Non-Linear Complexity

Για το μαζικό σημερινό phishing με στόχο τους πελάτες της Alpha Bank, μάλλον τα μάθατε ήδη από άλλους (agit prop, Αρκούδος, Introspection, pestaola, nikosx, George is your man). Η συγκεκριμένη προσπάθεια μπορεί να είναι γελοία (και να χάλασε την ελληνική πιάτσα για τους αμέσως επόμενους phishers), αλλά η συγκεκριμένη έκφανση του ηλεκτρονικού οικονομικού εγκλήματος έχει πάρει διαστάσεις. Για παράδειγμα, η Gartner υπολογίζει ότι τον τελευταίο χρόνο (5/04-5/05), περί τα 1,5 εκατομύρια αμερικανών χρηστών υπέστησαν οικονομικές ζημιές ύψους 949 εκατομυρίων δολαρίων, και με την έλευση των Unicode domain names το πρόβλημα γίνεται σοβαρότερο.

Θα μου πεις, πως μπορεί να προστατευτεί ένας απλός χρήστης του internet αν δε διαθέτει ειδικές γνώσεις. Η ερώτηση είναι άκυρη, σε μεγάλο βαθμό: όπως είναι γενικά παραδεκτό ότι η άγνοια στον “έξω κόσμο” σκοτώνει, είναι θεμιτό και λογικό να απαντήσει κανείς ότι και η άγνοια στο internet, ειδικά όταν το χρησιμοποιείς για οικονομικές συναλλαγές και λοιπές ευαίσθητες δοσοληψίες, μπορεί να αποβεί ζημιογόνα. Από ένα σημείο και πέρα, όμως, το συγκεκριμένο πρόβλημα μπορεί να αντιμετωπιστεί με κάποια απλά μέτρα’ και πρώτα και κυριότερα την διατήρηση της ψυχραιμίας και της υγιούς δυσπιστίας, και τη χρήση της κοινής λογικής.

Σε γενικές γραμμές, οι phishers παίζουν ένα ψυχολογικό παιχνίδι, αποσκοπώντας στο να προκαλέσουν αντανακλαστική αντίδραση στο θύμα τους: διαβάζοντας ο χρήστης ότι ο λογαριασμός του κινδυνεύει (πχ. “Οι λογαριασμοί, που δε θα επιβεβαιοθούν ως της 27.11.05, θα παγώνονται για ακαθόριστο καιρό“), και βλέποντας ένα ευδιάκριτο σύνδεσμο, να σπεύσει να τον επιλέξει για να αποτρέψει την καταστροφή. Η πρώτη συμβουλή, λοιπόν, είναι:

DON’T PANIC

Όσο επείγον και να νομίζεις ότι είναι το email, μην κάνεις απολύτως τίποτα. Πάρε τα μάτια από την οθόνη και τα χέρια από το πληκτρολόγιο, πάρε μερικές βαθειές ανάσες, κάνε 5-10′ διάλειμμα. (Η συμβουλή αυτή είναι καλή ακόμα κι αν κάποια μέρα λειτουργήσουν πχ. κεντρικά συστήματα διαχείρισης κρίσεων, που θα απευθύνουν επείγοντα μηνύματα στους πολίτες για καταστάσεις εκτάκτου ανάγκης: ο πανικός κάνει περισσότερο κακό από οποιαδήποτε αιτία που μπορεί να τον προκαλέσει). Ότι κι αν κάνεις, πάντως, μην ακολουθήσεις τυφλά τις οδηγίες του email.

Αν ξεπέρασες τον αρχικό πανικό, κατα πάσα πιθανότητα έχεις αποφύγει τον κίνδυνο. Στο κάτω κάτω (αν αγνοήσουμε τα φριχτά ορθογραφικά λάθη στο συγκεκριμένο δείγμα, καθώς μιλάμε για την γενική περίπτωση), ποιά σοβαρή τράπεζα θα έστελνε μη υπογεγραμμένο email στους πελάτες της με το οποίο θα τους απειλούσε με πάγωμα του λογαριασμού τους; Χάθηκαν τα τηλέφωνα; Και τώρα που το καλοσκέφτομαι, για να πάρω ένα τηλέφωνο στην τράπεζα να το επιβεβαιώσω (η επιβεβαίωση από άλλο κανάλι επικοινωνίας είναι γενικά Καλή Ιδέα’ μόλις γλύτωσες από το συγκεκριμένο ψάρεμα, αλλά και πάλι μη δώσεις κωδικούς λογαριασμού από το τηλέφωνο). Όσο για το σύνδεσμο: ακριβώς ως αντίδραση στην έξαρση του phishing, καμιά σοβαρή επιχείρηση πλέον δεν στέλνει HTML email, και κυρίως δεν περιλαμβάνει συνδέσμους με παραινέσεις στα email της. Αν υπάρχουν υπόνοιες για απάτη, καλύτερα να μην τον ακολουθήσεις καθόλου, καθώς είναι πιθανό η σελίδα στην οποία οδηγεί να περιλαμβάνει κακόβουλο κώδικα. Εκτός βέβαια κι αν θεωρείς ότι είσαι επαρκώς προστατευμένος, οπότε πηγαίνουμε στην κατηγορία του ψαγμένου χρήστη, που χρησιμοποιεί με ασφαλή τρόπο τον browser και δεν έχει ανάγκη να διαβάσει αυτό το τμήμα του post (αλλά και πάλι, η ασφάλεια είναι κάτι το σχετικό).

Πάμε τώρα σε κάτι πιό πρακτικό: στην εξέταση του μηνύματος. Στον Thunderbird, μπορεί κανείς να εξετάσει τις επικεφαλίδες (headers), πατώντας το κουμπί “+” που είναι περικυκλωμένο με κόκκινο χρώμα, στην εικόνα: Παραθέτω για σύγκριση παρακάτω τις εκτεταμένες επικεφαλίδες του πλαστού email, και του αυθεντικού (μάλλον) email που έστειλε η Alpha Bank στους συνδρομητές της, με το οποίο προειδοποιεί για το πλαστό (η διεύθυνση του τελικού παραλήπτη έχει αντικατασταθεί με XXXXX@XXXXX).

Πλαστό email

01: Return-path: <AlphaPolice@alpha.gr>
02: Envelope-to: XXXXX@XXXXX.gr
03: Delivery-date: Tue, 25 Oct 2005 13:25:17 +0300
04: Received: from chello087207079128.chello.pl ([87.207.79.128] helo=-1212403440)
05:     by XXXXX.gr with smtp (Exim 3.36 #1 (Debian))
06:     id 1EULyz-0008U2-00
07:     for <XXXXX@XXXXX.gr>; Tue, 25 Oct 2005 13:24:49 +0300
08: Received: from alpha.gr (-1209780368 [-1217984720])
09:     by chello087207079128.chello.pl (Qmailv1) with ESMTP id 4B8A482299
10:     for <XXXXX@XXXXX.gr>; Tue, 25 Oct 2005 02:51:26 -0700
11: Date: Tue, 25 Oct 2005 02:51:26 -0700
12: From: AlphaBankPolice <AlphaPolice@alpha.gr>
13: X-Mailer: The Bat! (v2.00.2) Personal
14: X-Priority: 3
15: Message-ID: <7907750137.20051025025126@alpha.gr>
16: To: XXXXX
17: Subject: AlphaBank Security Issue
18: MIME-Version: 1.0
19: Content-Type: multipart/mixed;
20:     boundary="----------03BB2A6AF624D51"
21: X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
22: X-Scanner: exiscan *1EULyz-0008U2-00*Ios4aQeojBI*
23: X-Spam-Checker-Version: SpamAssassin 2.60 (1.212-2003-09-23-exp) on
24:     XXXXX.gr
25: X-Spam-Level:
26: X-Spam-Status: No, hits=0.9 required=10.0 tests=HTML_40_50,HTML_MESSAGE,
27:     HTML_TAG_BALANCE_BODY,HTML_TAG_BALANCE_TABLE autolearn=no version=2.60

Αυθεντικό (μάλλον) email

01: Return-Path: <alphawebbanking1@alpha.gr>
02: Received: from mx3.internal (mx3.internal [10.202.2.202])
03:      by server2.messagingengine.com (Cyrus v2.3-alpha) with LMTPA;
04:      Tue, 25 Oct 2005 13:44:44 -0400
05: X-Sieve: CMU Sieve 2.3
06: X-Resolved-to: XXXXX@XXXXX.XXX
07: X-Delivered-to: XXXXX@XXXXX.XXX
08: X-Mail-from: alphawebbanking1@alpha.gr
09: Received: from mailrelay.alpha.gr (mailrelay.alpha.gr [193.193.184.66])
10:     by mx3.messagingengine.com (Postfix) with ESMTP id AE383EF6ABF
11:     for <XXXXX@XXXXX.XXX>; Tue, 25 Oct 2005 13:44:44 -0400 (EDT)
12: Received: from alpha.gr (unverified) by mailrelay.alpha.gr
13:     (Clearswift SMTPRS 5.1.7) with ESMTP id
14:     <T7435d6cf81c1c1b8421b20@mailrelay.alpha.gr> for
15:     <XXXXX@XXXXX.XXX>; Tue, 25 Oct 2005 20:17:56 +0300
16: Received: from MGPNT2000 ([10.1.252.136]) by alpha.gr with Microsoft
17:     SMTPSVC(6.0.3790.211); Tue, 25 Oct 2005 20:00:18 +0300
18: thread-index: AcXZhZPbOnsyNYawSY63+EtMSpktNA==
19: Thread-Topic:
20:     =?windows-1253?B?QWxwaGEgV2ViIEJhbmtpbmcgLSDF7efs3fH58+cg4+nhIOHw7/P07+ve?=
21:     =?windows-1253?B?IPDr4fP0/u0g5+vl6vTx7+3p6v7tIOzn7fXs3PT57Q==?=
22: Reply-To: =?windows-1253?B?xOnl/ej17fPnIM3d+e0gxOnq9P357Q==?=
23:     <alternativechannels@alpha.gr>
24: From: "Home Banking 1" <alphawebbanking1@alpha.gr>
25: To: <XXXXX@XXXXX.XXX>
26: Subject:
27:     =?windows-1253?B?QWxwaGEgV2ViIEJhbmtpbmcgLSDF7efs3fH58+cg4+nhIOHw7/P07+ve?=
28:     =?windows-1253?B?IPDr4fP0/u0g5+vl6vTx7+3p6v7tIOzn7fXs3PT57Q==?=
29: Date: Tue, 25 Oct 2005 20:00:18 +0300
30: Message-ID: <cff001c5d985$93db55b0$88fc010a@intranet.root.alpha.gr>
31: MIME-Version: 1.0
32: Content-Type: text/plain; charset="windows-1253"
33: Content-Transfer-Encoding: 8bit
34: X-Mailer: Microsoft CDO for Exchange 2000
35: Content-Class: urn:content-classes:message
36: Importance: normal
37: Priority: normal
38: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1506
39: X-OriginalArrivalTime: 25 Oct 2005 17:00:18.0477 (UTC)
40:     FILETIME=[93E085D0:01C5D985]

Μια βασική ανάγνωση των επικεφαλίδων δεν απαιτεί τρομερά εξειδικευμένες γνώσεις. Στην προκειμένη περίπτωση, περιδιαβαίνοντας αντίστροφα την αλυσίδα των επικεφαλίδων Received (γραμμές 4-10 στο πρώτο μήνυμα και 9-17 στο δεύτερο) και συγκρίνοντας, καταλαβαίνει κανείς αμέσως ότι κάτι πάει στραβά εδώ:

alpha.gr (-1209780368 [-1217984720]) -> chello087207079128.chello.pl -> XXXXX.gr
MGPNT2000 ([10.1.252.136]) -> alpha.gr -> mailrelay.alpha.gr [193.193.184.66] -> mx3.messagingengine.com

Προφανώς η διεύθυνση προελεύσεως του πρώτου μηνύματος είναι κατασκευασμένη (δεν υπάρχουν IP διευθύνσεις όπως αυτή στην παρένθεση!), και στο κάτω κάτω, τι δουλειά έχει ένα email από την τράπεζά μου να περνάει από μία dialup σύνδεση στην Πολωνία;! Στη συγκεκριμένη περίπτωση, πρόκειται προφανώς για εντελώς ερασιτεχνική προσπάθεια phishing, αν και δε μπορείς πάντα να βασίζεσαι στην τεμπελιά και την ανικανότητα του απατεώνα.

Μερικά άλλα συμπεράσματα που βγαίνουν από την εξέταση των επικεφαλίδων:

• Ο απατεώνας χρησιμοποιεί το The Bat! ως email client (γραμμή 13). Περιστασιακό στοιχείο, αλλά όλες σχεδόν οι μεγάλες επιχειρήσεις επιβάλλουν τη χρήση συγκεκριμένων email clients στους υπαλλήλους τους’ στην Ελλάδα, συνήθως της Microsoft (όπως φαίνεται και από τη γραμμή 34 στο δεύτερο listing, η Alpha Bank δεν αποτελεί εξαίρεση).
• Παρά το γεγονός ότι ο server μας χρησιμοποιεί spamassassin, το email απάτη κατάφερε να περάσει κάτω απ’ το ραντάρ του, σκοράροντας 9/10 σημεία συναγερμού (γραμμή 26). Η χρήση και μόνο ενός αυτόματου λογισμικού anti-spam, λοιπόν, δεν εγγυάται αποτελέσματα, αν δεν γίνεται τακτικός έλεγχος επαλήθευσης της σωστής λειτουργίας του από τον διαχειριστή
• Συγκρίνετε τα Message-ID (γραμμή 15, γραμμή 30): πως λέμε “καμία σχέση” (περιστασιακό στοιχείο, κι αυτό, αλλά είναι εμφανές ότι ο απατεώνας δεν έκανε ούτε καν τη στοιχειώδη μελέτη)
• Η καλή μας τράπεζα δεν έχει ακούσει μάλλον ούτε για το Unicode, ούτε για άλλα λειτουργικά εκτός των Windows’ ούτε καν για την σωστή προσωρινή ελληνική κωδικοποίηση iso-8859-7 (γραμμή 32, δεύτερο listing). Απ’ αυτό και μόνο καταλαβαίνουμε τουλάχιστον ότι όποιος έστειλε το δεύτερο email είναι μάλλον τυπικός έλληνας χρήστης :-p

Είμαι σίγουρος ότι μπορεί να βγάλει κανείς κι άλλα συμπεράσματα, αλλά τ’ αφήνω σαν άσκηση στον ευσυνείδητο και φιλοπερίεργο χρήστη. Παρ’ ότι κυκλοφορούν πολλές εφαρμογές, που λειτουργούν ως επεκτάσεις σε browsers και email clients, για το μπλοκάρισμα του spam (αυτόκλητα μηνύματα) και των popups (αυτόκλητα εφαρμογίδια;!) και για τον εντοπισμό των phishing attempts, σ’ αυτά τα θέματα δεν υπάρχει υποκατάστατο της παρατηρητικότητας.

Το τελευταίο -και πιό σημαντικό- θέμα έχει να κάνει με την έλλειψη ηλεκτρονικής υπογραφής, η οποία αφορά και τα δυό μηνύματα (γι’ αυτό έγραψα νωρίτερα πως το email της Alpha είναι “μάλλον” αυθεντικό). Το ίδιο ισχύει και για την σχετική ιστοσελίδα της Alpha που προειδοποιεί για το πλαστό μήνυμα. Μάθετε να απαιτείτε τη χρήση ηλεκτρονικών, και πιό συγκεκριμένα, ψηφιακών υπογραφών ⁽¹⁾ στις ηλεκτρονικές συναλλαγές σας: ούτε καν αυτή εγγυάται απόλυτη ασφάλεια, αλλά από τη στιγμή που ένα email επίσημης επικοινωνίας ή μιά ιστοσελίδα διεκπεραίωσης συναλλαγής δεν είναι ηλεκτρονικά υπογεγραμμένα από “έμπιστη τρίτη οντότητα” ⁽²⁾, δικαιούστε απόλυτα να τα θεωρήσετε ύποπτα. Στην ελάχιστη περίπτωση, η έλλειψη ψηφιακής υπογραφής σε email τέτοιου είδους υποδηλώνει ότι η επιχείρηση δεν θεωρεί ότι η ταυτοποίησή της ίδιας προς τους πελάτες της είναι υποχρέωσή της, και συνεπώς δεν τηρεί τους βασικούς κανόνες ηλεκτρονικής ασφάλειας.

• Άρθρο του F-Secure blog για το συγκεκριμένο περιστατικό
• Τι είναι το Phishing και πώς να προστατευθείτε, πρόγραμμα Δικτυωθείτε
• Η ηλεκτρονική υπογραφή (e-signature) στις online συναλλαγές, πρόγραμμα Δικτυωθείτε
• Ανεπιθύμητη Ηλεκτρονική Αλληλογραφία (Spamming): Προβλήματα και Λύσεις, πρόγραμμα Δικτυωθείτε
• Ευρωπαϊκή Οδηγία 2002/58/EC («προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες»)
• Reading email headers, stopspam.org
• Ευρετήριο υπηρεσιών ΕΛ.ΑΣ ⁽³⁾
• Ένα από τα πολλά online εργαλεία για reverse DNS lookup

ΥΓ: Παρακαλώ τους φίλους security geeks να διορθώσουν τυχόν λάθη και παραλείψεις που έχω κάνει, παραπάνω…

Ανανέωση (22:25): Χθεσινό άρθρο στο oreillynet για το phishing, όπου ο Robert Miller και η Min Wu τα λένε καλύτερα και πιό αναλυτικά από μένα. Το άρθρο είναι απόσπασμα απ’ το πρόσφατο βιβλίο των Simson Garfinkel και η Lorrie Cranor, Security & Usability (που καβάτζωσα πρόσφατα).

Ανανέωση (27/10 15:20): Κι άλλο κρούσμα phishing, με στόχο πελάτες της Εθνικής Τράπεζας. Δυστυχώς, ως denial of service attack, φαίνεται πως φέρνει αποτελέσματα η μέθοδος. Αν έλαβε κανείς τέτοιο email (phishing Εθνικής), ας μου το στείλει, αν έχει την καλοσύνη’ είμαι περίεργος να δω αν πρόκειται πάλι για τους φίλους μας τους Πολωνούς.

⁽¹⁾ Η διαφορά είναι ότι ο νόμος αναγνωρίζει ως ηλεκτρονική υπογραφή μιά πληθώρα μεθόδων, όχι απαραίτητα κρυπτογραφικών, για την ταυτοποίηση του αποστολέα ενός ηλεκτρονικού μηνύματος. Πρακτικά, όμως, είναι γενικά αποδεκτό ότι μόνο οι μέθοδοι της ασύμμετρης κρυπτογραφίας (κρυπτογραφία δημόσιου κλειδιού) εξασφαλίζουν τις βασικές ποιότητες μιάς ηλεκτρονικής συναλλαγής (αυθεντικότητα, ακεραιότητα, μη απάρνηση και εμπιστευτικότητα).
⁽²⁾ Το κατά πόσο οι σημερινές “έμπιστες τρίτες οντότητες” είναι αξιόπιστες είναι άλλο ένα τεράστιο θέμα, για επόμενο post. Δε μπορώ να πω ότι με παρηγορεί το γεγονός ότι το ελληνικό κράτος βασίζεται πχ. στη Verisign για την ταυτοποίηση (κάποιων υπηρεσιών του) απέναντι στους πολίτες του, αλλά απ’ το ολότελα… (Για παράδειγμα, είχα φρικάρει όταν διαπίστωσα πως τον πρώτο καιρό λειτουργίας του, το Taxisnet χρησιμοποιούσε αυτοϋπογεγραμμένο πιστοποιητικό SSL!)
⁽³⁾ Δυστυχώς, το νεότευκτο και πολυσυζητημένο Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος δεν διαθέτει ακόμα δική του ιστοσελίδα ή στοιχεία επικοινωνίας για υποβολή καταγγελιών, και η ιστοσελίδα της ΕΛ.ΑΣ με συμβουλές για ασφαλή πρόσβαση στο διαδίκτυο αναφέρεται προς το παρόν μόνο στην προστασία των παιδιών από βλαβερό ή παράνομο περιεχόμενο. Ευελπιστώ πως η σημαντική αυτή παράλειψη θα διορθωθεί σύντομα.