Фишинг-атаки

Тема в разделе "Новости информационной безопасности", создана пользователем cybercop, 4 янв 2013.

  1. cybercop
    Оффлайн

    cybercop Ассоциация VN

    Сообщения:
    317
    Симпатии:
    493
    Фишинг-атаки можно назвать преступлением 21-го века. Средства массовой информации ежедневно публикуют списки организаций, чьи клиенты подверглись фишинговым атакам. Как только «фишеры» изобретают новые способы атак, бизнес реагирует на это разработкой новых средств обороны и защиты персональных данных клиентов. В свою очередь клиенты тоже пытаются защититься от потока ложных «официальных» писем и начинают придерживаться более строгих правил общения.

    Многие организации вводят более жесткие правила в фильтрации спама, и при этом они вынуждены принимать проактивные меры в борьбе с фишингом. Разобравшись в инструментах и методах, используемых злоумышленниками, и анализируя слабые места в системе безопасности периметра, мы сможем заранее защититься от многих атак.

    В последнее время в области фишинга выделяются новые направления - смишинг, вишинг и фарминг (см. врезку «Словарь»).

    Эта статья посвящена описанию некоторых видов фишинга, что, надеюсь, позволит вам более успешно защищаться от подобных атак. Профессионалы в области информационной безопасности и обычные пользователи должны быть готовы отразить их.

    Мошенничество 21-го века

    Способность похищать личные идентификационные данные всегда высоко ценилась преступниками. Получая доступ к чьим-либо личным данным и исполняя затем роль законного пользователя, злоумышленник может совершать преступления под чужим именем. Подобное воровство никогда не было делом более простым, чем сейчас, в эпоху цифровых технологий.

    Скрытые среди груд электронной макулатуры, обходящие многие современные антиспамовые фильтры, новые средства нападения позволяют похищать конфиденциальную личную информацию. Профессиональные преступники теперь используют специально сформированные сообщения, чтобы заманить свои жертвы в ловушки, предназначенные для кражи идентификационных данных пользователей.

    Название данного типа атак - Phishing (фишинг), процесс обмана или обработка методами социальной инженерии клиентов для последующего воровства их личных данных и передачи их конфиденциальной информации для использования в корыстных целях. Преступники для своих целей используют спам или зараженные ранее компьютеры. При этом размер компании-жертвы не так важен; качество личной информации, полученной преступниками в результате нападения, имеет значение само по себе.

    Средства Phishing-мошенничества с каждым днем продолжают расти не только количественно, но и качественно. Phishing-атакам сегодня подвергается все большее число клиентов, массовая рассылка подобных писем идет на миллионы адресов электронной почты во всем мире. Используя множество типов атак, фишеры могут легко ввести в заблуждение клиентов для передачи финансовых данных (например, номера платежной карты) и пароля. В то время как спам только отвлекает внимание получателей, Phishing ведет к финансовым потерям из-за мошеннического перемещения валюты.

    В отчете за январь 2007 года по данным Anti-Phishing Working Group (www.anti-phishing.org ) приводятся следующие цифры:

    • Количество уникальных фишинговых атак 29930
    • Количество уникальных фишинговых сайтов 27221
    • Количество торговых марок, похищенных фишерами в январе 135
    • Страна, в которой в январе было открыто максимальное количество фишинговых сайтов Соединенные Штаты Америки
    • Количество сайтов, содержащих некоторую часть подлинного имени сайта в адресе 24.5 %
    • Количество сайтов, содержащих только IP-адрес 18 %
    • Процент сайтов, не использующих 80-й порт 3.0 %
    • Среднее время активности сайта 4 дня
    • Максимальное время активности сайта 30 дней

    [​IMG]
    Рисунок 1. Число фишинговых сайтов за период с января 2006 года по январь 2007 года

    Некоторые финансовые организации и большие компании, чей бизнес напрямую связан с Internet, разъясняют своим клиентам проблему фишинга. Большинство же организаций сделали очень немногое для активной борьбы с этим злом. Однако надо иметь в виду, что существует много доступных инструментальных средств и методов для защиты от подобных атак.

    Обладая высоким уровнем защиты от фишинговых атак, организации могут получить немалую выгоду от сохранения лояльности своих клиентов.

    Хронология фишинга

    Слово "phishing" родилось из аналогии, которая заключается в том, что первые злоумышленники Internet использовали почтовые приманки для паролей и финансовых данных множества пользователей Internet. Использование "ph", вероятнее всего, связано с популярными хакерскими соглашениями об именах типа "Phreaks", которые прослеживаются в истории хакерского движения, начиная с проблемы "phreaking" - взлом телефонных систем.

    Термин был впервые употреблен в 1996 году хакерами, захватившими управление учетными записями America Online (AOL) и похитившими пароли пользователей AOL. Впервые термин phishing был упомянут в Internet в группе новостей alt.2600 hacker newsgroup в январе 1996 года, однако он, возможно, использовался и ранее в популярном хакерском информационном бюллетене "2600". Привожу без комментариев:
    К 1996 году взломанные учетные записи называли "phish", и к 1997 phish активно продавались хакерами как форма электронной валюты. Через какое-то время определение того, что составляет phishing-атаку, было значительно расширено. Термин «фишинг» теперь включал не только получение подробностей учетной записи пользователя, но и доступ ко всем его личным и финансовым данным. Первоначально используя сообщения электронной почты для получения паролей и финансовых данных обманутых пользователей, теперь фишеры создали поддельные сайты, научились задействовать троянские программы, и атаки типа man-in-the-middle data proxies.

    В данный момент сетевое мошенничество включает использование поддельных рабочих мест или предложений работы.

    Фактор социальной инженерии

    Фишинг-атаки основаны на комбинации технического обмана и факторов социальной инженерии. В большинстве случаев «Фишер» должен убедить жертву выполнить ряд действий, которые обеспечат доступ к конфиденциальной информации.

    Сегодня «фишеры» активно используют популярность таких средств связи как электронная почта, web-страницы, IRC и службы мгновенной передачи сообщений (IM). Во всех случаях фишер должен действовать от имени доверенного источника (например, службы поддержки соответствующего банка и т.д.), чтобы ввести жертву в заблуждение.
    До недавнего времени самые успешные нападения фишеров осуществлялись по электронной почте - при этом фишер играет роль уполномоченного лица (например, имитируя исходный адрес электронной почты и используя внедрение соответствующих корпоративных эмблем). Например, жертва получает электронную почту от
    Код (Text):
    [U]support@mybank.com <mailto:support@mybank.com>[/U][/I]
    (адрес подменен) со строкой сообщения "модификация защиты", в котором ее просят перейти по адресу
    Код (Text):
    [I][U]www[/U][/I][I][U].[/U][/I][I][U]mybank[/U][/I][I][U]-[/U][/I][I][U]validate[/U][/I][I][U].[/U][/I][I][U]info[/U][/I][I][U] <http://www.mybank-validate.info>[/U][/I]
    (имя домена принадлежит нападавшему, а не банку) и ввести его банковский PIN-код.

    Однако фишеры используют и много других методов социальной инженерии для того, чтобы заставить жертву добровольно выдать конфиденциальную информацию. Например, жертва считает, что ее банковская информация используется еще кем-то для осуществления незаконной сделки. В таком случае жертва попыталась бы войти в контакт с отправителем соответствующего электронного письма и сообщить ему о незаконности сделки и отменить ее. Далее, в зависимости от типа мошенничества, фишер создал бы сетевую "безопасную" web-страницу для того, чтобы жертва могла ввести конфиденциальные подробности (адрес, номер кредитной карточки и т.д.) и отменить сделку. В результате фишер получил бы достаточно информации, чтобы совершить реальную сделку.

    [​IMG]
    Рисунок 2. Пример фишингового письма

    Перейдя по указанной ссылке, жертва попадает на сайт (рис. 3)

    [​IMG]
    Рисунок 3. Страница фишингового сайта

    Однако данный сайт, несмотря на внешнюю схожесть с оригинальным, предназначен исключительно для того, чтобы жертва сама ввела конфиденциальные данные.

    [​IMG]
    Рисунок 4. Пример с поддельным почтовым адресом отправителя

    Под онлайн-фишингом подразумевается, что злоумышленники копируют какие-либо сайты (чаще всего это Internet -магазины онлайн-торговли). При этом используются похожие доменные имена и аналогичный дизайн. Ну а дальше все просто. Жертва, попадая в такой магазин, решает приобрести какой-либо товар. Причем число таких желающих достаточно велико, ведь цены в несуществующем магазине будут буквально бросовыми, а все подозрения пользователей рассеиваются ввиду известности копируемого сайта. Покупая товар, жертва регистрируется и вводит номер и другие данные своей кредитной карты.

    Такие способы фишинга существуют уже достаточно давно. Благодаря распространению знаний в области информационной безопасности они постепенно утрачивают свою эффективность.

    [​IMG]
    Рисунок 5. Письмо только с одной фишерской ссылкой из многих подлинных

    Третий способ - комбинированный. Суть его состоит в том, что создается поддельный сайт некоей организации, на который потом завлекаются потенциальные жертвы. Им предлагается зайти на некий сайт и там произвести те или иные операции самим. Причем, как правило, используется психология.

    [​IMG]
    Рисунок 6. Образец фишингового письма пользователям почты Mail.ru

    Многочисленные предупреждения, практически ежедневно появляющиеся в Internet, делают подобные методы мошенничества все менее эффективными. Поэтому теперь злоумышленники все чаще прибегают к применению кей-логгеров, key-loggers - специальных программ, которые отслеживают нажатия клавиш и отсылают полученную информацию по заранее назначенным адресам.

    Если же вы думаете, что фишинг-атаки актуальны лишь для дальнего зарубежья, то вы ошибаетесь. Первая попытка фишинга на территории СНГ была зарегистрирована в 2004 году. Жертвами ее стали клиенты московского Ситибанка.

    На Украине жертвами фишинговых атак стали клиенты «Приват-банка» и компании «Киевстар».

    Доставка фишингового cообщения

    Электронная почта и спам. Наиболее распространены фишинговые атаки с помощью электронной почты. Используя методы и инструментальные средства спамеров, фишеры могут разослать специальные сообщения на миллионы адресов электронной почты в течение нескольких часов (или минут, если задействовать распределенные бот-сети). Во многих случаях списки адресов электронной почты фишеры получают из тех же источников, что и спамеры.

    Используя известные недостатки в почтовом протоколе SMTP, фишеры способны создать электронные письма с поддельной строкой "Mail From:" заголовки в таком случае будут олицетворением любой выбранной ими организации. В некоторых случаях они могут установить поле "Replay To:" на адрес выбранной ими электронной почты, в результате чего любой ответ клиента на фишинговое письмо будет автоматически пересылаться фишеру. В прессе часто пишут о фишинговых атаках, поэтому большинство пользователей опасается посылать конфиденциальную информацию (вроде паролей и PIN-кода) по электронной почте, однако такие атаки все еще эффективны.

    Методы, используемые фишерами при работе с электронной почтой:

    • официальный вид письма; ​
    • копирование законных корпоративных адресов с незначительными изменениями URL; ​
    • HTML, используемый в электронных сообщениях, запутывает информацию об URL; ​
    • стандартные вложения вируса/червя в сообщения; ​
    • использование технологий запутывания антиспамовых фильтров; ​
    • обработка "индивидуализированных" или уникальных почтовых сообщений; ​
    • поддельные ссылки в почте на популярные доски объявлений и списки адресатов; ​
    • использование поддельной строки "Mail From:" адреса и открытые почтовые шлюзы маскируют источник электронной почты. ​

    Фишинг-атаки с использованием web-контента. Следующий метод фишинг-атак заключается в использовании вредоносного содержимого web-сайта. Этот контент может быть включен в сайт фишера, или сторонний сайт.

    Доступные методы доставки контента включают:

    • использование сторонних ссылок или заголовков рекламных баннеров для приглашения клиентов к посещению фишерского сайта; ​
    • использование особенностей сети (скрытые элементы в пределах страницы - типа графического символа нулевого размера), чтобы проследить за потенциальным клиентом; ​
    • использование всплывающих окон, чтобы замаскировать истинный источник фишерского сообщения. ​

    Фальсификация рекламных баннеров

    Реклама с помощью банера - очень простой метод фишинга. Он может использоваться для переадресации клиента на поддельный сайт организации.

    [​IMG]
    Рисунок 7. Пример рекламного баннера

    IRC и передача IM-сообщений. Сравнительно новым является использование IRC и IM-сообщений. Однако, вероятно, этот способ станет популярной основой для фишинг-атак. Так как эти каналы связи все больше нравятся домашним пользователям, и вместе с тем в данное программное обеспечение включено большое количество функциональных возможностей, число фишинг-атак с использованием этих технологий будет резко увеличиваться.

    Вместе с тем необходимо понимать, что многие IRC и IM клиенты учитывают внедрение динамического содержания (например графика, URL, мультимедиа и т.д.) для пересылки участниками канала, а это означает, что внедрение методов фишинга является достаточно тривиальной задачей.

    Общее использование ботов - автоматизированных программ, обрабатывающих сообщения пользователей, которые участвуют в обсуждениях группы - во многих популярных каналах означает, что фишеру ничего не стоит анонимно послать ссылки и фальсифицировать информацию, предназначенную для потенциальных жертв.

    Использование троянских программ. В то время как среда передачи для фишинг-атак может быть различной, источник атаки все чаще оказывается на предварительно скомпрометированном домашнем компьютере. При этом как часть процесса компрометации используется установка троянского программного обеспечения, которое позволит фишеру (наряду со спамерами, программными пиратами, DdoS-ботами и т.д.) использовать компьютер как распространителя вредоносных сообщений. Следовательно, прослеживая нападение фишеров, чрезвычайно сложно выявить реального злоумышленника.
    Необходимо обратить внимание на то, что, несмотря на усилия антивирусных компаний, число заражений троянскими программами непрерывно растет. Многие преступные группы разработали успешные методы обмана домашних пользователей для установки у них программного обеспечения и теперь используют целые сети, развернутые с помощью троянского программного обеспечения. Такие сети используются, в том числе, для рассылки фишинговых писем.
    Однако не стоит думать, что фишеры не могут использовать троянские программы против конкретных клиентов, чтобы собирать конфиденциальную информацию. Фактически, чтобы собрать конфиденциальную информацию нескольких тысяч клиентов одновременно, фишеры должны выборочно собирать записываемую информацию.

    Троянские программы для выборочного сбора информации. В начале 2004 года фишеры создали специализированный кейлоггер. Внедренный в пределах стандартного сообщения HTML (и в почтовом формате, и на нескольких скомпрометированных популярных сайтах) он был кодом, который попытался запускать апплет Java, названный "javautil.zip". Несмотря на расширение zip, фактически это был исполняемый файл, который мог быть автоматически выполнен в браузерах клиентов.

    Троянский кейлоггер был предназначен для фиксирования всех нажатий клавиш в пределах окон с заголовками различных наименований, включающих: -commbank, Commonwealth, NetBank, Citibank, Bank of America, e-gold, e-bullion, e-Bullion, evocash, EVOCash, EVOcash, intgold, INTGold, paypal, PayPal, bankwest, Bank West, BankWest, National Internet Banking, cibc, CIBC, scotiabank и ScotiaBank.

    Направления фишинговых атак

    Фишеры вынуждены задействовать множество методов мошенничества, чтобы осуществлять успешные нападения. Самые общие включают:

    • нападения методом "человек посередине " (Man-in-the-middle); ​
    • атаки с подменой URL; ​
    • нападения, использующие кроссайтовые сценарии, Cross-site Scripting; ​
    • предварительно установленные сессии атак; ​
    • подмена клиентских данных; ​
    • использование уязвимых мест на стороне клиента. ​

    Нападения "человек посередине"

    Одним из самых успешных способов получения информации от клиента и захвата управления ресурсами является атака "человек посередине". В этом классе атак нападающий «располагается» между клиентом и реальным приложением, доступным через сеть. Из этой точки нападающий может наблюдать и делать запись всех событий.
    Эта форма нападения успешна для протоколов HTTP и HTTPS. Клиент соединяется с сервером злоумышленников, как будто с реальным сайтом, в то время как сервер злоумышленников выполняет одновременное подключение к реальному сайту. Сервер злоумышленников в таком случае играет роль proxy-сервера для всех соединений между клиентом и доступным через сеть прикладным сервером в реальном времени.

    В случае безопасного соединения HTTPS подключение SSL устанавливается между клиентом и proxy-сервером злоумышленников (следовательно, система злоумышленников может делать запись всего трафика в незашифрованном состоянии), в то время как proxy-сервер злоумышленников создает собственное подключение SSL между собой и реальным сервером.

    [​IMG]
    Рисунок 8. Структура атаки man-in-the-middle

    Для проведения успешных атак "человек посередине" нападающий должен быть подсоединен напрямую к клиенту вместо реального сервера. Это можно сделать с помощью множества методов:

    • DNS Cache Poisoning ​
    • URL Obfuscation ​
    • Browser Proxy Configuration ​

    Прозрачные proxy-серверы

    Расположенный в том же сегменте сети или на маршруте к реальному серверу (например, корпоративный шлюз), прозрачный proxy-сервер может перехватить все данные, пропуская через себя весь исходящий HTTP и HTTPS. В этом случае никакие изменения конфигурации на стороне клиента не требуются.

    DNSCachePoisoning - отравление кэша DNS

    Метод DNSCachePoisoning можно использовать для того, чтобы прервать нормальную маршрутизацию трафика, вводя ложные адреса IP. Например, нападающий модифицирует кэш службы доменной системы имен и сетевой межсетевой защиты так, чтобы весь трафик, предназначенный для адреса IP MyBank, теперь шел на адрес IP proxy-сервера нападавших.

    Подмена URL

    Используя данный метод, нападавший изменяет связь вместо реального сервера на соединение с proxy-сервером злоумышленников. Например, клиент может следовать по ссылке к
    Код (Text):
    [U]<http://www.mybank.com.ch/>[/U] вместо [U]<http: // [/U][U]www[/U][U].[/U][U]mybank[/U][U].[/U][U]com[/U][U]/>[/U]
    Конфигурация proxy-сервера в браузере клиента

    Данный тип атаки может быть замечен клиентом при просмотре настроек браузера. Во многих случаях изменение настроек браузера осуществляется непосредственно перед фишинг-сообщением.

    [​IMG]
    Рисунок 9. Конфигурация браузера

    Нападения подмены адресов

    Секрет успеха многих фишинговых атак состоит в том, чтобы заставить получателя сообщения следовать за ссылкой (URL) на сервер злоумышленников. К сожалению, фишеры имеют доступ к целому арсеналу методов, чтобы запутать клиента.
    Обычные методы подмены адресов включают:

    • фальшивые имена доменов ​
    • дружественные имена URL ​
    • подмену имен хостов ​
    • подмену URL. ​

    Фальшивые имена домена

    Один из тривиальных методов подмены - использование фальшивого имени домена. Рассмотрим финансовый институт MyBank с зарегистрированным доменом mybank.com и связанный с клиентом деловой сайт <http://privatebanking.mybank.com>. Фишер мог установить сервер, используя любое из следующих имен, чтобы запутать реальный хост адресата:
    • http://privatebanking.mybank.com.ch
    • http://mybank.privatebanking.com
    • http://privatebanking.mybonk.com
    или даже
    • http://privatebanking.mybánk.com
    • http://privatebanking.mybank.hackproof.com
    Поскольку организации по регистрации доменов двигаются в направлении интернационализации своих услуг, следовательно, возможна регистрация имен доменов на других языках и определенных наборах символов. Например, "o" в символах кириллицы выглядит идентично стандартному ASCII "o", но доменное имя будет другим.
    Наконец, даже стандартный набор символов ASCII учитывает двусмысленности вроде верхнего регистра "i" и нижнего регистра "L".

    Дружественные имена URL

    Много web-браузеров учитывают сложный URL, который может включить опознавательную информацию типа имени входящего в систему и пароля. Общий формат - URL://username:password@hostname/path.
    Фишеры могут заменить имя пользователя и поле пароля. Например, следующий URL устанавливает имя пользователя = mybank.com, пароль = ebanking, и имя хоста адресата - evilsite.com.
    Код (Text):
    [I][U]<http: // [/U][/I][I][U]mybank[/U][/I][I][U].[/U][/I][I][U]com[/U][/I][I][U]:[/U][/I][I][U]ebanking[/U][/I][I][U]@[/U][/I][I][U]evilsite[/U][/I][I][U].[/U][/I][I][U]com[/U][/I][I][U]/[/U][/I][I][U]phishing[/U][/I][I][U]/[/U][/I][I][U]fakepage[/U][/I][I][U].[/U][/I][I][U]htm[/U][/I][I][U]>[/U][/I]
    Этот дружественный вход в систему URL может успешно обмануть многих клиентов, которые будут считать, что они фактически посещают настоящую страницу MyBank.

    Подмена имен хостов

    Большинство пользователей Internet знакомо с навигацией по сайтам и услугам с использованием полного имени домена, типа www.evilsite.com <http://www.evilsite.com>. Для того чтобы web-браузер мог связаться с данным хостом по Internet, этот адрес должен быть преобразован в адрес IP, типа 209.134.161.35 для www.evilsite.com <http://www.evilsite.com>. Это преобразование IP-адреса в имени хоста достигается с помощью серверов доменных имен. Фишер может использовать адрес IP как часть URL, чтобы запутать хост и, возможно, обойти системы фильтрации содержания, или скрыть адресат от конечного пользователя.

    Например, следующий URL:
    Код (Text):
    [I][U]<http: // [/U][/I][I][U]mybank[/U][/I][I][U].[/U][/I][I][U]com[/U][/I][I][U]:[/U][/I][I][U]ebanking[/U][/I][I][U]@[/U][/I][I][U]evilsite[/U][/I][I][U].[/U][/I][I][U]com[/U][/I][I][U]/[/U][/I][I][U]phishing[/U][/I][I][U]/[/U][/I][I][U]fakepage[/U][/I][I][U].[/U][/I][I][U]htm[/U][/I][I][U]>[/U][/I]
    мог быть запутанным по сценарию
    Код (Text):
    [I][U]<http: // [/U][/I][I][U]mybank[/U][/I][I][U].[/U][/I][I][U]com[/U][/I][I][U]:[/U][/I][I][U]ebanking[/U][/I][I][U]@210.134.161.35/[/U][/I][I][U]login[/U][/I][I][U].[/U][/I][I][U]htm[/U][/I][I][U]>[/U][/I]
    В то время как некоторые клиенты знакомы с классическим десятичным представлением адресов IP (000.000.000.000), большинство из них незнакомо с другими возможными представлениями. С помощью этих представлений IP в пределах URL можно привести пользователя на фишерский сайт.

    В зависимости от приложения, интерпретирующего адрес IP, возможно применение разнообразных способов кодирования адресов, кроме классического пунктирно-десятичного формата. Альтернативные форматы включают:

    • Dword - значение двойного слова, потому что это состоит по существу из двух двойных "слов" 16 битов; но выражено в десятичном формате, ​
    • Восьмеричный ​
    • Шестнадцатеричный. ​

    Эти альтернативные форматы лучше всего объяснить, используя пример. Рассмотрим, как URL <http://www.evilsite.com/> преобразовывается к IP-адресу 210.134.161.35. Это может интерпретироваться как:
    • Десятичное число -<http: // 210.134.161.35/>
    • Dword -http:// 3532038435/
    • Восьмеричный -<http: // 0322.0206.0241.0043/>
    • Шестнадцатеричный -<http://0xD2.0x86.0xA1.0x23/> или даже<http: // 0xD286A123/>
    • В некоторых случаях можно даже смешать форматы (например,<http: // 0322.0x86.161.0043/>).

    Подмена URL

    Чтобы гарантировать поддержку местных языков в программном обеспечении Internet типа web-браузеров, большинство программного обеспечения поддерживает дополнительные системы кодирования данных.

    Кроссайтовые сценарии

    Типичные форматы XSS инъекции в достоверный URL включают:
    Полная замена HTML типа:
    Код (Text):
    [I][U][B]<http: // [/B][/U][/I][I][U][B]mybank[/B][/U][/I][I][U][B].[/B][/U][/I][I][U][B]com[/B][/U][/I][I][U][B]/[/B][/U][/I][I][U][B]ebanking[/B][/U][/I][I][U][B]? [/B][/U][/I][I][U][B]URL=http: // evilsite.com/phishing/fakepage.htm>[/B][/U][/I]
    Встроенное внедрение сценария типа:
    Код (Text):
    [I][U][B]http: // [/B][/U][/I][I][U][B]mybank[/B][/U][/I][I][U][B].[/B][/U][/I][I][U][B]com[/B][/U][/I][I][U][B]/[/B][/U][/I][I][U][B]ebanking[/B][/U][/I][I][U][B]? [/B][/U][/I][I][U][B]Page=1*client = <[/B][/U][/I][I][U][B]СЦЕНАРИЙ[/B][/U][/I][I][U][B]> evilcode <http: // mybank.com/ebanking? Page=1*client = % 3cSCRIPT%3eevilcode>[/B][/U][/I][I][B]...[/B][/I]
    Например, клиент получил следующий URL с помощью электронного фишинг-письма:
    Код (Text):
    [I][U]<http: // mybank.com/ebanking? URL=http: // evilsite.com/phishing/fakepage.htm>[/U][/I]
    В то время как клиент действительно направлен и связан с реальным MyBank-приложением сети, из-за ошибочного кодирования приложения банком,компонент ebanking примет URL для вставки в пределах поля URL возвращенной страницы. Вместо приложения, обеспечивающего опознавательную форму MyBank, внедренную в пределах страницы, нападавший пересылает клиента к странице под управлением на внешнем сервере (<http: // evilsite.com/phishing/fakepage.htm>).

    Смишинг

    Онлайновые мошенники в последнее время осваивают новое для себя направление - атаки на мобильные телефоны. Случаи массовой рассылки SMS, заманивающих пользователей на заранее подготовленные инфицированные сайты, наблюдались, например, в Исландии и Австралии. В тексте фальшивой SMS пользователю сообщается о том, что он подписан на платную услугу и с его счета будет удерживаться 2 долл. ежедневно и если он хочет отказаться от данной услуги, то должен зайти на сайт. На сайте пользователей ожидает троянская программа, написанная на VBS, которая открывает хакерам лазейку на зараженный ею компьютер и начинает автоматическую рассылку SMS на случайные номера, через соответствующие web-сервисы двух сотовых операторов в Испании.

    Фарминг

    Фарминг - это перенаправление жертвы по ложному адресу. Для этого может использоваться некая навигационная структура (файл hosts, система доменных имен - domain name system, DNS).

    Как это происходит?

    Механизм фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает почтовое сообщение или посещает некий web-сервер, на котором выполняется вирус-сценарий. При этом искажается файл hosts. Вредоносная программа может содержать указатели URL многих банковских структур. В результате механизм перенаправления активизируется, когда пользователь набирает адрес, соответствующий его банку. В результате жертва попадает на один из ложных сайтов.

    Механизмов защиты от фарминга на сегодня просто не существует. Необходимо внимательно следить за получаемой почтой, регулярно обновлять антивирусные базы, закрыть окно предварительного просмотра в почтовом клиенте и т.д.

    "Вишинг"

    В июле 2006 года появилась новая разновидность фишинга, тут же получившая название «вишинг».

    "Вишинг" (vishing) назван так по аналогии с "фишингом" - распространенным сетевым мошенничеством, когда клиенты какой-либо платежной системы получают сообщения по электронной почте якобы от администрации или службы безопасности данной системы с просьбой указать свои счета, пароли и т.п. При этом ссылка в сообщении ведет на поддельный сайт, на котором и происходит кража информации. Сайт этот уничтожается через некоторое время, и отследить его создателей в Internet достаточно сложно
    Схемы обмана, в общем-то, идентичны, только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер телефона. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.

    Владельцев такого номера найти не просто, так как с развитием Internet-телефонии звонок на городской номер может быть автоматически перенаправлен в любую точку земного шара. Звонящий же об этом не догадывается.

    Согласно информации от Secure Computing, мошенники конфигурируют «war dialler» («автонабиратель»), который набирает номера в определенном регионе и, когда на звонок отвечают, происходит следующее:

    • автоответчик предупреждает потребителя, что с его картой производятся мошеннические действия, и дает инструкции - перезвонить по определенному номеру немедленно. Это может быть номер 0800, часто с выдуманным именем звонившего от лица финансовой организации; ​
    • когда по этому номеру перезванивают, на другом конце провода отвечает типично компьютерный голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона; ​
    • как только номер введен, «вишер» становится обладателем всей необходимой информации (номер телефона, полное имя, адрес), чтобы, к примеру, наложить на карту штраф; ​
    • затем, используя этот звонок, можно собрать и дополнительную информацию, такую как PIN-код, срок действия карты, дата рождения, номер банковского счета и т.п. ​
    Как защититься от этого? Прежде всего, с помощью здравого смысла, а именно: ​
    • ваш банк (или кредитная компания, картой которой вы пользуетесь) обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то, скорее всего, это мошенничество; ​
    • нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному вам номеру телефона. Для звонков в экстренных случаях вам предоставляется телефонный номер на обратной стороне вашей платежной карточки. Если звонок законный, то в банке сохраняется его запись и вам помогут; ​
    • если же вам звонит некто, представляющийся вашим провайдером и задает вопросы, касающиеся ваших конфиденциальных данных - повесьте трубку. ​

    Пока серьезных инцидентов такого рода еще не отмечено. Но только пока...

    Заключение

    В данной статье не ставилась цель описать методы противодействия фишингу. На самом деле существует только один метод защиты - прекратить пересылку конфиденциальной информации через незащищенные каналы связи. Но на сегодня это выглядит нереальным. Поэтому я предлагаю вам просто быть как можно внимательнее и не доверять свои секреты тем, кому вы не можете доверять в принципе.

    Литература

    1. Смишинг: новый вид обмана пользователей http://www.upmark.ru/news.shtm?id=22391&slid=news
    2. Мошенничество с помощью фарминга: перенаправление на фальшивые сайты http://www.microsoft.com/rus/athome/security/privacy/pharming.mspx
    3. Фишинг, вишинг, фарминг... Безмалый Владимир Мир Пк №12 2006 http://www.osp.ru/pcworld/2006/12/4064453/
    4. Полстакана Internet, Антон Одарюк http://www.internetua.com/article/money/641/

    Словарь

    Фишинг (англ. phishing, от password - пароль и fishing - рыбная ловля, выуживание) - вид Internet-мошенничества, цель которого - получить идентификационные данные пользователей. Организаторы фишинг-атак используют массовые рассылки электронных писем от имени популярных сайтов. В эти письма они вставляют ссылки на фальшивые сайты, являющиеся точной копией настоящих. Оказавшись на таком сайте, пользователь может сообщить преступникам ценную информацию, позволяющую управлять его счетом из Internet (имя пользователя и пароль для доступа), или даже номер своей кредитной карты.

    SMiShing - случаи массовой рассылки фальшивых SMS, заманивающих пользователей на инфицированный web-сайт.

    Вишинг - (vishing) назван по аналогии с "фишингом". Схемы, по которым обманывают пользователей, в обоих случаях похожи, только в случае "вишинга" в сообщении содержится просьба не зайти на сайт, а позвонить на городской телефонный номер. Тем, кто позвонил на него, зачитывается сообщение с просьбой сообщить конфиденциальные данные.

    Фарминг - при фарминге хакеры перенаправляют Internet-трафик с одного сайта на другой, имеющий идентичный вид, чтобы обманом заставить пользователя ввести имя пользователя и пароль в базу данных на фальшивом сервере.
     
    Последнее редактирование модератором: 4 янв 2013
    SNS-amigo, akok, machito и 5 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Фарминг: Просто о сложном

    Дополню статью Владимира Безмалого небольшой статьей, содержимое которой, надеюсь, будет понятно даже подрастающему поколению интернет-пользователей...

    С развитием онлайн-банкинга и различных интернет-сервисов, предназначенных собирать пользователей в различные социумы, атаки на браузер и, как следствие, на персональную, вводимую пользователями информацию, только усиливаются и усложняются. Фарминг как раз относится к тем коварным видам мошенничества, которые удается распознать не сразу.

    Термин «фарминг» обязан своим происхождением контаминации английских слов «phishing», «farm» и «farming», в котором понятия смешались не столько по прямому смыслу, сколько по общему — «рыбалка на деревенских простаков». Если обычный фишинг можно назвать лохотроном, то фарминг – это, грубо говоря, быдлотрон, т.е. фишинг, расчитанный на простаков, которые тупо, раз за разом, вводят свои персональные данные в предложенную им онлайн-форму, делая это буквально под диктовку мошенников.

    На практике фарминг — это процедура скрытого перенаправления браузера на ложный веб-адрес. Пользователь открывает страницу, по которой он ходил не один раз, а специальная вредоносная программа перенаправляет его на внешне похожую копию, заготовленную мошенниками для похищения персональной информации. В результате привычной для пользователя процедуры ввода данных для авторизации на сайте мошенники получат нужную информацию или выведут со счета средства клиента.

    Технически данный метод мошенничества может быть реализован несколькими способами. Различаются они по популярности и сложности реализации.

    1-й способ. Заражением записей DNS на локальном ПК. Используя троянские модули, скрытые в различных программах, злоумышленники подменяют данные локального кэша DNS так, чтобы при вводе имени нужного веб-сайта открывалась фальшивая страница, которая в точности копирует настоящую. Банальная неосторожность пользователей, многократно помноженная на тщеславии и человеческих слабостях, способствует успешной реализации этого самого популярного среди мошенников способа фарминга.

    2-й способ. Заражением записей DNS на сервере. Посредством кражи кэша часто используемых записей DNS, хранимого интернет-провайдерами, пользователи, набравшие правильный веб-адрес, перенаправляются на фальшивый веб-сайт. В итоге пользователь, авторизуясь на поддельном ресурсе, сам выдает злоумышленникам свои данные, или этому способствует программа-шпион, загруженная на компьютер. Но заражение DNS на этом уровне усложнено тем, что серверы интернет-провайдеров неплохо защищены, и потому этот способ менее популярен. Хотя одна такая успешная атака позволяет преступникам снять богатый урожай и получить сразу всю клиентскую базу компании.

    3-й способ. Взломом официальных сайтов компаний. После взлома хакеры встраивают в код страниц сценарии, манипулирующие браузерами посетителей. В итоге, пользователь переходит по ссылке на поддельный сайт, копирующий страницы оригинального, или поверх нужного ресурса открывается другое окно браузера, маскирующееся под окно ввода данных. Кроме того, вредоносные сценарии часто эксплуатируют уязвимость в безопасности браузера с целью массового заражения ПК всех посетителей сайта.

    Фармингу подвержены крупнейшие социальные сети «Вконтакте» и «Одноклассники». Причем, в этих социальных сетях действует не только банальный первый способ, при котором сами пользователи загружают вредоносное троянское приложение, но и третий, когда мошенникам и хакерам путем несложных манипуляций и доступа к базе данных, удаётся получить доступ к аккаунтам огромного числа пользователей.

    В случаях, когда факт явной работы одной их схем фарминга налицо, перед пострадавшими пользователями встает сложная задача поиска вредоносного приложения и избавления от него. К сожалению, в самих соц.сетях работа по защите от фарминга сводится лишь к банальной схеме восстановления аккаунта, которая так же с успехом давно освоена и продублирована мошенниками, специализирующимися на одном из способов фарминга. Потому без внешнего избавления от вредоносной программы, проникшей на компьютер жертвы и имеющей доступ к нему после авторизации на сайте и входа в учетную запись, тут никак не обойтись.

    Благо существует этот сайт – SafeZone.cc, где не только избавляют от последствий фарминга, но и стараются предотвратить пользователей от последующих атак и мошеннических схем. :good2:
     
    7 пользователям это понравилось.
  3. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    SafeZone.cc :victory:
     
    Последнее редактирование: 25 май 2013
    3 пользователям это понравилось.

Поделиться этой страницей