Фишинг

Материал из Википедии — свободной энциклопедии

Перейти к: навигация, поиск
Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «подтверждение авторизации»

Фи́шинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей (Facebook, Вконтакте), банков (Ситибанк, Альфа-банк), прочих сервисов (Rambler, Mail.ru). В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

Содержание

[править] История

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet[1][2], хотя возможно его более раннее упоминание в хакерском журнале 2600[3].

[править] Ранний фишинг на AOL

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам[4].

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль[5]. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических и спамерских целях. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку[6], и фишинг на серверах AOL постепенно сошёл на нет.

[править] Переход к финансовым учреждениям

Захват учётных записей AOL, позволявший получить доступ к данным кредитных карт, показал, что возможны атаки и на платёжные системы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября[7]. Обе попытки считаются неуспешными, но их можно рассматривать как эксперимент, проверку возможностей. Уже к 2004 году постоянно развивающийся фишинг стал наибольшей опасностью для организаций[8].

[править] Фишинг сегодня

Диаграмма роста числа зафиксированных случаев фишинга

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службой внутренних доходов, фишеры собрали значительные данные о налогоплательщиках[9]. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку[10]. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях[11].

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей[12]}: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных[13]; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте[14][15]. Доказано, что более 70 % фишинговых атак в социальных сетях — успешны[16].

[править] Техника фишинга

[править] Социальная инженерия

Основная статья: Социальная инженерия

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счету …», как правило, привлечёт внимание и заставит человека кликнуть веб-ссылку для получения подробной информации.

[править] Веб-ссылки

Пример фишингового письма от платёжной системы Яндекс.Деньги, где внешне подлинная веб-ссылка ведёт на фишинговый сайт

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространенная уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Обман».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля[17]. Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer[18], а Mozilla Firefox[19] и Opera выдают предупреждение и предлагают подтвердить переход на сайт.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

[править] Обход фильтров

Фишеры часто используют изображения вместо текста, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами[20].

[править] Веб-сайты

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки[21]. Это достигается либо путём размещения картинки с подлинным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с подлинным URL[22].

Злоумышленник может использовать уязвимости в скриптах подлинного сайта[23]. Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё, — от веб-адреса до сертификатов, выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году[24].

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах[25].

[править] Телефонный фишинг

Основная статья: Вишинг

Поддельные веб-сайты — не единственное направление фишинга. Письма, которые якобы отправлены из банка, сообщают пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами[26]. В ходе телефонного разговора фишеры убеждают пользователя сказать номер своего счёта и PIN-код. Для того, чтобы казалось, что звонок идёт из официальных организаций, вишеры (вишинг — голосовой фишинг) иногда используют фальшивые номера[27].

[править] Борьба с фишингом

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

[править] Обучение пользователей

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, получив письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров), было бы разумным связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, вместо использования любых гиперссылок в подозрительном сообщении лучше самостоятельно ввести веб-адрес организации в адресную строку браузера[28]

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга[29]. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали[30], что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения[31]. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали[32].

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами[33]. Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.

[править] Технические методы

[править] Браузеры, предупреждающие об угрозе фишинга

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera[34][35][36][37]. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer[38].

В 2006 году появилась методика использования специальных DNS сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере[39] и близок использованию hosts-файла для блокировки рекламы.

[править] Усложнение процедуры авторизации

Сайт Bank of America[40][41] предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля[42][43].

[править] Борьба с фишингом в почтовых сообщениях

Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем[44][45].

[править] Услуги мониторинга

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов[46]. Физические лица могут помогать подобным группам[47] (например PhishTank[48]), сообщая о случаях фишинга.

[править] Юридические меры

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток из Калифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтом AOL, и краже данных кредитных карт[49]. Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, в Бразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговых преступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США[50]. В июне 2005 года власти Великобритании осудили двух участников интернет-мошенничества[51] . В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США)[52]. Аресты продолжались в 2006 году — в ходе спецоперации ФБР задержало банду из шестнадцати участников в Европе и США[53].

В Соединенных Штатах Америки 1 марта 2005 года сенатор Патрик Лехи представил Конгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет[54]. В Великобритании был принят Закон о мошенничестве 2006 года[55], предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а так же запрещающий владение или разработку фишинговых инструментов для совершения мошенничества[56].

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительства Австралии по обучению сотрудников правоохранительных органов борьбе с различными кибер-преступлениями, в том числе фишингом[57].

В январе 2007 года Джеффри Бретт Гудин из Калифорнии был признан виновным в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использование товарных знаков AOL, он был приговорен к 70 месяцам заключения[58][59][60][61].

[править] Примечания

  1. Cave Paintings Phishing (англ.). Проверено 21 ноября 2008.
  2. Usenet (англ.). — 2 января 1996 г.. Проверено 21 ноября 2008.
  3. The Phishing Guide (англ.). Проверено 21 ноября 2008.
  4. phishing (англ.) (1 августа 2003). Проверено 21 ноября 2008.
  5. Michael Stutz AOL: A Cracker's Paradise? (англ.) (29 января 1998). Проверено 21 ноября 2008.
  6. History of AOL Warez (англ.). Проверено 21 ноября 2008.
  7. GP4.3 - Growth and Fraud - Case #3 - Phishing (англ.) (30 декабря 2005). Проверено 21 ноября 2008.
  8. Kate Stoodley In 2005, Organized Crime Will Back Phishers (англ.) (23 декабря 2004). Проверено 21 ноября 2008.
  9. Suspicious e-Mails and Identity Theft (англ.). Internal Revenue System (13 июня 2008). Проверено 21 ноября 2008.
  10. Markus Jakobsson, Tom N. Jagatic, Sid Stamm Phishing for Clues (англ.). Проверено 21 ноября 2008.
  11. Dan Goodin Fake subpoenas harpoon 2,100 corporate fat cats (англ.) (16 апреля 2008). Проверено 21 ноября 2008.
  12. Jeremy Kirk Phishing Scam Takes Aim at MySpace.com (англ.). IDG News Service. Проверено 21 ноября 2008.
  13. MySpace XSS QuickTime Worm (англ.) (12 января 2006). Проверено 21 ноября 2008.
  14. Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса. РИА Новости (16 мая 2008). Проверено 21 ноября 2008.
  15. В контакте с вирусом. Коммерсантъ (25 сентября 2008). Проверено 21 ноября 2008.
  16. Tom Jagatic, Nathaniel Johnson, Markus Jakobsson, Filippo Menczer Social Phishing (англ.) (12 декабря 2005). Проверено 21 ноября 2008.
  17. Berners-Lee, Tim Uniform Resource Locators (URL). IETF Network Working Group. Проверено 28 января 2006.
  18. Microsoft A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs. Microsoft Knowledgebase. Проверено 28 августа 2005.
  19. Fisher, Darin Warn when HTTP URL auth information isn't necessary or when it's provided. Bugzilla. Проверено 28 августа 2005.
  20. Mutton, Paul Fraudsters seek to make phishing sites undetectable by content filters. Netcraft. Проверено 10 июля 2006.
  21. Mutton, Paul Phishing Web Site Methods. FraudWatch International. Проверено 14 декабря 2006.
  22. Phishing con hijacks browser bar, BBC News (8 апреля 2004).
  23. Krebs, Brian Flaws in Financial Sites Aid Scammers. Security Fix. Проверено 28 июня 2006.
  24. Mutton, Paul PayPal Security Flaw allows Identity Theft. Netcraft. Проверено 19 июня 2006.
  25. Miller, Rich Phishing Attacks Continue to Grow in Sophistication. Netcraft. Проверено 19 декабря 2007.
  26. Gonsalves, Antone. Phishers Snare Victims With VoIP, Techweb (April 25, 2006).
  27. Identity thieves take advantage of VoIP, Silicon.com (21 марта 2005).
  28. Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. (ноябрь 2006). Проверено 14 ноября 2006.
  29. Protect Yourself from Fraudulent Emails. PayPal. Проверено 7 июля 2006.
  30. Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. What Instills Trust? A Qualitative Study of Phishing. (PDF). USEC '06.
  31. Zeltser, Lenny Phishing Messages May Include Highly-Personalized Information. The SANS Institute (17 марта 2006). Проверено 2 февраля 2009.
  32. Markus Jakobsson and Jacob Ratkiewicz Designing Ethical Phishing Experiments. WWW '06.
  33. Kawamoto, Dawn Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats.. ZDNet India (4 августа 2005).
  34. Franco, Rob Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers. IEBlog. Проверено 2 февраля 2009.
  35. Bon Echo Anti-Phishing. Mozilla. Проверено 2 февраля 2009.
  36. Safari 3.2 finally gains phishing protection. Ars Technica (13 ноября 2008). Проверено 2 февраля 2009.
  37. Gone Phishing: Evaluating Anti-Phishing Tools for Windows, 3Sharp (27 сентября 2006). Проверено 2 февраля 2009.
  38. Firefox 2 Phishing Protection Effectiveness Testing. Проверено 2 февраля 2009.
  39. Higgins, Kelly Jackson DNS Gets Anti-Phishing Hook. Dark Reading. Проверено 2 февраля 2009.
  40. Bank of America How Bank of America SiteKey Works For Online Banking Security. Проверено 2 февраля 2009.
  41. Brubaker, Bill. Bank of America Personalizes Cyber-Security, Washington Post (14 июля 2005).
  42. Stone, Brad Study Finds Web Antifraud Measure Ineffective. New York Times (5 февраля 2007). Проверено 2 февраля 2009.
  43. Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF). IEEE Symposium on Security and Privacy, May 2007 (May 2007). Проверено 2 февраля 2009.
  44. Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya Phishing E-mail Detection Based on Structural Properties (PDF). NYS Cyber Security Symposium (март 2006). Проверено 3 февраля 2009.
  45. Ian Fette, Norman Sadeh, Anthony Tomasic Learning to Detect Phishing Emails (PDF). Carnegie Mellon University Technical Report CMU-ISRI-06-112 (июнь 2006). Проверено 3 февраля 2009.
  46. Anti-Phishing Working Group: Vendor Solutions. Anti-Phishing Working Group. Проверено 3 февраля 2009.
  47. McMillan, Robert. New sites let users find and report phishing, LinuxWorld (28 марта 2006). Проверено 3 февраля 2009.
  48. Schneier, Bruce PhishTank. Schneier on Security (5 октября 2006). Проверено 3 февраля 2009.
  49. Legon, Jeordan. 'Phishing' scams reel in your identity, CNN (26 января 2004). Проверено 3 февраля 2009.
  50. Leyden, John. Brazilian cops net 'phishing kingpin', The Register (21 марта 2005).
  51. Roberts, Paul. UK Phishers Caught, Packed Away, eWEEK (27 июня 2005).
  52. 8 held over suspected phishing fraud, The Daily Yomiuri (31 мая 2006).
  53. Phishing gang arrested in USA and Eastern Europe after FBI investigation. Проверено 3 февраля 2009.
  54. Phishers Would Face 5 Years Under New Bill, Information Week (2 марта 2005).
  55. Fraud Act 2006. Проверено 3 февраля 2009.
  56. Prison terms for phishing fraudsters, The Register (14 ноября 2006).
  57. Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime. Проверено 3 февраля 2009.
  58. Prince, Brian. Man Found Guilty of Targeting AOL Customers in Phishing Scam, PCMag.com (18 января 2007).
  59. Leyden, John. AOL phishing fraudster found guilty, The Register (17 января 2007).
  60. Leyden, John. AOL phisher nets six years' imprisonment, The Register (13 июня 2007).
  61. Gaudin, Sharon. California Man Gets 6-Year Sentence For Phishing, InformationWeek (12 июня 2007).

[править] См. также

Источник — «http://ru.wikipedia.org/wiki/%D0%A4%D0%B8%D1%88%D0%B8%D0%BD%D0%B3»