В этой статье мы расскажем о том, как мошенники получают доступ к вашим личным данным, используя E-mail. Вы узнаете о способах воровства логинов, паролей, номеров кредитных карт, а также поймете как от них защититься. Кто такие фишеры, как спрятать свои пароли, почему спам - это плохо...

Азбука ПК уже описывала способы проникновения вирусов в ваш компьютер и рассматривала различные методы борьбы с ними. Сегодня пришло время поговорить о более изощренных методах нанести вред вашему ПК, а точнее, именно вам и вашему кошельку. Все хотят получить деньги, причем много и не прилагая к этому никаких усилий, поэтому и возникает воровство. Интернет развивается, ПК становятся все мощнее... Рабочие станции постепенно превращаются в инструмент бизнеса, появляются все новые и новы электронные платежные системы и банки, а следовательно, появляются и электронные воры, способные украсть ваши пароли, электронные кошельки и номера кредитных карт. Путей мошенничества много - инструментом преступления может быть вирус, а может и простое человеческое доверие или обман. Рассмотрим же, как бороться с мошенниками, пытающимися прорвать вашу оборону по электронной почте.

Одним из самых распространенных и, в то же время, простых способов кражи вашего пароля, кошелька или номера кредитки является, так называемый, фишинг .

Фишинг (англ. phishing , от password - пароль и fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, цель которого - получить идентификационные данные пользователей.

Как вы поняли, о вирусах речи не будет. Основой такого метода является простое выманивание ваших секретных данных. Вспомните многочисленные истории о воровстве цыганок, буквально гипнотизирующих своих доверчивых жертв - так и Интернет мошенники могут виртуально загипнотизировать начинающих пользователей, да и опытных тоже. Вас могут постараться запугать, заманить всевозможными акциями или подарками. Многие, сами того не ведая, попадаются на удочку «парольных рыболовов», лишаясь номеров ICQ, кошельков или номеров кредиток. Рассмотрим наиболее распространенные варианты фишинга и методы борьбы с ними.

Как бороться со спамом и фишингом

Итак, как действуют Интернет-мошенники. Фишеры рассылают множество одинаковых писем от лица известной компании, предоставляющей какие-либо услуги. Письма могут содержать различную информацию - начиная от угроз (например, что их сервера атакованы вирусами и для обеспечения вашей безопасности вам нужно ввести в предложенной форме логии и пароль), предложений или акций, и заканчивая просто скрытыми ссылками. После того, как доверчивый пользователь вводит контактную информацию в надежде обезопасить себя либо получить приз, либо что-то другое, все данные отправляются прямиком в руки мошенникам. Как они это делают?

Рассмотрим ситуацию номер 1 - Как бороться с фишингом

Вам приходит письмо, в котором компания XXX просит вас войти в свой аккаунт по предложенной ссылке. Пройдя по этой ссылке, вы видите знакомый интерфейс используемой электронной платежной системы, аукциона либо другого известного сайта. На первый взгляд ничего страшного. Однако если присмотреться, окажется, что это не их сайт - адрес отличается, хотя дизайн очень похож. Просто мошенники постарались сделать точную копию настоящего сайта, а введя данные по предложенной ссылке вы просто-напросто отдадите сой пароль в их руки. Часто, мошенники делают все, чтобы у вас не возникло никаких подозрений, поэтому ссылка в письме может выглядеть абсолютно нормально, например https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-run .

Кажется, абсолютно нормальная ссылка для входа в учетную запись платежной системы PayPal, однако это просто текст, название ссылки. Сама гиперссылка ведет на сайт мошенника и при наведении внизу браузера вы увидите что-то подобное http://203.162.168.198/.confirm/index.php?MfcISAPICommand=3DSignIn=FPP .

Если не обратить внимания на разницу между отображаемой и реальной ссылкой, то можно запросто стать жертвой мошенников. На поддельном сайте вам предложат ввести например данные своего аккаунта или данные кредитной карты. И не смотря на то что сайт выглядит почти как настоящий, эти данные пойдут прямиком к мошенникам.

Пример номер 2 - Как бороться с фишингом

Вам не предложат перейти по ссылке, а позаботятся о вашем времени - форма ввода пароля и логина уже размещена в полученном вами письме. Не вздумайте вводить никаких данных! Это еще одна уловка фишеров, которые старательно готовили текст письма, который может заверять вас о полученном вознаграждение в $1000 либо угрожать опасностью взлома.

Для того, чтобы не попасться на подобную удочку, следует лишь выполнять несколько простых рекомендаций. Итак, как бороться с фишерами и что нужно знать о сетевом мошенничестве.

1. Будьте предельно внимательными, когда вам приходят письма с запросом какой-либо персональной информации, либо с требованием ее обновить на сайте.

2. Если письмо не подписано цифровой сигнатурой, то нельзя быть уверенным, что оно не поддельное.

3. Мошенники часто используют специальные приемы, чтобы вызвать реакцию на письмо. Типичными являются фразы с угрозами каких-либо неприятных последствий, в случае если вы не перейдете по ссылке. Либо наоборот обещания каких то бонусов от известного сервиса.

4. Чаще всего мошенникам требуются логины, пароли, номера кредитных карт и т.п.

5. Как правило фишинговые письма не персонализированы, т.е. не содержат вашего имени в адресе.

7. Никогда не заполняйте персональными данными HTML формы, которые расположены прямо в письме.

8. Всегда проверяйте, что для передачи персональной информации используется шифрованное соединение. Чтобы проверить шифруются ли данные, посмотрите на ссылку страницы где вводятся данные. Адрес должен начинаться с "https://", а не с "http://".

Распространение атак направленного фишинга связанно с их эффективностью и слабой возможности традиционных решений по безопасности противостоять им. В то время как обычная фишинговая атака рассылается массово, атаки направленного фишинга (spear phishing) проводятся против конкретных субъектов.

Spear phishing

Направленный фишинг стал самым распространенным типом таргетированной атаки по одной простой причине: эта техника по-настоящему работает, вводя в заблуждение даже тех пользователей, которые серьезно подходят к вопросам безопасности. Она создает для хакеров опорный пункт для проникновения в корпоративную сеть. По данным исследования Check Point, проведенного среди более 10 тысяч организаций по всему миру, в 84% из них за последние 12 месяцев был скачан хотя бы один зараженный документ. Это происходит потому, что злоумышленнику достаточно просто получить представление о компании или о конкретных ее сотрудниках в сети Интернет, а затем написать такое письмо, которое побудит даже самого бдительного работника открыть вредоносное вложение и тем самым инициировать хакерскую атаку.

Цели атаки

• получить список сотрудников с сайта (уровень доверия информации - очень высокий);
• получить список сотрудников с помощью социотехнических техник - звонок или обращение по почте (уровень доверия информации - очень высокий);
• получить ФИО из метаданных документов, размещенных на сайте (уровень доверия информации - высокий);
• linkedin (уровень доверия информации - средний);
• пропарсить соцсети (уровень доверия информации - низкий).

После предварительного сбора списка вероятных сотрудников организации производится сбор данных об их сфере деятельности, зонах ответственности и горизонтальных связях. Также производится поиск точки входа для проведения атаки на выбранных субъектов. После анализа полученной информации можно составлять сценарий атаки.

Психология атаки

Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения, глубинным страхам и выработанным под давлением микросоциума приспособительным рефлексам. Чтобы развитый блок критического восприятия жертвы не мешал атаке, его просто перегружают потоком данных, переключая на анализ второстепенной информации, или используют фактор срочности, чтобы отключить вовсе и заставить действовать необдуманно. Все это похоже на атаку ключевых узлов нейросети.

Один из базовых приемов социальной инженерии- создание дефицита времени, некое событие, на которое жертва должна среагировать немедленно. Срочные решения сложно принимать именно потому, что приходится действовать в условиях нехватки достоверной информации. В таких ситуациях некогда советоваться и проверять все сообщенные атакующим данные, поэтому жертва начинает действовать, руководствуясь сильными чувствами: желанием помочь, стремлением получить признание или поскорее отделаться от неожиданной проблемы. Также часто удается сыграть на жажде легкой наживы, страхе потерять деньги, работу, результаты труда или репутацию.

Жертве могут сказать в лоб, что ситуация срочная, или позволить ей самостоятельно прийти к такому выводу. Второе эффективнее, так как для человека это будет собственная мысль, которая не вызывает сомнений. Именно на нее он будет опираться в своих минимальных рассуждениях, все больше проникаясь доверием к услышанной легенде.

Пример

Объектами атаки выбраны главный бухгалтер и секретарь, под которых были задействованы следующие сценарии атаки (вектор - электронная почта):
Главный бухгалтер:

• От: нейтральный адрес, типа %surname%%birthyear%@mail.ru
• Тема письма: FWD акт сверки
• Текст письма: Добрый день, ФИО. Согласно предварительной договоренности высылаю акт сверки.
• Приложение: Акт сверки ООО Ромашка.xls

• От: [email protected] (поддельный адрес)
• Тема письма: Исковое заявление о взыскании долга
• В Арбитражный суд г. Москвы подано исковое заявление №23401-16 о взыскании долга с ООО «Ромашка», ЕГРЮЛ: ХХХХХХХХХХХХ, ИНН: ХХХХХХХХХХХ, Юридический адрес:, свидетельство о регистрации: ХХХХХХ на основании искового заявления контрагента по взысканию задолженности за оказанные услуги.
• Исковые требования:
• В соответствии со ст. 395 ГК РФ за пользование чужими денежными средствами вследствие их неправомерного удержания, уклонения от их возврата, иной просрочки в их уплате либо неосновательного получения или сбережения за счет другого лица подлежат уплате проценты на сумму этих средств.
• Приложение: судебное решение 23401-16.docx

Тренинг персонала

Технические меры защиты от фишинга, такие как фильтрация и анализ почтового/веб трафика, ограничение программной среды, запрет запуска вложений - весьма эффективны, но они не могут противостоять новым угрозам и, что более важно, не могут противостоять человеческой глупости любознательности и лени. Бывали случаи, когда пользователь, будучи не в состоянии открыть/запустить вредоносное содержимое на рабочем месте пересылал его на свой домашний компьютер и запускал, со всеми вытекающими… Поэтому, какую бы основательной не была система технической защиты - не стоит забывать про такой важный фактор как обучение пользователя.

Периодические инструктажи и информационные рассылки являются важной составляющей обучения персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках, учитывая фактор вовлеченности в процесс.

Простейшая система, позволяющая провести тестирование и тренинг персонала по выявлению фишинговых атак выглядит следующим образом:

• Подготовка сценария и шаблонов писем;
• Рассылка фишинговых писем пользователям;
• Перенаправление отреагировавших пользователей на специализированную страницу с предупреждением;
• Статистический учет эффективности атаки.

Для облегчения такого рода «учений» можно воспользоваться специализированным фреймворком gophish. Существуют и другие утилиты для облегчения задачи социоинженеру, например setoolkit, но они обладают избыточным функционалом и предназначены скорее для активной атаки. Также есть несколько онлайн сервисов, но они, в основном, англоязычные и не подходят для использования среди русскоговорящих целей фишинговой компании.

Gopgish - мультиплатформенный фреймворк с удобным веб-интерфейсом и простейшим развертыванием. Этот фреймворк разработан на Golang и вероятнее всего не заработает на шаред-хостинге, имейте это ввиду.

С его помощью можно создать фишинговую компанию для определенной группы пользователей:

На фишинговой странице можно «собирать» введенные пользователями данные:

После проведения компании можно оценить её эффективность:

Меры предосторожности

Защита вашего компьютера Яремчук Сергей Акимович

Борьба с фишингом и фармингом

Борьба с фишингом и фармингом

Прежде всего важно понимать, что банки, системы денежных расчетов, почтовые и прочие сервисы и организации никогда не просят коды и пароли, которые они выдали клиентам. Банковские системы и технологии надежны, в них используется система резервирования важной информации, поэтому клиенты не должны верить утверждениям вроде «что-то пропало» или «необходимо что-то проверить». Любая информация о том, что у банка что-то случилось, может повредить его репутации, поэтому банк скроет проблему, а не будет рассказывать о ней. Проблема будет решаться тихо по мере обращения в службу поддержки. Кроме того, администратор любого сервиса имеет неограниченные права, поэтому, даже если система не показывает ваш пароль, в критической ситуации он сможет применить его без вашей помощи, а на ваш контактный адрес придет письмо с объяснением ситуации, хотя такой случай будет из ряда вон выходящим.

Фишинг появился потому, что получение данных от клиента – более простой вариант, чем взлом защищенных банковских систем, поэтому не стоит попадаться на уловки мошенников. Прислушайтесь к следующим советам.

Получив письмо от банка, подумайте, действительно ли он может быть отправителем.

Никогда не отвечайте и игнорируйте сообщения по электронной почте или ICQ, запрашивающие личные данные и финансовую информацию, даже если они получены из, казалось бы, надежных источников.

При получении подозрительного сообщения электронной почты не открывайте вложения. Свяжитесь напрямую с человеком или организацией, указанными в поле От , или службой поддержки сервиса.

Проверяйте URL любого сайта, который запрашивает идентификационную информацию. Убедитесь в том, что сеанс начался с правильного адреса веб-сайта, и к нему не добавлены лишние символы.

Используйте антивирус, брандмауэр, системы контроля целостности данных и другие системы защиты, о которых говорилось в предыдущих главах данной книги. Вовремя обновляйте программное обеспечение, установленное на компьютере.

Избегайте работы с интернет-банками на компьютерах, не находящихся под вашим контролем. Особенно небезопасны общественные интернет-кафе, не рекомендуется также пользоваться компьютерами друзей и знакомых.

Всегда выходите из сервисов, использующих веб-интерфейс, с помощью предусмотренных средств. Как правило, для этого существует специальная кнопка, размещенная в правом верхнем углу страницы (Logout , Sign out или Выход ). Так вы не позволите любому человеку, севшему за компьютер после вас, воспользоваться кэшем браузера для восстановления сеанса.

Некоторые сайты имеют подписанные сертификаты, и достаточно нескольких секунд, чтобы определить, можно ли доверять открытому веб-сайту. Например, в Internet Explorer для просмотра такого сертификата в меню Файл нужно выбрать пункт Свойства . В окне свойств следует нажать кнопку Сертификаты и проверить, есть ли у веб-сайта действующий сертификат, выданный официальной организацией. В Firefox для этого следует выполнить команду Tools ? Page Info (Инструменты ? Информация о странице) и в появившемся окне перейти на вкладку Security (Безопасность). К сожалению, большинство российских ресурсов не используют такой сертификат.

Если вы подозреваете, что сообщили пароль в ответ на фишинг-сообщение или ввели его на мошенническом веб-узле, как можно скорее смените его. Регулярно проверяйте банковские отчеты и отчеты по кредитным картам: часто мошенники не берут крупную сумму сразу, а вымогают деньги постепенно, рассчитывая на «долгое сотрудничество».

В настоящее время не существует готового решения, позволяющего распознать фарминг и фишинг с помощью одной программы. Для защиты от фишинга разработчики наиболее распространенных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам.

Новые версии некоторых веб-браузеров обладают такой возможностью. Например, фишинг-фильтр корпорации Microsoft доступен в обозревателе Internet Explorer 7, предназначенном для системы Windows XP c установленным Service Pack 2 и для Windows Vista. Он сканирует и выявляет подозрительные веб-узлы, а также предоставляет своевременные обновления и отчеты о найденных фишинг-узлах. Если вы не включили функцию антифишинга во время установки Internet Explorer 7, это можно сделать в любой момент, для чего нужно выполнить команду Сервис? Антифишинг . Функция антифишинга распознает два типа веб-узлов:

Веб-узлы, подозреваемые в фишинг-атаках: при переходе на такой узел функция антифишинга выдает предупреждение желтого цвета;

Веб-узлы, на которых предпринимались фишинг-атаки: при попытке посетить такой узел функция антифишинга препятствует этому и выдает предупреждение красного цвета, после чего на данном веб-узле нельзя ввести никакие данные.

Для пользователей обозревателя Internet Explorer версии 6 или более ранних доступна новая панель инструментов Windows Live (http://toolbar.live.com/ ), после установки которой требуется активизировать функцию OneCare Advisor . В дальнейшем эта функция будет работать подобно антифишингу в Internet Explorer 7.

Чтобы все работало, требуется наличие Windows XP c установленным Service Pack 2. Если вы используете более раннюю версию операционной системы Windows или другую систему вроде Linux, советую воспользоваться встраиваемой панелью Netcraft Toolbar, разработаную организацией Anti-Phishing Working Group, которая занимается борьбой с фишингом (http://www.antiphishing.org/ ). Панель доступна в двух вариантах: для веб-браузеров Internet Explorer и Firefox. Чтобы установить ее, следует перейти по адресу http://toolbar.netcraft.com/install и в области Choose version нажать кнопку, соответствующую используемому веб-браузеру, – появится запрос на установку нового модуля.

После перезапуска браузера в его окне появится новая панель. При переходе на сайт он будет проверяться, и индикатор Risk Rating будет отображать уровень риска сайта (рис. 7.6). Если цвет зеленый, то это означает, что сайт известен Netcraft и зарегистрирован давно (рядом с уровнем риска будет показан год регистрации и страна), его месторасположение соответствует регистрации, фальсификаций этого сайта или с этого диапазона адресов Интернета ранее замечено не было и сайт использует стандартный порт. Несоответствие хотя бы одного из этих параметров приведет к ухудшению рейтинга ресурса. Цвет панели будет меняться от желтого («внимание») до красного, указывающего на опасность.

Рис. 7.6. Показатель риска на панели Netcraft Toolbar

Кстати, по адресу http://www.antiphishing.org/phishing_archive.html можно найти большое количество реальных примеров фишерских писем.

Рассмотренная в главе 5 программа Kaspersky Internet Security обеспечивает защиту от фишинг-атак, отслеживая попытки открытия известных фишингсайтов и блокируя их. Список сайтов пополняется адресами, предоставляемыми Anti-Phishing Working Group, при обновлении сигнатур угроз.