Современные браузеры. Защита от фишинга

Тема в разделе "Новости информационной безопасности", создана пользователем cybercop, 4 янв 2013.

  1. cybercop
    Оффлайн

    cybercop Ассоциация VN

    Сообщения:
    317
    Симпатии:
    493
    Большинство злоумышленников в Интернете при атаке в той или иной мере используют приемы социальной инженерии. Какой браузер защищает от них лучше?


    Cтоит учесть, что наиболее развитой формой мошенничества в Сети, несомненно, является фишинг. Об этом уже было немало написано (см. статью «Фишинг, вишинг, фарминг...», «Мир ПК», №12/06, с. 82). Согласно отчету APWG (Anti-Phishing Work Group), во втором полугодии 2010 г. было зарегистрировано 67 677 фишинговых атак. Это почти на треть больше, чем в первом полугодии 2010 г.

    Чем успешнее становится защита от атак на те или иные уязвимости, тем чаще злоумышленники понимают, что самое слабое звено в обороне - человек. Теоретически помочь невнимательному и беззаботному пользователю могут антифишинговые технологии, применяемые в современных браузерах, так как фактически первой линией обороны в данном случае выступает сам браузер. Именно такие технологии и будут рассмотрены в данной статье.

    Антифишинговая защита в Opera

    В этом браузере для защиты от фишинга используется функция «Защита от мошенничества» (Fraud and Malware Protection), включеннная по умолчанию. В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал (https): передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft (www.netcraft.com) и PhishTank (www.phishtank.com), а также в списках сайтов с вредоносным ПО, которые ведет «Яндекс».

    Если доменное имя совпадет с именем из черного списка, сервер Fraud and Malware Protection возвратит браузеру XML-документ, в котором будет описана проблема (фишинг или вредоносное ПО).

    При этом необходимо учесть:
    - Opera Fraud and Malware Protection server не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию. Никакая сессионная информация, включая cookies, не сохраняется;
    - в любое время можно отключить функцию «Защита от мошенничества» в меню «Настройки - Расширенные (Crtl-F12) - Безопасность».

    [​IMG]
    Антифишинговый фильтр в Opera

    Если веб-сайт найден в черном списке, в браузере откроется страница с предупреждением. Пользователю придется решить, посещать эту подозрительную страницу или вернуться на свою домашнюю. Механизм защиты от мошенничества не оказывает никакого воздействия на скорость открытия веб-страниц.

    [​IMG]
    Предупреждение о мошенничестве в Opera

    Защита от фишинга и вредоносного ПО в Google Chrome

    Функция безопасного просмотра Google Chrome, отвечающая за обнаружение фишинга и вредоносного ПО, включена по умолчанию. При попытке посещения сайта, подозреваемого в фишинге или распространении вредоносного ПО, браузер показывает предупреждение.

    [​IMG]
    Предупреждение о фишинговом сайте в Google Chrome

    Принцип ее работы состоит в следующем. В браузер загружается список с информацией о сайтах, которые могут содержать вредоносное ПО или подозреваются в фишинге. Этот список не содержит полные адреса URL каждого подозрительного сайта. Вместо этого каждый URL хэшируется (изменяется таким образом, что его нельзя прочесть) и разделяется на фрагменты. Только часть каждого хэшируемого URL включается в список в браузере.

    При работе в Интернете браузер создает хэшированные версии посещаемых URL и проверяет их в соответствии со списком. Если адрес посещаемого сайта соответствует хэшированному фрагменту URL в списке, браузер свяжется с серверами Google и запросит полный список (а не только фрагменты) хэшированных URL подозрительных страниц. Затем компьютер определит, является ли сайт подозрительным, и выведет соответствующее предупреждение.

    Отключить эту функцию можно в меню «Параметры – Расширенные – Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносного ПО».

    Защита от фишинга в Firefox

    Технология Phishing and Malware Protection проверяет по базе фишинговых и вредоносных сайтов страницы, на которые собирается перейти пользователь. База хранится на компьютере пользователя и обновляется каждые 30 мин, если, конечно, включен сам фильтр Phishing and Malware Protection. А если обнаружено совпадение адреса со списком фишинговых сайтов или сайтов, содержащих вредоносное ПО, Firefox обращается к серверам компаний-партнеров, предоставляющих такие черные списки, и перед блокировкой страницы еще раз перепроверяет, не был ли удален сайт из базы после последнего ее обновления.

    Фильтр Phishing and Malware Protection включен по умолчанию.

    [​IMG]
    Предупреждение Firefox о переходе на сайт, cодержащий вредоносное ПО

    Защита от фишинга и вредоносного ПО в Safari

    По умолчанию модуль защиты от фишинга в этом браузере включен. Для поиска фишинговых сайтов он использует технологии Google.
    Как только пользователь пытается открыть подозрительную страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносного ПО. При наличии совпадения пользователь должен увидеть страницу с предупреждением.

    [​IMG]
    Предупреждение о переходе на сайт, содержащий вредоносное ПО,
    в браузере Safari

    Фильтр SmartScreen в Internet Explorer 9

    Начиная с Internet Explorer 8 в состав IE входит фильтр SmartScreen -- набор технологий, предназначенный для защиты пользователей от возможных интернет-угроз, в том числе угроз социальной инженерии. Базируется SmartScreen на технологии фишингового фильтра и предназначен для защиты пользователей от известных вредоносных веб-узлов. Кроме того, данный фильтр включает защиту от ClickJacking, технологии, применяемой для перехвата клавиш, искажения веб-страниц и т.д. По умолчанию он включен.

    Фильтр SmartScreen в Internet Explorer 9 использует сразу несколько технологий. В первую очередь происходит сравнение адреса посещаемого сайта со списком известных мошеннических и вредоносных сайтов. Если сайт найден в этом списке, больше проверок не производится. В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов. Причем доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц. Однако обращение к данной службе пользователь может запретить.

    Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список не подвергаются проверке фильтром SmartScreen.

    Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URS могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

    [​IMG]
    Предупреждение, выдаваемое фильтром SmartScreen в IE9 при попытке
    зайти на небезопасный сайт

    Результаты тестирования работы антифишинговых фильтров в браузерах

    В октябре 2010 г. компания NSS Labs провела тестирование работы антифишинговых фильтров в браузерах:
    • Apple® Safari® 5
    • Google Chrome™ 6
    • Windows® Internet Explorer® 8
    • Windows® Internet Explorer® 9
    • Mozilla® Firefox® 3.6
    • Opera™ 10​

    Результаты тестирования приведены в табл. 1.

    [​IMG]

    Более подробный отчет доступен по адресу www.nsslabs.com/assets/noreg-reports/NSS Labs_Q32010_Browser-SEM.pdf (на английском языке).

    Однако с момента создания данного отчета прошло время, у некоторых продуктов появились новые версии. Что же изменилось?

    Чтобы ответить на этот вопрос, мы протестировали возможности самых свежих версий браузеров (табл.2). Для этого была отобрана небольшая коллекция из 23 фишинговых сайтов. Ссылки были предоставлены сотрудниками одной из российских антивирусных лабораторий.

    Для проведения теста была создана html-страница, на которой находились ссылки на все 23 фишинговых сайта. Для того чтобы убедиться в том, что ссылки «живые», предварительно каждая из них была открыта с выключенным фишинговым фильтром.

    Затем каждая из ссылок открывалась по очереди в браузерах. Если соответствующий сайт открывался, значит, фишинговый фильтр пропустил ссылку.

    [​IMG]

    Данные результаты ни в коем случае нельзя считать исчерпывающими из-за малой выборки фишинговых сайтов, однако вместе с тем стоит отметить, что IE 9, безусловно, сохраняет лидерство. Более того, ни один из браузеров, участвующих в тесте, не сумел существенно улучшить свои результаты по сравнению с полугодом ранее.

    Тестирование попыток загрузки вредоносного ПО

    Для данного тестирования использовалась коллекция из 24 ссылок на вредоносное ПО (табл.3).

    Ссылки на вредоносное ПО брались из коллекции сайта http://malware.pl за 12 мая 2011 г. Были выбраны первые 24 «живые» ссылки из списка.

    [​IMG]

    Таким образом, можно сделать вывод о том, что ни один из браузеров пока не в состоянии обеспечить полную защиту от атак социальной инженерии и, в частности, от фишинга, а также от загрузки вредоносного ПО из Интернета. Хотя Internet Explorer и справляется с данной задачей гораздо лучше прочих, все же не следует слепо доверять браузеру - пользователям самим стоит быть внимательнее при работе в Сети.

    Владимир Безмалый
    «Мир ПК»​
     
    Последнее редактирование модератором: 6 янв 2013
    4 пользователям это понравилось.
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Тестирование защиты от фишинга в web-браузерах

    Известная некоммерческая организация AV-Comparatives (расположенная в Австрии) предлагает нашему вниманию результаты своего тестирования встроенной защиты web-браузеров от "фишинга". Среди множества различных web-сайтов, как известно, попадаются и такие, где пользователя пытаются "развести" в рамках какой-либо мошеннической схемы. Вот именно защиту от таких Интернет-ресурсов и решили протестировать австрийские исследователи: забьёт ли тревогу web-браузер при переходе по мошеннический сайт?

    Тестирование производилось параллельно на нескольких компьютерах с установленной 64-разрядной версией операционной системы Windows 7 (с SP1) и следующими версиями web-браузеров (с настройками по умолчанию):

    • Apple Safari 5.1.7.7534.57.2
    • Google Chrome 23.0.1271.97
    • Internet Explorer 9.0.9112.16421/9.0.12
    • Opera 12.11.1661
    • Mozilla Firefox 17.0.1

    Для проверки web-браузерам "скармливались" 294 различные ссылки, ведущие на фишинговые сайты. После чего вырисовалась следующая картина:

    [​IMG]

    На первом месте очутился браузер Opera с показателем 94,2% успешно распознанных мошеннических ресурсов. На втором месте - Internet Explorer (82%), на третьем - Google Chrome (72,4%). А вот у Apple Safari (65,6%) и Mozilla Firefox (54,8%) дела обстоят не очень хорошо. Впрочем, не стоит забывать, что эти цифры не являются прямым показателем защищённости браузера, поскольку с помощью изменения выставленных по умолчанию настроек вы наверняка можете вносить в данные цифры существенные коррективы.

    Источник
     
    2 пользователям это понравилось.

Поделиться этой страницей