ITEK og Dansk Industris antiphishingvejledning Foreløbig udgave

Transkript

1 ITEK og Dansk Industris antiphishingvejledning Foreløbig udgave - 1 -

2 ITEK og Dansk Industris Antiphishingvejledning Indholdsfortegnelse Introduktion Definition Omfang Angrebsmønstre Cases Anbefalinger til forbrugere Anbefalinger til virksomheder Litteratur og links Introduktion Denne vejledning har til formål at tilvejebringe information om, hvordan danske forbrugere og virksomheder bør forholde sig, når de bliver udsat for forsøg på phishing. ITEK og Dansk Industri ser meget alvorligt på phishing problemet, fordi tyveri af elektronisk identitet kan føre til en underminering af elektronisk handel og digital forvaltning, hvis forbrugere og virksomheder bliver utrygge ved at anvende deres elektroniske identitet. Vejledningen foreligger i nærværende udgave som et ufærdigt og ikke godkendt udkast. Udkastet offentliggøres på nuværende tidspunkt, fordi det vurderes, at der er et akut behov for information om dette emne. Årsagerne er for det første den eksplosive udvikling i phishing, som vi har set gennem det seneste år. For det andet at Skandinavien fik sit første store phishingforsøg i Norge i foråret 2005, hvilket rykkede truslen tætte på Danmark. Og for det tredje at vi i Danmark nu har set det første lokale forsøg på phishing. Vejledningen vil senere på året blive genudgivet i en færdig og godkendt udgave. Definition Phishing kan defineres som online elektronisk identitetstyveri 1, hvor metoderne til phishing omfatter: anvendelse af s, der ser ud til at komme fra en pålidelig kilde, men som i virkeligheden kommer fra en person med onde hensigter (spoofing) anvendelse af hjemmesider, der ser ud til at være lavet af en pålidelig kilde, men som i virkeligheden er lavet af og placeret på en webserver der er kontrolleret af en person med onde hensigter anvendelse af forskellige små programmer, der har til formål at stjæle modtagerens elektroniske identitet og sende den videre til en person med onde hensigter anvendelse af social engineering, hvor personen med onde hensigter lokker eller snyder en person til at oplyse sin elektroniske identitet til vedkommende. Den elektroniske identitet kan bl.a. omfatte kreditkortoplysninger, brugernavne og passwords samt CPR-numre. Der er adskillige historier om, hvor ordet phishing stammer fra. En af dem går på, at de ondsindede personer fisker efter elektroniske identiteter deraf det engelske ord "fishing". Ordet gøres så mere hacker-agtigt ved at sammenligne det sprogligt med phreaking, som betyder tyveri af telefonlinier 1 Kilde: Bl.a.: og

3 med henblik på at opnå gratis telefoni. En anden forklaring går på, at ordet blev opfundet af hackere i 1996, hvor de stjal brugernavne og passwords fra AOL-brugere kaldet phishs 2. Ordet har flere synonymer bl.a. brand spoofing og carding. Omfang Phishing er gennem de senere år steget betydelig i omfang. På kan man finde de seneste internationale informationer om problemets omfang. Det skal bemærkes, at disse statistikker kun omfatter phishing forsøg der indrapporteres til Tallene må derfor forventes at være noget højere i virkeligheden. Ifølge den seneste rapport fra marts er der internationalt følgende nøgletal: Antallet af aktive hjemmesider, der i marts 2005 benyttes til phishing er Dette er en stigning på 6,9% i forhold til februar 2005 Den månedlig vækstrate i antallet af aktive phishing hjemmesider fra juli 2004 til marts 2005 er 28% Det land, som hostede flest phishing hjemmesider i marts 2005 er USA (34%) forfulgt af Kina (12%) og Korea (9%). Samlet set hoster i alt 66 lande phishing hjemmesider Det antal phishing hjemmesider som ikke bruger almindelig internetkommunikation (port 80) til phishing er 3,89% Det gennemsnitlige antal dage en phishing hjemmeside får lov til at eksistere, inden den bliver lukket er 5,8 dage Længste antal dage i marts, som en phishing hjemmeside fik lov til at eksistere uden at nogle kunne lukke det: hele måneden Phishing foregår i meget betydeligt omfang via mail. I marts 2005 blev der indrapporteret phishing s til organisationen. Dette er en stigning på 2% i forhold til februar 2005 og en femdobling siden juli Phishing rammer især store virksomheder, der har et globalt brand (78%). Det er især den finansielle sektor som rammes (81%) samt internetudbydere (9%). Af de phishing forsøg der foretages, reagerer ca. 5% af modtagerne på henvendelsen 4. Dette er årsagen til, at vi ser flere og flere forsøg på phishing, og at man må forvente, at problemet vil koste stadig flere penge. Angrebsmønstre Phishing foregår som antydet ovenfor under anvendelse af en række forskellige kanaler og teknikker. Mail De mest kendte eksempler går ud på, at en person får en mail, der giver sig ud fra at komme fra en pålidelige kilde. Afsenderadressen ser ud til at høre til en kendt virksomhed og mailen indeholder som regel en opfordring til, at modtageren skal klikke på et link eller installere et program. Linket vil typisk gå til en hjemmeside, hvor modtageren skal indtaste sine personlige oplysninger. Programmet vil typisk sende personlige oplysninger til den ondsindede person via internettet. Modtageren vil så få nogle tilsyneladende fordele, der skal motivere ham til at foretager de ønskede 2 Kilde: 3 Kilde: 4 Kilde: -

4 handlinger f.eks. opdateret sine konto- eller brugerinformationer, få tilsendt en gave eller få adgang til en ny tilsyneladende nyttig service. I virkeligheden er afsenderadressen i mailen forfalsket, så det, der ser ud til at komme fra en pålidelig kilde, kommer fra en person med ondsindede bagtanker. Tilsvarende er adressen på den hjemmeside, modtageren evt. skal besøge ved at klikke på et link, også forfalsket, men lavet så den ser ud til at stamme fra en virksomhed eller organisation, som brugeren kan have tillid til. Personen bruger de indsamlede personlige oplysninger til at få kontrol over den elektroniske identitet. I finansiel sammenhæng kan der f.eks. ske følgende: For det første kan den ondsindede person overføre penge til sin egen konto eller få adgang til flere fortrolige informationer. For det andet kan han åbne en ny konto i brugerens navn. For det tredje kan han bruge brugerens identitet til at sprede mere phishing 5. Internet Phishingforsøg behøver ikke alene stamme fra en mail, men kan også stamme fra en hjemmeside, man besøger. Der har været en stigende tendens til at hjemmesider, som indeholder gratis porno, samtidig indeholder programmer, der kan udnytte sårbarheder i browseren, til at få adgang til brugerens computer. Der er også set en del eksempler på, at ofte besøgte sider på brugerens computer omdirigeres til de sider, som den ondsindede person har kontrol over (Pharming). Instant messaging Instant messaging er en nyere kanal til at få de samme budskaber igennem til brugeren, som man kan via mail. Gennem instant messaging kan man altså få tilsendt links til hjemmesider indeholdende ondsindet kode til udnyttelse af browsersårheder, eller man kan få tilsendt vedhæftede programmer, som kan give en ondsindet person adgang til brugerens computer. Angrebsteknikker Angrebet kan finde sted på mange måder: Man-in-the-middle angreb URL sløring angreb Cross-site scripting angreb Preset session angreb Observere kundedata Udnyttelse af klienters sårbarheder Disse metoder vil ikke blive gennemgået her i denne version af vejledningen, men der kan henvises til The Phishing Guide 6, for dem der måtte ønske teknikkerne uddybet. Cases Et praktisk eksempel kan illustrere, hvordan phishing virker. Herved kan man også identificere nogle af de ting, brugerne skal være opmærksomme på for at undgå phishing. I det nedenstående tilfælde har en modtager fået en mail, der ser ud, som om den er sendt fra SunTrust Bank. Brugeren narres for det første af afsenderadressen, som ligner noget, der kommer 5 Kilde: 6 Kilde:

5 fra SunTrust Bank (anonymiseret i denne gengivelse). For det andet anvendes SunTrust Banks logo og linien om copyright for igen at bestyrke modtageren i, at det er en ægte henvendelse. For det tredje findes et link som faktisk ser ud til at pege på suntrust.com. Yderligere er det værd at bemærke, at de to nederste linier oprindelig var skrevet med hvid tekst og dermed usynlige. De er kun synlige i denne gengivelse, fordi de er markeret. Linierne er tilføjet, for at mailen skal have større chance for at slippe igennem antiphishing og antispam filtre på modtagerens mailserver. Bemærk også at mailen ikke er personaliseret, men i stedet indledes med det meget generelle "Dear SunTrust Bank client". Bemærk endelig truslen om at kontoen vil blive spærret, hvis kunden ikke snarest foretager sig noget. Hvis man klikker på linket sker der følgende: For det første ser vi, at den ægte SunTrust hjemmeside åbner i baggrunden. Det skyldes, at linket i virkeligheden får to hjemmesider til at åbne, og at den ene er den ægte SunTrust Bank hjemmeside. Dette er med til at bestyrke modtageren i, at henvendelsen er ægte. For det andet åbner der et pop-up vindue, der lægger sig ovenpå hjemmesiden. Dette pop-up-vindue har et par karakteristika. For det første kan vi ikke se den rigtige adresse på, hvor dette pop-up vindue stammer fra. I virkeligheden ligger det ikke på SunTrusts server - men et andet sted ude i verden. For det andet ser vi igen anvendelse af en copyright statement - men denne gang for en anden bank. For det tredje ser vi, at forbindelsen lover at være SSL krypteret. Men dette kan vi ikke checke, fordi vi ikke kan se anvendelsen af i adressen, og heller ikke kan se hængelåsen nederst i statusbaren. Endelig ser vi en masse felter, hvor vi kan inddatere information. Det er denne information, som den ondsindede person er - 5 -

6 interesseret i. Når vi har inddateret den, vil han modtage den, og så vil vores digitale identitet være kompromitteret. Det hele ser altså meget ægte og troværdigt ud, men er et forsøg på phishing. Det viste eksempel er relativt teknisk banalt. Der findes langt mere avancerede phishing forsøg, som bl.a. dækker adressen med et uskyldigt billede o.a. Man kan se flere cases på: Anbefalinger til forbrugerne Borgerne bør tage sig i agt for phishing, og gøre hvad de kan for at undgå at blive offer for dette. En række anbefalinger skal gives til dette 7 : A. Vær passiv 1. Hvis du modtager en mail eller en popup besked på en hjemmeside, og du er i tvivl om indholdet, så lad være med at besvare mailen eller klikke på links. 2. Lad være med at maile personlig eller finansiel information. Almindelige mails er ikke tilstrækkeligt sikre, og alle og enhver kan opsnappe informationerne. Tilsvarende bør du ikke afgive personlige informationer på en hjemmeside, der ikke er sikret (check efter en lille hængelås i bunden af din browser og dobbeltklik på den og check at linket starter med 7 Kilder: Bl.a.:

7 B. Vær skeptisk 1. Vurder altid om den, der beder om personlig information, er troværdig, om han er den, han giver sig ud for at være, om det er sandsynligt, at han skulle bede om information af den pågældende karakter via den pågældende kanal, og om han faktisk har behov for at få den information, han beder om. Kun hvis en mail er digitalt signeret har du bevis for hvem den virkelige afsenderen er. 2. Billeder, grafik, farveskemaer og andre virkemidler er lette at kopiere fra virksomheder og organisationers officielle hjemmesider og bruge i ondsindede sammenhænge. Selv om noget ser ud, som om det er fra en given afsender, bør du derfor ikke stole på det, førend du har fået det verificeret. 3. Hvis du får et tilbud, der lyder for godt til at være sandt - f.eks. at du har vundet en masse penge eller at du kan få nogle gratis produkter - har det sandsynligvis en tvivlsom oprindelse. Ligesom i den fysiske verden sker det aldrig online at du kan få en million kroner uden at løfte en finger. Under alle omstændigheder bør du checke tilbuddet godt og grundig. 4. Hvis mailen ikke er personaliseret (starter med dit navn), er det overvejende sandsynligt, at det er en phishing eller spam mail. 5. Ofte er sproget i mailen ikke dansk og faktisk formuleret på et ret uforståeligt engelsk, fordi afsenderen ikke er god til engelsk. Der kan også være ord i mailen, som er skrevet med mailens baggrundsfarve og derfor er usynlige (med det formål at undgå eventuelle filtre). Disse forhold kan indikere, at der er tale om en spam eller phishing mail. C. Vær opmærksom på økonomiske transaktioner 1. Henvendelser der vedrører firmaer, som du aldrig har haft noget med at gøre, er helt sikkert forfalskninger eller spam. Hvis du f.eks. får henvendelser fra banker, du ikke er kunde hos, eller fra firmaer du aldrig har købt noget hos, bør du se bort fra og slette dem. 2. Hvis du er i tvivl om en henvendelse, så tag kontakt til din bank eller den virksomhed, der påstås at slå bag. Du skal ikke bruge den kontaktinformation, der eventuelt opgives i mailen. Find kontaktinformationen offline eller via søgeportaler som f.eks. eller Det kan også være fornuftigt selv at indtaste hjemmesideadressen i browseren uden at klikke på det link, der måtte være i mailen. Husk at checke at du indtaster adressen korrekt. Hvis du bruger en søgemaskine, så check igen om adressen er korrekt. Nogle adresser ligner hinanden meget og nogle adresser er lavet netop med henblik på at narre folk. 3. Hvis du får en henvendelse fra en bank, en virksomhed eller en organisation, som du allerede har kontakt til, vil de altid have dine kundeoplysninger i forvejen, og det giver derfor ingen mening, at du skulle udfylde dem igen på en hjemmeside. Så lad være med det! 4. Du bør aldrig opgive personlig eller kreditkort information hvis der ikke er tale om en sikker forbindelse (hængelås nederst i browseren og anvendelse af i adressen). Ingen seriøse butikker beder om denne type informationer uden at kommunikationen foregår via en sikker forbindelse. 5. Du bør løbende checke op på dine kontoudtog og sikre dig, at der ikke er brugt penge, som du ikke kender til. Tilsvarende bør du også jævnligt logge ind på dine online konti, så du kan checke, at der ikke er noget galt. 6. Pas på fup-butikker på internettet. Der eksisterer flere af disse, og de er kendetegnet ved at sælge produkter til en urimeligt billig pris. Du bliver bedt om dine personlige informationer - 7 -

8 og kreditkortoplysninger, men du ser aldrig nogle varer. De er kun ude på at logge dine oplysninger fra dig. Er du i tvivl om en butik er ægte, så lad være med at bruge den. 7. Vær også opmærksom på adressen på den hjemmeside, du besøger. Mange hjemmesideadresser ligner hinanden, og der er mange phishing eksempler på at folk lokkes til svindlersider, der har en adresse, der ligner den ægte. 8. Indtast aldrig oplysninger i et pop-up vindue, hvor du ikke kan se, om der er tale om en sikker forbindelse. D. Tekniske foranstaltninger 1. Du bør installere en sikkerhedspakke eller -boks på din PC. Pakken eller boksen skal kunne bekæmpe virus, orme, spyware og andre former for ondsindede programmer. Pakken eller boksen skal også kunne filtrere dine mails for spam og phishing mails. Den skal kunne blokere for uønsket trafik (firewall). Den bør også kunne blokere for pop-up vinduer. Endelig skal pakken eller boksen checke op imod en database, som angiver de til enhver tid kendte phishing hjemmesider. Du skal sørge for, at pakken eller boksen opdateres løbende. 2. De forskellige programmer du har på computeren bør opdateres løbende og automatisk. Især dit styresystem, din browser og dit mailprogram er det vigtigt konstant at have opdateret. Du kan få oplysninger om, hvordan opdatering kan ske ved at kontakte din softwareleverandør eller producenten af det pågældende software. 3. Du kan ændre på en række forskellige indstillinger i din browser. Hvis du sætter sikkerhedsniveauet til højt og deaktiverer muligheden for afvikling af java, ActiveX og multimediefiler, vil du få betydelig sikkerhed for, at phishing forsøg ikke vil få succes på din computer. Men tilsvarende mister du selvfølgelig nyttig funktionalitet i forhold til en række hjemmesider. 4. Tilsvarende kan du i dit mailprogram deaktivere html funktionalitet i mails og evt. blokere for visse typer af vedhæftede filer. E. Rapportér 1. Hvis du modtager phishing henvendelser i form af f.eks. mails, kan du rapportere dem til forbrugerombudsmanden. 2. Hvis du mener, at du har fået stjålet din elektroniske identitet, bør du tage kontakt til politiet. 3. Du bør også tage kontakt til din bank eller kreditkortudsteder, hvis du er bange for, at fortrolige finansielle oplysninger er kommet i ondsindede personers eje. Anbefalinger til virksomheder Virksomheder bør udvise forsigtighed og tage hensyn til kundernes ikke altid opdaterede viden om sikkerhed på internettet. Derfor bør følgende forhold efterleves: 1. Hvis dine kunder skal købe noget online eller oprette en brugerprofil online bør dette altid foregå sikkert f.eks. under anvendelse af SSL. 2. Din virksomhed bør vedtage en politik for, hvornår du sender links ud til dine kunder. Anvendelsen af links skal begrænses således, at den er i overensstemmelse med de værdier, det kan give for forretningen. Herunder bør det begrænses at sende links ud til hjemmesider, hvor kunderne skal afgive personlig information. 3. Du bør være opmærksom på, om der findes hjemmesider, hvis adresse kan forveksles med din egen, og i givet fald om disse sider bedriver phishing mod dit firmanavn

9 4. Du bør sørge for, at din hjemmeside er kodet sikkert, og at dit webserversoftware er opdateret, således at siden ikke kan bruges til fjendtlige angreb og misbruges som platform for phishing mod andre. 5. Du bør logge adgang til din hjemmeside, så du evt. kan spore mistænkelige transaktioner, der involvere forespørgsler mod din side. 6. Sørg altid for at dine henvendelser til kunder er personaliseret. 7. Sørg for at software hos dine egne brugere internt i virksomheden er opdateret, så medarbejderne ikke udsættes for skadelig kode eller phishing. 8. Anvend digital signatur, så dine kunder kan verificere, at din virksomhed faktisk er afsenderen, og at mailen ikke blot kommer fra en, der giver sig ud for at komme fra din virksomhed. 9. Informer kunderne om den politik din virksomhed har på området. 10. Hvis det vurderes at være i overensstemmelse med forretningen, bør der bruges tekst baserede mails, for at bestyrke modtageren i, at der ikke er manipuleret med links eller kan eksekveres vilkårlig kode i forbindelse med mailen. 11. Den måde, du laver links på, bør følge internationalt anerkendte konventioner, for dermed at gøre dit domæne lettere gennemskueligt for forbrugerne. For konkrete anbefalinger henvises der til The Phishing Guide 8. Litteratur og links Generel hjemmeside om phishing: - herunder også de seneste statistikker: samt deres forbrugeranbefalinger: Guidelines fra USA's Justitsministerium: Federal Trade Commission: FTC Consumer Alert, How Not to Get Hooked by a Phishing Scam: En overvejende teknisk rapport om phishing: WP-Phishing.pdf. Danske hjemmesider om phishing: 8 Kilde: pp