This page has been robot translated, sorry for typos if any. Original content here.

Фішинг і методи захисту від нього

Найпопулярнішою формою шахрайства в Мережі на даний момент є фішинг. Кіберзлочинці використовують шахрайські веб-сайти, перехоплювачі клавіатури, поштові повідомлення, які складені відповідно до правил соціальної інженерії та ін. З кожним днем ​​ці методи стають більш різноманітними і небезпечними.
Як повідомляє сайт Internetua.com, з посиланням на звіт APWG (Anti-Phishing Work Group Phishing Activity Trends Report 2nd Half), число ресурсів, орієнтованих на розкрадання особистих даних, у другій половині минулого року зросла в десять разів.

У червні цього року департамент зовнішніх і громадських зв'язків Центробанку Росії оголосив про появу в російському сегменті інтернету сайтів, які імітують представництва реально існуючих кредитних організацій. Стиль оформлення та доменні імена цих веб-сайтів, найчастіше дуже походили на офіційні сайти відповідних структур. При цьому користувачам, що відвідав ці ресурси, пропонується свідомо підроблена контактна інформація та банківські реквізити. Використання цих даних і вступ з представниками таких сайтів в ділові відносини пов'язане з ризиком і здатне привести до плачевних наслідків для клієнтів, попереджають в ЦБ. Це доводить, що фішинг ові атаки стають зараз все більш актуальною проблемою, тому варто більш детально дослідити їх суть і методи захисту від них.

фішинг, згідно з визначенням компанії Dr. Web, являє собою технологію шахрайства в Мережі, яка полягає в розкраданні персональної закритої інформації, наприклад, даних ідентифікаційних і банківських карт, паролів доступу та ін. За допомогою поштових «черв'яків» і спамерських розсилок потенційним жертвам надсилаються листи від імені, нібито, легальних організацій. У цих листах їх просять відвідати підроблений сайт і підтвердити PIN-коди, паролі та іншу особисту інформацію, яка в майбутньому буде використовуватися шахраями для крадіжки з рахунку жертви грошей або інших злочинів.

За інформацією компанії Websense, найпопулярнішим інструментом для створення фішинг-ресурсів є Rock Phish Kit. В даний момент ситуація з фішинг ом дуже нагадує ситуацію, яка була кілька років тому при написанні шкідливих кодів, коли з'явилися їхні конструктори.

Суть фішинг а полягає в наступному: зловмисник, обманюючи користувача, змушує його надати персональну інформацію (відомості про банківські картки, імена і паролі до різних ресурсів та ін). Основною відмінністю цього типу шахрайства є добровільна надання користувачем своїх відомостей. Щоб цього домогтися, шахраї активно використовують прийом соціальної інженерії.

Сучасний фішинг можна поділити на 3 види: онлайновий, поштова та комбінований. Найбільш старим є поштовий фішинг: на адресу одержувача надсилається лист з проханням вислати якісь відомості.

Онлайновий фішинг увазі наступну схему: шахраї копіюють офіційні ресурси, використовуючи схожі доменні імена та дизайн. Далі все просто. Користувач, який відвідав такий ресурс, може залишити тут свої дані в повній впевненості, що вони потраплять в надійні руки. Насправді, ці відомості виявляються в руках кіберзлочинців. На щастя, зараз спостерігається тенденція до підвищення знань користувачів про елементарні заходи інформаційної безпеки, тому дана схема шахрайства поступово втрачає свою актуальність.

Третій вид - комбінований. Його суть полягає в створенні фальшивого сайту реальної організації, на який шахраї намагаються заманити потенційних жертв. В цьому випадку зловмисники пропонують користувачам самостійно провести деякі операції. В інтернеті практично кожен день з'являються попередження про подібних ресурсах, які роблять ці методи шахрайства добре відомими. У зв'язку з цим шахраї стали частіше використовувати key-loggers - це спеціальні програми, які відстежують натиснення користувачем клавіш і відсилають ці відомості по заздалегідь встановленими адресами.

На території СНД перша фішинг-атаки була зафіксована в 2004 році. Вона була спрямована на клієнтів московського відділення «Сітібанку».

Вішинг.

Перший випадок цього інтернет-шахрайства була зафіксований в 2006 році. Він являє собою різновид фішинг а й реалізується з використанням war diallers (автонабірателей), а також інтернет-телефонії (VoIP). За допомогою даного виду шахрайства зловмисники отримують доступ до персональної інформації, на зразок паролів, ідентифікаційних і банківських карт і ін. Схема обману мало чим відрізняється від фішинг а: користувачі платіжної системи отримують від нібито адміністрації повідомлення поштою, в яких їм рекомендується надіслати свої паролі і рахунки. Але якщо у випадку з фішинг ом додається посилання на фальшивий сайт, то при фішинг е користувачеві пропонують зателефонувати за міським номером. При дзвінку зачитується повідомлення, в якому людину просять розкрити свої конфіденційні дані. Складність в розкритті цього виду шахрайства полягає в тому, що розвиток інтернет-телфонов дозволяє перенаправляти дзвінки на міський номер в будь-яку точку світу, причому той, хто телефонує навіть не буде про це підозрювати.

Компанія Secure Computing рапортувала про самому витонченому способі обману за схемою вішинг - електронна пошта тут взагалі не використовувалася, так як зловмисники запрограмували ПК, щоб той набирав телефонні номери з бази даних і програвав заздалегідь записане повідомлення, до якому абонента попереджали, що відомості про його кредитної карті виявилися в руках шахраїв, тому йому необхідно з телефонної клавіатури ввести номер.

Використання протоколу VoIP дозволяє істотно скоротити витрати на телефонний зв'язок, проте він же робить компанії набагато вразливіші для атак. Банки та інші організації, які експлуатують для голосового зв'язку IP-телефонію, можуть піддатися вішинг-атакам, що працює захисту від яких поки немає. Зокрема, про це говорив The Grugq - експерт в області інформаційної безпеки, який виступив з повідомленням про шахрайства на конференції Hack In The Box Security Conference (HITB) в Малайзії. «Зловмисники отримають можливість вільно проникати в банківські мережі і реалізовувати контроль над банківськими телефонними каналами», - каже Grugq. За його словами, вішинг-атаки через VoIP відбудуться ще до кінця 2009 року. Шахраї отримають повний доступ до конфіденційної інформації, в тому числі до облікових банківських даних і номерів кредитних карт. Перешкодити їм зробити це можуть лише профі у сфері інформаційної безпеки. «Теоретично, клієнт дзвонить в банк, а телефонна лінія вже знаходиться під контролем хакерів», - розповідає The Grugq. В цьому випадку, шахрай просить дзвонить повідомити якусь облікову інформацію, щоб зв'язатися з представником банку.

«Ні технології, яка зможе гарантувати компаніям захист від цієї проблеми», - упевнений експерт, зазначивши, що діючі системи не можуть визначити VoIP-атаку. Щоб її організувати зловмисникам потрібно стандартне програмне забезпечення для підтримки білінгу телефонних розмов і IP-телефонії.

За інформацією Secure Computing, шахраї конфігурують war dialler, що набирає номери в конкретному регіоні. У момент відповіді відбувається наступне:

• Автовідповідач інформує користувача, що з його кредитною карткою проводяться шахрайські дії і рекомендує швидко передзвонити по якомусь номеру.
• Після того як жертва передзвонює за номером, там йому відповідає «комп'ютерний голос», говорить, що користувач повинен пройти звірку і ввести номер карти з клавіатури телефону.
• Як тільки номер карти введений, шахрай отримує всю інформацію (адреса, номер телефону, повне ім'я).
• Використовуючи цей дзвінок, Вішер може зібрати і іншу додаткову інформацію, начебто терміну дії карти, PIN-коду, номера банківського рахунку та дати народження.

Як захиститися від подібного виду шахрайства? Є кілька простих способів, які убезпечать вас:

• Всі кредитні організації по електронній пошті або телефону звертаються до клієнта по імені та прізвища. Якщо в зверненні це не вказано, то, швидше за все, має місце факт шахрайства.
• Ні в якому разі не дзвоніть з питань безпеки банківського рахунку або кредитної картки за запропонованим номером телефону. На всіх платіжних картах вказується спеціальний телефонний номер, за яким ви і повинні дзвонити.
• Якщо той, хто телефонує вам видається вашим провайдером і задає питання щодо конфіденційних даних, то він, швидше за все, шахрай.