Перейти к содержимому

Фотография

Фишинг и методы защиты от него

- - - - -

  • Авторизуйтесь для ответа в теме

#1
admin

Отправлено 19 ������ 2009 - 08:36

admin

    Самый главный тут

  • Администраторы
  • 9�615 сообщений
Самой популярной формой мошенничества в Сети на данный момент является фишинг. Киберпреступники используют мошеннические веб-сайты, перехватчики клавиатуры, почтовые сообщения, которые составлены согласно правилам социальной инженерии и др. С каждым днем эти методы становятся более разнообразными и опасными.
Как сообщает сайт Internetua.com, со ссылкой на отчет APWG (Anti-Phishing Work Group Phishing Activity Trends Report 2nd Half), число ресурсов, ориентированных на хищение личных данных, во второй половине прошлого года возросло в десять раз.

В июне этого года департамент внешних и общественных связей Центробанка России объявил о появлении в российском сегменте интернета сайтов, которые имитируют представительства реально существующих кредитных организаций. Стиль оформления и доменные имена этих веб-сайтов, чаще всего очень походили на официальные сайты соответствующих структур. При этом пользователям, посетившим эти ресурсы, предлагается заведомо поддельная контактная информация и банковские реквизиты. Использование этих данных и вступление с представителями таких сайтов в деловые отношения сопряжено с риском и способно привести к плачевным последствиям для клиентов, предупреждают в ЦБ. Это доказывает, что фишинговые атаки становятся сейчас все более актуальной проблемой, поэтому стоит более подробно исследовать их суть и методы защиты от них.

Фишинг, согласно определению компании Dr. Web, представляет собой технологию мошенничества в Сети, которая заключается в хищении персональной закрытой информации, к примеру, данных идентификационных и банковских карт, паролей доступа и др. С помощью почтовых «червей» и спамерских рассылок потенциальным жертвам присылаются письма от лица, якобы, легальных организаций. В этих письмах их просят посетить поддельный сайт и подтвердить PIN-коды, пароли и прочую личную информацию, которая в будущем будет использоваться мошенниками для кражи со счета жертвы денег или других преступлений.

По информации компании Websense, самым популярным инструментом для создания фишинг-ресурсов является Rock Phish Kit. В данный момент ситуация с фишингом очень напоминает ситуацию, которая была несколько лет назад при написании вредоносных кодов, когда появились их конструкторы.

Суть фишинга заключается в следующем: злоумышленник, обманывая пользователя, вынуждает его предоставить персональную информацию (сведения о банковских картах, имена и пароли к различным ресурсам и др). Основным отличием этого типа мошенничества является добровольное предоставление пользователем своих сведений. Чтобы этого добиться, мошенники активно используют прием социальной инженерии.

Современный фишинг можно поделить на 3 вида: онлайновый, почтовый и комбинированный. Наиболее старым является почтовый фишинг: на адрес получателя присылается письмо с просьбой выслать какие-то сведения.

Онлайновый фишинг подразумевает следующую схему: мошенники копируют официальные ресурсы, используя схожие доменные имена и дизайн. Дальше все просто. Пользователь, посетивший такой ресурс, может оставить тут свои данные в полной уверенности, что они попадут в надежные руки. На самом деле, эти сведения оказываются в руках киберпреступников. К счастью, сейчас наблюдается тенденция к повышению знаний пользователей об элементарных мерах информационной безопасности, поэтому данная схема мошенничества постепенно теряет свою актуальность.

Третий вид – комбинированный. Его суть заключается в создании фальшивого сайта реальной организации, на который мошенники пытаются заманить потенциальных жертв. В этом случае злоумышленники предлагают пользователям самостоятельно произвести некоторые операции. В интернете практически каждый день появляются предупреждения о подобных ресурсах, которые делают данные способы мошенничества хорошо известными. В связи с этим мошенники стали чаще использовать key-loggers – это специальные программы, которые отслеживают нажатия пользователем клавиш и отсылают эти сведения по заранее установленным адресам.

На территории СНГ первая фишинг-атака была зафиксирована в 2004 году. Она была направлена на клиентов московского отделения «Ситибанка».

Вишинг.

Первый случай этого интернет-мошенничества была зафиксирован в 2006 году. Он представляет собой разновидность фишинга и реализуется с использованием war diallers (автонабирателей), а также интернет-телефонии (VoIP). С помощью данного вида мошенничества злоумышленники получают доступ к персональной информации, вроде паролей, идентификационных и банковских карт и др. Схема обмана мало чем отличается от фишинга: пользователи платежной системы получают от якобы администрации сообщения по почте, в которых им рекомендуется прислать свои пароли и счета. Но если в случае с фишингом прилагается ссылка на фальшивый сайт, то при фишинге пользователю предлагают позвонить по городскому номеру. При звонке зачитывается сообщение, в котором человека просят раскрыть свои конфиденциальные данные. Сложность в раскрытии этого вида мошенничества заключается в том, что развитие интернет-телфонии позволяет перенаправлять звонки на городской номер в любую точку мира, причем звонящий даже не будет об этом подозревать.

Компания Secure Computing рапортовала о самом изощренном способе обмана по схеме вишинга – электронная почта тут вообще не использовалась, так как злоумышленники запрограммировали ПК, чтобы тот набирал телефонные номера из базы данных и проигрывал заранее записанное сообщение, к котором абонента предупреждали, что сведения о его кредитной карте оказались в руках мошенников, поэтому ему необходимо с телефонной клавиатуры ввести номер.

Использование протокола VoIP позволяет существенно сократить расходы на телефонную связь, однако он же делает компании гораздо уязвимее для атак. Банки и иные организации, эксплуатирующие для голосовой связи IP-телефонию, могут подвергнуться вишинг-атакам, работающей защиты от которых пока нет. В частности, об этом говорил The Grugq - эксперт в области информационной безопасности, который выступил с сообщением о мошенничествах на конференции Hack In The Box Security Conference (HITB) в Малайзии. «Злоумышленники получат возможность свободно проникать в банковские сети и реализовывать контроль над банковскими телефонными каналами», - говорит Grugq. По его словам, вишинг-атаки через VoIP произойдут еще до конца 2009 года. Мошенники получат полный доступ к конфиденциальной информации, в том числе к учетным банковским данным и номерам кредитных карт. Помешать им сделать это могут лишь профи в сфере информационной безопасности. «Теоретически, клиент звонит в банк, а телефонная линия уже находится под контролем хакеров», - рассказывает The Grugq. В этом случае, мошенник просит звонящего сообщить некую учетную информацию, чтобы связаться со службой поддержки банка.

«Нет технологии, которая сможет гарантировать компаниям защиту от этой проблемы», - уверен эксперт, отметив, что действующие системы не могут определить VoIP-атаку. Чтобы ее организовать злоумышленникам требуется стандартное программное обеспечение для поддержки биллинга телефонных разговоров и IP-телефонии.

По информации Secure Computing, мошенники конфигурируют war dialler, набирающий номера в конкретном регионе. В момент ответа происходит следующее:

• Автоответчик информирует пользователя, что с его кредитной картой проводятся мошеннические действия и рекомендует быстро перезвонить по некоему номеру.
• После того как жертва перезванивает по номеру, там ему отвечает «компьютерный голос», говорящий, что пользователь должен пройти сверку и ввести номер карты с клавиатуры телефона.
• Как только номер карты введен, мошенник получает всю информацию (адрес, номер телефона, полное имя).
• Используя этот звонок, вишер может собрать и другую дополнительную информацию, вроде срока действия карты, PIN-кода, номера банковского счета и даты рождения.

Как защититься от подобного вида мошенничества? Есть несколько простых способов, которые обезопасят вас:

• Все кредитные организации по электронной почте или телефону обращаются к клиенту по имени и фамилии. Если в обращении это не указано, то, скорее всего, имеет место факт мошенничества.
• Ни в коем случае не звоните по вопросам безопасности банковского счета или кредитной карты по предложенному номеру телефона. На всех платежных картах указывается специальный телефонный номер, по которому вы и должны звонить.
• Если звонящий вам представляется вашим провайдером и задает вопросы относительно конфиденциальных данных, то он, скорее всего, мошенник.