Что такое фишинг и как от него защититься
Соизмеримо развитию информационных технологий во всех сферах деятельности развивается и индустрия интернет-мошенничества. Жажда легкой наживы толкает людей на создание все новых разновидностей вирусного контента. Одним из наиболее часто встречающихся видов мошеннических действий в сети интернет является кража персональной информации — так называемый «фишинг» — далее рассмотрим, что же это такое.
Смысл понятия
Интернет-мошенники отличаются большой предприимчивостью и разнообразием в разработке своего софта. Отчасти это связано с иллюзией безнаказанности (разрабатывая вирусное приложение, программист дистанцирован от потенциальной жертвы). Отчасти и с тем, что интернет-преступники, как правило, намного боле информированы в сфере IT-технологий, чем рядовой пользователь. Фишинг («Fishing») в переводе с английского языка означает «рыбную ловлю», что напрямую связано по смыслу с принципом реализации «фишинг-мошенничества». Под ним понимается прогрессирующий вид незаконных попыток получения пользовательской информации на основе кражи (перехвата) данных персонального доступа. Фишинг — это противоправная деятельность, за занятие которой, к сожалению, до настоящего времени не в полной мере регламентированы меры административно-уголовного воздействия.
Информация во все времена являлась наиболее ценным ресурсом во всех ее проявлениях. Но особенную важность она приобрела с повсеместным внедрением программно-аппаратной среды и систем контроля доступа. Интернет есть везде – начиная от домашнего компьютера и заканчивая автоматизированными рабочими местами крупных государственных корпораций и силовых структур. На серверах финансовых организаций хранятся данные о пользователях и клиентах, на персональных машинах госслужащих — информация, являющаяся корпоративной тайной, на домашних персональных компьютерах, ноутбуках и коммуникаторах -пользовательские данные. Все это представляет огромный интерес для кибер-преступников.
Получить конфиденциальную информацию о персональных данных или платежных реквизитах с дальнейшим ее использованием в корыстных целях мошенники могут многими способами, но основным является фишинг.
Виды
У истоков перехвата информации стоял фишинг, основанный на рассылке писем. В дальнейшем он трансформировался во второй, более сложный и более трудно отличимый, способ завладения чужими данными. Он повсеместно применяется хакерами и в настоящее время.
Спам
Первый, практически «гуманный», способ – реализованный на спам-рассылке большого количества писем по электронной почте. Как правило, в теле сообщения содержалась информация от якобы заслуживающего доверия корреспондента, например, службы безопасности банковской организации или правоохранительных органов о необходимости отправки в ответе на письмо какой-либо личной информации (пароля доступа к определенному сайту, номера кредитной карты, id-кода и тому подобное). Необходимость мотивировалась различными причинами – например, перерегистрацией данных или уточнением с целью повышения безопасности ресурса.
Несмотря на непременный успех махинации в первое время, способ такого фишинга требовал больших ресурсозатрат в виде постоянно обновляемой базы электронной почты, переписки с «клиентами» и т.д. К тому же люди быстро поняли смысл махинации, почта с неизвестных адресов легко блокировалась встроенными средствами почтовых мессенджеров, и большого распространения такой фишинг не получил.
Подмена адреса
Гораздо продуктивнее работал и работает до настоящего времени фишинг-способ мошенничества, основанный на подмене web-адреса страницы интернет ресурса. Суть метода интернет-преступников заключается в создании копий сайтов, наиболее популярных среди пользователей. Способ менее затратный в плане временных ресурсов, чем в случае с письмами, но более эффективный по числу обманутых пользователей интернета.
Как правило, копируется главная страница популярного Web-ресурса или страница с окнами ввода персональных данных. Далее происходит процедура попытки получения охраняемых пользователем информационных данных.
Самый распространенный способ кражи информации — это прием, основанный на психологии человека на основе анализа тематики посещаемости сайтов. Оператору компьютера приходит сообщение, например, о грядущих скидках на товар, которым он интересовался всю прошедшую неделю. Но для того чтобы получить промо-код на скидку в 40%, нужно перейти по прилагаемой ссылке интернет магазина (к слову, письмо может также прийти с url, не отличимого от реального адреса официального магазина). Клик по ссылке вызывает разную реакцию:
- пользователь перенаправляется на фишинговую страницу, внешне практически не отличимую от оригинальной, где человеку предлагается ввести логин и пароль доступа к ресурсу (или якобы пройти регистрацию), далее визуализация заканчивается, но смысла в ней уже нет – персональные данные похищены;
- одновременно с перенаправлением на фишинговый сайт (где все-таки предлагается ввести логин/пароль) в отдельном окне открывается оригинальная страница запрашиваемого интернет-ресурса. Это так называемое сокрытие истинной цели кибер-мошенников в расчете на долгое «сотрудничество». Большинство пользователей воспринимают подобную ситуацию как ошибку системы и не придают ей особого значения;
- переход по ссылке на фишинговый сайт вовсе не преследует цели перехвата информации и вполне возможно даже как-то незаметно выведет юзера на официальную страницу или предоставит действительно существующий промо-код (если речь идет о скидке на товар). Но параллельно, в скрытом режиме, на компьютер потенциальной жертвы загружается вредоносное приложение, получающее права администратора и в дальнейшем выполняющее заранее заложенную создателем программу. Она может совершать различные действия, но все они, как правило, несут негативные последствия – перехват клавиатурных комбинаций, скриншоты экранной информации, сбор, обобщение и скрытое перенаправление на собственный сервер данных по признаку «password» и многое другое.
Последствия фишинговой атаки
Может показаться, что потеря или кража пароля, к примеру, от сайта «Одноклассники» или интернет магазина «Автомир» не несет в себе тяжелых для утерявшего последствий. И беспокоиться следует только при потере более серьезной информации. Однако на деле это далеко не так. Получив данные для доступа на любой интернет-ресурс пользователя (неважно интернет-магазина, популярного мессенджера, почтового сервиса или иного), перед злоумышленником открывается широчайший простор комбинаций:
- от имени жертвы может осуществляться спам-рассылка электронных сообщений, как на адреса друзей и знакомых, так и на адресную книгу собственной базы данных злоумышленника;
- знакомым с человеком в социальных сетях может поступить сообщение с просьбой о срочной финансовой поддержке, которую они вероятнее всего окажут, думая, что просьба исходила от действительного товарища;
- на страницах сайта интернет-магазина может быть считана информация о ранее проведенных платежных операциях, и на ее основе построена стратегия более глубокого внедрения в личную жизнь человека;
- с персонального компьютера может быть похищена конфиденциальная информация, впоследствии использованная для действий шантажного или компрометирующего характера;
- злоумышленник может получить неограниченный доступ (а также заблокировать его для самого владельца) в личный кабинет электронной платежной системы или к web-клиенту приложения банковской (кредитной, дебетовой) карты.
Защита от фишинга
Как утверждают ведущие специалисты по защите информации, самый главный враг интернет-безопасности — это беспечный пользователь, уверенный в своей неуязвимости. Предугадать и предупредить фишинг-атаку невозможно, но минимизировать последствия ее применения вполне по силам всем. Существует несколько основных правил, простое соблюдение которых с вероятностью до 90% убережет интернет-серфера от серьезных последствий фишингового заражения:
- Прежде всего, это конечно же установка, использование и своевременное обновление вирусных сигнатур актуальной версии антивирусного софта (борьба с кибер-преступностью не стоит на месте, и подавляющее большинство антивирусных программ «обучены» распознаванию и блокированию фишинговых ссылок). В полной мере на антивирус полагаться нельзя, так как мастерство мошенников в сети также неуклонно растет и конкретная атака может произойти именно в период информационного перевеса преступника над защитным функционалом блокирующих программ.
- Контроль и визуальный анализ входящей корреспонденции (не стоит сразу же открывать письма, полученные из неизвестных или подозрительных источников). Если сообщение поступило от знакомого или коллеги по работе, не лишим будет уточнить у него посредством любого другого канала связи легитимность электронного письма.
- Выбор и использование настроек интернет браузера – разработчики современных браузеров участвуют в программе ASL противодействия фишингу. Правильными настройками разделов «антиспам» и «антифишинг» можно существенно снизить вероятность успешной атаки с использованием фишинговых ссылок и вредоносных писем.
- Следует воздерживаться от загрузки файлов, являющихся вложением к письмам, полученным из неизвестных источников, в особенности если такие файлы имеют исполняемое расширение exe или упакованы в самораспаковывающиеся архивы rar, zip и подобные. Если файл открыть все же необходимо (к примеру, если почтовый ящик используется в качестве корпоративного и почта с различных адресов является нормой), лучше загружать подобные файлы на облачные сервисы, имеющиеся в любом браузере, и открывать уже там.
- Для хранения логинов, а в особенности паролей доступа, не стоит использовать текстовые редакторы и располагать их на самом компьютере. Пароли лучше создавать с помощью генератора случайных чисел и запоминать, а при невозможности — хранить отдельно от имеющего выход в интернет компьютера.
- Никому, включая доверенных лиц, нельзя сообщать свои пароли. Связан этот запрет даже не столько с неблагонадежностью знакомых и родственников, сколько с предосторожностью об их перехвате в процессе передачи. К тому же знакомый человек может без злого умысла, сам того не подозревая, упустить контроль над сохранением персональных данных.
- Ни один серьезный ресурс никогда не запрашивает информацию о данных логина, пароля, кодового слова, символах подтверждения операций, номерах привязки кредитных карт и т.д. Сообщение с требованием (просьбой) об отправке подобной информации является базовым признаком фишинга.
- Анализ url адресов перехода по ссылкам. Если переход по ссылке осуществлен и на мониторе открыта стартовая страница известного сайта с окнами ввода логина и пароля, следует внимательно изучить набор символов в адресной строке браузера. Браузеры, оснащенные системой сетевой безопасности, предоставляют в бесплатное использование сервисы безопасного хранения ключевых данных. Однажды сохранив пароль к ресурсу, браузер будет автоматически проверять настройки безопасности и вводить символьные строки самостоятельно. Если такое хранилище настроено и функционирует, сам по себе запрос на ввод пароля должен вызывать подозрение.
- Не стоит бездумно оставлять свои контактные данные в качестве лид-клиентов маркетинговых программ, (например, при тестировании продукции нового реализатора). Если продукция интересна и востребована, контактные данные ретейлеров без труда найдутся в открытом доступе, а вот конфиденциальность личных данных уже не будет лишний раз подвергаться угрозе.
- Перехват паролей с использованием «кейлоггеров» (вирусные программы, анализирующие нажатия клавиш) тоже является разновидностью фишинга. Для борьбы с подобным проявлением информационного хищения разработаны и внедрены в оболочки всех операционных систем функциональные дополнения, называемые «экранной клавиатурой».
Признаки атаки
Наиболее опасной является разновидность фишинга, получившая название «фарминг» — от него практически невозможно защититься в связи с тем, что атаке выборочно подвергаются сервера крупных компаний или интернет аукционов. Dns адреса официальных сайтов подменяются пиратскими. Ни один антивирус или браузерный файервол не распознает подделку, потому что адрес ссылки реального сайта остается прежним.
Во всех остальных случаях фишинг имеет ярко выраженные признаки, вот ряд из них:
- сообщение получено с адреса, ранее не фигурировавшего в контактах пользователя;
- в теле сообщения содержится файл, имеющий исполняемое расширение exe или rar;
- в сообщении присутствует ссылка на сайт или серверный адрес с текстовым побуждением данный адрес посетить;
- при переходе по ссылке требуется ввести пароль или иную конфиденциальную информацию, причем сделать это требуется в обязательном порядке «во избежание», «в целях недопущения», «для подтверждения» и т.д.;
- текст письма начинается словами «Вы выиграли», «Вам начислено», «Ваш сервер подвергся заражению» и иными подобными побудителями к немедленным действиям;
- в теле сообщения присутствует прямое обращение от имени службы безопасности или администрации какого-либо ресурса с просьбой предоставить пароль, код доступа, CVV код кредитной карты или данные электронной платежной системы.
Все эти признаки с вероятностью до 90% указывают на неблагонадежность отправителя сообщений и требуют немедленного обращения в службу безопасности интернет провайдера. В последнее время распространение набирает и «телефонный фишинг», смысл которого сводится к той же цели – незаконному получению логинов и паролей доступа, платежных данных кредитных и зарплатных карт. Телефонные фишеры действуют по тому же принципу, что и сетевые, и имеют практически аналогичные признаки распознавания.
Распространенный прием фишинг атаки и пример воздействия
Быстрый взлет фишинг-мошенничества стал реальностью во многом благодаря незнанию или игнорированию большинством пользователей элементарных требований интернет-безопасности. Статистически значимое количество попыток незаконного завладения личной информацией зарегистрировано в социальных сетях в связи с тем, что их контингент в подавляющем большинстве состоит из молодых людей, в силу возраста подверженных действовать больше эмоциями, чем разумной прагматичностью.
Основной метод работы фишеров в социальных сетях в чем-то схож с действиями производителей нелицензированного «пиратского» оборудования и предметов повседневного спроса. Покупая товар на рынке, человек может не заметить (или не знать в принципе) различия в правилах написания марки бренда и приобрести вместо качественного устройства именитого бренда, к примеру «Samsung», его поддельную копию с бросающейся в глаза монограммой «Samcung».
Подобную практику «копирования» адресного кода фишинговых сайтов используют и кибер-преступники. Мало кто из пользователей глобальной сети обращает внимание на адрес ссылки, ведущей на требуемый сайт, или url адрес, с которого на компьютер пришел запрос на ввод данных. Эта беспечность принесла многим мошенникам большие доходы, полученные незаконным путем кражи персональных данных.
Многие люди зарегистрированы и часто посещают социальные сети (к примеру, «Вконтакте»). Для получения данных о личности фишеру достаточно создать копию (клон) главной страницы социальной сети. Для человека, хоть немного знакомого с азами программирования, это не составит туда – исходный код любой интернет страницы доступен в открытом доступе, достаточно только открыть ее штатными средствами WEB браузера с поддержкой языка разметки HTML.
Копия оригинальной страницы создана, далее для ее размещения в интернете фишеру потребуется приобрести доменное имя и пространство на хостинг-сервере любого провайдера. На этом моменте проявляется главная уязвимость непрофессиональных фишеров, работающих в расчете на массовость. Если с хостинг-пространством проблем у хакеров не возникает, то доменное имя первого уровня приобрести на короткий срок (а время существования всех фишинговых сайтов в сети достаточно мало) невозможно.
Зарегистрировав доменное имя, схожее с названием официального веб-ресурса, и купив малый объем серверного пространства, фишер размещает на арендованном сервере вредоносную программу-шпион, кей-логгер, троян или иную другую. Полный адрес размещенного вируса будет выглядеть как – «https://www.vkontakte.orion.com/server/download».
Далее совсем просто – на электронную почту человека или даже в социальной сети от имени знакомого (ранее подвергшегося атаке и уже «взломанного аккаунта») поступает сообщение играющего на социальной психологии человека содержания, что-то вроде:
- нереальные скидки на всю технику apple на нашей странице в контакте – https://www.vkontakte.orion.com/server/download»;
- здравствуйте! Ваш персональный аккаунт подвергся заражению! Для предотвращения блокировки доступа срочно подтвердите свои данные, перейдя по ссылке https://www.vkontakte.orion.com/server/download;
- уважаемый пользователь! Ваши личные фотографии стали доступны в результате внешнего воздействия. В целях удаления перейдите по ссылке – «https://www.vkontakte.orion.com/server/download».
В приливе эмоционального всплеска практически никто не обращает внимание на неточности в адресной строке браузера. А если и обращают, то не придают значения грамматическому расхождению в имени сайта, с которого якобы пришло сообщение.
Вариантов психологического воздействия на человека может быть масса. Иногда сообщение может поступить даже от знакомого лица с просьбой о переходе на указанный адрес для ознакомления с важной или интересной информацией. Самое опасное в такой ситуации то, что после ввода своего логина и пароля доступа на странице фишингового сайта человек действительно перенаправляется на ресурс с интересующими его данными и в дальнейшем даже не подозревает о совершенном в отношении него противоправном действии.
Современные условия организации повседневной и деловой деятельности навязывают принципы информационной экосистемы. Федеральный номер мобильного телефона «привязан» к финансовому счету, персональный аккаунт социальной сети к облачному хранилищу, а текстовые процессоры офисных приложений к базе данных, размещенной на серверах компании. Все это достаточно удобно и рационально, но в теории (а зачастую и на практике) дает мошенникам шанс, однажды завладев на первый взгляд не существенной информацией (вроде номера карты, ip-адреса, никнейма социальной сети или адреса электронной почты), в итоге получить полный контроль над личными данными.
Интересный социологический эксперимент был проведен одной из общественных организаций совместно с ассоциацией «белых хакеров». Целью его было выявление степени беспечности населения по отношению к собственной информационной безопасности и привлечение внимания власти к проблемам безнаказанности мошенничества в сети интернет. Суть эксперимента заключалась в том, что посетителям популярной сети быстрого питания предлагалось получить безалкогольный напиток совершенно бесплатно всего лишь за один лайк на сайте компании-организатора, который необходимо выполнить со своего мобильного телефона.
Буквально десяти минут (пока готовился напиток) хватало программистам, участвующим в эксперименте, для того чтобы выяснить множество личной информации о человеке, кликнувшем на кнопку «лайк». К тому моменту, когда посетитель кафе получал свой напиток, ему выдавалась информация о его паспортных данных, регистрации, образовании, номере телефона и круге постоянного общения. Эксперимент в полной мере отражает проблематику беззащитности всемирной сети от воздействия недоброжелателей, имеющих высокий уровень знаний и низкий моральный облик.