Что такое фишинг сайт

Фишинг

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «подтверждение авторизации» Эта статья — о преступлении. О судебной тактике см. Выуживание.

Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание») — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

История

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet, хотя возможно его более раннее упоминание в хакерском журнале 2600.

Ранний фишинг на AOL

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам.

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку, и фишинг на серверах AOL постепенно сошёл на нет.

Переход к финансовым учреждениям

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал.

Фишинг сегодня

Диаграмма роста числа зафиксированных случаев фишинга

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях.

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте. По оценкам специалистов, более 70% фишинговых атак в социальных сетях успешны.

Фишинг стремительно набирает свои обороты, но оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году ущерб составил 2,8 млрд долларов, в 2007 — 3,2 миллиарда; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек, к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов.

Техника фишинга

Социальная инженерия

Основная статья: Социальная инженерия

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по для получения более подробной информации.

Веб-ссылки

Пример фишингового письма от платёжной системы Яндекс.Деньги, где внешне подлинная веб-ссылка ведёт на фишинговый сайт

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля. Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer, а Mozilla Firefox и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге <a> значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

Обход фильтров

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга.

Веб-сайты

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки. Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL.

Злоумышленник может использовать уязвимости в скриптах подлинного сайта. Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё (от веб-адреса до сертификатов) выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году.

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах.

Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные.

Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем».

Борьба с фишингом

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

Обучение пользователей

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении.

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например, PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали, что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали.

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами. Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.

Технические методы

Браузеры, предупреждающие об угрозе фишинга

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer.

В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере и близок использованию hosts-файла для блокировки рекламы.

Усложнение процедуры авторизации

Сайт Bank of America предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля.

Борьба с фишингом в почтовых сообщениях

Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем.

Услуги мониторинга

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов. Физические лица могут помогать подобным группам (например, PhishTank), сообщая о случаях фишинга.

Юридические меры

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток из Калифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтом AOL, и краже данных кредитных карт. Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, в Бразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговых преступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США. В июне 2005 года власти Великобритании осудили двух участников интернет-мошенничества. В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США). Аресты продолжались в 2006 году — в ходе спецоперации ФБР задержало банду из шестнадцати участников в Европе и США.

В Соединённых Штатах Америки 1 марта 2005 года сенатор Патрик Лехи представил Конгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет. В Великобритании был принят Закон о мошенничестве 2006 года, предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества.

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительства Австралии по обучению сотрудников правоохранительных органов борьбе с различными кибер-преступлениями, в том числе фишингом.

В январе 2007 года Джеффри Бретт Гудин из Калифорнии был признан виновным в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использование товарных знаков AOL, он был приговорён к 70 месяцам заключения.

В Российской Федерации первое крупное дело против банды фишеров началось в сентябре 2009 года. По самым скромным оценкам мошенники похитили около 6 миллионов рублей. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере. Отдельные процессы имели место и ранее: так, в 2006 году суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Мошенник был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 миллионов рублей. Но в целом правовая борьба в России ограничивается лишь незначительными судебными разбирательствами, редко оканчивающимися серьёзными приговорами.

Как считает ведущий специалист Следственного комитета при МВД по расследованию преступлений в сфере компьютерной информации и высоких технологий подполковник юстиции Игорь Яковлев, основная проблема в расследовании подобных преступлений в России заключается в нехватке специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело не только до суда, но и до обвинительного вердикта. Руководитель подразделения Центра информационной безопасности ФСБ России Сергей Михайлов добавляет, что «в России самое лояльное законодательство по отношению к киберпреступности». Также плохо налажено сотрудничество с зарубежными структурами, что мешает скоординированной борьбе с преступниками.

> См. также

  • Выуживание — фишинг в гражданских процессах в странах общего права

Примечания

  1. Mark Liberman. Phishing (англ.). UPenn Language Log (22 September 2004). Дата обращения 1 февраля 2019. Архивировано 24 августа 2011 года.
  2. Cave Paintings. Phishing (англ.). Дата обращения 21 ноября 2008. Архивировано 24 августа 2011 года.
  3. Usenet (англ.). — 2 января 1996 г. Дата обращения 21 ноября 2008.
  4. The Phishing Guide (англ.). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  5. phishing (англ.) (1 августа 2003). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  6. Michael Stutz. AOL: A Cracker’s Paradise? (англ.) (29 января 1998). Дата обращения 21 ноября 2008. Архивировано 24 августа 2011 года.
  7. History of AOL Warez (англ.). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  8. GP4.3 — Growth and Fraud — Case #3 — Phishing (англ.) (30 декабря 2005). Дата обращения 21 ноября 2008.
  9. Kate Stoodley. In 2005, Organized Crime Will Back Phishers (англ.) (23 декабря 2004). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  10. МВД по Республике Коми настоятельно рекомендует гражданам не перезванивать на номера телефонов, указанных в смс-сообщениях о блокировке банковской карты
  11. Suspicious e-Mails and Identity Theft (англ.). Internal Revenue System (13 июня 2008). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  12. Markus Jakobsson, Tom N. Jagatic, Sid Stamm. Phishing for Clues (англ.). Дата обращения 21 ноября 2008.
  13. Dan Goodin. Fake subpoenas harpoon 2,100 corporate fat cats (англ.) (16 апреля 2008). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  14. Jeremy Kirk. Phishing Scam Takes Aim at MySpace.com (англ.). IDG News Service. Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  15. MySpace XSS QuickTime Worm (англ.) (12 января 2006). Дата обращения 21 ноября 2008.
  16. Пользователи сайта «В Контакте.Ру» стали жертвами компьютерного вируса. РИА Новости (16 мая 2008). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  17. В контакте с вирусом. Коммерсантъ (25 сентября 2008). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  18. Tom Jagatic, Nathaniel Johnson, Markus Jakobsson, Filippo Menczer. Social Phishing (англ.) (12 декабря 2005). Дата обращения 21 ноября 2008. Архивировано 31 января 2011 года.
  19. Эльвира Кошкина. В США подсчитали ущерб от фишинга. Компьюлента (5 октября 2004). Дата обращения 24 августа 2009. Архивировано 31 января 2011 года.
  20. 1 2 К концу 2006 г. ущерб от фишеров составит $2,8 млрд. InformationSecurity (23 ноября 2006). Дата обращения 24 августа 2009. Архивировано 31 января 2011 года.
  21. Дебетовые карты стали самой популярной мишенью для мошенников. Bankir.Ru (20 декабря 2007). Дата обращения 24 августа 2009. Архивировано 31 января 2011 года.
  22. Количество фишинг-атак возросло на 40%. Astera (17 апреля 2009). Дата обращения 24 августа 2009. Архивировано 31 января 2011 года.
  23. Berners-Lee, Tim. Uniform Resource Locators (URL). IETF Network Working Group. Дата обращения 28 января 2006. Архивировано 31 января 2011 года.
  24. Microsoft. A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs. Microsoft Knowledgebase. Дата обращения 28 августа 2005. Архивировано 31 января 2011 года.
  25. Fisher, Darin. Warn when HTTP URL auth information isn’t necessary or when it’s provided. Bugzilla. Дата обращения 28 августа 2005.
  26. Mutton, Paul. Fraudsters seek to make phishing sites undetectable by content filters. Netcraft. Дата обращения 10 июля 2006. Архивировано 31 января 2011 года.
  27. Предотвратите попадание нежелательной почты в папку «Входящие». Microsoft (26 января 2007). Дата обращения 27 сентября 2009. Архивировано 31 января 2011 года.
  28. Kaspersky Hosted Email Security. Лаборатория Касперского. Дата обращения 27 сентября 2009. Архивировано 31 января 2011 года.
  29. Mutton, Paul. Phishing Web Site Methods. FraudWatch International. Дата обращения 14 декабря 2006. Архивировано 31 января 2011 года.
  30. Phishing con hijacks browser bar, BBC News (8 апреля 2004).
  31. Krebs, Brian. Flaws in Financial Sites Aid Scammers. Security Fix. Дата обращения 28 июня 2006. Архивировано 31 января 2011 года.
  32. Mutton, Paul. PayPal Security Flaw allows Identity Theft. Netcraft. Дата обращения 19 июня 2006. Архивировано 31 января 2011 года.
  33. Miller, Rich. Phishing Attacks Continue to Grow in Sophistication. Netcraft. Дата обращения 19 декабря 2007. Архивировано 31 января 2011 года.
  34. Gonsalves, Antone. Phishers Snare Victims With VoIP, Techweb (April 25, 2006).
  35. Identity thieves take advantage of VoIP, Silicon.com (23 мая 2005).
  36. New phishing scam uses fake caller ID numbers (англ.). scambusters.org (22 марта 2009). Дата обращения 6 сентября 2009. Архивировано 31 января 2011 года.
  37. Charles H Green. Phishing and Financial Misdeeds: Trust Caller ID, Become a Crime Victim! (англ.) (8 июня 2009). Дата обращения 6 сентября 2009. Архивировано 31 января 2011 года.
  38. Andrew R. Hickey. SMS phishing is here (англ.). SearchMobileComputing.com (6 сентября 2006). Дата обращения 6 сентября 2009. Архивировано 24 августа 2011 года.
  39. What are vishing, caller ID spoofing and SMS phishing scams? (англ.). Дата обращения 31 января 2011. Архивировано 24 августа 2011 года.
  40. Text message (SMS) phishing (англ.). Дата обращения 6 сентября 2009. Архивировано 31 января 2011 года.
  41. Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge. Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. (ноябрь 2006). Дата обращения 14 ноября 2006. Архивировано 24 августа 2011 года.
  42. Protect Yourself from Fraudulent Emails. PayPal. Дата обращения 7 июля 2006.
  43. Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. What Instills Trust? A Qualitative Study of Phishing. (PDF). USEC ’06. Архивировано 31 января 2011 года.
  44. Zeltser, Lenny Phishing Messages May Include Highly-Personalized Information. The SANS Institute (17 марта 2006). Дата обращения 2 февраля 2009.
  45. Markus Jakobsson and Jacob Ratkiewicz. Designing Ethical Phishing Experiments. WWW ’06. Архивировано 31 января 2011 года.
  46. Kawamoto, Dawn Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats.. CNet (4 августа 2005). Дата обращения 31 января 2011. Архивировано 24 августа 2011 года.
  47. Franco, Rob. Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers. IEBlog. Дата обращения 2 февраля 2009. Архивировано 24 августа 2011 года.
  48. Bon Echo Anti-Phishing. Mozilla. Дата обращения 2 февраля 2009. Архивировано 24 августа 2011 года.
  49. Safari 3.2 finally gains phishing protection. Ars Technica (13 ноября 2008). Дата обращения 2 февраля 2009. Архивировано 24 августа 2011 года.
  50. Gone Phishing: Evaluating Anti-Phishing Tools for Windows, 3Sharp (27 сентября 2006). Дата обращения 2 февраля 2009.
  51. Firefox 2 Phishing Protection Effectiveness Testing. Дата обращения 2 февраля 2009. Архивировано 31 января 2011 года.
  52. Higgins, Kelly Jackson. DNS Gets Anti-Phishing Hook. Dark Reading. Дата обращения 2 февраля 2009. Архивировано 18 августа 2011 года.
  53. Bank of America. How Bank of America SiteKey Works For Online Banking Security. Дата обращения 2 февраля 2009. Архивировано 24 августа 2011 года.
  54. Brubaker, Bill. Bank of America Personalizes Cyber-Security, Washington Post (14 июля 2005).
  55. Stone, Brad Study Finds Web Antifraud Measure Ineffective. New York Times (5 февраля 2007). Дата обращения 2 февраля 2009. Архивировано 31 января 2011 года.
  56. Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer. The Emperor’s New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF) (недоступная ссылка). IEEE Symposium on Security and Privacy, May 2007 (May 2007). Дата обращения 2 февраля 2009. Архивировано 20 июля 2008 года.
  57. Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya. Phishing E-mail Detection Based on Structural Properties (PDF). NYS Cyber Security Symposium (март 2006). Дата обращения 31 января 2011. Архивировано 24 августа 2011 года.
  58. Ian Fette, Norman Sadeh, Anthony Tomasic. Learning to Detect Phishing Emails (PDF). Carnegie Mellon University Technical Report CMU-ISRI-06-112 (июнь 2006). Дата обращения 3 февраля 2009. Архивировано 31 января 2011 года.
  59. Anti-Phishing Working Group: Vendor Solutions. Anti-Phishing Working Group. Дата обращения 3 февраля 2009. Архивировано 31 января 2011 года.
  60. McMillan, Robert. New sites let users find and report phishing, LinuxWorld (28 марта 2006). Дата обращения 3 февраля 2009.
  61. Schneier, Bruce PhishTank. Schneier on Security (5 октября 2006). Дата обращения 3 февраля 2009. Архивировано 31 января 2011 года.
  62. Legon, Jeordan. ‘Phishing’ scams reel in your identity, CNN (26 января 2004). Дата обращения 3 февраля 2009.
  63. Leyden, John. Brazilian cops net ‘phishing kingpin’, The Register (21 марта 2005).
  64. Roberts, Paul. UK Phishers Caught, Packed Away, eWEEK (27 июня 2005).
  65. 8 held over suspected phishing fraud, The Daily Yomiuri (31 мая 2006).
  66. Phishing gang arrested in USA and Eastern Europe after FBI investigation. Дата обращения 3 февраля 2009. Архивировано 31 января 2011 года.
  67. Phishers Would Face 5 Years Under New Bill, Information Week (2 марта 2005).
  68. Fraud Act 2006. Дата обращения 3 февраля 2009. Архивировано 24 августа 2011 года.
  69. Prison terms for phishing fraudsters, The Register (14 ноября 2006).
  70. Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime (недоступная ссылка). Дата обращения 3 февраля 2009. Архивировано 3 ноября 2005 года.
  71. Prince, Brian. Man Found Guilty of Targeting AOL Customers in Phishing Scam, PCMag.com (18 января 2007).
  72. Leyden, John. AOL phishing fraudster found guilty, The Register (17 января 2007).
  73. Leyden, John. AOL phisher nets six years’ imprisonment, The Register (13 июня 2007).
  74. Gaudin, Sharon. California Man Gets 6-Year Sentence For Phishing, InformationWeek (12 июня 2007).
  75. Федосенко, Владимир Впервые у нас будут судить группу электронных взломщиков. Российская Газета (11 сентября 2009). Дата обращения 22 сентября 2009.
  76. Форманюк, Маша Неосторожность в Сети обойдется мошеннику в $100 тыс.. Вебпланета (5 декабря 2006). Дата обращения 22 сентября 2009. Архивировано 31 января 2011 года.
  77. Карачева, Екатерина И в МВД есть свои хакеры. Время новостей (17 апреля 2008). Дата обращения 22 сентября 2009. Архивировано 31 января 2011 года.
  78. ФСБ: «Россия наиболее лояльна к киберпреступникам». Вебпланета (15 мая 2009). Дата обращения 22 сентября 2009. Архивировано 31 января 2011 года.

См. также

В Викисловаре есть статья «фишинг»

  • Киберсквоттинг
  • Кликджекинг
  • Фарминг
  • PhishTank
  • Злой двойник
Эта статья входит в число хороших статей русскоязычного раздела Википедии.

Фишинг (англ. phishing) — одна из наиболее серьезных проблем в области информационной безопасности, с которой сталкиваются не только пользователи, но и веб-мастера, и владельцы веб-ресурсов. Обнаружение хостером фишинговой страницы может привести к мгновенной блокировке сайта, что для многих компаний означает полную парализацию коммерческой деятельности в сети.

Phishing — довольно распространенный мошеннический инструмент для кражи пользовательских аккаунтов от разных служб. В руки злоумышленников, промышляющих фишингом, стекаются доступы от почтовых ящиков и личных кабинетов, данные кредитных карт и много другой интересной информации, на которой можно легко заработать.

Визуально фишинговая страница копирует интерфейс реальной службы. Если, например, цель хакера — кража аккаунта Google, то при авторизации потенциальная жертва увидит знакомые поля для ввода логина и пароля и логотип провайдера:

Если мошенник охотится за доступами к платежной системе, предположим, популярной PayPal, то пользователю «покажут» форму авторизации, копирующую настоящую «пэйпаловскую» форму:

Обычно поддельный интерфейс представляет собой одну или несколько HTML-страниц с формой для ввода, точно воспроизводящие оригинальный интерфейс страницы аутентификаци и несколько скриптов, которые обрабатывают введенные конфиденциальные данные и отправляют их кибер-мошеннику на email или складывают в базу данных. Как правило, фишинговые страницы размещаются на взломанных сайтах. Например, на сайте, работающем на WordPress хакер может «запрятать» фейковую страницу в одном из подкаталогов – wp-content, wp-include и пр.

Подставная страница размещается на другом домене, ее адрес не совпадает с реальным адресом интернет-сервиса. А чтобы адрес фишинговой страницы не бросался в глаза, его маскируют, добавляя фрагмент адресной строки официального сайта банка или почтовой службы.

К сожалению, количество пользователей, не обращающих внимания на то, какой адрес открывается в строке браузера, довольно велико. В результате, жертвы собственноручно передают хакеру доступы к своим конфиденциальным данным.

Фишинговые письма (не)счастья

Часто «ловля» логинов и паролей начинается с письма, отправленного хакером потенциальной жертве по email. В письме, как правило, содержится пугающее сообщение: «Внимание! Ваш банковский счет заблокирован, необходимо срочно предпринять … действия. Для этого пройдите по этой ссылке». При клике по ссылке открывается точная копия страницы авторизации реального сайта, где нужно ввести логин и пароль. Чтобы усыпить бдительность пользователя и не вызвать его подозрений, после авторизации на псевдосайте жертву «перекидывают» на настоящий сайт сервиса, где также предлагается пройти авторизацию. Предположив, что произошел какой-то сбой в соединении, пользователь повторно вводит логин и пароль и оказывается в своем личном кабинете, сохраняя спокойствие. Правда, не надолго.

Фишинговая страница detected

Распространение фишингового контента, как и распространение спама, — одна из наиболее серьезных проблем для хостинговых компаний. Фишинг противозаконен, поэтому подставные страницы, обнаруженные на серверах хостера, остаются его головной болью ненадолго — он или тут же заблокирует веб-ресурс, на котором находилась страница, или удалит мошеннический контент самостоятельно, проинформировав владельца взломанного сайта о случившемся инциденте.

Возможен и третий вариант, когда хостер пишет письмо клиенту о том, что сайт взломан и содержит противозаконный контент, и просит устранить проблему в сжатые сроки (обычно в течение суток) во избежание блокировки веб-ресурса. От скорости реакции владельца сайта на письмо хостера зависит и дальнейшая судьба самого сайта — продолжит ли он функционировать в нормальном режиме, быстро избавившись от подставной страницы (а заодно и от существующих уязвимостей) или отправится на «заслуженный отдых» до устранения проблемы.

Борьбу с фишингом ведут как штатные службы самих банков, интернет-сервисов или платежных систем, так и независимые специализированные сервисы — например, известный PhishTank, база фишинговых сайтов которого постоянно пополняется международным сообществом и рядовыми пользователями.

Именно такие службы уведомляют хостинговые компании о присутствии на их серверах мошеннических страниц или сайтов и просят предпринять соответствующие действия.

Как обнаружить фишинговую страницу на сайте?

Получить письмо от хостера, где сообщается, что сайт взломан и рискует быть заблокированным по причине распространения фишингового контента, весьма печально. Поэтому следить за безопасностью веб-ресурса нужно постоянно, регулярно проверяя сайт на наличие вредоносного кода и фишинговых страниц. Обнаружить последствия хакерского вторжения может помочь антивирусный сканер Ai-Bolit, который кроме всего прочего детектирует и многие виды фишинговых страниц.

Искать подставные страницы мошенников на сайте можно и вручную. Если в шаблонах html встречается названия банков «bank of america», «paypal» или «Google» внутри тегов <title></title>, то, скорее всего данная страница будет лендингом для фишинговой формы.

Если хостер сообщил, что на вашем сайте размещена фишинговая страница, и вам нужна срочная помощь в ее устранении, обращайтесь в компанию «Ревизиум». Мы не только удалим все вредоносные элементы, мешающие нормальной работе вашего сайта, но и закроем уязвимости, через которые кибермошенники смогли проникнуть на ваш сайт.

Интернет-мошенничество фишинг: механизм, виды и способы противодействия

Злоумышленники заражают компьютер, запуская на нем вредоносный код. Примечательно, что, чаще всего они делают это с помощью самой жертвы, для обмана которой используется фишинг. О том, как работает этот распространенный метод интернет-мошенничества, и как ему противостоять, пойдет речь ниже.

Данные аналитического центра InfoWatch говорят о том, что большинство случаев хищения денег со счетов происходит по вине клиентов, а не банков. Чаще всего для атак на клиентов банка мошенники используют различные вариации фишинга и программы-кейлоггеры.

Название «фишинг» происходит от англ. phishing (искаженное fishing, то есть, рыбная ловля, выуживание). Его используют для обозначения интернет-мошенничества, с помощью которого получают доступ к конфиденциальной информации о пользователях. Фишинг является разновидностью социальной инженерии, процветающей сегодня из-за доверчивости пользователей и их безграмотности в сфере сетевой безопасности.

Для осуществления фишинга мошенники посылают электронные письма от имени известных брендов или личные сообщения внутри различных сервисов, к примеру, банковских. Обычно письмо содержит прямую ссылку на сайт, очень сходный внешне с настоящим, либо на сайт с редиректом (перенаправлением), чтобы заманить пользователя на фальшивую страницу банка. Теперь цель мошенников – побудить клиента ввести на ней логин и пароль для входа в онлайн-банк. Это нужно им для того, чтобы войти в учетную запись клиента и получить доступ к его банковским счетам.

В начале июня в Санкт-Петербурге была пресечена деятельность группы мошенников, которые воровали деньги пользователей интернет-банкинга. Для доступа к их счетам преступники использовали вредоносное программное обеспечение двух видов. С помощью одних программ клиенты банков перенаправлялись на фишинговые страницы, где у них запрашивались логин, пароль и телефонный номер. Другие вредоносные программы использовались для запрашивания номера телефона на подлинных сайтах банков. Затем преступники выдавали себя за сотрудников банков и выманивали у жертв СМС-коды авторизаций, с помощью которых они похищали деньги. Всего мошенникам удалось похитить таким образом с банковских счетов более 11 млн рублей в нескольких крупных банках.

Фишинг может быть: почтовым (с использованием рассылки электронных сообщений), онлайновым (с использованием копирования страниц онлайн-банкинга самых известных банков) и комбинированным.

Почтовый фишинг основан на использовании вирусов, троянских программ или «червей», а также технологий для обмана установленных на компьютере пользователя спам-фильтров. Кроме того, жертве могут отсылаться сообщения якобы с официальной страницы банка, клиентом которого она является. Используют мошенники и так называемую поддельную адресную строку.

С помощью онлайнового фишинга подменяют страницу используемого жертвой онлайн-банкинга на мошенническую, которая внешне является двойником оригинала. Когда пользователь заходит на такую поддельную страницу и вводит логин и пароль, они становятся доступны мошенникам. Последним остается только войти в личный кабинет пользователя, чтобы перевести деньги с его банковского счета на свои счета.

При комбинированном фишинге мошенники создают поддельный сайт банка для привлечения на него потенциальных жертв. Владеющие психологическими приемами преступники предлагают пользователям самостоятельно произвести некоторые операции. От имени банка они пишут жертвам, якобы с целью ознакомления их с новыми привлекательными банковскими продуктами. При этом они предлагают пользователю перебросить средства со своего счета на депозит, якобы открытый для него банком. Получив таким образом доступ к счету жертвы, мошенники переводят деньги с него на свои счета.

«Лаборатория Касперского» опубликовала данные, из которых следует, что Россия в первом квартале 2015 года стала одной их пяти стран-лидеров по количеству фишинговых атак на пользователей.

Если не терять бдительности, то защититься от фишинга вполне реально. В первую очередь, по мнению специалистов InfoWatch, следует быть внимательнее с URL (адресом) ссылки, полученной по почте, и загрузившейся страницей банка. Адрес обычно похож на настоящий во всем, кроме главного — домена второго уровня. Например, вместо адреса https://online.sberbank.ru может быть использован https://online.sberbank.abc123.ru.

Обнаружив, что для загрузки страницы не был использован безопасный протокол HTTPS, ее следует немедленно покинуть. Конечно, возможна работа основного сайта банка по HTTP, но в любом случае на странице интернет-банка слева от адресной строки должен быть рисунок замка (обозначение протокола HTTPS).

У фишинга есть разновидности, представленные вишингом, смишингом и фармингом.

При вишинге (голосовом фишинге) используются war diallers (автонабиратели) и возможности интернет-телефонии (VoIP), с помощью которых похищаются конфиденциальные данные клиентов (номера идентификационных и банковских карт, пароли доступа и т. д.).

Жертва получает письмо с просьбой позвонить по бесплатному телефону, чтобы уточнить остаток средств на карте или банковском счете. Приятный голос на автоответчике, запутав клиента банка, заканчивает разговор просьбой ввести номер счета и ПИН-код. После этого деньги быстро перемещаются со счета жертвы на счета мошенников.

Компании используют протокол VoIP для снижения расходов на телефонную связь, однако, это делает их сети более беззащитными перед атаками. Применяя для голосовой связи IP-телефонию, банки подвергают своих клиентов риску стать жертвами вишинг-атак, против которых пока не придумано средства.

Смишинг (СМС-фишинг) представляет собой преступную схему, целью которой является получение от клиента данных его кредитной карты, паролей и т. д. Для этого ему присылают СМС-сообщение от якобы надежного отправителя, в котором ему предлагается перейти на сайт и отправить данные, в том числе ПИН-код. Затем происходит списание средств с его карты на счет мошенников, при этом, дополнительно могут быть списаны средства за оказание услуги посредством СМС (платную СМС).

Настоящий банк никогда не звонит и не интересуется логинами и паролями от онлайн-банкинга, номерами кредитных карт, ПИН-кодами и т. д. Такой звонок можно получить только от мошенников!

Сейчас некоторыми банками практикуется использование более продвинутых систем защиты электронных платежей, которые используются, например, при оплате по карте в магазине покупки, сумма которой превышает лимит, установленный банком. В этом случае с клиентом может связаться представитель кредитной организации с просьбой назвать проверочное слово. Для этой системы у преступников также есть сложные виды мошенничества, направленные на отслеживание, перехват и выяснение номера телефона жертвы, и с его помощью — проверочного слова. Заполучив его, им ничего не стоит провести преступную операцию. Поэтому, следует очень внимательно относиться к таким звонкам и сообщениям.

Фарминг заключается в замене DNS адресов с целью перенаправления жертвы на поддельный ресурс. Это очень опасный вид мошенничества, так как отличить такую подделку бывает крайне сложно.

Специальные механизмы защиты от фарминга пока не созданы, поэтому, меры предосторожности клиентов банка заключаются в контроле входящей почты, использовании антивирусных средств защиты и т.д.

Аналитики InfoWatch уверены, что финансовые мошенники возлагают большие надежды на использование методов социальной инженерии и фишинга, так как считают взлом систем безопасности банков менее перспективным. Банки уделяют большое внимание информационной безопасности, поэтому, клиенты банков в этом смысле являются для мошенников более привлекательными кандидатурами на роль жертв.

Например, сегодня у пользователей очень популярны такие платежные онлайн-операции, как оплата мобильного телефона, покупка через Интернет музыки и книг в ценовом диапазоне от 100 до 1000 рублей. Усложняя систему безопасности путем введения многоуровневых систем подтверждения платежей, банки провоцируют клиентов пренебрегать безопасностью ради удобства пользования сервисом, что делает их уязвимыми для злоумышленников.

Сами банки мало озабочиваются атаками на клиентов, ведь их безопасности они не угрожают, да и нет у банков эффективных инструментов для противодействия мошенникам. Став жертвой фишинга, клиент не получит компенсации ущерба, так как банк назовет его виновным в инциденте. Поэтому, чтобы не стать жертвой финансовых мошенников, клиентам банков следует быть очень внимательными и помнить, что их доверчивость может привести к серьезным финансовым потерям.

Можно ли защититься от фишинга?

На самом деле ничего сложного в защите от фишинга нет:

1) Никому и никогда не передавайте свои пароли. Этой информацией должны владеть только вы. Фирма, компании, организация, банк или даже близкий друг не имеют права требовать от вас пароль, посредством которого можно получить доступ к деньгам или персональным данным.

2) Если приходят сообщения от незнакомых адресатов, то это также должно насторожить. Особенно опасными являются сообщения, в которых необходимо перейти по подозрительной ссылке.

3) Всегда проверяйте, тот ли адрес сайта указан в адресной строке. Особенно это актуально, когда вы вводите важные пароли на странице. Название может быть похожим. Иногда злоумышленники меняют только одну букву.

4) Старайтесь работать только с самыми новыми версиями браузеров. Кроме этого, очень важно использовать лицензионное ПО.

5) Если вы работаете на сайте какого-либо банка в защищенной зоне, то обращайте внимание, чтобы вначале названия сайта стояло https, которое является свидетельством защитного соединения.

Если вы внимательно прочитаете и осознаете всю вышеприведенную информацию, то вы с гораздо меньшей вероятностью попадете на «крючок» к злоумышленникам.

Интернет-магазин для рыбалки и Рыбаков в Москве

Мы рады видеть вас в рыболовном интернет-магазине www.IdeaFisherShop.com

Увлекаетесь рыбалкой и нужна надежная удочка для рыбалки? Ищете хороший подарок рыбаку и не знаете где купить рыболовное удилище или катушку? Нужен карповый спиннинг или спиннинг под мульт? Хотите выбрать силиконовую приманку для современной ловли рыбы, или порыбачить по старинке на блесну, проверенную годами, наслаждаться каждой минутой, проведенной на рыбалке?

Или хотите отправиться всей семьей или дружной компанией на пикник или в туристический поход и вам необходимо купить туристическую палатку?

В нашем магазине представлены различные виды экипировки для рыбаков, большое количество снастей, аксессуаров и сопутствующих товаров. Меню слева поможет сориентироваться в многообразии нашего интернет — магазина рыболовных и туристических товаров.

Продукция компании ideaFisher;

Попла-попперы;

Все для зимней рыбалки;

Удочки для зимней рыбалки;

Зимняя леска;

Балансиры;

Мормышки;

Одежда для зимней рыбалки;

Палатки для зимней рыбалки;

Карповые удилища, поплавочные удочки, спиннинги;

Катушки, плетеная леска и монолеска;

Рыболовные снасти;

Рыболовные сумки;

Рыболовные разгрузки, стаканы;

Туристические палатки, спальные мешки и матрасы;

Туристическая мебель;

Одежда для зимней рыбалки и походные принадлежности;

Другие товары для активного отдыха;

Все для летней рыбалки;

Товары для туризма и отдыха.

Мы постоянно расширяем ассортимент товаров для Рыбаков, рыбалки, туризма и отдыха!

Мы предлагаем качественные товары для рыбалки, отличный сервис и оперативное обслуживание и осуществляем доставку рыболовных товаров не только по Москве и ближайшему Подмосковью, но и любой другой регион России, СНГ и за границу.

>Рыбалка во Владимирской области с экипировкой от компании «Формула Фишинг»

Главная

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *