Phishingowy monopolista
Jak wynika z danych przedstawianych przez Anti Phishing Working Group (APWG), spośród wszystkich zarejestrowanych ataków phishingowych w liczbie 126 tysięcy dwie trzecie przypada na konto jednej grupy phisherów. Zdaniem APWG grupa określająca się mianem Avalanche (lawina) może być bezpośrednim następcą grupy Rock Phish.
18.05.2010 | aktual.: 18.05.2010 15:05
Jak wynika z danych przedstawianych przez Anti Phishing Working Group (APWG), spośród wszystkich zarejestrowanych ataków phishingowych w liczbie 126 tysięcy dwie trzecie przypada na konto jednej grupy phisherów. Zdaniem APWG grupa określająca się mianem Avalanche (lawina) może być bezpośrednim następcą grupy Rock Phish.
O grupie Rock Phish szczególnie głośno było w latach 2006–2007. ponieważ jej członkowie stosowali między innymi specjalny, łatwy w obsłudze pakiet narzędzi do phishingu. Narzędzie jako pierwsze obsługiwało sieci Fast Flux, w których nazwy domen prowadzących do stron phishingowych pozostają stałe, podczas gdy adresy IP wciąż się zmieniają i wskazują na zainfekowane komputery serwujące spreparowane strony WWW. W ten sposób phisherzy usiłowali zacierać za sobą ślady i wzmacniać infrastrukturę, ponieważ do ich działania nie był potrzebny dostawca hostingu. Jedynie rejestrator mógł zablokować nazwę domenową używaną do przestępczych celów.
Dlatego też według APWG właściciele botnetu używali wielu setek domen –. i rejestrowali nazwy najchętniej u rejestratorów, którzy ze zwłoką albo też w ogóle nie reagowali na informacje przekazywane przez organy ścigania. Jeśli jakiś rejestrator nabierał podejrzeń, np. ze względu na dziwne nazwy domen, phisherzy przenosili się do innego, mniej wyczulonego. Wygląda na to, że takich podmiotów zajmujących się sprzedażą domen było i wciąż jest wystarczająco dużo.
Tym niemniej dzięki współpracy banków, rejestratorów i innych firm udało się stosunkowo szybko zahamować ataki grupy Avalanche. Jednak w ciągu ostatnich lat przeciętny czas aktywnego trwania (uptime) ataku phishingowego spadł z 5. godzin na początku 2008 roku do 32 godzin na początku 2009 roku.
Niewykluczone, że w wyniku coraz szybciej podejmowanych środków ataki grupy Avalanche wreszcie się skończyły i chociaż w październiku osiągnęły swój punkt kulminacyjny w postaci 2. tysięcy przeprowadzonych prób wykorzystujących 924 różne nazwy domen, to w kwietniu 2010 roku nie odnotowano już aktywności.
Do najpopularniejszych obszarów adresowych TLD wśród domen rejestrowanych przez grupę, były domeny .eu (33%), .uk i .net. Dla porównania inne grupy phisherów najczęściej używały adresów kończących się na .com i .net.
Warto zwrócić uwagę, że APWG do tej pory zaobserwowała jedynie nieliczne ataki typu Homograph Spoofing związane z obsługą International Domain Name (IDN). Przy takich atakach znaki w adresie URL wyglądają wprawdzie prawidłowo, ale wcale takimi nie są. Np. а w cyrylicy i a w alfabecie łacińskim w większości zestawów znaków jest wyświetlane graficznie tak samo, mimo że są to tak naprawdę różne znaki (look alike character). Taką okazję phisherzy mogą wykorzystać do zmylenia użytkownika w adresach takich jak www.paypal.com. APWG przypuszcza, że przestępcy nie chcą z tego korzystać, bo nazwa domeny ma tak naprawdę niewielkie znaczenie – użytkownicy wciąż nie sprawdzają wystarczająco starannie adresów URL.
wydanie internetowe www.heise-online.pl