Phishingul pare periculos, la fel ca o maladie exotică, şi, la fel ca aceasta pare că se întâmplă suficient de departe pentru a nu fi o ameninţare imediată. De aici până la momentul în care utilizatorul fericit ajunge să crească procentul victimelor din statistici lipsesc numai câteva click-uri. Detaliile urmează.

Se va folosi ca exemplu cazul unei bănci, dar acest tip de atac şi mijloacele de protecţie implementate sunt întâlnite şi în alte situaţii.

Cum decurge atacul: atacatorul transmite mesaje în numele unei bănci cerând clienţilor să se conecteze la site-ul acesteia şi să introducă informaţii privind cardul bancar, elementele de autentificare la contul de internet banking sau alte date cu caracter personal. În loc să acceseze site-ul băncii, clientul este direcţionat către un site fals, identic ca aspect vizual, unde informaţiile sale sunt salvate pentru a fi utilizate ulterior pentru a se sustrage bani din conturi sau a aduce alte beneficii atacatorului.

Nu există mecanisme exclusiv tehnice pentru a rezolva această problemă. Ar trebui utilizată o metodă suplimentară pentru a autentifica tranzacţia, nu utilizatorul, dar în funcţie de metoda aleasă această soluţie poate fi viabilă numai pentru o perioadă scurtă, aşa cum s-a întâmplat în cazul mecanismelor avansate de autentificare.

Situaţia cea mai simplă pentru atacator este cea în care autentificarea utilizatorului se face pe baza unui singur factor – numele de utilizator şi parola de acces la cont. Aflarea acestora conduce la expunerea contului şi permite accesul nedetectat până la schimbarea parolei. Un alt tip de atac aplicabil este ghicirea parolei.

Este necesară o campanie susţinută de educare a utilizatorilor şi implementarea unor măsuri tehnice adecvate, cum ar fi identificarea sigură a paginilor web ale băncii şi autentificarea utilizatorilor pe baza a doi factori. Aceasta nu este o soluţie infailibilă, dar îngreunează accesul neautorizat la conturile clienţilor.

Există două mecanisme răspândite pe scară largă pentru implementarea autentificării pe baza a doi factori:

One Time Password (OTP). Utilizatorul deţine o parolă de acces şi un dispozitiv care generează la intervale regulate, de exemplu la fiecare minut, coduri de autentificare aleatoare. Acest echipament este sincronizat cu un server, iar autentificarea este posibilă numai prin introducerea parolei de acces şi a codului generat. Chiar dacă traficul de reţea este interceptat nu este permis accesul cu un cod generat la un moment anterior. Mecanismul este simplu de utilizat dar a fost păcălit folosindu-se un atac de tipul ” man in the middle”: a fost creat un site fals al băncii unde utilizatorul îşi introducea elementele de identificare, iar apoi era direcţionat către site-ul legitim. La prima vedere utilizatorul nu poate detecta atacul şi acţionează ca şi cum s-ar afla pe site-ul băncii. Evident, în timp ce utilizatorul este conectat se pot realiza tranzacţii între site-ul fals şi bancă sau după închiderea sesiunii între utilizator şi site-ul bancii aceasta rămane de fapt deschisă, între site-ul fals şi bancă putându-se efectua tranzacţii frauduloase. O variantă mai puţin tehnologizată a OTP este folosirea unei parole şi a unui cod de acces dintr-un tabel furnizat de bancă.

Atentificare pe bază de certificat digital stocat pe smart card. Utilizatorul trebuie să deţină smart cardul pe care se află certificatul şi să cunoască parola de acces la acesta. Şi aici există pericolul atacului. Odată eliberate certificate digitale către utilizatori este natural ca site-ul web al băncii să se identifice la rândul său folosind un certificat digital, ceea ce face ca, în acest caz, atacul de tipul “man in the middle”, sǎ fie aproape imposibil. Identificarea site-ului pe baza certificatului digital trebuie dublată de o campanie puternică de educare a utilizatorilor, pentru a învăţa să verifice identitatea paginilor web ori de câte ori se conectează pentru a face tranzacţii on-line. În acest fel riscul accesului pe site-uri false scade foarte mult.

Chiar dacă autentificarea este foarte sigură şi clientul accesează un site legitim, pot fi imaginate alte metode de atac:

• virusarea calculatorului cu un troian care, ori de câte ori utilizatorul se conectează la site-ul băncii, realizează tranzacţii frauduloase folosind conexiunea deja autentificată.
• identificarea iniţială a clientului şi, mai ales, situaţiile de acces în cazuri de urgenţă (uitarea parolei, pierderea echipamentului pentru generarea codurilor aleatoare sau a smart cardului) sunt cazuri în care atacatorii pot exploata vulnerabilităţile sistemului. Este suficient să se cunoască adresa celui atacat, CNP-ul (scris pe toate bonurile de masa împreună cu numele), numărul de telefon şi eventual numele de fată al mamei. Nimic spectaculos sau greu de aflat cu atât mai mult cu cât informaţiile cu caracter personal se află în bazele de date ale din ce în ce mai multor instituţii.

Mesajele transmise de bancă trebuie autentificate, iar educarea utilizatorului este esenţială. Până când nu va verifica atent adresa paginilor vizitate (www.bamcaonline.ro diferă de www.bancaonline.ro), nu va verifica dacă certificatul care identifică site-ul este de încredere şi va avea grija să protejeze calculatorul şi atunci când nu realizează tranzacţii, phisher-ii au la dispoziţie o baltă plină de peşti buni de prins cu plasa. Dacă utilizatorii înţeleg aceste pericole atacurile nu vor mai avea o rată atât de mare de succes, vor trebui direcţionate către fiecare utilizator, folosind un alt tip de momeală, iar aplicarea acestora devine mult mai costisitoare.