Статьи Новости Контакты

03.08.2007
Анна Нозик

Ловись, рыбка, большая и маленькая...

описание способов интернет-мошенничества и методов защиты

Фишинг – вид интернет-мошенничества, где целью злоумышленника является получение конфиденциальной информации от пользователя.

Сам термин phishing, созвучный с fishing ("рыбалка"), расшифровывается как password harvesting fishing. По другой версии он расшифровывается как phone fishing, так как первоначально под ним подразумевалось мошенничество с телефонными аккаунтами. Термин впервые прозвучал на мюнхенской конференции Virus Bulletin Conference в 1998 году. Суть фишинга сводится к следующему: злоумышленник обманным путем заставляет пользователя сообщать секретную информацию: авторизационные данные для выхода в Интернет, информацию о банковских счетах и кредитных картах и т. п. Отличительной особенностью фишинга является то, что жертва передает конфиденциальную информацию самостоятельно, по собственному желанию, а не по принуждению. Правда, при этом пользователь не осознает опасности своих действий.

Существует три вида фишинга: почтовый, онлайновый и комбинированный. Почтовый фишинг появился раньше остальных. Он заключается в отправке жертве специального письма по электронной почте с просьбой или требованием выслать в ответ какие-либо данные. Например, злоумышленник представляется сотрудником провайдера и просит пользователя выслать его логин и пароль под неким благовидным предлогом (например, «потеря информации» или «перезаключение договора»). Часто мошенники отправляют подобные сообщения с адреса, похожего на адрес провайдера.

Под онлайновым фишингом подразумевается мошенничество, при котором злоумышленники создают сайты, очень похожие на известные пользователям. Обычно это сайты популярных банков, интернет-магазинов, интернет-провайдеров или других поставщиков электронных услуг. При этом используются похожие доменные имена (например, с измененной буквой — http://yanclex.ru/) и полностью идентичный дизайн. Решив воспользоваться услугами столь известного сайта, пользователь регистрируется в системе. Кроме этого, для оплаты товара или услуги пользователь вводит номер своей пластиковой карты и другие конфиденциальные данные. Полученной информации злоумышленнику обычно достаточно, чтобы перевести деньги на свой счет или оплатить ими свою покупку.

Так как большинство пользователей имеют всего один или несколько паролей, то имеется большая вероятность того, что «выловленные» таким образом данные можно будет использовать неоднократно на различных сайтах.

Так как год от года компьютерные пользователи становятся более опытными и осторожными, труднее поймать их на такую простую наживку получается все реже. Поэтому на смену почтовому и онлайн-фишингу пришел третий тип – комбинированный, который быстро получил огромное распространение. Суть этого способа обмана заключается в следующем: злоумышленник создает поддельный сайт какой-либо организации, а затем завлекает на него пользователей с помощью писем-приманок. При помощи спам-технологий рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо, например, от банка, услугами которого пользуется адресат.

Главная опасность комбинированного фишинга заключается в его внешней правдоподобности
В случае комбинированного фишинга никто не требует от человека отправки логина и пароля по электронной почте. В письме ему всего лишь предлагают перейти по ссылке на известный ему сайт (а точнее, на его подделку) и самому произвести необходимые операции. Например, в письме от банка, как правило, сообщается о том, что пользователю необходимо подтвердить или изменить свои учетные данные. В качестве причины для изменения данных могут быть названы выход из строя ПО банка или же "нападение хакеров". Во всех случаях цель таких писем одна — заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные на "ложном" сайте банка. Главная опасность комбинированного фишинга заключается в его внешней правдоподобности. Например, при составлении письма используются как логотипы банка, так и имена и фамилии его реальных руководителей.

Изобретательность злоумышленников не знает границ. Например, однажды многие владельцы пластиковых карт одного из крупных банков получили электронное письмо. В нем было написано примерно следующее: "Сегодня на ваш счет пришел перевод, сумма которого превышает 1000 долларов. В соответствии с нормативными актами и договором вам необходимо подтвердить его получение. Если в течение трех суток вы этого не сделаете, деньги будут отправлены обратно. Для того чтобы подтвердить получение перевода, откройте ссылку в конце этого письма и введите необходимую информацию". Под необходимой информацией подразумевались номер пластиковой карты, срок ее действия, наличие или отсутствие овердрафта и т. п. Злоумышленники правильно рассчитали, что большинство пользователей не смогут побороть свою жадность и оставят конфиденциальную информацию на сайте-подделке.

В 2004 году банковский фишинг пришел в Россию. Первыми пострадали клиенты "Ситибанка", которые получили письма с просьбой уточнить данные своих пластиковых карт, якобы потерянные в результате сбоя в банковской системе. При переходе по ссылке, указанной в сообщении, пользователь попадал на страницу, где ему предлагали ввести номер карты и PIN-код. В мае 2004 года банк распространил заявление о своей непричастности к рассылке подобных сообщений. К тому времени, по некоторым источникам, фишерская кампания, направленная на клиентов "Ситибанка", уже шла около трех месяцев. Президент "Ситибанка" пообещал при получении уведомлений о потере денежных средств действовать в интересах клиента, оценивая каждый случай в индивидуальном порядке. Однако это был исключительно жест доброй воли со стороны руководства банка, так как в случае подобной кражи банк не несет ответственности за неосмотрительность своих клиентов. Финансовые транзакции с использованием PIN-кода неоспоримы, и ответственность за их проведение целиком и полностью ложится на держателя карты.

Хочется отметить тот факт, что фишинг в последнее время стал не только видом интернет-мошенничества, но и затронул пользователей мобильных телефонов. Многим известны попытки злоумышленников через SMS или голосовые сообщения получить коды активации карт для предоплаты мобильной связи. Также известны случаи SMS-фишинга, когда пользователь получает на телефон сообщение, в котором говорится, что он подключен к некой платной мобильной услуге. К сообщению прилагается ссылка на сайт сервиса, по которой пользователю следует перейти, чтобы удалить "ошибочно" открытый аккаунт...

Способы борьбы с фишингом

Очевидно, что программное обеспечение для защиты от фишинга обладает ограниченной эффективностью, поскольку злоумышленники в первую очередь используют не бреши в ПО, а человеческую психологию. Тем не менее, активно ведется разработка программных средств безопасности. В первую очередь это плагины для популярных браузеров.

Также используются следующие способы борьбы с мошенничеством:

Дополнительная защита паролей

Злоумышленники в первую очередь используют не бреши в ПО, а человеческую психологию
Так как главная цель фишинга – получение конфиденциальной информации и ее последующее применение для доступа к электронным счетам пользователя, использование одноразовых паролей лишает действия мошенников смысла. Генерация одноразовых паролей является достаточно тривиальной задачей, однако создает дополнительные расходы для пользователей, которым необходимо либо покупать «карманный генератор», либо оплачивать генерацию паролей как услугу. Генераторы паролей применяют многие банки США и Европы, а также крупные интернет-провайдеры.

Другой вариант защиты – это хеширование паролей. В этом случае злоумышленник получает преобразованный пароль, непригодный для повторного применения. Для использования такого пароля необходимо знать, какой алгоритм хеширования применяется на том или ином сайте, что является достаточно трудной задачей.

Дополнительная идентификация пользователя

Как второй вариант борьбы с мошшеничеством можно использовать дополнительный процесс идентификации пользователя. Для этого можно использовать специальные карты с микросхемами или USB-накопители, которые пользователю предлагается подключать к компьютеру. В этом случае мошенникам кроме идентификационных данных пользователя необходимо будет украсть карту или накопитель. Так же как и генератор паролей, данный способ защиты требует от пользователя дополнительных расходов.

С популяризацией мобильной связи появилась возможность дополнительно идентифицировать пользователя через мобильный телефон. В этом случае пользователь должен подтверждать все транзакции, отправляя SMS с номера, который он предварительно сообщил поставщику электронных услуг.

Ссылки по теме




Скоро на сайте

  • Wordpress

    Серия статей о плагинах к движку WordPrress
  • AJAX

    Проекты и продукты, ориентированные на AJAX
  • Новые сервисы Google

    Обзор новых сервисов Google
 

Copyright © 2003—2017 Все права защищены

При использовании материалов сайта ссылка на hostinfo.ru обязательна

  • хостинг от .masterhost
  • Rambler's Top100