Autor: Peeetr | 4.1.2012 |
Nejprve si v bodech řekneme, co by takový útočník potřeboval:
Nyní si detailně popíšeme jednotlivé body:
Vytvořit si na serveru soom.cz uživatelský účet zvládne snad každý. Uvedu tedy pouze, že je možno tak učinit odkazem Registrace dole v levém sloupci.
Znalostí HTML rozumějte zcela minimální znalost, kterou dnes již běžně získá každý žák základní školy.
Pro vytvoření jakékoliv fake stránky poskytuje server soom.cz vynikající on-line nástroj Administrativ HTML pages, který udělá téměř veškerou práci za útočníka. Tento nástroj je k dispozici na adrese http://admin.administrativ.cz, případně je možné využít odkaz v sekci Subdomény v pravém sloupci. Nyní si popíšeme, co webové rozhraní tohoto nástroje umí. Do okna HTML kód stránky může útočník zkopírovat zdrojový HTML kód stránky, jejíž kopii chce vytvořit. Daleko jednodušší pro útočníka ale je, když zadá odkaz na tuto stránku do pole URL pro download kódu a klikne na tlačítko Načti HTML kód z URL stránky. Celý HTML kód požadované stránky se pak již sám načte a zobrazí v oblasti pro HTML kód. V případě, že bude chtít útočník sám vytvořit celou stránku přímo v HTML, může použít také tlačítko Předvyplň HTML kostru, které naplní okno s kódem standardními hlavičkami a tagy. Tlačítko Doplň relativní adresy převede relativní odkazy na absolutní jejich rozšířením o hodnotu uvedenou v poli pro zadání URL. Vytvořenou stránku je samozřejmě možné uložit a následně zobrazit její náhled, na kterém je možné otestovat její funkčnost. HTML kód uložených stránek je možné později editovat zadáním jejich názvu a hesla v panelu Načtení uložené stránky.
Teď k samotným úpravám HTML kódu stránky, jejíž fake kopii by útočník vytvářel. Jako příklad si vezmeme přihlašovací stránku českého poskytovatele freemailové služby Atlas.cz. Přihlašovací stránku Atlas.cz nalezneme na adrese https://auser.centrum.cz. Výše zmíněným postupem si útočník může načíst její zdrojový kód pomocí služby Administrativ HTML pages.
V dalším kroku by útočník mohl využít službu GET2MAIL. Odkaz na ni je k dispozici na serveru soom.cz v sekci projekty. Jak služba funguje si můžete přečíst v nápovědě k této službě (rozhodně doporučuji přečíst!).
Nyní se ale vrátíme ke službě Administrativ HTML pages, kde má útočník načten HTML kód přihlašovací stránky. V tomto HTML kódu by útočník musel nahradit u tagu form obsah atributu action, který směřuje na adresu https://auser.centrum.cz. Tuto hodnotu by nahradil adresou jeho GET2MAIL klienta, která má tvar podobný tomuto: http://www.soom.cz/projects/get2mail/redir.php?id=kód-našeho-klienta&url=http://amail.atlas.cz. V této adrese si všiměme proměnných url a id. Hodnotu id získá přidělenu projektem GET2MAIL po stisku tlačítka Registrovat nové id, hodnota proměnné url obsahuje adresu, na kterou bude uživatel po krádeži jeho přihlašovacích údajů přesměrován.
Fake stránka útočníka je nyní hotová. Pokud si ji útočník zatím neuložil, nějak ji pojmenuje, zvolí si heslo pro její následnou editaci a klikne na tlačítko save. Tím se jeho fake stránka uloží a bude od této chvíle přístupná na adrese: http://www.administrativ.cz/Název-pod-kterým-jsme-si-stránku-uložili.
Název stránky může útočník volit tak, aby svým tvarem napomohl přesvědčit, že se jedná o stránku, ke které přihlašovací formulář skutečně patří, například atlas, atlas.cz, nebo atlas.jpg.
Na fake e-mailu poměrně dost záleží. Právě tento e-mail má za úkol přesvědčit uživatele, že mu skutečně píše poskytovatel e-mailové služby a ne někdo jiný. Obsah fake zprávy si musí útočník vymyslet sám, v závislosti na tom, na jakou e-mailovou schránku útočí. Jak už bylo výše zmíněno, útočil by v této ukázce útočník na schránku od Atlasu. Fake e-mail by pro tento účel mohl vypadat třeba takto:
Právě při tvorbě fake e-mailu by útočník využil svou znalost HTML. V tomto formátu jde totiž vytvořit daleko působivější e-mail, než kdyby napsal pouze obyčejný text. Povšiměte si také této části v textu fake e-mailu: <a href="http://www.administrativ.cz/Název-pod-kterým-jsme-si-stránku-uložili">https://auser.centrum.cz</a>
Právě díky ní, by při zobrazení e-mailu byla útočníkem skryta skutečná adresa jím vytvořené fake stránky (tedy http://www.administrativ.cz/Název-pod-kterým-jsme-si-stránku-uložili.) Namísto toho by se uživateli zobrazil daleko důvěryhodnější odkaz https://auser.centrum.cz, který se tváří, že směřuje na skutečnou přihlašovací stránku Atlasu. Samozřejmě by si útočník mohl s fake e-mailem vyhrát daleko více. Vždy, než by útočník odeslal svůj fake e-mail oběti, poslal by jej určitě nejprve sám sobě, aby jej zkontroloval, zda skutečně vypadá tak, jak měl v plánu, nebo jestli jsou potřeba ještě nějaké úpravy.
Pro posílání fake e-mailů je opět ideální využít Fake Mailer z dílny serveru soom.cz, který je také k naleznení v sekci projekty. Výhodou tohoto fake maileru by bylo, že by si útočník mohl jakýkoliv údaj ve zprávě vymyslet. On-line Fake Mailer by mu k tomu všemu poskytl navíc ještě jakousi anonymitu.
Nyní k samotnému Fake Maileru. První položku, tedy from name by útočník mohl ponechat prázdnou. Druhá položka from e-mail by pro něj ale byla extrémně důležitá. Právě e-mailová adresa odesílatele slouží pro oklamání oběti a dokáže značně podpořit důvěryhodnost fake zprávy. Vymyslet by si útočník mohl opravdu cokoliv, například heslo@atlas.cz, záleží pouze na jeho fantazii a důvtipu.
Další důležitou položkou by byl subject, tedy předmět e-mailu. Ten by útočník mohl opět zvolit zcela libovolně, třeba Atlas.cz, nebo Expirace účtu. V neposlední řadě by pak musel útočník vyplnit pole text, do kterého by vložil obsah své fake zprávy, který vytvořil. Protože je fake e-mail z ukázky ve formátu HTML, bylo by nutné přepnout ještě položku Content-Type na volbu text/html, a tím zajistit, že se příjemci e-mail zobrazí správně. Útočníkovy by již zbývalo jen opsat kontrolní kód a zprávu odeslat tlačítkem send.
Pokud by útočník útočil na e-mailovou schránku uživatele, kterého vůbec nezná, musel by počítat s tím, že uživatel e-mailovou schránku navštíví třeba jen jednou za měsíc a že mu tak jeho heslo nedorazí obratem ihned po odeslání fake zprávy. Pokud by útočil na schránku uživatele, kterého zná, mohl by ho v návštěvě jeho e-mailové schránky nenápadně podpořit.
Údaje odeslané nachytanými oběťmi by zachytával projekt GET2MAIL, ve kterém by si je útočník mohl pohodlně prohlížet, nebo by si je mohl od tohoto projektu nechat zasílat e-mailem. Pokud by útočník zvolil tento typ útoku, měl by v tuto chvíli již vše hotové a jen by se radovat ze zaslaných hesel a kroutit hlavou nad naivitou oklamaných uživatelů.
Závěrem zdůrazním, že pokud by útočník skutečně jednal podle výše uvedeného scénáře, dopustil by se tak hned několika trestných činů, za které by mohl být stíhán.