Только за второе полугодие 2008 г. число веб-сайтов, предназначенных для хищения персональных данных, выросло в 10 раз. Об этом свидетельствуют данные отчета рабочей группы APWG (Anti–Phishing Work Group Phishing Activity Trends Report 2nd Half).
Испокон веков человечество делилось на хороших и плохих парней. Хорошие строили дома, сажали деревья, делали и растили сыновей. Плохие всячески препятствовали данным процессам, более того – правдами, а большей частью, неправдами старались отнять у хороших и доверчивых их нажитое честным путем добро.
Сегодня все чаще подобные “плохиши” для своей неблаговидной деятельности вовсю используют новейшие достижения компьютерного прогресса: перехватчики клавиатуры, почтовые сообщения, составленные по всем правилам социальной инженерии, специально разработанные веб-сайты… Причем чем дальше, тем выше уровень подготовленности злоумышленников и тем более изощренными становятся методы их атак на добропорядочных и законопослушных граждан.
Фишинг
Уже отнюдь не редкость появление во всемирной Сети огромного изобилия веб-сайтов, имитирующих “один к одному” представительства крупных (и помельче) банков и прочих “денежных” кредитных организаций. И доменные имена, и фирменный стиль этих сайтов, как правило, – почти отражение подлинных веб-сайтов банков, да и содержание порой трудно отличимо от оригинала. Цель подобных “ресурсов” – выведать приватную финансовую информацию от посетителей, для чего используются заведомо ложные банковские реквизиты и всякая прочая контактная информация.
А что же такое этот самый фишинг (phishing)? Фишинг – это, увы, весьма распространенная технология интернет-мошенничества, которая заключается в краже личной конфиденциальной информации, такой как пароли доступа, данные банковских и идентификационных карт и пр. путем введения в заблуждение пользователей.
Схема фишинга не проста, а очень проста. Посредством спамерских рассылок или почтовых “червей” потенциальным жертвам в надежде на их “простофилизм” направляются письма якобы от имени легальных организаций, в которых их просят зайти на фальшивый сайт и подтвердить пароли, PIN-коды и другую личную информацию, используемую впоследствии злоумышленниками для банальной кражи денег со счета жертвы и в иных преступлениях.
Вкратце суть фишинга можно свести к следующему. Мошенник дурит пользователя, заставляя его предоставить свою конфиденциальную информацию: данные для выхода в Интернет (имя и пароль), сведения о кредитных картах и т. д. Причем все действия жертва выполняет абсолютно добровольно, не понимая происходящего. А для достижения этого злоумышленники используют технологии социальной инженерии, нейролингвистического программирования, психологии .
Фишинг делится на три вида: почтовый, онлайновый и комбинированный. Сначала был лишь почтовый: по e–mail отправлялись письма с предложениями выслать определенные данные.
При онлайновом фишинге копируются определенные сайты (чаще всего интернет-магазинов), используя похожие доменные имена и аналогичный дизайн. А дальше все элементарно просто. Жертва, попавшая на такой сайт, решает приобрести товар. Покупателей сайт привлекает буквально бросовыми ценами, а все подозрения отметаются ввиду известности бренда сайта-фальшивки. Заказывая товар, покупатель регистрируется, вводит номер и прочие данные своей кредитной карты.
Такие приемы применяются довольно давно. Правда, они постепенно теряют свою эффективность. Народ-то пошел нынче ученый: на ошибках учится.
Третий вид фишинга – комбинированный. Суть его состоит в создании поддельного сайта какой-нибудь организации, на который завлекаются потенциальные жертвы. Здесь мошенники предлагают пользователям (с учетом знания психологии) произвести некие операции самостоятельно. Многочисленные предупреждения, практически ежедневно появляющиеся в Интернете, делают подобные методы мошенничества достаточно известными. Поэтому теперь злоумышленники стали чаще прибегать к key–loggers – специальным программам, отслеживающим нажатия клавиш и отсылающим полученную информацию по заранее назначенным адресам. Если же вы думаете, что фишинг-атаки актуальны лишь для дальнего зарубежья, то заблуждаетесь. Первая их попытка на территории СНГ была зарегистрирована еще в 2004 г., а ее жертвами стали клиенты московского “Ситибанка”.
Вишинг
В июле 2006 г. появилась новая напасть – вишинг (vishing).
Вишинг – это разновидность фишинга, которая заключается в использовании автонабирателей вкупе с интернет-телефонией (VoIP) для кражи личных конфиденциальных данных, таких как пароли доступа, номера банковских и идентификационных карт и т. д.
Схема обмана аналогична: клиенты какой-либо платежной системы получают по электронной почте сообщения якобы от ее администрации или службы безопасности с просьбой указать свои счета, пароли и т. п. Но если при фишинге ссылка в сообщении ведет на поддельный сайт, где и происходит кража информации, то в случае вишинга в нем предлагается набрать определенный городской номер. Позвонившему зачитывается сообщение, в котором потенциальную жертву просят выдать свои конфиденциальные данные. Владельцев такого номера найти непросто, поскольку с развитием интернет-телефонии звонок по городскому телефону может быть автоматически перенаправлен в любую точку земного шара на виртуальный номер. Звонящий же ни о чем не догадывается.
А компания Secure Computing столкнулась с более изощренным способом обмана, когда электронная почта вообще не используется. Преступники программируют компьютер так, чтобы он набирал телефонные номера из длинного списка и проигрывал записанное сообщение любому, кто ответит. В этом сообщении человека предупреждают, что информация о его кредитной карте попала к мошенникам, и просят ввести с клавиатуры телефона номер.
Применение протокола VoIP помогает снизить расходы на телефонную связь, но вместе с тем делает сети компаний более уязвимыми для атак.
Банки и другие организации, использующие для голосовой связи IP-телефонию, рискуют подвергнуть себя вишинг-атакам, для профилактики которых пока нет средств.
Пока серьезных инцидентов такого рода не отмечено. Но это только пока…
Фарминг
Фишинг и вишинг – это просто детские шалости, по сравнению с еще более коварной угрозой – фармингом (pharming), суть которого в перенаправлении жертвы по ложному адресу.
При этом мошенник портит навигационную инфраструктуру, от которой зависит функционирование браузера, и овладевает ее частью. Это может быть локальная версия, файл hosts или система доменных имен (domain name system, DNS), используемая интернет-провайдером для наведения браузера на нужный объект.
Каким образом? Фарминг имеет много общего со стандартным вирусным заражением. Жертва открывает непрошеное почтовое послание или посещает некий веб-сервер с исполнимым файлом, который тайно запускается в фоновом режиме. При этом искажается файл hosts. Операция занимает лишь секунду, но вредоносное ПО может содержать URL многих банковских структур. Механизм перенаправления активизируется в тот момент, когда пользователь набирает знакомый доверенный адрес, соответствующий его банку… и попадает на один из ложных сайтов.
Специальных механизмов защиты от фарминга сейчас не существует, так что необходимо внимательно контролировать входящую почту, регулярно обновлять антивирусные базы, закрывать окна предварительного просмотра в почтовом клиенте и т.д.
Противостояние
Основные фишинговые атаки направлены на получение паролей и другой конфиденциальной информации. Ясно, что пользователей нужно приучать к безопасной работе за ПК.
Самым же эффективным видится применение систем генерации одноразовых паролей или многофакторной аутентификации.
Что они представляют собой? Генератор одноразовых паролей может либо выглядеть как брелок с небольшим индикатором (RSA Security ID, Aladdin eToken NG OTP), либо напоминать собой калькулятор.
Поскольку сгенерированный пароль можно ввести лишь однажды, да еще и в определенный интервал времени, то злоумышленник не сможет воспользоваться им. Генераторы одноразовых паролей широко распространены в банковской системе Европы и США, а также среди некоторых интернет-провайдеров (AOL). Понятно, что на эти устройства и соответствующее ПО нужно потратиться, но безопасность дороже денег.
Еще один вариант аутентификации посредством одноразовых паролей – с помощью мобильного телефона. Вы со своего аппарата (зарегистрированного в системе) отправляете SMS на определенный номер. В ответ приходит PIN-код, который вместе с вашим кодом вводится при аутентификации. В данном случае вообще не нужны брелки, так как мобильные телефоны есть у всех.
Также существуют программные реализации (на Java) подобных “токенов” (token). При этом опять-таки используется ваш мобильный с устанавленным в нем программным токеном. К сожалению, поддерживаются не все модели, что и ограничивает распространение последнего, хотя для внутрикорпоративных задач это очень популярное решение вследствие более низкой стоимости, чем при применении аппаратного токена.
Что дальше?
Фишинг, вишинг, фарминг… Способы нечестного “отъема денег” будут совершенствоваться. Поэтому следует всегда быть бдительными. Лучше завести отдельную банковскую карту для интернет-транзакций и перечислять на нее деньги лишь тогда, когда соберетесь делать какие-то покупки, причем небольшие суммы. В этом случае даже при успешной атаке мошенников ваш ущерб окажется не слишком большим.
Автор – Александр Левшин