Кількість випадків шахрайства в мережі Інтернет (фішингу, від англійського "phishing") протягом останніх півтора років зростає просто загрозливими темпами. Шахраї вигадують нові, все більш витончені, способи обману і підвищують рівень підготовки атак з метою крадіжки паролів, номерів кредитних карт і банківських рахунків та іншої конфіденційної інформації. Розібратися, що таке фішинг, і як від нього захиститися покликана ця стаття.

Фішингом (утворено від англійського слова "phishing") називається не що інше, як шахрайство, здійснене в мережі Інтернет, при якому під тим або іншим приводом з користувача обманним шляхом витягується конфіденційної інформація, наприклад, номери кредитних карт, банківських рахунків, логіни і паролі до платних сервісів і т.д.

У листопаді 2004 року п'ять лідируючих на американському ринку провайдерів рішень з безпеки анонсували створення нового альянсу проти шахрайства Anti-Fraud Alliance (AFA) - першої end-to-end системи, яка являє собою рішення проти шахрайства та крадіжки індивідуальності в Інтернет. Серед учасників - Symantec, Corillian Corp (захист банківських послуг), NameProtect (захист доменних імен і моніторинг мережі), PassMark Security (двостороння ідентифікація) і Internet Identity (захист від фішингу та послуги з безпеки). Всі ці компанії, доповнюючи рішення один одного, забезпечують широкий спектр послуг та рішень, включаючи онлайн консультації з безпеки, проактивний захист від шахрайства і «фішингу» інспектування сайтів і доменів, многофакторную ідентифікацію, захист десктопів і послугу з Деактивуваня сайтів.

Зараз членами альянсу вже стали багато компаній, що спеціалізуються на рішеннях в області інформаційної безпеки, в тому числі McAfee, Trend Micro, Panda Software, Aladdin, а також корпорація Microsoft, яка останнім часом проявляє високу активність в області захисту своїх користувачів. Зараз на сайті Phishing Working Group за адресою http://www.antiphishing.org/phishing_archive.html у вільному доступі знаходиться перелік випадків Фішіга з докладним описом. Участь в альянсі дозволяє брати участь в робочих групах з проблеми фішингу, технологічних розробках і заходах, що проводяться AFA, а також отримати доступ до звітів і базі даних.

Експерти в один голос попереджають, що характер злочинів пов'язаних з використанням фішингу змінився. Шахраї вигадують нові, все більш витончені, способи обману і підвищують рівень підготовки атак з метою крадіжки паролів, номерів кредитних карт і банківських рахунків та іншої конфіденційної інформації.

За даними компанії MessageLabs http://www.messagelabs.com/binaries/ LAB480_endofyear_UK_v3.pdf , У вересні 2003 року в поштових потоках, які обробляє належить компанії програмний антиспам-сервіс, було зафіксовано 279 фішинг-повідомлень, а у вересні 2004 року ця цифра становила 2 098 012, тобто більше двох мільйонів, що становить приріст на чотири порядки.

За словами Серджіо Пинон (Sergio Pinon), старшого віце-президента з безпеки компанії MasterCard International, за останні два місяці було зафіксовано, принаймні, 10 спроб фішингу з використанням фальшивих сайтів www.mastercard.com . За даними організації Anti-Phishing Working Group (APWG), число подібних фішингових атак постійно збільшується. У жовтні група APWG нарахувала 44 атаки, в листопаді 51, а в грудні вже 55. Щомісяця загальне число фішингових атак зростає в півтора рази, при цьому в червні було ідентифіковано 1400 унікальних атак.

Не дивлячись на те, що більшість фішингових листів є англомовними, російських користувачів Internet спамери теж не обійшли своєю увагою. Особливою любов'ю спамерів користується російський «Сітібанк». Наприклад, 22-24 вересня 2004 року шахраями була здійснена чергова розсилка підроблених листів фішингу, з метою заволодіння персональною інформацією клієнтів ЗАТ "Сітібанк».

Розсилка являє собою електронний лист з повідомленням про переведення 2000 доларів США (або іншої суми) на особистий рахунок клієнта і містить прохання зайти в систему інтернет-банкінгу Citibank Online і підтвердити переказ.

Якщо раніше шахраї часто нехитро діяли від імені відомих банків і компаній, посилаючи мільйони листів, наприклад, з темою «необхідно оновлення облікового запису», які заманювали наївних користувачів на підставні веб-сайти. Тепер збільшується кількість випадків використання вірусів-хробаків і шпигунських програм для непомітного перенаправлення користувачів на фальшиві сайти. «Якщо раніше фішери були чимось на зразок вуличних злодюжок в Мережі, то тепер вони діють як організовані злочинні угруповання», - заявляє Паріс Трудо (Paris Trudeau), старший менеджер фірми SurfControl, що займається питаннями інтернет-безпеки.

За останній рік понад 60 млн. Осіб зазнали фішингових атак, в яких використовувалися торгові марки 122 відомих компаній. За словами пана Трудо, близько половини атак проводилося з використанням шпигунських програм або іншого шкідливого коду. Так, наприклад, одна з подібних атак, зафіксована датської консалтинговою фірмою Secunia , Вводила користувача в оману шляхом модифікації файлів операційної системи Windows, після чого, під час набору користувачем адреси веб-сайту, браузер жертви перенаправлявся на підставний сервер. Подібним способом були проведені кілька атак, підміняє адреси деяких південно-американських банків.

Більш амбітні атаки ставлять собі за мету вже сервери доменних імен, які служать віртуальними адресними книгами, зіставляти імена сайтів з IP-адресою, наявним у кожного пристрою, підключеного до Інтернету. Контролюючи такий сервер, можна перенаправляти користувачів, що запитують, наприклад, www.bankofamerica.com , На підставний сайт з ідентичним дизайном. Сервери доменних імен набагато складніше зламати, ніж комп'ютер звичайного користувача, але шанс завжди є, а в разі успіху зловмисники отримають в своє розпорядження дуже дієвий інструмент.

Навіть найпростіші види фішингу тепер ускладнюються, відзначають експерти. Якщо раніше шахраї користувалися посиланнями з адресою, схожим на адресу сайту відомої компанії, то тепер посилання на фальшиві сервера ховають всередину коду листи, показуючи користувачеві посилання у вигляді реальної адреси (так званий pharming - фільсіфікація адреси, використовуючи вразливості в DNS сервера). У грудні 2004 року кількість активних підставних сайтів, що використовуються фішерами, склало 1,7 тис. Більшість з них мали хостинг на території США. Середня тривалість життя підставного сайту дорівнює 5,9 доби, а максимальний час 30.

Рядові користувачі можуть захиститися від фішингу за допомогою антивірусних програм і міжмережевих екранів, але компанії, що працюють з клієнтами через Інтернет, можуть подбати про безпеку своїх клієнтів, наприклад, випускаючи апаратні ключі з ідентифікаційними даними. Ще одним рішенням проблеми фішингу, відзначають фахівці, було б створення системи аутентифікації інтернет-адрес для перевірки відповідності введеного користувачем адреси справжньому сервера.

Зрозуміти, на 100% точно як здійснюється антифішинговий захист в продуктах шанованих компаній досить складно, тому що навіть в документації зазвичай опис технології зводиться до слів: «Увімкніть антіфішенговую захист, поставивши ось тут галочку. Після чого фішингові листи будуть фільтрувати ». Однак з різних прес-релізів, статей та особистого спілкування вдалося зрозуміти, що багато виробників, розглядають антифішинг як звичайну спам-фільтрацію по відомим ознаками фішингових листів: адресою відправника, засланні на фейковий сайт, змісту листа і т.д. Створити такий фільтр не складає труднощів, тому що база фішингових листів існує, наприклад, в тій же APWG.

Інше питання, що захист від фішингу реалізована у вигляді додаткового набору правил для антиспаму в більшості випадків не захистить клієнтів від фішингу, так як будь-яка атака такого роду проходить практично миттєво і укладається за часом в рамки відправки звичайної партії спаму (рахунок йде на хвилини).

Тому, коли сигнатура на нове фішингових послання буде додана в бази даних і дійде до користувачів, буде вже пізно. Крім того, якийсь час необхідно на накопичення і обробку нового фішингових послання. У більшості випадком оновлення баз антиспаму прийде вже занадто пізно, коли послання фішерів прочитає більшу кількість користувачів.

Деякі з виробників, що використовують подібну технологію скажуть, що у них використовуються такі собі «розумні фільтри» (в більшості яких закладені байесовский метод), здатні виловити ще навіть від відомих випадків фішингу, але ця заява також буде некоректною, оскільки подібні методи здатні дай бог затримати не більше половини небажаних листів і то за умови тривалого навчання на тих же фішингових листах!

Таким чином, на мій погляд, захист від фішингу за допомогою антиспаму є скоріше рекламним ходом виробників програмного забезпечення, ще одним плюсом, зайвим конкурентною перевагою перед конкурентами, але реально вона не забезпечить будь-якої безпеки від шахрайств.

Трохи краще обстоять справи при використанні захисту від фішингу на рівні браузера, коли будь-які спроби, з одного боку, зайти на потрапили в чорні списки фішингових сайтів, і, з іншого боку, передати в Інтернет конфіденційні дані будуть блокуватися. У цьому випадку навіть якщо людина зайшла на підроблені ресурс, то передати зловмисникам конфіденційні дані йому не дозволить програма, або, по крайней мере, ще раз попередить про небезпеку.

Що не кажи, в разі фішингу багато що залежить від так званого людського фактора. Довірливих людей, готових відправити свій номер кредитки кому щороку в Інтернеті дуже і дуже багато. І тут вже ніякі засоби захисту, на жаль, ні чого не гарантують.

Автор: Сергій Ільїн

Засновник проекту Anti-Malware.ru

18.10.2005