Фишинг: предупрежден, значит вооружен
Информационная безопасность - понятие многогранное, и количество опасностей, от которых предстоит защищаться пользователям, растет пропорционально развитию технологий. Фишинг, о котором пойдет речь ниже, уже нельзя назвать новой угрозой, но, судя по прогнозам аналитиков, при определенном стечении обстоятельств это явление ждет большое будущее.
Итак, как известно, фишинг (phishing = fishing + password) – это один из видов интернет-мошенничества, направленный на получение конфиденциальных данных пользователей посредством рассылки поддельных сообщений от лица банков, провайдеров, платежных систем и других организаций. Обычно такие письма приходят в виде уведомлений клиента о каких-либо событиях (сбои в системе, утеря данных и т.п., в том числе даже совершенствование системы по борьбе с фишингом), в связи с которыми пользователь должен представить, обновить или подтвердить те или иные конфиденциальные данные.
Более подробно о фишинге, его особенностях и отличиях от других видов интернет-мошенничества можно прочитать, например, в исследовании Дарьи Гудковой из "Лаборатории Касперского", а также во множестве других источников, так что смысла в очередной раз говорить здесь об известных истинах, видимо, нет. Остановимся лишь на некоторых интересных моментах.
Интересными особенностями фишинга являются стремление запугать жертву (например, угрозой заблокировать счет в случае неподтверждения идентификационных данных), нежелание самими фишерами обналичивать средства со счетов жертв (за определенное вознаграждение они оставляют это легко выявляемое преступление на откуп более маститым в этом деле коллегам) и высокое качество подделок – от вежливого и составленного по всем правилам сообщения до сайта, на который должна перейти жертва после его прочтения. Естественно, что чаще других жертвами фишеров становятся банки, электронные платежные системы и аукционы (лидеры – PayPal и eBay); там же, где нельзя получить доступ к (большим) денежным средствам жертвы, фишеры воруют ее личные данные в других целях – для создания спам-рассылок, зомби-сетей и т.п.
В последнее время все более заметным явлением становится так называемый "мобильный фишинг", когда жертву обманом (к примеру, от имени друга или знакомого) заставляют перевести определенную сумму на лицевой счет мошенников. Или в ICQ – когда злоумышленники "уводят" чужой номер, и потом от лица его владельца рассылают пользователям из контакт-листа просьбы срочно "помочь с деньгами". Сюда же, наверное, можно отнести и часть сообщений на форумах, в блогах и гостевых книгах с просьбой перечислить деньги "на операцию больному ребенку в Иркутске" с указанием расчетного счета и электронных кошельков, принадлежащих мошенникам. В оффлайне, помимо "мобильного фишинга", что-то похожее происходит при рассылке в почтовые ящики поддельных счетов на оплату коммунальных услуг. В то же время стоит отличать фишинг от отделившегося от него в терминологическом плане "фарминга" - кражи конфиденциальных данных жертвы напрямую через официальные вебсайты при помощи замены на серверах DNS адресов легитимных сайтов на адреса сайтов мошенников.
В апреле уже прошли сообщения о том, что за месяц количество уникальных фишинг-сайтов возросло в 3 раза, что тогда связывалось как раз с расширением сферы деятельности мошенников – не забывая о финансовых организациях, они стали постепенно обращать внимание и на другие типы ресурсов (это, в первую очередь, социальные сети, системы VoIP и почтовые сервисы). То есть явление стало распространяться не только интенсивно (за счет новых идей и технологий мошенничества) но и экстенсивно – за счет новых мест для применения этих идей и технологий (в том числе, среди фишеров стало популярным размещение множества фишинговых URL на одном и том же домене). Вместе с тем, на банковскую сферу до сих пор приходится подавляющее большинство фишерских атак – более 90%. Если же говорить о географическом распространении фишинга, то здесь лидерами являются США, Южная Корея и Китай, а Россия, видимо, в силу небольшой популярности электронных платежных систем и платежей посредством кредитных карт занимает одно из последних мест. Причем в США этот вид мошенничества достиг по истине угрожающих размеров: в конце мая стало известно о том, что в этой стране на удочку злоумышленников попались, как минимум, 1400 топ-менеджеров крупных компаний, среди которых были и специалисты в области безопасности, например из SecureWorks и Sunbelt Software.
В России пока все намного спокойнее, однако специалисты призывают не расслабляться: все равно рано или поздно электронные платежные системы получат у нас широкое распространение, и сейчас есть возможность, глядя на опыт других стран, сделать необходимые выводы и подойти к серьезным фишерским атакам во всеоружии. Многие помнят недавний случай с Яндекс.Деньгами, когда мошенники рассылали пользователям сервиса письма со ссылкой на адрес, по написанию напоминающий настоящий адрес Яндекса ("yanclex").
На этом примере можно попробовать рассмотреть основные (простейшие) способы защиты от фишинга. Во-первых, такие поддельные сообщения довольно часто вообще не попадают в почтовый ящик жертвы, оставаясь в папке "Спам" или хотя бы "Сомнительные". Вывод – необходима постоянная модернизация антифишинговых (например, по тем же коллективным базам данных) и антиспам-фильтров почтовыми службами – с одной стороны, и использование клиентами для хранения конфиденциальной информации и обмена ей достаточно защищенных почтовых служб и ящиков – с другой. Кроме того, известно, что хотя бы просто открыв письмо от мошенников, пользователь во многих случаях автоматически посылает им сигнал о том, что теперь у них стало одним действующим электронным адресом больше.
Во-вторых, стоит использовать наиболее подходящий, "защищенный" и правильно настроенный веб-браузер: в эпизоде с Яндекс.Деньгами многие обратили внимание на то, что даже если поддельное письмо все-таки "упало" в папку "Входящие" и было прочитано жертвой, решившей пройти по фишерской ссылке (содержащей буквосочетание "yanclex"), к примеру, грамотно настроенный Firefox незамедлительно предупреждает пользователя о возможной опасности. Кстати, все это касается не только браузеров, но и других используемых программ, например, киперов Webmoney.
В-третьих, потенциальные жертвы фишеров, ведущие хоть сколько-нибудь активную деятельность в Сети, могут весьма эффективно помогать друг другу, например, вовремя предупредив об опасности и отправив сообщения об атаке в соответствующие компании. Рассматриваемый пример с Яндекс.Деньгами хорошо иллюстрирует, как человек, получивший письмо от фишеров и раскусивший подделку, своевременно предупреждает о ней остальных – в итоге новость получает огласку и активно обсуждается, пользователи замечают, что Firefox оказался более прозорливым, чем Internet Explorer, и отправляют в саппорт последнего (а через него – и в Microsoft) письмо с просьбой разобраться в ситуации. Соответствующие письма получили также сам Яндекс и даже RU-CENTER (по поводу доменного имени сайта злоумышленников). В свою очередь, и специалисты стремятся объединиться в борьбе с мошенниками – для этого была создана Антифишинговая рабочая группа (APWG, Anti-Phishing Working Group), название которой говорит само за себя.
В четвертых, как подчеркивала в разговоре с TelNews.ru руководитель группы спам-аналитиков "Лаборатории Касперского" Анна Власова, стоит ставить специальную защиту: "Наиболее крупные вендоры антивирусного и антиспамерского ПО сейчас включают в свои программы модули, защищающие пользователя от фишинга. Надежная и своевременно обновляемая защита - это основное".
Но главная проблема, представляется, все же лежит в несколько иной плоскости – в области психологии, - и связана она с "образованностью" пользователей. Наиболее уязвимым местом, по которому и бьют фишеры, является именно неосведомленность пользователей, и даже технические нюансы отходят здесь на второй план. Прежде всего, все мало-мальски приличные банки, электронные платежные системы и аукционы стараются предупредить своих клиентов о риске попасть на удочку фишеров. Кроются ли эти предостережения в правилах использования сервиса или доносятся до клиентов каким-либо иным способом – главное, что это именно тот случай, когда на "много букв" стоит обращать максимум внимания. Простейшие меры предосторожности вроде уточнения информации, содержащейся в подозрительном письме, у представителей соответствующей организации по телефону, перехода на сайт этой организации не по ссылке, а посредством самостоятельного набора его официального адреса, а также периодической проверки состояния собственного счета, конечно, отнимут время, но могут и сэкономить деньги.
Пока российские фишеры все еще слишком ленивы и прямолинейны (т.е. их уловки в большинстве своем уступают в изощренности и хитрости идей западных и азиатских мошенников) и все еще позволяют себе рассылать поддельные письма на английском языке, тем самым собственноручно снижая шансы на то, что русскоговорящая жертва попадется на крючок. Примером не очень искусного фишинга может послужить неуклюжая рассылка о сбое в системе базы данных от имени WebMoney Transfer, в которой мошенники не постеснялись призвать потенциальных жертв предупредить об этом "сбое" всех своих знакомых. В 20-х числах февраля этого года российские клиенты "Альфа-Банка" получили по электронной почте письмо, копирующее текст настоящего сообщения "Альфа-Банка" об усилении системы безопасности, с предложением пройти по ссылке и ввести персональные данные. Ссылка вела на сайт злоумышленников в домене сo.kr, о чем "Альфа-Банк" своих клиентов оперативно и предупредил. Как уже сообщала нашему изданию Анна Власова были зафиксированы фишерские атаки и на пользователей Mail.ru, что, они, пользователи, сами и подтверждают.
Уже не первый год ведутся разговоры о возможности и целесообразности открытия специальных доменных зон для банков и финансовых учреждений – есть предложение назвать одну из них (или единственную?) .safe, но ICANN пока не готова поддержать эту инициативу бизнеса, т.к. опасается, что вслед за банками отдельные зоны начнут "клянчить" себе и компании, работающие в других сферах. Основной причиной этой инициативы, по заявлению финансовых бизнес-структур, является именно их желание обезопасить себя и своих клиентов от фишинга – ведь получить домен в такой зоне смогут только прошедшие процедуру регистрации с представлением всех необходимых документов официальные учреждения. Это рвение, надо признать, выглядит весьма обоснованным: если верить данным исследований APACS, ежегодный рост подобных преступлений в банковской сфере составляет 44% (около $60 млн. ущерба в 2006 году).
В это время осознавшие безнаказанность своих действий фишеры открывают все новые способы получения дохода, к примеру, объявляя о начале продаж некоего программного набора для сетевого мошенничества, правда, по словам специалистов, не отличающегося особой сложностью. Вместе с тем другие эксперты полагают, что банкам стоит избрать другой способ для общения с клиентами, отличный от электронной почты, т.к. фишинг уже окончательно дискредитировал последнюю в качестве средства коммуникации между банком и клиентами (это подтверждает и рассматриваемый по ссылке случай с Citibank).
Более подробно поговорить о фишинге и перспективах его распространения в нашей стране с TelNews.ru согласились побеседовать ведущий вирусный аналитик "Лаборатории Касперского" Виталий Камлюк, руководитель Центра компетенции Trend Micro в России и СНГ Михаил Кондрашин и координатор Рабочей группы Проекта "Антиспам" Евгений Альтовский:
- Ваша оценка последних сообщений о пугающих темпах роста распространения фишинга. Действительно ли все так плохо?
Виталий Камлюк: Количество фишинг-сайтов действительно значительно увеличилось в этом году. Рост числа фишинг-сайтов объясняется довольно просто: киберпреступники понимают, что разработка фишинг-сайта и рассылка спам-сообщений обходится дешевле, чем разработка мощного троянца, ворующего пароли. Да и сама разработка требует лишь небольших знаний в веб-программировании, которыми сегодня обладает даже школьник. Я не думаю, что тенденция быстрого роста сохранится надолго. Увеличение числа мошеннических сайтов вызовет ответную реакцию со стороны компетентных органов и несколько громких арестов охладят интерес к этой довольно новой области электронного мошенничества. Для сравнения: в зоне .ru находится около 2% всех фишинг-страниц Интернета, а вот каждая третья фишинг-страница располагается в США.
Михаил Кондрашин: Темпы роста фишинга угрожающи, так как этот вид преступной деятельности очень прибылен. Нужно полагать, что в ближайшее время тенденция не изменится.
Евгений Альтовский: Плохо, у "аналитиков" сезонное обострение - пришла пора писать отчеты "о состоянии дел в Интернете и нашем вкладе в его улучшение", а хорошие новости цитируются менее охотно, чем плохие. Жанру сообщений "все плохо, приходят последние дни Интернета" чуть меньше лет, чем самому Интернету и они не имеют обычно никакой связи с реальным положением дел. То есть плохо может быть на самом деле, но насколько плохо и как давно стало плохо - тут никакой корреляции с причитаниями "аналитиков" не прослеживается. Фишинг – это, действительно, реально существующая и масштабная проблема, темпы его распространения соответствуют темпам развития Интернета и распространения интернет-банкинга. Зная примерные перспективы развития интернет-банкинга (как "белого" бизнеса), мы можем достаточно точно сделать прогноз динамики развития фишинга (как "черного", а потому не поддающегося точно оценке бизнеса).
- Насколько наиболее известные фишерские атаки в Рунете сопоставимы по эффекту с крупнейшими атаками на Западе?
Виталий Камлюк: Масштаб фишинг-атаки можно оценить по числу адресов, на которые производилась рассылка фишинговых писем. Точные числа спам-рассылки знают лишь конечные почтовые системы, поэтому реальных чисел фишинг-атак у нас, к сожалению, нет. Единственное, что можно сказать, это то, что сегодня фишинг-атаки за рубежом в тысячи раз масштабнее российских.
- Правильно ли утверждение о том, что в пока в России фишинг распространен слабо - из-за малого количества пользователей платежных систем?
Виталий Камлюк: Прежде всего, в России не так уж мало пользователей платежных систем. По последним сведениям числа пользователей популярных платежных систем сейчас следующие:
WebMoney: 3,7 млн. аккаунтов
RuPay: 740 тыс. аккаунтов
Яндекс.Деньги: не предоставляет сведений
Итого более 4 млн. пользователей - не такое уж и маленькое число потенциальных жертв! Однако есть причины, по которым российские фишеры пока держатся подальше от российских платежных систем. Прежде всего, российским фишерам куда безопаснее воровство заграничных аккаунтов и дальнейший перевод денег в Россию. Преступника и пострадавшего разделяет государственная граница, что сильно усложняет процесс поиска мошенника. А что до иностранных фишеров - то для них российские платежные системы относительно молоды и число пользователей по сравнению с западными системами слишком мало. Поэтому иностранные фишеры пока не сильно интересуются российскими платежными системами.
Евгений Альтовский: Правильно. Во-первых, из-за малого количества пользователей; во-вторых, из-за драконовских мер, принимаемых банками к обеспечению безопасности систем интернет-банкинга, в частности - использования ПО собственной разработки, а не веб-интерфейсов. Непроработанность российского законодательства в этой области, в частности, регулирующего сферу ЭЦП, в данном случае оказалась благом - банки многократно перестраховываются.
- Насколько потенциально опасен фишинг для российских пользователей в будущем? Есть ли какие-то прогнозы на этот счет? Можно ли как-то обезопасить себя заранее?
Виталий Камлюк: Фишинг всегда будет оставаться опасной угрозой как для российских пользователей, так и для пользователей из других стран. В отличие от многих других видов угроз, фишинг обладает четкой ориентированностью на отдельного человека и его финансовые ресурсы. Если существующие средства защиты информации, такие как антивирусы, фаерволы, системы IDS являются универсальными и подходят как отдельным пользователям, так и компаниям, то с системами защиты от фишинга дело обстоит иначе. Если сотруднк какой-то компании теряет деньги из-за успешной фишинг-атаки прямо на рабочем месте, то сама компания при этом не несет прямых финансовых потерь. Как правило, компании куда сильнее заинтересованы в защите от утечек информации, хакерских атак и вредоносных программ, чем от фишинга. Это сказывается и на спросе на рынке программных средств защиты. Спрос на системы защиты от фишинга пока не так велик, поскольку в нем практически не участвуют корпорации.
Самый надежный способ защиты от фишинга - это бдительность пользователя. Но прежде следует узнать, от чего защищаться и как не попасться на уловки фишеров, нужно знать врага в лицо. Например, здесь можно найти множество примеров фишинг-атак. Узнав, чем пользуются фишеры, не попасться на их уловки будет гораздо легче.
Михаил Кондрашин: Популярность фишинг-атак на российских пользователей пропорциональна популярности онлайн-банкинга и любых других фининсовых онлайн-услуг. Масштабность угрозы фишинга для российских пользователей никогда не будет столь значительной, как для пользователей США, Европы и Японии, так как онлайн-системы в этих странах разрабатывались в эпоху, когда фишинга не существовало. Разработчики российских онлайн-системы прекрасно осведомлены, что защиты паролем совершенно недостаточно.
Евгений Альтовский: Потенциально более опасен, так как информационная грамотность и информационная культура россиян, в среднем, ниже, чем у жителей тех стран, где Интернет получил распространение раньше. Спасение я вижу в развитии навыков информационной грамотности и информационной культуры, так как любые технологические меры защиты окажутся бесполезными в руках "чайников".
- Есть ли какие-то более эффективные, по сравнению с другими, методы защиты от фишинга? Как долго еще в качестве основного средства борьбы с фишингом будут использоваться спам-фильтры?
Виталий Камлюк: Спам-фильтры можно назвать одним из средств. Однако нужно понимать, что их первоочередная задача - борьба со спамом, а не с фишингом, и то, что в результате приходит меньше фишинговых писем, благодаря спам-фильтру, - это лишь побочный эффект. Более эффективны в этом смысле комплексные антивирусные решения, в составе которых есть специальные антифишинговые модули. Но самым эффективным средством является внимание к проблеме и ее понимание пользователями - ведь для того, чтобы определить, является ли веб-страничка фишинговой, нужно лишь уметь пользоваться веб-браузером и иметь представления о вариантах электронного мошенничества. Фишинг в некотором смысле паразитирует на пользовательской неосведомленности, поэтому для того, чтобы искоренить его, нужно лишить его средства существования - а именно просветить пользователей.
Михаил Кондрашин: Спам-фильтр – это далеко не самый эффективный метод борьбы с фишингом, так как злоумышленники используют в своих рассылках изощренную социальную инженерию. В такой ситуации пользователь, обнаружив в спам-карантине фишинг-письмо, сочтет его ложным срабатыванием антиспама, и атака против этого пользователя увенчается успехом несмотря ни на какие спам-фильтры. Существенно более прогрессивной и эффективной является технология веб-репутации. Поскольку фишинг-письмо - это только "наживка", а "крючком" является поддельный сайт, то нужно превентивно блокировать доступ к этому сайту, не давая пользователю шанса оказаться обманутым. При использовании технологии веб-репутации каждый посещаемый сайт проверяется в реальном времени по специальной базе. Если у сайта "плохая" репутация, например он был создан только несколько часов назад (что характерно для подложных сайтов фишеров), то доступ к нему блокируется и у пользователя нет возможности посетить его.
- Какие основные технологии сейчас используют АВ-вендоры в борьбе с фишингом? Каково будущее коллективных баз данных фишинг-адресов?
Виталий Камлюк: Могут использоваться разные технологии. Как типичные антивирусные (например, если по ссылке в фишинге пытается подгрузиться вредоносное ПО, хотя сейчас это достаточно редкая ситуация), так и типичные антиспамерские (счетчики массовости, выявление следов спамерского ПО для массовой рассылки и т.п.). Есть специализированные технологии для анализа и распознавания фишинга. Они включают в себя как эвристический анализ контента сообщения, так и использование специализированных черных списков (адресов страниц, сайтов или целых доменов, размещающих фишинговые веб-страницы). Сложность в построении какой-либо эвристической системы определения фишинга заключается в том, что по содержимому страницы строго определить, является ли страница фишинговой, нельзя. Все дело в том, что отличие фишинговой страницы от нефишинговой состоит, как правило, в адресе получателя введенных пользователем данных.
Базы данных фишинг-адресов постоянно растут. И дело не только в том, что количество фишинг сайтов увеличивается. Это еще связано и с миграцией фишинг-сайтов: они постоянно перемещаются с одного сервера на другой. Средняя продолжительность жизни фишингового сайта составляет менее 4 дней, после чего сайт перемещается на новую площадку, поэтому рост объема базы данных адресов довольно велик. Так, если сейчас средняя длина URL фишинговой страницы составляет 70 символов, и ежедневно в открытые базы фишинг-адресов добавляется в среднем по 1500 новых адресов, то при сохранении темпов добавления новых фишинговых адресов база будет увеличиваться почти на 40 Мб в год! Неплохой довесок к браузеру, не так ли?
Михаил Кондрашин: Во-первых, это специальные фильтры в антиспаме, которые не маркируют фишинг-письма, как спам, и не перемещают их в карантин, а вообще удаляют их из почты. Во-вторых, это фильтры веб-трафика, которые блокируют известные сайты фишеров. Наиболее прогрессивным способом является описанная выше технология веб-репутации, так как она позволяет блокировать доступ к сайту фишеров, появившемуся только что и неизвестному никакой лаборатории безопасности.
Базы данных фишиг-сайтов не являются эффективным средством борьбы с фишингом. Даже если произойдет объединение баз всех вендоров, это не станет решением проблемы фишинга. Гораздо перспективнее технологии веб-репутации. В TrendLabs база репутации всех интернет-доменов ведется длительное время, и в самом ближайшем будущем будут представлены решения, в которых реализованы сервисы веб-репутации.
* Мнение Редакции MoneyNews может не совпадать с мнением авторов оригинальных материалов.
Источник: www.moneynews.ru
Комментировать статьи на сайте возможно только в течении 30 дней со дня публикации.