Phishing és spam Magyarországon és a világban Krasznay Csaba Kancellár.hu Kft.

Az előadás célja A kéretlen levelek számos aspektusával foglalkozhatnánk: Jogi kérdések Védelmi megoldások Címgyűjtési technikák A szűrési megoldásokkal kapcsolatos tapasztalatok Azonban nagyon ritkán beszélünk arról, hogy a spamek kitől származnak, és hogyan jutnak el hozzánk. Előadásom célja, hogy ezt az útvonalat felvázoljam. Figyelem! Aki mélyen műszaki dolgokra vágyik, hallgassa meg utánam Nemes Dani előadását!

Mennyire rossz a helyzet? Iparági statisztikák szerint az összes elküldött kb. 40%-a minősül kéretlennek. Ez naponta 10 milliárd kéretlen levelet jelent. Ami felhasználónként átlagosan 2200 spam. Hála a spamvédelmi technikáknak, ezen levelek nagy részével nem találkozunk. Vajon ez az internet teljes sávszélességének hány százalékát jelentheti?

A spamek aránya az forgalomban Forrás: Symantec, The State of Spam – August 2007

A kéretlen levelek típusai Termékekkel kapcsolatos levelek: általános termékeket és szolgáltatásokat kínáló üzenetek. Például órák, ékszerek, befektetési szolgáltatások. Felnőtteknek szóló levelek: olyan termékek vagy szolgáltatások, melyek felnőtt személyeknek szólnak, pornográf jellegük miatt különösen zavaróak. Például pornográf oldalak hirdetései, személyes hirdetések, társkereső szolgáltatások hirdetései. Üzleti levelek: olyan kéretlen levelek, melyek pénzzel, tipikusan tőzsdei, vagy más üzleti befektetéssel kapcsolatosak. Például tőzsdei levelek, kölcsönök, jelzálogok hirdetései.

A kéretlen levelek típusai Csalások: olyan levelek, melyek valamilyen széleskörű csalásba próbálják bevonni az áldozatot. Például ilyenek a nigériai levelek, a piramisjátékok hirdetései, a lánclevelek. Egészséggel kapcsolatos levelek: gyógyászati termékek és szolgáltatások hirdetései. Például ide sorolhatjuk az impotencia elleni szerek, nyugtatók, gyógynövények reklámozását. Megtévesztő levelek: a levél látszólag egy jól ismert vállalattól érkezik. Ismert még phishing, azaz adathalász támadásként is, melynek során az áldozat címét, felhasználónevét, és mindenekelőtt a jelszavát próbálják megtudni. Például online banki és árverési oldalak figyelmeztetései.

A kéretlen levelek típusai Szabadidővel kapcsolatos levelek: díjakkal, nyereményekkel, nyerési lehetőségekkel csábító üzenetek. Például online kaszinók hirdetései, nyaralási ajánlatok. Internettel kapcsolatos levelek: internetes vagy más számítógéppel kapcsolatos termékek és szolgáltatások hirdetései. Például webhostolás, web design, szoftverek. Politikai levelek: ilyenek egy jelölt vagy párt hirdetése kampányidőszakban. Például szavazatszerző, anyagi támogatást kérő levelek. Spirituális levelek: egyházi, spirituális közösségek kéretlen hirdetései. Például tagtoborzás, asztrológiai hirdetések.

A kéretlen levelek típusai Forrás: Symantec, The State of Spam – August 2007

Tőzsdei csalások A tőzsdei spamekről a kívülálló azt hihetné, hogy a hirdetett cég áll mögötte. Valójában: A támadó részvényeket szerez a vállalatnál; A támadók hozzáférést szereznek olyan számítógépekhez, melyről a tőzsdei rendszerek elérhetők (trójai programok, phishing, stb.); A mit sem sejtő vállalat kiad egy átlagos közleményt; A támadó a megszerzett azonosítókon keresztül elkezd vásárolni – más pénzén; Elkezdődik a spamáradat az eredeti közlemény „felturbózott” változatával; A tömeg is elkezd vásárolni, amire a cég kiad egy közleményt a csalásról; A cég részvénye a támadás előtti szint alá süllyed, mindenki rosszul jár, kivéve a támadót, aki a magas árfolyamon már eladott.

Tőzsdei csalások

A tőzsdefelügyeletek megpróbálnak az ilyen csalások ellen tenni. Darrel és Jack Usleton a gyanú szerint 4,6 millió $-t nyert ilyen csalásokkal. Jelenleg őrizetben vannak, miután a SEC egyik jogászának is küldtek csalárd e- mailt. Jaisankar Marimuthu, Chockalingam Ramanathan és Thirugnanam Ramanathan 125 ezer $-t keresett, és közel 1 millió $ kárt okozott a csalásokkal. Akár 25 évet is kaphatnak. Ezek az esetek is bizonyítják, hogy hatalmas pénzeket lehet keresni a spameken keresztül.

Termékhamisítások Idézet az Európai Bizottság október 11-én kelt sajtóközleményéből: „2005. október 10-én az Európai Bizottság újabb konkrét lépéseket hirdetett meg a termékhamisítás leküzdésére. (…) 2004-ben ugyanis a lefoglalt hamisított áruk mennyisége soha nem látott méreteket öltött: 103 millió hamisított terméket foglaltak le, 12%-kal többet, mint az előző évben, és 1000% többet, mint 1998-ban.” Ebben jelentős szerepet játszott a másolatok kéretlen levelekben történő reklámozása és ezek webes kereskedelme.

Termékhamisítások

Idézet az oldal FAQ-jából: - Miért vegyek másolt órát az eredeti helyett? - Azért, mert anélkül keltheted a jólét látszatát, hogy több ezer dollárt kéne kifizetned. - Hogyan léphetek kapcsolatba az áruházzal? - Kattints ide, és küldj nekünk t! - Világszerte szállítanak? - Igen, kivéve Svájcot, Németországot, Koreát és Szingapúrt.

Gyógyszerreklámok Szintén prosperáló üzletág a potencianövelők és nyugtatók illegális kereskedelme. Ezeket tipikusan kínai és indiai illegális gyárakban állítják elő. Sajnos a tét nagyobb, mint a hamisított óráknál. Egy 57 éves kanadai nő bizonyíthatóan olyan gyógyszertől halt meg, amit az interneten rendelt egy hamis gyógyszereket forgalmazó oldalról. De vajon miért találtak ezekben a gyógyszerekben stronciumot, higanyt és urániumot?

Phishing levelek Az adathalászat az egyik legnagyobb publicitást kapott csalás, ami en keresztül történik. Célja olyan hitelesítési információk megszerzése, amivel különböző szolgáltatások érhetők el. Az tartalmaz egy linket, ami egy, az eredetihez megtévesztésig hasonlító weboldalra mutat. Ha a gyanútlan (na jó, alulképzett) felhasználó beírja a jelszavát, az egyből a támadóhoz jut. A támadó ezzel a megszerzett azonosítóval kárt okoz a felhasználónak, és nem mellesleg még jobban aláássa az internetbe vetett bizalmat.

Az adathalászat célpontjai Elsősorban bankokat támadnak az adathalászok. Népszerűek az online szerencsejáték oldalak is, ahol hatalmas pénzek forognak. Érdekes módon az online játékok is áldozattá váltak. Persze ne feledkezzünk meg az internetes árverési oldalakról sem. A phishing célpontja bármi lehet, ami pénzt hoz.

Forgatókönyv egy magyar adathalász támadásra Magyarország még eléggé szűz terület a phishing szempontjából, hiszen véd minket az anyanyelvünk. Persze egyeseknek érdekes befektetésnek tűnt ez a kis ország. Úgyhogy írtak egy gyönyörű szöveget angolul, amit egy magyar irodával lefordíttattak. Hirdetéseket adtak fel, ahol könnyű pénzt ígértek a jelentkezőknek. Feladatuk csak annyi volt, hogy nyissanak egy folyószámlát, amire pénz fog érkezni, annak egy részét megtarthatják, a többit pedig készpénzben tovább kellett utalniuk. Nem sokkal később hatalmas spamáradat indult Magyarországra.

Forgatókönyv egy magyar adathalász támadásra

Annak ellenére, hogy a levélnek se füle, se farka, Magyarországon értelmezhetetlen fogalmakat használ, a rendőrség szerint 200 felhasználó kiadta a jelszavát. Egy szerb férfit tartóztattak le, aki azt a folyószámlát nyitotta, amire az áldozatok pénzét átutalták. Állítólag 3 bankszámláról átlagosan Ft-ot emeltek le. Történt mindez úgy, hogy a magyar internetes bankok jóval hülyebiztosabbak, mint a legtöbb külföldiek.

A WoW adathalász támadás Személyes kedvencem a World of Warcraft elleni támadás. A feladat: lépjünk be egy játékos nevében a játékba. Kezdjük el árulni az áldozat nagy nehezen megszerzett karakterét/fegyverét/kincsét/varázslatát. A lusta játékosok persze vevők erre, hiszen nincs türelmük az adott szintet elérni. Így lehet egy virtuális fejszéből valós pénzt csinálni. Igen nehéz előadni a rendőrségen, hogy „ellopták a pajzsomat és sértetlenségi varázsigémet”…

Tények az adathalászatról Az Anti-Phishing Working Group tanulmánya szerint júniusban: phishing oldalt találtak, 146 céget személyesítettek meg ezek az oldalak, A támadások 80%-a 14 cég ellen irányult, A legtöbb phishing oldal az USA-ban volt, Egy oldal átlagosan 3,8 napig volt elérhető, A támadások 95,2%-a valamilyen pénzügyi szolgáltató ellen irányult.

A spamek postásai A kéretlen levelekben kínált dolgok tehát a „hagyományos” alvilágtól származnak. De kik azok, akik képesek több milliárd ilyen üzenetet kiközvetíteni? A spamhaus.org szerint ők: Alex Poljakov: az ukrán „úriembert” tartják napjaink legtöbb spamet generáló támadójának. Az interneten terjedő, nehezen ellenőrizhető információk szerint ő a felelős szinte minden jelzáloggal, gyógyszerrel, pénisznövesztővel és befektetési ajánlattal kapcsolatos kéretlen levélért. Leo Kuvajev: orosz származású, amerikai spammer ben 37 millió dolláros büntetést szabott ki rá egy amerikai bíróság, azóta szökésben van. Volt alkalmazottai szerint nincsenek gátlásai, ha pénzről van szó.

A spamek postásai Vincent Chan: kínai spammer, aki szorosan együttműködik Kuvajevvel. Elsősorban gyógyszereket reklámoznak. Russian Business Network: ezt a csoportot tartják a rosszak közül a legrosszabbnak. Mindennel foglalkoznak, ami nagyon törvénytelen (gyermekpornó, kártevők, phishing, stb.) Az Economist szerint vezetőjük egy magas rangú szentpétervári politikus unokaöccse. Amichai Inbar: az izraeli származású spammer szoros kapcsolatban áll orosz kollégáival. Több milliárd pornográf és egészségügyi spam elküldéséért felelős.

A spamek postásai Ruszlan Ibragimov: az orosz programozó nevéhez fűződik a legnépszerűbb spamküldő szoftverek megírása, gyaníthatóan több férget is ő írt, pl. a Sobig férget is hozzá kapcsolják. Övé a send-safe szolgáltatás. Michael Lindsay: a SpamHaus állítása szerint cége teljes körű domainszolgáltatást nyújt a spammereknek.

A spamek postásai A legtöbb spamküldő szerver Az USA-ban van, hiszen itt van a legtöbb olyan buta felhasználó, akinek a gépével bármit meg lehet tenni; Oroszországban van, hiszen megfelelő részesedésért a helyi nyomozószervek sok mindent elnéznek, Kínában van, amire mindkét állítás igaz lehet, de a szigorúan ellenőrzött internetre való tekintettel a spammelés akár állami jóváhagyással is történhet.

Spamküldési technikák A spamhez két dolog kell: sok számítógép és még több cím. Az előző dián felsorolt személyek rendelkeznek olyan botnetekkel, melyekkel a spamküldés egyszerű. A botnet kialakításához kell egy féreg vagy egy trójai, ami az áldozat számítógépét megfertőzi. Ezek egy hátsókaput (backdoor) nyitnak az áldozat számítógépén, amihez a spammer hozzá tud férni, irányítani tudja őket. Friss adatbázisokat tud feltölteni, és a megrendelő igényeinek megfelelő tartalmú szövegeket tud elhelyezni a levelekben.

Spamküldési technikák

Honnan szedik az címeket? Vírusok, férgek útján: régóta ismert a károkozóknak az a funkciója, hogy a megfertőzött gépen címek után kutatnak. Nyilvános forrásokból: az interneten számtalan helyen találhatók címek. Weboldalakon, Usenet oldalakon, fórumokban. Találgatással: az címek gyűjtése hasonlóan tud működni a jelszavak brute-force jellegű feltöréséhez. Ezt a támadást hívják Directory Harvest Attacknak (DHA). Emberi ráhatással: az információbiztonság leghatékonyabb támadása az emberi ráhatással (social engineering) történő támadás. Ha sok címet akarunk, akkor kérjük el. Lesz olyan, aki odaadja.

A spamek áldozatai(?) Forrás: Consumer Attitudes Toward Spam in Six Countries, Business Software Alliance

Harc a spamek ellen A műszaki megoldások egyre kifinomultabbak, de mindig csak követni tudják a támadásokat. A spamszűrők tehát hatékony és fontos eszközök, de csak tüneti kezelést nyújtanak. Mivel a kéretlen levelek túlnyomó többségét néhány tucat ember küldi, az ő letartóztatásuk megoldaná a problémák nagy részét (hacsak nem jönnek helyettük mások). Az amerikai CAN-SPAM Act vagy a magyar Elektronikus Kereskedelmi Törvény hatékony ellenszer lehet – ha használják.

Harc a spamek ellen A CAN-SPAM Act alapján először 2005-ben tartóztattak le 3 embert. Ügyükben azóta sincs ítélet. A két főkolompos, Jeffrey Kilbride és James Schaffer 20 éves börtönbüntetésre és fél millió $ bírságra számíthat. Az elrettentő erő tehát nagy lehet, de az igazságszolgáltatás nem csak Magyarországon lassú. Magyarországon a Nemzeti Hírközlési Hatóságnál lehet bejelenteni a kéretlen leveleket, elvileg ők intézkedhetnek. Egyelőre nem került nyilvánosságra olyan büntetés, ítélet vagy bármi, ami elrettentő erővel bírna.

Összefoglalás Spamet küldeni megéri, ahogy a való életben is megéri csalni. Az úgynevezett áldozatok ugyanazzal az attitűddel rendelkeznek, mint a való életben. Hagyják magukat becsapni. Amíg tehát kereslet van, addig kínálat is lesz. A spamvédelmi technikák éppen ezért csak tüneti kezelések. A valódi megoldást a hagyományos bűnüldözés jelentheti, ahogy minden más internetes támadás esetében is.

Köszönöm szépen! cím: Cégünk weboldala: Az előadás letölthető: