Искусство цифровой самозащиты - Дмитрий Александрович Артимович Страница 17
Искусство цифровой самозащиты - Дмитрий Александрович Артимович читать онлайн бесплатно
Переход к финансовым учреждениям
Захват учетных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платежные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платежную систему e-gold в июне 2001 года, второй – атака, прошедшая вскоре после теракта 11 сентября. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал.
Фишинг сегодня
Целью фишеров сегодня являются клиенты банков и электронных платежных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях.
Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей. В 2006 году компьютерный червь разместил на MySpace[40] множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных. В мае 2008 года первый подобный червь распространился и в популярной российской социальной сети «ВКонтакте». По оценкам специалистов, более 70 % фишинговых атак в соцсетях успешны.
Фишинг стремительно набирает обороты, но оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году ущерб составил 2,8 млрд долларов, в 2007-м – 3,2 миллиарда.
Техника фишинга
Социальная инженерия
Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. К примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счету…», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.
Веб-ссылки
Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.
Например, https://www.yourbank.example.com похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространенная уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Дело в том, что HTML позволяет указывать разными реальную ссылку и видимую часть, чем и пользуются мошенники. Кстати, любой браузер и многие почтовые клиенты показывают реальную ссылку внизу окна при наведении.
Один из старых методов обмана заключается в использовании ссылок, содержащих символ @, который применяется для включения в ссылку имени пользователя и пароля. Например, ссылка http://www.google.com@members.tripod.com приведет не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer, а Mozilla Firefox и Opera выдают предупреждение и предлагают подтвердить переход на сайт.
Еще одна проблема была обнаружена при обработке браузерами интернациональных доменных имен: адреса, визуально идентичные официальным, могли вести на сайты мошенников. Например, в домен sber.ru можно вставить русскую букву E вместо английской.
Обход фильтров
Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга.
Новые угрозы
Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определенному номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счета и PIN-код. К тому же вишеры, используя фальшивые номера, могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счета. В итоге человека также попросят сообщить его учетные данные.
Набирает свои обороты и СМС-фишинг, также известный как смишинг (англ. SMiShing – от SMS и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт. Входя на него и вводя свои личные данные, жертва таким образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определенному номеру для решения «возникших проблем».
QR-коды
Помните, как в 2021 году мэрия Москвы при поддержкe Минцифры решилa в очередной раз блеснуть своей глупостью и ввелa QR-коды для посещения заведений общепита?
Технология QR-кода достаточно проста: в нем закодирована ссылка на внешний сайт. В примере с сертификатами вакцинации ссылка вела на портал Госуслуг, где была простенькая страничка, отображавшая, что сертификат действителен.
Почему я вдруг поднял эту тему? А всё просто: если взять технику фишинга, т. е. скопировать страничку, вставить туда нужные данные и разместить на каком-нибудь сайте типа gosuslugi.app – ни один проверяющий не заметит, что сайт ненастоящий. Честно признаться, в 2001-м я несколько раз проходил в кафе и рестораны по такому коду.
Я продемонстрировал, как легко подделать QR-код вакцинации газете «Коммерсантъ» и они написали статью «Неподменимых у нас нет». Тема была настолько больная, что поднялась настоящая буря в СМИ, да такая, что вызвала озабоченность даже в Кремле.
КАК НЕ ПОПАСТЬСЯ НА УДОЧКУ МОШЕННИКОВ?
1. Самое главное правило – компании и сервисы не запрашивают вашу конфиденциальную информацию по электронной почте. Если вы видите призыв зайти и что-то ввести – на 99 % это фишинг.
2. Настоящие компании и сервисы обычно называют вас по имени. Мошенники же опускают обращение и пишут просто что-то вроде «Дорогой пользователь».
3. Настоящие компании и сервисы присылают письма со своих доменов. Обращайте внимание, от кого пришло письмо, если в доменном имени есть лишние буквы и опечатки.
4. Проверяйте ссылки, по которым вас просят перейти. Наведите мышкой на ссылку и проверьте, совпадает ли отображаемое имя с тем, куда реально ведет ссылка, и написана ли сама ссылка верно, без ошибок (смотри выше техники фишинга).
5. При любом малейшем подозрении в том, что вы получили фишинговое письмо, просто свяжитесь с компанией напрямую. Например, настоящий URL-адрес компании можно
Жалоба
Напишите нам, и мы в срочном порядке примем меры.