Что такое «фишинг»
Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание и password
— пароль) — вид интернет-мошенничества, цель которого — получить
идентификационные данные пользователей. Сюда относятся кражи паролей,
номеров кредитных карт, банковских счетов и другой конфиденциальной
информации.
Фишинг представляет собой пришедшие на почту поддельные уведомления
от банков, провайдеров, платежных систем и других организаций о том, что
по какой-либо причине получателю срочно нужно передать / обновить
личные данные. Причины могут называться различные. Это может быть утеря
данных, поломка в системе и прочее.
Атаки фишеров становятся все более продуманными, применяются методы
социальной инженерии. Но в любом случае клиента пытаются напугать,
придумать критичную причину для того, чтобы он выдал свою личную
информацию. Как правило, сообщения содержат угрозы, например,
заблокировать счет в случае невыполнения получателем требований,
изложенных в сообщении («если вы не сообщите ваши данные в течение
недели, ваш счет будет заблокирован»). Забавно, но часто в качестве
причины, по которой пользователь якобы должен выдать конфиденциальную
информацию, фишеры называют необходимость улучшить антифишинговые
системы («если хотите обезопасить себя от фишинга, пройдите по этой
ссылке и введите свой логин и пароль»).
Рис. 1. Пример фишингового письма с требованием (ради обеспечения дополнительной безопасности)
пройти по ссылке и обновить свои данные в системе Federal Credit Union.
Фишинговые сайты, как правило, живут недолго (в среднем — 5 дней).
Так как анти-фишинговые фильтры довольно быстро получают информацию о
новых угрозах, фишерам приходится регистрировать все новые и новые
сайты. Внешний же вид их остается неизменен — он совпадает с официальным
сайтом, под который пытаются подделать свой сайт мошенники.
Зайдя на поддельный сайт, пользователь вводит в соответствующие
строки свой логин и пароль, а далее аферисты получают доступ в лучшем
случае к его почтовому ящику, в худшем — к электронному счету. Но не все
фишеры сами обналичивают счета жертв. Дело в том, что обналичивание
счетов сложно осуществить практически, к тому же человека, который
занимается обналичиванием, легче засечь и привлечь мошенников к
ответственности. Поэтому, добыв персональные данные, некоторые фишеры
продают их другим мошенникам, у которых, в свою очередь, есть
отработанные схемы снятия денег со счетов.
Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы.
Наиболее частые жертвы фишинга — банки, электронные платежные
системы, аукционы. То есть мошенников интересуют те персональные данные,
которые дают доступ к деньгам. Но не только. Также популярна кража
личных данных от электронной почты — эти данные могут пригодиться тем,
кто рассылает вирусы или создает зомби-сети.
Характерной особенностью фишинговых писем является очень высокое
качество подделки. Адресат получает письмо с логотипами банка / сайта /
провайдера, выглядящее в точности так же, как настоящее. Ничего не
подозревающий пользователь переходит по ссыке «Перейти на сайт и
залогиниться», но попадает на самом деле не на официальный сайт, а на
фишерский его аналог, выполненный с высочайшей точностью.
Еще одной хитростью фишеров являются ссылки, очень похожие на URL
оригинальных сайтов. Ведь достаточно наблюдательный пользователь может
обратить внимание на то, что в командной строке браузера высвечивается
ссылка, совершенно отличная от легитимного сайта. Такие «левые» ссылки
тоже встречаются, но рассчитаны они на менее искушенного пользователя.
Часто они начинаются с IP-адреса, хотя известно, что настоящие солидные
компании давно не используют подобные ссылки.
Поэтому фишинговые URL часто похожи на настоящие. Они могут включать в
себя название настоящего URL, дополненное другими словами (например,
вместо www.examplebank.com стоит www.login-examplebank.com). Также в
последнее время популярный фишинговый прием — ссылка с точками вместо
слешей, внешне очень похожая на настоящую (вместо
www.examplebank.com/personal/login стоит
www.examplebank.com.personal.login). Можно привести еще такой фишерский
вариант: www.examplebank.com-personal.login.
Также в самом теле письма может высвечиваться ссылка на легитимный
сайт, но реальный URL, на который она ссылается, будет другим.
Бдительность пользователя притупляется еще тем, что в письме может быть
несколько второстепенных ссылок, ведущих на официальный сайт, но
основная ссылка, по которой пользователю надо пройти и залогиниться,
ведет на сайт мошенников.
Рис. 2. Пример фишингового письма (подделка под уведомление интернет-аукциона Ebay)
со множеством ссылок, только одна из которых введет на сайт мошенников.
Иногда личные данные предлагается ввести прямо в письме. Надо
помнить, что никакой банк (либо другая организация, запрашивающая
конфиденциальную информацию) не будет этого делать подобным образом.
Рис. 3. Пример фишингового письма (подделка под уведомление online-банка Barclays,
где непосредственно в теле письма пользователь должен ввести свои данные).
Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг.
Технологии фишеров совершенствуются. Так, появилось сопряженное с
фишингом понятие — фарминг. Это тоже мошенничество, ставящее целью
получить персональные данные пользователей, но не через почту, а прямо
через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые
адреса легитимных веб-сайтов на адреса поддельных, в результате чего
пользователи перенаправляются на сайты мошенников. Этот вид
мошенничества еще опасней, так как заметить подделку практически
невозможно.
Наиболее популярные фишерские мишени — аукцион Ebay и платежная
система PayPal. Также страдают различные банки по всему миру. Атаки
фишеров бывают случайными и целевыми. В первом случае атака производится
«наобум». Атакуются наиболее крупные и популярные объекты — такие как
аукцион Ebay — так как вероятность того, что случайный получатель имеет
там учетную запись, довольно высока. Во втором случае мошенники узнают,
каким именно банком, платежной системой, провайдером, сайтом пользуется
адресат. Этот способ более сложен и затратен для фишеров, зато больше
шансов, что жертва купится на провокацию.
Рис. 4. Пример фишингового письма — фрагмент поддельного уведомления
популярной платежной системы PayPal.
Воровство конфиденциальных данных — не единственная опасность,
поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую,
следуя по ней, можно получить программу-шпиона, кейлоггер или троян. Так
что если даже у вас нет счета, которым мошенники могли бы
воспользоваться, нельзя чувствовать себя в полной безопасности.
Согласно данным Gartner, в США в 2006 году ущерб, нанесенный одной
жертве фишинга, в среднем составил 1244 долларов США. В 2005 году эта
сумма не превышала 257 долларов, что свидетельствует о невероятном
успехе фишеров. В России ситуация несколько иная. Из-за того, что у нас
электронные платежные системы пока не столь распространены, как на
Западе, ущерб от фишинга не столь велик. Но с распространением в России
электронных платежных систем доля фишинга в общем почтовом потоке
возрастет, и, соответственно, возрастет и ущерб от него. Так что, хотя
данная проблема в России не стоит еще столь остро, готовиться к ней надо
уже сейчас.
Успеху фишинг-афер способствует низкий уровень осведомленности
пользователей о правилах работы компаний, от имени которых действуют
преступники. И хотя на многих сайтах, требующих конфиденциальной
информации, опубликованы специальные предупреждения о том, что они
никогда не просят сообщать свои конфиденциальные данные в письмах,
пользователи продолжают слать свои пароли мошенникам. Поэтому несколько
лет назад была создана Anti-Phishing Working Group (APWG) — группа по
борьбе с фишингом, в которую входят как компании-«мишени» фишеров, так и
компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В
рамках деятельности APWG проводятся ознакомительные мероприятия для
пользователей, также члены APWG информируют друг друга о новых фишерских
сайтах и угрозах. Сейчас APWG насчитывает более 2500 участников, среди
которых есть крупнейшие мировые банки и ведущие IT-компании. Так что, по
оптимистическим прогнозам, через некоторое время пользователи научатся
остерегаться фишерских сайтов, как в свое время научились с опаской
относиться к письмам с вложениями от неизвестных адресатов. Пока же
основной защитой от фишинга остаются спам-фильтры.
http://www.securelist.com/ru/threats/spam?chapter=164
