Utilizatorii celui mai popular serviciu online - e-mailul - obisnuiau sa creada ca cel mai enervant lucru posibil pe care il poti intalni in spatiul virtual este spam-ul (e-mailurile nesolicitate). Acum, ei trebuie sa se gandeasca de doua ori inainte de a ajunge la o concluzie. In ultimele luni, un fenomen mult mai periculos a inceput sa bantuie casutele de e-mail, comenteaza Financial Times: asa numitul "phishing".
Termenul are o etimologie neclara - reprezinta o combinatie intre vechea tehnica a hackerilor numita "phone phreaking", pe care acestia o utilizau ca sa se aleaga cu convorbiri telefonice gratuite, si "fishing", adica "pescuitul" dupa informatii si detalii personale pentru a le folosi in scopuri ilicite, de regula pentru a devaliza conturile bancare ale victimelor.
Ce inseamna, mai exact, phishing? Raspunsul vi-l pot oferi punand o noua intrebare. Ati primit vreodata un e-mail prin care sunteti anuntati ca, dintr-un motiv sau altul, trebuie sa retrimiteti pentru confirmare toate datele personale catre banca cu care lucrati, sau catre o alta institutie care are nevoie de anumite informatii despre dumneavoastra? Aceste e-mailuri contin, de regula, un link catre un site aparent respectabil, care arata foarte asemanator cu site-ul bancii sau al institutiei respective, invitandu-va sa completati un formular cu numele, adresa, datele cartii de credit, sau numele de utilizator si parola. Adica suficiente date pentru ca cel care a gandit toata aceasta schema sa va jefuiasca.
Fenomenul se afla pe o curba ascendenta ingrijoratoare, mai ales in Statele Unite. Un sondaj realizat de institutul de cercetare Gartner, pe un esantion de 5.000 de persoane, a ajuns la concluzia ca aproape 2 milioane de americani au fost inselati in ultimul an prin aceasta metoda, bancile suferind pierderi de 2,4 miliarde $.
Astfel, "phishing-ul" este infractiunea informatica de tip financiar cu cea mai rapida raspandire. Mai important este insa efectul sau secundar: erodeaza increderea oamenilor in cel mai popular mijloc de comunicare - e-mailul - si, mai grav, afecteaza serios relatia de incredere dintre clienti si bancile sau institutiile ale caror nume sunt folosite de hotii virtuali.
Lupta cu phishing-ul a devenit o prioritate de top pentru guverne si pentru lumea financiara, in timp ce comunitatea IT cauta solutii tehnice pentru a limita fenomenul.
Radiografia unui fenomen
Un prim tip de infractiune, care poate fi considerata premergatoarea phishing-ului fusese inregistrata in anul 1996, cand unii abonati ai provider-ului de Internet America Online (AOL) au inceput sa primeasca mesaje e-mail prin care erau rugati, ca din partea companiei, sa trimita parolele cu care se logau la serviciile AOL, "pentru a actualiza bazele de date". Scopul, destul de inocent pe atunci, era ca autorii inselatoriei sa poata naviga pe Internet pe gratis, folosind conturile piratate.
Insa odata cu dezvoltarea e-banking-ului si implicarea tot mai mare a infractorilor informatici in "afaceri" de tip spam (mesaje e-mail nesolicitate) sau alt gen de fraude cu scop lucrativ, phishing-ul s-a transformat, incet-incet, intr-o metoda sofisticata si cu efecte grave asupra celor inselati.
Tom Salmond, un specialist in fraude informatice din Marea Britanie, spune ca, de la identificarea primei "scheme" phishing, in martie anul trecut in Australia, fenomenul s-a raspandit foarte repede in Statele Unite si in Marea Britanie, dar incepe sa apara tot mai des si in restul tarilor europene.
Site-ul de licitatii Ebay, divizia sa PayPal, si banca americana Citibank sunt companiile cele mai afectate pana in prezent de practicile de tip phishing. Numele lor sunt printre cele mai folosite in e-mailurile care au drept scop convingerea victimelor sa-si divulge datele personale pe Internet. Mark Rodgers, purtator de cuvant al Citibank, spune ca educarea consumatorilor este cel mai eficient lucru care se poate face pentru a combate acest fenomen. In consecinta, pe site-ul bancii se gaseste un link numit "About e-mail fraud", care duce spre o lista cu 38 de exemple de mesaje e-mail mincinoase, tot atatea exemple de incercari de frauda pe care clientii Citibank se pot astepta sa le primeasca in cutiile lor postale.
Cele 38 de tipuri de e-mail au fost primite de clientii bancii in perioada aprilie - iunie 2004, si cine arunca o privire asupra lor isi poate da seama ca, cu trecerea timpului, ele devin tot mai sofisticate si mai greu de dovedit ca fiind neautentice.
Cel mai recent dintre ele contine un mesaj convingator: "Regretam sa va anuntam ca va trebui sa va blocam contul bancar, pentru ca am fost informati ca este posibil sa fi fost accesat in mod neautorizat de terte persoane". In afara de acest text, e-mailul mai contine un link spre un site care arata foarte asemanator cu cel al Citibank (inclusiv logo-ul bancii, design-ul si fonturile site-ului original), site-ul pirat aflandu-se, aparent, chiar la o adresa legitima: https://www.citibank.com/account_verify/cgi/index.htm.
Phishing-ul devine tot mai sofisticat. Unii pirati informatici au inceput sa foloseasca asa numitele ferestre pop-up, care cer datele victimelor fara ca acestea sa observe, in multe cazuri, ca fereastra respectiva nici macar nu are o bara de adresa care sa ii divulge provenienta. Mai mult, pe aceste pagini au inceput sa fie incluse si mici iconite grafice care reprezinta simbolul impamantenit al conexiunii securizate la Internet: un mic lacat, stilizat, despre care victimele de obicei nu realizeaza cat de usor este de introdus pe orice pagina web, si in nici un caz doar pe cele sigure.
Una dintre cele mai sinistre metode este insa aceea a instalarii pe computerul victimei, fara stirea sa, a unui program de tip "key-logger". Atunci cand persoana inselata face clic pe linkul primit in e-mailul "fantoma", ajunge pe un site care trimite spre computerul client softul "key-logger", care nu face altceva decat sa inregistreze toate tastele apasate de la computerul respectiv. Daca persoana este suficient de naiva incat sa isi scrie numele de utilizator si parola in asa-zisul formular oficial prezent pe site, programul inregistreaza datele si le trimite prin Internet catre hoti. Cel mai grav este ca victima nu va avea nici cea mai mica idee ca datele i-au fost "pescuite", decat mai tarziu, cand isi va descoperi contul bancar golit sau blocat.
Phishing-ul, o activitate lucrativa
O practica obisnuita pentru banci este sa ramburseze pierderile financiare suferite de clientii lor prin fraudare, mai ales daca acestia raporteaza incidentul in termen de 60 de zile. Chiar si asa insa, este vorba de o situatie neplacuta, din care nimeni nu are de castigat. Bancile trebuie sa acopere fraudele din propriul buzunar, iar clientii sunt nevoiti sa piarda timpul pentru a face plangere si pentru a astepta solutionarea favorabila. Avivah Litan, analist al companiei Gartner, spune ca bancile trebuie sa gaseasca rapid solutii in astfel de cazuri, inainte ca clientii sa inceapa sa-si piarda increderea in tranzactiile online.
Betsy Broder, de la Asociatia Americana pentru Protectia Consumatorului, citeaza un recent raport al Anti-Phishing Working Group, o organizatie dedicata luptei contra piratilor de date confidentiale, in care se arata ca din totalul incercarilor de inselaciune, aproximativ 5% sunt reusite. "Este incurajator. Cei mai multi operatori de marketing direct ar ucide pentru o rata de raspuns de 5%", spune ea.
Mark Bruno, product manager la compania care activeaza pentru combaterea spam-ului Brightmail, spune ca softurile de detectare pe care le foloseste identifica aproximativ 25 de tentative de fraudare diferite in fiecare zi. Bruno a observat ca piratii phishing-ului nu numai ca reusesc sa obtina acces la conturile bancare ale victimelor, ci si utilizeaza datele personale ale acestora pentru a deschide noi conturi si pentru a solicita carti de credit de a caror existenta adevaratii posesori nici nu vor afla, pana cand nu le va sosi acasa nota de plata.
"Phishing este doar o modalitate noua de a comite infractiuni vechi", a comentat Bruno. El a adaugat ca Brightmail identifica aproximativ 2,4 miliarde de mesaje de tip phishing in fiecare luna, la nivel global.
Surse din piata de securitate IT estimeaza ca phishing-ul constituie deocamdata numai 4% din totalul mesajelor e-mail nesolicitate (spam), insa se asteapta ca aceasta cifra sa creasca rapid. "Phishing-ul evolueaza mai rapid decat spam-ul in general, pentru ca este o activitate mult mai profitabila", este de parere Mark Bruno.
Apar primele aliante anti-phishing
Mastercard s-a aliat cu compania de lupta anti-frauda digitala NameProtect in vederea combaterii activitatilor online ilegale, cum este si phishing-ul.
Oficialii Mastercard spun ca, in loc sa reactioneze dupa ce frauda s-a comis, vor prefera o abordare mai agresiva.
"Ii vom lovi pe hotii de informatii chiar pe teritoriul lor, acolo unde ei comunica si se inmultesc", spune Brian Bayliss, vicepresedinte Mastercard. "Lucram pentru a identifica comunitatile de hackeri si pentru a anihila pietele negre de carti de credit, ca si site-urile de Internet care au fost create cu unicul scop de a fura date personale".
Pentru a-si atinge ambitiosul scop, Mastercard va folosi tehnologia software a NameProtect. Aceasta permite identificarea fraudelor in timp real, ceea ce face mai usoara prinderea piratilor virtuali.
"Industria financiara si clientii sai devin in ultimul timp tinta unor atacuri din ce in ce mai sofisticate", spune Mark McLane, director executiv al companiei NameProtect. "Acest parteneriat a pus la punct o platforma pentru atacarea acestei probleme direct de la sursa ei".
Metode sofisticate
Expertii au descoperit ca piratii virtuali au creat adevarate retele, tin legatura intre ei si folosesc in comun tot felul de instrumente informatice.
Scott Weiss, director executiv al companiei de lupta anti-spam Ironport, spune ca hackerii trimit virusi pe Internet cu intentia de a transforma computerele atacate in masini "zombie", care pot fi controlate de catre ei. Apoi, tot acest lant de computere zombie, foarte greu de identificat de catre autoritati, sunt efectiv inchiriate contra-cost amatorilor de phishing, care se folosesc de puterea lor de procesare pentru a trimite milioane de e-mail-uri intr-un timp scurt.
Mick Deats, reprezentant al Departamentului de Lupta contra Infractiunilor Hi-Tech din Marea Britanie, spune ca asemenea retele sunt adesea folosite si pentru spalare de bani. "Infractorii provin adesea din Europa de est, si am constatat ca tot mai multe persoane vorbitoare de limba rusa sunt atrase sa colaboreze cu ei pentru a-i ajuta sa-si aduca banii inapoi", a spus el.
Aceste "cartite" sunt de obicei contactate prin mesageria instant (spre exemplu, Yahoo Messenger), dupa ce infractorii au scanat mai multe profile de utilizatori pentru a-i identifica pe cei vorbitori de limba rusa, si sunt rugati sa ajute un "om de afaceri rus" sa transfere niste bani, promitandu-li-se in schimb un comision.
Reactiile autoritatilor sunt pe masura
Howard Schmidt, director de securitate al companiei eBay, spune ca solutiile tehnologice sunt una din cele patru posibilitati de lupta contra phishing-ului. Celelalte, spune el, sunt o mai buna educatie a utilizatorilor, o mai mare cooperare a autoritatilor in punerea in comun a datelor, si oameni ai legii mai bine antrenati si ajutati in mod corespunzator de niste legi armonizate si actualizate.
"Bancile si marile site-uri de comert electronic devin tot mai eficiente in lupta cu phishing-ul, insa pe masura ce ei fac progrese, si infractorilor le vin noi idei", spune el.
Shawn Eldridge, director de strategie al companiei PostX, spera ca se pot dezvolta o serie de standarde tehnologice si legale pentru a combate fenomenul. El a observat ca daca totul a inceput prin atacarea bancilor si a site-urilor de e-commerce, acum piratii se reorienteaza catre vanzatori cu de-amanuntul sau chiar companii de telefonie, pentru ca acestea opereaza cu baze de date mari care contin date personale ale clientilor.
Tehnologiile anti-phishing dezvoltate pana acum se concentreaza pe servicii de alertare rapide, unelte software de verificare a e-mail-urilor primite sau a site-urilor suspecte. Mai multe firme anti-spam, printre care Brightmail sau Cyveillance, obisnuiesc sa alerteze marile companii atunci cand identifica site-uri dedicate phishing-ului.
Jonathan Penn, analist pentru institutul Forrester Research, spune ca aceste metode sunt eficiente ca prime reactii impotriva phishing-ului, insa pentru a deveni cu adevarat performante, este nevoie de tehnologii mai avansate, care sa faca mai mult decat sa reactioneze dupa ce raul a fost deja produs.
Cu alte cuvinte, el propune solutii informatice care sa atace problema inainte ca ea sa se fi produs. Este vorba de asa-numitele instrumente de identificare a expeditorului de mesaje e-mail. Una dintre institutiile de reglementare a Internetului, IETF (Internet Engineering Task Force), lucreaza in prezent la standardele de functionare ale unui tip de server de e-mail specializat, care sa se ocupe cu autentificarea altor servere, folosite in transmiterea de e-mailuri. Acelasi gen de solutie este dezvoltat in prezent si de Microsoft (sub numele de Caller ID) si Yahoo (DomainKeys).
Un recent raport al Anti-Phishing Working Group a demonstrat ca 95% din totalul mesajelor e-mail cu scopuri de fraudare (inclusiv de tip phishing) folosesc adrese false in campul "from". Cu alte cuvinte, destinatarul este inselat cu privire la identitatea expeditorului.
Acelasi raport a aratat ca in luna mai a acestui an s-au inregistrat 1197 tentative diferite de inselaciune prin phishing, ceea ce reprezinta o crestere de 6% fata de cele 1125 incercari inregistrate in aprilie. Numarul mediu zilnic de atacuri unice in luna mai a crescut usor fata de luna aprilie (38,6 fata de 37,5). De asemenea, in luna mai fata de aprilie, numarul atacurilor indreptate catre U.S. Bank a crescut cu 170%, iar cele impotriva AOL s-au dublat. Industria cea mai vizata a fost cea financiara, cu 848 tipuri diferite de incercari de fraudare.
Insa toate aceste probleme si-ar putea gasi o solutie salvatoare, daca specialistii IT ar reusi sa puna la punct tehnologiile de autentificare ale expeditorului de e-mailuri.
"Calcaiul lui Achile pentru phishing, dar si pentru alte fraude realizate prin e-mail, precum spam-ul sau virusii, este dependenta lor de utilizarea adreselor false din campul 'from' pentru a ascunde adevarata identitate a expeditorului", a spus Dave Jevans, presedinte al Anti-Phishing Working Group.
"Problema este ca pana acum, serverele de e-mail nu aveau nici o preocupare pentru a afla daca mesajele vin intr-adevar de acolo de unde pretind. Insa odata ce providerii de Internet vor incepe sa verifice provenienta e-mailurilor, multe neplaceri care vin prin posta electronica, inclusiv phishing-ul, vor fi mult reduse numeric. Nu sunt multi infractorii care vor prefera sa-si foloseasca conturile personale de e-mail ca sa-si continue activitatile ilegale", a mai spus Jevans.
Dar timpul nu are rabdare
Totusi, asemenea rezolvari sunt inca destul de departe, iar timpul nu este un aliat pentru autoritati. "Este destul de clar ca fenomenul phishing va continua sa se agraveze inainte ca noi sa il putem combate eficient. Avem nevoie de metode noi si performante ca sa ne aparam", spune Doug Peckover, presedinte al companiei producatoare de software de securitate Privacy.
Matt Cain, analizt al companiei de analiza MetaGroup, este si mai radical. Explozia de inselaciuni folosind Internetul, ca si spam-ul si virusii, contribuie la amplificarea unei crize care ar putea afecta grav un mijloc de comunicare vital pentru viitorul comunicarii interpersonale: e-mailul. "Infrastructura pe care functioneaza e-mailul se afla in cel mai mare pericol in care a fost vreodata", spune el.
mihai.musatoiu@zf.ro
Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels
