Рассмотрим тип атак, который наиболее часто упоминается в современной прессе: фишинг и фарминг. Им уделяют большое внимание, так как результат такого мошенничества может привести к хищению номеров кредитных карточек, паролей, сведений о банковском счете и прочих важных данных.
Суть мошенничества
Термин «фишинг» (phishing) созвучен английскому слову fishing – рыбалка, удить. Он произошел от слияния трех слов: password (пароль), harvesting (сбор), и fishing, то есть означает ловлю и сбор паролей. В фишинг-атаках широко используются методы социальной инженерии. Мошенники рассылают миллионы фишинг-сообщений в виде спама или ICQ-сообщений от имени популярных или вызывающих доверие веб-узлов – банков, компаний по выпуску кредитных карт, служб поддержки электронных денежных систем WebMoney, PayPal, аукциона eBay и др. Электронные сообщения, всплывающие окна и веб-узлы, на которые даны ссылки, выглядят официально, а дизайн сайтов полностью идентичен оригинальным, что позволяет мошенникам обманывать людей, заставляя их поверить, что письмо действительно получено от надежной организации. Существует также онлайновый фишинг, когда создается похожий на копируемый сайт в другом домене или с похожим адресом.
Эти сайты поддельные, но ни о чем не подозревающие люди часто отвечают на требования мошенников предоставить номера кредитных карточек, пароли, сведения о банковском счете или другие личные данные. Делается это под предлогом разблокирования, подтверждения, обновления данных учетной записи, восстановления пароля, тестирования нового сервиса или новых возможностей (например, прямой перевод денег в другую систему) и других плановых мероприятий. Мало кто смотрит на адресную строку браузера. Для тех, кто обращает внимание на адреса посещаемых сайтов, развились методы маскировки URL, чтобы сделать их более похожими на оригинальные. Как это делается, было частично описано в разделе «Как избежать обмана при приеме на работу в Интернете» данной главы.
Начав с бесплатных хостингов и адресов типа webmoney.mail.ru, мошенники совершенствовали свои технологии, используя адреса сайтов, записанных перед знаком @, то есть что-то типа http://www.webmoney.ru@12345.com/. По спецификации то, что записано перед знаком @, считается данными пользователя сайта, записанного после @. Это значит, что фактически обращение идет к сайту 12345.com. В последних версиях Internet Explorer такая адресация запрещена, а в Firefox она вызывает специальное предупреждение (рис. 7.5), однако несколько лет назад эта уловка работала.
Рис. 7.5. Сообщение в Firefox, выводимое при обращении к подозрительному адресу
После регистрации, то есть ввода учетных данных и пароля, на таком сайте может появиться сообщение о том, что все в порядке, а чтобы обман не был замечен, вас могут перенаправить на настоящий сервис. Мошенники тем временем очищают вашу кредитную карточку или счет.
Показательно, что многие пользователи (по некоторой информации – до 5 %) попадаются на уловки фишеров. Несмотря на то что в нашей стране такие письма еще не стали столь массовыми, как на Западе, на десяток писем счастья, рекламы и других видов спама приходится одно фишинг-письмо. Одно попадание на такую удочку может обойтись намного дороже, чем косвенный убыток от дополнительного трафика, вызванного спамом. Популярность электронных систем денежных расчетов увеличивается, и вместе с ней повышается активность фишеров. Уже существуют phishing kit – наборы утилит, позволяющие быстро создать фишинг-сайт. Поэтому в настоящее время ситуация с фишингом напоминает ту, которая была при написании вирусов несколько лет назад, в момент появления конструкторов вирусов. Количество поддельных сайтов быстро увеличивается.
Незадачливый пользователь часто задается вопросом: «Откуда они узнали, что у меня есть счет в системе WebMoney (PayPal, eBay и др.)?» На самом деле никто ничего не узнавал, просто наверняка среди миллиона получателей окажется хотя бы несколько тысяч пользователей системы, работа которой имитируется.
В середине 2006 года появилась еще одна разновидность фишига – вишинг (vishing). Его суть аналогична, но если в случае с фишингом пользователя направляют на подставной сайт, то в вишинге указывается телефонный номер, на который нужно позвонить. На указанном номере с помощью голосового меню пользователя вынуждают ввести конфиденциальную информацию. Учитывая возможности интернет-телефонии, владельцев такого номера найти не просто, так как звонок может быть перенаправлен в любую точку земного шара.
Если фишинг – это насаживание наживки в надежде на улов, то фарминг – это скорее посев зерна, при котором не требуется полагаться на случай. Суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты, когда они пытаются войти на официальный веб-сайт финансовой или коммерческой организации. В отличие от фишинга, этот метод используется практически без участия потенциальной жертвы.
Обычными методами фарминг обнаружить невозможно, так как пользователь, как ему кажется, попадает именно туда, куда хотел. Этот вид мошенничества еще не получил широкого распространения, однако он встречается все чаще. Пользователи могут стать жертвой фарминга в силу уязвимостей браузеров, которые позволяют размещать в адресной строке фальшивые адреса сайтов, а также уязвимостей операционных систем и DNS-серверов.
Именно уязвимости в серверах доменной службы имен злоумышленники используют чаще всего. Выглядит это следующим образом. Чтобы каждый раз не обращаться к службе DNS, компьютер хранит в локальном кэше записи о наиболее часто посещаемых ресурсах либо пользователь вручную заносит эти данные в файл hosts. На один из DNS-серверов злоумышленник проводит атаку, называемую отравлением DNS-кэша (DNS-poisoning). Чаще всего это сервер провайдера, так как крупные узлы защищены более надежно. Запись в файл hosts может быть добавлена также с помощью трояна или вируса. Пользователь набирает в строке веб-браузера имя ресурса, но кэш содержит неправильный адрес, на который направляется жертва. Внешне это выглядит безупречно, и обнаружить обман невозможно.
Вариантом атаки может быть использование уязвимости сценариев на вебсайтах. При этом злоумышленник встраивает свой код, который перенаправляет пользователя на другой ресурс или крадет пароли. Однако из-за сложности реализации такой подход используется реже.
Борьба с фишингом и фармингом
Прежде всего важно понимать, что банки, системы денежных расчетов, почтовые и прочие сервисы и организации никогда не просят коды и пароли, которые они выдали клиентам. Банковские системы и технологии надежны, в них используется система резервирования важной информации, поэтому клиенты не должны верить утверждениям вроде «что-то пропало» или «необходимо что-то проверить». Любая информация о том, что у банка что-то случилось, может повредить его репутации, поэтому банк скроет проблему, а не будет рассказывать о ней. Проблема будет решаться тихо по мере обращения в службу поддержки. Кроме того, администратор любого сервиса имеет неограниченные права, поэтому, даже если система не показывает ваш пароль, в критической ситуации он сможет применить его без вашей помощи, а на ваш контактный адрес придет письмо с объяснением ситуации, хотя такой случай будет из ряда вон выходящим.
Фишинг появился потому, что получение данных от клиента – более простой вариант, чем взлом защищенных банковских систем, поэтому не стоит попадаться на уловки мошенников. Прислушайтесь к следующим советам.
• Получив письмо от банка, подумайте, действительно ли он может быть отправителем.
• Никогда не отвечайте и игнорируйте сообщения по электронной почте или ICQ, запрашивающие личные данные и финансовую информацию, даже если они получены из, казалось бы, надежных источников.
• При получении подозрительного сообщения электронной почты не открывайте вложения. Свяжитесь напрямую с человеком или организацией, указанными в поле От, или службой поддержки сервиса.
• Никогда не открывайте ссылки, которые даются в сообщениях электронной почты, запрашивающих личные данные и финансовую информацию. Вводите в веб-браузере имя или адрес нужного веб-узла вручную.
• Проверяйте URL любого сайта, который запрашивает идентификационную информацию. Убедитесь в том, что сеанс начался с правильного адреса веб-сайта, и к нему не добавлены лишние символы.
• Используйте антивирус, брандмауэр, системы контроля целостности данных и другие системы защиты, о которых говорилось в предыдущих главах данной книги. Вовремя обновляйте программное обеспечение, установленное на компьютере.
• Избегайте работы с интернет-банками на компьютерах, не находящихся под вашим контролем. Особенно небезопасны общественные интернет-кафе, не рекомендуется также пользоваться компьютерами друзей и знакомых.
Всегда выходите из сервисов, использующих веб-интерфейс, с помощью предусмотренных средств. Как правило, для этого существует специальная кнопка, размещенная в правом верхнем углу страницы (Logout, Sign out или Выход). Так вы не позволите любому человеку, севшему за компьютер после вас, воспользоваться кэшем браузера для восстановления сеанса.
Некоторые сайты имеют подписанные сертификаты, и достаточно нескольких секунд, чтобы определить, можно ли доверять открытому веб-сайту. Например, в Internet Explorer для просмотра такого сертификата в меню Файл нужно выбрать пункт Свойства. В окне свойств следует нажать кнопку Сертификаты и проверить, есть ли у веб-сайта действующий сертификат, выданный официальной организацией. В Firefox для этого следует выполнить команду Tools → Page Info (Инструменты → Информация о странице) и в появившемся окне перейти на вкладку Security (Безопасность). К сожалению, большинство российских ресурсов не используют такой сертификат.
Если вы подозреваете, что сообщили пароль в ответ на фишинг-сообщение или ввели его на мошенническом веб-узле, как можно скорее смените его. Регулярно проверяйте банковские отчеты и отчеты по кредитным картам: часто мошенники не берут крупную сумму сразу, а вымогают деньги постепенно, рассчитывая на «долгое сотрудничество».
В настоящее время не существует готового решения, позволяющего распознать фарминг и фишинг с помощью одной программы. Для защиты от фишинга разработчики наиболее распространенных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам.
Новые версии некоторых веб-браузеров обладают такой возможностью. Например, фишинг-фильтр корпорации Microsoft доступен в обозревателе Internet Explorer 7, предназначенном для системы Windows XP c установленным Service Pack 2 и для Windows Vista. Он сканирует и выявляет подозрительные веб-узлы, а также предоставляет своевременные обновления и отчеты о найденных фишинг-узлах. Если вы не включили функцию антифишинга во время установки Internet Explorer 7, это можно сделать в любой момент, для чего нужно выполнить команду Сервис → Антифишинг. Функция антифишинга распознает два типа веб-узлов:
• веб-узлы, подозреваемые в фишинг-атаках: при переходе на такой узел функция антифишинга выдает предупреждение желтого цвета;
• веб-узлы, на которых предпринимались фишинг-атаки: при попытке посетить такой узел функция антифишинга препятствует этому и выдает предупреждение красного цвета, после чего на данном веб-узле нельзя ввести никакие данные.
Для пользователей обозревателя Internet Explorer версии 6 или более ранних доступна новая панель инструментов Windows Live (http://toolbar.live.com/), после установки которой требуется активизировать функцию OneCare Advisor. В дальнейшем эта функция будет работать подобно антифишингу в Internet Explorer 7.
Чтобы все работало, требуется наличие Windows XP c установленным Service Pack 2. Если вы используете более раннюю версию операционной системы Windows или другую систему вроде Linux, советую воспользоваться встраиваемой панелью Netcraft Toolbar, разработаную организацией Anti-Phishing Working Group, которая занимается борьбой с фишингом (http://www.antiphishing.org/). Панель доступна в двух вариантах: для веб-браузеров Internet Explorer и Firefox. Чтобы установить ее, следует перейти по адресу http://toolbar.netcraft.com/installи в области Choose version нажать кнопку, соответствующую используемому веб-браузеру, – появится запрос на установку нового модуля.
После перезапуска браузера в его окне появится новая панель. При переходе на сайт он будет проверяться, и индикатор Risk Rating будет отображать уровень риска сайта (рис. 7.6). Если цвет зеленый, то это означает, что сайт известен Netcraft и зарегистрирован давно (рядом с уровнем риска будет показан год регистрации и страна), его месторасположение соответствует регистрации, фальсификаций этого сайта или с этого диапазона адресов Интернета ранее замечено не было и сайт использует стандартный порт. Несоответствие хотя бы одного из этих параметров приведет к ухудшению рейтинга ресурса. Цвет панели будет меняться от желтого («внимание») до красного, указывающего на опасность.
Рис. 7.6. Показатель риска на панели Netcraft Toolbar
Кстати, по адресу http://www.antiphishing.org/phishing_archive.htmlможно найти большое количество реальных примеров фишерских писем.
Рассмотренная в главе 5 программа Kaspersky Internet Security обеспечивает защиту от фишинг-атак, отслеживая попытки открытия известных фишингсайтов и блокируя их. Список сайтов пополняется адресами, предоставляемыми Anti-Phishing Working Group, при обновлении сигнатур угроз.