(Продолжение. Начало в №37)

Часть 3

Методы маскировки

Для создания большей видимости того, что сообщение подлинное, фишер может воспользоваться различными методами: например, использовать IP-адреса вместо доменных имен в ссылках на взломанный веб-сайт. Большинство пользователей не станут проверять (или не будут знать как проверить), принадлежит ли данный IP-адрес реальному хосту организации. Используется и регистрирование созвучных DNS доменов (к примеру, b1gbank.com или bigbnk.com). Практикуется вставка ссылок с реального сайта компании в фишерское сообщение таким образом, что браузер пользователя выполнит большинство соединений на реальный сайт и минимум из них - на фальшивый. Если почтовый клиент пользователя поддерживает авто-рендеринг содержания, то клиент попытается соединиться автоматически с фальшивым сайтом, как только будет прочитано сообщение, а браузер, управляемый пользователем вручную, может и не заметить небольшое число соединений на сервер мошенников среди большого количества линков на подлинный сервер.

Широко распространено кодирование линка в браузере. Одним из вариантов этого метода может быть IDN spoofing с использованием Unicode. Будет казаться, что линк ведет на подлинный сайт, однако фактически соединение пойдет на фальшивый сервер с другим адресом. Иногда преступники используют уязвимости в веб-браузере пользователя для сокрытия действительной сущности содержания сообщения. Не секрет, что приложения Microsoft Internet Explorer и Outlook имеют множество дыр (такие как address bar spoofing или IFrame element).

Очень важно для фишера также отконфигурировать свой сайт так, чтобы записывались любые введенные данные (имена пользователей и пароли), причем скрытно, а затем пользователь перенаправлялся на реальный сайт. Можно выдавать сообщение "пароль неверный", после чего пользователь вообще не заподозрит неладного и попросту введет все данные снова.

Благодаря комплексной природе многих приложений электронной коммерции или онлайновых банков, которые чаще всего используют HTML-фреймы и саб-фреймы или другие структуры комплексных страниц, пользователю бывает трудно определить, является ли страница, на которую он попал, "законной". Использование вышеуказанных методов может скрыть исходник страницы, а пользователь будет легко обманут. С этого момента фишер сможет свободно использовать экаунты пользователя или другие электронные идентификаторы, а пользователь становится очередной жертвой успешной фишерной атаки.

Примеры - опыт исследователей

Ниже мы приведем ряд конкретных примеров из практики специалистов по компьютерной безопасности, целенаправленно исследовавших проблему фишинга. Все эти исследования опубликованы на специализированном сервере SecurityLab, откуда мы их, собственно, и позаимствовали.

Чаще всего пользователи интернета узнают о фишинг-атаках после получения провокационного почтового сообщения или просмотра фальшивого веб-сайта под заголовками сайта новостей. Причем публикация в новостях чаще всего появляется далеко не сразу после ликвидации "неправильного" хоста. Эти события очень редко разглашаются, поэтому информация об атаках нечасто доходит до жертвы.

Одно из основных преимуществ honeynets как способа изучения компьютерного пиратства состоит в том, что исследователи могут наблюдать за атакой с ракурса самого атакующего, а не жертвы, что позволяет составить четкое представление о технике атаки. Участникам Honeynet Project's Research Alliance удалось собрать достаточно информации, иллюстрирующей этапы фишинговых атак, начиная от начального взлома и создания фальшивого сайта до массовой рассылки почты и захвата данных пользователя-жертвы. Ниже представлены несколько примеров типичных реальных фишинговых методов.

Метод Фишинга 1 - Через "порутанные" веб-серверы:

Большинство фишинговых атак, рассмотренных исследователями в реальных условиях, были осуществлены злоумышленниками, которые вторгались на уязвимые серверы, а затем устанавливали собственный веб-контент. Удалось установить примерную последовательность действий профессионального фишера:

1. Злоумышленник сканирует сеть на наличие уязвимых серверов.
2. Сервер "порутан" и установлен руткит или бэкдор с паролем.
3. Фишеры получают доступ к серверу через зашифрованный бэкдор.
4. Если порутанный сервер является веб-сервером, то заранее созданный сайт "заливается" на сервер.
5. Минимальная настройка и тестирование веб-сайта (потенциально открывающее реальный IP-адрес фишера после первого обращения к веб-серверу).
6. Закачиваются и используются средства массовой рассылки писем для рекламы фальшивого сайта через спам.
7. Веб-трафик начинает поступать на фишинговый сайт, появляются первые потенциальные жертвы.

Часто время, затрачиваемое на все эти процессы, занимает пару часов или дней с момента первого подключения системы к интернету; такие действия разворачиваются на нескольких серверах и нацелены на несколько организаций сразу.

Виктор ДЕМИДОВ