Все что вы хотели знать о фишинге, но боялись спросить

Фальшивые письма, фейковые веб-страницы, социальная инженерия, сканадалы, интриги, расследования – арсенал кибермошенника, ставшего на путь фишинга отличается особой изощренностью. Это не столько технарь, разговаривающий с компьютером на всех языках программирования, сколько тонкий психолог, «разводящий» своих жертв, при помощи старых методов обмана, но в новых условиях.

Ловля на живца

Считается, что термин «фишинг» (от fishing — рыбная ловля, выуживание) появился в середине 90-х годов, в новостной группе alt.online-service.America-Online сети Usenet. Само явление было зафиксировано там же, но еще раньше. А методы были описаны в далеком 1987 году.

Суть фишинга состоит в том, чтобы путем обмана и методов социальной инженерии выудить у жертвы пользовательские данные: логины, пароли, доступы к аккаунтам и другую конфиденциальную информацию.

Вначале мошенники использовали крайне примитивный, но эффективный способ получения данных юзера. Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию». В дальнейшем это стало общим правилом всех сервисов и служб в Интернете, которое до сих пор не все знают, продолжая попадаться на удочки киберловов. Чтобы обезопасить себя от такого фишинга достаточно помнить, что сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

До 2005 года в Интернете вышло довольно много статей, посвященных фишингу, что положительно повлияло на компьютерную грамотность пользователей, которые стали реже попадаться на удочки мошенников таким простых способом. В то же время, развитие платежных инструментов стало новым стимулом для ловцов данных. Одно дело украсть пароль от «аськи» для рассылки спама или продажи красивых номеров, а другое – банковскую информацию.     

По данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году — ущерб составил 2,8 млрд долларов, в 2007 — 3,2 миллиарда; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек, к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов.

Методы фишеров становятся изощреннее. Теперь это не просто рассылки «писем от админа», а межсайтовые скриптинги, вишинг, смишинг. С ростом популярности социальных сетей, фишинг снова стал глобальной проблемой.

Фейковые сайты и ссылки

Самый банальный «развод» юзера с использованием фековых (поддельных) сайтов и ссылок очень простой, но на него до сих пор попадаются тысячи людей. К вам попадает ссылка на используемый вами сайт, в которой немного изменен домен. Это может быть одна буква, которую вы просто не заметите. При переходе на этот сайт вы видите привычный интерфейс, вводите свои данные и… они попадают к злоумышленникам.

На картинке пример такого обмана - рассылка подложных писем фишинга, с целью завладения персональной информацией клиентов ЗАО »Ситибанк». Если пользователь зайдет в фейковую систему интернет-банкинга Citibank Online и подтвердит мнимый перевод, то его данные перейдут к мошенникам.

А вот и пример фейкового сайта, рассчитанного на невнимательных пользователей социальной сети Vkontakte.ru. Сайт – точная копия интерфейса, а ошибку в двух буквах легко не заметить. Обычно, после ввода логина и пароля на таком сайте, пользователь получает сообщение о временных технических трудностях на сайте социальной сети либо ошибку 404. Украденные аккаунты продаются на черном рынке хакерских услуг тысячами и используются для спама, кражи внутренней валюты сети, и рассылки новых фейковых ссылок.

В Интернете есть специальные программы, позволяющие в течение 5 минут создать фейковый сайт «Вконтакте».

А это наши дорогие «Одноклассники», которые пользуются не меньшей любовью фишеров, чем Вконтакте. Обратите внимание на адресную строку.

Самое смешное, что иногда мошенники не удосуживаются даже использовать домен, похожий на оригинал, а создают фейк на каком-то «левом» адресе. И даже на такой сверхподозрительный «развод» клюют пользователи. На картинке стартовая страница Twitter, на которой, после авторизации можно попрощаться со своими фолловерами. Теперь развлекать их будет кто-то другой.

Если вынести риски потери банковской информации в отдельную тему, то фишинг, помимо потери доступа к аккаунту, грозит и более неприятными последствиями, например, заражением компьютера вирусами.

Ниже пример работы вируса Trojan.Hosts.75, который стал проблемой многих юзеров в свое время. Trojan.Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации. Объясняется это «нововведение» увеличением количества спам-рассылок.

После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts. После изменения он выглядит следующим образом:

При посещении одного из ресурсов, приведенных выше, с зараженного компьютера, пользователь перенаправляется на фальшивую страницу на сервере http://211.xx.xx.xx/index.html. Прописав в файл hosts множество популярных интеренет-ресурсов, киберпреступники попытались тем самым увеличить вероятность попадания зараженного пользователя на сайт вымогателей, которые требуют отослать им платный SMS.

Новые методы фишинга

Даже самые простые виды фишинга теперь усложняются, отмечают эксперты. Если раньше мошенники пользовались ссылками с адресом, похожим на адрес сайта известной компании, то теперь ссылки на фальшивые сервера прячут внутрь кода письма, показывая пользователю ссылку в виде настоящего адреса (так называемый pharming - фильсификация адреса, используя уязвимости в DNS сервера). В декабре 2004 года количество активных подставных сайтов, используемых фишерами, составило 1,7 тыс. Большинство из них имели хостинг на территории США. Средняя продолжительность жизни подставного сайта равна 5,9 суток, а максимальное время 30.

Как уже упоминалось выше, новый виток деятельности мошенников дало развитие банковских инструментов в Интернете. Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные.

С развитием мобильных коммуникаций набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем».

Безопасность

С технической точки зрения, современный пользователь достаточно защищен от фишинга. Например, все популярные браузеры используют антифишинговую технологию сверки подозрительных сайтов с фишинг-списком. В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса.

 Банки усложняют авторизацию и пользуются услугами компаний по мониторингу фишинговых сайтов, почтовые сервисы совершенствуют фильтры, а законодательство ужесточается.

Основная защита от фишинга – это сам пользователь, а точнее его уровень компьютерной грамотности и внимательности. Советы здесь стары, как Интернет: не доверять незнакомцам, не открывать подозрительных ссылок, пользоваться антивирусами, своевременно обновлять программное обеспечение (особенно браузеры), в случае подозрительных писем, не лениться перезвонить в организацию или банк. Подозрение должны вызывать письма без личного обращения, с требованием личных данных или угрозами. Будьте бдительны!