Направленный фишинг – современная угроза безопасности. Практический опыт борьбы с фишингом. Сообщение о нарушениях

Главная / Авто

Распространение атак направленного фишинга связанно с их эффективностью и слабой возможности традиционных решений по безопасности противостоять им. В то время как обычная фишинговая атака рассылается массово, атаки направленного фишинга (spear phishing) проводятся против конкретных субъектов.

Spear phishing

В настоящее время растет процентная доля целевых фишинговых атак, организуемых через рассылку писем по электронной почте, в которых можно выделить конкретную организацию или группу лиц. Целевые пользователи получают тщательно разработанные фишинговые сообщения, заставляющие человека вводить конфиденциальные персональные сведения – типа логина и пароля, которые дают доступ к корпоративным сетям или базам данных с важнейшей информацией. Помимо запрашивания учетных данных, целевые фишинговые письма могут также содержать вредоносное ПО.

Направленный фишинг стал самым распространенным типом таргетированной атаки по одной простой причине: эта техника по-настоящему работает, вводя в заблуждение даже тех пользователей, которые серьезно подходят к вопросам безопасности. Она создает для хакеров опорный пункт для проникновения в корпоративную сеть. По данным исследования Check Point, проведенного среди более 10 тысяч организаций по всему миру, в 84% из них за последние 12 месяцев был скачан хотя бы один зараженный документ. Это происходит потому, что злоумышленнику достаточно просто получить представление о компании или о конкретных ее сотрудниках в сети Интернет, а затем написать такое письмо, которое побудит даже самого бдительного работника открыть вредоносное вложение и тем самым инициировать хакерскую атаку.

Цели атаки

Для определения списка целей злоумышленники могут воспользоваться несколькими путями:

получить список сотрудников с сайта (уровень доверия информации - очень высокий);
получить список сотрудников с помощью социотехнических техник - звонок или обращение по почте (уровень доверия информации - очень высокий);
получить ФИО из метаданных документов, размещенных на сайте (уровень доверия информации - высокий);
linkedin (уровень доверия информации - средний);
пропарсить соцсети (уровень доверия информации - низкий).

Чем выше уровень доверия информации, тем выше вероятность того что этот субъект напрямую связан с интересующей организацией.

После предварительного сбора списка вероятных сотрудников организации производится сбор данных об их сфере деятельности, зонах ответственности и горизонтальных связях. Также производится поиск точки входа для проведения атаки на выбранных субъектов. После анализа полученной информации можно составлять сценарий атаки.

Психология атаки

Нацеленная фишинговая атака всегда содержит проработанные социотехнические методы и приемы манипулирования человеческим сознанием.
С точки зрения психологии атака методами социальной инженерии всегда идет в обход аналитических инструментов разума. Она действует преимущественно на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом. Именно поэтому приемы социальной инженерии часто завершаются успехом даже в том случае, когда интеллект атакующего заметно ниже, чем у жертвы.

Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения, глубинным страхам и выработанным под давлением микросоциума приспособительным рефлексам. Чтобы развитый блок критического восприятия жертвы не мешал атаке, его просто перегружают потоком данных, переключая на анализ второстепенной информации, или используют фактор срочности, чтобы отключить вовсе и заставить действовать необдуманно. Все это похоже на атаку ключевых узлов нейросети.

Один из базовых приемов социальной инженерии- создание дефицита времени, некое событие, на которое жертва должна среагировать немедленно. Срочные решения сложно принимать именно потому, что приходится действовать в условиях нехватки достоверной информации. В таких ситуациях некогда советоваться и проверять все сообщенные атакующим данные, поэтому жертва начинает действовать, руководствуясь сильными чувствами: желанием помочь, стремлением получить признание или поскорее отделаться от неожиданной проблемы. Также часто удается сыграть на жажде легкой наживы, страхе потерять деньги, работу, результаты труда или репутацию.

Жертве могут сказать в лоб, что ситуация срочная, или позволить ей самостоятельно прийти к такому выводу. Второе эффективнее, так как для человека это будет собственная мысль, которая не вызывает сомнений. Именно на нее он будет опираться в своих минимальных рассуждениях, все больше проникаясь доверием к услышанной легенде.

Пример

Объект атаки организация ООО «Ромашка». С сайта компании получены данные о руководителе компании, секретаре и системном администраторе. С помощью телефонного звонка было выяснено ФИО и email главного бухгалтера. Из базы данных ОГРН/ЕГРЮЛ были получены полные реквизиты компании.

Объектами атаки выбраны главный бухгалтер и секретарь, под которых были задействованы следующие сценарии атаки (вектор - электронная почта):
Главный бухгалтер:

От: нейтральный адрес, типа %surname%%birthyear%@mail.ru
Тема письма: FWD акт сверки
Текст письма: Добрый день, ФИО. Согласно предварительной договоренности высылаю акт сверки.
Приложение: Акт сверки ООО Ромашка.xls

Секретарь:

От: [email protected] (поддельный адрес)
Тема письма: Исковое заявление о взыскании долга
В Арбитражный суд г. Москвы подано исковое заявление №23401-16 о взыскании долга с ООО «Ромашка», ЕГРЮЛ: ХХХХХХХХХХХХ, ИНН: ХХХХХХХХХХХ, Юридический адрес:, свидетельство о регистрации: ХХХХХХ на основании искового заявления контрагента по взысканию задолженности за оказанные услуги.
Исковые требования:
В соответствии со ст. 395 ГК РФ за пользование чужими денежными средствами вследствие их неправомерного удержания, уклонения от их возврата, иной просрочки в их уплате либо неосновательного получения или сбережения за счет другого лица подлежат уплате проценты на сумму этих средств.
Приложение: судебное решение 23401-16.docx

Атакующим средством может послужить т.н. офисный бэкдор . Системного администратора в момент атаки можно «занять» атакой на сетевой периметр, DoS/DDoS атакой сайта и т.д.

Тренинг персонала

Во многих компаниях проводятся тренинги по повышению осведомленности персонала к социотехническим атакам.

Технические меры защиты от фишинга, такие как фильтрация и анализ почтового/веб трафика, ограничение программной среды, запрет запуска вложений - весьма эффективны, но они не могут противостоять новым угрозам и, что более важно, не могут противостоять человеческой глупости любознательности и лени. Бывали случаи, когда пользователь, будучи не в состоянии открыть/запустить вредоносное содержимое на рабочем месте пересылал его на свой домашний компьютер и запускал, со всеми вытекающими… Поэтому, какую бы основательной не была система технической защиты - не стоит забывать про такой важный фактор как обучение пользователя.

Периодические инструктажи и информационные рассылки являются важной составляющей обучения персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках, учитывая фактор вовлеченности в процесс.

Простейшая система, позволяющая провести тестирование и тренинг персонала по выявлению фишинговых атак выглядит следующим образом:

Подготовка сценария и шаблонов писем;
Рассылка фишинговых писем пользователям;
Перенаправление отреагировавших пользователей на специализированную страницу с предупреждением;
Статистический учет эффективности атаки.

Скриншот «уведомляющей» страницы, сгенерированный фреймворком sptoolkit. В настоящий момент проект заморожен.

Для облегчения такого рода «учений» можно воспользоваться специализированным фреймворком gophish. Существуют и другие утилиты для облегчения задачи социоинженеру, например setoolkit, но они обладают избыточным функционалом и предназначены скорее для активной атаки. Также есть несколько онлайн сервисов, но они, в основном, англоязычные и не подходят для использования среди русскоговорящих целей фишинговой компании.

Gopgish - мультиплатформенный фреймворк с удобным веб-интерфейсом и простейшим развертыванием. Этот фреймворк разработан на Golang и вероятнее всего не заработает на шаред-хостинге, имейте это ввиду.

С его помощью можно создать фишинговую компанию для определенной группы пользователей:

На фишинговой странице можно «собирать» введенные пользователями данные:

После проведения компании можно оценить её эффективность:

Меры предосторожности

В качестве мер защиты необходимо установить контроль за почтовыми вложениями и ссылками, проводить тренинги с персоналом о наличии новых угроз, соблюдать меры предосторожности и уведомлять о всех подозрительных случаях технический персонал.

Алексей Комаров

Возникшие с появлением фишинга угрозы потребовали внедрения адекватных мер защиты. В рамках данной статьи будут рассмотрены как уже широко распространенные способы противодействия фишингу, так и новые эффективные методы. Разделение это весьма условно: к традиционным отнесем хорошо известные (в том числе и самим злоумышленникам) способы противодействия фишингу и проанализируем их эффективность в первой части данной статьи. Согласно отчету APWG, за первую половину 2008 г. было выявлено 47 324 фишинговых сайтов. В этом же отчете приведены и средние потери пользователей и компаний в результате работы фишерского сайта – они составляют не менее $300 в час. Несложные умножения позволяют сделать вывод о высокой доходности этого вида черного бизнеса.

Современный фишинг

Слово "фишинг" (phishing) образовано от английских слов password – пароль и ёshing – рыбная ловля, выуживание. Цель этого вида Интернет-мошенничества – обманный увод пользователя на поддельный сайт, чтобы в дальнейшем украсть его личную информацию или, например, заразить компьютер пользователя, перенаправленного на подложный сайт, трояном. Зараженный компьютер может активно использоваться в ботнет-сетях для рассылки спама, организации DDOS-атак, а также для сбора данных о пользователе и отправки их злоумышленнику. Спектр применения "выуженной" у пользователя информации достаточно широк.

Механизмы фишинга

Главный вектор атаки фишинга направлен на самое слабое звено любой современной системы безопасности – на человека. Далеко не всегда клиент банка точно знает, какой адрес является правильным: mybank.account. com или account.mybank. com? Злоумышленники могут использовать и тот факт, что в некоторых шрифтах строчная i и прописная L выглядят одинаково (I = l). Такие способы позволяют обмануть человека с помощью похожей на настоящую ссылку в электронном письме, при этом даже наведение курсора мыши на такую ссылку (с целью увидеть настоящий адрес) не помогает. В арсенале злоумышленников есть и другие средства: от банальной подмены в локальной базе IP-адресов реального адреса на поддельный (в ОС Windows XP, например, для этого достаточно отредактировать файл hosts) до фарминга. Еще один вид мошенничества – подмена Web-страницы локально, "на лету". Специальный троян, заразивший компьютер пользователя, может добавлять в отображаемый браузером сайт дополнительные поля, отсутствующие на оригинальной странице. Например, номер кредитной карты. Конечно, для успешного проведения такой атаки надо знать банк или платежную систему, которыми пользуется жертва. Именно поэтому тематические базы электронных адресов пользуются большой популярностью и являются на черном рынке ликвидным товаром. Нежелающие нести дополнительные расходы фишеры просто направляют свои атаки на наиболее популярные сервисы – аукционы, платежные системы, крупные банки – в надежде на то, что случайный получатель спам-письма имеет там учетную запись. К сожалению, надежды злоумышленников зачастую оправдываются.

Традиционные методы противодействия фишинговым атакам

Уникальный дизайн сайта Суть этого метода такова: клиент, например, банка при заключении договора выбирает одно из предложенных изображений. В дальнейшем при входе на сайт банка ему будет показываться именно это изображение. В случае если пользователь его не видит или видит другое, он должен покинуть поддельный сайт и немедленно сообщить об этом службе безопасности. Предполагается, что злоумышленники, не присутствовавшие при подписании договора, априори не смогут угадать правильное изображение и обмануть клиента. Однако на практике этот способ не выдерживает критики. Во-первых, для того чтобы показать пользователю его картинку, его сначала надо идентифицировать, например, по логину, который он ввел на первой странице сайта банка. Злоумышленнику не составляет труда подготовить поддельный сайт, чтобы узнать эту информацию, а для самого пользователя – эмулировать ошибку связи. Теперь достаточно обратиться на реальный сервер, ввести украденный логин и подсмотреть правильное изображение.

Другой вариант – выдать клиенту фальшивое предупреждение об истечении срока действия его изображения и предложить выбрать новое...

Одноразовые пароли

Классические пароли являются многоразовыми: пользователь вводит один и тот же пароль каждый раз при прохождении процедуры аутентификации, не меняя его порой годами. Перехваченный злоумышленником, этот пароль может неоднократно использоваться без ведома хозяина.

В отличие от классического, одноразовый пароль используется только один раз, то есть при каждом запросе на предоставление доступа пользователь вводит новый пароль. Для этого используются, в частности, специальные пластиковые карточки с нанесенным защитным слоем. Клиент банка каждый раз стирает очередную полоску и вводит нужный одноразовый пароль. Всего на карточку стандартного размера помещается около 100 паролей, что при интенсивном использовании услуг телебанкинга требует регулярной замены носителя. Более удобными, но, правда, и дорогими представляются специальные устройства – генераторы одноразовых паролей. В основном различают два типа генерации: по времени, когда текущий одноразовый пароль отображается на экране и периодически меняется (например, раз в две минуты); по событию, когда новое значение генерируется каждый раз при нажатии пользователем на кнопку устройства.

Являясь более безопасным, чем классическая парольная аутентификация, такой метод, тем не менее, оставляет злоумышленнику определенные шансы на успех. Например, аутентификация с использованием одноразовых паролей не защищена от атаки "человек посередине". Суть ее состоит во "вклинивании" в информационный обмен между пользователем и сервером, когда злоумышленник "представляется" пользователю сервером, и наоборот. Серверу передается вся информация от пользователя, в том числе и введенный им одноразовый пароль, но уже от имени злоумышленника. Сервер, получив правильный пароль, разрешает доступ к закрытой информации. Не вызывая подозрений, злоумышленник может позволить пользователю поработать, например, со своим счетом, пересылая ему всю информацию от сервера и обратно, но при завершении пользователем своего сеанса работы не разрывать связь с сервером, а совершить нужные транзакции якобы от имени пользователя.

Чтобы не терять время в ожидании завершения пользовательского сеанса, злоумышленник может попросту имитировать ошибку связи и не позволять легальному пользователю работать со своим счетом. В зависимости от используемого метода генерации перехваченный одноразовый пароль будет действовать либо в течение короткого времени, либо только для первого сеанса связи, но в любом случае это дает злоумышленнику возможность успешно провести кражу данных или денег пользователя.

На практике аутентификация с помощью одноразовых паролей сама по себе используется редко, для повышения безопасности применяется установление защищенного соединения еще до аутентификации, например, с использованием протокола SSL.

Односторонняя аутентификация

Использование протокола безопасных соединений SSL (Secure Sockets Layer) обеспечивает защищенный обмен данными между Web-сервером и пользователями. Несмотря на тот факт, что протокол позволяет аутентифицировать не только сервер, но и пользователя, на практике чаще всего применяется только односторонняя аутентификация. Для установления SSL-соединения необходимо, чтобы сервер имел цифровой сертификат, используемый для аутентификации. Сертификат обычно выдается и заверяется третьей доверенной стороной, в роли которой выступают удостоверяющие центры (УЦ) или центры сертификации (в западной терминологии). Роль УЦ заключается в том, чтобы подтверждать подлинность Web-сайтов различных компаний, позволяя пользователям, "поверив" одному единственному удостоверяющему центру, автоматически иметь возможность проверять подлинность тех сайтов, владельцы которых обращались к этому же УЦ.

Список доверенных удостоверяющих центров обычно хранится в реестре операционной системы или в настройках браузера. Именно эти списки и подвергаются атакам со стороны злоумышленника. Действительно, выдав фишинговому сайту сертификат от поддельного удостоверяющего центра и добавив этот УЦ в доверенные, можно, не вызывая никаких подозрений у пользователя, успешно осуществить атаку.

Конечно, такой способ потребует от фишера больше действий и соответственно затрат, но пользователи, к сожалению, зачастую сами помогают в краже своих данных, не желая разбираться в тонкостях и особенностях использования цифровых сертификатов. В силу привычки или некомпетентности нередко мы нажимаем кнопку "Да", не особо вчитываясь в сообщения браузера об отсутствии доверия к организации, выдавшей сертификат.

Кстати, очень похожий способ используют некоторые средства по контролю SSL-трафика. Дело в том, что в последнее время участились случаи, когда сайты, зараженные троянскими программами, и сами трояны используют протокол SSL с тем, чтобы миновать шлюзовые системы фильтрации трафика – ведь шифрованную информацию ни антивирусное ядро, ни система защиты от утечки данных проверить не в состоянии. Вклинивание в обмен между Web-сервером и пользовательским компьютером позволяет таким решениям заменить сертификат Web-сервера на выданный, например, корпоративным УЦ и без видимых изменений в работе пользователя сканировать трафик пользователя при использовании протокола SSL.

URL-фильтрация

В корпоративной среде фильтрация сайтов применяется для ограничения нецелевого использования сети Интернет сотрудниками и как защита от фишерских атак. Во многих антивирусных средствах защиты данный способ борьбы с поддельными сайтами вообще является единственным.

Защита вашего компьютера Яремчук Сергей Акимович

Борьба с фишингом и фармингом

Прежде всего важно понимать, что банки, системы денежных расчетов, почтовые и прочие сервисы и организации никогда не просят коды и пароли, которые они выдали клиентам. Банковские системы и технологии надежны, в них используется система резервирования важной информации, поэтому клиенты не должны верить утверждениям вроде «что-то пропало» или «необходимо что-то проверить». Любая информация о том, что у банка что-то случилось, может повредить его репутации, поэтому банк скроет проблему, а не будет рассказывать о ней. Проблема будет решаться тихо по мере обращения в службу поддержки. Кроме того, администратор любого сервиса имеет неограниченные права, поэтому, даже если система не показывает ваш пароль, в критической ситуации он сможет применить его без вашей помощи, а на ваш контактный адрес придет письмо с объяснением ситуации, хотя такой случай будет из ряда вон выходящим.

Фишинг появился потому, что получение данных от клиента – более простой вариант, чем взлом защищенных банковских систем, поэтому не стоит попадаться на уловки мошенников. Прислушайтесь к следующим советам.

Получив письмо от банка, подумайте, действительно ли он может быть отправителем.

Никогда не отвечайте и игнорируйте сообщения по электронной почте или ICQ, запрашивающие личные данные и финансовую информацию, даже если они получены из, казалось бы, надежных источников.

При получении подозрительного сообщения электронной почты не открывайте вложения. Свяжитесь напрямую с человеком или организацией, указанными в поле От , или службой поддержки сервиса.

Проверяйте URL любого сайта, который запрашивает идентификационную информацию. Убедитесь в том, что сеанс начался с правильного адреса веб-сайта, и к нему не добавлены лишние символы.

Используйте антивирус, брандмауэр, системы контроля целостности данных и другие системы защиты, о которых говорилось в предыдущих главах данной книги. Вовремя обновляйте программное обеспечение, установленное на компьютере.

Избегайте работы с интернет-банками на компьютерах, не находящихся под вашим контролем. Особенно небезопасны общественные интернет-кафе, не рекомендуется также пользоваться компьютерами друзей и знакомых.

Всегда выходите из сервисов, использующих веб-интерфейс, с помощью предусмотренных средств. Как правило, для этого существует специальная кнопка, размещенная в правом верхнем углу страницы (Logout , Sign out или Выход ). Так вы не позволите любому человеку, севшему за компьютер после вас, воспользоваться кэшем браузера для восстановления сеанса.

Некоторые сайты имеют подписанные сертификаты, и достаточно нескольких секунд, чтобы определить, можно ли доверять открытому веб-сайту. Например, в Internet Explorer для просмотра такого сертификата в меню Файл нужно выбрать пункт Свойства . В окне свойств следует нажать кнопку Сертификаты и проверить, есть ли у веб-сайта действующий сертификат, выданный официальной организацией. В Firefox для этого следует выполнить команду Tools ? Page Info (Инструменты ? Информация о странице) и в появившемся окне перейти на вкладку Security (Безопасность). К сожалению, большинство российских ресурсов не используют такой сертификат.

Если вы подозреваете, что сообщили пароль в ответ на фишинг-сообщение или ввели его на мошенническом веб-узле, как можно скорее смените его. Регулярно проверяйте банковские отчеты и отчеты по кредитным картам: часто мошенники не берут крупную сумму сразу, а вымогают деньги постепенно, рассчитывая на «долгое сотрудничество».

В настоящее время не существует готового решения, позволяющего распознать фарминг и фишинг с помощью одной программы. Для защиты от фишинга разработчики наиболее распространенных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам.

Новые версии некоторых веб-браузеров обладают такой возможностью. Например, фишинг-фильтр корпорации Microsoft доступен в обозревателе Internet Explorer 7, предназначенном для системы Windows XP c установленным Service Pack 2 и для Windows Vista. Он сканирует и выявляет подозрительные веб-узлы, а также предоставляет своевременные обновления и отчеты о найденных фишинг-узлах. Если вы не включили функцию антифишинга во время установки Internet Explorer 7, это можно сделать в любой момент, для чего нужно выполнить команду Сервис? Антифишинг . Функция антифишинга распознает два типа веб-узлов:

Веб-узлы, подозреваемые в фишинг-атаках: при переходе на такой узел функция антифишинга выдает предупреждение желтого цвета;

Веб-узлы, на которых предпринимались фишинг-атаки: при попытке посетить такой узел функция антифишинга препятствует этому и выдает предупреждение красного цвета, после чего на данном веб-узле нельзя ввести никакие данные.

Для пользователей обозревателя Internet Explorer версии 6 или более ранних доступна новая панель инструментов Windows Live (http://toolbar.live.com/ ), после установки которой требуется активизировать функцию OneCare Advisor . В дальнейшем эта функция будет работать подобно антифишингу в Internet Explorer 7.

Чтобы все работало, требуется наличие Windows XP c установленным Service Pack 2. Если вы используете более раннюю версию операционной системы Windows или другую систему вроде Linux, советую воспользоваться встраиваемой панелью Netcraft Toolbar, разработаную организацией Anti-Phishing Working Group, которая занимается борьбой с фишингом (http://www.antiphishing.org/ ). Панель доступна в двух вариантах: для веб-браузеров Internet Explorer и Firefox. Чтобы установить ее, следует перейти по адресу http://toolbar.netcraft.com/install и в области Choose version нажать кнопку, соответствующую используемому веб-браузеру, – появится запрос на установку нового модуля.

После перезапуска браузера в его окне появится новая панель. При переходе на сайт он будет проверяться, и индикатор Risk Rating будет отображать уровень риска сайта (рис. 7.6). Если цвет зеленый, то это означает, что сайт известен Netcraft и зарегистрирован давно (рядом с уровнем риска будет показан год регистрации и страна), его месторасположение соответствует регистрации, фальсификаций этого сайта или с этого диапазона адресов Интернета ранее замечено не было и сайт использует стандартный порт. Несоответствие хотя бы одного из этих параметров приведет к ухудшению рейтинга ресурса. Цвет панели будет меняться от желтого («внимание») до красного, указывающего на опасность.

Рис. 7.6. Показатель риска на панели Netcraft Toolbar

Кстати, по адресу http://www.antiphishing.org/phishing_archive.html можно найти большое количество реальных примеров фишерских писем.

Рассмотренная в главе 5 программа Kaspersky Internet Security обеспечивает защиту от фишинг-атак, отслеживая попытки открытия известных фишингсайтов и блокируя их. Список сайтов пополняется адресами, предоставляемыми Anti-Phishing Working Group, при обновлении сигнатур угроз.

Из книги Мегабитовая бомба автора Лем Станислав

Из книги Журнал `Компьютерра` №729 автора Журнал «Компьютерра»

НОВОСТИ: Борьба за чистоту Автор: Киви БердТри сюжета из текущих ИТ-новостей с разных сторон освещают всегда актуальную тему "о грязи в нашей жизни и средствах избавления от нее".История номер один - про чрезвычайно оригинальную идею корпорации Sony, сулившую

Из книги Журнал «Компьютерра» № 37 от 10 октября 2006 года автора Журнал «Компьютерра»

13-Я КОМНАТА: Борьба со злом Автор: Илья Щуров VoyagerСуществует множество вещей, которые надо сделать. Множество программ, которые надо разработать. Множество открытий, которые надо совершить. Множество книг, которые надо написать. Множество фильмов, которые надо снять.

Из книги Сбои и ошибки ПК. Лечим компьютер сами. Начали! автора Ташков Петр

Из книги Защита вашего компьютера автора Яремчук Сергей Акимович

6.2. Борьба с потенциально опасными программами Скорость распространения Spyware стремительно увеличивается. В последнем докладе компании по обеспечению безопасности McAfee говорится, что только три из ста пользователей Интернета могут определить, насколько безопасным

Из книги Сбои и ошибки ПК. Лечим компьютер сами автора Донцов Дмитрий

Борьба с пылью Пыль, как и нестабильность электричества, также несет в себе определенную угрозу работе компьютера.Чем же она вредна? Во-первых, пыль укорачивает срок службы любых механических и электронных устройств. Как это происходит? Очень просто. Приведу пример. Пыль,

Из книги О чём не пишут в книгах по Delphi автора Григорьев А. Б.

Из книги В начале была командная строка автора Стивенсон Нил

Классовая борьба настольных систем Теперь, когда третий рельс крепко ухвачен (идиома, имеется в виду токопроводящий рельс линий метро, назначение которого для многих пассажиров не вполне очевидно - прим. перев.), неплохо отметить некоторые факты: как всякая публично

Из книги Windows Vista. Трюки и эффекты автора Зозуля Юрий

5.2. Автозапуск приложений и борьба с ним Управление приложениями, работающими в фоновом режимеНекоторые программы могут запускаться автоматически при каждом старте операционной системы. Обычно такие приложения помещают свои значки в область уведомлений и работают в

Из книги Знакомьтесь: Ноутбук автора Жуков Иван

Борьба с вирусами «Зачем нужны программы по борьбе с вирусами?» – это риторический вопрос.Самое частое действие, которое совершают пользователи на компьютере как во время работы, так и во время отдыха, – это выход в Интернет, где находится такое количество вредной для

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

9.5.5. Борьба с баннерами и всплывающими окнами В фирме, где я работал, появился новый сотрудник, и в первую неделю мы ощутили увеличение трафика. Это бывает со всеми, потому что любой новый пользователь Интернета начинает смотреть все страницы подряд. Со временем интерес

Из книги Анонимность и безопасность в Интернете. От «чайника» к пользователю автора Колисниченко Денис Николаевич

9.5.7. Борьба с запрещенными сайтами Недавно я разговаривал с одним своим знакомым, и мне понравилось его определение Интернета - сеть создана и живет порнографией. Я не уверен, но мне кажется, что он прав в том, что трафик с сайтов с интим-содержимым самый высокий (если не

Из книги Интернет для ржавых чайников автора Левина Любовь Трофимовна

Из книги Компьютерные террористы [Новейшие технологии на службе преступного мира] автора Ревяко Татьяна Ивановна

Борьба с мошенничеством Как люди борются с мошенничеством в Интернете? Да, по сути, никак. Только создаются различные информационные сайты да пишутся статьи об интернет-мошенничестве. Различные черные списки и т. д. не несут в себе практически никакой ценной информации,

Из книги Linux и все, все, все... Статьи и колонки в LinuxFormat, 2006-2013 автора Федорчук Алексей Викторович

Фишинговое сообщение - это на первый взгляд обычное электронное письмо, с помощью которого злоумышленник пытается получить ваши персональные данные или украсть ваши деньги. Мошенники также могут сделать так, чтобы казалось, что сообщение получено от вас, то есть использовать спуфинг. Ниже описано, что делать, если вы столкнулись с нарушениями, фишингом или спуфингом, связанными с учетными записями Outlook.com.

Сообщение о фишинге или спуфинге

В списке сообщений выберите сообщение или сообщения, которые вы хотите сообщить.

Над областью чтения выберите Нежелательная почта > Фишинг > отчет , чтобы сообщить отправителю сообщения.

Примечания:

Другие способы борьбы с нарушениями, фишингом и спуфингом

Защита от фишинговых сообщений

Никогда не отвечайте на электронные сообщения, в которых вас просят предоставить персональные данные или сведения об учетной записи.

При получении подозрительных писем или сообщений, где вас просят сообщить подобную информацию, никогда не переходите по содержащимся в них ссылкам якобы на веб-сайт компании.

Никогда не открывайте файлы, вложенные в подозрительные сообщения.

Если кажется, что сообщение отправлено с адреса какой-либо компании, обратитесь в ее отдел обслуживания клиентов по телефону или через сайт компании, чтобы убедиться, что сообщение является подлинным.

В поисковой системе введите тему письма, добавив после нее слово, например "мошенничество", и посмотрите, не сообщал ли кто-нибудь еще о таком фишинге.

Пять распространенных типов мошеннических сообщений

Ниже приведены некоторые наиболее распространенные типы мошеннических сообщений, а также советы, как их распознать.

"Выполните проверку учетной записи сейчас, иначе она будет закрыта!"

Мошенническое сообщение. Вы получаете сообщение электронной почты, которое выглядит как сообщение от вашего банка, службы электронной коммерции, такой как PayPal или eBay, или от поставщика электронной почты. Сообщение содержит предупреждение о том, что ваша учетная запись будет приостановлена или закрыта, если вы не "выполните проверку", отправив ответное сообщение со сведениями об учетной записи.

Чего добиваются мошенники. В случае с мошенническими сообщениями, замаскированными под сообщения от банка или службы электронной коммерции, мошенники хотят получить ваши персональные данные, чтобы украсть удостоверяющие вашу личность сведения, опустошить ваши банковские счета или увеличить расходы по вашей кредитной карте. Если сообщение похоже на письмо от поставщика электронной почты, мошенники хотят получить имя пользователя и пароль для вашей учетной записи, чтобы взломать ее и использовать ее для рассылки нежелательной почты.

Вас просят немедленно ответить на сообщение (например, "Необходимо пройти проверку в течение 24 часов"). Такие временные рамки дают мало времени на проверку подлинности сообщения.

Возможные действия. Прежде всего, каким бы тревожным ни был тон предупреждения, не отправляйте персональные данные или сведения об учетной записи в ответном сообщении.

Если сообщение получено от банка или интернет-магазина, свяжитесь с отделом обслуживания клиентов компании по телефону или в сети, чтобы убедиться в подлинности этого сообщения.

Если в сообщении утверждается, что оно отправлено из Outlook.com, перешлите сообщение по адресу [email protected] .

"Вы можете стать обладателем большой суммы денег. Вам всего лишь нужно отправить ваши персональные данные или небольшую сумму денег наличными".

Чего добиваются мошенники. Иногда их цель - просто получить от вас деньги. Бывают случаи, когда им нужны ваши персональные данные, чтобы украсть удостоверяющие вашу личность сведения, опустошить ваши банковские счета или потратить деньги на кредитной карте.

Дополнительные признаки мошенничества.

Любое предложение о сделке с участием международного банка с требованием предоставить персональные данные или отправить наличные за границу, должно вызывать большие подозрения.

Часто такие действия являются частью акта хищения. Возможно, деньги, как утверждают мошенники, не принадлежат ни вам, ни им, а законный владелец не заметит пропажи, так как мог умереть, или является коррумпированным чиновником или фиктивной организацией. Или же предположительно деньги принадлежат вам, но кто-то пытается их украсть.

Если во всем этом есть хоть что-то подозрительное и вы не понимаете, почему незнакомые люди делают именно вам (из всех живущих в мире людей) подобное предложение, можно с уверенностью утверждать, что вас обманывают.

Возможные действия.

"Вы выиграли!"

Мошенническое сообщение. Поздравляем! Вы выиграли в лотерее! Вы приняли участие в розыгрыше от корпорации Майкрософт и получили главный приз!

Чего добиваются мошенники. Им нужны ваши персональные данные, чтобы украсть удостоверяющие вашу личность сведения и опустошить ваши банковские счета.

Дополнительные признаки мошенничества.

Вы приняли участие в лотерее или розыгрыше без вашего ведома или разрешения.

Мошенники требуют от вас банковские сведения, чтоб перевести выигрыш на ваш счет.

Розыгрыш служит предлогом для сбора персональных данных с помощью формы, которую необходимо заполнить, чтобы принять в нем участие. Мошенники потом могут продать эти сведения или использовать их для продвижения своих продуктов и услуг. Для участия в настоящем розыгрыше не требуется предоставлять им свои сведения, ведь вы их уже предоставили!

Возможные действия. Прежде всего, как бы соблазнительно ни звучало подобное предложение, никогда не отправляйте свои персональные данные или финансовые сведения.

Посетите веб-сайт, который занимается разоблачением мошенников (например, snopes.com) и выполните поиск по теме сообщения.

Сообщите о фишинговом сообщении (см. инструкции выше).

"Помогите! Я в беде!"

Мошенническое сообщение. Ваш друг уехал в отпуск и попал в беду. Вас просят как можно скорее отправить деньги.

Чего добиваются мошенники. Чтобы вы отправили им деньги.

Дополнительные признаки мошенничества. Подобные случаи мошенничества бывает непросто распознать. Обычно мошенник взламывает учетную запись вашего друга и отправляет "сообщение о помощи" по всем адресам в списке контактов вашего друга. Поэтому адрес отправителя сообщения будет подлинным. Даже приветствие в письме может быть персонализировано (например, "Дорогой Сергей"). Но действительно ли это письмо было отправлено вашим другом?

Возможные действия. Прежде чем что-либо предпринимать, остановитесь и проверьте реальные факты.

Позвоните своему другу. Если вы не сможете дозвониться, попытайтесь связаться с общими знакомыми.

Задайте себе следующие вопросы:

В сообщении, наверняка, говорится, что он в отчаянии и ему больше не к кому обратиться. Но являются ли ваши отношения достаточно близкими, чтобы он обращался с подобными просьбами именно к вам?

Упоминал ли он ранее, что собирается в поездку?

Какова вероятность того, что ваш друг действительно оказался в подобной ситуации и совершил действия, описанные в сообщении?

Похоже ли это на поведение вашего друга?

Если вы не можете связаться с самим другом или общим знакомым каким-то другим способом, кроме электронной почты, лучше считать, что данное сообщение является мошенническим. Отправьте отчет о нежелательном сообщении, выбрав вариант Учетную запись моего друга взломали! (см. инструкции выше в этой статье).

"Если вы перешлете это сообщение, с вами случится что-то хорошее! Если вы не перешлете это сообщение, с вами случится что-то плохое!

Мошенническое сообщение. Перешлите это сообщение, и корпорация Майкрософт отправит вам 30 000 рублей! Перешлите эту петицию, чтобы Outlook.com оставался бесплатным! Предупредите всех друзей об этом опасном компьютерном вирусе!

Чего добиваются мошенники. Они хотят добиться быстрого и массового распространения мошеннического сообщения, чтобы похвастаться перед другими спамерами.

Возможные действия.

Если в сообщении говорится о компьютерном вирусе или другой угрозе безопасности, посетите веб-сайт вашей антивирусной программы и просмотрите сведения о последних угрозах.

Пометьте сообщение как нежелательное (см. инструкции выше).

Восстановление учетной записи после взлома

Если кто-то получил доступ к вашей учетной записи Outlook.com или вы получили письмо с подтверждением смены пароля, на которую вы не давали разрешения, у вас есть возможность восстановить учетную запись. Дополнительные сведения см. в статье Моя учетная запись Outlook.com взломана .

Сообщение о нарушениях

Дополнительные сведения

Дополнительные сведения о мошенничествах с электронной почтой и в Интернете см. в статье

Лорри Фейт Кренор

Не ловись, рыбка! Проблемы и методы борьбы с фишингом

Лорри Фейт Кренор (Lome Faith Cranor) занимает пост адъюнкт-профессора информатики и технической и общественной политики в Университете Карнеги-Меллона и возглавляет лабораторию практической конфиденциальности и безопасности, где руководит исследованиями в области борьбы с фишингом. Кроме того, недавно она стала соучредителем компании Wombat Security Technologies, цель которой - вывод разработанных ее группой продуктов на рынок. Кренор опубликовала четыре книги и множество научных статей о защите информации в сетях, фишинге, спаме, электронном голосовании и других предметах, связанных с информационной безопасностью. Она надеется, что со временем люди перестанут воспринимать выражение «практическая безопасность» как оксюморон.

Основные положения

Фишинг - это вид сетевых преступлений, заключающийся в выманивании у людей конфиденциальной или секретной информации. Он уже обходится жертвам в миллиарды долларов в год, и угроза его растет. Поскольку фишинг основан на человеческих слабостях, изучение факторов, определяющих склонность людей клевать на удочку, поможет обучению пользователей и совершенствованию технологий защиты от мошенничества. Для борьбы с фишингом нужно объединение усилий правоохранительных органов, специалистов по защите информации и обычных пользователей.

За последнюю неделю я получила массу электронных писем: предупреждения от нескольких банков о предстоящей блокировке моих кредитных карт, напоминание eBay о необходимости сменить пароль, уведомление от Apple о неоплаченных счетах за скачанную музыку, предложение авиакомпании быстро заработать $50, заполнив опросную анкету, и просьбу Красного Креста перечислить деньги в фонд помощи пострадавшим от землетрясения в Китае. С виду эта корреспонденция не вызывала никаких подозрений. Однако все письма, кроме сообщения от eBay, были фальшивками, известными под названием «фиш» (phish, искаженный вариант английского слова fish- «рыба»).

Мошенники виртуозно составляют послания от имени уважаемых организаций и обычно призывают совершить срочные действия, чтобы избежать нежелательных событий или что-то заработать. Цель состоит в том, чтобы побудить человека зайти на некий сайт или позвонить по определенному номеру и выдать мошенникам свою персональную информацию. Иногда достаточно щелкнуть мышкой по ссылке или открыть файл, прикрепленный к электронному письму, чтобы компьютер оказался зараженным вредоносной программой, позволяющей «фишеру» (phisher, искаженный вариант английского слова fisher - «рыбак») извлекать нужную информацию или управлять компьютером жертвы для осуществления дальнейших атак. У каждой фишинговой атаки есть свои особенности, однако результат обычно один и тот же: тысячи беспечных жертв предоставляют преступникам сведения, которые затем используются для хищения денег с банковских счетов или для получения секретной информации.

Международный консорциум организаций по борьбе с сетевым мошенничеством отслеживает активность фишинга. В 2007 г. общее число фишинговых сайтов, выявляемых каждый месяц, достигло 55 643. Для обмана жертв и убеждения их в том, что они имеют дело с уважаемыми организациями, каждый месяц использовались названия или логотипы около двухсот компаний. По оценке консалтинговой компании Gartner, в 2007 г. на фитинг попалось 3,6 млн американцев, суммарные потери которых превысили $3,2 млрд.

Ставки высоки, и специалисты по информационной безопасности разрабатывают для почтовых клиентов и веб-браузеров все более совершенные фильтры, способные выявлять и регистрировать попытки фишинга. Хотя такие программы помогают пресекать множество атак, фишеры постоянно меняют тактику, стремясь идти на шаг впереди защитных технологий. Фишинг основан на использовании человеческих слабостей, и чтобы атака прошла успешно, жертва должна поддаться соблазну и предпринять определенные действия, так что проблема не только в технологии. Поэтому моя группа в Университете Карнеги-Меллона занимается поиском наилучших способов обучения людей распознаванию попыток фишинга и защиты от них. Кроме того, мы рассказываем людям, как работают антифишинговые программы, чтобы пользователи могли правильно их применять. Поскольку человеческий фактор является ключевым для успеха фишинговых атак, мы пришли к выводу, что он же может стать важным оружием и в борьбе с фишингом.

Когда в 2004 г. мы впервые попытались понять, почему люди попадаются на удочку, мои коллеги Манди Холбрук (Mandy Holbrook) и Джули Даунз (Julie Downs) провели опрос на улицах Питтсбурга. Оказалось, что большинство людей ничего не знают о фишинге. Некоторые слышали о мошенничестве через электронную почту с использованием названий финансовых организаций, но не осознавали, что сообщения якобы от торговцев могут быть жульническими. Мало кто может выявить поддельное послание: обычно достоверность электронных писем оценивается по внешним признакам, таким как наличие логотипа и профессиональная стилистика текста. Многие пользователи не понимают смысла предупреждений об опасности, выдаваемых веб-браузерами, и не знают, как использовать подсказки, содержащиеся в веб-адресах и в самих сообщениях, для проверки достоверности последних.

Когда необходимость в просвещении интернет-пользователей в отношении фишинга стала очевидной, мы занялись обзором проводимых на тот момент мероприятий в этой области, чтобы понять, почему не видно их результатов. Мы обнаружили множество разнообразных сайтов, посвященных антифи-шингу и созданных компаниями, правительственными организациями и промышленными ассоциациями. Некоторые из них были перегружены техническим жаргоном и содержали больше информации, чем может усвоить обычный пользователь без технического образования. Лишь немногие сайты давали хорошую основу для повышения осведомленности людей об опасности фишинга, но и они слабо помогали людям защититься от него. Лабораторные исследования показали, что некоторые материалы, лучше всего объясняющие опасность фишинга, делают людей чрезмерно подозрительными в отношении подлинных веб-сайтов.

Хуже того, предупреждения о фишинговых атаках, рассылаемые компаниями своим работникам и клиентам, чаще всего остаются без внимания. В ходе экспериментов добровольцы читали фишинго-вые письма гораздо охотнее, чем сообщения об информационной безопасности. Исследования показали, что абстрактная осведомленность о фишинге сама собой не превращается в защиту.

Исходя из полученных представлений, члены моей группы Понну-рангам Кумаругуру (Ponnurangam Kumaruguru), Алессандро Аквисти (Alessandro Aquisti) и другие разработали обучающую систему PhishGuru, предоставляющую антифишинго-вую информацию после того, как пользователь попадется на имитацию фишингового послания. В программе содержится набор кратких сообщений, указывающих на необходимые действия и представленных в виде мультфильмов, где персонаж по имени FisfiGuru объясняет потенциальным жертвам, как им защитить себя. Люди, просмотревшие эти мультфильмы после того, как попались на посланные им имитированные фишинговые сообщения, в дальнейшем гораздо реже становились жертвами реальных атак.

Обобщив этот подход, мой аспирант Стив Шэн (Steve Sheng) разработал обучающую игру Anti-Phishing Phil, которая учит людей определять адреса подозрительных сайтов и демонстрирует, как люди попадаются на удочку. Игроки играют роль Фила - молодой рыбы, которая должна изучать адреса, связанные со знакомыми ей червями, и определять, каких из них можно есть. Если Фил пытается ухватить червя с мошенническим адресом, он попадается на крючок и выхватывается из воды. Тогда на сцене появляется более старая и мудрая рыба и объясняет, где ошибся Фил. С помощью лабораторных и полевых испытаний мы показали, что эта игра существенно повышает способность людей выявлять фальшивые сайты. Сравнение поведения пользователей до и после обучения показало значительное уменьшение случаев, когда фишинговые сайты ошибочно принимались за подлинные, а подлинные - за фишинговые. Прошедшие эту игру превосходили по этим показателям тех участников испытаний, которые обучались по пособиям или материалам из других источников.

Хотя мы и показали, что можем научить пользователей защищаться от фишеров, даже обученным пользователям нельзя терять бдительность и желательно периодически повторять курс обучения, чтобы быть в курсе новых фишинговых трюков. В 2008 г. резко возросло количество программ и сайтов, предназначенных для кражи паролей. Еще одна растущая угроза - spear-phishing («охота с острогой»), т.е. атаки, адаптированные к конкретным потенциальным жертвам. Такая атака может иметь вид электронного сообщения работнику компании от ее менеджера, что должно внушить доверие и побудить работника открыть вложение. Составлять такие адресные сообщения злоумышленникам может помогать информация, имеющаяся на корпоративных сайтах и сайтах интернет-сообществ.

Поскольку фишеры не дремлют, дельзя рассчитывать на то, что пользователи смогут защититься самостоятельно. Наша группа занимается разработкой автоматических фильтров, способных распознавать фишинговые атаки. Однако эффективность таких фильтров серьезно зависит от правильной реакции людей.

Комплексная защита
Многие браузеры уже содержат встроенные защитные фильтры а могут работать совместно с другими программами для выявления подозрительных сайтов. Но даже при условии, что программные антифишинговые средства будут выявлять фишинговые сайты, от них будет мало проку, если пользователи будут игнорировать их предупреждения. Чтобы понять, почему пользователи не обращают внимания на предупреждения об опасности, мой аспирант Серж Эгельман (Serge Egelman) рассылал добровольцам, участвующим в наших исследованиях, фишинговые электронные сообщения. Если получатели поддавались на провокацию и щелкали мышкой на ссылке, на их экране появлялось предостережение. Эгельман обнаружил, что пользователи браузера Mozilla Firefox 2 прислушивались к этим предупреждениям, а те, кто пользовался браузером Microsoft Internet Explorer 7 (I-E7), часто пренебрегали ими. Как мы выяснили, столь большая разница в реакциях двух групп участников обусловлена тем, что пользователи браузера IE7 либо не замечали предупреждений, либо путали их с предупреждениями о менее серьезных опасностях.

Компания Microsoft усвоила этот урок, и в следующей версии браузера (IE8) предупредительные тексты сделаны более ясными, похожими на соответствующие предупреждения в браузере Firefox.

Еще один важный фактор, определяющий доверие пользователей к предупреждениям автоматических фильтров, - их точность. Большая вероятность ложной тревоги, когда подлинный сайт ошибочно определяется как мошеннический, может подорвать доверие к фильтру: через какое-то время пользователь просто перестанет обращать внимание на предупреждения. В тех антифишинговых фильтрах, которые мы испытывали, для выявления фишинговых сообщений и сайтов, применяются несколько подходов. В большинстве коммерческих инструментов используются постоянно обновляемые черные списки фишинговых сайтов. В некоторых инструментах есть также белый список подлинных сайтов.

Однако большинство фильтров не ограничиваются использованием списков. Некоторые анализируют каждый сайт, посещаемый пользователем, и для оценки его подлинности применяют набор эвристических алгоритмов. При этом мишенью становятся те же признаки, о которых мы рассказываем на антифишинговых курсах, например адреса, начинающиеся с четырех чисел или похожие на адреса хорошо известных брендов. Фильтры принимают во внимание и другие признаки, незаметные для людей, например возраст сайта, поскольку фишинговые сайты обычно существуют очень недолго, оставаясь активными от нескольких часов до нескольких дней.

В случае фильтров, работа которых основана главным образом на использовании черных списков, эффективность зависит от времени. Недавно мы провели испытания восьми пользовательских антифишинговых программ, сообщая им адреса новых фишинговых сайтов. Оказалось, что в пределах нескольких минут после получения этих адресов большинство таких программ обнаруживают меньше 20% фишинговых сайтов, а через пять часов - уже около 60%. Фильтры, в которых использовалось сочетание черного списка с эвристическими алгоритмами, работали гораздо лучше, выявляя почти 90% фишинговых атак с самого начала испытания.

Наша группа занимается разработкой программ, в которых для обнаружения фишинговых электронных сообщений используется техника обучающихся машин. Она широко применяется для выявления спама, но детекторы спама оказываются не очень точными, когда дело касается фишинговых посланий, которые обычно выглядят подлинными. Норман Заде (Norman Sadeh) из нашей группы работает над созданием инструмента для анализа электронных сообщений по ряду признаков, которые могут указывать на фишинг. Например, фишинговые письма могут содержать текст с гиперссылками в виде адресов известных сайтов, которые на самом деле ведут на сайт фишера. Кроме того, адреса в фишинговых сообщениях часто содержат пять или более точек и указывают на недавно зарегистрированные доменные имена. Однако эти особенности имеют не все фишинговые послания, и наоборот, иногда эти признаки могут содержаться и в подлинных электронных сообщениях. Поэтому исследователи обучают программу PhishPatrol, передавая ей большую коллекцию подлинных и фишинговых посланий, чтобы она могла проанализировать их и определить, какое сочетание признаков с наибольшей вероятностью может встретиться в фишинговых письмах. В наших недавних экспериментах PhishPatrol смогла выявить более 95% фишинговых сообщений. Вероятность ложной тревоги при этом не превысила 0,1%.

Для выявления фишинговых сайтов мы использовали также сочетания некоторых признаков, используемых программой PhishPatrol, с другими подходами. ДжейсонХонг (Jason Hong) возглавляет в нашей группе раз работку инструмента CANTINA для анализа содержимого веб-страницы в сочетании с другими эвристическими процедурами с целью определения, не представляет ли собой эта страница часть фишингового сайта. Сначала CANTINA использует известный алгоритм информационной проходки для выявления пяти ключевых слов, характерных для данной веб-страницы, но редко встречающихся в Интернете в целом. Например, на странице регистрации новых пользователей eBay такая лексическая сигнатура может иметь вид eBay, user, sign, help, Jorgot. Если вы станете искать эти пять слов в Google, подлинная страница регистрации eBay окажется в числе первых результатов поиска. Фишинговые сайты, воспроизводящие эту регистрационную страницу eBay, едва ли окажутся там, поскольку один из критериев ранжирования веб-страниц в алгоритме Google- число ссылок на данную страницу с других страниц, так что с наибольшей вероятностью в начало списка попадают подлинные сайты. Однако этот подход не гарантирует избавления от ошибок, особенно в случае недавно созданных подлинных сайтов, поэтому он является лишь одним из нескольких критериев, рассматриваемых системой CANTINA при оценке веб-сайта.

Чтобы быть эффективными, антифишинговые фильтры должны применять критерии, достаточно гибкие, чтобы оставаться применимыми в условиях постоянно эволюционирующей тактики фишеров. Фильтр, созданный группой автора для распознавания фишинговых сайтов, в лабораторных испытаниях показал эффективность на 95%. Кроме использования обычных эвристических процедур фильтр извлекает «лексическую сигнатуру» ключевых слов на странице и проводит в Google поиск подлинных сайтов, содержащих эти слова.

ЭЛЕМЕНТЫ и ПРИЗНАКИ ВОЗМОЖНОГО ФИШИНГА

Возраст домена: не превышает 12 месяцев
Известные изображения: на странице есть известный логотип, но он не принадлежит домену владельца этого логотипа
Подозрительный адрес: адрес содержит знак @, минус, IP-адрес или больше пяти точек
Подозрительные ссылки: Ссылка на страницу содержит знак @ или минус
Формы: страница содержит поля для ввода текста
Адрес не соответствует адресу подлинного сайта.

Эволюционирующая угроза
В сообществе специалистов по информационной безопасности не мы одни постоянно стремимся к совершенствованию технологий. По мере улучшения защиты фишеры соответственно меняют свою тактику. Фишинговые письма теперь передаются через ICQ и SMS. Для завлечения своих потенциальных жертв фишеры используют сетевые игры вроде World of Warcrqft и такие интернет-сообщества, как MySpace и Facebook. Для фишинговых атак используется также создание точек доступа Wi-Fi в общественных местах и имитация регистрационных страниц настоящих провайдеров. Цель этих атак - определение паролей жертв и заражение их компьютеров вредоносными программами.

Организованные группировки фишеров используют тысячи взломанных компьютеров как исходные позиции для своих атак. В частности, группировка Rock Phish gang из Восточной Европы использует взломанные компьютеры для передачи сообщений фишинговым сайтам. Это дает возможность представить файлы как передаваемые с этих компьютеров и скрыть истинный адрес фишингового сайта, таким образом затруднив правоохранительным органам поиск истинного источника атаки. Другая тактика уклонения от поиска, используемая этой группировкой, - система, которую специалисты по безопасности называют «быстрым потоком» (fast flux). Она заключается в постоянном изменении /Р-адресов фишинговых сайтов на серверах доменных имен (DNS).

Разумеется, прибыльность фи-шинга определяется способностью фишеров превращать номера кредитных карточек и другие секретные сведения в наличные деньги. Поэтому фишеры обычно привлекают «осликов»: предлагают людям надомную работу или заводят с ними дружбу, убеждая, что нуждаются в их помощи. «Ослики» часто сами оказываются ни о чем не подозревающими жертвами, полагая, что их наняли для выполнения законной работы. Однако реальная задача «осликов» состоит в переводе украденных денег, и именно они в случае чего попадают за решетку.

Постоянное совершенствование антифишинговых фильтров и осведомление пользователей о новых типах фишинговых атак поможет сократить число жертв фишинга. Помогут также координация международных усилий правоохранительных органов и нахождение способов сделать фишинг менее прибыльным. Тем не менее борьба с фишингом остается своего рода гонкой вооружений, и полностью победить его нельзя, не вырвав с корнем. Поэтому пользователям нужны все возможные виды защиты.

Перевод: И.Е. Сацевич

"В мире науки", № 2, 2009

ДОПОЛНИТЕЛЬНАЯ ЛИТЕРАТУРА

Phishing Exposed. Lance James. Syngress, 2005.
Phishing and Countermeasures. Edited by Markus Jakobsson and Steven Myers. Wiley, 2007.
Anti-Phishing Phil: The Design and Evaluation of a Game That Teaches People Not to Fall for Phish. Steve Shengetal. in Proceedings of the 2007 Symposium on Usable Privacy and Security; July 18-20, 2007.
Behavioral Response to Phishing Risk. Julie S. Downs, Mandy Holbrook and Lorrie Faith Cranor in Proceedings of the 2nd Annual eCrime Researchers Summit, pages 37-44; October 4-5, 2007.
Информация о лабораторных исследованиях Лорри Фейт Кренор и ссылки на них доступны на сайте Supporting Trust Decisions: