pc.uz
Поиск
Расширенный поиск
РегистрацияЗабыли пароль? Запомнить
Товары Каталог компаний Публикации Объявления События Полезные сервисы Наши вакансии
Четверг, 21 марта 2019 г.
USD: 8378.04   EUR: 9488.13
Версия для печати
2006-11-08 00:00:00

Фишинг



Фишинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание)— вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей.

Организаторы фишинг-атак используют массовые рассылки электронных писем от имени популярных брендов. В эти письма они вставляют ссылки на фальшивые сайты, являющиеся точной копией настоящих. Оказавшись на таком сайте, пользователь может сообщить преступникам ценную информацию, позволяющую управлять своим счётом из интернета (имя пользователя и пароль для доступа), или, даже, номер своей кредитной карты.

Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. В частности, около 5% пользователей не знают простого факта: банки не рассылают писем с просьбой подтвердить в онлайне номер своей кредитной карты и её PIN-код.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров будут обладать такой возможностью.

Как часто вы получаете корреспонденцию, в которой вас просят посетить тот или иной сайт, причем адреса отправителей и названия сайтов зачастую схожи или частично схожи с реально существующими легальными организациями? Правильно, каждый день. Подделать электронный адрес отправителя даже для начинающего хакера – минутное дело. А дальше – дело техники и человеческого фактора. Потеря конфиденциальной информации, энных сумм с ваших счетов, ваших персональных данных, увод ваших аккаунтов. Фишинг сочетает в себе технику взлома и методов социальной инженерии. Для статистики – в Соединенных Штатах в период с 2004 по 2005 год жертвами фишинга стало 1.2 миллиона человек с суммой причиненного им ущерба почти в 1 миллиард долларов США.

Причем фишеры сплошь и рядом оказываются хорошими психологами. Так, например, однажды многие владельцы пластиковых карт одного из крупных банков получили особое электронное письмо. В нем было написано примерно следующее: "Сегодня на ваш счет пришел перевод, сумма которого превышает 1000 долларов. В соответствии с нормативными актами и договором вам необходимо подтвердить его получение. Если в течение трех суток вы этого не сделаете, деньги будут отправлены обратно. Для того чтобы подтвердить получение перевода, откройте ссылку в конце этого письма и введите необходимую информацию". Под необходимой информацией, естественно, подразумеваются номер пластиковой карты, срок ее действия, наличие или отсутствие овердрафта и т. п. И многие люди не могут перебороть свою жадность, оставляя важную информацию на сайте-подделке.

Существует несколько способов, которые применяют фишеры в киберпространстве. Наиболее распространенные из них это:

- Спам-рассылка писем, в которых присутствуют эмблемы, логотипы, торговые марки и имена существующих компаний и организаций, адресованных широкому классу пользователей, с целью получения персональных данных, данных о банковских счетах или данных кредитных карточек. Цель – заставить пользователя пройти по ссылке в теле письма, кликнуть на всплывающее окно, якобы рекламирующее какую-либо легальную фирму, пройти на сайт для заполнения или обновления вашей существующей информации.

- Метод рассылки писем с целью заставить получателей раскрыть номера своих кредитных карточек для дальнейшего использования этих номеров в системах денежного перевода. Таким образом, пользователи становятся невольными участниками перевода больших денежных средств по длинным цепочкам.

- Метод, полагающийся только на подделку легальных корпоративных сайтов. Рассчитан на узкий круг предполагаемых жертв, ищущих данные сайты и использует в своей работе снифферы.

- Метод вставки вредоносного кода в тело электронного послания или скрипта веб-сайта. При открытии письма или сайта в систему пользователя устанавливаются трояны или кейлоггеры, которые автоматически перенаправляют их на сайты, схожие на легальные банковские сайты, но по факту, просто крадущие информацию или записывающие и отсылающие любые нажатия клавиатуры злоумышленнику.

Но не все виды фишинга подразумевают под собой подделку веб-сайтов и отправку ложных электронных писем. Также очень развита система телефонного фишинга. Схема, по которой действуют мошенники, довольно проста и полностью автоматизирована. Первым делом «рыбаки» настраивают телефонный автонабиратель, который круглосуточно набирает номера в определенном регионе. Когда потенциальная жертва снимает трубку, автоответчик предупреждает, что его пластиковая карта находится в руках мошенников, и просит срочно перезвонить по указанному номеру. Он чаще всего четырехзначный и очень похож на номера центров экстренной помощи, поэтому перепуганные владельцы карт, откинув всякие сомнения, перезванивают. На другом конце провода компьютерный голос вежливо просит пройти сверку данных и ввести с клавиатуры телефона секретный код пластика. Параллельно выясняется номер счета, полное имя и адрес держателя, срок действия его карты. Успокоенный владелец кладет трубку, а спустя некоторое время обнаруживает свой пластиковый кошелек пустым.

К сожалению, выявление и предупреждение о методах фишинга, может оказаться бесполезным и не давать соответствующую защиту пользователям, так как практически каждый день появляются все новые и новые виды этого Интернет-мошенничества. Но и данная информация может оказаться полезной, для обнаружения обмана. Так как раньше фишинг считался мелким воровством в Сети, то сейчас его размах приобретает глобальное значение. Одиночки фишеры перерастают в значительные организованные преступные группировки, которые ставят перед собой цели атаковать сервера служб доменных имен, которые являются путеводителями обычных пользователей в сети Интернет. Контроль такого сервера позволяет перенаправлять пользователя на какой угодно сайт без необходимости рассылки спама и подделки веб-сайтов и их адресов.

Рядовые пользователи могут защититься от фишинга с помощью антивирусных программ и межсетевых экранов, но, компании, работающие с клиентами через интернет, могут позаботиться о безопасности своих клиентов, например, выпуская аппаратные ключи с идентификационными данными. Еще одним решением проблемы фишинга, отмечают специалисты, было бы создание системы аутентификации интернет-адресов для проверки соответствия введенного пользователем адреса настоящему серверу.

Использована иллюстрация T.Wizany

Источник: UZ-CERT
Прочитано: 10737 раз(а)  |  Комментариев: 3  |  Средняя оценка (макс. 7): 6 (Голосов: 1)
Вы не авторизованы для голосования
отсутствуют

Комментарии к статье (3).
2006-11-10 18:05:47, Kiber:
Не новость
2006-11-10 12:28:41, Добрый:
Ошибка в последнем абзаце, после "но" поставить запятую, разделить словосочетание "отфишинга" и вообще отредактируйте весь текст)
2006-11-10 12:28:41, Автор:
Ошибки возникли при переносе. Исправлено. Спасибо.
В этой теме комментарии отключены.
Регистрация в каталоге Обратная связь Размещение на сайте Приглашаем авторов! О проекте Наши партнеры
© ООО «Norma»; 2019. Все права защищены.
YP
Рейтинг@Mail.ru
Uzinfocom Datacenter
18+
Add engine