Социальная инженерия и социальные хакеры - Игорь Симдянов

Примечание

Само слово "фишинг" происходит от английского fishing, что, в свою очередь, переводится как рыбалка. Такое название этому виду мошенничества дали потому, что он на самом деле очень напоминает рыбалку, так как фишер по сути забрасывает наживку (вернее, несколько сотен наживок) и ждет, пока на нее кто-то "клюнет".

Суть фишинга сводится к следующему. Злоумышленник заставляет пользователя предоставить ему какую-либо секретную информацию: информацию о банковских счетах, кредитных картах и т. д. Самое важное в том, что жертва совершает все эти действия абсолютно добровольно, – фишеры хорошие психологи и действуют четко.

Выделяют три основных вида фишинга:

• почтовый;

• онлайновый;

• комбинированный.

Почтовый фишинг появился первым, – об этом виде мошенничества общественность узнала еще в 1996 году.

Примечание

Тогда сразу несколько тысяч клиентов провайдера America Online получили электронные письма от "представителя компании" с просьбой выслать логин и пароль для входа в систему. И многие выслали.

Суть почтового фишинга в том, что жертве отправляется электронное письмо, в котором содержится просьба выслать те или иные конфиденциальные данные. К примеру, от имени интернет-провайдера с похожего (или идентичного) почтового адреса отправляется письмо, в котором написано, что по провайдеру нужно узнать логин и пароль для доступа в Интернет указанного пользователя, так как сам провайдер по тем или иным техническим причинам (база "рухнула") этого сделать не может. Более интересный пример связан с одним известным американским банком, клиенты которого однажды получили сообщения о том, что на их счет пришло большое перечисление (допустим несколько десятков тысяч долларов), и в соответствии с договором, так как сумма перечисления превышает сумму в $1000, им для подтверждения получения перевода необходимо пройти по ссылке, приведенной в конце письма, и ввести всю необходимую информацию для подтверждения перевода. В противном случае перевод будет отправлен назад. Мало кто смог побороть свою жадность, и несколько тысяч клиентов банка стали объектом фишинг-атаки.

Примечание

Это как раз тот случай, когда социальные хакеры блестяще сыграли на одном из людских пороков – жадности.

Онлайновый фишинг заключается в том, что мошенники один в один копируют какой-либо из известных сайтов, причем для него выбирается очень похожее доменное имя (или то же самое, только в другой зоне), и создается идентичный дизайн.

Примечание

В качестве приманки (аттракции) товары в этих поддельных интернет-магазинах продаются практически по демпинговым ценам, что неудивительно, ведь никто ничего на самом деле реально не продает.

Дальше происходит примерно следующее. Решив совершить в магазине покупку, пользователь вводит свои логин, пароль и номер пластиковой карты, после чего все эти данные становятся известными злоумышленнику. После чего мошенник незамедлительно "обнуляет" кредитную карточку жертвы.

Примечание

Данный вид фишинга иногда еще называют имитацией бренда (brand spoofing).

Комбинированный фишинг является объединением двух предыдущих видов фишинга. Его появление вызвано тем, что почтовый и онлайновый фишинг уже достаточно устарели, да и пользователи стали грамотнее в части информационной безопасности. Поэтому фишеры придумали другую тактику. Так же как в онлайновом фишинге создается поддельный сайт, а потом как в почтовом фишинге пользователям отсылаются письма с просьбой зайти на этот сайт.

Примечание

Это достаточно сильный психологический ход, благодаря которому комбинированный фишинг сразу же получил огромное распространение. Дело в том, что посетители стали настороженнее, и уже немногие просто так скажут свои пароли (хотя и такие встречаются). А в комбинированном фишинге эта настороженность как раз и снимается, благодаря тому, что в письме пользователя не просят сообщать какие-либо конфиденциальные данные, а просто просят зайти на сайт. Всего то. Пользователю просто предлагается зайти на какой-либо сайт, и самому проделать все необходимые операции.

Сейчас происходит самый настоящий бум фишинга. Об этом, в частности, могут свидетельствовать следующие цифры: всего с октября по январь 2005 года Федеральная комиссия США по торговле зарегистрировала более 10 млн (!) жалоб от пользователей, ставшими жертвами фишинг-атак. Общая же сумма убытков по данным этой же организации составила около $15 млрд за 2005 год.

Примечание

Естественно, законодательства всех стран оказались неприспособленными к этому новому виду мошенничества.

Из истории Российского фишинга

В России первый зарегистрированный случай фишинга датируется маем 2004 года, когда клиенты Сити-банка получили по электронной почте письма с просьбой зайти на сайт банка (лжесайт, естественно) и подтвердить номер своей карты и ПИН-код.

Фишеры в своей деятельности прекрасно используют связь с теми или иными событиями. К примеру, человеку точно в его день рождения приходит поздравительная открытка, в которой написано, что ему ко дню рождения банк, клиентом которого он является, в рамках проводимой акции "День Рождения" перечислил на счет $500. Для того чтобы их получить, нужно зайти на сайт банка (поддельный, естественно) и ввести необходимую информацию. Многие не чураются использовать и такие горестные для всех события, как крупные теракты или стихийные бедствия, когда различные организации просят людей перечислять деньги в фонд помощи пострадавшим. Просят и фишеры. По тем же схемам, что мы рассматривали: зайдите на сайт, зарегистрируйтесь и спишите какую-то сумму со своего счета.

Примечание

На момент написания книги единственным браузером оснащенным защитой от фишинга по умолчанию является Opera, начиная с версии 8.0.

В настоящее время многие IT-специалисты по всему миру заняты разработкой способов, позволяющих защититься от атак фишеров. Кроме того, что в браузерах будут создаваться черные списки фишинг-сайтов, предложено еще несколько способов.

• Генераторы одноразовых паролей

Поскольку суть фишинга состоит в получении паролей и банковских сведений, необходимых для доступа к электронным счетам пользователей, использование генераторов одноразовых паролей позволяет обойти этот вид мошенничества. Генератор одноразовых паролей на вид напоминает обычный небольшой карманный калькулятор. Когда пользователь заходит на сайт банка, для того чтобы получить доступ к своему счету, ему необходимо ввести показанную генератором последовательность символов. Банк применяет тот же алгоритм для создания пароля. Доступ предоставляется только в том случае, когда оба пароля совпадают. Такой пароль нельзя украсть по той простой причине, что доступ по нему можно получить только один раз. Минусы использования такой системы состоят в дополнительных расходах для клиентов.

Примечание

В настоящее время генераторы одноразовых паролей применяют многие банки США и Европы, а также крупные интернет-провайдеры, к примеру, провайдер AOL.

• Использование USB-устройств

Суть данного приема сводится к тому, что пользователь не сможет получить доступ к своему счету, если он не подключит USB-устройство к своему компьютеру. В этом случае мошенники также не смогут получить доступ к счету пользователя.

Примечание

Наряду с USB-устройствами предлагалось использовать также специальные карты с микросхемами, которые вставляются в считывающее устройство, подключенное к компьютеру. Однако от этого варианта отказываются, как от дорогостоящего.

• Мобильное подтверждение

Суть этого приема в том, что доступ к карте осуществляется только после того, как пользователь отправит со своего мобильного телефона, номер которого он сообщил банку, какое-либо сообщение SMS (Short Message Service).

• Хеширование паролей конкретного Web-сайта

Хеширование паролей предотвращает кражу конфиденциальных данных путем добавления к паролю информации, специфичной для того сайта, где предполагается применить пароль. Пользователь просто вводит в специальной форме свой пароль, а браузер преобразует его и добавляет необходимую информацию. Суть в том, что Web-сайту, на котором пользователь вводит пароль, этот пароль в чистом виде не сообщается, на сайт приходит уже хешированный пароль. Таким образом, даже если пользователь и введет свой пароль на фальшивом сайте, то хакеры его применить не смогут. На настоящем же сайте применяется та же схема хеширования, что и у владельца карты.