Дмитрий Артимович – Искусство цифровой самозащиты (страница 13)
1. Не покупайте никакое программное обеспечение или услуги.
2. Спросите, есть ли оплата или подписка, связанные с этой «услугой», – если есть, повесьте трубку.
3. Никогда не давайте контроль над своим компьютером третьему лицу, если вы не можете подтвердить, что это законный представитель компьютерной поддержки компании, клиентом которой вы уже являетесь.
4. Никогда не предоставляйте информацию о своей кредитной карте или финансовую информацию кому-либо, выдающему себя за сотрудника службы технической поддержки Microsoft.
Фишинг
Фишинг (
Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая, соответственно, именуется «антифишинг».
История
Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet[39], хотя возможно его более раннее упоминание в хакерском журнале 2600.
Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам.
Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать ее пароль. Для того чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платежной информации». Когда жертва называла пароль, злоумышленник получал доступ к данным жертвы и использовал ее аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платежную информацию».
После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку, и фишинг на серверах AOL постепенно сошел на нет.
Захват учетных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платежные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платежную систему e-gold в июне 2001 года, второй – атака, прошедшая вскоре после теракта 11 сентября. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал.
Целью фишеров сегодня являются клиенты банков и электронных платежных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях.
Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей. В 2006 году компьютерный червь разместил на MySpace[40] множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных. В мае 2008 года первый подобный червь распространился и в популярной российской социальной сети «ВКонтакте». По оценкам специалистов, более 70 % фишинговых атак в соцсетях успешны.
Фишинг стремительно набирает обороты, но оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году ущерб составил 2,8 млрд долларов, в 2007-м – 3,2 миллиарда.
Техника фишинга
Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. К примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счету…», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.
Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.
Например, https://www.yourbank.example.com похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространенная уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Дело в том, что HTML позволяет указывать разными реальную ссылку и видимую часть, чем и пользуются мошенники. Кстати, любой браузер и многие почтовые клиенты показывают реальную ссылку внизу окна при наведении.
Один из старых методов обмана заключается в использовании ссылок, содержащих символ @, который применяется для включения в ссылку имени пользователя и пароля. Например, ссылка http://www.google.com@members.tripod.com приведет не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer, а Mozilla Firefox и Opera выдают предупреждение и предлагают подтвердить переход на сайт.
Еще одна проблема была обнаружена при обработке браузерами интернациональных доменных имен: адреса, визуально идентичные официальным, могли вести на сайты мошенников. Например, в домен sber.ru можно вставить русскую букву E вместо английской.
Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга.
Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определенному номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счета и PIN-код. К тому же вишеры, используя фальшивые номера, могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счета. В итоге человека также попросят сообщить его учетные данные.
Набирает свои обороты и СМС-фишинг, также известный как смишинг (англ. SMiShing – от SMS и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт. Входя на него и вводя свои личные данные, жертва таким образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определенному номеру для решения «возникших проблем».
Помните, как в 2021 году мэрия Москвы при поддержкe Минцифры решилa в очередной раз блеснуть своей глупостью и ввелa QR-коды для посещения заведений общепита?
Технология QR-кода достаточно проста: в нем закодирована ссылка на внешний сайт. В примере с сертификатами вакцинации ссылка вела на портал Госуслуг, где была простенькая страничка, отображавшая, что сертификат действителен.
Почему я вдруг поднял эту тему? А всё просто: если взять технику фишинга, т. е. скопировать страничку, вставить туда нужные данные и разместить на каком-нибудь сайте типа gosuslugi.app – ни один проверяющий не заметит, что сайт ненастоящий. Честно признаться, в 2001-м я несколько раз проходил в кафе и рестораны по такому коду.