Часть 1
Первый взгляд и статистика
Около половины всех пользователей интернета оказываются объектами атак со стороны цифровых мошенников. Об этом свидетельствуют данные опроса, проведенного мониторинговым центром YouGov по заказу одного из крупнейших американских интернет-провайдеров America Online (AOL). Злоумышленники, пользуясь спамерскими технологиями, постоянно рассылают по электронной почте письма с какими-либо мошенническими предложениями, основным типом которых как раз и является исследуемый нами в этой статье "фишинг" - поддельные письма якобы от имени банков или платежных интернет-систем с просьбой к клиентам сообщить данные для авторизации и доступа к личным денежным средствам. Говоря просто, такие письма содержат ссылки на фальшивые сайты, которые копируют дизайн сайтов банков или платежных систем. В случае, если пользователь оставляет на таких сайтах свои данные, они используются мошенниками для немедленного снятия с его счета имеющихся там денег. К слову, банки и платежные системы предупреждают, что никогда не рассылают подобных писем своим клиентам; обычно сайты, содержащие фальшивые страницы, быстро блокируются провайдерами, как правило, по запросам самих банков или правоохранительных органов.
Кроме того, спамерские письма часто содержат предложения сделать заказ какого-либо товара или услуги (часто нелегального характера) либо внести предоплату за какое-нибудь привлекательное предложение, связанное, например, с поиском работы. Деньги, посланные наивными пользователями авторам таким писем, бесследно пропадают. Также периодически рассылаются письма, реализующие так называемые "схемы быстрого обогащения" или "сетевой маркетинг", когда пользователей призывают отправить небольшую сумму отправителю и разослать аналогичные предложения множеству получателей.
Проведенный YouGov опрос также показал, что около четверти пользователей не знают, что выдача авторизационных данных (например, PIN-кода банковской карты) чревата возможной потерей денег. Около 5% опрошенных признали, что высылали деньги, пытаясь заказать предлагавшиеся спамерами услуги, и не получали ничего в ответ. Жертвами фишинга признали себя 1% опрошенных. Отмечается, что подавляющее большинство пользователей все же не реагируют на злоумышленный спам, успешно распознавая его среди других поступающих писем.
Впрочем, все это - самое примитивное представление такого явления, как фишинг. Ниже мы увидим, что далеко не все так просто, и по сложности фишинг мало чем отличается от других хакерских приемов.
Лучшее алиби - быть жертвой
Таким образом, фишинг представляет собой одну из форм рассылки спама, причем написанного так, как будто его прислал банк или другая серьезная организация (обычно связанная с финансовыми операциями). Цель - выудить у получателя письма важную для него информацию (имена пользователей, пароли, экаунты, IDs, ATM PIN'ы или информацию о кредитках). В классическом варианте, фишинговые письма содержат ссылки, направляющие получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. В добывании такой информации больше всего заинтересованы blackhat'ы, так как она позволяет им установить личности своих жертв и произвести мошеннические финансовые транзакции. Чаще всего жертвы терпят финансовые потери или их украденные личные данные используются в иных, криминальных, целях. Мошенники-фишеры постоянно занимаются исследованиями, поэтому многочисленные новые методы фишинга уже сейчас находятся в стадии разработки, если уже не используются.
Выуживание чужих паролей или другой важной персональной информации имеет долгую историю в сообществе интернет-преступников. Традиционно такие действия осуществлялись при помощи методов социальной инженерии. В конце 90-х годов, с ростом числа компьютеров, подключенных к Сети, и растущей долей интернет-бизнеса, атакующие научились автоматизировать этот процесс и атаковать рынок массового потребления.
Первое систематизированное исследование этой проблемы было проведено в 1998 году. Тогда аналитики исследовали почтовые программы на AOL, однако столкнулись с фишингом вместо ожидаемых атак троянами. Сам термин "фишинг" (password harvesting fishing - ловля и сбор паролей) описывает мошенническое овладение важной информацией, когда жертве сообщают совсем другую причину, по которой она должна сообщить эти данные, а о настоящей цели она даже не догадывается. Вот фишинговое сообщение, описанное первыми исследователями проблемы: "Сектор 4G9E нашей базы данных перестал выполнять функции ввода/вывода. Когда вы выполнили вход в систему под вашим экаунтом, мы смогли вас идентифицировать как зарегистрированного пользователя. Примерно 94 секунды назад ваша верификация была аннулирована из-за потери данных сектора 4G9E. Сейчас, по протоколу верификации AOL, мы обязаны создать для вас экаунт заново. Пожалуйста, нажмите "Ответить" и введите ваш пароль. В случае неполучения ответа мы полностью удалим ваш экаунт".
Как видно, изначально подобные атаки были главным образом нацелены на получение доступа к экаунту AOL жертвы, реже - для получения данных о кредитной карте в целях мошенничества. Часто фишинговые сообщения содержали элементарные хитрости, в результате чего компьютер жертвы оказывался под контролем третьих лиц. Происходило это потому, что неопытный пользователь "покупался" на "автоматизированные" функции формы ввода личных данных или явные признаки того, что письмо пришло от авторитетного источника. Как показано в предыдущем примере, это могла быть "сказочная" история о нарушении работы оборудования или ошибке в базе данных, и большинство пользователей верили в значимость официально оформленного сообщения или неотложной технической просьбы, в которой требовалась помощь пользователя. К слову, этот прием продолжает отлично срабатывать и в наши дни - новичков в интернете меньше не становится, а финансовые транзакции и/или управление своим банковским счетом через Сеть получают все большее распространение.
Виктор ДЕМИДОВ