Фишинг

ФИШИНГ

________________________________________________________

fishing.jpg

Фишинг – это рассылка электронных сообщений, которые якобы приходят из надежных источников, таких как банки, но по сути являются попыткой получения конфиденциальных данных пользователя. С этой целью они обычно включают ссылку, при переходе по которой пользователь попадает на фальшивый вебсайт. Затем пользователи, полагая что они находятся на надежном сайте, вводят запрошенные данные, которые попадаюжт в руки злоумышленника.

Существует огромное количество ПО и программ, которые по классификации подпадают под категорию кражи персональной и финансовой информации. Некторые из них достаточно сложны, например, использование окна Javascript, плавающего над адресной строкой веб-браузера для того, чтобы запутать пользователя.

Вот некоторые из наиболее распространенных характеристик, свойственных таким фальшивым электронным сообщениям:

·        Использование наименований существующих компаний. Вместо того, чтобы с нуля создавать вебсайт компании, злоумышленники имитируют корпоративный имидж и функционал сайта существующей компании для того, чтобы запутать получателей фальшивых сообщений.

·        Использование имени реального сотрудника компании в качестве отправителя фальшивого сообщения. За счет этого, если получатель предпримет попытку подтвердить аутентичность сообщения звонком в компанию, он получит ответ, что такой человек в компании действительно работает.

·        Веб-адреса, которые кажутся правильными. Фальшивые электронные сообщения, как правило, ведут пользователей на веб-сайты, имитирующие внешний вид официального веб-сайта компании, которая используется в качестве приманки. На самом же деле, как содержимое, так и адрес сайта (URL) являются поддельными и просто имитируют легитимные данные. Более того, юридическая информация и другие некритичные ссылки могут даже перенаправлять пользователя на реальный вебсайт.

·        Фактор страха. Возможность обмана пользователей для мошенников очень краткосрочна, поскольку как только компания получает информацию о том, что её клиенты стали жертвами подобных технологий, сервер, на котором расположен фальшивый вебсайт, отключают в течение нескольких дней. Таким образом, для мошенников особенно важно получить от пользователя немедленный отклик. В большинстве случаев лучшая стратегия – это пригрозить пользователю либо финансовыми убытками, либо утратой самого счета, в случае если содержащиеся в письме инструкции не будут выполнены, причиной для чего обычно называются новые меры безопасности, якобы введенные в компании.

В дополнение к ссылке на фальшивый URL, данный вид вредоносного ПО также использует и другие, более сложные технологии:

·        Посредник. В рамках данной технологии злоумышленник расположен между жертвой и реальным веб-сайтом и действует в качестве прокси сервера. За счет этого, он может перехватывать все подключения между ними. Для получения успешного результата злоумышленникам необходимо перенаправлять жертвы на свой прокси вместо реального сервера. Существуют несколько методов, среди которых такие методы как прозрачный прокси, DNS Cache Poisoning и запутанный URL.

·        Эксплуатация уязвимостей кросс-сайтового скриптинга на сайте позволяет подменять защищенную веб-страницу банка таким образом, что пользователи не смогут обнаружить аномалии в адресе или сертификате безопасности, отображаемом браузером.

·        Уязвимости в Internet Explorer, которые посредством эксплойтов позволяют подделать веб-адрес, который появляется в браузере. За счет этого, в тот момент пока веб-браузер перенаправляется на поддельный вебсайт, в адресной строке отображается надежный URL. Данная технология также позволяет открывать фальшивые всплывающие окна при доступе к легитимным вебсайтам.

·        В ходе некоторых атак также используются эксплойты, размещенные на вредоносных вебсайтах и эксплуатирующие уязвимости в Internet Explorer или клиентской операционной системе с целью загрузить кейлоггер-типы троянов, которые будут красть конфиденциальную информацию пользователей.

·         Фарминг - это гораздо более сложная технология. Он заключается в изменении содержимого DNS (Domain Name Server), либо через настройки протокола TCP/IP, либо через файл Imhost, действующий как локальный кэш серверных имен для того, чтобы при попытке пользователя открыть легитимные сайты, перенаправлять его на фальсифицированные версии. Более того, если при пользовании интернетом для сохранения анонимности жертва использует прокси, может быть затронута и система разрешения имен DNS сервера, в результате чего все пользователи прокси будут перенаправляться на поддельный сервер.