(Окончание. Начало в №37)

Часть 6

В ходе исследования файла mole.tgz, скачанного атакующими в Великобритании, в корневом каталоге было найдено несколько текстовых файлов от распакованного авторутера. В файлах содержались настройки и логи предыдущего сканирования. Также в файлах были найдены сведения о 42 случаях атак на другие хосты, плюс доказательства массового сканирования диапазонов IP-адресов сетей класса В, что, опять же, доказало, что изученный инцидент был лишь частью большой и хорошо организованной атаки на подобные системы. Некоторые утилиты массового сканирования, перехваченные с взломанных honeypot, очень редки в интернете, что говорит об уровне знаний атакующих - а знания эти намного выше, чем у рядового взломщика.

В ходе исследования аналитики также заметили, что фишеры часто совмещают три метода атак, уже рассмотренных нами, а иногда даже сочетают составные виды атак для обеспечения резерва и защиты собственной фишинговой инфраструктуры через реализацию двухэтажной конфигурации сети.

В некоторых примерах центральный веб-сервер хостит фишинговое содержимое, чаще всего обслуживая несколько сайтов (например, фишинговый сайт eBay в каталоге /ebay и PayPal в /paypal). Несколько взломанных удаленных компьютеров перенаправляют входящий на 80 TCP порт HTTP-трафик на центральный веб-сервер при помощи перенаправителя redir. В этом случае атакующий имеет некоторые преимущества, по сравнению с использованием одиночного фишингового сайта.

Если взлом одной из систем обнаружится, то жертва, скорее всего, отключит машину от сети и переустановит систему. Однако это не будет фатальной потерей, так как главный сервер все еще будет в онлайне, а другие взломанные машины также будут перенаправлять трафик. Если обнаружен взлом центрального фишингового сервера, то систему также отключат от Сети. Фишер может легко создать новый сайт на "свежевзломанной" системе и поправить настройки существующей фишерской сети.

Хост redir имеет довольно гибкие настройки и может быть легко перенастроен на перенаправление трафика на другой фальшивый сервер. Это сокращает время между взломом системы и моментом пуска фишерского сайта, а также увеличивает величину окна атаки, в котором фишерные атаки могут быть осуществлены. Использование этих методов подтверждает хорошо организованную работу грамотных хакеров. Похожие модели сети часто используются большинством хостинговых компаний и провайдерами.

Трансфер денежных средств

Добыть персональные данные для фишера - полдела, нужно еще добыть деньги. То есть использовать добытую информацию о банковских экаунтах, например, номер экаунта с присвоенным TAN (transaction number - используется в электронных банковских системах). В связи с тем, что трансфер всей зарубежной валюты мониторится банками, фишеры не могут просто пересылать большие суммы денег и не быть замеченными. Следовательно, фишерам приходится использовать посредников для трансфера денег - в два этапа. Сначала фишер переводит деньги со счета жертвы на счет посредника в той же стране. А затем посредник снимает эти деньги со своего счета (с меньшей вероятностью быть замеченным) и отправляет их фишеру по обычной почте. Конечно, посредника могут и "прижать", но когда деньги уже на пути к фишеру, они особо не рискуют, так как их маршрут может легко изменить еще один посредник. Вот пример финансовых махинаций, скрывающихся за фишерскими атаками:

"Здравствуйте!

Мы ищем людей из Европы, которые смогут Отправлять/Получать банковские переводы с наших продаж от Европейских клиентов. Чтобы не платить НАЛОГИ за интернациональные переводы в России. Мы предлагаем 10% от всех денег, прошедших через Вас и обязуемся обеспечить все затраты за пересылку денежных фондов обратно. Примерное количество денег, которое будет проходить через Ваш экаунт ежедневно составит около 1000 евро. Вся активность является легальной в Европе. Заполните эту форму: http://XXX.info/index.php (перед заполнением установите пожалуйста yahoo! Messenger или msn), Вы получите полное описание очень быстро".

Hello!

We finding Europe persons, who can Send/Receive bank wires from our sellings, from our European clients. To not pay TAXES from international transfers in Russia. We offer 10%

percent from amount u receive and pay all fees, for sending funds back.Amount from 1000 euro per day. All this activity are legal in Europe. Fill this form: http://XXX.info/index.php (before filling install yahoo! messenger please or msn), you will recieve full details very quickly.

Благодарим за сотрудничество, FINANCIE LTD".

Практика показывает, что фишерские атаки могут происходить очень быстро, и ограничены они только временем, затрачиваемым на вторжение в систему и рассылку спама, поэтому такие атаки очень трудно отследить. Наиболее популярными мишенями для фишеров являются блоки IP-адресов или малые DSL-адреса малых компаний, компьютеры которых редко соответствуют последним требованиям безопасности, и маловероятно, что атакующих смогут вычислить. Одновременные атаки на множество небольших организаций также увеличивают отдачу.

Наблюдения показывают, что фишинговые атаки становятся все более распространенными и хорошо организованными. Исследования показывают явную связь между спамом, ботнетами и фишинговыми атаками, также как привлечение посредников для сокрытия финансовых махинаций. Чем больше ставки и потенциальный выигрыш, тем более "продвинутыми" оказываются методы фишинга, и число атак будет продолжать расти. Сокращение числа уязвимых ПК (потенциальных ботов), противостояние валу спама, пресечение организованной преступности и обучение пользователей возможным рискам со стороны социальной инженерии - основные задачи служб безопасности.

Microsoft против фишинга

Компания Microsoft в ближайшее время выпустит в коммерческую эксплуатацию антифишинговую утилиту - бета-версию Microsoft Phishing Filter - узкоспециализированный фильтр для борьбы с фишингом, прежде ожидавшийся в составе дистрибутива грядущего Internet Explorer 7 (релиз запланирован на 2006 год). Работа этой утилиты будет заключаться в обнаружении попыток фишинга и предупреждении пользователя о таких попытках. Сейчас утилита поставляется только с бета-версией Internet Explorer 7.0 и только для ограниченного числа разработчиков и тестеров. Однако в ближайшие несколько недель Microsoft планирует внедрить ее в тулбар, так что утилита будет доступна также пользователям и более старых версий браузеров. Работа утилиты будет выглядеть примерно следующим образом. Как только пользователь переходит на подозрительный URL, утилита предложит ему сверить этот адрес с собственной базой данных Microsoft. Если пользователь соглашается, производится проверка, после которой сообщается, безопасный этот адрес или налицо попытка обмана пользователя.

Финальная версия фильтра будет поставляться вместе с IE 7. При этом в Microsoft подчеркивают, что досрочный выпуск фильтра никоим образом не означает смены стратегии компании. Софтверный гигант также планирует в ближайшее время анонсировать антифишинговые продукты, защищающие систему как на уровне браузера, так и на уровне почтового клиента. В Microsoft считают, что опасность фишинга является частью более общей проблемы, актуальной для любого пользователя Сети, - спама.

Виктор ДЕМИДОВ