Техника фишинга.
Цель работы: Ознакомиться с некоторыми методами фишинга и способами защиты от них.
Краткие теоретические сведения:
Технологии Web-жульничества весьма разнообразны; они основаны на использовании находящихся в публичном доступе прототипов кода, называемых полным разоблачением (full disclosure) и предоставляемых исследователями в области безопасности. Протокол HTTP не такой уязвимый, как SMTP, но ему не достает стандартизации. К тому же он используется различными браузерами, такими как FireFox, Internet Explorer и Safari. Но проблема не обязательно заключается в свойствах HTTP, она может состоять в уязвимости определенных браузеров и Web-сайтов, которые открывают возможности для атаки, и в непонимании гибкости унифицированных ресурсных указателей (URL) и их простейших модификаций. Например, для невооруженного взгляда URL http://www.southstrustbankonline.com в окне браузера может легко сойти за настоящий Web-сайт банка «Sauthtrust». Такой адрес называют «пушистым» доменом (fuzzy domain) или похожим доменом (look-alike domain). Возможность такой подделки не вызвана недостатками HTTP или браузера - такая подделка апеллирует к невнимательности пользователя к мелочам.
Этот URL-домен отличается от настоящего домена (http://www.southtrustbankonline.com) всего одной лишней буквой «s» (southstrust).
Еще один способ, применяемый в числе первых уловок, обманывающих глаз, содержит особенности семантики URL.
Приведем простой пример: http://www.citibank.com@www.google.com. Web-браузер воспримет только правую часть адреса и перейдет на страницу Google. В большинстве случаев символ @ воспринимается браузером как разделитель между именем пользователя и паролем. Такой формат имеет примерно следующую структуру: протокол:[//][имя пользователя- [:пароль]@]хост[/ресурс], и мы часто видим пример, пользуясь такими протоколами, как FTP. FTP-логин в браузере может иметь следующий вид: ftp://имя:пароль@ftр.site.com. Чтобы еще больше запутать пользователя, фишер усложняет URL, приводя его к малопонятному виду.
Например, ресурс google.com имеет IP-адрес 209.85.143.99. Первоначально IP-адрес представлен в формате dotted-quad, который состоит из четырех 8-битных чисел в десятичном формате, разделенных точками, например, 123.45.67.89. Эта система чисел, разделенных точками, отражает иерархию сети. Браузер воспринимает IP-адрес и в других форматах, например в виде десятичной записи 32-битного числа. Чтобы преобразовать IP-адрес из формата с точками в обычный десятичный формат, нужно проделать следующие вычисления: ((209∙256+85)∙256+143)∙256+99 = 3512045411
Теперь, если ввести в браузер адрес http:// 3512045411, мы попадем на http://google.com. На google.com можно попасть и введя адрес http://www.citibank.com@ 3512045411. Для обмана пользователей браузера Internet Explorer мы можем заменить символ @ на его ASCII код в шестнадцатеричном представлении (его можно посмотреть на сайте http:// lookuptables.com). Код символа @ - 40. В адресной строке мы должны поместить символ %, чтобы указать на использование шестнадцатеричного кода. Это называется URL-кодировкой, и это то, что браузер использует, для того чтобы сконструировать URL, выполняя запрос, содержащий переменные формы. Если поле формы содержит символы, которые нельзя отобразить в строке или специальные ASCII-символы, такие как? или =, браузер заменит их на соответствующие коды: %3F или %3D.
Теперь наш адрес будет выглядеть весьма убедительно для невнимательного взгляда: http:// www.citibank.com%403512045411.
Ход работы:
- Выяснить, куда ведет следующая фишинговая ссылка и пояснить, как она сформирована (можно использовать сервис-анонимайзер, например cameleo.ru) -http://ya.ru@1054164960/%73%65%61%72%63%68/?%71=%50%48%69%73%68%69%4E%67.
- Описать любую технику фишинга.
Содержание отчета
1. Цель работы
2. Анализ ссылки из задания
3. Описание техники.
4. Выводы.
Контрольные вопросы
- Что такое фишинг?
- Какие технологии используются при фишинге?.
- Какие фишерские техники существуют?
- Средства и методы защиты от фишинга.