Фишинг: характеристики и технологии

Фишинг – рассылка электронных сообщений, которые приходят как будто из надежных источников (например, из банка), но на самом деле являются попыткой получения конфиденциальных данных пользователя. С этой целью они обычно включают ссылку, при переходе по которой пользователь попадает на фальшивый веб-сайт. Затем пользователи, полагая, что они находятся на надежном сайте, вводят запрошенные данные, которые попадают в руки злоумышленника.

Существует огромное количество ПО и программ, которые по классификации подпадают под категорию кражи персональной и финансовой информации. Некоторые из них достаточно сложны, например, использование окна Javascript, плавающего над адресной строкой веббраузера для того, чтобы запутать пользователя.

Вот некоторые из наиболее распространенных характеристик, свойственных фишинговым сообщениям:

• 1.    Использование наименований существующих компаний. Вместо того, чтобы с нуля создавать вебсайт компании, злоумышленники имитируют корпоративный имидж и функционал сайта существующей компании для того, чтобы запутать получателей фальшивых сообщений.

• 2.    Использование имени реального сотрудника компании в качестве отправителя фальшивого сообщения. За счет этого, если получатель предпримет попытку подтвердить аутентичность сообщения звонком в компанию, он получит ответ, что такой человек в компании действительно работает.

• 3.    Веб-адреса, которые кажутся правильными. Фальшивые электронные сообщения, как правило, ведут пользователей на веб-сайты, имитирующие внешний вид официального веб-сайта компании, которая используется в качестве приманки. На самом же деле, как содержимое, так и адрес сайта (URL) являются поддельными и просто имитируют легитимные данные. Более того, юридическая информация и другие некритичные ссылки могут даже перенаправлять пользователя на реальный вебсайт.

• 4.    Фактор страха. Возможность обмана пользователей для мошенников очень краткосрочна, поскольку как только компания получает информацию, что её клиенты стали жертвами подобных технологий, сервер, на котором расположен фальшивый вебсайт, отключают в течение нескольких дней. Таким образом, для мошенников особенно важно получить от пользователя немедленный отклик. В большинстве случаев лучшая стратегия – пригрозить пользователю либо финансовыми убытками, либо утратой самого счета, в случае если содержащиеся в письме инструкции не будут выполнены, причиной для чего обычно называются новые меры безопасности, якобы введенные в компании.

В дополнение к ссылке на фальшивый URL, данный вид вредоносного ПО также использует и другие, более сложные, технологии:

• 1.    Посредник. В рамках данной технологии злоумышленник расположен между жертвой и реальным веб-сайтом и действует в качестве прокси- сервера. За счет этого, он может перехватывать все подключения между ними. Для получения успешного результата злоумышленникам необходимо перенаправлять жертвы на свой прокси вместо реального сервера. Существуют несколько методов, среди которых такие методы как прозрачный прокси, DNS Cache Poisoning и запутанный URL.

• 2.    Эксплуатация уязвимостей кросс-сайтового скриптинга на сайте позволяет подменять защищенную веб-страницу банка таким образом, что

• пользователи не смогут обнаружить аномалии в адресе или сертификате безопасности, отображаемом браузером.

• 3.    Уязвимости в Internet Explorer, которые посредством эксплойтов позволяют подделать веб-адрес, который появляется в браузере. За счет этого, в тот момент, пока веб-браузер перенаправляется на поддельный вебсайт, в адресной строке отображается надежный URL. Данная технология также позволяет открывать фальшивые всплывающие окна при доступе к легитимным вебсайтам.

• 4.    В ходе некоторых атак также используются эксплойты, размещенные на вредоносных вебсайтах и эксплуатирующие уязвимости в Internet Explorer или клиентской операционной системе с целью загрузить кейлоггер-т ипы троянов, которые будут красть конфиденциальную информацию пользователей.

• 5.    Фарминг - это гораздо более сложная технология. Фарминг — это процедура скрытного перенаправления жертвы на ложный IP-адрес. Для этого может использоваться навигационная структура (файл hosts, система доменных имен (DNS)). Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно.

Принцип работы схемы довольно сложный. Наиболее характерный вектор атаки – это поддельное электронное сообщение, которое якобы приходит от определенной компании, клиенты которой и становятся целью аферы. Такое сообщение содержит ссылки на фальшивую веб-страницу, которая полностью или частично имитирует внешний вид и функционал компании, которая предположительно связана с получателем коммерческими отношениями. Если получатель действительно работает с компанией и верит в то, что сообщение поступило из надежного источника, он, скорее всего, введет конфиденциальную информацию в предложенной форме, расположенной на одном из таких веб-сайтов.

Способ распространения таких электронных сообщений имеет несколько общих характеристик. Подобно спаму, такие сообщения в массовом порядке и без разбора рассылаются по электронной почте или программам для обмена мгновенными сообщениями: Сообщение принуждает пользователей перейти по ссылке, которая приведет их на вебсайт, где они должны ввести свои конфиденциальные данные, как правило, с целью их подтвердить или повторно активировать свой счет и т.д. Они рассылаются в качестве предупреждений от финансовой компании, сообщая пользователям об атаке. Они содержат ссылку на вебсайт, где необходимо ввести персональные данные. Поскольку сообщения рассылаются в массовом порядке, некоторые из получателей действительно окажутся клиентами компании. В сообщении говорится о том, что по причине некоторых аспектов безопасности, пользователю необходимо посетить веб-сайт и подтвердить свои данные: имя пользователя, пароль, номер кредитной карты, PIN-код, номер карточки социального страхования и др. Конечно же, ссылка ведет не на реальный сайт компании, а на вебсайт, созданный мошенниками и имитирующий корпоративный имидж финансовой или банковской организации. Отображаемый веб-адрес, как правило, содержит название легитимного института, чтобы пользователи ничего не заподозрили. Когда пользователь вводит свои конфиденциальные данные, эти данные сохраняются в базе. Далее мошенники используют полученную информацию для входа на счет пользователя и все средства оказываются на счету мошенника.

Основной ущерб, причиняемый фишингом, это, конечно же, кража идентификационных и конфиденциальных данных. Так же замечается снижение производительности, использование корпоративных сетевых ресурсов, таких как пропускной способности сети, лавина электронной почты и др.

Для пользователей, получивших сообщение с подобными характеристиками, может показаться сложным отличить фишинговое письмо от легитимного, особенно для тех, кто действительно является клиентом финансовой организации, от которой якобы пришло письмо.

Существуют группы по борьбе с фишингом, например, Anti-Phishing Working Group (APWG) [1], в которую входят как компании, служащие «мишенью» для фишеров, так и компании, разрабатывающие анти-фишинговый и анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. Сейчас APWG насчитывает более 2500 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании.

Как сообщает издание «Известия» [2], в Совет Федерации и Госдуму РФ поступило предложение ввести статью в Уголовном кодексе РФ, которая будет предусматривать наказание за фишинг. Такое предложение внесли банкиры и депутаты из Национального совета финансового рынка (НСФР). Сейчас УК РФ не предусматривает никакого наказания за фишинг. Составители предложения считают, что максимальный штраф для фишинг-мошенников должен составлять 2 млн рублей, а максимальный срок лишения свободы - 10 лет.

НСФР также считает, что в законе необходимо четко прописать понятие фишинга. В новом предложении указано, что за фишинг с причинением ущерба на сумму до 10 тыс. рублей штраф составит до 250 тыс. рублей, а срок лишения свободы - до 4 лет. За сумму ущерба свыше 10 тыс. рублей - штраф до 600 тыс. рублей, а срок лишения свободы - до 6 лет. В случае причинения ущерба от 250 тыс. рублей - штраф до 1 млн рублей и/или до 8 лет лишения свободы, а за ущерб от 1 млн рублей - 2 млн рублей штрафа и/или до 10 лет лишения свободы.