Sikkerhetsinformasjon uke 32, 2006

Security Information

Introduksjon

Et av de mest populære verktøyene for innbrudd (cracking), fra tidlig i datakommunikasjonshistorien, er "War dialing". Innbryteren bruker et program som får datamaskinen hennes til å ringe (gjennom et modem) til en sekvens med halvtilfeldige telefonnumre i et område. Dersom et modem svarer, kan hun trygt anta at det er plassert en datamaskin bakenfor. Listen med svar fra modemer (datamaskiner) kan deretter bli målgruppen for innbrudd, slik at hun kan fullføre det hun er ute etter.

Ettersom modem ikke er så mye i bruk lenger, har "portskanning" (port scans) tatt over for å gjøre mye av det samme. Fra en datamaskin kan inntrengeren skanne et utvalg av IP-adresser, for å finne datamaskiner med spesielle åpne porter. De som svarer, kan bli målgruppen for videre utforskning med forsøk på å bryte seg inn i, og til slutt ta over datamaskinen. De kan da bli brukt til det hun videre ønsker å gjennomføre (spam, botnet osv.).

Phishing kan løselig defineres slik

"et menneskemanipuleringsangrep (social engineering attack) som forsøker å lure deg til å avsløre personlig informasjon som passord og kredittkortnumre, med den hensikt å begå bedrageri".

Mer informasjon om phishing er tilgjengelig fra flere artikler på nettstedet vårt, for eksempel Sikkerhetsinformasjon for uke 15/2005.

Så kommer Vishing - en kombinasjon av de to teknikkene nevnt ovenfor - hvor det brukes "Voice over IP" (IP/bredbånds-telefoni) og Phishing.

Hvordan Vishing virker

1. Bruke en datamaskin for å ringe sekvenser med numre ("V"-delen)

Først må en konfigurere en datamaskin, som bruker "Voice over IP" (VoIP), til å ringe til mange telefonnumre i et område.

I motsetning til den gode gamle "war dialing"-teknikken, er ikke avstand lenger et spørsmål, siden telefonkostnader ikke er aktuelt. Som vi ser i punkt to nedenfor, kan imidlertid det lokale språket i området som det ringes til, være avgjørende for om vishing-planen blir vellykket.

2. Spille av en forhåndsinnspilt melding ("ishing"-delen)

Noen av numrene som ble ringt opp vil antageligvis svare. Personen bak planen vil da på forhånd ha spilt inn en melding som består av phishing. Dette kan for eksempel være en melding som hevder å være fra bankens avdeling for kredittkortbedrageri, med instruksjoner om å ringe et annet nummer, for å rette opp i noen uklarheter.

3. Skaffe seg den "saftige" informasjonen

Woman in phone

Hvis svindelen punkt to ovenfor er overbevisende, vil noen av de som svarte på den automatiske oppringningen og lyttet til meldingen, ringe til det oppgitte nummeret.

I dette steget er et flere alternativer for visheren:

  • Hun kan bruke sine menneskemanipulerende egenskaper og svare på telefonen selv, for å prøve å lure innringeren til å oppgi personlig informasjon som kredittkortnummer, PIN-kode, fødselsdato, adresse osv.
    Personlig telefonkontakt på dette punktet er sannsynligvis det mest vellykkede. Men ulempen er imidlertid at visheren bare kan snakke med en person om gangen.

  • Hun kan forhåndsinnspille en ny melding. Den forteller en historie som høres troverdig ut og prøver å lure innringeren til å oppgi personlig informasjon.
    Et eksempel kan være at databasen til bankens kredittkortavdeling har brutt sammen, samtidig som det ble stjålet noen kredittkortnumre. Siden databasen og kundeinformasjonen ikke er tilgjengelig, bes innringeren vennligst å oppgi kredittkortnummer og telefonnummer. Da vil banken ringe tilbake hvis dette kredittkortet er blant de som er borte.
    Kun visherens fantasi setter grenser for hvilke overbevisningsteknikker som kan brukes her. Ulempen er at de må være veldig generelle, slik at den treffer og overtaler så mange av innringerne som mulig.

4. Gjennomføre bedrageriet og/eller skaffe mer informasjon.

Den vellykkede innsamlingen av informasjon etter de tre stegene ovenfor, kan videre brukes av visheren til å begå selve svindelen. I eksempelet som nevnes ovenfor er det snakk om kredittkortsvindel, men det kan selvfølgelig være hva som helst.

På dette stadiet kan visheren også bruke den innsamlede informasjonen til å skaffe seg enda mer informasjon. I den mest ultimate (men sjeldne) planen, kan hun til og med prøve å ta over den andre personens identitet.

Noen generelle observasjoner

I Normans Sikkerhetsinformasjon uke 10/2005 diskuterte vi det faktum at nye applikasjoner (i det tilfellet "instant messaging" (øyeblikkelige meldinger)) ble brukt til å spre ondsinnet programvare. Vi påstod her at dette var spesielt vellykket, fordi instant messaging var et nytt medium og brukerne ikke var like mye på vakt, som de er overfor for eksempel bruken av e-post for å spre onde programmer.

Vishing kan betraktes på den samme måten. Oppmerksomheten fra sikkerhetsorganisasjoner, finansielle organisasjoner og media om phishing har i det siste vært betydelig. Fokuset har primært vært på phishing-forsøk gjennom e-post. En ny kanal, VoIP, som en kommunikasjonskanal for phishing, vil for en tid framover være mer vellykket enn phishing gjennom mer tradisjonelle kanaler.

Det vil antageligvis alltid ble slik når nye kanaler blir tatt i bruk. Det generelle rådet som kan brukes uansett hvilke media og teknikker en svindler bruker er:

bruk sunn skepsis i enhver forbindelse hvor du blir bedt om å avsløre noe om deg selv.