Що таке фішинг?

Фішинг (англ. phishing, від fishing - рибний лов, вивуджування) - вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів - логінів і паролів. Це досягається шляхом проведення масових розсилок електронних листів від імені популярних брендів, а також особистих повідомлень усередині різних сервісів, наприклад, від імені банків (Ситибанк, Альфа-банк), сервісів (Rambler, Mail.ru) або усередині соціальних мереж (Facebook, Вконтакті Однокласники.ru).

У листі часто міститься пряме посилання на сайт, зовні невідмітний від сьогодення, або на сайт з редиректом. Після того, як користувач потрапляє на підробну сторінку шахраї намагаються різними психологічними прийомами спонукати користувача ввести на підробній сторінці свої логін і пароль, які він використовує для доступу до певного сайту, що дозволяє шахраям отримати доступ до аккаунтів і банківських рахунків.

Фішинг - одна з різновидів соціальної інженерії, заснована на незнанні користувачами основ мережевої безпеки : зокрема, багато хто не знає простого факту: сервіси не розсилають листів з проханнями повідомити свої облікові дані, пароль і інше.

Для захисту від фішингу виробники основних інтернет-браузерів домовилися про застосування однакових способів інформування користувачів про те, що вони відкрили підозрілий сайт, який може належати шахраям. Нові версії браузерів вже мають таку можливість, яка відповідно іменується "антифішинг".

Фішинг сьогодні

Метою фішерів сьогодні є клієнти банків і електронних платіжних систем. У США, маскуючись під Службу внутрішніх прибутків, фішери зібрали значні дані про платників податків. І якщо перші листи вирушали випадково, сподіваючись на те що вони дійдуть до клієнтів потрібного банку або сервісу, то зараз фішери можуть визначити, якими послугами користується жертва, і застосовувати цілеспрямовану розсилку. Частина останніх фішингових атак була спрямована безпосередньо на керівників і інших людей що займають високі пости в компаніях.

Соціальні мережі також представляють великий інтерес для фишеров, дозволяючи збирати особисті дані користувачів : в 2006 році комп'ютерний черв'як розмістив на MySpace безліч посилань на фішингові сайти, націлені на крадіжку реєстраційних даних; у травні 2008 року перший подібний черв'як поширився і в популярній російській мережі ВКонтакті. За оцінками фахівців, більше 70% фішингових атак в соціальних мережах - успішні.

Фішинг нестримно набирає свої оберти, а оцінки збитку сильно різняться: за даними компанії Gartner, в 2004 році жертви фішерів втратили 2,4 млрд доларів США, в 2006 році - збиток склав 2,8 млрд доларів, в 2007 - 3,2 мільярда; у одних лише Сполучених Штатах в 2004 році жертвами фішингу стали 3,5 мільйона чоловік, до 2008 року число потерпілих від фішингу в США зросло до 5 мільйонів.

Нові загрози фішингу

Сьогодні фішинг виходить за межі інтернет-шахрайства, а підробні веб-сайти стали лише одним з безлічі його напрямів. Листи, які нібито відправлені з банку можуть повідомляти користувачів про необхідність подзвонити по певному номеру для вирішення проблем з їх банківськими рахунками. Ця техніка називається вишинг (голосовий фішинг).

Подзвонивши на вказаний номер, користувач заслуховує інструкції автовідповідача які вказують на необхідність ввести номер свого рахунку і PIN -код. До того ж вішери можуть самі дзвонити жертвам, переконуючи їх, що вони спілкуються з представниками офіційних організацій, використовуючи фальшиві номери. Кінець кінцем людину також попросять повідомити його облікові дані.

Набирає свої оберти і SMS -фишинг, також відомий як смішинг (англ. SMiShing - від "SMS" і "фішинг"). Шахраї розсилають повідомлення, що містять посилання на фішинговий сайт, - входячи на нього і вводячи свої особисті дані, жертва аналогічним чином передає їх зловмисникам. У повідомленні також може говоритися про необхідність подзвонити шахраям по певному номеру для вирішення "виниклих проблем".

Боротьба з фішингом (навчання користувачів)

Один з методів боротьби з фішингом полягає в тому, щоб навчити людей розрізняти фішинг і боротися з ним. Люди можуть понизити загрозу фішингу, трохи змінивши свою поведінку. Так у відповідь на лист з проханням "підтвердження" облікового запису (чи будь-яким іншим звичайним проханням фишеров) фахівці радять зв'язатися з компанією, від імені якої відправлено повідомлення, для перевірки його достовірності.

Крім того експерти рекомендують самостійно вводити веб-адресу організації в адресний рядок браузеру замість використання будь-яких гіперпосилань в підозрілому повідомленні.

Практично усі справжні повідомлення організацій містять в собі згадку деякої інформації, недоступної для фішерів. Деякі, наприклад PayPal, завжди звертаються до своїх адресатів по іменах а лист із загальним зверненням "Шанований клієнт PayPal" може розцінюватися як спроба фішингу.

Листи від банків і кредитних установ часто містять в собі частину номера рахунку. Проте недавні дослідження показали що люди не розрізняють появу перших цифр рахунку або останніх цифр, тоді як перші цифри можуть бути однакові для усіх клієнтів фінансової установи.

Людям можна пояснити, що підозрілі будь-які листи, що не містять якої-небудь конкретної особистої інформації. Але фішингові атаки початку 2006 року містили подібну персональну інформацію, отже наявність подібної інформації не гарантує безпеку повідомлення.

Крім того, за результатами іншого дослідження було з'ясовано, що присутність особистої інформації істотно не змінює відсоток успіху фішингових атак, що свідчить про те що більшість людей взагалі не звертають уваги на подібні деталі.

Антифішингова робоча група вважає, що звичайні методи фішингу незабаром застаріють, оскільки люди все більше дізнаються про соціальну інженерію, використовуваною фішерами. Експерти вважають що в майбутньому поширенішими методами крадіжки інформації будуть фармінг і різні шкідливі програми.

Технічні методи боротьби з фішингом

Браузери, котрі попереджають про загрозу фішингу

Іншим напрямом боротьби з фішингом є створення списку фішингових сайтів і подальше звіряння з ним. Подібна система існує у браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari і Opera. Firefox використовує антифішингову систему Google. Opera використовує чорні списки PhishTank і GeoTrust і списки виключень GeoTrust. За результатами незалежного дослідження 2006 року Firefox був визнаний ефективнішим у виявленні фішингових сайтів, чим Internet Explorer.

У 2006 році з'явилася методика використання спеціальних DNS - сервісів, що фільтрують відомі фішингові адреси : цей метод працює при будь-якому браузері і близький використанню hosts -файла для блокування реклами.

Ускладнення процедури авторизації

Сайт Bank of America пропонує користувачам вибрати особисте зображення і показує це вибране користувачем зображення з кожною формою введення пароля. І користувачам банківських послуг слід вводити пароль лише тоді, коли вони бачать вибране зображення. Проте недавнє дослідження показало, що відсутність зображення не зупиняє більшість користувачів при введенні пароля.

Боротьба з фішингом в поштових повідомленнях

Спеціалізовані спам-фильтры можуть зменшити число фішингових електронних повідомлень, що отримуються користувачами. Ця методика грунтується на машинному навчанні і обробці природної мови при аналізі фішингових листів.

Послуги моніторингу

Деякі компанії пропонують банкам і іншим організаціям, потенційно схильним фішинговим атакам, послуги цілодобового контролю, аналізу і допомоги в закритті фішингових сайтів. Фізичні особи можуть допомагати подібним групам (наприклад PhishTank), повідомляючи про випадки фішингу.

Юридичні заходи боротьби з фішингом

26 січня 2004 року Федеральна комісія з торгівлі США подала перший позов проти підозрюваного у фішингу. Відповідач, підліток з Каліфорнії, звинувачувався в створенні веб-сторінки, зовні схожої з сайтом AOL, і крадіжці цих кредитних карт. Інші країни наслідували цей приклад і почали шукати і заарештовувати фишеров.

Так, у Бразилії був заарештований Вальдир Пауло де Альмейда, глава одного з найбільших фішингових злочинних угрупувань, впродовж двох років що вкрала від 18 до 37 мільйонів доларів США. У червні 2005 року влада Великобританії засудила двох учасників інтернет-шахрайства. У 2006 році японською поліцією було затримано вісім чоловік за підозрою у фішингу і крадіжці 100 мільйонів ієн (870 000 доларів США).

Арешти тривали в 2006 році - в ході спецоперації ФБР затримало банду з шістнадцяти учасників в Європі і США.

У Сполучених Штатах Америки 1 березня 2005 року сенатор Патрік Лехи представив Конгресу проект Антифішингового закону. Якби цей законопроект був ухвалений, то злочинці, що створюють фальшиві веб-сайти і розсилають підробну електронну пошту підлягали б штрафові до 250 тисяч доларів і позбавленню волі строком до п'яти років.

У Великобританії був ухвалений Закон про шахрайство 2006 року, що передбачає відповідальність за шахрайство у вигляді ув'язнення строком до 10 років а також що забороняє володіння або розробку фішингових інструментів для здійснення шахрайства.

Компанії також беруть участь у боротьбі з фішингом. 31 березня 2005 року Microsoft подала 117 судових позовів до федерального окружного суду США Західного округу, що звинувачують "Джона Доу" в отриманні паролів і конфіденційної інформації.

Березень 2005 року був відмічений початком партнерства Microsoft і уряди Австралії по навчанню співробітників правоохоронних органів боротьбі з різними кибер-преступлениями, у тому числі фішингом.

У січні 2007 року Джеффри Бретт Гудин з Каліфорнії був визнаний винним в розсилці тисяч повідомлень електронної пошти користувачів America Online від імені AOL, переконуючи клієнтів розкрити конфіденційну інформацію. Маючи шанс отримати 101 рік ув'язнення за порушення законодавства, шахрайство, несанкціоноване використання кредитних карт, а також неправомірне використання товарних знаків AOL, він був засуджений до 70 місяців укладення.

У Російській Федерації перша велика справа проти банди фішерів почалася у вересні 2009 року. За найскромнішими оцінками шахраї викрали близько 6 мільйонів рублів. Зловмисники звинувачуються в неправомірному доступі до комп'ютерної інформації і шахрайстві в особливо великому розмірі.

Окремі процеси мали місце і раніше: так, в 2006 році суд визнав винним Юрія Сергостьянца що брало участь у викраденні грошей з рахунків американських брокерських компаній.

Шахрай був засуджений до 6 років умовного терміну і відшкодування компаніям збитку у розмірі 3 мільйонів рублів. Але в цілому правова боротьба в Росії обмежується лише незначними судовими розглядами, серйозними вироками, що рідко закінчуються.

Як вважає провідний фахівець Слідчого комітету при МВС по розслідуванню злочинів у сфері комп'ютерної інформації і високих технологій підполковник юстиції Ігор Яковлєв основна проблема в розслідуванні подібних злочинів в Росії полягає в недоліку фахівців, що мають достатні знання і досвід, щоб довести справу не лише до суду, але і до звинувачувального вердикту.

Керівник підрозділу Центру інформаційної безпеки ФСБ Росії Сергій Михайлов додає, що "в Росії найлояльніше законодавство по відношенню до кіберзлочинності". Також погано налагоджена співпраця із зарубіжними структурами що заважає скоординированной боротьбі із злочинцями.