Искусство цифровой самозащиты
Шрифт:
Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей. В 2006 году компьютерный червь разместил на MySpace [40] множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных. В мае 2008 года первый подобный червь распространился и в популярной российской социальной сети «ВКонтакте». По оценкам специалистов, более 70 % фишинговых атак в соцсетях успешны.
Фишинг стремительно набирает обороты, но оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году ущерб составил 2,8 млрд
40
MySpace (с англ. – «моё пространство») – международная социальная сеть, которая начала работать в августе 2003 года. Это сайт сетевых сообществ и блог-платформа, в которой представлена возможность создания сообществ по интересам, персональных профилей, ведения блогов, размещения фото- и видеоконтента, а также возможность прослушивания аудиотреков популярных исполнителей. Штаб-квартира расположена в Беверли-Хиллз (Калифорния, США).
Техника фишинга
Социальная инженерия
Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. К примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счету…», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.
Веб-ссылки
Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.
Например,похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространенная уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Дело в том, что HTML позволяет указывать разными реальную ссылку и видимую часть, чем и пользуются мошенники. Кстати, любой браузер и многие почтовые клиенты показывают реальную ссылку внизу окна при наведении.
Один из старых методов обмана заключается в использовании ссылок, содержащих символ @, который применяется для включения в ссылку имени пользователя и пароля. Например, ссылкаприведет не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer, а Mozilla Firefox и Opera выдают предупреждение и предлагают подтвердить переход на сайт.
Еще одна проблема была обнаружена при обработке браузерами интернациональных доменных имен: адреса, визуально идентичные официальным, могли вести на сайты мошенников. Например, в домен sber.ru можно вставить русскую букву E вместо английской.
Обход фильтров
Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга.
Новые угрозы
Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определенному номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счета и PIN-код. К тому же вишеры, используя фальшивые номера, могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счета. В итоге человека также попросят сообщить его учетные данные.
Набирает свои обороты и СМС-фишинг, также известный как смишинг (англ. SMiShing – от SMS и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт. Входя на него и вводя свои личные данные, жертва таким образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определенному номеру для решения «возникших проблем».
QR-коды
Помните, как в 2021 году мэрия Москвы при поддержкe Минцифры решилa в очередной раз блеснуть своей глупостью и ввелa QR-коды для посещения заведений общепита?
Технология QR-кода достаточно проста: в нем закодирована ссылка на внешний сайт. В примере с сертификатами вакцинации ссылка вела на портал Госуслуг, где была простенькая страничка, отображавшая, что сертификат действителен.
Почему я вдруг поднял эту тему? А всё просто: если взять технику фишинга, т. е. скопировать страничку, вставить туда нужные данные и разместить на каком-нибудь сайте типа gosuslugi.app – ни один проверяющий не заметит, что сайт ненастоящий. Честно признаться, в 2001-м я несколько раз проходил в кафе и рестораны по такому коду.
Я продемонстрировал, как легко подделать QR-код вакцинации газете «Коммерсантъ» и они написали статью «Неподменимых у нас нет». Тема была настолько больная, что поднялась настоящая буря в СМИ, да такая, что вызвала озабоченность даже в Кремле.
КАК НЕ ПОПАСТЬСЯ НА УДОЧКУ МОШЕННИКОВ?
1. Самое главное правило – компании и сервисы не запрашивают вашу конфиденциальную информацию по электронной почте. Если вы видите призыв зайти и что-то ввести – на 99 % это фишинг.
2. Настоящие компании и сервисы обычно называют вас по имени. Мошенники же опускают обращение и пишут просто что-то вроде «Дорогой пользователь».
3. Настоящие компании и сервисы присылают письма со своих доменов. Обращайте внимание, от кого пришло письмо, если в доменном имени есть лишние буквы и опечатки.
4. Проверяйте ссылки, по которым вас просят перейти. Наведите мышкой на ссылку и проверьте, совпадает ли отображаемое имя с тем, куда реально ведет ссылка, и написана ли сама ссылка верно, без ошибок (смотри выше техники фишинга).