Как не стать жертвой фишинга

Не зря ЦБ России с недавнего времени обязал банки подробно отчитываться о том, как работают их веб-сайты. Проведенное исследование показало, что около 90% таких сайтов содержат дыры и уязвимы для фишинга.

Специалисты британской консалтинговой фирмой Next Generation Security (NGS) считают, что компании сами виноваты в расцвете кибер-мошенничества. Они значительно облегчают жизнь кибер-мошенникам, потому что абсолютное большинство коммерческих сайтов имеют дыры в безопасности.

В общей сложности около 90% финансовых и коммерческих сайтов, проверенных специалистами NGS за последние 12 месяцев, изначально содержат тривиальные программное или логические ошибки, которые можно легко использовать при фишинговой атаке. В частности, примерно 30% сайтов не защищают в достаточной степени базу данных с приватной информацией о пользователях, так что злоумышленникам не составляет никакого труда организовать массированную почтовую рассылку по всей клиентской базе. Такие «дыры» в корпоративных сайтах очень часто образуются из-за неправильной конфигурации серверов или из-за использования устаревших версий ПО.

В рамках исследования, проведенного фирмой NGS, было исследовано большое количество сайтов финансовых и коммерческих компаний, и оказалось, что почти на каждом из них работают приложения, подверженные той или иной известной уязвимости. Подробный отчет под названием «Руководство по фишингу. Понимание и предотвращение фишинговых атак» («The Phishing Guide. Understanding & Preventing Phishing Attacks») специалисты компании NGS выложили в интернете (файл PDF, 2,5 МБ).

В профессиональном «Руководстве» компаниям даются практические советы, как не стать жертвами фишинга. Здесь описываются типичные методы, которые используются злоумышленниками, а также типичные дыры в системах безопасности. Приводятся рекомендации, как улучшить безопасность всей системы на стороне клиента, на серверной стороне, а также на уровне всего предприятия. Документ, составлен независимыми экспертами, и в нем не содержится рекламы конкретных программных продуктов. Советы по безопасности носят академический, системный характер, но при этом предельно конкретны.

Специалисты NGS подчеркивают, что большинство «дыр» в безопасности веб-сайтов можно легко устранить сразу же после их обнаружения. «Финансовые организации тратят огромные деньги на безопасность, — говорит Гунтер Оллман (Gunter Ollman), директор по профессинальным сервисам NGS. — Но, когда вы посмотрите на сайт обычного интернет-магазина, то ситуация намного хуже».

Как сообщается в отчете, с каждым месяцем фишинговые атаки становятся все более изощренными. Одной из последних уловок, например, является размещение в баннерной сети фальшивого баннера, который завлекает на фальшивый банковский сайт, предлагающий уникальные услуги. //webplanet.ru