Количество случаев мошенничества в сети Интернет (фишинга, от английского "phishing") на протяжении последних полутора лет растет просто угрожающими темпами. Мошенники выдумывают новые, все более изощренные, способы обмана и повышают уровень подготовки атак с целью кражи паролей, номеров кредитных карт и банковских счетов и другой конфиденциальной информации. Разобраться, что такое фишинг, и как от него защититься призвана данная статья.
Фишингом (образовано от английского слова "phishing") называется не что иное, как мошенничество, произведенное в сети Интернет, при котором под тем или иным предлогом из пользователя обманным путем вытягивается конфидециальная информация, например, номера кредитных карт, банковских счетов, логины и пароли к платным сервисам и т.д.
В ноябре 2004 года пять лидирующих на американском рынке провайдеров решений по безопасности анонсировали создание нового альянса против мошенничества Anti-Fraud Alliance (AFA) – первой end-to-end системы, которая представляет собой решение против мошенничества и кражи индивидуальности в Интернет. Среди участников – Symantec, Corillian Corp (защита банковских услуг), NameProtect (защита доменных имен и мониторинг сети), PassMark Security (двусторонняя идентификация) и Internet Identity (защита от фишинга и услуги по безопасности). Все эти компании, дополняя решения друг друга, обеспечивают широкий спектр услуг и решений, включая онлайн консультации по безопасности, проактивную защиту от мошенничества и «фишинга» инспектирование сайтов и доменов, многофакторную идентификацию, защиту десктопов и услугу по деактивированию сайтов.
Сейчас членами альянса уже стали многие компании, специализирующиеся на решениях в области информационной безопасности, в том числе McAfee, Trend Micro, Panda Software, Aladdin, а также корпорация Microsoft, которая последнее время проявляет высокую активность в области защиты своих пользователей. Сейчас на сайте Phishing Working Group по адресу http://www.antiphishing.org/phishing_archive.html в свободном доступе находится перечень случаев фишига с подробным описанием. Участие в альянсе позволяет участвовать в рабочих группах по проблеме фишинга, технологических разработках и мероприятиях, проводимых AFA, а также получить доступ к отчетам и базе данных.
Эксперты в одни голос предупреждают, что характер преступлений связанных с использованием фишинга изменился. Мошенники выдумывают новые, все более изощренные, способы обмана и повышают уровень подготовки атак с целью кражи паролей, номеров кредитных карт и банковских счетов и другой конфиденциальной информации.
По данным компании MessageLabs http://www.messagelabs.com/binaries/ LAB480_endofyear_UK_v3.pdf, в сентябре 2003 года в почтовых потоках, которые обрабатывает принадлежащий компании программный антиспам-сервис, было зафиксировано 279 фишинг-сообщений, а в сентябре 2004 года эта цифра составила 2 098 012, т.е. более двух миллионов, что составляет прирост на четыре порядка.
По словам Серджио Пинона (Sergio Pinon), старшего вице-президента по безопасности компании MasterCard International, за последние два месяца было зафиксировано, по крайней мере, 10 попыток фишинга с использованием фальшивых сайтов www.mastercard.com. По данным организации Anti-Phishing Working Group (APWG), число подобных фишинговых атак постоянно увеличивается. В октябре группа APWG насчитала 44 атаки, в ноябре 51, а в декабре уже 55. Каждый месяц общее число фишинговых атак возрастает в полтора раза, при этом в июне было идентифицировано 1400 уникальных атак.
Не смотря на то, что большинство фишинговых писем является англоязычными, российских пользователей Internet спамеры тоже не обошли своим вниманием. Особой любовью спамеров пользуется российский «Ситибанк». Например, 22-24 сентября 2004 года мошенниками была осуществлена очередная рассылка подложных писем фишинга, с целью завладения персональной информацией клиентов ЗАО »Ситибанк».
Рассылка представляет собой электронное письмо с сообщением о переводе 2000 долларов США (или другой суммы) на личный счёт клиента и содержит просьбу зайти в систему интернет-банкинга Citibank Online и подтвердить перевод.
Если раньше мошенники часто бесхитростно действовали от лица известных банков и компаний, посылая миллионы писем, например, с темой «необходимо обновление учетной записи», которые заманивали наивных пользователей на подставные веб-сайты. Теперь увеличивается количество случаев использования вирусов-червей и шпионских программ для незаметного перенаправления пользователей на фальшивые сайты. «Если раньше фишеры были чем-то вроде уличных воришек в Сети, то теперь они действуют как организованные преступные группировки», – заявляет Парис Трудо (Paris Trudeau), старший менеджер фирмы SurfControl, занимающейся вопросами интернет-безопасности.
За последний год более 60 млн. человек подверглись фишинговым атакам, в которых использовались торговые марки 122 известных компаний. По словам господина Трудо, около половины атак проводилось с использованием шпионских программ или другого вредоносного кода. Так, например, одна из подобных атак, зафиксированная датской консалтинговой фирмой Secunia, вводила пользователя в заблуждение путем модификации файлов операционной системы Windows, после чего, во время набора пользователем адреса веб-сайта, браузер жертвы перенаправлялся на подставной сервер. Подобным способом были проведены несколько атак, подменявших адреса некоторых южно-американских банков.
Более амбициозные атаки ставят своей целью уже серверы доменных имен, которые служат виртуальными адресными книгами, сопоставляющими имена сайтов с IP-адресом, имеющимся у каждого устройства, подключенного к Интернету. Контролируя такой сервер, можно перенаправлять пользователей, запрашивающих, к примеру, www.bankofamerica.com, на подставной сайт с идентичным дизайном. Серверы доменных имен намного сложнее взломать, чем компьютер обычного пользователя, но шанс всегда есть, а в случае успеха злоумышленники получат в свое распоряжение очень действенный инструмент.
Даже самые простые виды фишинга теперь усложняются, отмечают эксперты. Если раньше мошенники пользовались ссылками с адресом, похожим на адрес сайта известной компании, то теперь ссылки на фальшивые сервера прячут внутрь кода письма, показывая пользователю ссылку в виде настоящего адреса (так называемый pharming - фильсификация адреса, используя уязвимости в DNS сервера). В декабре 2004 года количество активных подставных сайтов, используемых фишерами, составило 1,7 тыс. Большинство из них имели хостинг на территории США. Средняя продолжительность жизни подставного сайта равна 5,9 суток, а максимальное время 30.
Рядовые пользователи могут защититься от фишинга с помощью антивирусных программ и межсетевых экранов, но компании, работающие с клиентами через Интернет, могут позаботиться о безопасности своих клиентов, например, выпуская аппаратные ключи с идентификационными данными. Еще одним решением проблемы фишинга, отмечают специалисты, было бы создание системы аутентификации интернет-адресов для проверки соответствия введенного пользователем адреса настоящему серверу.
Понять, на 100% точно как осуществляется антифишинговая защита в продуктах уважаемых компаний достаточно сложно, т.к. даже в документации обычно описание технологии сводится к словам: «Включите антифишенговую защиту, поставив вот здесь галочку. После чего фишинговые письма будут отфильтровываться». Однако из различных пресс-релизов, статей и личного общения удалось понять, что многие производители, рассматривают антифишинг как обыкновенную спам-фильтрацию по известным признакам фишинговых писем: адресу отправителя, ссылке на фейковый сайт, содержанию письма и т.д. Создать такой фильтр не составляет труда, т.к. база фишинговых писем существует, например, в той же APWG.
Другой вопрос, что защита от фишинга реализованная в виде дополнительного набора правил для антиспама в большинстве случаев не защитит клиентов от фишинга, так как любая атака такого рода проходит практически мгновенно и укладывается по времени в рамки отправки обычной партии спама (счет идет на минуты).
Поэтому, когда сигнатура на новое фишинговое послание будет добавлена в базы данных и дойдет до пользователей, будет уже поздно. Кроме того, какое-то время необходимо на накопление и обработку нового фишингового послания. В большинстве случаем обновление баз антиспама придет уже слишком поздно, когда послания фишеров прочитает большее количество пользователей.
Некоторые из производителей, использующих подобную технологию скажут, что у них используются некие «умные фильтры» (в большинстве которых заложены байесовский метод), способные выловить еще даже от известных случаей фишинга, но это заявление также будет некорректной, так как подобные методы способны дай бог задержать не более половины нежелательных писем и то при условии длительного обучения на тех же фишинговых письмах!
Таким образом, на мой взгляд, защита от фишинга с помощью антиспама является скорее рекламным ходом производителей программного обеспечения, еще одним плюсиком, лишним конкурентным преимуществом перед конкурентами, но реально она не обеспечит какой-либо безопасности от мошенничеств.
Немного лучше обстоять дела при использовании защиты от фишинга на уровне браузера, когда любые попытки, с одной стороны, зайти на попавшие в черные списки фишинговый сайт, и, с другой стороны, передать в Интернет конфиденциальные данные будут блокироваться. В этом случае даже если человек зашел на подложные ресурс, то передать злоумышленникам конфиденциальные данные ему не позволит программа, или, по крайней мере, еще раз предупредит об опасности.
Что ни говори, в случае фишинга многое зависит от так называемого человеческого фактора. Доверчивых людей, готовых отправить свой номер кредитки кому годно в Интернете очень и очень много. И тут уж никакие средства защиты, увы, ни чего не гарантируют.
Автор: Сергей Ильин
Основатель проекта Anti-Malware.ru
18.10.2005