О том, что такое фишинг известно давно. Первые фишинговые атаки были зафиксированы вскоре после появления всемирной паутины. Но несмотря на то, что специалисты по ИБ создают все более совершенные способы защиты от фишинга, новые фишинговые сайты продолжают появляться ежедневно.

Согласно данным некоторых исследований, в 2016 году ежедневно создавалось около 5000 фишинг сайтов. В 2017 эта цифра будет еще больше. Секрет жизнестойкости этого вида мошенничества в том, что он опирается не на “дыры” в программном обеспечении, а на уязвимость в человеческой сущности, у которой есть доступ к важным данным. Поэтому нелишним будет в очередной раз напомнить, что такое фишинг, каковы самые распространенные виды фишинговых атак, а также способы противодействия им.

Фишинг в 2017 году: основные примеры фишинговых атак

Фишинг - это вид интернет-мошенничества, построенный на принципах социальной инженерии. Главная цель фишинга - получить доступ к критически важным данным (например, паспортным), учетным записям, банковским реквизитам, закрытой служебной информации, чтобы использовать их в дальнейшем для кражи денежных средств. Работает фишинг через перенаправление пользователей на поддельные сетевые ресурсы, являющиеся полной имитацией настоящих.

1. Классический фишинг - фишинг подмены

К этой категории можно отнести большую часть всех фишинговых атак. Злоумышленники рассылают электронные письма от имени реально существующей компании с целью завладеть учетными данными пользователей и получить контроль над их личными или служебными аккаунтами. Вы можете получить фишинговое письмо от имени платежной системы или банка, службы доставки, интернет-магазина, социальной сети, налоговой и т.д.

Фишинговые письма создают с большой скрупулезностью. Они практически ничем не отличаются от тех писем, которые пользователь регулярно получает в рассылках от настоящей компании. Единственное, что может насторожить - просьба перейти по ссылке для выполнения какого-либо действия. Переход этот, однако, ведет на сайт мошенников, являющийся “близнецом” страницы сайта банка, социальной сети или другого легального ресурса.

Побудительным мотивом для перехода по ссылке в подобных письмах может выступать как “пряник” (”Вы можете получить 70% скидку на услуги, если зарегистрируетесь в течение суток”), так и “кнут” (”Ваша учетная запись заблокирована в связи с подозрительной активностью. Чтобы подтвердить, что вы владелец аккаунта, перейдите по ссылке”).

Приведем список самых популярных уловок мошенников:

• Ваша учетная запись была или будет заблокирована /отключена.

  Тактика запугивания пользователя может быть очень эффективной. Угроза того, что аккаунт был или в ближайшее время будет заблокирован, если пользователь сейчас же не зайдет в учетную запись, заставляет тут же потерять бдительность, перейти по ссылке в письме и ввести свой логин и пароль.

• В Вашей учетной записи обнаружены подозрительные или мошеннические действия. Требуется обновление настроек безопасности.

  В таком письме пользователя просят срочно войти в учетную запись и обновить настройки безопасности. Действует тот же принцип, что и в предыдущем пункте. Пользователь паникует и забывает о бдительности.

• Вы получили важное сообщение. Перейдите в личный кабинет, чтобы ознакомиться.

  Чаще всего такие письма присылают от имени финансовых организаций. Пользователи склонны верить правдивости писем, поскольку финансовые организации действительно не пересылают конфиденциальную информацию по электронной почте.

• Фишинговые письма налоговой тематики.

  Такие письма входят в тренд, как только близится время платить налоги. Темы писем могут быть самыми разными: уведомление о задолженности, просьба выслать недостающий документ, уведомление о праве на получение возврата налога, и т.д.

2. Целенаправленная фишинговая атака

Не всегда фишинг бьет наудачу - часто атаки являются персонифицированными, целенаправленными. Цель та же - заставить пользователя перейти на фишинговый сайт и оставить свои учетные данные.

Естественно, у будущей жертвы больше доверия вызовет письмо, в котором к ней обращаются по имени, упоминают место работы, должность, занимаемую в компании, еще какие-либо индивидуальные данные. Причем информацию для направленных фишинговых атак люди чаще всего предоставляют сами. Особенно “урожайны” для преступников такие ресурсы как всем известная LinkedIn - создавая резюме в расчете на потенциальных работодателей, каждый старается указать побольше сведений о себе.

Для предупреждения подобных ситуаций организациям следует постоянно напоминать сотрудникам о нежелательности размещения личной и служебной информации в открытом доступе.

3. Фишинг против топ-менеджмента

Особый интерес для мошенников представляют учетные данные руководства.

Как правило, специалисты по безопасности любой фирмы внедряют четкую систему допусков и уровней ответственности, в зависимости от должности работника. Так, менеджер по продажам имеет доступ к базе данных продукции, а список сотрудников компании для него - запретная зона. HR-специалист, в свою очередь, полностью в курсе, какие вакансии кем заняты, какие только что освободились, кто достоин повышения, но понятия не имеет о номерах и состоянии банковских счетов родной фирмы. Руководитель же обычно сосредотачивает в своих руках доступ ко всем критически важным узлам жизни предприятия или организации.

Получив доступ к учетной записи главы компании, специалисты по фишингу идут дальше и используют ее для коммуникации с другими отделами предприятия, например, одобряют мошеннические банковские переводы в финансовые учреждения по своему выбору.

Несмотря на высокий уровень допуска, менеджеры высшего звена не всегда участвуют в программах обучения персонала основам информационной безопасности. Вот почему, когда фишинговая атака направлена против них, это может привести к особенно тяжелым последствиям для компании.

4. Фишинг рассылки от Google и Dropbox

Сравнительно недавно в фишинге появилось новое направление - охота за логинами и паролями для входа в облачные хранилища данных.

В облачном сервисе Dropbox и на Google Диске пользователи, как личные так и корпоративные, хранят множество конфиденциальной информации. Это презентации, таблицы и документы (служебные), резервные копии данных с локальных компьютеров, личные фотографии и пароли к другим сервисам.

Неудивительно, что получить доступ к учетным записям на этих ресурсах - заманчивая перспектива для злоумышленников. Для достижения этой цели используют стандартный подход. Создается фишинговый сайт, полностью имитирующий страницу входа в аккаунт на том или ином сервисе. Потенциальных жертв на него в большинстве случаев перенаправляет фишинговая ссылка в электронном письме.

5. Фишинговые письма с прикрепленными файлами

Ссылка на подозрительный сайт с целью украсть данные пользователя - не самое страшное, на что способен фишинг. Ведь в этом случае преступники получат доступ лишь к определенной части конфиденциальной информации - логину, паролю, т.е к аккаунту в определенном сервисе. Гораздо хуже, когда фишинг-атака приводит к компрометации всего компьютера жертвы вредоносным программным обеспечением: вирусом-шифровальщиком, шпионом, трояном.

Такие вирусы могут содержаться во вложениях к письмам. Предполагая, что письмо пришло от доверенного источника, пользователи охотно скачивают такие файлы и заражают свои компьютеры, планшеты и лэптопы.

Что такое фарминг

Классический фишинг со ссылками на сомнительные ресурсы постепенно становится менее эффективным. Опытные пользователи веб-сервисов обычно уже осведомлены об опасности, которую может нести ссылка на подозрительный сайт и проявляют осмотрительность, получив странное письмо или уведомление. Заманить жертву в свои сети становится все труднее.

В качестве ответа на снижение результативности традиционных атак злоумышленниками был придуман фарминг - скрытое перенаправление на мошеннические сайты.

Суть фарминга состоит в том, что на первом этапе в компьютер жертвы тем или иным образом внедряется троянская программа. Она зачастую не распознается антивирусами, ничем себя не проявляет и ждет своего часа. Вредонос активируется лишь тогда, когда пользователь самостоятельно, без всякого внешнего воздействия, решает зайти на интересующую преступников страницу в интернете. Чаще всего это сервисы онлайн-банкинга, платежные системы и прочие ресурсы, осуществляющие денежные транзакции. Здесь-то и происходит процесс подмены: вместо проверенного, часто посещаемого сайта хозяин зараженного компьютера попадает на фишинговый, где, ничего не подозревая, указывает нужные хакерам данные. Делается это с помощью изменения кэша DNS на локальном компьютере или сетевом оборудовании. Такой вид мошенничества особенно опасен из-за трудности его обнаружения.

Защита от фишинга - основные правила

1. Обязательно проверить URL-адрес, по которому рекомендуется перейти, на наличие незначительных ошибок в написании.
2. Использовать лишь безопасные https-соединения. Отсутствие всего одной буквы “s” в адресе сайта обязано насторожить.
3. С подозрением относиться к любым письмам с вложениями и ссылками. Даже если они пришли со знакомого адреса, это не дает гарантии безопасности: он мог быть взломан.
4. Получив неожиданное подозрительное сообщение, стоит связаться с отправителем каким-либо альтернативным способом и уточнить, он ли его послал.
5. Если все же необходимо посетить ресурс, лучше ввести его адрес вручную или воспользоваться ранее сохраненными закладками (увы, от фарминга это не убережет).
6. Не использовать для доступа к онлайн-банкингу и другим финансовым сервисам открытые Wi-Fi сети: часто их создают злоумышленники. Даже если это не так, подключиться к незащищенному соединению не составляет сложности для хакеров.
7. На всех аккаунтах, где это возможно, подключить двухфакторную аутентификацию. Эта мера может спасти положение, если основной пароль стал известен взломщикам.

Выводы

Полностью уничтожить фишинг в обозримом будущем вряд ли получится: человеческая лень, доверчивость и жадность тому виной.

Ежедневно происходят тысячи фишинговых атак, которые могут принимать самые разнообразные формы:

• Классический фишинг . Фишинговые письма, отправленные от имени известных действительно существующих компаний, которые практически неотличимы от писем, которые пользователи обычно получают от этих компаний. Единственное отличие может заключаться в просьбе проследовать по ссылке, чтобы выполнить какое-то действие.
• Целенаправленная фишинговая атака . Персонализированные фишинговые письма, направленные на конкретного человека. Такие письма содержат имя, должность потенциальной жертвы, а также любые другие личные данные.
• Фишинг против топ-менеджмента . Фишинг-письма нацеленные на получение доступа к учетной записи главы компании, генерального директора, технического директора и т.д. После получения доступа к таким учетным записям специалисты по фишингу могут продолжать использовать их для связи с другими отделами, например, подтверждать мошеннические банковские переводы любому финансовому учреждению по своему выбору.
• Фишинг рассылки от Google и Dropbox . Относительно новое направление фишинговых атак, целью которых являются имена пользователей и пароли для входа в облачные хранилища данных.
• Фишинговые письма с прикрепленными файлами . Фишинг-письма с вложениями, содержащими вирусы.
• Фарминг . Скрытая переадресация на мошеннический сайт, выполненный с помощью изменения кэша DNS на локальном компьютере или сетевом оборудовании.

Только наличие своевременной и наиболее полной информации о методах хакеров, а также здоровая подозрительность по отношению к необычным, неожиданным сообщениям и предложениям, позволят существенно снизить ущерб от этого вида интернет-мошенничества.

Фи́шинг (англ. phishing, от fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям.

Цель как всегда банальна - доступ к персональной информации с целью обогащения. Методом рассылки электронных писем от имени популярных брендов, сообщений от банков, сервисов или у пользователей выспрашиваются пароли, логины и другие различные доступы к счетам, банковским картам, личным страничкам и т.д.

В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, после того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Происходит это зачастую из-за пренебрежениями пользователями безопасности или обычного незнания, в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

Обычно, фишинговые атаки направляют получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. Чаще всего жертвы терпят огромные финансовые потери или кражу личных данных в криминальных целях.

Выуживание чужих паролей или другой чувствительной информации имеет долгую историю среди общества взломщиков. Традиционно такие действия осуществлялись при помощи социальной инженерии. В 1990-ых, с ростом числа компьютеров, подключенных к сети, и популярностью , атакующие научились автоматизировать этот процесс и атаковать рынок массового потребления. Сам термин фишинг ("password harvesting fishing" – ловля и сбор паролей) описывает мошенническое овладение чувствительной информацией, когда жертве сообщают совсем другую причину, по которой она должна сообщить эти данные, а о настоящей цели она даже не догадывается.

Фишинговые атаки обычно осуществляются несколькими простыми инструментами и методами, позволяющими обмануть не о чем не подозревающих пользователей. Основной инфраструктурой, поддерживающей фишерные сообщения, обычно служит HTML страница, скопированная на недавно порутанный сервер и серверная часть скриптов для обработки всех данных, введенных пользователем. Могут вовлекаться и более комплексные веб-сайты и перенаправление содержания, но в большинстве случаев цель всегда одна – поднять фейковый сервер, имитирующий работу реального брэнда, который предоставит все данные, введенные пользователем в руки злоумышленника. Используя современные утилиты редактирования HTML, создание фейкового веб-сайта не займет много времени, и плохо защищенные веб-серверы могут быть легко запущены и взломаны в случае, если атакующий возьмется за сканирование диапазонов IP адресов в поисках уязвимых хостов. Однажды порутанные, даже домашние компьютеры могут стать эффективными хостами для фишерных сайтов, поэтому под прицелом находятся не только корпоративные или академические системы. Атакующие часто не делают различий между целевыми компьютерами, тупо выбирая большие диапазоны IP адресов для поиска случайных или одной конкретной уязвимости.

С момента создания фейкового сайта главной задачей фишера становится перенаправление пользователей с легального сайта компании на фейковый сайт. Пока фишер имеет возможность подменять DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправлять сетевой трафик (метод, часто называемый pharming), они все равно должны полагаться на некоторую форму хорошего уровня содержимого, чтобы заманить несчастного пользователя на фейковый сайт. Чем лучше качество приманки, тем большая сеть может быть раскинута и тем больше шанс невинного пользователя посетить фейковый сайт (и ввести данные, запрошенные фишером).

Однако для атакующего есть одна проблема – когда он выбрал конкретную организацию (банк или др.), у него возможно не будет никакой информации о том, кто является реальным покупателем в Интернете, что может быть особенно заметно для определенных ловушек. Если даже фишер запостит пару линков, ведущих на фейковый сайт в чатах и форумах, принадлежащих реальному брэнду (сайт технической поддержки или группы по связям с общественностью), велика вероятность что реальная организация будет быстро информирована, а неправильные ссылки будут удалены или подвергнуты сомнению до того, как достаточное число пользователей посетят фейковый контент и пришлют личные данные. Также существует существенный риск, что реальная организация может зафиксировать и отключить фейковый сайт. Следовательно, фишеру требуется метод достижения максимального количества потенциальных жертв с минимумом риска, плюс идеальный партнер в целях спама по email.

У спамеров имеются в наличии базы данных с миллионами рабочих email адресов, таким образом, массовые методы рассылки могут быть использованы фишером для рассылки приманок очень многим юзерам с малым риском. Спамные сообщения чаще всего посылаются через хакнутые серверы в различных странах, или через глобальные сети (ботнэты), таким образом, реальное местоположение фишера определить в принципе невозможно. Если не о чем не подозревающий юзер получает официально оформленное сообщение, причем, похоже, что его отправил банк и просит пользователя перейти по ссылке, содержимое которой будет максимально походить на реальный сайт банка. Далее юзера просят поменять пароль для онлайновых операций в целях безопасности, и вероятность, что он сделает это, велика, если у него в почтовом ящике находится приличная куча другого спама с предложениями купить какой-либо новый товар и ссылками на неизвестные сайты.

Для увеличения видимости того, что сообщение подлинное, фишер может воспользоваться некоторыми методами для улучшения изощренности попыток жульничества:
Использование IP адресов вместо доменных имен в ссылках на фейковый веб сайт.

Многие пользователи не будут проверять (или не будут знать как проверить) принадлежит ли IP адрес реальному хосту организации.
Регистрирование созвучных DNS доменов (к примеру, b1gbank.com or bigbnk.com).
Вставка ссылок из реального сайта компании в сообщение о фишерном сайте таким образом, что браузер пользователя выполнит большинство соединений на реальный сайт и минимум из них – на фейковый.
Кодирование линка в браузере. Одним из вариантов этого метода может быть IDN spoofing с использованием Unicode. Будет казаться, что линк ведет на подлинный сайт, однако фактически соединение пойдет на фейковый сервер с другим адресом.
Использование уязвимости в веб-браузере пользователя.

Приложения Microsoft Internet Explorer и Outlook имеют множество дырок (такие как address bar spoofing или IFrame element)
Конфигурирование фишерного сайта

Сайт делается так, чтобы записывались любые введенные данные (имена пользователей и пароли), причем скрытно, а затем направлять пользователя на реальный сайт. Можно выдать сообщение «пароль неверный», после чего пользователь вообще не заподозрит неладного и тупо введет все данные снова.
Фейковый сайт в роли прокси-сервера для реального сайта

Данный сайт полностью журналирует все данные, незашифрованные SSL (или даже регистрируя валидные SSL сертификаты для спуфных доменов)

Использование malware

Перенаправление жертв на фишерный сайт, используя malware для установки злоумышленного Browser Helper Object на локальный компьютер. BHO это DLL’ки, созданные для контроля браузера Internet Explorer, и если они выполняются успешно, жертва может быть обманута, т.к. будет думать, что находится на реальном сайте, а на самом деле будет на фейковом.
Использование malware для правки файла hosts на PC жертвы, который используется для хранения соответствий между DNS и IP адресами. Путем вставки фейкового DNS в этот файл можно заставить браузер жертвы соединяться на нелегальный сервер.

Благодаря комплексной природе многих приложений электронной коммерции или онлайновых банков, которые чаще всего используют HTML фреймы и саб-фреймы или другие структуры комплексных страниц, пользователю будет трудно определить является ли определенная страница законной. Использование методов, указанных выше, может скрыть исходник страницы, а пользователь будет легко обманут. С этого момента фишер сможет свободно использовать акаунты пользователя или другие электронные идентификаторы, а пользователь становится другой жертвой успешной фишерной атаки.

Методы защиты от фишинг-атак существуют, и они вполне действенны. Для начала следует использовать наиболее популярные интернет-браузеры, производители которых идут в ногу со временем и снабжают свои программы возможностями "антифишинга" - Internet Explorer, Mozilla , Google , Safari, Opera. Также следует запомнить, что банки, социальные сети и другие сервисные службы не занимаются массовыми рассылками с требованиями об указании конкретных данных пользователя конфиденциального характера. В случае получения подобного спама сразу обращаться в отдел обслуживания компании, от которой якобы получено письмо с запросом личной информации для проверки подлинности сообщения. Не следует открывать подозрительные ссылки в письмах. Кроме того, нужно использовать специальные почтовые сервера со встроенными антифишинговыми спам-фильтрами и проверять, используется ли зашифрованное соединение (в адресной строке должно быть указано "https://", а не "http:// ").

Если у вас не получается самостоятельно настроить антифишинговую защиту в вашем интернет-обозревателе, обращайтесь за помощью к профессионалам во избежание потери конфиденциальных данных.

Оставьте свой комментарий!

Firefox contains built-in Phishing and Malware Protection to help keep you safe online. These features will warn you when a page you visit has been reported as a Deceptive Site (sometimes called “phishing” pages), as a source of Unwanted Software or as an Attack Site designed to harm your computer (otherwise known as malware). This feature also warns you if you download files that are detected as malware.

Table of Contents

What are Deceptive/Phishing, Attack Sites, Unwanted Software and Malware?

Deceptive Site (also known as "Phishing")

Attack Sites

Attack Sites are websites that try to infect your computer with malware when you visit. These attacks can be very difficult to detect; even a site that looks safe may be secretly trying to attack you. Sometimes even the website’s owner doesn’t realize that the site has become an Attack Site.

Malware

Malware is software designed to infect your computer without your knowledge. Malware is most often used to steal personal information, send junk email (spam), or spread more malware.

You can learn more about malware and Attack Sites from StopBadware , a non-profit organization that works with partners like Mozilla to protect users from malware and other dangerous software.

Unwanted Software

Unwanted Software sites are websites that try to trick you into installing programs that harm your browsing experience (for example, by changing your homepage or showing extra ads on sites you visit). You can learn more about such software on the Google Unwanted Software Policy .

How does Phishing and Malware Protection work in Firefox?

Phishing and Malware Protection works by checking the sites that you visit against lists of reported phishing, unwanted software and malware sites. These lists are automatically downloaded and updated every 30 minutes or so when the Phishing and Malware Protection features are enabled.

When you download an application file, Firefox checks the site hosting it against a list of sites known to contain "malware". If the site is found on that list, Firefox blocks the file immediately, otherwise it asks Google’s Safe Browsing service if the software is safe by sending it some of the download’s metadata.*

* Windows users: This online check will only be performed in Firefox on Windows for those downloaded files that don’t have a known good publisher. Most of the common and safe software for Windows is signed and so this final check won’t always need to happen.

How do I use the Phishing and Malware Protection features?

These features are turned on by default so, unless your security settings have been changed, you are likely already using them. Phishing and Malware Protection options preferences can be found on the Security panel Privacy & Security panel :

To turn these features off, follow the preceding steps to return to the Security panel and remove the check marks.

To turn these features off, follow the preceding steps to return to the Privacy & Security panel and remove the check marks.

To see if Phishing Protection is active, visit our phishing test site . Likewise, you can visit our malware test site to confirm that Firefox is blocking Attack Sites as well as our unwanted software test site . With Phishing and Malware Protection turned on, all these sites should be blocked from loading.

What happens when a page or file is blocked?

Firefox will block the page from loading and display a Deceptive Site warning for phishing sites, Reported Unwanted Software Page for unwanted software sites and Reported Attack Page for malware sites.

If you download malware or spyware, Firefox displays a message about the file in the Downloads panel.

Unblock .

If you download malware or other software that is potentially unwanted or uncommon, Firefox displays a message about the file in the Downloads panel.

To ignore the warning and download such a file, right-click on it in the Downloads panel and select Allow Download .

What information is sent to Mozilla or its partners when Phishing and Malware Protection are enabled?

There are two times when Firefox will communicate with Mozilla’s partners while using Phishing and Malware Protection for sites. The first is during the regular updates to the lists of reporting phishing and malware sites. No information about you or the sites you visit is communicated during list updates. The second is in the event that you encounter a reported phishing or malware site. Before blocking the site, Firefox will request a double-check to ensure that the reported site has not been removed from the list since your last update. This request does not include the address of the visited site, it only contains partial information derived from the address.

In addition to the regular list updates mentioned above, when using Malware Protection to protect downloaded files, Firefox may communicate with Mozilla"s partners to verify the safety of certain executable files. In these cases, Firefox will submit some information about the file, including the name, origin, size and a cryptographic hash of the contents, to the Google Safe Browsing service which helps Firefox determine whether or not the file should be blocked.

The Mozilla Privacy Policy describes what data Firefox and Mozilla each receive and how it"s handled. The Google Privacy Policy explains how Google handles collected data.

I’ve confirmed that my site is safe, how do I get it removed from the lists?

If you own a site that was attacked and you have since repaired it, or if you feel that your site was reported in error, you can request that it be removed from the lists. We encourage site owners to investigate any such report thoroughly, though; a site can often be turned into an attack site without any visible change.

Мошенники существовали всегда, и теперь, в эпоху Интернета, они используют всемирную сеть для охоты на доверчивых пользователей. Масштабы Интернет-мошенничества неуклонно растут, и методы изготовления злонамеренных сообщений электронной почты и веб-узлов совершенствуются с каждым днем.

Что такое Интернет-мошенничество или «phishing»?

Фишинг - это способ обмана, используемый интернет-мошенниками для того, чтобы получить личные сведения о пользователе. Фишинг - это самый быстроразвивающийся способ мошенничества в сети, применяемый для кражи личных средств и идентификационных сведений.

В качестве приманки мошенники, которые занимаются фишингом, используют электронные письма и веб-узлы, которые имитируют хорошо известные и надежные торговые марки.

Распространенным способом фишинга является рассылка нежелательных сообщений электронной почты, напоминающих подлинные сообщения известных веб-узлов или компаний, которым доверяют получатели (например, операторов кредитных карт, банков, благотворительных организаций или интернет-магазинов).

# Личное имя и имя пользователя.
# Адрес и номер телефона.
# Паспортные данные или PIN-код.
# Номер банковского счета.
# Номер банкоматной, дебетовой или кредитной карточки.
# Код проверки карточки (CVC) или контрольное число карточки (CVV).
# Номер социального страхования.

Преступники используют эти сведения различными способами для получения прибыли. Например, типичным примером является кража идентификационных сведений, когда преступник похищает личные сведения и использует идентификационные данные с целью совершения перечисленных ниже действий:

# Запрос и получение кредита от лица жертвы.
# Снятие всех средств с банковского счета или исчерпание кредита на карточке жертвы.
# Перевод денег со счета капиталовложений или кредитного счета на текущий счет жертвы с последующим использованием копии дебетовой или кредитной карты для извлечения наличных средств с текущего счета через банкоматы по всему миру.

Примеры схем выуживания конфиденциальной информации (phishing)

Далее приведены примеры схем выуживания конфиденциальной информации:

# Рассылка поддельных сообщений электронной почты, имитирующих предупреждения от компании, с которой ведется сотрудничество, о необходимости подтверждения сведений о счете во избежание его замораживания.

# Мошеннические действия при использовании аукциона с применением поддельных веб-узлов условного депонирования. Товары выставляются на продажу через легальный Интернет-аукцион, чтобы заставить покупателя перевести деньги поддельному веб-узлу условного депонирования.

# Фиктивные торговые сделки через Интернет, когда преступник предлагает оформить заказ на покупку товара с переводом суммы, значительно превышающей стоимость покупки. Для покрытия разницы преступник просит прислать ему чек на соответствующую сумму. В результате продавец не получает плату за товар, а преступник погашает чек и присваивает себе разницу. Кроме того, отправленный продавцом чек содержит номер его банковского счета, банковский путевой индекс (routing code), адрес и номер телефона.

# Фиктивные благотворительные организации, обращающиеся с просьбой о пожертвованиях. К сожалению, многие преступники готовы воспользоваться вашей добротой в целях наживы.

Как распознать сообщения электронной почты, рассылаемые мошенниками?

К сожалению, поскольку фишинг-атаки становятся все более изощренными, обычному пользователю очень сложно распознать поддельное сообщение. Именно поэтому схемы фишинга так часто и успешно используются злоумышленниками.

Например, многие фиктивные сообщения электронной почты содержат ссылки на эмблемы хорошо известных торговых марок реальных компаний. Тем не менее для многих поддельных сообщений характерны указанные ниже признаки.

# Запрос личных сведений по электронной почте. В большинстве легальных компаний существует политика, запрещающая запрос личных сведений по электронной почте. Сообщение с запросом личных сведений должно вызывать серьезные подозрения, даже если оно кажется подлинным.

# Экстренный характер сообщения. Обычно сообщения электронной почты, рассылаемые мошенниками, составлены в вежливой и любезной форме. Мошенники почти всегда стараются заставить получателя ответить на сообщение или щелкнуть содержащуюся в нем ссылку. Для увеличения числа откликов преступники пытаются придать сообщению экстренный характер, чтобы вызвать немедленную, необдуманную реакцию получателя. Обычно поддельные сообщения электронной почты не персонализированы, в отличие от сообщений, отправляемых банками и электронными магазинами. Ниже приведен пример реальной схемы выуживания конфиденциальной информации (phishing):

Уважаемый клиент банка, в связи с поступившими сообщениями о неактивности, мошенничестве и подделке сведения о вашем счете должны быть обновлены. Обновите сведения, чтобы избежать удаления счета. Воспользуйтесь приведенной ниже ссылкой для подтверждения ваших данных.

# Поддельные ссылки. Злоумышленники, которые используют фишинг, настолько преуспели в создании поддельных ссылок, что обычному пользователю не под силу отличить их от подлинных. Лучший способ избежать перехода по поддельной ссылке - ввести правильный веб- или URL-адрес в обозревателе вручную. Также можно сохранить правильный URL-адрес в папке обозревателя «Избранное». Не копируйте и не вставляйте URL-адреса из сообщений в обозреватель. Далее перечислены некоторые способы подделки ссылок, ранее использовавшиеся злоумышленниками.

# Если сообщение электронной почты имеет формат HTML , то ссылки, которые предлагается щелкнуть, могут содержать название реальной компании или его часть и обычно «замаскированы», т. е. ссылка ведет не на тот адрес, который в ней отображается, а, как правило, на поддельный веб-узел. В следующем примере показано, как при наведении указателя на ссылку в сообщении отображается всплывающее окно с желтым фоном, в котором отображается другой числовой адрес в Интернете. Этот признак должен вызвать самые серьезные подозрения.

# Обращайте внимание на URL-адреса с символом @. В следующем примере URL-адрес приведет на веб-узел, адрес которого указан за символом @, а не на веб-узел банка Wood Grove. Это происходит потому, что обозреватели не учитывают ту часть URL-адреса, которая указана до символа @.

https://[email protected]/secure_verification.aspx
Реальный веб-узел, nl.tv/secure_verification.aspx, вполне может быть небезопасным.

# Другой распространенный метод заключается в использовании URL-адреса , который можно принять за название хорошо известной компании, но при более внимательном рассмотрении можно увидеть, что он немного изменен. Например, вместо www.microsoft.com может быть указан один из следующих адресов:
www.micosoft.com
www.verify-microsoft.com
www.mircosoft.com

За последнее время корпорация Майкрософт выиграла несколько судебных процессов против лиц, использовавших подобные адреса URL для имитации подлинных узлов Майкрософт. Тем не менее эта практика все еще распространена и зачастую защищена государственными границами.

# Использование изображения в теле сообщения. Чтобы обойти фильтры нежелательной электронной почты, мошенники, реализующие схемы выуживания конфиденциальной информации, часто используют изображения вместо текста в теле сообщения. Если нежелательное сообщение содержит текст, то фильтр нежелательной почты с большой вероятностью переместит его в папку Нежелательная почта. Изображение в теле сообщения обычно представляет собой гиперссылку. При наведении указателя на тело такого сообщения он принимает вид руки:

Другие изображения, помещаемые в сообщения электронной почты, могут указывать на сервер отправителя нежелательной электронной почты и выполнять роль веб-маяков. При открытии сообщения изображения загружаются и сведения об этом передаются на сервер. Эти сведения подтверждают, что адрес электронной почты активен и может использоваться в последующих рассылках.

# Вложения. Во многих схемах фишинга пользователю предлагается открыть вложение электронной почты, которое может загрузить на компьютер вирус или программу-шпион. При загрузке такой программы на компьютер она может регистрировать нажатия клавиш, используемые для входа в учетные записи, а затем отправлять данные о них злоумышленнику. Не открывайте вложения в подозрительных сообщениях электронной почты! Перед открытием любого вложения необходимо сначала сохранить его, а затем проверить с помощью обновленной антивирусной программы. В целях защиты компьютера приложения, автоматически блокируют файлы вложений некоторых типов, которые могут использоваться для распространения вирусов.

# Слишком заманчивые обещания. Опирайтесь на здравый смысл и проявляйте осторожность, если вам предлагают деньги или скидки, которые выглядят слишком заманчивыми.

Как распознать поддельный веб-узел?

Как и мошеннические сообщения электронной почты, поддельные веб-узлы содержат убедительные эмблемы и веб-ссылки. Это усложняет определение подлинности веб-узла.

Наилучший способ избежать такого мошенничества - не щелкать ссылки в подозрительных сообщениях. Далее перечислены некоторые элементы, которыми должны обладать подлинные веб-узлы.

# Безопасность SSL. Подлинные веб-узлы используют протокол SSL или другие технологии безопасности для защиты личных сведений, вводимых пользователем при создании учетной записи и последующем входе на веб-узел. Если на странице используются технологии безопасности, в строке состояния обозревателя отображается значок в виде замка. Кроме того, веб-адрес содержит префикс https:// (обратите внимание на букву s после http, которая обозначает безопасный) вместо обычного префикса http://

Важно! Следует отметить, что префикс https:// иногда используется в поддельных ссылках, как показано на примере «замаскированной» ссылки в разделе «Поддельные ссылки».

# Цифровой сертификат веб-узла. Дополнительным преимуществом технологии SSL является проверка подлинности - процедура идентификации веб-узла. Технология SSL обеспечивает данное преимущество за счет использования цифрового сертификата, предоставляемого веб-узлом. Для просмотра сертификата необходимо дважды щелкнуть значок в виде замка Замокв правом нижнем углу окна обозревателя и проверить данные в поле Кому выдан. Имя, указанное в сертификате, должно соответствовать узлу, который открыт. Например, если узел действительно принадлежит банку Wood Grove Bank, то имя в поле Кому выдан должно соответствовать URL-адресу woodgrovebank.com. Если указано другое имя, возможно, веб-узел поддельный. Как отмечалось выше, следует уделять особое внимание едва заметным различиям в названиях. Если срок действия сертификата истек, сертификат не утвержден центром сертификации или имя сертификата не соответствует имени в строке адреса, обозреватель Microsoft Internet Explorer выводит предупреждение.

Чтобы получить дополнительные сведения о сертификате, откройте вкладку Состав. Если уверенности в подлинности сертификата нет, не вводите личные сведения на веб-узле. В целях безопасности рекомендуется покинуть такой веб-узел.

У вас обновлен браузер и все дополнения. Но на каком-то сайте вы увидели уведомление о заражении своего компьютера и установили рекомендуемую защитную программу. После чего та предложила вылечиться за деньги, причем в системе стало невозможно работать.

Нет, конечно, с вами такого произойти не могло! Ведь вы опытный пользователь, который никогда не попадется на такие примитивные уловки мошенников. А как насчет ваших близких, друзей и знакомых — они тоже такие опытные? А может быть, вы считаете, что достаточно просто установить им антивирус, чтобы застраховаться от таких угроз?

Кстати, вы сможете отличить поддельный антивирус Microsoft Security Essentials от настоящего?

На прошлой неделе моему брату разные знакомые привезли по компьютеру с фальшивыми защитными программами. Имевшиеся в системе бесплатные антивирусы от известных производителей оказались повержены более могучими поддельными собратьями.

Не секрет, что пользователи зачастую сами создают себе проблемы, устанавливая вредоносные программы, прячущиеся под маской легитимных приложений. Ситуация усугубляется тем, что во время установки фальшивки ведут себя прилично, не давая особого повода к ним придраться. И лишь потом они проявляют себя во всей дьявольской красе.

Почувствуйте себя… рыбой!

Фишинг (рыбалка, в буквальном переводе) – это сочетание приемов, с помощью которых злоумышленники стараются:

• завлечь вас на мошеннический сайт с целью выудить личную и финансовую информацию
• побудить вас к посещению зараженного ресурса, где эксплуатируются уязвимости браузеров и дополнений
• подсунуть вам замаскированную вредоносную программу, которая будет вымогать деньги или возьмет систему под свой контроль

Приведенный выше пример с фальшивым антивирусом – это классический фишинг. В качестве другого распространенного случая можно привести надстройки для просмотра видео. Помните огромную долю сайтов с порнографией и потоковым видео среди всех зараженных ресурсов? Там очень логично предлагать к загрузке какой-нибудь плеер. Хочешь бесплатной «клубнички»? Установи надстройку! И ставят:)

Репутация загружаемого файла устанавливается на основе:

• хэша, который уникален для каждого файла
• цифрового сертификата, которым подписан файл (один сертификат обеспечивает репутацию всем файлам, которые им подписаны)

Теперь сообщение о потенциальной опасности появляется только для исполняемых файлов без репутации, и по оценкам разработчиков увидеть его можно будет не чаще 2-3 раз в год.

Репутация работает только для исполняемых файлов программ (EXE), но не для архивов или мультимедиа файлов.

Загрузка файлов с репутацией и без нее

Когда исполняемый файл обладает репутацией, все происходит стандартно. Попробуйте скачать бесплатное видео – после проверки безопасности вы увидите обычное диалоговое окно.

А вот такой же файл, но уже без репутации. Загрузите это бесплатное видео, и вы увидите предупреждение фильтра SmartScreen.

Обратите внимание, что программу без репутации невозможно сразу запустить из браузера, хотя она уже сохранена на диске. Кнопку Выполнить заменяют кнопки Удалить и Действия . Последняя открывает диалоговое окно с подробным объяснением причины блокировки (то же самое происходит и в менеджере закачек IE9) .

Чтобы добраться до возможности запуска файла, здесь придется еще нажать кнопку со стрелкой Дополнительно . Особо настойчивые пользователи все равно его запустят, но по оценкам разработчиков в этом случае риск нарваться на что-то нехорошее составляет от 25 до 70%.

Анти-фишинговый фильтр браузера предоставляет дополнительный уровень защиты системы, поскольку проверка выполняется до запуска файла, т.е. перед тем, как он попадает в сферу наблюдения антивируса.

Те, кто отключает защиту от фишинга в браузере, считая достаточным лишь антивирусный щит, демонстрируют поверхностный подход к укреплению безопасности системы.

Кстати, не путайте эти сообщения с предупреждением о загрузке неподписанного файла (я сделал такой для примера). Оно появляется всегда при отсутствии цифровой подписи, и не является частью фильтра SmartScreen.

Ситуация для разработчиков бесплатных программ

Добавление репутации файлов к фильтру SmartScreen безусловно укрепляет защиту от фишинга в IE9. Однако репутацией могут не обладать не только новые вредоносные программы, но и вполне легитимные, но не массовые приложения. И, условно говоря, пока их не скачает достаточное количество человек, репутация не появится. А раз ее нет, IE9 будет затруднять запуск исполняемого файла.

Одно из решений проблемы – цифровая подпись кода. Между тем, сертификат на один год от VeriSign стоит $500, а от Thawte — $300. Можно найти и дешевле, но порядок суммы понятен. Далеко не каждый автор бесплатной утилиты для Windows, не извлекающий прибыли из своего проекта, готов потратить такие деньги.

Можно пойти дальше и включиться в программу Windows 7 Logo , подтвердив совместимость приложения, что обеспечит ему репутацию. Думаю, что в Microsoft вполне сознательно пошли на такой шаг, чтобы подтолкнуть разработчиков к написанию программ, полностью совместимых с Windows 7. Любопытно, что дополнения для IE, которые так нужны браузеру для борьбы за место под солнцем, в эту программу не принимаются.

Разработчики, которым не подходят эти варианты обеспечения репутации своей программы, могут упаковывать исполняемый файл в ZIP-архив. Это тоже затрудняет запуск установщика, но не отпугивает пользователей предупреждениями.

Рассказ о защитных функциях браузеров еще не закончен. Не все фильтры одинаково полезны, и об их сравнении мы поговорим через пару дней.

Один из моих читателей в обсуждении предыдущей статьи только что привел пример фишинга . А вы встречались с фишингом или его последствиями? Приходилось восстанавливать систему после фальшивого антивируса? Кстати, вы определили, какой из двух MSE фальшивый? Расскажите о своем опыте и системах, в которых наблюдалась проблема.