06.12.2006

ћошенничество в »нтернет

image

Ќаиболее развитой формой мошенничества в »нтернет, без сомнени€, €вл€етс€ фишинг. “ипичными инструментами фишинга €вл€ютс€ mail (почтовые сообщени€, использующие методы социальной инженерии), специально разработанные web -сайты.

Ѕезмалый ¬ . ‘ .
MVP in Windows Security
wladkerch@mail.ru

Ќаиболее развитой формой мошенничества в »нтернет, без сомнени€, €вл€етс€ фишинг. “ипичными инструментами фишинга €вл€ютс€ mail (почтовые сообщени€, использующие методы социальной инженерии), специально разработанные web -сайты.

¬се изощреннее станов€тс€ методы атак мошенников, повышаетс€ уровень подготовленности атак с целью кражи номеров кредитных карт, банковских счетов и прочей конфиденциальной информации. ѕо данным отчета APWG ( Anti - Phishing Work Group ) в мес€ц обнаруживаетс€ 20109 фишинговых рассылок, 11976 фишерских веб-сайтов.

„исло фишинг-атак выросло вдвое за первые шесть мес€цев текущего года, сообщает Reuters ( http :// news . com . com / Online + criminals + step + up + phishing + scams /2100-7349_3-6118920. html ) со ссылкой на <ќтчет по угрозам интернет-безопасности>, подготовленный Symantec.

¬ первом полугодии 2006 года фишеры отправили 157 тыс€ч уникальных писем, что на 81 процент больше по сравнению со вторым полугодием 2005 года. ѕо словам авторов исследовани€, каждое такое письмо может быть отправлено сотн€м тыс€ч интернет-пользователей. "ќрганизованна€ преступность очень интересуетс€ фишингом. ѕреступники выбирают домашних пользователей, которые станов€тс€ самым слабым звеном", - за€вил один из исследователей ќлли ”айтхаус (Ollie Whitehouse).


–исунок 1 „исло фишинг рассылок и фишерских сайтов в мире с ма€ 2005 по май 2006 года

»сточник APWG , 2006

—редний срок жизни фишерских сайтов 5 дней. —рок достаточный дл€ мошенника. ¬ среднем за мес€ц под угрозой оказываютс€ клиенты 137 организаций.

„то такое "фишинг"?

ѕриведем определение "фишинга", данное специалистами компании DrWeb ( http://support.drweb.com/faq/a5/#fish ).

‘ишинг (Phishing) - технологи€ интернет-мошенничества, заключающа€с€ в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. ¬ декабре 2005 года отмечен резкий рост числа фишинговых сайтов (на 65%, в но€бре 2005 года 4630, а в декабре уже 7197). ѕо мнению экспертов APWG такой рост стал возможен благодар€ по€влению так называемых "phishing kit" - утилит, которые позвол€ют в короткие сроки создать фишинг-сайт.

ѕо сведени€м компании Websense , один из наиболее попул€рных инструментов дл€ конструировани€ фишинг-ресурсов называетс€ Rock Phish Kit. ¬ насто€щее врем€ ситуаци€ с фишингом напоминает ситуацию в области написани€ вирусов несколько лет назад, в момент по€влени€ конструкторов вирусов.

¬кратце суть фишинга можно свести к следующему. ћошенник обманыва€ пользовател€ заставл€ет его предоставить свою конфиденциальную информацию: данные дл€ выхода в »нтернет (им€ и пароль), информацию о кредитных картах и т.д. ѕри этом необходимо отметить, что все действи€ жертва выполн€ет абсолютно добровольно, не понима€, что она делает на самом деле. ƒл€ этого используютс€ технологии социальной инженерии.

Ќа сегодн€шний день фишинг можно разделить на три вида - почтовый, онлайновый и комбинированный. ѕочтовый - самый старый. ѕри этом по электронной почте присылаетс€ специальное письмо с требованием выслать какие-либо данные. (рис. 2).


–исунок 2 ѕример фишингового письма

ѕерейд€ по указанной ссылке, жертва попадает на сайт (рис. 3)


–исунок 3 —траница фишингового сайта

ќднако данный сайт, несмотр€ на внешнюю полную схожесть с оригинальным, предназначен исключительно дл€ того, чтобы жертва сама внесла конфиденциальные данные.


–исунок 4 ѕример с поддельным mail -адресом отправител€

ѕод онлайн фишингом подразумеваетс€, что злоумышленники копируют какие-либо сайты (наиболее часто это это »нтернет-магизины онлайновой торговли). ѕри этом используютс€ похожие доменные имена и аналогичный дизайн. Ќу а дальше все просто. ∆ертва, попада€ в такой магазин, решает приобрести какой-либо товар. ѕричем число таких жертв достаточно велико, ведь цены в таком <несуществующем> магазине будут буквально бросовыми, а все подозрени€ рассеиваютс€ ввиду известности копируемого сайта. ѕокупа€ товар, жертва регистрируетс€ и вводит номер и прочие данные своей кредитной карты.

“акие способы фишинга существуют уже достаточно давно. Ѕлагодар€ распространению знаний в области информационной безопасности они постепенно превращаютс€ в неэффективные способы <отъема денег>.


–исунок 5 ѕисьмо только с одной фишерской ссылкой из многих правдивых

“ретий способ - комбинированный. —уть данного способа состоит в том, что создаетс€ поддельный сайт некоей организации, на который потом завлекаютс€ потенциальные жертвы. »м предлагаетс€ зайти на некоторый сайт и там произвести некие операции самим. ѕричем, как правило, используетс€ психологи€.


–исунок 6 ќбразец фишингового письма пользовател€м почты Mail . ru

ћногочисленные предупреждени€, практически ежедневно по€вл€ющиес€ в »нтернет, делают подобные методы мошенничества все менее и менее эффективными. ѕоэтому теперь все чаще злоумышленники прибегают к применению key - loggers - специальных программ, которые отслеживают нажати€ клавиш и отсылают полученную информацию по заранее назначенным адресам. ≈сли в конце прошлого года (по данным Ћаборатории  асперского) по€вл€лись одна-две подобные программы и пор€дка 10-15 распростран€вших их сайтов, то теперь эти показатели составл€ют 10 и 100 соответственно.

≈сли же вы думаете, что фишинг-атаки актуальны лишь дл€ дальнего зарубежь€, то вы ошибаетесь.

ѕерва€ попытка фишинга на территории —Ќ√ была зарегистрирована в 2004 году. ∆ертвами ее стали клиенты московского —итибанка.

Ќа ”краине жертвами фишинговых атак стали клиенты <ѕриват-банка> и компании < иевстар>.

¬ случае с клиентами компании < иевстар> мошенники осуществл€ли рассылку электронных сообщений потенциальным жертвам и сделали рекламные постинги в попул€рных украинских »нтернет-форумах о <возможном> пополнении счета, который должен нанести ущерб оператору мобильной св€зи " иевстар" (предлагалось осуществить специальный набор USSD команд, который приводит к списанию денег со счета доверчивого абонента), от этого страдают сами абоненты. Ќекоторые эксперты считают подобную »нтернет-рассылку первой серьезной украинской фишинг-атакой, поскольку она опираетс€ на использование новой услуги оператора мобильной св€зи компании " иевстар", котора€ позвол€ет пересылку сумм со счета одного абонента на другой.

Ѕанки и другие организации, использующие дл€ голосовой св€зи IP-телефонию, рискуют подвергнуть себ€ фишинг-атакам, дл€ профилактики которых в насто€щее врем€ нет никаких средств. ќб этом за€вил эксперт в области информационной безопасности, называющий себ€ The Grugq, на конференции Hack In The Box Security Conference (HITB) в ћалайзии.

<ѕреступники получат возможность проникать в банковские сети и устанавливать контроль над их телефонными каналами>, - убежден The Grugq. »спользование протокола VoIP становитс€ все более попул€рной технологией, котора€ помогает снизить расходы на телефонную св€зь. ¬месте с тем VoIP делает сети компаний более у€звимыми дл€ атак. ѕо мнению эксперта, фишинг-атаки через VoIP будут зафиксированы до конца этого года. ѕреступники получат доступ к персональным данным, в том числе номерам кредитных карт и учетной банковской информации, и лишь небольшое количество специалистов в области информационной безопасности сможет им помешать. <“еоретически, вы звоните в свой банк, а клиентска€ телефонна€ лини€ уже захвачена хакерами>, - допустил The Grugq.

¬ случае развити€ событий по такому сценарию хакер попросит клиента сообщить учетную информацию перед тем, как св€затьс€ с представителем службы поддержки клиентов. <Ќет никакой технологии, котора€ позвол€ет компани€м справитьс€ с проблемой>, - за€вил эксперт, отметив, что существующие системы дл€ вы€влени€ атак не способны определить факт VoIP-атаки. ƒл€ ее организации хакерам сейчас будет достаточно обычного софта дл€ поддержки IP-телефонии или биллинга телефонных разговоров.

¬ишинг как разновидность фишинга
¬ июле 2006 года по€вилась нова€ разновидность фишинга, тут же получивша€ название вишинг.

"¬ишинг" (vishing) назван так по аналогии с "фишингом" - распространенным сетевым мошенничеством, когда клиенты какой-либо платежной системы получают сообщени€ по электронной почте €кобы от администрации или службы безопасности данной системы с просьбой указать свои счета, пароли и т.п. ѕри этом ссылка в сообщении ведет на поддельный сайт, на котором и происходит кража информации. —айт этот уничтожаетс€ через некоторое врем€, и отследить его создателей в интернете достаточно сложно

—хемы обмана, в общем-то, идентичны, только в случае вишинга в сообщении содержитс€ просьба позвонить на определенный городской номер. ѕри этом зачитываетс€ сообщение, в котором потенциальную жертву прос€т сообщить свои конфиденциальные данные.

¬ладельцев такого номера найти не просто, так как с развитием »нтернет-телефонии, звонок на городской номер может быть автоматически перенаправлен в любую точку земного шара на виртуальный номер. «вон€щий же об этом не догадываетс€. Ётой возможностью и воспользовались очередные мошенники.

—огласно информации от Secure Computing, мошенники конфигурируют (автонабиратель), который набирает номера в определенном регионе и, когда на звонок отвечают, происходит следующее:

- автоответчик предупреждает потребител€, что с его картой производ€тс€ мошеннические действи€, и дает инструкции - перезвонить по определенному номеру немедленно. Ёто может быть номер 0800, часто с выдуманным именем звонившего от лица финансовой организации;

- когда по этому номеру перезванивают, на другом конце провода отвечает типично компьютерный голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;

- как только номер введен, вишер становитс€ обладателем всей необходимой информации (номер телефона, полное им€, адрес), чтобы, к примеру, обложить карту штрафом;

- затем, использу€ этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действи€ карты, дата рождени€, номер банковского счета и т.п.

 ак защититьс€ от этого? ѕрежде всего с помощью здравого смысла, а именно:

¬аш банк (или кредитна€ компани€, картой которой вы пользуетесь) обычно обращаетс€ к клиенту по имени и фамилии, как по телефону, так и по электронной почте. ≈сли это не так, то скорее всего это мошенничество;
Ќельз€ звонить по вопросам безопасности кредитной карты или банковского счета по предложенному вам номеру телефона. ƒл€ звонков в экстренных случа€х вам предоставл€етс€ телефонный номер на обратной стороне вашей платежной карточки. ≈сли звонок законный, то в банке сохран€етс€ его запись и вам помогут;
≈сли же вам звонит некто, представл€ющийс€ вашим провайдером и задает вопросы, касающиес€ ваших конфиденциальных данных - повесьте трубку.
ѕока серьезных инцидентов такого рода еще не отмечено. Ќо только пока:

‘арминг
 ак ни опасен фишинг и вишинг, однако в сети существует еще более грозна€ угроза. Ёто - фарминг.

‘арминг - это перенаправление жертвы по ложному адресу. ƒл€ этого может использоватьс€ нека€ навигационна€ структура (файл hosts , система доменных имен - domain name system , DNS ).

 ак это происходит?

ћеханизм фарминга имеет много общего со стандартным вирусным заражением. ∆ертва открывает непрошенное почтовое послание или посещает некий web -сервер, на котором выполн€етс€ исполнимый вирус-скрипт. ѕри этом искажаетс€ файл hosts . ¬редоносное ѕќ может содержать указатели URL многих банковских структур. ¬ результате механизм перенаправлени€ активизируетс€ когда пользователь набирает адрес, соответствующий его банку. ¬ результате жертва попадает на один из ложных сайтов.

ћеханизмов защиты от фарминга на сегодн€ просто не существует. Ќеобходимо внимательно смотреть за получаемой почтой, регул€рно обновл€ть антивирусные базы, закрыть окно предварительного просмотра в почтовом клиенте и т.д.

 ак же противосто€ть подобным атакам?

“ак как основные фишерские атаки направлены на получение паролей и другой конфиденциальной информации, то в данном случае может помочь применение систем генерации одноразовых паролей или систем многофакторной аутентификации.

ќдноразовые пароли
Ќа мой взгл€д, единственным техническим способом уменьшить потери от фишинга могут служить системы аутентификации с помощью одноразовых паролей.

 онечно же, необходимо обучение пользователей. Ќо сколько бы вы не учили пользовател€, веро€тность того, что в вашем компьютере по€витс€ <тро€н> специально написанный под вас и не обнаруживаемый сигнатурными базами достаточно велика.  онечно, можно (и нужно) использовать системы проактивной защиты. Ќо это не тема статьи. ќб этом и так много написано.

ƒа, можно использование виртуальной клавиатуры. Ќо ведь можно написать программу, котора€ будет считывать координаты вашей мыши, а следовательно, восстанавливать ваш пароль. —ледовательно - это не выход.

¬ыходом могут служить системы генерации одноразовых паролей. ƒавайте попробуем их рассмотреть.

„то представл€ет собой система одноразовых паролей?

√енератор одноразовых паролей может выгл€деть внешне либо как брелок с небольшим окном ( RSA Security ID , Aladdin eToken NG OTP (рис. 7 ) либо напоминать собой калькул€тор (рис. 8).


–исунок 7 OTP Token c USB подключением

–исунок 8 √енератор одноразовых паролей

¬ случае использовани€ небольшого устройства, внешне напоминающего калькул€тор, пользователь вводит комбинацию символов, котора€ изображена в окошке и дополн€ет ее своим персональным PIN -кодом (чтобы гарантировать что устройство используетс€ законным пользователем). √енераци€ кода может производитьс€ по времени - так называемый тип Time Based дл€ устройств типа RSA Security и подобных. »ли по событию - нажатию кнопки дл€ устройств типа eToken NG OTP и подобных. “ретий вариант (самый дешевый) - заранее сгенеренные, случайные последовательности (бумажна€ реализаци€ дл€ онлайн банкинга - с защитным слоем).

≈сть еще один вариант аутентификации с использованием одноразовых паролей -аутентификаци€ по мобильному телефону. ¬ы с вашего мобильного телефона (зарегистрированного в системе) отправл€ете —ћ— на определенный номер. ¬ ответ вам приходит PIN -код, который вы вместе со своим кодом вводите при аутентификации. ¬ этом случае вам вообще не нужны брелки, т.к. мобильные телефоны есть у всех :

ѕомимо этого существуют программные реализации (на JAVA ) подобных токенов (рис. 9). “.е. оп€ть используем ваш телефон, в который устанавливаем программный токен.   сожалению, поддерживаютс€ не все телефоны, чем и ограничиваетс€ распространение данной реализации OTP , хот€ дл€ внутрикорпоративного использовани€ очень попул€рное решени€, в св€зи с более низкой стоимостью, по сравнению с аппаратным токеном.


–исунок 9 - JAVA токен дл€ телефона.

“ак как сгенерированный пароль можно ввести лишь однажды, да еще и в ограниченный по времени интервал, то использовать подсмотренный пароль не представл€етс€ возможным. √енераторы одноразовых паролей широко примен€ютс€ в банковской системе ≈вропы и —Ўј, а также их используют некоторые »нтернет-провайдеры ( AOL ). Ќо безопасность в этом случае стоит денег, так как нужно покупать само устройство и провайдеру (банку) нужно иметь соответствующее программное обеспечение.

«аключение
ѕроблема "фишинга" будет разрастатьс€ в дальнейшем. » одними техническими средствами остановить ее весьма сложно. —тоит понимать, что никогда банковское и другое подобное учреждение не будут требовать от вас пересылки конфиденциальной информации, а слишком низкие цены в »нтернет-магазине должны вас настораживать. „то еще можно посоветовать? «аведите отдельную банковскую карту дл€ »нтернет-транзакций и кладите на этот счет деньги лишь тогда, когда вы соберетесь делать какие-то покупки. ѕричем кладите на эту карту небольшие суммы. “огда даже в случае взлома ваш ущерб будет не настолько весомым.

 омпани€ SoftKey – это уникальный сервис дл€ покупателей, разработчиков, дилеров и аффилиат–партнеров.  роме того, это один из лучших »нтернет-магазинов ѕќ в –оссии, ”краине,  азахстане, который предлагает покупател€м широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнени€ заказа в персональном разделе.

или введите им€

CAPTCHA
Narine
01-11-2009 12:07:29
—пасибо за информацию, которую вы даете, € сама столкнулась с этой проблемой.ћне предлагали выслать ‘.».ќ. телефон, факс, €кобы у мен€ умер родственник в какой-то африканской стране и остажил 3 млн долларов, которые можно получить по наследству. онечно об этом вс€кий мечтает и может попастьс€ на удочку... но будьте бдительны, не попадайтесь.
0 |
—аша
24-11-2009 21:34:45
«дравствуйте, уважаемые интернет пользователи!  ак жалко, что раньше € этой статьи не прочитал...ћен€ зовут јлександр ¬ерт€ков и € хочу поделитьс€ с ¬ами своей грустной историей(( ѕару мес€цев назад € наткнулс€ на сайт adite.ru, который предлагал стать партнером в бизнесе под названием "SMS-дневник". ћошенник ћасл€ков ѕавел предлагал купить пакет услуг, обеща€ при этом солидный доход и т.д. я клюнул на это и, уже представл€€ себ€ успешным бизнесменом, перевел требуемую сумму в 500$ на счет ћасл€кова(( Ќа прот€жении двух дней ждал когда со мной св€жутс€, но всЄ было напрасно.. ћен€ просто кинули как обычного лоха(( ¬сЄ это € написал, что бы хоть как то оградить ¬ас от интернет мошенничества в общем и от мошенника ћасл€кова ѕавла в частности. — уважением, јлександр ¬ерт€ков!
0 |
SergO
01-07-2011 11:42:03
 ак раз сегодн€ пришло от мошенников с €щика akciy1@beeline.ru ѕон€тно, что это никакой не Ѕилайн ѕоздравл€ем! ¬ результате проводимой акции от Ѕилайн ¬аш номер мобильного телефона стал выйгрышным. ѕриз - ѕланшет - Apple iPad 2 64Gb Wi-Fi + 3G ѕриз - “елефон - Apple iPhone 4 32Gb ƒл€ получени€ призов вам нужно скачать архив и отправить смс код на указанный номер. ¬ архиве будет инструкци€ по получению призов. ќтправка смс нужна дл€ сверки ¬ашего мобильного номера с выйгрышным. —тоимость отправки смс бесплатно. ¬ажно! ќтправл€€ смс ¬ы соглашаетесь на получение призов! ѕризы не обмениваютс€ на деньги. — уважением Beeline. ru (—амое смешное, что пришло на €щик моей бабушки, а у неЄ Ќ≈“ и Ќ≈ ЅџЋќ мобильного телефона) Ћюди! Ќе ведитесь на такое.
0 |