen for phishing fungerer uten å gjøre noen form for innbrudd på brukerens maskin, er derfor ikke så krevende å gjennomføre. Men ettersom disse metodene blir mer kjent, vil nytteverdien av disse minke for en hacker.

Det er også mulig å kombinere mer direkte hacking med phishing. En meget snedig metode som benytter et sikkerhetshull i en populær nettleser, lager rammeløse pop-up vinduer som kan legges pent og pyntelig rett over statuslinja til nettleseren og skjule denne med passende grafikk. (Har du passet på å oppdatere programvaren på PCen din i det siste?)

Hackerne kan også lure seg til å installere spionprogramvare på PCen din. Denne kan utføre sjekking av hvilke URLer du kontakter og starte phishing-angrep når du er i ferd med å logge deg på nettopp den banken hackeren imiterer. Da er det ikke enkelt for brukeren å oppdage at han er i ferd med å bli fisket!

Pharming

En stor del av jobben med å utføre phishing-angrep er den som utføres på forhånd. Hackerne må vite at man virkelig har et kundeforhold for at henvendelsen til brukeren skal se så ekte ut at man ikke lukter lunta. Denne formen for phishing er en form for nålestikksangrep.

En nyere metodikk som kalles pharming kan kombineres med phishing for å høste inn et større antall intetanende brukere. Pharming er egentlig en eldre teknikk som før har gått under betegnelsen DNS-forgiftning.

Når men adresserer seg mot en Web-tjener, benytter man i utgangspunktet navnet (URLen) til denne. Ved hjelp av DNS-protokollen sender klientmaskinen først en forespørsel til en navnetjener for å få navnet oversatt til IP-adressen til Web-tjeneren. Deretter kan klienten kontakte selve Web-tjeneren.

Ved å forfalske svaret som overføres med DNS-protokollen, kan en hacker henvise kunden til den falske Web-tjeneren. Én måte å gjøre dette på er dersom man har tilgang til nettet hvor DNS-protokollen passerer, så kan man avlytte spørremeldingen og sende en falsk svarmelding.

Det er ikke alltid man har så enkel tilgang til protokollene som overføres. Et avstandangrep kan utføres ved at hackeren selv sender en DNS-forespørsel til en navnetjener hos en ISP. Denne navnetjeneren vil deretter spørre videre mot eksterne navnetjeneren for å kunne utføre navneoppslaget. Hackeren kan da sende falske svar til ISPens navnetjener som ankommer før det ekte svaret. Se figur 2.

Slike data blir cachet i navnetjeneren, og hackerne har oppnådd å «forgifte» cachen med ønsket informasjon. Ved å kombinere slik navnetjenerforgiftning med en falsk Web-tjener, kan hackeren utføre phishing mot en mengde brukere som benytter denne navnetjeneren.

Vanskeligheten med slike avstandsangrep mot lokale navnetjeneren er å gjette parameterverdiene i spørremeldingene for å klare å lage falske svarmeldinger som navnetjeneren vil godta. Men det finnes oppskrifter på dette som kan fungere mot mer naive navnetjenere.

Mottiltak

Mottiltak mot phishing kan typisk foregå både på brukernivå og på systemnivå. Brukerne må læres opp til å ha en sunn skepsis. Særlig påhviler det nettbanker og nettbutikker et ansvar å gjøre kundene oppmerksomme på sine rutiner. Man ber aldri kundene sine om å oppgi slike personlige opplysninger over nettet.

Man kan også unngå å klikke på lenker man mottar i e-postmeldinger ved å skrive disse inn for hånd i nettleseren. Dermed forbigår man mer eller mindre skjulte triks som hackere kan bruke. Man kan sjekke at man er koblet opp med sikker kommunikasjon (SSL/TLS) ved å se etter hengelåsen på statuslinja. Og man kan sjekke sertifikatet for kommunikasjonen ved å klikke på hengelåsen.

Og som alle andre sikkerhetsforhold ved bruker-PCer: Disse må holdes oppdatert med patcher fra programvareleverandøren. Og man må ha installert, aktivert og oppdatert antivirus og personlig brannmur.

På systemnivå kan man benytte to-faktor autentisering. Dette vil vanligvis baseres på noe man vet og noe man har. Noe man vet kan avsløres ved phishing (passord eller PIN-kode for eksempel). Men dersom autentiseringen også forutsetter noe man har (passordkalkulator for eksempel), vil en hacker ikke kunne nyttiggjøre seg de dataene han har fått tak i likevel.

Kontinuerlig overvåkning av sikkerhetssituasjonen på Internett for raskest mulig å oppdage nye angrepstyper, kan skjerme brukerne mot disse ved å varsle eller å oppdatere sikkerhetsprogramvaren. Arbeidet til sikkerhetsorganisasjonen antiphishing.org er spesielt interessant for denne problemstillingen.

Identitetstyveri kan føre til økonomisk tap, og ikke minst kan det være en omfattende jobb å rydde opp etter all ugangen dette medfører. Det er ikke sikkert det er så enkelt å gjenopprette tilliten i sine kundeforhold etterpå.