Лабораторная работа №8

Техника фишинга.

Цель работы: Ознакомиться с некоторыми методами фишинга и способами защиты от них.

Краткие теоретические сведения:

Технологии Web-жульничества весьма разнообразны; они основаны на использовании находящихся в публичном доступе прототипов кода, называемых полным разоблачением (full disclosure) и предоставляемых исследователями в области безопасности. Протокол HTTP не такой уязвимый, как SMTP, но ему не достает стандартизации. К тому же он используется различными браузерами, такими как FireFox, Internet Explorer и Safari. Но проблема не обязательно заключается в свойствах HTTP, она может состоять в уязвимости определенных браузеров и Web-сайтов, которые открывают возможности для атаки, и в непонимании гибкости унифицированных ресурсных указателей (URL) и их простейших модификаций. Например, для невооруженного взгляда URL http://www.southstrustbankonline.com в окне браузера может легко сойти за настоящий Web-сайт банка «Sauthtrust». Такой адрес называют «пушистым» доменом (fuzzy domain) или похожим доменом (look-alike domain). Возможность такой подделки не вызвана недостатками HTTP или браузера - такая подделка апеллирует к невнимательности пользователя к мелочам.

Этот URL-домен отличается от настоящего домена (http://www.southtrustbankonline.com) всего одной лишней буквой «s» (southstrust).

Еще один способ, применяемый в числе первых уловок, обманывающих глаз, содержит особенности семантики URL.

Приведем простой пример: http://www.citibank.com@www.google.com. Web-браузер воспримет только правую часть адреса и перейдет на страницу Google. В большинстве случаев символ @ воспринимается браузером как разделитель между именем пользователя и паролем. Такой формат имеет примерно следующую структуру: протокол:[//][имя пользователя- [:пароль]@]хост[/ресурс], и мы часто видим пример, пользуясь такими протоколами, как FTP. FTP-логин в браузере может иметь следующий вид: ftp://имя:пароль@ftр.site.com. Чтобы еще больше запутать пользователя, фишер усложняет URL, приводя его к малопонятному виду.

Например, ресурс google.com имеет IP-адрес 209.85.143.99. Первоначально IP-адрес представлен в формате dotted-quad, который состоит из четырех 8-битных чисел в десятичном формате, разделенных точками, например, 123.45.67.89. Эта система чисел, разделенных точками, отражает иерархию сети. Браузер воспринимает IP-адрес и в других форматах, например в виде десятичной записи 32-битного числа. Чтобы преобразовать IP-адрес из формата с точками в обычный десятичный формат, нужно проделать следующие вычисления: ((209∙256+85)∙256+143)∙256+99 = 3512045411

Теперь, если ввести в браузер адрес http:// 3512045411, мы попадем на http://google.com. На google.com можно попасть и введя адрес http://www.citibank.com@ 3512045411. Для обмана пользователей браузера Internet Explorer мы можем заменить символ @ на его ASCII код в шестнадцатеричном представлении (его можно посмотреть на сайте http:// lookuptables.com). Код символа @ - 40. В адресной строке мы должны поместить символ %, чтобы указать на использование шестнадцатеричного кода. Это называется URL-кодировкой, и это то, что браузер использует, для того чтобы сконструировать URL, выполняя запрос, содержащий переменные формы. Если поле формы содержит символы, которые нельзя отобразить в строке или специальные ASCII-символы, такие как? или =, браузер заменит их на соответствующие коды: %3F или %3D.

Теперь наш адрес будет выглядеть весьма убедительно для невнимательного взгляда: http:// www.citibank.com%403512045411.

Ход работы:

1. Выяснить, куда ведет следующая фишинговая ссылка и пояснить, как она сформирована (можно использовать сервис-анонимайзер, например cameleo.ru) -http://ya.ru@1054164960/%73%65%61%72%63%68/?%71=%50%48%69%73%68%69%4E%67.
2. Описать любую технику фишинга.

Содержание отчета

1. Цель работы

2. Анализ ссылки из задания

3. Описание техники.

4. Выводы.

Контрольные вопросы

1. Что такое фишинг?
2. Какие технологии используются при фишинге?.
3. Какие фишерские техники существуют?
4. Средства и методы защиты от фишинга.