Интернет-Фишинг и методы защиты от него

Фишинг(Phishing). Not to be confused with Fishing or Pishing

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Проще говоря, злоумышленники заманивают пользователей, чтобы они сами раскрыли свои личные данные, например, номера телефонов, номера и секретные коды банковских карт, логины и пароли электронной почты и аккаунтов в социальных сетях.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

По информации компании Websense, самым популярным инструментом для создания фишинг-ресурсов является Rock Phish Kit. В данный момент ситуация с фишингом очень напоминает ситуацию, которая была несколько лет назад при написании вредоносных кодов, когда появились их конструкторы.

Суть фишинга заключается в следующем: злоумышленник, обманывая пользователя, вынуждает его предоставить персональную информацию (сведения о банковских картах, имена и пароли к различным ресурсам и др). Основным отличием этого типа мошенничества является добровольное предоставление пользователем своих сведений. Чтобы этого добиться, мошенники активно используют прием социальной инженерии.

Современный фишинг можно поделить на 3 вида: онлайновый, почтовый и комбинированный.

Наиболее старым является почтовый фишинг: на адрес получателя присылается письмо с просьбой выслать какие-то сведения.

Онлайновый фишинг подразумевает следующую схему: мошенники копируют официальные ресурсы, используя схожие доменные имена и дизайн. Дальше все просто. Пользователь, посетивший такой ресурс, может оставить тут свои данные в полной уверенности, что они попадут в надежные руки. На самом деле, эти сведения оказываются в руках киберпреступников. К счастью, сейчас наблюдается тенденция к повышению знаний пользователей об элементарных мерах информационной безопасности, поэтому данная схема мошенничества постепенно теряет свою актуальность

Третий вид – комбинированный. Его суть заключается в создании фальшивого сайта реальной организации, на который мошенники пытаются заманить потенциальных жертв. В этом случае злоумышленники предлагают пользователям самостоятельно произвести некоторые операции. В интернете практически каждый день появляются предупреждения о подобных ресурсах, которые делают данные способы мошенничества хорошо известными. В связи с этим мошенники стали чаще использовать key-loggers – это специальные программы, которые отслеживают нажатия пользователем клавиш и отсылают эти сведения по заранее установленным адресам.

Как работает интернет-фишинг?

Спецификой фишинга является то, что жертва мошенничества предоставляет свои конфиденциальные данные добровольно.

Для этого злоумышленники оперируют такими инструментами, как фишинговые сайты, e-mail-рассылка, фишинговые landing page, всплывающие окна, таргетированная реклама.

Пользователь получает предложение зарегистрироваться для получения какой-либо выгоды или подтвердить свои персональные данные на сайтах компаний и учреждений, клиентом якобы которых он является.

Как правило, мошенники маскируются под известные компании, приложения социальных сетей, сервисы электронной почты.

Электронный адрес отправителя действительно похож на адрес знакомой пользователю компании.

Как же не попасться на крючок мошенникам?

1

Прежде всего, помните, что никому и ни при каких обстоятельствах нельзя передавать такие конфиденциальные данные как пин-код банковской карты, пароль электронной почты или других персональных аккаунтов. Ни банк, ни социальная сеть не станут запрашивать эти данные по электронной почте. Если звонящий вам представляется вашим провайдером и задает вопросы относительно конфиденциальных данных, то он, скорее всего, мошенник.

2

Всегда обращайте внимание на дизайн сайта. Если сайт или лендинг кажется странным, недоработанным, склепанным на скорую руку или вызывает какие-то подозрения, то очень может быть, что это фишинговый сайт.

3

Обращайте внимание на адресную строку в ссылке перехода. Незначительные изменения в электронном адресе могут привести Вас на абсолютно другой сайт (например, вместо ukr.net может быть ukl.net).

4

Письма с неизвестных адресов, которые «давят на эмоции» или носят экстренный характер, должны в первую очередь вызывать подозрения. Все кредитные организации по электронной почте или телефону обращаются к клиенту по имени и фамилии. Если в обращении это не указано, то, скорее всего, имеет место факт мошенничества. Письма, которые начинаются с таких заявлений как «Ваш аккаунт взломан!» или «Ваш профиль будет заблокирован!» или, наоборот, объявляют Вам о крупном выигрыше, в большинстве случаев являются мошенническими.

5

Ни в коем случае не звоните по вопросам безопасности банковского счета или кредитной карты по предложенному номеру телефона. На всех платежных картах указывается специальный телефонный номер, по которому вы и должны звонить.

Вишинг

Вишинг — это один из методов мошенничества с использованием социальной инженерии, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карты конфиденциальную информацию или стимулируют к совершению определенных действий со своим карточным счетом / платежной картой.

Первый случай этого интернет-мошенничества была зафиксирован в 2006 году. Он представляет собой разновидность фишинга и реализуется с использованием war diallers (автонабирателей), а также интернет-телефонии (VoIP). С помощью данного вида мошенничества злоумышленники получают доступ к персональной информации, вроде паролей, идентификационных и банковских карт и др. Схема обмана мало чем отличается от фишинга: пользователи платежной системы получают от якобы администрации сообщения по почте, в которых им рекомендуется прислать свои пароли и счета. Но если в случае с фишингом прилагается ссылка на фальшивый сайт, то при фишинге пользователю предлагают позвонить по городскому номеру. При звонке зачитывается сообщение, в котором человека просят раскрыть свои конфиденциальные данные. Сложность в раскрытии этого вида мошенничества заключается в том, что развитие интернет-телфонии позволяет перенаправлять звонки на городской номер в любую точку мира, причем звонящий даже не будет об этом подозревать.

Компания Secure Computing рапортовала о самом изощренном способе обмана по схеме вишинга – электронная почта тут вообще не использовалась, так как злоумышленники запрограммировали ПК, чтобы тот набирал телефонные номера из базы данных и проигрывал заранее записанное сообщение, к котором абонента предупреждали, что сведения о его кредитной карте оказались в руках мошенников, поэтому ему необходимо с телефонной клавиатуры ввести номер.

Использование протокола VoIP позволяет существенно сократить расходы на телефонную связь, однако он же делает компании гораздо уязвимее для атак. Банки и иные организации, эксплуатирующие для голосовой связи IP-телефонию, могут подвергнуться вишинг-атакам, работающей защиты от которых пока нет. В частности, об этом говорил The Grugq - эксперт в области информационной безопасности, который выступил с сообщением о мошенничествах на конференции Hack In The Box Security Conference (HITB) в Малайзии. «Злоумышленники получат возможность свободно проникать в банковские сети и реализовывать контроль над банковскими телефонными каналами», - говорит Grugq. По его словам, вишинг-атаки через VoIP произойдут еще до конца 2009 года. Мошенники получат полный доступ к конфиденциальной информации, в том числе к учетным банковским данным и номерам кредитных карт. Помешать им сделать это могут лишь профи в сфере информационной безопасности. «Теоретически, клиент звонит в банк, а телефонная линия уже находится под контролем хакеров», - рассказывает The Grugq. В этом случае, мошенник просит звонящего сообщить некую учетную информацию, чтобы связаться со службой поддержки банка.

«Нет технологии, которая сможет гарантировать компаниям защиту от этой проблемы», - уверен эксперт, отметив, что действующие системы не могут определить VoIP-атаку. Чтобы ее организовать злоумышленникам требуется стандартное программное обеспечение для поддержки биллинга телефонных разговоров и IP-телефонии.

По информации Secure Computing, мошенники конфигурируют war dialler, набирающий номера в конкретном регионе. В момент ответа происходит следующее:

• Автоответчик информирует пользователя, что с его кредитной картой проводятся мошеннические действия и рекомендует быстро перезвонить по некоему номеру;
• После того как жертва перезванивает по номеру, там ему отвечает «компьютерный голос», говорящий, что пользователь должен пройти сверку и ввести номер карты с клавиатуры телефона;
• Как только номер карты введен, мошенник получает всю информацию (адрес, номер телефона, полное имя);
• Используя этот звонок, вишер может собрать и другую дополнительную информацию, вроде срока действия карты, PIN-кода, номера банковского счета и даты рождения.

Основные «триггеры» вишинга

• Вас спрашивают карточные реквизиты... любые;
• Вас настойчиво принуждают выполнить то действие, которое вы еще минуту назад совершать не собирались.

Дополнительные «триггеры» вишинга

1. Сотрудники банка никогда ни при каких обстоятельствах не спросят код безопасности на обратной стороне карты и код из банковского смс-сообщения.
2. Тревожная тема обращения. Чтобы напугать жертву и заставить скорее совершить нужное действие, мошенники придумывают пугающие сценарии. Сообщают о том, что карта заблокирована, счет взломан, родственник попал в беду и т. д.
3. Обещание легко получить деньги, которые вы или не ожидали получить, или не думали получить так легко. Чтобы завлечь жертву, мошенники обещают легко и быстро перевести деньги на ваш счет: например, пенсионеру начислена неожиданная надбавка к пенсии.
4. Вас торопят и очень настойчиво пытаются переубедить.
5. Звонок поступает с незнакомого номера или мобильного.
6. Вас уверяют в том, что с помощью банкомата вы можете перевести деньги с чужой карты — на свою.

Основной «способ» как защищаться от вишинга

1. Закончите разговор. Для его продолжения перезвоните в банк по телефону, указанному на обратной стороне карты или на его официальном сайте, компании / гос. структуре — по номеру, указанному на официальном сайте.

Дополнительные «способы» как защищаться от вишинга

• Помнить, что сотрудники банков и государственных органов никогда, ни при каких обстоятельствах (в том числе форс-мажорных) не совершают звонки держателям платежных карт с требованием предоставить номер платежной карты, срок ее действия и CVC2/CVV2-код.
• Помнить, что для получения перевода на карту при продаже товара или выигрыше достаточно указать только номер карты.
• Никогда ни при каких обстоятельствах не разглашать трехзначный код безопасности на обратной стороне карты (CVV2/CVC2), а также коды из банковских смс-сообщений.
• Не паниковать, если вам звонят по поводу блокировки карты или попытки взлома счета. Вместо этого необходимо перезвонить в банк по номеру телефона, указанному на официальном сайте банка или на вашей пластиковой карте.
• Быть рациональными и разумными — не верить обещаниям денег, получения которых вы не ожидали.
• Проверить номер телефона, с которого поступил звонок: это, действительно, знакомый номер телефона банка или он только похож на него, а также проверить номер телефона через поисковые системы, возможно, этот номер телефона уже «засвечен» мошенниками.
• Не спешить. Потратьте время на проверку и звонок в банк / государственное учреждение по номеру телефона, указанному на сайте или карте, и попросить переключить на человека, который вам звонил.

Что делать если вы стали жертвой?

Немедленно заблокировать карту, написать заявление в банк и киберполицию

Напоследок! Если обнаружили фишинговое письмо якобы от известной Вам компании или сервиса, сообщите об этом в отдел информационной безопасности на вашей работе или у провайдера.