Naponta tucatjával jönnek az egyetemi levelezőrendszerre az adathalász levelek. De olyan szinten primitív módszereket használnak, hogy az már fáj. (Néha arra gondolok valójában ezek az IT részleg felmérései, hogy milyen a felhasználók tudatossága.)
A legbénább módszer, amikor az adatokat egy közönséges gmail címre kérik. Még arra sem veszik a fáradságot, hogy egy honlapot összedobjanak. Bár az is lehet, hogy csak nem értenek hozzá.
Egy fokkal igényesebb, ha egy ingyenes tárhely szolgáltató felületén létrehoznak egy annyira primitív oldalt, hogy még képet, CSS-t, semmit nem raknak bele. Rövid szöveg, két beviteli mező, meg egy gomb, hogy elküldjék az adatokat. Most épp a glitch.me a menő, arra irányít át a legtöbb szemét. A form feldolgozását pedig a Formspark-ra bízzák. Ez egyrészt védettséget biztosít a támadónak, mert névtelen, de cserébe könnyű keresztbe tenni nekik.
Alapvetően nem szabad ismeretlen linkre kattintani, de aki szeretné kivenni a részét a védekezésből, és egy átlagos felhasználónál többet tud a számítógépekről, annak leírom, mit tehet.
Először is a linket kimásoljuk a levélből. Linux alatt wget-el letöltjük az oldalt, és megnézzük, mit tartalmaz. Ha csak sima HTML-ből áll, akkor rendben van, folytathatjuk a munkát, ha semmit nem értünk abból, amit látunk, akkor töröljük a levelet is, a letöltött weboldalt is. Nem éri meg a rizikót.
Sima HTML esetén könnyű kiszúrni, hova is küldi az adatot. Ez a Formspark esetén egy submit-form.com lesz, GET-es paraméterben pedig egy egyedi azonosító. Ez kell nekünk! Ez alapján tudunk riportot küldeni ide.
Ha véletlenül mégis böngészőből kattintottunk rá, és elküldtük az adatainkat, akkor sincs minden veszve. A form elküldése után is megjelenik egy report abuse link. Itt is jelenthetjük a dolgot, de akkor minden esetben meg kell változtatni a levelező rendszerben az emailt. Lehetőleg gyorsabban, minthogy a támadó tenné meg :-)
Miért nem akadályozza meg a Formspark, hogy elkészüljön egy ilyen oldal? Nos, ők próbálkoznak, feltételezem van egy tiltott szavak listája, ami ha szerepel a weboldalon, akkor nem engedik rá a nagyvilágra. Ha viszont megnézzük, hogyan épül fel a weboldal, akkor sehol nem szerepel például a "password" szó. Az input mező is "anyword" névvel van ellátva. Egyedül magyarul szerepel, ez pedig feltételezem nincs benne a tiltott szavak listájában. Ezért mikor jelentettem a dolgot, fel is hívtam rá a figyelmet.
Egyébként a támadó egyetemekre szakosodhatott, mert az email aláírásában a Semmelweis szerepelt, nem az én munkahelyem. Szóval a támadó még arra sem vette a fáradságot, hogy különböző egyetemeknek más szöveggel küldjön emailt.
A harmadik szint már egy fokkal jobb. Ők a türelmesek. Ők is primitív módszerekkel dolgoznak, de nem puffogtatják el a muníciójukat azonnal. Várnak a megfelelő alkalomra.
Egyszer például jött egy valódi email az IT részlegről, hogy nagy átállás lesz, kiesik az internet, nem lesz email egy ideig, stb. A karbantartás befejeződése után három különböző spam jött amiben arról írtak, hogy a rendszerfrissítés után nem sikerült visszaállítani az emailemet! Ami egy paradoxon, mert akkor hogy kaptam meg a spam-et? Ráadásul annak ellenére, hogy vannak nagy nyelvi modellek, a levelek mégsem tudtak rendesen magyarul.
Ami megrémített, az az időzítés pontossága volt. Ha még csak egy levélről lett volna szó, azt gondoltam volna, hogy szerencséjük volt az időzítéssel. De három? Legjobb esetben az IT tesztelt minket, felhasználókat, legrosszabb esetben pedig van egy belsős. Egy vakond...
Már csak egy kérdés van hátra: miért ilyen primitívek ezek az adathalász levelek? Hol vannak azok a levelek, ahol a rendőrség fejlécét használják, hogy minél élethűbb legyen a csalás? Hol vannak azok az ál-oldalak, ahol a bejegyzett URL csak egy karakterben tér el attól, amit utánoz?
Minél többet gondolkodok rajta, a válasz annál ijesztőbb. Egy Asimov novella arról elmélkedett, hogy a szuperhős megjelenése magával hozza a szupergonosz megjelenését is, mert csak ők képesek hatákonyan bűnözni. Ezt a logikát a mi esetünkre is átültethetjük. A támadók nyilván a legkevesebb energiát akarják beleölni egy támadásba. A legkevesebbet, amivel azért eredményt tudnak elérni. Ha nulla eredményt érnének el, akkor vagy nem próbálkoznának többször, vagy több energiát tennének bele. Ahogy a fenti példa is mutatja, nem tesznek bele több energiát. Vagyis ennyi munkával eredményt lehet elérni.
A másik lehetőség, hogy ennyi munkával nem lehet eredményt elérni, ezért feladják a próbálkozást, de mivel mindig újabb és újabb scriptkidek lépnek a helyükre, folyamatos a fenyegetettség.
