DNS PHISHING. - stratpoints€¦ · DNS crossfix DNS crossfix to nic innego jak krzyżowanie...

DNS PHISHING.W POLSKICH INSTYTU CJACH PUBLICZNYCH

| PUBLIKACJE

Komentarza udzielają EKSPERCI FUNDACJI

Publikacja w ramach projektu Neptune fundacji Stratpoints.

PROJEKT BEZPIECZEŃSTWO &R OZWÓJNEPTUNE

Komentarza udzielają EKSPERCI FUNDACJI, 2017. Publikacja w ramach projektu NEPTUNE fundacji Stratpoints.

PROJEKT BEZPIECZEŃSTWO &R OZWÓJNEPTUNE Copyright © Fundacja Bezpieczeństwa i Rozwoju Stratpoints

1. WPROWADZENIE

Phishing

Najprościej mówiąc phishing to sposób oszustwa, którego metoda zaliczana jest do inżynierii społecznej, a polega na podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji lub w celu wprowadzenia nieprawdziwych lub prawdziwych informacji w obieg tych instytucji. Najczęściej spotykanym zastosowaniem jest korespondencja email od autora podszywającego się pod określoną instytucję lub organizację celem wyciągnięcia danych osobowych lub płatności elektronicznych. Zazwyczaj odbywa się to poprzez otwarcie odnośnika do fałszywej strony, która podszywa się pod inny podmiot. Na stronie imitującej właściwy podmiot znajduje się okienko do logowania tak jak we właściwym serwisie. Wprowadzane dane są gromadzone i przekazywane do włamywacza, który wykorzystuje je do zalogowania do prawdziwego serwera. Inna technika polega na wysłaniu korespondencji email z fałszywego serwera z prośbą o przesłanie jakiś informacji lub dokumentów. W ten sposób istnieje szansa, że ofiara ataku nie zauważy niewłaściwego adresu email i automatycznie odpowie tak, jak odpowiedziałaby nadawcy właściwemu.



Rysunek 1 - przykład podszywania się pod Bank Zachodni WBK S.A poprzez korespondencję email z odnośnikami do fałszywej strony www

Zatruwanie DNS

Zatruwanie serwera nazw (domain name server) polega na przesłaniu przez atakującego do serwera DNS fałszywej informacji kojarzącej nazwę domeny z adresem IP. Serwer nazw zapamiętuje taką kombinację przez pewien krótki czas (do kilku godzin lub kilku minut) i zwraca swoim klientom zapamiętany adres IP. Skutkiem takiego działania jest przeniesienie odbiorcę odpytującego o daną nazwę na niewłaściwy numer IP. Niepokój użytkownika końcowego powinien szczególnie budzić fakt braku zainstalowanego certyfikatu zaufanego na stronie, którą otwiera. W szczególności dotyczy to instytucji państwowych. Na dzień dzisiejszy w Polsce niestety istnieje możliwość łatwego i legalnego podszycia się pod pewne instytucje bez stosowania ataków DNS, które zostały już praktycznie wyeliminowane poprzez rozwiązania zaimplementowane w nowych wersjach serwerów nazw. Nie mniej jednak sam problem pozostał, gdyż zmieniła się w pewnym sensie technika ataku, lecz nie zmienił



się efekt końcowy. Oprócz różnego rodzaju mechanizmów proxy, można zastosować również inne sposoby opisane poniżej.

Rysunek 2 - przykład podszywania się pod mBank poprzez przekierowanie do fałszywej strony, źródło : mBank

Pharming

Jest to najbardziej niebezpieczna dla użytkownika końcowego oraz najtrudniejsza w rozpoznaniu forma podszywania się pod inny podmiot (phishing), która polega na przekierowaniu na fałszywą stronę pomimo podania prawidłowego adresu internetowego lub podpięcie się pod prawidłowy adres internetowy w postaci subdomeny, która łączy się pośrednio lub bezpośrednio z serwerem właściwej instytucji. Teoretycznie istnieją trzy sposoby pharmingu :

1. Zatrucie globalnego serwera DNS w celu skojarzenia właściwego adresu URL z fałszywą stroną,

2. Wykorzystanie koni trojańskich do modyfikacji systemu operacyjnego w taki sposób, że będzie on przekierowywał na inne adresy niż te wskazane w odpowiedziach serwera DNS

3. Zarejestrowanie subdomeny pod domeną główną instytucji i imitacja serwisu z domeny głównej



Należy wyraźnie podkreślić, że sposób pierwszy wymaga szczególnych umiejętności technicznych i tego typu atak zdarza się stosunkowo rzadko i jest szybko nagłaśniany w mediach społecznościowych oraz w biuletynach bezpieczeństwa.

W drugim przypadku wystarczy zazwyczaj zastosować oprogramowanie antywirusowe, które zabezpiecza nas przed takimi przypadkami. Nie mniej jednak sytuacja związana z tym zagrożeniem w Polsce jest dosyć powszechna, gdyż wiele osób nie tylko nie używa oprogramowania antywirusowego, ale również regularnie pobiera pliki z serwisów pirackich (TOR, torrent, inne p2p), gdzie instalatory zawierają dodatkowe komponenty, które nie tylko modyfikują zapytania DNS, ale również mogą podpinać rejestratory klawiatury (keylogger), generatory kryptowalut i inne oprogramowanie szpiegujące. Nie jest tajemnicą, że spora część oprogramowania pirackiego w języku polskim pochodzi bezpośrednio z Federacji Rosyjskiej (np. niektóre pirackie wersje polskiej wersji Windows 7 mają podmienione kilkanaście standardowych sterowników, które zgłaszają swoją obecność serwerom w Petersburgu i odbierają instrukcje poleceń wraz z harmonogramem).

Trzeci sposób jest praktycznie transparentny, trudny do wykrycia przez stronę trzecią oraz powszechnie stosowany w przypadku polskich instytucji. Tutaj również nie jest tajemnicą, że większość przekierowań pośrednio lub bezpośrednio prowadzi do Federacji Rosyjskiej, co nie oznacza, ze za atakami stoją bezpośrednio Rosjanie. Po prostu Federacja Rosyjska jest wygodnym i łatwo dostępnym miejscem do ataku teleinformatycznego.

E-mail spoofing

Jest to technika ataku, w której dane nagłówkowe korespondencji email nadawcy zostały zmodyfikowane w taki



sposób, aby wyglądały na pochodzące z innego źródła. Najczęściej spotykanym zastosowaniem jest tutaj oczywiście rozsyłanie niezamawianej treści reklamowej (spam). Innym powszechnym zastosowaniem jest właśnie phishing, czyli rozsyłanie korespondencji podszywającej się pod organizację właściwą z linkami do fałszywych adresów www. Jednym z elementów w ramach tej techniki jest podawanie różnych adresów nadawcy i domyślnego adresu do odpowiedzi. Absolutna większość aplikacji do czytania korespondencji nie wyświetla szczegółów struktury korespondencji, a to właśnie tutaj znajdują się krytyczne informacje umożliwiające identyfikacje takiego potencjalnego ataku. Dopiero wyświetlenie pełnej struktury korespondencji wraz z nagłówkiem pokazuje jakie są różnice i zagrożenia.

Rysunek 3 - przykład struktury korespondencji wykorzystanej do e-mail spoofing, proszę zwrócić uwagę na różnicę w adresie nadawcy i adresie do odpowiedzi



DNS crossfix

DNS crossfix to nic innego jak krzyżowanie adresów nazw. Technika jest banalnie prosta i sama w sobie nie stanowi potencjalnego zagrożenia. Dopiero w połączeniu z innymi technikami stanowi istotne uzupełnienie całości. W skrócie polega ona na tym, że serwer DNS jest oddzielony od serwera właściwego, na którym skonfigurowana jest dodatkowo lub osobno inna nazwa domeny niż w serwerze nazw. Przykładowo serwer DNS będzie wskazywał, iż IP serwera podszywającego się policja.wroclaw.pl to 192.168.1.1 natomiast sam serwer będzie przy poczcie przychodzącej i wychodzącej identyfikował się jako wroclaw.policja.gov.pl, gdyż będzie to wynikało z jego lokalnej konfiguracji. Ponieważ serwer nazw a serwer właściwy to osobne maszyny, nie będzie tutaj istniał konflikt. Co więcej serwer nazw nie widzi konfiguracji serwera podszywającego się, a poczta przekazywana jest bezpośrednio do numeru IP a nie do adresu domeny. Jest to szczególnie istotne w przypadku konfiguracji serwera „pod łowienie poczty”, gdzie zależy atakującemu na przyjmowanie wszystkich informacji, które ominęły serwer właściwy. Dodatkowym rozwiązaniem jest tutaj również ustawienie reguł dla poczty przychodzącej ACCEPT_ALL, co spowoduje, że poczta będzie trafiała do naszych skrzynek nie tylko w przypadku pomyłki w nazwie domeny, ale nawet w przypadku pomyłki w adresie skrzynki. Zwykłe mapowanie skrzynek pocztowych w konfiguracji serwera pocztowego zwiększa znacząco prawdopodobieństwo „złapania” większej ilości korespondencji przychodzącej do podszywającego się serwera. Przykładowa konfiguracja serwera Sendmail będzie wyglądać podobnie do następującej :

define(`SMART_HOST',`local:some_user')dnl define(`MAIL_HUB',`local:some__user')dnl



dnl optional part to list local users/mailboxes excluded from the redirect dnl in /etc/mail/direct-users file (one user per line) LOCAL_CONFIG FL/etc/mail/direct-users divert(0) Dodatkowo w /etc/hosts znajdą się w przykładowej konfiguracji następujące wpisy :

127.0.0.1 localhost 192.168.1.1 policja.wroclaw.pl 192.168.1.1 wroclaw.policja.gov.pl W przypadku uruchomienia lokalnie obu komend z podszywającego się serwera otrzymamy taką samą odpowiedź z adresu 192.168.1.1: ping policja.wroclaw.pl ping wroclaw.policja.gov.pl Natomiast z zewnątrz ping wskaże oczywiście na dwa różne adresy, gdyż odwoła się do innych, właściwych serwerów nazw (DNS).



2. ZAGROŻENIA DLA PAŃSTWA

Cele ataku

Zagrożenie phishingiem nie dotyczy wyłącznie użytkowników serwisów społecznościowych, klientów instytucji finansowych czy innych organizacji komercyjnych. Phishing stanowi realne wyzwanie dla bezpieczeństwa państwa, gdyż w szczególności dotyczy fundamentalnych struktur instytucji państwowych.

Zagrożenie płynie bezpośrednio z faktu braku powszechnej świadomości społecznej na temat tego czym charakteryzują się adresy właściwe wyżej wymienionych instytucji oraz jak sprawdzić wiarygodność danego serwisu. Przeciętny Kowalski nie wie jaki adres internetowy jest właściwy dla ABW, Sądu Rejonowego, Urzędu Skarbowego czy CBA. Zatem najprawdopodobniej jedną z pierwszych rzeczy jaką zrobi, to sprawdzenie w wyszukiwarce Google, czy pierwszy znaleziony adres jest taki sam jak ten, który został podany w źródle ataku. Problem zaczyna się jednak w momencie, kiedy adresy są różne, ale reprezentują wizualnie taką samą instytucję, a jednocześnie adres fałszywy podpięty jest bezpośrednio pod domenę prawdziwej instytucji.

Metody ataku

Najprostszym sposobem imitacji serwera właściwego jest podpięcie się pod domenę wojewódzką lub utworzenie serwisu w domenie krótkiej. Możemy zatem zarejestrować np. domenę policja.com.pl która będzie imitować serwis właściwy policja.pl. Dla przeciętnego użytkownika w większości wypadków policja.com.pl



będzie adresem podejrzanym, gdyż Policja nie jest przecież instytucją komercyjną. Natomiast w przypadku adresu policja.wroclaw.pl jego czujność zostanie znacznie uśpiona, gdyż wroclaw.pl jest przecież oficjalnym portalem internetowym Wrocławia. Nie wiadomo zatem, dlaczego nie zostały zarezerwowane i zablokowane dla stron trzecich subdomeny z nazwami najważniejszych i najbardziej charakterystycznych instytucji. Nie dziwi zatem fakt, że zostały one błyskawicznie przejęte nie tylko przez komercyjnych odbiorców, ale również przez nieznane podmioty poza granicami Rzeczypospolitej Polski. Co więcej adres policja.wroclaw.pl może natychmiast przekierować zapytanie http na adres serwisu właściwego, natomiast pocztę transportowaną SMTP pozostawiać na serwerze atakującym. Przykładowy skrypt umieszczony w pliku index.php na stronie głównej podszywającego się serwera wystarczy by wprowadzić użytkownika w błąd, kiedy pomyśli on, iż adres fałszywy, a rzeczywisty to w istocie ten sam serwer, a w istocie są to zupełnie różne serwery:

<?php header(‘Location: http://wroclaw.policja.gov.pl/pl/’);

?> Umieszczenie powyższego na dowolnym serwerze http z obsługą php spowoduje przeskoczenie przeglądarki na adres http://dolnoslaska.policja.gov.pl/pl/

Zatem w tym konkretnym przypadku zapytania http zostają przeniesione, natomiast poczta pozostaje na serwerze w subdomenie. Jednakże, aby całość miała większy sens, należy w subdomenie utworzyć konta pocztowe odpowiadające kontom rzeczywistym w domenie macierzystej oraz wprowadzić fałszywe adresy do obiegu. Nie potrzeba do tego wyszukanych narzędzi, gdyż wystarczy dowolna



dystrybucja Linuxa z obsługą sendmail. W przypadku Slackware będzie to wyglądało następująco :

cd /usr/share/sendmail/cf/cf sh Build sendmail-slackware.mc cp sendmail-slackware.cf /etc/mail/sendmail.cf cp submit.cf /etc/mail/ chmod +x /etc/rc.d/rc.sendmail /etc/rc.d/rc.sendmail start

Kolejnym krokiem jest utworzenie skrzynek podszywających się pod adres rzeczywisty, co jest również elementem trywialnym (adduser). Wystarczy bowiem dokładnie obejrzeć macierzystą stronę internetową, by takie adresy odnaleźć. Dodatkowo można pokusić się o przeszukanie portali społecznościowych i odnaleźć pracowników danej instytucji, a następnie na fałszywym koncie z ładnym zdjęciem podszywającym się np. pod atrakcyjną modelkę poprosić o podanie służbowego emaila. Istnieje prawdopodobieństwo, że wiele osób poda takie adresy w przekonaniu, że nic im nie grozi, gdyż są to przecież ich oficjalne adresy służbowe. Co więcej, na samej stronie internetowej znajdują się często adresy w innych domenach niż domena strony internetowej, co tym bardziej wprowadza w zamieszanie użytkowników. Przykład (różne przedrostki w adresie domen) : Adres URL : http://www.wroclaw.policja.gov.pl/pl/o_nas/kierownictwo/ Adres email na powyższej stronie : [email protected]



Oczywiście, gdy do przeglądarki WWW wprowadzimy adres wroclaw.wr.policja.gov.pl taki jak w adresie email – nie wyświetli się żadna strona. Zatem użytkownik może pomyśleć, że adres jest niewłaściwy i skorzysta z następnego w kolejce. Co więcej, sam klient pocztowy (aplikacja) może dokonać takiego odpytania w trakcie sortowania książki adresowej i umieścić właściwy adres mailowy na końcu listy podpowiedzi.

Nie wzbudzi zatem powszechnego podejrzenia fakt istnienia dodatkowej skrzynki o nazwie [email protected] która będzie w rzeczywistości adresem prowadzącym do podszywającego się serwera podpiętego bezpośrednio pod Dolnośląski Urząd Wojewódzki.

Mając zatem utworzoną już skrzynkę [email protected] (adres na fałszywym serwerze), można przystąpić do cross-pharmingu, czyli np. odpytania urzędu skarbowego o dane osobowe podejrzanego lub rozesłać masowo do różnych instytucji życzenia świąteczne z zajączkiem w załączniku. W ten sposób adres nie tylko służy do „rozsiewania” złośliwego oprogramowania, ale również do „pozycjonowania się” w książkach adresowych innych instytucji.

W celu jeszcze większego zamaskowania atakującego stosuje się technikę e-mail spoofing oraz DNS crossfix. Subtelna różnica w nagłówku email jest jeszcze bardziej trudna do odnalezienia nawet przez oprogramowanie antywirusowe, zwłaszcza w sytuacji, gdy na serwerze właściwym nie ma zainstalowanego zaufanego certyfikatu. Należy dodać, że strony praktycznie wszystkich instytucji w Polsce są niezabezpieczone zaufanymi certyfikatami tożsamości. Wystarczy kliknąć na ikonkę obok adresu instytucji, by przekonać się o tym na własne oczy.



Rysunek 4 - weryfikacja bezpiecznego połączenia i certyfikatu domeny

Szczególnym przypadkiem beztroski jest tutaj również Ministerstwo Obrony Narodowej, które praktycznie wszystkie najważniejsze adresy korespondencyjne umieszcza na stronie WWW pod adresem : http://www.mon.gov.pl /kontakt

Nie trudno również wyobrazić sobie jakie skutki i zamieszanie może zostać wprowadzone przed ćwiczeniami wojskowymi, gdy nagle jednostki wzajemnie zaczną przesyłać między sobą fałszywe informacje lub część informacji zostanie przekazana do niewłaściwych serwerów. W pierwszym przypadku sam fakt pojawienia się danej informacji będzie skutkował co najmniej koniecznością zweryfikowania źródła i autentyczności. W drugim przypadku, znacznie trudniejszym do wykrycia, oprócz weryfikacji źródła ataku niezbędne będzie oszacowanie strat, oszacowanie ryzyka oraz podjęcie działań zapobiegawczych. Niestety jak wskazują powyższe przykłady, nie jest to problem do rozwiązania na poziomie pojedynczej jednostki wojskowej lub nawet na poziomie jednego województwa, organizacji czy ministerstwa.

Ważną informacją jest również fakt, że cała procedura imitacji może być uruchomiona i zlikwidowana w ciągu dosłownie kilkunastu minut. Całą operację można zatem przeprowadzić z laptopa w



kawiarence internetowej. Nie trudno zatem wyobrazić sobie sytuację, gdy hacker uruchamia serwis podszywający się pod policję lub inną instytucję, przesyła zapytania lub dokumenty do prokuratury lub innego organu z fałszywych adresów email, po czym po otrzymaniu odpowiedzi likwiduje cały łańcuch zależności prowadzący do niego. Ponieważ korzysta z publicznego połączenia WiFi, nie istnieje w praktyce łatwy sposób namierzenia jego tożsamości. Co więcej, może on tego dokonać w sposób w pełni transparentny nawet bez korzystania z subdomeny regionalnej, jeżeli jego celem jest jedynie wprowadzenie informacji do obiegu, a nie pozyskanie informacji z serwisu głównego.

Szczególnie narażone podmioty

1. ABW

Agencja Bezpieczeństwa Wewnętrznego ma swój serwis główny w domenie abw.gov.pl. Jednak większość użytkowników w pierwszej kolejności wprowadza adres abw.pl lub podobny, który szczęśliwie prowadzi na stronę firmową podmiotu zarejestrowanego w Polsce. Jednak już zupełnie inaczej wygląda sprawa subdomeny „abw” w przypadku domen wojewódzkich, gdzie część serwerów znajduje się na terenie Ukrainy i Federacji Rosyjskiej, a niektóre z nich zarejestrowane są w Holandii czy na Cyprze.

Oczywiście mało prawdopodobna jest sytuacja, by ktoś odwoływał się do serwisu abw.wolomin.pl czy podobne, jednak subdomena abw.warszawa.pl jest już znacznie bardziej narażona na tego typu manipulacje.



2. Centralne Biuro Antykorupcyjne

Podobnie jak powyżej, wygląda sytuacja w przypadku CBA, gdzie serwisem głównym jest cba.gov.pl, a najczęściej wpisywaną nazwą jest jednak cba.pl.

W przypadku subdomen również mamy do czynienia z ciekawą sytuacją. Niektóre adresy zarejestrowane w postaci subdomen w domenach regionalnych prowadzą albo do Holandii, albo do Krakowa, albo do innych lokalizacji poza granicami Polski. Pozostałe są w większości wolne do rejestracji. Nie wiadomo jednak, czy niektóre strony są tymczasowe oraz jaki ruch odbywa się na pozostałych portach i usługach poza http.

3. Ministerstwo Obrony Narodowej

W przypadku Ministerstwa Obrony Narodowej mamy do czynienia z dużą ilością domen oficjalnych. Należą do nich nie tylko subdomeny .gov.pl, ale również .mil.pl. Większość odbiorców nie jest jednak w stanie zorientować się, która nazwa jest właściwa, czy np. http://11ldkpanc.wp.mil.pl czy http://11ldkpanc.zagan.pl w sytuacji gdy obie strony będą wyświetlać to samo. Nie istnieje również centralny, rządowy rejestr, właściwych adresów stron internetowych jednostek wojskowych. Łatwo można zatem manipulować nie tylko korespondencją, ale również przepływającymi informacjami.

Zupełnie niezrozumiała jest również praktyka prowadzenia blogów jednostek wojskowych, czy też tworzenia stron struktur wojskowych na portalach społecznościowych. Zdaje się, że na dzień dzisiejszy Polska jest chyba jedynym państwem NATO, gdzie kadra najwyższego stopnia prowadzi blogi i kłóci się przez Twitter i Facebook w zakresie koncepcji właściwej strategii obronnej. Te



konta bardzo często powiązane są z ich telefonami, które łączą się z routerami znajdującymi się w jednostkach. Samo przełączenie się pomiędzy sieciami nie jest zabezpieczeniem (albo korzystam z jednej albo z drugiej), a telefony wniesione na teren jednostki wojskowej lub ministerstwa łączą się z innymi telefonami i sukcesywnie rozprowadzają mechanizmy ataku. Do zaatakowania innego urządzenia w ogóle nie musi być używana sieć WiFi / TCP, wystarczy Bluetooth i odpowiednia odległość jednego urządzenia od drugiego. Ostatni atak masowy przy wykorzystaniu takiego rozwiązania miał miejsce 7 listopada i zdarza się kilka razy w miesiącu :

https://blog.pointas.com.pl/lokibot-nowy-trojan-bankowy-uzytkownicy-stracili-juz-15-mln-dolarow/

Nie jest również tajemnicą fakt, że część jednostek wojskowych korzysta z oprogramowania, na które licencja już dawno wygasła. Dotyczy to zarówno oprogramowania desktop jak również sterowników innych urządzeń. Taka sytuacja jest niedopuszczalna, niestety nagminna.

4. Urzędy Skarbowe

Urzędy skarbowe zazwyczaj posiadają krótkie adresy składające się z przedrostka „us” oraz nazwy lokalizacji. Większość tych adresów, które podpięte są pod wojewódzkie lub miejskie domeny regionalne, prowadzi donikąd. Przykładowo us.bialystok.pl prowadzi na serwer w Katowicach, a wyniki wyszukiwania frazy „urząd skarbowy Białystok” prowadzą na szereg serwerów stron trzecich. Bardzo podobnie wygląda sytuacja w przypadku pozostałych kilkuset domen regionalnych. Nie istnieje jeden mechanizm umożliwiający jednoznaczne odróżnianie stron instytucji podległych Ministerstwu Finansów. Istnieje zatem szerokie pole do manipulacji w tym zakresie.



5. Zakład Ubezpieczeń Społecznych

Nie inaczej wygląda sytuacja w przypadku ZUS, gdzie również mamy szereg domen zarejestrowanych na serwerach nie należących do tej instytucji. Np. adres zus.bialystok.pl prowadzi do serwisu „Zdrowie, Uroda i Sport”, podczas gdy jest to najczęściej wpisywany adres przy wyszukiwaniu Zakładu Ubezpieczeń Społecznych w tym województwie. Po prostu ten adres jest aktualnie lepiej wypozycjonowany w wyszukiwarkach.

Niestety nie każdy ma świadomość, że istnieje tylko jeden serwis główny. Bez problemu można zatem zarejestrować serwis w subdomenie regionalnej i wprowadzić innych użytkowników w błąd.

6. Policja

Bardzo poważnie wygląda sytuacja w przypadku Policji. Część adresów podpiętych do domen regionalnych przekierowuje pod właściwe adresy serwerów policyjnych. Niestety pozostała część prowadzi albo donikąd albo pod fałszywe adresy. Przykładowo po wpisaniu adresu policja.katowice.pl zostaniemy przeniesieni pod właściwy adres http://www.katowice.slaska.policja.gov.pl/ lecz w przypadku policja.radom.pl znajdziemy się w serwisie aftermarket, a już serwer inny serwer policja w domenie regionalnej, prowadzi bezpośrednio do Niemiec (Bayern/Gunzenhausen). Istnieje także wiele subdomen regionalnych, a w szczególności wojewódzkich, które mogą zostać przejęte przez strony trzecie.

Co więcej, wiele komisariatów prowadzi aktywnie profile w mediach społecznościowych i zdarzały się już przypadki, gdy na oficjalnych kontach mylono nazwy innych komend. Wynika to



bezpośrednio z faktu, ze nie jest uporządkowany system domen dla tych konkretnie jednostek administracji publicznej.

7. Urzędy Wojewódzkie i Urzędy Miejskie

W przypadku wyszukiwania urzędu miejskiego lub wojewódzkiego, użytkownik w większości przypadków wpisuje nazwę urzędu oraz nazwę miejscowości. Nie budzi zatem podejrzeń użytkownika korespondencja otrzymana z adresu uw.[województwo].pl

Drugim poważnym zagrożeniem są wolne subdomeny eup/esp oraz bip, które analogicznie stosowane były dla serwisów Elektronicznej Skrzynki Podawczej jak również Biuletynu Informacji Publicznej. W większości przypadków istnieje możliwość zarejestrowania subdomen w domenach oficjalnych instytucji regionalnych zarówno na poziomie województwa jak również poszczególnych miast.

8. Sądy i prokuratura

Podobnie jak dla urzędów wojewódzkich i urzędów miejskich wygląda sytuacja w przypadku sądów i prokuratur. Schemat domen to zwykle [miasto].sr.gov.pl dla sądów rejonowych i [miasto].so.gov.pl dla sądów okręgowych. Jednak większość internautów wprowadzi do wyszukiwarki np. sad.gdansk.pl lub sad.warszawa.pl oczekując, że pod tym adresem pojawi się strona sądu. Wynika to bezpośrednio z tego, że adresy instytucji właściwych są nieintuicyjne. Adresy można by tutaj mnożyć, gdyż istnieje ponad 200 domen regionalnych.

( Wszystkie domeny i serwisy docelowe sprawdzone przez NASK oraz serwis http://whoisrequest.com/ , stan na 7 listopad 2017r. Serwis



IP-LOCATION podaje że np. abw.bydgoszcz.pl znajduje się we Francji, a inne adresy na Ukrainie lub na terenie Federacji Rosyjskiej).

Szczególnie narażone osoby

Najbardziej narażeni są zwykli ludzie, użytkownicy Internetu, którzy nie mają powszechnej wiedzy na temat potencjalnych zagrożeń. Ta grupa jest najliczniejsza i w największym stopniu narażona na masowe manipulacje oraz potencjalne ataki. Większość ataków pozostaje niezidentyfikowana przez ofiary, a potencjalne pytania stawiane są dopiero w przypadku zgłoszenia na policję, gdy mamy do czynienia ze stratą materialną znaczącego rozmiaru. Nie wiadomo jednak jak wiele operacji przeprowadzono oraz jaka ilość pozyskanych informacji została uśpiona na czas potencjalnego, masowego ataku. Jeżeli wydaje Ci się czytelniku, że taki scenariusz jest mało prawdopodobny, to uświadom sobie fakt, iż czytasz dokument, którego pochodzenia tak naprawdę nie znasz, w formacie umożliwiającym wykonanie instrukcji na Twoim komputerze już w momencie, gdy pierwszy raz kliknąłeś na niego myszką, a sama liczba potencjalnych ataków poprzez format dokumentu .pdf liczy wiele, wiele stron. (http://goo.gl/CGoPXu) Skoro Ty właśnie w tej chwili mogłeś paść ofiarą takiego ataku, to znaczy że na Twoim miejscu właśnie mógł być ktokolwiek inny. Na szczęście tym razem nie musisz się niczego obawiać, ale potraktuj to jako osobistą przestrogę i nowe doświadczenie.

Służby specjalne i służby mundurowe są wyjątkowo narażone na zagrożenia cybernetyczne ze względu na fakt wagi pozyskanej lub utraconej informacji. Oprócz wspomnianych wyżej metod podszywania się pod inne serwery (czyli de facto inne osoby i inne



instytucje), manipulacje korespondencją i informacją, istnieje szereg innych technik informatycznych, które mogą zostać wykorzystane w połączeniu z socjotechniką. Należy tutaj również szczególnie podkreślić, że zagrożeni są nie tylko sami funkcjonariusze, ale również ich najbliższe osoby czyli rodzina, która powinna być objęta szczególną ochroną. Najprostszym sposobem „dotarcia” do osoby posiadającej poświadczenia bezpieczeństwa jest droga przez media społecznościowe, z których korzystają członkowie rodziny czyli np. nastoletnie dzieci lub współmałżonek. Ostatecznie najprawdopodobniej wszyscy członkowie rodziny korzystają z tej samej sieci WiFi, a jeden zainfekowany zdalnie komputer czy telefon może skutecznie rozprzestrzenić zagrożenie przez wszelkie inne media, w tym również router WiFi. Ten z kolei przekazuje informacje do telefonu komórkowego lub laptopa, z którym ofiara ataku nie rozstaje się w swoim miejscu pracy. Warto zatem mieć świadomość, jak wiele kroków i samodyscypliny jest niezbędne w celu utrzymania odpowiedniego poziomu bezpieczeństwa.

Nie inaczej wygląda sytuacja w przypadku wymiaru sprawiedliwości, a w szczególności policji oraz pracowników sądów. Po pierwsze w obu przypadkach mamy do czynienia praktycznie z masową skalą zjawiska. Po drugie wyciek kluczowej informacji lub wprowadzenie fałszywej informacji może doprowadzić nie tylko do upadku całej sprawy procesowej, ale również narazić na odpowiedzialność karną lub fizyczne niebezpieczeństwo poszczególne osoby. Myli się ten, kto uważa, że adwokaci, kuratorzy, radcy prawni czy policjanci nie przesyłają korespondencji do prokuratorów lub sędziów drogą elektroniczną na skrzynki służbowe i odwrotnie. Niezależnie od tego jakie mamy przepisy i procedury w tym zakresie, taka sytuacja codziennie ma miejsce.

Inną szczególnie narażoną grupą są posłowie, senatorowie, radni, prezydenci, czyli ogólnie politycy. Proszę wyobrazić sobie



sytuację, gdy do polityka siedzącego w pewnej komisji, na kilka godzin przed posiedzeniem, przychodzi „poufna informacja” z „zaufanego źródła” o tym, że jego kolega z ławki sejmowej prowadzi negocjacje z lobbystą zainteresowany zmianą ustawy w takim lub innym zakresie. W większości przypadków taka korespondencja będzie miała znaczący wpływ na przebieg obrad, a polityk zachowa zarówno informację, jak i jej źródło dla siebie, nie badając autentyczności oraz pochodzenia takiej korespondencji. Ciekawym procesem jest już zaobserwowany fakt korzystania z telefonów komórkowych i tabletów przez posłów w trakcie głosowania. Te urządzenia korzystają z adresów internetowych nie tylko oficjalnych skrzynek poselskich, ale również skrzynek prywatnych. Niektórzy nawet wykorzystują sejmowe adresy email do logowania się w grach komputerowych ustawiając w grze komputerowej takie samo hasło jak do swojego sejmowego konta pocztowego. Przykłady można by mnożyć.

3. METODY OBRONY

Edukacja jest podstawową metodą obrony. Niezbędnym elementem jest kształtowanie powszechnej świadomości społecznej w zakresie tego, czym są zagrożenia cybernetyczne, jakie mogą mieć skutki oraz jak im należy przeciwdziałać. Dotyczy to zarówno zwykłych użytkowników, jak również urzędników oraz innych pracowników administracji publicznej.

Absolutnie niezbędnym elementem polityki bezpieczeństwa jest stosowanie zaufanych certyfikatów. Przeciętny Jan Kowalski musi wyrobić w sobie nawyk sprawdzania autentyczności adresu



internetowego zanim wyśle korespondencję lub otworzy jakiś załącznik czy link. Jednak należy pamiętać, że adresy te muszą mieć podstawowy mechanizm umożliwiający identyfikację, czyli właśnie certyfikat zaufany oraz podpis cyfrowy wiadomości.

Trzecim elementem jest powszechne stosowanie kryptografii. Nie ma absolutnie żadnego usprawiedliwienia dla przesyłania informacji pomiędzy jednostkami wojskowymi czy departamentami w ministerstwie bez zastosowania kryptografii. Zakres stosowania tego mechanizmu należy znacząco poszerzyć nie tylko w kontaktach pomiędzy poszczególnymi jednostkami, ale również pomiędzy zwykłym użytkownikiem a organizacjami. Oczywiście nie da się wszystkich zobligować do stosowania kryptografii i nie o to tutaj chodzi. Jednak z całą pewnością należy wprowadzić pewne stopniowanie w zależności od skali ryzyka i proporcjonalnie do tego ryzyka, wprowadzać rozwiązania kryptograficzne.

Należy również zastanowić się nad możliwością zablokowania możliwości rejestracji pewnych adresów. Nie bardzo wiadomo dlaczego umożliwiono rejestrację dowolnych subdomen w adresach regionalnych. Pewne słowa kluczowe powinny być po prostu zastrzeżone, natomiast fałszywe serwery identyfikowane i monitorowane.



4. WNIOSKI

Należy szczególnie podkreślić, że paraliż infrastruktury teleinformatycznej jest współcześnie kluczowym elementem wszystkich potencjalnych ataków na państwo. Niezależnie od faktu czy jest to wojna hybrydowa o małym lub dużym zasięgu, czy też jest to element wojny konwencjonalnej. Do skutecznego przeprowadzenia takiego ataku teleinformatycznego niezbędne jest stałe prowadzenie działań rozpoznawczych i dywersyjnych.

Służby Specjalne i Służby Mundurowe powinny być szczególnie świadome istniejących zagrożeń oraz podejmować wszelkie inicjatywy zmierzające do minimalizacji potencjalnego niebezpieczeństwa w tym zakresie. Obrona teleinformatyczna jest tutaj stałym komponentem składającym się na aktywne działania prewencyjne oraz nieustanne modelowanie i usprawnianie procesów eksploatacji i zabezpieczenia systemów komputerowych.

Bezpieczeństwo cybernetyczne niesie ze sobą zupełnie nowe wyzwania i zagrożenia. Nie jest to ani odległa przyszłość ani tym bardziej element mniej istotny niż bezpieczeństwo energetyczne czy bezpieczeństwo publiczne. Przeciwnie, bezpieczeństwo cybernetyczne będzie się coraz bardziej wybijać na pierwszy plan jako ten komponent, który łączy się ze wszystkimi pozostałymi.

DNS PHISHING.AGAINST POLISH PUBLIC SERVICE

| PUBLICATIONS

Commentary provided by the FOUNDATION EXPERTS

The publication belongs to the Stratpoints Foundation’s Neptune project.

PROJEKT BEZPIECZEŃSTWO &R OZWÓJNEPTUNE



1. INTRO

Phishing

In short, phishing is a social and IT based fraud. The objective is to create a fake identity of a person or institution to steal some information or to inject a false information into that organization. The most common example of that technique is an email from a person that pretends to be an official representative of some institution. The goal of such email is to steal some personal data and/or some electronic payement information, mostly by the link that leads to the fake web site. A fake site looks very close to the original one and in most cases that’s just a login page identical to the original host. User enters his login and password credentials to the fake site in a very same way as he logs into the original site. These data are send from a fake site to the attacker, so that he can use it to login into the authentic server. The other technique is to send an email with a request of some information or papers. In both cases, there’s always a chance that a reader may not notice an invalid email adres and will respond in a way that he would respond to the original institution or person.

DNS poisoning

Domain name server poisoning is a technique based on a massive attack of DNS server by sending a fake request that redirects from a valid URL adress to an invalid IP. DNS server cache will collect a history of invalid requests and pass that information with invalid ip numbers to other domain name requests. The result of such operation is that the user will be redirected to invalid IP number. A user should pay a special attention when there’s no a valid SSL certificate installed on a webiste. Unfortunatelly, nowadays it is possible to create a fake site of almost any polish



official organisation in an easy and a legal way without any attack agaist DNS servers. It is important to note, that DNS poisoning technique is very rare today due to many improvements of a newest domain name servers. However the problem and the thread still exists, even if a technique of attack is modified. The objective and a result in all cases of DNS phishing are almost the same. It’s also important to note, that there’re some other ways to easy steal or fake the information.

Screen #1 – an example of fake website of Bank Zachodni WBK S.A using fake reply adress and hyperlink to fake site

Pharming

This is the most dangerous to an average user technique and most difficult to identify. It is a phishing mechanism that is based on a redirection into valid URL with invalid web site or invalid subdomain of a valid main host address. In general, there’re three ways of pharming :

1. Global DNS server poisoning that leads to redirection to invalid server,



2. By using a troyan horse or injection software to modify an operating system configuration that leads to a DNS request redirection from a valid adress to a fake web site

3. Subdomain registration under a valid host adress with redirection to a hostile server that immitates a main domain, valid server

Screen #2 – an example of fake login page with invalid URL of mBank, hosted on a fake server, source : mBank

It is critical to understand that the first enlisted technique is a very difficult technical challenge and a very rare issue to appear. However, when such attack is discovered, it is almost immediately published within a security bulletins, social news and security email lists.

The second case is mostly eliminated by antivirus software that verifies a system files and processes. However it does not protects against all cases and a thread is very common in Poland due to lack of antivirus software installed on home computers and a massive use of pirated and cracked software downloaded from TOR, torrent and other servers. In many cases installation package contains additional components that modifies DNS services, installs



keylogger, crypto-currency services, spyware and many other. It is important to note, that most of polish version of pirated software have a russian origin i.e. cracked Windows 7 PL edition have some drivers replaced that communicates with servers located in Petersburg to send and receive command lists with timetable.

The third way is almost invisible and very difficult to identify. It is massively used against polish public service nowadays. In most cases the web connection is made with Russian Federation IP servers. That does not mean that all of these attacks are made by russians. It is important to notice, that Russia is a comfortable and easy accesible host zone for such attacks and a world wide preffered one within the underground society.

E-mail spoofing

This attack technique is based on a fake email header that redirects to an attacker address. In short, some meta data are modified to imitate an official organisation. The other example is an email that includes links to invalid URL described as a valid one. In most cases this is marked as spam. Most of email software will not even display the details of an email and that’s the critical point of that technique. To identify the difference and some potential threads, user must read all meta data information if such are not enlighted and marked by email client as an important data to verify by the reader.



Example #3 – email structure and details within an e-mail spoofing message; please note the difference between the sender adress and a reply-to address

DNS crossfix

DNS crossfix is a simple domain name missdirection technique. It is a very simple trick and it is not a thread itself. However, when used in a combination with other technique, it fullfills the details of the main attack. In short, when DNS server is separated from a host server, a host server may have a configuration of a different domain name, then it actually is configured on a DNS server. In example, DNS servers responds that a valid IP for policja.wroclaw.pl is 192.168.1.1 when a server itself will be configured to identify himself as wroclaw.policja.gov.pl during email send and receive operations. It is a result of a different local DNS entries and a DNS server configuration. Even if these configurations are different – there’ll be no conflict between a host and DNS server



as they’re in fact a different machines. Due to that, the DNS server does not access a host DNS services, and a host server does not sends all of DNS requests to DNS server. Both DNS configurations are separated from each other and a different configuration is used for an incoming email and outgoing email. It is even more complicated and transparent when some URLs are hardcoded into server hosts configuration. That combination is critical to „farm an emails” where attacker’s server is a trap that collects all of incoming information that missed a valid server due to users mistakes. An additional trick here is to set all incoming email rules to ACCEPT_ALL, that leads to register all incoming emails, even if there’s a typo within an email address. A wide open email inbox increases a chances of pharming an incoming emails. An example Sendmail configuration will look very close to this one :

define(`SMART_HOST',`local:some_user')dnl define(`MAIL_HUB',`local:some__user')dnl dnl optional part to list local users/mailboxes excluded from the redirect dnl in /etc/mail/direct-users file (one user per line) LOCAL_CONFIG FL/etc/mail/direct-users divert(0) In such example, a configuration file /etc/hosts will probably contain something like this :

127.0.0.1 localhost 192.168.1.1 policja.wroclaw.pl 192.168.1.1 wroclaw.policja.gov.pl That will lead to a different responce from the same command,



depending if we execute it from local host or a DNS server : ping policja.wroclaw.pl ping wroclaw.policja.gov.pl Ping from a local host server will reply with the same IP for both requests, where DNS server will actually reply with a different IPs due to a different DNS configuration table.



2. THREADS TO THE STATE

Targets

Phishing is a thread not only to social media users, banking or any commercial institution. It is a real thread to the state and it directly interacts with the very base of administration, government and security units.

The main thread comes directly from lack of knowledge of basic IT security. The additional problem is a lack of general rules of how to identify a fake government site from a valid one. Most of users simply does not know where to look for and what to look for. A common citizen does not know if there is any pattern to look for when looking for ABW, Regional Court, Tax Office or CBA. So most probably, the first thing that he’s going to do, is to search via Google or any other search services and he will probably open the first link found. If the first address is similar or the same as the one mentioned within the email address, he will probably assume, that this email is valid and official. However, the problem is, that even if the address is very similar but still a bit different and the website looks the same, and a fake site is hosted on a subdomain server of an official domain site, the risk of trust to the trap is very high.

Preparation

The simplest way is to reserve subdomain of a regional domain and create a fake site that immitates an official site. The other simple way is to reserve a short domain address, mostly with 3-letters prefix or suffix. For example we can register a domain address policja.com.pl that will fake the official site of policja.pl. That will probably not work for phishing, or will work in a very limited way as a Police is not a commercial type of institution.



However if we register policja.wroclaw.pl, we gain a trust benefit coming from a trust to wroclaw.pl site, which is a portal of Dolnośląskie Voivodeship. It is unknown why it is possible to create a subdomain of any address and type under an official regional domain name. That gap was very quickly exploited both by commercial organisation as well as some unknown organisation outside of Poland. More to that, it is possible that any http request to policja.wroclaw.pl will be automatically redirected to a valid Police site, while all SMTP connection will be caught in a fake server. An example, simple PHP script in an index.php file put in a valid directory will redirect from fake server to an official one, so that the fake server does not need to host a copy of a main site. There’s a high risk that a common user will identify both URL and servers as one machine, while in fact, they are totally different.

<?php header(‘Location: http://wroclaw.policja.gov.pl/pl/’);

?> If we put that script on any http server main directory, the web browser will automatically redirect to http://dolnoslaska.policja.gov.pl/pl/

So, in that particular case, http requests will be redirected, but the mail will stay on a subdomain server. More to this, an attacker will probably rebuild a mailbox structure of official server to make sure that all incoming mail to the fake server, will not be rejected. There’s no need for a complicated tools or software to do this. Any modern Linux distro with sendmail service will do fine. For example a Slackware Linux user will most probably do it in a very simple way :

cd /usr/share/sendmail/cf/cf sh Build sendmail-slackware.mc



cp sendmail-slackware.cf /etc/mail/sendmail.cf cp submit.cf /etc/mail/ chmod +x /etc/rc.d/rc.sendmail /etc/rc.d/rc.sendmail start

The next step is to create an email inboxes on a fake server equal to origin ones. That’s a trivial task and a simple adduser command is enough. It is also not too difficult to find the names of original server’s inboxes. In most cases theses names of inboxes are simply enlisted on an official website. More over, an attacker may look for organisation employees via social media and simply ask them for an official email address. If he use a fake account with an attractivee woman photo the probability of success is very high. Most of employees will probably find nothing suspicious in giving away an official email address. It is also important to notice that domain and email addresses are mixed on an official webistes and that it is a factor that increase a chance to success of a potential attack. Example (notice a different prefix within the domain address) : URL : http://www.wroclaw.policja.gov.pl/pl/o_nas/kierownictwo/ Email address listed on that site : [email protected] There will be no site if we try to open wroclaw.wr.policja.gov.pl via web browser. So, if the user will try to validate if this email address is valid by opening and URL with http, he will most likely assume that there’s a typo or invalid email and will use another one. More to that, a mail software may use the same



technique during adress book sorting and put a fake server email address on top of a valid, official email address.

So, in total it is very likely that an additional email address of [email protected] will not gain an attention and many people will comunicate in trust, that they’re in fact dealing with an official regional Police.

That leads to the risks of attack. A fake email account [email protected] may be used to cross-pharm. An email send to tax office will be probably replied. In other case, an attachement of christmass card, will be opened. By the time, this address will be more and more trusted and positioned within the address books of more and more official institution.

There are additional techniques of masking and attacker, especially email spoofing and DNS crossfix. A small detail within an email adress is very difficult to notice. Even antivirus software might not find any thread in such cases, especially if an official webiste server does not have a valid SSL certificate installed. It is critical to notice, that almost all of polish administration official sites does not have a valid certificate. A simple click next to URL address will provide some basic information about trusted connection and website identity.

Example #4 – verification of a secure connection and a domain certificate



Ministry Of Defence is a classic example. Most of the email addresses are listed on a contact page http://www.mon.gov.pl /kontakt

Execution

An effects of the attack before a military maneuvers may push imagination to the limits. It is possible that military units will send or receive a fake informations that some will affects the planned operations. Not only all of these informations needs to be verified, but analys of a risk and concequences must be made for each case separately. A preventive action must be taken for future as well. Unfortunatelly, as we can see, this is a problem that requires a general perspective approach and cannot be totally solved on a level of single military unit, single department, voivodeship or even organisation or ministry. A nation wide cyber-defence strategy is a must.

It is important to note, that the whole setup and destroy operation for a fake server may take just several minutes. It is very easy to do it in a public places as well (i.e. internet cafe), using a common laptop with a public wifi connection. It is possible that a hacker will quickly setup a fake site of local police or any other institution, send some informations or documents to prosecutor office or another administration office using fake emails, and will cover the tracks and close the fake site after receiving an answer. It is practically impossible to discover the identity of a attacker if the whole operation is performer from a public place using public available connection. More to this, an attacker does not need a fake server on a subdomain linked to regional or official server if he is just about to send fake information without receiving any answer.



High value targets

1. ABW

Official website of Agencja Bezpieczeństwa Wewnętrznego is hosted within abw.gov.pl domain name. However most of internet users will most likely open abw.pl first. Hopefully this address is curently reserved by the company registered in Poland, but that’s an exception. Some domain addresses as well as IPs raise an open questions. There’re some already registered „abw” subdomains within the regional, official domains, that are hosted outside of Poland, mostly in Ukraine and Russian Federation.

There’re many regional domains available with open subdomain registry and it’s low likely to attack from non-voivodeship subdomains like abw.wolomin.pl. However some subdomains like abw.warszawa.pl are highly exposed to manipulation.

2. Centralne Biuro Antykorupcyjne

CBA is a similar case to ABW mentioned above. The official site and domain is cba.gov.pl. However the most common visited URL in context of serach for official site is cba.pl. There’re some interesting background issues here as well. Some of URLS links to Netherlands, switches from time to time to Kraków (IPLOCATION). Some other subdomains links do Ukraine or Deutschland.

There’re many other already existing fake sites with an interesting behaviours. It is currently unknow what is a temporary site, what is fake site and what is just coincidence with a name of a different organisation. There’s no traffic watch and most of an incoming and outgoing connection are via other services from http.



3. Ministerstwo Obrony Narodowej (Ministry of National Defence)

There’s a huge numer of official domains related to Ministry of National Defence. Mostly there’re some .gov.pl subdomains and .mil.pl servers. However, for most of the internet users, there’s no significant difference between i.e. http://11ldkpanc.wp.mil.pl and http://11ldkpanc.zagan.pl and they’re unable to identify which one is official and which one is fake, especially when the same context is displayed. There’s no official registry of a valid domain address for each military base. Therefore it’s very easy to fake sites and informations related to any of these, as well as to send or receive fake emails.

It is a difficult to understand the concept behind the idea of blog of military base and military units. There’re some misunderstandings behind recreation of military personel structure via social media web services. So far, Poland is one of few NATO countries, where top level military commanders runs a blog or use a Twitter or Facebook accounts to argue with other commanders about a defence strategy or other military related issues. These social media accounts are very wide used by mobile application within the smartphone. These devices connects to routers inside of military bases. While switching between routers, an espionage software might be installed. Users does not have to manually switch or interact with a device. A close range to the connection spot or other device is enough to spread the injection software via background services. It is important to note, that WiFi/TCP connection is not the only way to connect and attack – a Bluetooth technology is widely used during that kind of attacks as well. A last global attack of that kind of operation were discovered and reported on 7th November, at new ones appears several times a month :



https://blog.pointas.com.pl/lokibot-nowy-trojan-bankowy-uzytkownicy-stracili-juz-15-mln-dolarow/

There’s also a danger coming from a practice of using software with no licence or outdated licence inside of military bases. That applies both to desktop software and hardware drivers. This is unacceptable, yet practiced every day.

4. Urzędy Skarbowe (tax office)

In general, polish tax offices uses a „us” prefix to the regional domain. However, it’s not an official rule and it does not apply to all cities. Some of „us” subdomains are left free to register and some of them are already taken by private companies and outside organisations. For example us.bialystok.pl is hosted in Katowice, while search result of „urząd skarbowy Białystok” redirects to many third parties websites. That applies to hundreds of other regional subdomains and there’s no single general pattern to identify a fake sites from an official one. That rises a fraud risk and it’s out of control of Ministry of Finance.

5. Zakład Ubezpieczeń Społecznych (social security office)

ZUS have a very similar problem to a tax office, yet a little bit different. There’s only one „main site” with zus.pl domain name. Therefore if we search for example „ZUS Białystok”, a search result is zus.bialystok.pl which is a private service company. It is important to note, that these URLs changes very quickly and out of tracking and control. Most of polish internet users does not know which administration site is fake or not.



6. Policja (police)

Police needs a special attention in case of phishing and pharming perspective. Some fake sites already exists and redirects http request to an official police portals, other does not. There’s a significant number of fake sites or subdomains overtaken by private sector. For example URL policja.katowice.pl redirects to http://www.katowice.slaska.policja.gov.pl/ but at the same time policja.radom.pl redirects to aftermarket service. It is also important to note that some other police subdomains under regional domains connects to Deutschland located server (Bayern/Gunzenhausen). There’re is a lot of regional subdomains with names related to police, still available to register.

More over, many police stations runs a blogs and websites via social media. There’s a lot of fake social media sites as well. It is just another way to farm and send fake information. The clue of the problem is that there’s no order and regulated pattern of domain names of police and public administration in Poland.

7. Urzędy Wojewódzkie i Urzędy Miejskie (regional office, municipial office, city council)

A typical internet user will type a city name when looking for an official city portal. That rise a risk, that he will not suspect any trap while opening a site with a short subdomain „uw” i.e. uw.[regional].pl. He will most likely assume, that’s just a „part of site” that is under control of regional office.

There’s also a risk of manipulation of many eup/esp/bip subdomains. The „eup/esp” shortcut comes from Elektroniczna Skrzynka Podawcza or Elektroniczny Urząd Podawczy service



(electronic application inbox), that was a service running within many city councils. The „bip” shortcut comes from Biuletyn Informacji Publicznej, which is a Public Information Bulletin of regional public administration. In most cases these short subdomains are free to register under a regional, official domain name of voivodeship or city.

8. Sądy i prokuratura (courts’s and prosecutor’s office)

There is a similar problem with courts office and prosecutor’s office. There’s a pattern however of using domain address [city_name].sr.gov.pl for a regional courts and [city_name].so.gov.pl for a district court. Unfortunatelly most of internet users will access first a subdomain much close related to official city portal i.e. sad.gdansk.pl or sad.warszawa.pl. This comes directly from a human intuition behavior and lack of knowledge of a pattern mentioned above. There’s a lot of „sad” (court) subdomains overtaken by private sector and third parties.

( The domains and subdomains where verified via NASK and http://whoisrequest.com/ service on 7th November 2017. Some other services, like IP-LOCATION gives a different response i.e. that abw.bydgoszcz.pl is hosted in France, some other in Ukraine or in Russia Federation).

High vulnerabilities

A common internet user is a primary target. There’s a common lack of knowledge about cyber threads and consequences. Citizens are the largest group of people being massively under attack every day. Most of these cases are unidentified and some questions are rised when it’s already too late. Only very few attacks are reported



to the police and almost only in case of huge material loss. It is unknow to the public, how many operations are performed per day or how many information is lost per day or during some period of time. If you reader, think that most of these situations are not directly related to you, then think about the document that you are now reading. It is written in format that allows an attacker to perform remote execution on your local machine and in fact, you do not really know where this file originally came from. You do not even have to open this file to be a potential target of attack. A specific action might be performed in a first place, just when your email reader received an attachement from your inbox. You may find many examples of that kind of attacks over here http://goo.gl/CGoPXu So, if you can be the target, anybody can be the target. Hopefully, this is just a lesson for you and a new experience. You were not harmed, this time.

A secret service and a special forces are especcially exposed to a cyber attack because of high value of information related to their service. There many other ways of phishing and pharming, not described in this paper. It is possible to manipulate DNS requests, fake news, fake email and many other that might be used in combination with social engineering. It is important to remember that an attacker targets not just the primary target, but their families as well. In fact, the easiest way to get close to the target is to use social media and other techniques via the members of family like wife, children or other people related. It is possible, that son use the same WiFi connection as his father and therefore a successfull router hijack will exploit other family members connection spot as well. As mentioned above, an accidental contact on the street may result in a mobile device infection that will spread through Wifi or Blueetooth connection. It is critical to understand, that to maintain



the security level is to obey the rules and keep self-discipline every single day.

Phishing and pharming works in a similar way on every level of public administration including police, courts, prosecutor, legal office and many more. The cyber thread nowadays is a reality and it affects every single human life. An information is now a critical factor that may be used both to push forward or fall immediately any criminal case or a business case. It may even immediately put a person under criminal charges or clear suspected out of charges. If you think that lawyers, prosecutors, curators, judges and other official does not use their official inbox for private issuess, then you are wrong. There’re no legislations that can stop that proces.

Members of parlament, deputies, senators, presidents and all other politicians are a particularly vulnerable group. It is a common situation that a deputy receive an email or text message from unknown source, just before a legislation meeting. A backstage game against each person is not always visible at the first moment, yet they’re all part of the same chessboard, even if they do not realize this. Even if there will be no time to validate the incoming news or message, it will affect person’s feelings, point of view and negotiation tactics. Many attacked people will not even take it as an attack and they’ll follow the bait as expected. It is interesting to note here, that there’s a long list of politicians using their mobile devices irresponsibly. Some people use them during voting proces, some other use to blog, play the mobile games, or even keep all private and official information on the same device. It is both funny and tratic to know, that some of them use exactly the same login and password for an official email inbox as well as for the account for the most popular mobile games or social media services. There’re many other issues to be addressed here.



3. DEFENCE

Education is the primary defence. It is essential to shape public awareness of what cyber-threats are and what they can do to counteract them. That applies to both regular internet users as well as officials and other public administration employees.

Trusted certificates are an absolutely essential part of the security policy. The average Jan Kowalski must develop a habit of checking the authentication of internet address, email, information and other, before sending out any information or opening any attachement or link.

The third element of defence policy is a wide use of cryptography. There’s absolutely no excuse for sending information between military, law department or police units or departments without using cryptography. That include both inside contacts as well as an outside contacts. The scope of this mechanism should be introduced not only to officials and politicians, but to an ordinary users as well. It is impossible to obligate everybody to use cryptography and it’s not neccessary but it is critical to understand, where and when you should.

There’s an open question about blocking fake websites and registering private subdomain services next to regional servers. It is not clear why some of the obvious keywords where not excluded for registration. So the bottom line is, that fake servers should be identified and monitored, and some keywords should be simply reserved for public administration.



4. CONCLUSIONS

It should be emphasized in particular that the paralysis of ICT infrastructure is a key element in every simulation of potential attack on the state. That applies both to terrorist attack, hybrid war or even a full scale conventional warfare. Effective reconnaissanse and divertion efforts are essential to successfully carry out such cyber attack.

Secret Service and military should be particulary aware of the existing threads and take all initiatives to minimize a potential danger in this area. Data protection and cyber defence technology are a permanent components of any preventive action, continuous modeling and improvement of the processes of protection and exploitations of digital infrastructure.

Cyber security brings with it a new challenges and threats. It is not a distant future but a critical factor of public security and safety. Cyber security becomes a more and more important factor every single day, as it is related to every other issue in our life in today globalized, digital world.

| PUBLIKACJE

Publikacja w ramach projektu NEPTUNE fundacji Stratpoints objęta jest prawami autorskimi. Celem uzyskania licencji na cytowanie artykułu we fragmentach lub publikacji całości prosimy o kontakt: [email protected]

www.stratpoints.eu


DNS PHISHING. - stratpoints€¦ · DNS crossfix DNS crossfix to nic innego jak krzyżowanie...

Documents

Transcript of DNS PHISHING. - stratpoints€¦ · DNS crossfix DNS crossfix to nic innego jak krzyżowanie...