Фишинг как защититься от фишинга

Фишинг как защититься от фишинга

Какие советы ИТ-персоналу следует дать сотрудникам, чтобы помочь им защитить от фишинга?

Что такое фишинг? Как правило, эта атака включает в себя электронную почту; хотя иногда атака осуществляется с помощью телефонного звонка – это называется Vishing — или текстового сообщения (SMS) — называется Smishing, которое якобы исходит из надежного источника, такого как банк, продавец, или даже коллега или друг (которого по незнанию взломали). Эти электронные письма часто заслуживают доверия, чтобы обмануть получателя и щелкнуть по включенной ссылке, которая затем может загрузить вредоносное ПО — вирусы, черви, трояны на компьютер получателя или перенаправить жертву на фальшивый веб-сайт. Это приводит нас к тому, как защититься от фишинга.

Совет 1: Как защититься от фишинга. Никогда, никогда не переходите по подозрительным ссылкам

Не существует 100% гарантированного способа обнаружения фишинга, но, если есть малейшее подозрение, что электронное письмо может быть мошенническим, не нажимайте на содержащиеся в нем ссылки. Всегда вводите адрес веб-сайта отправителя (не нажимая на ссылку в электронном письме) непосредственно в браузере.

Совет 2: Как защититься от фишинга. Проверьте отправителя

Будьте предупреждены, если часть после знака «@» в адресе электронной почты не соответствует предполагаемому отправителю; например, если PayPal отправляет вам электронное письмо с адресом paypal@emails.com или URL-адрес ошибочно указан как www.paypa1.com или что-то подобное. Это (поддельный) веб-сайт, принадлежащий киберсквоттеру. Некоторые из самых известных компаний в мире имеют подражателей веб-сайтов, включая Facebook, Google, DropBox и PayPal.

Совет 3: Как защититься от фишинга. Не поддавайся эмоциональному шантажу

Фишинговые письма почти всегда содержат одинаковый контент и запросы. Иногда они просят вас обновить вашу учетную запись или пароль. Но иногда они используют психологию, чтобы заставить вас отреагировать: уведомление о крупном выигрыше в лотерею, предложение принять участие в уникальной бизнес-возможности или, особенно популярное на Рождество, обращение к пожертвованию на благотворительность.

Совет 4: Как защититься от фишинга. Банки никогда не хотят знать это

Есть некоторые вещи, о которых ваш банк никогда вас не спросит. Банки не хотят, чтобы ваши пароли или ПИН-коды отправлялись по электронной почте или в виде текста; они не хотят, чтобы вы разрешали перевод средств на новый счет; и они не хотят, чтобы вы встречались с представителем банка у вас дома, чтобы забрать наличные, банковские карты или что-то еще.

Совет 5: Как защититься от фишинга. Остерегайтесь открытия вложений

Если вложения с неизвестными расширениями файлов (или PDF-файлы) внезапно появляются в виде вложений электронной почты, это является четким признаком того, что что-то не так, особенно если у вас не было никаких предыдущих операций с отправителем.

Совет 6: Как защититься от фишинга. Личное приветствие

Большинство компаний обращаются к своим клиентам по имени. Но если имя отсутствует, написано с ошибкой или обращение просто звучит как «Привет» или «Уважаемый клиент», это может указывать на то, что это поддельное электронное письмо.

Совет 7: Как защититься от фишинга. Доверие — это хорошо, но контроль лучше

Регулярно проверяя банковские выписки, вы можете смягчить любые потенциально серьезные последствия фишинг-атаки. О любых подозрительных или неизвестных транзакциях следует немедленно сообщать непосредственно банку или компании-эмитенту кредитной карты.

Совет 8: Как защититься от фишинга. Будьте в курсе текущих мошенничеств

Потратьте время, регулярно читая о том, как защитить вашу цифровую безопасность. Если вы слышите, что поставщик услуг был взломан, обязательно следуйте его инструкциям и смените пароль.

Совет 9: Как защититься от фишинга. Используйте только безопасные сайты

При проведении онлайн-транзакций переходите непосредственно на сайт. Если специальное предложение является подлинным, оно будет доступно на веб-сайте. Ищите знак безопасности сайта, например, значок замка в строке состояния браузера или URL-адрес «https» (где «s» означает «безопасный»).

Совет 10: Защитите свой компьютер с помощью брандмауэра, спам-фильтров, антивирусного и антишпионского программного обеспечения.

Убедитесь, что у вас установлено самое современное программное обеспечение, и регулярно обновляйте его, чтобы гарантировать, что вы блокируете новые вирусы и шпионское ПО.

Совет 11: Не торопитесь!

Многие фишинговые письма заставляют вас действовать быстро, иначе они угрожают, что произойдет что-то плохое, или вы упустите что-то очень важное. «Банк» может предупредить вас, что ваш счет будет закрыт, если вы не будете действовать быстро; или компания может сказать вам, что вы выиграли крупный денежный приз, но только если вы сможете получить его в течение следующих 24 часов. Не спешите. Не торопитесь, убедитесь, что сообщение является подлинным.

Совет 12: подлинные сообщения не создают угрозы

Хотя большинство мошеннических действий включают попытки обмануть или убедить людей передать конфиденциальную информацию, некоторые мошенники используют страх и запугивание, чтобы напугать своих жертв. Например, угрожая отправить смущающие видео или фото контактам, если выкуп не выплачен. Постарайтесь не реагировать сразу на электронное письмо, потратьте несколько минут, чтобы успокоиться и подумать рационально. Почему этот человек вдруг отправил вам электронное письмо, особенно об этом?

Правило

Лишь немногие влюбляются в аферу «нигерийский принц, предлагающий неисчислимые богатства», но преступники теперь могут собирать сообщения профессионального уровня и веб-страницы, которые могут заставить даже самого взыскательного человека выдать личную информацию, когда они устали или заняты. Проверьте настройки конфиденциальности в популярных социальных сетях, чтобы ограничить объем публикуемой личной информации, и, прежде всего, следуйте правилу JDLR. Если это «Просто неправильно выглядит» («Just Doesn’t Look Right» — JDLR), то, вероятно, это скорее всего неправильно.

Мошенничество с картами в интернете предполагает использование различных схем, позволяющих получить конфиденциальную информацию о реквизитах платежных инструментов. Злоумышленники часто полагаются на невнимательность жертв, поэтому главной мерой предосторожности сотрудники правоохранительных органов и служб безопасности финансовых организаций называют внимательное изучение сведений о получателе данных. Настоятельно не рекомендуется передавать конфиденциальную информацию посторонним лицам, даже если речь идет о сотрудниках обслуживающего банка. Пароли и ПИН-коды всегда следует держать в секрете.

Суть фишинга

На банковском рынке фишинг представляет собой одну из популярных мошеннических схем, позволяющих злоумышленнику заполучить конфиденциальную информацию о клиенте финансового учреждения. Этот способ воровства персональных данных предполагает применение почтовой рассылки, телефонных звонков и фиктивных сайтов для получения секретных сведений о пользователях. В частности, мошенники нацелены на кражу логинов, паролей, ПИН-кодов и реквизитов банковских карт. С помощью перечисленных данных можно совершать транзакции в обход держателя платежного инструмента.

Обычно аферист, в руках которого нахохлятся персональные данные жертвы, использует исключительно безналичные расчёты. Тем не менее зная номер, срок действия и код CVV, можно воссоздать пластиковый носитель, с помощью которого удастся снять хранящуюся на счету сумму.

Фишинг грозит:

  • Появлением скомпрометированных конфиденциальных данных.
  • Потерей личных или кредитных средств клиента.
  • Снижением потребительского спроса на отдельные виды кредитных продуктов.
  • Временной блокировкой счетов, по которым замечена подозрительная активность.
  • Продолжительным расследованием со стороны банка и правоохранительных органов.
  • Массовым взломом личных кабинетов клиентов в системах интернет-банкинга.
  • Ухудшением репутации учреждения, которое неспособно защитить интересы клиента.

Поскольку методы обмана заемщиков, связанные с использованием возможностей интернета, не позволяют сотрудникам служб безопасности банков предотвратить факт хищения, фишинг на текущим момент времени является одним из самых популярных способов мошенничества в отрасли кредитования. Вопреки высочайшей степени защиты безналичных транзакций, использование прокси-серверов позволяет аферистам с легкостью скрывать информацию о своем реальном местонахождении. Раскрываемость уголовных дел по искам от столкнувшихся с фишингом жертв крайне низкая, поэтому банки зачастую самостоятельно возмещают убытки.

Разновидности фишинга

Обычно под термином «фишинг» (phishing) широкая аудитория понимает использование фальшивого сайта, замаскированного визуально под оригинальную и крайне надежную виртуальную платформу, например, систему интернет-банкинга или известный интернет-магазин. Однако на практике рассматриваемая форма мошенничества затрагивает также иные формы обмана клиентов финансовых организаций, применяемые злоумышленниками исключительно в удаленном режиме.

Читайте также:  Ошибка не удается найти c program

Виды фишинга:

  1. Создание фальшивых порталов, замаскированных под официальные сайты банковских учреждений.
  2. Использование рассылки по электронной почте с требованием передать отправителю секретные сведения.
  3. Осуществление телефонных звонков (вишинг), во время которых аферист получает конфиденциальные данные.

Повышение уровня доверия потребителей к обслуживающей организации – это основная причина эффективности каждого из методов фишинга. На удочку злоумышленников попадаются клиенты банков, которые не отличаются финансовой грамотностью или имеют доверчивый характер. Речь часто идет о людях преклонного возраста, хотя на фиктивных сайтах оставляют персональные данные и любители онлайн-шопинга или лица, не лучшим образом разбирающиеся в функционировании платежных систем. Для этих граждан визуальное сходство официального сайта и фишинговой площадки является достаточным основанием, чтобы оставить конфиденциальные данные. Хотя на практике оригинал от фальшивки можно отличить с первого взгляда, изучив адресную строку браузера.

Схема фишинга

По своей сути фишинг является разновидностью мошенничества на доверии. Это крайне распространенный и, пожалуй, самый эффективный способ осуществления финансовых афер. Граждане, которые плохо осведомлены в особенностях работы современных финансовых учреждений, могут с легкостью передать конфиденциальную информацию лицу, представляющемуся сотрудником обслуживающей организации. От злоумышленника понадобится только умение вести беседу.

Работать с фишинговыми сайтами мошенникам намного проще, поскольку здесь не предусматривается прямое общение с будущей жертвой, в отличие от вишинга. Фактически, нужно потратить немного времени и средств на создание сайта, имитирующего дизайн веб-страниц финансового учреждения.

Схема фишинга выглядит следующим образом:

  1. Злоумышленник создает фиктивный сайт, копируя дизайн оригинальной веб-площадки, которая вызывает доверие среди клиентов финансового учреждения. Если используется метод рассылки по почте, нужно собирать базу данных адресов e-mail. Для вишинга злоумышленникам приходится использовать номера телефонов потенциальных жертв. Кроме звонков этот метод мошенничества предполагает также рассылку по SMS.
  2. Создается текст обращения для уведомлений и наполняется контентом сайт с окном для ввода данных.
  3. Мошенник связывается с клиентом финансового учреждения. Потерпевшие отмечают, что на сайты фишинга они переходили по прямым ссылкам из социальных сетей и форумов. В свою очередь рассылка писем и SMS часто выполняется с помощью новых почтовых адресов и телефонов, которые напоминают контактные данные обслуживающего банка. Злоумышленники представляются сотрудниками финансовых учреждений, требуя клиента предоставить конфиденциальные сведения для срочной проверки.
  4. Получив секретную информацию, мошенники крадут денежные средства с карт и расчетных счетов.
  5. После нескольких успешных ограблений во избежание дальнейшего уголовного преследования преступник удаляет фишинговые сайты и избавляется от используемых для звонков номеров телефонов.

Поисковые системы активно борются с мошенничеством, поэтому со страницы результатов выдачи моментально исключаются сайты, заподозренные в противозаконной деятельности. Распространение ссылок на вредоносные фишинговые страницы выполняется с помощью использования различных площадок, отличающихся высокой посещаемостью. В социальных сетях можно без особых проблем нарваться на мошенников, поскольку комментарии и посты здесь оставляют зарегистрированные пользователи.

Технологии фишинга

Актуальный механизм фишинга базируется на нескольких основополагающих принципах, в частности мошенниками активно используются возможности черной оптимизации сайтов (black SEO). Например, для привлечения жертв для сбора конфиденциальных данных могут применяться методы ссылочного спама и сайты с автоматическим перенаправлением. В итоге роботы поисковых систем довольно быстро обнаруживают злоумышленников.

Санкции поисковиков позволяют лишь устранить фишинговые сайты со страницы выдачи по ключевым словам. Удалить страницы целиком можно только по решению суда. Следует отметить, что современное антивирусное программное обеспечение в большинстве случаев имеет встроенные алгоритмы противодействия фишингу, блокируя опасные сайты. Однако существует несколько технологий, которые способны защитить мошенника от возможных санкций.

Основные техники фишинга:

  • Маскировка поддельных сайтов, номеров телефонов и адресов электронной почты под оригинальные веб-страницы и контактные данные финансовых учреждений. При подборе доменных имен и адресов для рассылки e-mail делаются умышленные опечатки или добавляются лишние символы.
  • Смишинг – применение рассылки сообщений по SMS с просьбой перезвонить или ссылкой на подставной сайт.
  • Социальная инженерия – психологическое влияние в попытках встревожить жертву, вызывая немедленную реакцию. Речь идет о привлечении внимания путем использования вызывающих интерес текстов. Злоумышленники вынуждают жертву с помощью запугивания перейти по ссылке или предать секретные данные.
  • Обход антифишинговых фильтров почтовых клиентов благодаря использованию в e-mail изображений вместо текста.
  • Активное использование спама, включая распространение платных ссылок на фишинговые сайты.
  • Комбинирование нескольких подходов к осуществлению афер. Например, в процессе распространения ссылок на фиктивные сайты и номеров телефонов для вишинга (голосовой фишинг) применяется рассылка по e-mail.
  • Применение JavaScript для изменения адресной строки путем размещения изображения с поддельным URL.
  • Межсайтовый скриптинг – поиск и использование уязвимых мест современных систем безопасности подлинных сайтов для сбора данных о клиентах.

Откуда преступники получают базы данных e-mail и номера телефонов жертв? Как это ни прискорбно, но от самих финансовых учреждений. Крупные банки и МФО надежно защищают конфиденциальные данные клиентов, ведь от качества обслуживания зависит репутация этих организаций. Однако часто отмечаются утечки информации по банальной невнимательности сотрудников IT-отделов этих учреждений.

Банковские организации поменьше, как правило, подвергаются частым хакерским атакам, а сотрудники некоторых компаний сами «сливают» данные, получая часть от украденных мошенниками средств. В первых двух случаях банки и прочие финансовые учреждения признают свою вину, предоставляя клиентам компенсацию. Если сотрудник организации подозревается в пособничестве злоумышленникам, его ждет немедленное увольнение и последующее уголовное преследование.

Защита от фишинга

Как правило, мошенники привлекают внимание жертв необходимостью решения несуществующих проблем с банковскими счетами. Чтобы защититься от действий злоумышленников, достаточно запомнить, что финансовые учреждения никогда не запрашивают персональную информацию по электронной почте или SMS. Сотрудники служб безопасности банковских организаций советуют проверять сайты, на страницах которых приходится оставлять секретные сведения, а пароли и ПИН-коды не рекомендуется передавать посторонним лицам.

Способы защиты от фишинга:

  1. Установка и регулярное обновление антивирусного программного обеспечения.
  2. Использование современных браузеров и почтовых клиентов с антифишинговыми фильтрами.
  3. Сохранение конфиденциальной информации в тайне от посторонних лиц.
  4. Размещение реквизитов на защищенных сайтах, домены которых начинаются с «https».
  5. Обучение и информирование клиентов, пользующихся безналичными переводами.
  6. Умышленное усложнение процесса авторизации с использованием подтверждения операций по SMS.
  7. Мониторинг надежности сайтов на специализированных площадках.
  8. Повышение уровня технической безопасности официальных сайтов банковских учреждений.

Актуальные методы фишинга зависят от качества маскировки поддельных ссылок и сайтов. Внимательность – основное средство защиты от мошенников. Поисковые системы и разработчики антивирусных утилит оказывают неоценимую помощь в борьбе со злоумышленниками, однако безопасность клиентов финансовых учреждений во многих случаях повышается за счет обучения потребителей. Клиенты банков и прочих организаций, работающих с денежными средствами, должны получать простейшие инструкции, повышающие финансовую грамотность.

Заключение

В итоге различные виды фишинга действительно являются крайне опасными способами мошенничества. Часто речь идет о рассылке уведомлений, с помощью которых злоумышленники привлекают своих жертв на фиктивные сайты. Когда на почту приходить письмо с требованием предоставить персональные данные, «чтобы восстановить доступ к счёту» или «получить бонус от обслуживающей организации», скорее всего, речь идет об афере.

Если злоумышленник обманом получил личные данные, жертве следует немедленно обратиться в банк, подав заявление в правоохранительные органы. Расчетные счета временно блокируются до выяснения обстоятельств. В случае потери сбережений или хранящихся на счету кредитных средств, учреждение может компенсировать часть убытков. При отсутствии подозрительных операций на расчетных счетах работник обслуживающей организации во избежание проблем в будущем, скорее всего, порекомендует клиенту изменить скомпрометированные логины, пароли и ПИН-коды.

Состояние отпатрулирована

Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание» [1] ) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Читайте также:  Духовка бош электрическая встраиваемая отзывы

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

Содержание

История [ править | править код ]

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet [2] [3] , хотя возможно его более раннее упоминание в хакерском журнале 2600 [4] .

Ранний фишинг на AOL [ править | править код ]

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам [5] .

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль [6] . Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку [7] , и фишинг на серверах AOL постепенно сошёл на нет.

Переход к финансовым учреждениям [ править | править код ]

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября [8] . Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал [9] .

Фишинг сегодня [ править | править код ]

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. [10] В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках [11] . И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку [12] . Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях [13] .

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей [14] : в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных [15] ; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте [16] [17] . По оценкам специалистов, более 70% фишинговых атак в социальных сетях успешны [18] .

Фишинг стремительно набирает свои обороты, но оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США [19] , в 2006 году ущерб составил 2,8 млрд долларов [20] , в 2007 — 3,2 миллиарда [21] ; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек [20] , к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов [22] .

Техника фишинга [ править | править код ]

Социальная инженерия [ править | править код ]

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.

Веб-ссылки [ править | править код ]

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля [23] . Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer [24] , а Mozilla Firefox [25] и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

Обход фильтров [ править | править код ]

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами [26] . Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу [27] . К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга [28] .

Веб-сайты [ править | править код ]

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки [29] . Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL [30] .

Злоумышленник может использовать уязвимости в скриптах подлинного сайта [31] . Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё (от веб-адреса до сертификатов) выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году [32] .

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах [33] .

Новые угрозы [ править | править код ]

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами [34] . Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера [35] [36] . В конечном счёте, человека также попросят сообщить его учётные данные [37] .

Читайте также:  Технология nfc в смартфонах xiaomi

Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг») [38] . Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам [39] . В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем» [40] .

Борьба с фишингом [ править | править код ]

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

Обучение пользователей [ править | править код ]

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении [41] .

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например, PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга [42] . Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали [43] , что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения [44] . Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали [45] .

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами [46] . Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.

Технические методы [ править | править код ]

Браузеры, предупреждающие об угрозе фишинга [ править | править код ]

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera [47] [48] [49] [50] . Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer [51] .

В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере [52] и близок использованию hosts-файла для блокировки рекламы.

Усложнение процедуры авторизации [ править | править код ]

Сайт Bank of America [53] [54] предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля [55] [56] .

Борьба с фишингом в почтовых сообщениях [ править | править код ]

Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем [57] [58] .

Услуги мониторинга [ править | править код ]

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов [59] . Физические лица могут помогать подобным группам [60] (например, PhishTank [61] ), сообщая о случаях фишинга.

Юридические меры [ править | править код ]

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток из Калифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтом AOL, и краже данных кредитных карт [62] . Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, в Бразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговых преступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США [63] . В июне 2005 года власти Великобритании осудили двух участников интернет-мошенничества [64] . В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США) [65] . Аресты продолжались в 2006 году — в ходе спецоперации ФБР задержало банду из шестнадцати участников в Европе и США [66] .

В Соединённых Штатах Америки 1 марта 2005 года сенатор Патрик Лехи представил Конгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет [67] . В Великобритании был принят Закон о мошенничестве 2006 года [68] , предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества [69] .

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительства Австралии по обучению сотрудников правоохранительных органов борьбе с различными киберпреступлениями, в том числе фишингом [70] .

В январе 2007 года Джеффри Бретт Гудин из Калифорнии был признан виновным в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использование товарных знаков AOL, он был приговорён к 70 месяцам заключения [71] [72] [73] [74] .

В Российской Федерации первое крупное дело против банды фишеров началось в сентябре 2009 года. По самым скромным оценкам мошенники похитили около 6 миллионов рублей. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере [75] . Отдельные процессы имели место и ранее: так, в 2006 году суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Мошенник был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 миллионов рублей [76] . Но в целом правовая борьба в России ограничивается лишь незначительными судебными разбирательствами, редко оканчивающимися серьёзными приговорами.

Как считает ведущий специалист Следственного комитета при МВД по расследованию преступлений в сфере компьютерной информации и высоких технологий подполковник юстиции Игорь Яковлев, основная проблема в расследовании подобных преступлений в России заключается в нехватке специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело не только до суда, но и до обвинительного вердикта [77] . Руководитель подразделения Центра информационной безопасности ФСБ России Сергей Михайлов добавляет, что «в России самое лояльное законодательство по отношению к киберпреступности». Также плохо налажено сотрудничество с зарубежными структурами, что мешает скоординированной борьбе с преступниками [78] .

Ссылка на основную публикацию
Файловый менеджер для ubuntu server
Работа с файлами в операционной системе Ubuntu осуществляется через соответствующий менеджер. Все дистрибутивы, разработанные на ядре Linux, позволяют юзеру всячески...
Удалить одноклассники страницу с телефона айфон
Если вы хотите удалить свою страницу (профиль) в Одноклассниках, особенно если это требуется сделать со смартфона Android или iPhone —...
Удалить папку не удалось найти этот элемент
В этой инструкции подробно о том, как удалить файл или папку, если при попытке это сделать в Windows 10, 8...
Файлы dll чем открыть
Файлы формата DLL открываются специальными программами. Существует 2 типа форматов DLL, каждый из которых открывается разными программами. Чтобы открыть нужный...
Adblock detector