Главная » Пдд » Направленный фишинг – современная угроза безопасности. Сообщение о фишинге или спуфинге

Направленный фишинг – современная угроза безопасности. Сообщение о фишинге или спуфинге

Часть 2

Алексей Комаров
эксперт по информационной безопасности

Новые методы противодействия

Описанные в 1-й части статьи (журнал "Информационная безопасность" № 1-2009, с. 4) методы противодействия фишинговым атакам (уникальный дизайн сайта, одноразовые пароли, односторонняя аутентификация, URL-фильтрация), особенно применяемые совместно, позволяют повысить безопасность, однако остаются подверженными тем или иным видам атак и при известной настойчивости злоумышленника не смогут защитить деньги и данные пользователя.

Рассмотренные способы обладают одним общим недостатком: применяемые меры легко сводятся на нет небрежностью или невнимательностью пользователя. Согласие принять подписанный недоверенным УЦ сертификат или переход по ссылке из спамового письма на поддельный сайт вообще без установления защищенного SSL-соединения, несвоевременно обновленный антивирус, неправильно настроенный локальный МСЭ, введение трех идущих подряд одноразовых паролей на фишерском сайте, согласие выбрать новую картинку для сайта или игнорирование сообщения о невозможности загрузить ее - все это и многое другое в конечном итоге может привести и, к сожалению, приводит к финансовым потерям.

Как правило, в договорах, заключаемых с пользователями платежных систем или клиентами банков, вся ответственность за халатность в действиях возлагается на самих пользователей. Попытка таким образом обезопасить себя юридически уже приводит к ответным действиям клиентов. Не редкостью становятся судебные процессы, в которых адвокаты доказывают, что при имеющейся системе аутентификации обеспечить сохранность данных клиент был не в состоянии, о чем в момент заключения договора сотрудники банка не могли не знать, а значит, и возложение ответственности было неправомочным. С другой стороны, потеря денег пользователями, пусть даже по своей вине, в любом случае негативно сказывается на репутации банка в их глазах, а при массовых потерях и в глазах еще не пострадавших клиентов.

Рассмотрим методы борьбы с фишинговыми атаками, представляющиеся наиболее эффективными на сегодняшний день.

Пропаганда культуры поведения

Как мы уже выяснили, самое слабое звено в современных системах защиты вообще и от фишинговых атак в частности - человек. Именно поэтому основное внимание компании, обеспокоенной потенциальными финансовыми потерями, стоит обратить на пропаганду основ информационной безопасности среди своих сотрудников и клиентов.

Приведем некоторые правила, рассказам о которых стоит уделить чуть больше внимания, чем принято (обычно они просто упоминаются на предпоследней странице многостраничного договора на обслуживание):

не доверяйте ссылкам в электронных письмах;
не отправляйте личную информацию в ответ на просьбу по электронной почте;
проверяйте правильность URL-адреса;
вводите адрес в строку браузера самостоятельно;
используйте только телефонные номера, указанные на кредитной карте или в договоре;
не открывайте неизвестные вложения в письмах.

Возможно, кому-то этот список покажется элементарным, но если говорить о пользователях в целом, то общепринятое выполнение даже таких простых правил способно существенно уменьшить доходы фишеров, потенциально сделав данный бизнес менее рентабельным, а значит, менее привлекательным. Правила дорожного движения тоже нельзя назвать сверхсложными, но их знание и выполнение ежегодно спасает немало жизней.

Понятно, что в масштабах государства пропаганда правил компьютерной безопасности не является столь высокоприоритетной задачей, и поэтому основная надежда здесь на руководителей организаций. Ведь именно их бизнесу и их деньгам напрямую через сотрудников или опосредованно через клиентов угрожают фишеры.

Противодействие фишингу в корпоративной среде

Основным приоритетом при построении защиты от фишинга в рамках компании стоит сделать минимизацию зависимости от человеческого фактора. Поэтому наиболее перспективными представляются шлюзовые решения, которые в отличие от персональных продуктов не только снижают нагрузку на рабочие станции и упрощают администрирование, но и позволяют закрыть всю компьютерную сеть организации единым надежным "зонтиком".

Современные эффективные шлюзовые решения борются с фишерскими атаками на четырех уровнях:

Уровень доступа. Основа антифишинговой безопасности -это уже рассмотренная URL-фильтрация (запрет доступа к сайтам из категории фишинговых), которая, несмотря на свою низкую эффективность "в бою один на один", дополненная рядом технологий, позволяющих отличить ссылку на фишерский сайт от легитимной, способна оказать сопротивление фишерам.
Уровень активного контента. Лучшие в этом классе решения реализуют фильтрацию HTML-кода и внедренных объектов на наличие вредоносного кода, в том числе скрытых каскадных переадресаций, когда тело трояна собирается из небольших безвредных по отдельности и потому трудно детектируемых фрагментов на нескольких сайтах, по которым пользователя прозрачно для него "пробрасывают". Благодаря эффективной очистке трафика реализуется защита пользователя от потенциальных нежелательных последствий в случае состоявшегося все же перехода на фишерский сайт.
Уровень коммуникаций. В том случае, когда целью привлечения пользователя на поддельный сайт является заражение его компьютера каким-либо вредоносным кодом, еще одним уровнем блокировки защиты может быть предотвращение передачи приватных данных, собранных ботами. Несмотря на большое количество и огромное разнообразие видов самих троянов и ботов, существует всего лишь несколько десятков коммуникационных протоколов, по которым они взаимодействуют со своим управляющим центром. Таким образом, блокировка таких коммуникаций наиболее эффективно осуществляется по сигнатурам протоколов, а не самого вредоносного кода.
Уровень передачи данных. Получившие широкое распространение в последние годы DLP-решения (Data Leak Prevention) позволяют в рамках компании построить еще один рубеж обороны в виде контроля потенциальных каналов утечки данных. Такие решения могут помочь в выявлении и предотвращении отправки вредоносным кодом, например, номера кредитных карт или другой конфиденциальной информации.

Пожалуй, единственным слабым местом таких систем может оказаться невозможность защиты мобильных сотрудников, работающих удаленно по открытым каналам связи. Для решения данной проблемы в качестве одного из вариантов можно предложить проксирова-ние, то есть выход в Интернет с ноутбуков компании только через головной офис. Такое же решение для упрощения администрирования и снижения финансовых затрат можно предложить и для филиалов. Стоит отметить, что ведущие игроки этого сегмента рынка готовы помочь своим клиентам самим почувствовать себя в роли таких филиалов, предлагая не приобретать и сопровождать их продукты, а арендовать для фильтрации почтового и веб-трафика вычислительные мощности самого производителя.

Противодействие фишингу как конкурентное преимущество

Помимо заботы о собственной конфиденциальной информации и защите сотрудников в филиалах и офисах многие компании заботятся и о своих клиентах. Деловая репутация порой стоит дороже, чем затраты на построение действительно безопасной системы по аутентификации пользователей.

Уже рассмотренный ранее протокол SSL имеет возможность проводить двустороннюю аутентификацию, когда проверяется валидность не только сервера, но и самого пользователя. Для этого клиентам, например, банка необходимо получить цифровой сертификат. Сделать это можно, как правило, при заключении договора на обслуживание или позже в любое время.

Отказ от паролей при доступе пользователей к счетам серьезно осложняет жизнь фишерам. Использование цифровых сертификатов на стороне сервера и клиента снимает проблему атаки "человек посередине" и делает прослушивание и перехват трафика бесполезными.

Основой безопасности при использовании цифровых сертификатов является сохранность закрытого ключа. Организация имеет гораздо больше, чем рядовой пользователь, финансовых и технических возможностей по надежной защите закрытого ключа, используемого для аутентификации ее веб-сайта. Хранение клиентом своего закрытого ключа в реестре операционной системы или на жестком диске не является безопасным. В случае заражения компьютера пользователя эти данные легко могут быть похищены вредоносным программным обеспечением, и защита закрытого ключа паролем не будет являться надежной гарантией сохранности денежных средств пользователя. Применяемые на практике пароли редко превышают 8 символов и зачастую, если и не являются осмысленным словом, то состоят только из прописных букв латинского алфавита.

Надежным способом хранения закрытых ключей пользователя на сегодняшний день является использование криптографических токенов. В отличие от других внешних носителей (например, тех же USB-флэш) при использовании токенов нет необходимости в копировании секретной информации в оперативную память компьютера при проведении операции аутентификации, так как подобные устройства не только надежно хранят закрытые ключи, но и аппаратно выполняют необходимые криптографические вычисления. При этом важно, что воспользоваться токеном может только его владелец, знающий пароль от него (PIN-код).

Многие банки уже сегодня предлагают своим клиентам возможность аутентификации не только по одноразовым паролям, но и с использованием цифровых сертификатов. Пока использование аппаратных криптографических токенов для повышения безопасности хранения закрытых ключей не получило широкого распространения. Тем не менее банков, прибегающих к этому методу, становится с каждым годом все больше, ведь данный механизм на сегодня является одним из самых надежных для аутентификации при осуществлении онлайн-транзакций.

Всего статей: 2

В современном мире, с развитием технологий, компьютер и смартфон стали неотъемлемой частью жизни каждого человека. С помощью компьютера и Интернета, человек, не выходя из дома, может с легкостью получать различную информацию, контролировать свои финансы, выполнять различные операции. Интернет – это безграничный мир информации, который дает широкие возможности для общения, обучения, организации работы и отдыха и в то же время представляет собой огромную, ежедневно пополняющуюся базу данных, которая содержит интересную для злоумышленников информацию о пользователях. Существует два основных вида угроз, которым могут подвергаться пользователи: технические и социальная инженерия. Техническая инженерия представляет собой, как правило, работу различных вредоносных программ, социальная инженерия-это в первую очередь фишинг-атаки.

Фишинг, в переводе с английского языка, означает ловить рыбу, рыбачить. Если разобраться в сути данного вида мошенничества, то оно напоминает именно своего рода рыбалку, где добычей будут люди, их личная информация и финансы.

Фишинг-атаки организуются следующим образом: злоумышленники создают подложный сайт, который выглядит абсолютно таким же, как и необходимый сайт банка или любой другой организации. Следующий этап- привлечение потенциальных жертв на подложный сайт, для того, чтобы последние, посетив сайт-клон, оставили персональные данные: логин, пароль, PIN-код. Используя полученные данные, кибер-мошенники крадут деньги со счетов пользователей .

Как правило, для того, чтобы привлечь пользователей на подложный сайт, мошенники делают почтовую рассылку электронных сообщений, которые выглядят так, будто письма отправлены именно с банка или другой финансовой организации, т.е. используется логотип организации, его стиль письма, оформление и даже ссылки в фишинг-сообщениях похожи на реальный адрес банка в интернете. Кроме того, сообщение может содержать ваше имя, как будто оно действительно адресовано вам лично. В письмах мошенников обычно приводится правдоподобная причина, требующая ввода вами на сайте «банка» своих данных. Злоумышленник, выступающий от имени банка или другого известного сервиса (например, PayPal или Facebook), требует от вас ввести конфиденциальные данные якобы с целью их проверки и обновления информации об ученой записи. Другой вариант: злоумышленник сообщает, что от имени вашей учетной записи была замечена подозрительная активность, и вы должны «доказать», что являетесь владельцем аккаунта. Таким образом, атакующий закидывает «приманку» в огромное море Интернет-пользователей, получает личную информацию, добровольно (в большинстве случаев) переданную пользователем, и использует ее в злонамеренных целях: будь то кража личных данных, мошенничество с кредитными картами и т. д.

Наиболее распространенная форма фишинга– массовый фишинг, поскольку в данном виде атаки отсутствую конкретные цели и используется мошеннический метод социальной инженерии против множества людей. Таким образом, при данном виде фишинга нет необходимости в сборе информации, так как атакующий маскирует свое сообщение будто бы посылаемое от представителя популярного, всемирно-известного бренда .

Фактически, лишь малая часть этих людей будет клиентом банка, авиакомпании, Интернет-магазина или пользоваться социальными сетями или любой другой службой, от имени которой рассылаются письма. Однако, небольшая часть все же откроет присланное сообщение, проследует по ссылке или откроет вложение.

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные .

Набирает свои обороты и SMS-фишинг, также известный как смишинг. Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, - входя на него и вводя свои личные данные, жертва аналогичным образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем» .

Существует несколько простых правил, следуя которым, пользователи смогут обезопасить себя от атак кибер-мошенников:

Необходимо внимательно относиться к сообщениям, в которых вас просят пройти по ссылке и указать личные данные. Вероятность того, что банк будет запрашивать такую информацию по электронной почте, чрезвычайна мала.
Не стоит заполнять сомнительные анкеты, полученные по электронной почте. Такую информацию можно вводить только на действительно проверенных и безопасных сайтах. Также стоит убедитесь, что его адрес начинается с «https://» и найдите пиктограмму, похожую на запертый висячий замок, в правом нижнем углу окна браузера.
Если у вас возникли малейшие подозрения относительно сообщения, которое пришло с «банка», у вас всегда есть возможность связаться непосредственно с банком и уточнить, проводилась ли рассылка электронных сообщений и т.д.
Не проходите по ссылкам в электронных письмах в формате HTML: киберпреступники могут спрятать адрес подложного сайта в ссылке, которая выглядит как настоящий электронный адрес банка. Вместо этого наберите адрес вручную или скопируйте ссылку в адресную строку браузера.
Стоит также контролировать работу антивирусных программ на вашем ПК, убедитесь, что антивирусное решение вашего компьютера способно блокировать переход на фишинговые сайты. Есть возможность также установить интернет-обозреватель, оснащенный фишинг-фильтром .
Регулярно проверяйте состояние своих банковских счетов и просматривайте банковские выписки, чтобы убедиться в отсутствии «лишних» операций.
Следите за тем, чтобы у вас всегда были последние обновления безопасности.

Таким образом, мы приходим к выводу, что кибер-мошенники, на сегодняшний день, имеют реальную возможность не только завладеть нашей конфиденциальной информацией, но и похитить с ее помощью наши сбережения, поэтому задача каждого пользователя внимательно следить за электронными сообщениями, а также проходить только по проверенным и безопасным ссылкам и сайтам .

Лорри Фейт Кренор

Не ловись, рыбка! Проблемы и методы борьбы с фишингом

Лорри Фейт Кренор (Lome Faith Cranor) занимает пост адъюнкт-профессора информатики и технической и общественной политики в Университете Карнеги-Меллона и возглавляет лабораторию практической конфиденциальности и безопасности, где руководит исследованиями в области борьбы с фишингом. Кроме того, недавно она стала соучредителем компании Wombat Security Technologies, цель которой - вывод разработанных ее группой продуктов на рынок. Кренор опубликовала четыре книги и множество научных статей о защите информации в сетях, фишинге, спаме, электронном голосовании и других предметах, связанных с информационной безопасностью. Она надеется, что со временем люди перестанут воспринимать выражение «практическая безопасность» как оксюморон.

Основные положения

Фишинг - это вид сетевых преступлений, заключающийся в выманивании у людей конфиденциальной или секретной информации. Он уже обходится жертвам в миллиарды долларов в год, и угроза его растет. Поскольку фишинг основан на человеческих слабостях, изучение факторов, определяющих склонность людей клевать на удочку, поможет обучению пользователей и совершенствованию технологий защиты от мошенничества. Для борьбы с фишингом нужно объединение усилий правоохранительных органов, специалистов по защите информации и обычных пользователей.

За последнюю неделю я получила массу электронных писем: предупреждения от нескольких банков о предстоящей блокировке моих кредитных карт, напоминание eBay о необходимости сменить пароль, уведомление от Apple о неоплаченных счетах за скачанную музыку, предложение авиакомпании быстро заработать $50, заполнив опросную анкету, и просьбу Красного Креста перечислить деньги в фонд помощи пострадавшим от землетрясения в Китае. С виду эта корреспонденция не вызывала никаких подозрений. Однако все письма, кроме сообщения от eBay, были фальшивками, известными под названием «фиш» (phish, искаженный вариант английского слова fish- «рыба»).

Мошенники виртуозно составляют послания от имени уважаемых организаций и обычно призывают совершить срочные действия, чтобы избежать нежелательных событий или что-то заработать. Цель состоит в том, чтобы побудить человека зайти на некий сайт или позвонить по определенному номеру и выдать мошенникам свою персональную информацию. Иногда достаточно щелкнуть мышкой по ссылке или открыть файл, прикрепленный к электронному письму, чтобы компьютер оказался зараженным вредоносной программой, позволяющей «фишеру» (phisher, искаженный вариант английского слова fisher - «рыбак») извлекать нужную информацию или управлять компьютером жертвы для осуществления дальнейших атак. У каждой фишинговой атаки есть свои особенности, однако результат обычно один и тот же: тысячи беспечных жертв предоставляют преступникам сведения, которые затем используются для хищения денег с банковских счетов или для получения секретной информации.

Международный консорциум организаций по борьбе с сетевым мошенничеством отслеживает активность фишинга. В 2007 г. общее число фишинговых сайтов, выявляемых каждый месяц, достигло 55 643. Для обмана жертв и убеждения их в том, что они имеют дело с уважаемыми организациями, каждый месяц использовались названия или логотипы около двухсот компаний. По оценке консалтинговой компании Gartner, в 2007 г. на фитинг попалось 3,6 млн американцев, суммарные потери которых превысили $3,2 млрд.

Ставки высоки, и специалисты по информационной безопасности разрабатывают для почтовых клиентов и веб-браузеров все более совершенные фильтры, способные выявлять и регистрировать попытки фишинга. Хотя такие программы помогают пресекать множество атак, фишеры постоянно меняют тактику, стремясь идти на шаг впереди защитных технологий. Фишинг основан на использовании человеческих слабостей, и чтобы атака прошла успешно, жертва должна поддаться соблазну и предпринять определенные действия, так что проблема не только в технологии. Поэтому моя группа в Университете Карнеги-Меллона занимается поиском наилучших способов обучения людей распознаванию попыток фишинга и защиты от них. Кроме того, мы рассказываем людям, как работают антифишинговые программы, чтобы пользователи могли правильно их применять. Поскольку человеческий фактор является ключевым для успеха фишинговых атак, мы пришли к выводу, что он же может стать важным оружием и в борьбе с фишингом.

Когда в 2004 г. мы впервые попытались понять, почему люди попадаются на удочку, мои коллеги Манди Холбрук (Mandy Holbrook) и Джули Даунз (Julie Downs) провели опрос на улицах Питтсбурга. Оказалось, что большинство людей ничего не знают о фишинге. Некоторые слышали о мошенничестве через электронную почту с использованием названий финансовых организаций, но не осознавали, что сообщения якобы от торговцев могут быть жульническими. Мало кто может выявить поддельное послание: обычно достоверность электронных писем оценивается по внешним признакам, таким как наличие логотипа и профессиональная стилистика текста. Многие пользователи не понимают смысла предупреждений об опасности, выдаваемых веб-браузерами, и не знают, как использовать подсказки, содержащиеся в веб-адресах и в самих сообщениях, для проверки достоверности последних.

Когда необходимость в просвещении интернет-пользователей в отношении фишинга стала очевидной, мы занялись обзором проводимых на тот момент мероприятий в этой области, чтобы понять, почему не видно их результатов. Мы обнаружили множество разнообразных сайтов, посвященных антифи-шингу и созданных компаниями, правительственными организациями и промышленными ассоциациями. Некоторые из них были перегружены техническим жаргоном и содержали больше информации, чем может усвоить обычный пользователь без технического образования. Лишь немногие сайты давали хорошую основу для повышения осведомленности людей об опасности фишинга, но и они слабо помогали людям защититься от него. Лабораторные исследования показали, что некоторые материалы, лучше всего объясняющие опасность фишинга, делают людей чрезмерно подозрительными в отношении подлинных веб-сайтов.

Хуже того, предупреждения о фишинговых атаках, рассылаемые компаниями своим работникам и клиентам, чаще всего остаются без внимания. В ходе экспериментов добровольцы читали фишинго-вые письма гораздо охотнее, чем сообщения об информационной безопасности. Исследования показали, что абстрактная осведомленность о фишинге сама собой не превращается в защиту.

Исходя из полученных представлений, члены моей группы Понну-рангам Кумаругуру (Ponnurangam Kumaruguru), Алессандро Аквисти (Alessandro Aquisti) и другие разработали обучающую систему PhishGuru, предоставляющую антифишинго-вую информацию после того, как пользователь попадется на имитацию фишингового послания. В программе содержится набор кратких сообщений, указывающих на необходимые действия и представленных в виде мультфильмов, где персонаж по имени FisfiGuru объясняет потенциальным жертвам, как им защитить себя. Люди, просмотревшие эти мультфильмы после того, как попались на посланные им имитированные фишинговые сообщения, в дальнейшем гораздо реже становились жертвами реальных атак.

Обобщив этот подход, мой аспирант Стив Шэн (Steve Sheng) разработал обучающую игру Anti-Phishing Phil, которая учит людей определять адреса подозрительных сайтов и демонстрирует, как люди попадаются на удочку. Игроки играют роль Фила - молодой рыбы, которая должна изучать адреса, связанные со знакомыми ей червями, и определять, каких из них можно есть. Если Фил пытается ухватить червя с мошенническим адресом, он попадается на крючок и выхватывается из воды. Тогда на сцене появляется более старая и мудрая рыба и объясняет, где ошибся Фил. С помощью лабораторных и полевых испытаний мы показали, что эта игра существенно повышает способность людей выявлять фальшивые сайты. Сравнение поведения пользователей до и после обучения показало значительное уменьшение случаев, когда фишинговые сайты ошибочно принимались за подлинные, а подлинные - за фишинговые. Прошедшие эту игру превосходили по этим показателям тех участников испытаний, которые обучались по пособиям или материалам из других источников.

Хотя мы и показали, что можем научить пользователей защищаться от фишеров, даже обученным пользователям нельзя терять бдительность и желательно периодически повторять курс обучения, чтобы быть в курсе новых фишинговых трюков. В 2008 г. резко возросло количество программ и сайтов, предназначенных для кражи паролей. Еще одна растущая угроза - spear-phishing («охота с острогой»), т.е. атаки, адаптированные к конкретным потенциальным жертвам. Такая атака может иметь вид электронного сообщения работнику компании от ее менеджера, что должно внушить доверие и побудить работника открыть вложение. Составлять такие адресные сообщения злоумышленникам может помогать информация, имеющаяся на корпоративных сайтах и сайтах интернет-сообществ.

Поскольку фишеры не дремлют, дельзя рассчитывать на то, что пользователи смогут защититься самостоятельно. Наша группа занимается разработкой автоматических фильтров, способных распознавать фишинговые атаки. Однако эффективность таких фильтров серьезно зависит от правильной реакции людей.

Комплексная защита
Многие браузеры уже содержат встроенные защитные фильтры а могут работать совместно с другими программами для выявления подозрительных сайтов. Но даже при условии, что программные антифишинговые средства будут выявлять фишинговые сайты, от них будет мало проку, если пользователи будут игнорировать их предупреждения. Чтобы понять, почему пользователи не обращают внимания на предупреждения об опасности, мой аспирант Серж Эгельман (Serge Egelman) рассылал добровольцам, участвующим в наших исследованиях, фишинговые электронные сообщения. Если получатели поддавались на провокацию и щелкали мышкой на ссылке, на их экране появлялось предостережение. Эгельман обнаружил, что пользователи браузера Mozilla Firefox 2 прислушивались к этим предупреждениям, а те, кто пользовался браузером Microsoft Internet Explorer 7 (I-E7), часто пренебрегали ими. Как мы выяснили, столь большая разница в реакциях двух групп участников обусловлена тем, что пользователи браузера IE7 либо не замечали предупреждений, либо путали их с предупреждениями о менее серьезных опасностях.

Компания Microsoft усвоила этот урок, и в следующей версии браузера (IE8) предупредительные тексты сделаны более ясными, похожими на соответствующие предупреждения в браузере Firefox.

Еще один важный фактор, определяющий доверие пользователей к предупреждениям автоматических фильтров, - их точность. Большая вероятность ложной тревоги, когда подлинный сайт ошибочно определяется как мошеннический, может подорвать доверие к фильтру: через какое-то время пользователь просто перестанет обращать внимание на предупреждения. В тех антифишинговых фильтрах, которые мы испытывали, для выявления фишинговых сообщений и сайтов, применяются несколько подходов. В большинстве коммерческих инструментов используются постоянно обновляемые черные списки фишинговых сайтов. В некоторых инструментах есть также белый список подлинных сайтов.

Однако большинство фильтров не ограничиваются использованием списков. Некоторые анализируют каждый сайт, посещаемый пользователем, и для оценки его подлинности применяют набор эвристических алгоритмов. При этом мишенью становятся те же признаки, о которых мы рассказываем на антифишинговых курсах, например адреса, начинающиеся с четырех чисел или похожие на адреса хорошо известных брендов. Фильтры принимают во внимание и другие признаки, незаметные для людей, например возраст сайта, поскольку фишинговые сайты обычно существуют очень недолго, оставаясь активными от нескольких часов до нескольких дней.

В случае фильтров, работа которых основана главным образом на использовании черных списков, эффективность зависит от времени. Недавно мы провели испытания восьми пользовательских антифишинговых программ, сообщая им адреса новых фишинговых сайтов. Оказалось, что в пределах нескольких минут после получения этих адресов большинство таких программ обнаруживают меньше 20% фишинговых сайтов, а через пять часов - уже около 60%. Фильтры, в которых использовалось сочетание черного списка с эвристическими алгоритмами, работали гораздо лучше, выявляя почти 90% фишинговых атак с самого начала испытания.

Наша группа занимается разработкой программ, в которых для обнаружения фишинговых электронных сообщений используется техника обучающихся машин. Она широко применяется для выявления спама, но детекторы спама оказываются не очень точными, когда дело касается фишинговых посланий, которые обычно выглядят подлинными. Норман Заде (Norman Sadeh) из нашей группы работает над созданием инструмента для анализа электронных сообщений по ряду признаков, которые могут указывать на фишинг. Например, фишинговые письма могут содержать текст с гиперссылками в виде адресов известных сайтов, которые на самом деле ведут на сайт фишера. Кроме того, адреса в фишинговых сообщениях часто содержат пять или более точек и указывают на недавно зарегистрированные доменные имена. Однако эти особенности имеют не все фишинговые послания, и наоборот, иногда эти признаки могут содержаться и в подлинных электронных сообщениях. Поэтому исследователи обучают программу PhishPatrol, передавая ей большую коллекцию подлинных и фишинговых посланий, чтобы она могла проанализировать их и определить, какое сочетание признаков с наибольшей вероятностью может встретиться в фишинговых письмах. В наших недавних экспериментах PhishPatrol смогла выявить более 95% фишинговых сообщений. Вероятность ложной тревоги при этом не превысила 0,1%.

Для выявления фишинговых сайтов мы использовали также сочетания некоторых признаков, используемых программой PhishPatrol, с другими подходами. ДжейсонХонг (Jason Hong) возглавляет в нашей группе раз работку инструмента CANTINA для анализа содержимого веб-страницы в сочетании с другими эвристическими процедурами с целью определения, не представляет ли собой эта страница часть фишингового сайта. Сначала CANTINA использует известный алгоритм информационной проходки для выявления пяти ключевых слов, характерных для данной веб-страницы, но редко встречающихся в Интернете в целом. Например, на странице регистрации новых пользователей eBay такая лексическая сигнатура может иметь вид eBay, user, sign, help, Jorgot. Если вы станете искать эти пять слов в Google, подлинная страница регистрации eBay окажется в числе первых результатов поиска. Фишинговые сайты, воспроизводящие эту регистрационную страницу eBay, едва ли окажутся там, поскольку один из критериев ранжирования веб-страниц в алгоритме Google- число ссылок на данную страницу с других страниц, так что с наибольшей вероятностью в начало списка попадают подлинные сайты. Однако этот подход не гарантирует избавления от ошибок, особенно в случае недавно созданных подлинных сайтов, поэтому он является лишь одним из нескольких критериев, рассматриваемых системой CANTINA при оценке веб-сайта.

Чтобы быть эффективными, антифишинговые фильтры должны применять критерии, достаточно гибкие, чтобы оставаться применимыми в условиях постоянно эволюционирующей тактики фишеров. Фильтр, созданный группой автора для распознавания фишинговых сайтов, в лабораторных испытаниях показал эффективность на 95%. Кроме использования обычных эвристических процедур фильтр извлекает «лексическую сигнатуру» ключевых слов на странице и проводит в Google поиск подлинных сайтов, содержащих эти слова.

ЭЛЕМЕНТЫ и ПРИЗНАКИ ВОЗМОЖНОГО ФИШИНГА

Возраст домена: не превышает 12 месяцев
Известные изображения: на странице есть известный логотип, но он не принадлежит домену владельца этого логотипа
Подозрительный адрес: адрес содержит знак @, минус, IP-адрес или больше пяти точек
Подозрительные ссылки: Ссылка на страницу содержит знак @ или минус
Формы: страница содержит поля для ввода текста
Адрес не соответствует адресу подлинного сайта.

Эволюционирующая угроза
В сообществе специалистов по информационной безопасности не мы одни постоянно стремимся к совершенствованию технологий. По мере улучшения защиты фишеры соответственно меняют свою тактику. Фишинговые письма теперь передаются через ICQ и SMS. Для завлечения своих потенциальных жертв фишеры используют сетевые игры вроде World of Warcrqft и такие интернет-сообщества, как MySpace и Facebook. Для фишинговых атак используется также создание точек доступа Wi-Fi в общественных местах и имитация регистрационных страниц настоящих провайдеров. Цель этих атак - определение паролей жертв и заражение их компьютеров вредоносными программами.

Организованные группировки фишеров используют тысячи взломанных компьютеров как исходные позиции для своих атак. В частности, группировка Rock Phish gang из Восточной Европы использует взломанные компьютеры для передачи сообщений фишинговым сайтам. Это дает возможность представить файлы как передаваемые с этих компьютеров и скрыть истинный адрес фишингового сайта, таким образом затруднив правоохранительным органам поиск истинного источника атаки. Другая тактика уклонения от поиска, используемая этой группировкой, - система, которую специалисты по безопасности называют «быстрым потоком» (fast flux). Она заключается в постоянном изменении /Р-адресов фишинговых сайтов на серверах доменных имен (DNS).

Разумеется, прибыльность фи-шинга определяется способностью фишеров превращать номера кредитных карточек и другие секретные сведения в наличные деньги. Поэтому фишеры обычно привлекают «осликов»: предлагают людям надомную работу или заводят с ними дружбу, убеждая, что нуждаются в их помощи. «Ослики» часто сами оказываются ни о чем не подозревающими жертвами, полагая, что их наняли для выполнения законной работы. Однако реальная задача «осликов» состоит в переводе украденных денег, и именно они в случае чего попадают за решетку.

Постоянное совершенствование антифишинговых фильтров и осведомление пользователей о новых типах фишинговых атак поможет сократить число жертв фишинга. Помогут также координация международных усилий правоохранительных органов и нахождение способов сделать фишинг менее прибыльным. Тем не менее борьба с фишингом остается своего рода гонкой вооружений, и полностью победить его нельзя, не вырвав с корнем. Поэтому пользователям нужны все возможные виды защиты.

Перевод: И.Е. Сацевич

"В мире науки", № 2, 2009

ДОПОЛНИТЕЛЬНАЯ ЛИТЕРАТУРА

Phishing Exposed. Lance James. Syngress, 2005.
Phishing and Countermeasures. Edited by Markus Jakobsson and Steven Myers. Wiley, 2007.
Anti-Phishing Phil: The Design and Evaluation of a Game That Teaches People Not to Fall for Phish. Steve Shengetal. in Proceedings of the 2007 Symposium on Usable Privacy and Security; July 18-20, 2007.
Behavioral Response to Phishing Risk. Julie S. Downs, Mandy Holbrook and Lorrie Faith Cranor in Proceedings of the 2nd Annual eCrime Researchers Summit, pages 37-44; October 4-5, 2007.
Информация о лабораторных исследованиях Лорри Фейт Кренор и ссылки на них доступны на сайте Supporting Trust Decisions:

Один из видов компьютерного мошенничества получил такое интересное название, как Фишинг . На английском языке означает выуживание, рыбалка. Только на крючок преступников попадает не рыба, а конфиденциальные данные пользователя. Все это делается путем хитрых и обманных действий.

Например, Вам приходит письмо на электронную почту с каким то заманчивым предложением. Далее переходя по ссылке просят ввести логин и пароль, например от почты. Часто злоумышленники пользуются в таких письмах брендами популярных сервисов (Майл, Гугл, любые соцсети), меняя в адресе лишь одну букву. Письма могут содержать текст, типа ваш аккаунт заблокирован и требуется повторная проверка авторизации. На фальшивом сайте Вы вводите свои данные и тем самым мошенники получают доступ к вашему электронному ящику. А в почте у нас часто хранятся пароли от других служб.

В настоящее время основной целью фишеров является получение данных клиентов банков и электронных платежных систем. Выполняя определенные правила, можно с уверенностью обезопасить свои данные от интернет-воровства.

Методы борьбы с фишинговыми атаками

не переходите по сомнительным ссылкам и не вводите там свои данные. Проверяйте адрес отправителя
используйте антивирусную программу, способную блокировать переход на фишинговые сайты
используйте браузеры, предупреждающие об угрозе фишинга. К таким относятся GoogleChrome, MozillaFirefox, Opera, Яндекс.Браузер
постоянно проверяйте свои банковские счета на наличие лишних операций
не используйте один и тот же пароль для разных сервисов
регулярно обновляйте ПО, связанное с безопасностью компьютера

Алексей Комаров

Возникшие с появлением фишинга угрозы потребовали внедрения адекватных мер защиты. В рамках данной статьи будут рассмотрены как уже широко распространенные способы противодействия фишингу, так и новые эффективные методы. Разделение это весьма условно: к традиционным отнесем хорошо известные (в том числе и самим злоумышленникам) способы противодействия фишингу и проанализируем их эффективность в первой части данной статьи. Согласно отчету APWG, за первую половину 2008 г. было выявлено 47 324 фишинговых сайтов. В этом же отчете приведены и средние потери пользователей и компаний в результате работы фишерского сайта – они составляют не менее $300 в час. Несложные умножения позволяют сделать вывод о высокой доходности этого вида черного бизнеса.

Современный фишинг

Слово "фишинг" (phishing) образовано от английских слов password – пароль и ёshing – рыбная ловля, выуживание. Цель этого вида Интернет-мошенничества – обманный увод пользователя на поддельный сайт, чтобы в дальнейшем украсть его личную информацию или, например, заразить компьютер пользователя, перенаправленного на подложный сайт, трояном. Зараженный компьютер может активно использоваться в ботнет-сетях для рассылки спама, организации DDOS-атак, а также для сбора данных о пользователе и отправки их злоумышленнику. Спектр применения "выуженной" у пользователя информации достаточно широк.

Механизмы фишинга

Главный вектор атаки фишинга направлен на самое слабое звено любой современной системы безопасности – на человека. Далеко не всегда клиент банка точно знает, какой адрес является правильным: mybank.account. com или account.mybank. com? Злоумышленники могут использовать и тот факт, что в некоторых шрифтах строчная i и прописная L выглядят одинаково (I = l). Такие способы позволяют обмануть человека с помощью похожей на настоящую ссылку в электронном письме, при этом даже наведение курсора мыши на такую ссылку (с целью увидеть настоящий адрес) не помогает. В арсенале злоумышленников есть и другие средства: от банальной подмены в локальной базе IP-адресов реального адреса на поддельный (в ОС Windows XP, например, для этого достаточно отредактировать файл hosts) до фарминга. Еще один вид мошенничества – подмена Web-страницы локально, "на лету". Специальный троян, заразивший компьютер пользователя, может добавлять в отображаемый браузером сайт дополнительные поля, отсутствующие на оригинальной странице. Например, номер кредитной карты. Конечно, для успешного проведения такой атаки надо знать банк или платежную систему, которыми пользуется жертва. Именно поэтому тематические базы электронных адресов пользуются большой популярностью и являются на черном рынке ликвидным товаром. Нежелающие нести дополнительные расходы фишеры просто направляют свои атаки на наиболее популярные сервисы – аукционы, платежные системы, крупные банки – в надежде на то, что случайный получатель спам-письма имеет там учетную запись. К сожалению, надежды злоумышленников зачастую оправдываются.

Традиционные методы противодействия фишинговым атакам

Уникальный дизайн сайта Суть этого метода такова: клиент, например, банка при заключении договора выбирает одно из предложенных изображений. В дальнейшем при входе на сайт банка ему будет показываться именно это изображение. В случае если пользователь его не видит или видит другое, он должен покинуть поддельный сайт и немедленно сообщить об этом службе безопасности. Предполагается, что злоумышленники, не присутствовавшие при подписании договора, априори не смогут угадать правильное изображение и обмануть клиента. Однако на практике этот способ не выдерживает критики. Во-первых, для того чтобы показать пользователю его картинку, его сначала надо идентифицировать, например, по логину, который он ввел на первой странице сайта банка. Злоумышленнику не составляет труда подготовить поддельный сайт, чтобы узнать эту информацию, а для самого пользователя – эмулировать ошибку связи. Теперь достаточно обратиться на реальный сервер, ввести украденный логин и подсмотреть правильное изображение.

Другой вариант – выдать клиенту фальшивое предупреждение об истечении срока действия его изображения и предложить выбрать новое...

Одноразовые пароли

Классические пароли являются многоразовыми: пользователь вводит один и тот же пароль каждый раз при прохождении процедуры аутентификации, не меняя его порой годами. Перехваченный злоумышленником, этот пароль может неоднократно использоваться без ведома хозяина.

В отличие от классического, одноразовый пароль используется только один раз, то есть при каждом запросе на предоставление доступа пользователь вводит новый пароль. Для этого используются, в частности, специальные пластиковые карточки с нанесенным защитным слоем. Клиент банка каждый раз стирает очередную полоску и вводит нужный одноразовый пароль. Всего на карточку стандартного размера помещается около 100 паролей, что при интенсивном использовании услуг телебанкинга требует регулярной замены носителя. Более удобными, но, правда, и дорогими представляются специальные устройства – генераторы одноразовых паролей. В основном различают два типа генерации: по времени, когда текущий одноразовый пароль отображается на экране и периодически меняется (например, раз в две минуты); по событию, когда новое значение генерируется каждый раз при нажатии пользователем на кнопку устройства.

Являясь более безопасным, чем классическая парольная аутентификация, такой метод, тем не менее, оставляет злоумышленнику определенные шансы на успех. Например, аутентификация с использованием одноразовых паролей не защищена от атаки "человек посередине". Суть ее состоит во "вклинивании" в информационный обмен между пользователем и сервером, когда злоумышленник "представляется" пользователю сервером, и наоборот. Серверу передается вся информация от пользователя, в том числе и введенный им одноразовый пароль, но уже от имени злоумышленника. Сервер, получив правильный пароль, разрешает доступ к закрытой информации. Не вызывая подозрений, злоумышленник может позволить пользователю поработать, например, со своим счетом, пересылая ему всю информацию от сервера и обратно, но при завершении пользователем своего сеанса работы не разрывать связь с сервером, а совершить нужные транзакции якобы от имени пользователя.

Чтобы не терять время в ожидании завершения пользовательского сеанса, злоумышленник может попросту имитировать ошибку связи и не позволять легальному пользователю работать со своим счетом. В зависимости от используемого метода генерации перехваченный одноразовый пароль будет действовать либо в течение короткого времени, либо только для первого сеанса связи, но в любом случае это дает злоумышленнику возможность успешно провести кражу данных или денег пользователя.

На практике аутентификация с помощью одноразовых паролей сама по себе используется редко, для повышения безопасности применяется установление защищенного соединения еще до аутентификации, например, с использованием протокола SSL.

Односторонняя аутентификация

Использование протокола безопасных соединений SSL (Secure Sockets Layer) обеспечивает защищенный обмен данными между Web-сервером и пользователями. Несмотря на тот факт, что протокол позволяет аутентифицировать не только сервер, но и пользователя, на практике чаще всего применяется только односторонняя аутентификация. Для установления SSL-соединения необходимо, чтобы сервер имел цифровой сертификат, используемый для аутентификации. Сертификат обычно выдается и заверяется третьей доверенной стороной, в роли которой выступают удостоверяющие центры (УЦ) или центры сертификации (в западной терминологии). Роль УЦ заключается в том, чтобы подтверждать подлинность Web-сайтов различных компаний, позволяя пользователям, "поверив" одному единственному удостоверяющему центру, автоматически иметь возможность проверять подлинность тех сайтов, владельцы которых обращались к этому же УЦ.

Список доверенных удостоверяющих центров обычно хранится в реестре операционной системы или в настройках браузера. Именно эти списки и подвергаются атакам со стороны злоумышленника. Действительно, выдав фишинговому сайту сертификат от поддельного удостоверяющего центра и добавив этот УЦ в доверенные, можно, не вызывая никаких подозрений у пользователя, успешно осуществить атаку.

Конечно, такой способ потребует от фишера больше действий и соответственно затрат, но пользователи, к сожалению, зачастую сами помогают в краже своих данных, не желая разбираться в тонкостях и особенностях использования цифровых сертификатов. В силу привычки или некомпетентности нередко мы нажимаем кнопку "Да", не особо вчитываясь в сообщения браузера об отсутствии доверия к организации, выдавшей сертификат.

Кстати, очень похожий способ используют некоторые средства по контролю SSL-трафика. Дело в том, что в последнее время участились случаи, когда сайты, зараженные троянскими программами, и сами трояны используют протокол SSL с тем, чтобы миновать шлюзовые системы фильтрации трафика – ведь шифрованную информацию ни антивирусное ядро, ни система защиты от утечки данных проверить не в состоянии. Вклинивание в обмен между Web-сервером и пользовательским компьютером позволяет таким решениям заменить сертификат Web-сервера на выданный, например, корпоративным УЦ и без видимых изменений в работе пользователя сканировать трафик пользователя при использовании протокола SSL.

URL-фильтрация

В корпоративной среде фильтрация сайтов применяется для ограничения нецелевого использования сети Интернет сотрудниками и как защита от фишерских атак. Во многих антивирусных средствах защиты данный способ борьбы с поддельными сайтами вообще является единственным.

Просмотров