- Published on
Adathalászat a gyakorlatban
- Authors
- Name
- Bartók Dániel
Két alapozó bejegyzésben számos példán keresztül megnéztük az adathalászat alapjait, amelyekkel elég jól tudunk már védekezni egy-egy ilyen próbálkozás alkalmával. A mai alkalommal két programot mutatnék be a gyakorlatban, amellyel egy picit a támadó nézőpontjából is megnézzük a történéseket.
A haladó bejegyzés megértéséhez szükséges előképzettség:
Az alábbi bejegyzések ismerete:
Unix eszközök:
Terminál
Konténert futtató alkalmazás (pl. Docker)
A bemutatott eszközök:
Mielőtt belevágunk, azt szeretném leszögezni, hogy ez a bejegyzés csak szemléltetni szeretné az adathalászatot a gyakorlatban. Bár lépésenként bemutatom mindkét program használatát nagyon szépen kérem mindenkitől, hogy az itt megszerzett tudást senki ne használja fel rossz dolgokra. Minden ilyet teljes mértékben elítélek és semmilyen formában nem járulok hozzá! Egy barátom szokott példálózni a késsel, miszerint csak a szándéktól függ, azzal az eszközzel életet mentenek vagy éppen ellenkezőleg, elvesznek vele. Mi legyünk azok, akik az előbbit teszik!
Adathalász weboldal a gyakorlatban, Zphiser
Az első alapozó bejegyzésben volt egy ábra, amely a legáltalánosabb adathalász próbálkozást mutatta be. Itt volt szó arról, amikor a levélben rákattintunk egy linkre és az átirányít egy adathalász weboldalra, amely megszólalásig hasonlít az eredetire. A Zphiser
program pontosan ezt tudja. Számos weboldal bejelentkező oldalát képes megjeleníteni és amikor itt megadjuk adatainkat, akkor azokat elmenti. A programot oktatási célokkal készítették, majd szabadon elérhetővé tették, én is ebben a szellemiségben mutatom most be. Nézzük tehát pontosan, hogyan is működik.
A programot többféleképpen is elindíthatjuk, én most terminálból fogom konténerként. Ehhez a terminálon felül szükségünk van egy konténert futtató alkalmazásra, ami esetemben a docker
lesz.
Az indítás a következő paranccsal történik:
docker run --rm -it --network=host htrtech/zphisher
Ezek után telepíti a még szükséges csomagokat és ellenőrzi az internet hozzáférést. Amikor minden készen áll, kapunk egy interaktív ablakot, ahol 35 szolgáltatás közül válaszhatjuk ki, melyiket szeretnénk csaliként felhasználni.
Most a Facebook-ot választottam, de mivel több bejelentkezési oldalt is használ, ezért még ezek közül ki kell választanunk egyet. Használhatjuk a hagyományos bejelentkező felületet, a Messenger-ét, egy biztonsági oldalt vagy egy szavazóst is. A példában az első opciót nézzük meg.
Ezután dönthetünk úgy, hogy valamelyik port továbbító szolgáltatást szeretnénk igénybe venni. Ahogy olvastam régebben a Cloudflared és a LocalXpose is működött. Ezek használatával szinte bármilyen internetes címet adhatunk az adathalász oldalunknak, amit egyből elérhetővé is tesznek az interneten. Sajnos az elején sokan rossz dolgokra használták fel a programot, szerencsére ma már mindkét szolgáltató szűri ezeket a próbálkozásokat. Amennyiben egy ilyen címre kattintanánk, akkor a legtöbb esetben fel is hívja a figyelmünket, hogy ez egy adathalász weboldal, ne adjunk meg semmilyen adatot. Most a példa kedvéért használjuk a Localhost-ot, ez azt jelenti, hogy csak a saját számítógépünkön lesz elérhető a program által létrehozott weboldal. Ezután adhatunk meg egyedi port-ot, most az alapértelmezettet fogjuk használni. Miután mindent beállítottunk, elindul az adathalász weboldal.
Nyissunk egy böngészőt és írjuk be a címet, mely esetemben a http://localhost:8080
lesz. A weblap megszólalásig hasonlít a Facebook bejelentkező oldalára, nekünk egyetlen gyanús dolog tűnhet fel, az a magyar nyelv hiánya.
Nézzük tehát mi történik, amikor egy gyanútlan áldozat bekapja a csalit és megadja fiókja adatait, majd rákattint a bejelentkező gombra. A program elmenti az áldozat IP címét és bejelentkezési adatait. Továbbá a gombra kattintva valóban tovább irányít a valódi Facebook oldalra, így az áldozat lehet rá sem jön, hogyan járt, csak amikor már késő.
Bár ez csak egy szemléltető példa, a gyakorlatban a támadók pontosan ugyanígy próbálják megszerezni érzékeny adatainkat. Mindig legyünk résen és alkalmazzuk az eddig tanultakat!
URL rövidítő szolgáltatás a gyakorlatban, Grabify
Második gyakorlati anyagunk is sokat szerepelt az elméleti bejegyzésekben. Emlékezzünk vissza, a legtöbb olyan adathalász próbálkozás, amely tartalmazott linket
, valamilyen URL rövidítő szolgáltatást
használt. A támadók előszeretettel kihasználják két funkcióját is. Az egyik, hogy így ránézésre nem lehet megállapítani, hova fog a link átirányítani. A másik pedig, számos dolog kiderülhet az áldozatról és az általa használt eszközről, amelyet egy későbbi célzott adathalász próbálkozás alkalmával felhasználhatnak. Nézzük, hogyan is zajlik mindez a gyakorlatban.
A Grabify
URL rövidítő szolgáltatását nézzük meg közelebbről. Beírva a címet a böngészőbe, a lenti képen látható oldal fogad.
Megadhatunk egy weboldal címet amire szeretnénk rövid linket készíttetni, vagy ha már van ilyenünk akkor a nyomon követési kódot. Most az előbbit szeretnénk, így adjuk meg a Facebook teljes címét, majd kattintsunk a Create URL
gombra a létrehozáshoz. Ezek után még el kell fogadnunk a szolgáltatási feltételeket és az adatvédelmi szabályzatot. Azt csak halkan jegyzem meg, hogy természetesen itt le van írva, senki ne használja rossz dolgokra a szolgáltatást, de nem hiszem, ez bárkit is megállítana. Fogadjuk el a szabályzatokat az I Agree & Create URL
gombbal. A következő oldalon személyre szabhatjuk a linket. Megadhatjuk a domain nevét, fájl kiterjesztést, mit tartalmazzon a cím és a paramétert is. Mivel úgy is nyakunkon a karácsony és az emberek ilyenkor jobban adakoznak, mint az év többi részében, ennek mentén készítünk egy olyan egyedi címet, amelynek a nevében szerepel a charity (adakozás) szó és egy dokumentum hivatkozásra mutat.
A végső cím a következő lett: https://bank.charity/charity.php?document=D96172.docx
. Ezt simán belerakhatnánk egy adakozásról szóló levélbe, sajnos biztosan lenne olyan, aki rákattintana. Miután ezzel megvagyunk az összesítő oldalon látjuk az eredeti, az általunk létrehozott URL-t és a követési kódot.
Ezek után már csak annyi van hátra, hogy valaki rákattintson a linkre. Miután ez megtörtént, nézzük mennyi minden derül ki a potenciális áldozatról. Látszik a kattintás időpontja, az IP címe (ezt most kitakartam), a szolgáltató, egy hozzávetőleges helyszín és a használt böngésző kliens.
Viszont ez még csak a jéghegy csúcsa, a további információknál például azt is látjuk hány százalékon volt a készüléke, töltőn volt-e, álló vagy fekvő módban használta, az időzóna, beállított nyelv, inkognitó ablak- reklámblokkoló használata, kijelző mérete, felbontása, sötét/világos téma, GPU típusa, böngésző, operációs rendszer, eszköz pontos neve és ezen felül még számos dolog. Mindez abból, hogy valaki rákattintott egy linkre!
Jól szemlélteti mindkét gyakorlati példa, miért is érdemes nagyon körültekintően eljárni minden esetben, amikor úgy gondoljuk, hogy adathalász próbálkozással állunk szemben!
Remélem az elmúlt hét bejegyzései a témában mankóként tudnak szolgálni, hogy minél több ilyen próbálkozást hatékonyan ki tudjunk szűrni. Amennyiben mégsem vagyunk biztosak egy-egy ilyen esetnél, bátran keressetek meg valamelyik megadott elérhetőségen keresztül!