Фишинг

Материал из Hack Wiki

[1]

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «подтверждение авторизации»

Фи́шинг (Шаблон:Lang-en, от fishing — рыбная ловля, выуживание<ref>Шаблон:Cite web</ref>) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

[править] История

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet<ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref>, хотя возможно его более раннее упоминание в хакерском журнале 2600<ref>Шаблон:Cite web</ref>.

[править] Ранний фишинг на AOL

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам<ref>Шаблон:Cite web</ref>.

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль<ref>Шаблон:Cite web</ref>. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку<ref>Шаблон:Cite web</ref>, и фишинг на серверах AOL постепенно сошёл на нет.

[править] Переход к финансовым учреждениям

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября<ref>Шаблон:Cite web</ref>. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал<ref>Шаблон:Cite web</ref>.

[править] Фишинг сегодня

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках<ref>Шаблон:Cite web</ref>. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку<ref>Шаблон:Cite web</ref>. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях<ref>Шаблон:Cite web</ref>.

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей<ref>Шаблон:Cite web</ref>: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных<ref>Шаблон:Cite web</ref>; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте<ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref>. По оценкам специалистов, более 70 % фишинговых атак в социальных сетях — успешны<ref>Шаблон:Cite web</ref>.

Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США<ref>Шаблон:Cite web</ref>, в 2006 году — ущерб составил 2,8 млрд долларов<ref name="itsec2006" />, в 2007 — 3,2 миллиарда<ref>Шаблон:Cite web</ref>; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек<ref name="itsec2006">Шаблон:Cite web</ref>, к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов<ref>Шаблон:Cite web</ref>.

[править] Техника фишинга

[править] Социальная инженерия

Шаблон:Main Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счету …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.

[править] Веб-ссылки

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Обман».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля<ref>Шаблон:Cite web</ref>. Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer<ref>Шаблон:Cite web</ref>, а Mozilla Firefox<ref>Шаблон:Cite web</ref> и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге <a> значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

[править] Обход фильтров

Фишеры часто используют изображения вместо текста, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами<ref>Шаблон:Cite web</ref>. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу<ref>Шаблон:Cite web</ref>. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга<ref>Шаблон:Cite web</ref>.

i9fxB0 <a href="http://igjygsiazpkn.com/">igjygsiazpkn</a>, [url=http://eclacbdbdybt.com/]eclacbdbdybt[/url], [link=http://omlrjyqmkuhk.com/]omlrjyqmkuhk[/link], http://ltbbhatvvvwu.com/

[править] Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами<ref>Шаблон:Cite news</ref>. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера<ref>Шаблон:Cite news</ref><ref>Шаблон:Cite web</ref>. В конечном счёте, человека также попросят сообщить его учётные данные<ref>Шаблон:Cite web</ref>.

Набирает свои обороты и SMS-фишинг, также известный как смишинг (Шаблон:Lang-en — от «SMS» и «фишинг»)<ref>Шаблон:Cite web</ref>. Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передает их злоумышленникам<ref>Шаблон:Cite web</ref>. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем»<ref>Шаблон:Cite web</ref>.

[править] Борьба с фишингом

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

[править] Обучение пользователей

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении<ref>Шаблон:Cite web</ref>.

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга<ref>Шаблон:Cite web</ref>. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали<ref>Шаблон:Cite web</ref>, что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения<ref>Шаблон:Cite web</ref>. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали<ref>Шаблон:Cite web</ref>.

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами<ref>Шаблон:Cite web</ref>. Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.

[править] Технические методы

[править] Браузеры, предупреждающие об угрозе фишинга

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera<ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref><ref>Шаблон:Cite news</ref>. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговыхх сайтов, чем Internet Explorer<ref>Шаблон:Cite web</ref>.

В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере<ref>Шаблон:Cite web</ref> и близок использованию hosts-файла для блокировки рекламы.

[править] Усложнение процедуры авторизации

Сайт Bank of America<ref>Шаблон:Cite web</ref><ref>Шаблон:Cite news</ref> предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля<ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref>.

[править] Борьба с фишингом в почтовых сообщениях

Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем<ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref>.

[править] Услуги мониторинга

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов<ref>Шаблон:Cite web</ref>. Физические лица могут помогать подобным группам<ref>Шаблон:Cite news</ref> (например PhishTank<ref>Шаблон:Cite web</ref>), сообщая о случаях фишинга.

[править] Юридические меры

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток из Калифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтом AOL, и краже данных кредитных карт<ref>Шаблон:Cite news</ref>. Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, в Бразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговых преступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США<ref>Шаблон:Cite news</ref>. В июне 2005 года власти Великобритании осудили двух участников интернет-мошенничества<ref>Шаблон:Cite news</ref>. В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США)<ref>Шаблон:Cite news</ref>. Аресты продолжались в 2006 году — в ходе спецоперации ФБР задержало банду из шестнадцати участников в Европе и США<ref>Шаблон:Cite web</ref>.

В Соединённых Штатах Америки 1 марта 2005 года сенатор Патрик Лехи представил Конгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет<ref>Шаблон:Cite news</ref>. В Великобритании был принят Закон о мошенничестве 2006 года<ref>Шаблон:Cite web</ref>, предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества<ref>Шаблон:Cite news</ref>.

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительства Австралии по обучению сотрудников правоохранительных органов боръбе с различными кибер-преступлениями, в том числе фишингом<ref>Шаблон:Cite web</ref>.

В январе 2007 года Джеффри Бретт Гудин из Калифорнии был признан виновным и в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использование товарных знаков AOL, он был приговорён к 70 месяцам заключения<ref>Шаблон:Cite news</ref><ref>Шаблон:Cite news</ref><ref>Шаблон:Cite news</ref><ref>Шаблон:Cite news</ref>.

В Российской Федерации первое крупное дело против банды фишеров началось в сентябре 2009 года. По самым скромным оценкам мошенники похитили около 6 миллионов рублей. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере<ref>Шаблон:Cite web</ref>. Отдельные процессы имели место и ранее: так, в 2006 году суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Мошенник был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 миллионов рублей<ref>Шаблон:Cite web</ref>. Но в целом правовая борьба в России ограничивается лишь незначительными судебными разбирательствами, редко оканчивающимися серьёзными приговорами.

Как считает ведущий специалист Следственного комитета при МВД по расследованию преступлений в сфере компьютерной информации и высоких технологий подполковник юстиции Игорь Яковлев, основная проблема в расследовании подобных преступлений в России заключается в недостатке специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело не только до суда, но и до обвинительного вердикта<ref>Шаблон:Cite web</ref>. Руководитель подразделения Центра информационной безопасности ФСБ России Сергей Михайлов добавляет, что «в России самое лояльное законодательство по отношению к киберпреступности». Также плохо налажено сотрудничество с зарубежными структурами, что мешает скоординированной борьбе с преступниками<ref>Шаблон:Cite web</ref>.