Пару лет назад стандартный набор распространенныхинтернет-угроз пополнился еще одним видом криминала. В прессе все чащестало мелькать слово "фишинг" (phishing), под которым поначалу понималилишь почтовые рассылки, осуществляемые мошенниками от имени финансовыхи торговых структур, дабы выведать конфиденциальные платежные данныепользователей. В 2004 году объем циркулировавших в Сети сообщений сподобным содержанием внезапно подскочил, количество потерпевших принялоугрожающие масштабы, а деловое и ИТ-сообщества в спешном порядкевзялись за разработку мер противодействия внезапной напасти. Правда, запрошедшее с тех пор время все их усилия не позволили не то чтоликвидировать угрозу, но даже замедлить темпы ее нарастания.
Как это было
Разумеется,выуживать чужие пароли и реквизиты онлайн-мошенники начали гораздораньше. Сам термин "phishing", созвучный с "fishing" ("рыбалка") ирасшифровывающийся как "password harvesting fishing" [По другой версии,термин расшифровывается как "phone fishing", так как первоначально подним подразумевалось мошенничество с телефонными аккаунтами AOL.],впервые прозвучал на мюнхенской конференции Virus Bulletin Conference в1998 году. Речь шла об исследовании защищенности почтовых сервисов AOLперед троянскими атаками, однако случайно специалисты столкнулись сдругим криминальным явлением. Поначалу большинство фишеров былозаинтересовано именно в получении логинов/паролей для аккаунтов AOL,чтобы в дальнейшем использовать их при рассылке спама и хостингесайтов, сомнительных с точки зрения законности контента. В начале 90-хзлоумышленники относительно просто могли создавать учетные записи вслужбах американского телекома, пользуясь сгенерированными номерамикредиток. После того как AOL обеспокоилась этими махинациями иужесточила правила регистрации, случаи фишинга стали учащаться.
Ктому же времени относится появление основных мошеннических приемов,которые можно отнести к так называемой "социальной инженерии". Намассового пользователя успокаивающе действовало наличие в письме формсбора данных и прочих html-прелестей на пару с официальным оформлением,что для многих служило доказательством солидности респондента. Вписьмах псевдослужащие техподдержки AOL рассказывали истории о сбоях вработе оборудования или СУБД, извинялись и просили о помощи. Причемнеотложной. Во избежание появления у пользователя ненужных мыслей емупредлагали немедленно ввести свой пароль, пугая удалением аккаунта. Вдальнейшем фишинг становился изощреннее только в техническом плане,психологическая же основа осталась прежней. Наличие правдоподобнойлегенды, побуждающей пользователя к необходимым действиям, -непременная составляющая успеха мошенников.
Позднее с кражиAOL-аккаунтов мошенники перешли на сбор номеров кредитных карт ираспространили свою деятельность на любой мало-мальски известныйфинансовый брэнд. Довольно быстро появилась такая модификация фишинга,как спуфинг. От классической схемы этот вариант отличается тем, что вписьме жертву просили перейти на сайт банка или компании для заполненияавторизационной формы по прилагаемому линку. Ссылка не вызывает особыхподозрений, поскольку ее URL обычно очень похож на URL реальногоучреждения (тайпсквоттинг) или же текст ссылки не соответствует еереальному "направлению". Те, кто клюнул и кликнул, заходили наспециальную веб-страницу, повторяющую дизайн сайта оригинальнойкомпании, где и вводили необходимые данные. Особо старательные фишерывообще подделывают ресурсы целиком.
Забегая вперед, отмечу, чтов настоящее время мошенники все чаще не утруждают пользователясобственноручным вбиванием паролей и PIN-кодов в формы и используюттрояны. Да и задача в этом случае сильно упрощается - достаточнозаставить пользователя перебраться на фишерский сайт и "подцепить"программу, которая самостоятельно разыщет на винчестере жертвы все, чтонужно. А с прошлого года наравне с троянами стали использоваться икейлоггеры. Шпионские утилиты, отслеживающие нажатия клавиш, загружаютна компьютеры жертв на подставных сайтах. Если в конце 2004 годаWebsense каждую неделю обнаруживала по паре новых кейлоггеров ипятнадцать распространявших их сайтов, то полгода спустя эти показателивыросли до десятка и сотни соответственно. При использовании такогоподхода необязательно находить выходы на клиентов конкретного банка иликомпании, а потому подделывать стали и сайты "общего назначения", такиекак новостные ленты и поисковые системы.
От частных случаев к массированным атакам
Какуже упоминалось, озабоченность проблемой фишинга приняла массовыемасштабы в 2004 году. Нельзя сказать, что к тому времени фишинг встална первое место среди видов интернет-криминала, если оценивать поубыткам, которые понесли потерпевшие. Спам, вирусы и DoS-атаки"рыбакам" обойти не удалось. Встревожили относительные показатели. Поданным mi2g, если ущерб, нанесенный фишерами мировой экономике, в2003-м составлял $14 млрд., то год спустя он достиг $44 млрд. Постатистике Symantec, в середине 2004 года фильтры компании еженедельноблокировали до 9 млн. писем с фишинговым контентом. К концу года за тотже период отсеивалось уже 33 млн.
Наиболее авторитетная в этомвопросе организация APWG (Anti-Phishing Working Group) подсчитала, чточисло подставных сайтов в Сети за последние шесть месяцев 2004 годаувеличилось вчетверо и превысило 2,5 тысячи, а количество атак за годвыросло в тридцать раз. Та же организация сообщила, что эффективностьфишерских рассылок может достигать 5%p, то есть каждый двадцатыйполучатель письма становится жертвой мошенников.
В том же годуфишинг пришел в Россию. Первыми пострадали клиенты "Ситибанка", которыеполучили письма с просьбой уточнить данные своих пластиковых карт,якобы потерянные в результате сбоя в банковской системе. При переходепо ссылке, указанной в сообщении, клиент попадал на страницу, где емупредлагали ввести номер карты и PIN-код. В общем, местные фишеры нестали изощряться и воспользовались классической схемой. В мае 2004 годабанк распространил заявление о своей непричастности к рассылке подобныхсообщений. К тому времени, по некоторым источникам, фишерская кампания,направленная на клиентов "Ситибанка", уже шла по меньшей мере тримесяца. К чести организации следует упомянуть, что президент банкапообещал при получении уведомлений о потере денежных средствдействовать в интересах клиента, оценивая каждый случай виндивидуальном порядке.
Впрочем, это скорее исключение, чемправило, и столь великодушные жесты увидишь нечасто. Ведь банки в этомслучае никому ничего не должны. Финансовые транзакции с использованиемPIN-кода неоспоримы, и ответственность за их проведение целиком иполностью ложится на держателя карты. Вместе с тем исследование PonemonInstitute показало, что пользователи считают защиту от фишингаобязанностью бизнеса, а раз так - банкам и компаниям, работающим ве-коммерции, следует заняться разработкой дополнительных мер защиты отфальсификации своих онлайн-представительств. В частности, 96%pучастников проведенного в рамках исследования опроса отметилинеобходимость создания компаниями способа безошибочной аутентификацииэлектронного письма и сайтов. Также респонденты высказались за внесениеизменений в законодательство (в данном случае американское), которыепозволили бы закрывать поддельные ресурсы. И если с однозначнойаутентификацией вопрос остается открытым по сей день, то юридическимимерами фишеров стали "давить" уже в том же 2004-м.
Столь быстройреакции правоохранительных органов США и ряда других западных странспособствовало резкое обострение ситуации летом. Вскоре послероссийского инцидента вал фишерских посланий обрушился и наамериканских клиентов Citigroup. В июле 2004 года специалисты APWGконстатировали очередной всплеск активности мошенников, зарегистрировавза месяц 1974 атаки (в декабре 2003-го, согласно тому же источнику,было зафиксировано 116 случаев). Две трети из них пришлись на клиентовCitibank и U.S. Bank. Тогда же этот список пополнил "новичок" -Федеральная корпорация банковских депозитов США (FDIC), чье имя впервые"засветилось" в соответствующих посланиях за восемь месяцев до "бума".
Всередине июля 2004-го в Сенате был подготовлен законопроект, гдевпервые описывалось явление фишинга и наличествовал запрет на подобнуюдеятельность. К фишерским проделкам в этом документе причислялиимитацию сайтов с целью принудить пользователя к передачеидентификационных данных другому лицу и подделку обратных адресовэлектронной почты с целью заманить на подобные сайты. При этом авторызаконопроекта подчеркнули, что свободу слова их детище ни в коем разене нарушает и сайты-пародии, имитирующие популярные ресурсы "в мирныхцелях", останутся в рамках закона. Впрочем, этот документ устарел, неуспев вступить в силу, поскольку уже к концу 2004 года обнаружилисьновые виды фишерских атак, "подтянуть" которые под предложенноеюридическое описание не представлялось возможным. Первый суд надфишерами состоялся в октябре 2004-го в Лондоне. Интересно, что группауличенных мошенников оказалась родом из экс-СССР. Обвинение импредъявили по классическим статьям: преступный сговор с целью обманафинансовых организаций и отмывание денег.
А на следующий годбразильской полиции удалось поймать более крупную фигуру в мирефишинга, некоего Валдира Пауло де Алмейду (Valdir Paulo de Almeida),который, по данным обвинения, возглавлял преступную группировку. Бандеудалось похитить $37 млн. с банковских счетов, используя почтовыесообщения с троянами. Ежедневно рассылалось больше трех миллионовписем. Для финансового сектора Бразилии фишинг к тому времени ужепревратился в настоящее бедствие. Несмотря на многочисленные (болеепятидесяти только за 2004 год) аресты, национальный сегмент Сетинаводнил шпионский софт, который отслеживал маршрут пользовательскоговеб-серфинга и после посещения жертвой сайта одного из бразильскихбанков отсылал аутентификационные данные преступникам.
Знакомство на деньги
Фишингс использованием мобильной связи уже стал привычным явлением даже вРоссии (см. "КТ" %h655), хотя и в этой сфере грядут перемены. Вчастности, SMS-рассылками со словесными попытками убедить пользователяпродиктовать коды активации для экспресс-карт дело уже неограничивается. Злоумышленники комбинируют два вида "разводов". Всентябре текущего года специалисты компании McAffee объявили опоявлении нового типа интернет-мошенничества, которое прозвалисмишингом (smishing, то есть SMS + фишинг). В первых сообщениях такоготипа абонентам писали, что факт их подключения к некоему сервисузнакомств подтвержден, и напоминали, что ежедневная плата запользование услугой составляет $2. К сообщению прилагалась ссылка насайт сервиса, по которой пользователи переходили, чтобы удалить"ошибочно" полученный аккаунт, и получали трояна. Организаторы первойсмишинг-атаки находятся в Испании и ведут рассылку по телефонам серииNokia 60.
Текущий момент
В 2005-м ситуация нисколько неулучшилась. Разве что, по данным APWG, немного снизились темпы ростаатак, да и то ненадолго. Financial Times объявила о том, что половинаопрошенных в рамках исследования пользователей Интернета сталкиваласьсо случаями фишинга. Причем четверть респондентов, несмотря на всюшумиху на протяжении полутора лет, все еще не знала, что в Интернетеможно потерять деньги, поделившись данными о своем банковском счете снеизвестными. С пятью процентами опрошенных эта неприятностьприключилась. Интересно, что половина жертв не получила возмещенияущерба от банка, что для многих тоже стало полной неожиданностью.
Виюле текущего года был зафиксирован последний рекорд количествасозданных фишерами подставных сайтов - 14191. Это на 18%p превышаетмайский показатель. Причем на 1850 найденных сайтах были отмеченыпопытки загрузить на пользовательский компьютер тот или иной троян. Каки следовало ожидать, в "чистом" почтовом фишинге стремительно растетдоля поддельных сайтов и прочих "альтернативных" методов мошенничества.При этом хостинг большинства таких ресурсов осуществляется в США.Среднее время жизни сайта составляет 5-7 суток. Методы, которымипользователи заманиваются на фальшивые ресурсы, тоже изменились.Начиная с прошлого года, фишеры активно применяют технику такназываемого DNS-отравления, при котором жертву уже не обязательно"убеждать" совершить те или иные действия, а достаточно простоинфицировать компьютер. В результате пользователь, попытавшийся зайтина реальный сайт банка или иного сервиса, автоматическиперенаправляется на поддельную страницу.
Специалисты сумеливыделить самые любимые мошенниками онлайн-сервисы. В 80%pзарегистрированных случаев фишеры действовали под прикрытием всегошести брэндов: eBay, PayPal и нескольких банков. Но внимание аналитиковпривлекают оставшиеся 20%p, поскольку считается, что именно онипозволяют получить информацию о новых, еще осваиваемых фишерами целях,на которые придется основная масса атак в ближайшие годы. Кроме того,специалисты центра RSA Cyota по борьбе с мошенничеством в Сетиобнаружили, что фишеры уже выработали ответную меру на участившиесяслучаи закрытия своих подставных ресурсов. Для того чтобы пользовательпопадал на реально существующий сайт, мошенники создали так называемый"умный редиректор". То есть генерируется сеть подставных ресурсов,размещенных на разных серверах. URL сайта, указываемый фишерами вписьмах, направляет жертву на единый сервер, где и установленредирект-скрипт, который проверяет доступность фальшивых сайтов иперенаправляет пользователя на один из реально существующих.
Наконференции HITB (Hack In The Box Security Conference), проходившей всентябре сего года в Малайзии, было рассказано еще об одной (пока,правда, в большей степени потенциальной) угрозе, которая можетдоставить немало неприятностей финансовым компаниям. Речь идет опостепенном переходе банков и других организаций, вызывающих интерес уфишеров, на VoIP-связь. При этом в мире просто еще не придуманоспособов профилактики фишинговых атак, осуществляемых посредствомIP-телефонии. Перспективы были нарисованы самые мрачные. Преступники,как ожидается, получат возможность, проникнув в банковские сети,работать с телефонными каналами. В результате клиент, позвонивший всвой банк, может стать жертвой фишинга, поскольку линия уже будетконтролироваться хакерами. Пользователя попросят сообщитьидентификационные данные для связи с клиентской службой поддержки, ипосле диктовки таковых злоумышленники смогут получить доступ кбанковскому счету.
Противодействие
Понятно, что программныйинструментарий для защиты от фишинга обладает ограниченнойэффективностью, поскольку злоумышленники эксплуатируют в первую очередьне бреши в ПО, а человеческую психологию. Тем не менее уже второй годактивно разрабатываются технические средства безопасности, прежде всегоплагины для популярных браузеров. Для большинства из них плагиныприходится скачивать дополнительно, однако, как ожидается, в следующихверсиях эту функциональность будут поддерживать уже все браузеры.
Покатакая возможность реализована в "стандартной комплектации" только Opera8.0. Mozilla весной прошлого года выпустила отдельно загружаемуюзаплатку для Firefox. В марте нынешнего года представители компанииофициально обещали появление антифишингового модуля в составеследующего релиза браузера. Соответствующую защитную систему создателиFirefox разрабатывают в сотрудничестве с Google. Суть защитызаключается в блокировании сайтов, попавших в "черные списки"мошеннических ресурсов, но обещают и некие другие дополнительныесредства безопасности.
В Microsoft фишингом озаботились вавгусте прошлого года и выпустили дополнение к MSN Search Toolbar -Microsoft Phishing Filter для проверки открываемых сайтов на наличиеподозрительного контента, а также соответствующих троянов и редиректов.Как ожидается, этот плагин будет встроен и в седьмую версию IE.Антифишинговое ПО корпорация разрабатывала в сотрудничестве с компаниейWhole-Security, в загашнике которой имеется один из крупнейших "черныхсписков" подставных сайтов - Phish Report Network. Возможно, толчком кразработке фильтра послужила резкая критика Microsoft со стороныспециалистов по информационной безопасности двумя месяцами ранее всвязи с отказом корпорации выпускать для шестого IE заплатку,затрудняющую проведение спуфинговых атак. В Редмонде, правда,парировали обвинения, заявив, что еще в обновлении Windows XP SP2предложили пользователям IE такие функции, как блокировка всплывающихокон и контроль за окнами с исполняемым скриптовым содержимым. Но,видимо, непрерывно усиливающийся страх пользователей перед фишерами (вмногочисленных исследованиях наперебой рапортуется о десятках процентовреспондентов, отказавшихся от электронных платежей в том или ином видеиз-за боязни фишинга) все же вынудил Microsoft пойти на уступки.
Стараютсяпо мере сил и сторонние разработчики. Так, McAfee предлагает свойплагин SiteAdvisor к IE и Firefox для проверки по URL сайта наличия вкоде фишинговых ловушек. В июле текущего года в Сети появилсяаналогичный бесплатный онлайн-сервис LinkScanner(www.explabs.com/linkscanner).
Но несмотря на все усилиясофтверных компаний, лавина фишинга в Сети нарастает, так чтосуществующих методов борьбы с этим явлением явно недостаточно.Следующим шагом могут стать системы генерации одноразовых паролей дляинтернет-доступа к банковским счетам и аккаунтам в платежных системах,повсеместное распространение дополнительных уровней защиты за счеткомбинации ввода пароля с использованием аппаратного USB-ключа имобильные подтверждения (отправка удостоверяющей SMS с телефонаклиента). Эти методы уже используются некоторыми банками, но говоритьоб их массовом применении пока рано. Да и не факт, что они помогут.Фишеры тоже не дремлют.
Аналитические компании,специализирующиеся на исследованиях киберпреступности, вообщеконстатируют, что примерно два года назад сетевой криминал изменился нетолько количественно, но и качественно. И существенно возросшаясложность борьбы со злоумышленниками во многом обусловлена именноглобальными тенденциями. Речь идет не только о появлении фишинга иликаких-то еще новых видов отъема денег у пользователей, а о сменемотивации у преступников, резком увеличении "питательной среды" в видеширокого распространения беспроводного доступа или мобильных устройстви возникновении гибридных преступных явлений, образованных на стыкенескольких угроз (спам + вирусы, например). Хакеров-идеалистов,взламывающих сайты из хулиганских, а то и благородных побуждений, вСети все меньше, а онлайн-криминал незаметно превратился ворганизованный и очень живучий бизнес с инновациями, инвестициями,транснациональной структурой и прочей атрибутикой. |
