phising = “фишинг”

Будьте внимательны и острожны…

Новые “крючки” фишеров

По данным Рабочей группы по борьбе с фишингом (Anti-Phishing Working Group), фишинг-атаки становятся все более изощренными и технически сложными.

В январе-феврале 2005 года рост числа фишинг-атак замедлился и составил 2%. С июля 2004 года число атак ежемесячно возрастало в среднем на 26%, так что 2% – это значительное снижение скорости роста. Тем не менее, эксперты встревожены: какими бы приемами не пользовались фишеры, они становятся день ото дня сложнее.

А приемы мошенников отличаются разнообразием.

Во время первой волны атак в почтовые ящики ни о чем не подозревающих пользователей приходили письма, содержащие ссылки на якобы легитимные сайты банков, инвестиционных компаний и компаний, занимающихся интернет-бизнесом (например, eBay). Ссылки вели на фальшивые страницы, где у пользователей выманивали логины, пароли и другие персональные данные. Если поначалу фальшивки были сделаны довольно небрежно, то в настоящее время поддельные сайты, на которые попадают обманутые получатели, практически невозможно отличить от настоящих.

Фишеры не чураются стратегий социальной инженерии. Например, недавно была зафиксирована атака на клиентов компании Salesforce.com. Конечной целью фишеров были не персональные данные пользователей, а доступ к базе данных компании с помощью персональных данных ее клиентов. При этом выманивали конфиденциальную информацию у пользователей обещанием бесплатных обновленных версий продуктов Salesforce.com.

Эксперты полагают, что число атак на целевые группы, организованных с учетом особенностей менталитета группы и информации, которой она владеет, в дальнейшем будет расти, поскольку такие атаки более эффективны.

Еще одно новшество – использование службы мгновенного обмена сообщениями для распространения ссылок, ведущих на фальшивые страницы. Сообщения, содержащие ссылки, зачастую приходят якобы с адресов из списка контактов пользователя, что делает их еще более опасными.

Кроме того, фишеры стали прятать адреса фальшивых страниц среди легитимных адресов. Так, специалисты компании Mail-Filters обнаружили письма, подделанные под рассылки eBay, которые содержали предупреждение об опасности фишинга. В письме, разосланном мошенниками, сообщалось, что eBay никогда не запрашивает персональные данные в электронных письмах, и предлагалось получить дополнительную информацию на сайте компании. А в прилагаемый список легитимных адресов eBay был внесен один фальшивый адрес.

В арсенале мошенников появился целый ряд технических методов – от относительно простого использования незащищенных легитимных URL для пересылки на фальшивые сайты до сложных Java-скриптов, с помощью которых добавляется контент на легитимные страницы.

Один из видов мошенничества, получивший название фарминг, состоит в том, что пользователей перенаправляют с легитимных на фальшивые сайты с помощью “порчи” DNS (DNS poisoning). На серверах DNS мошенники заменяют цифровые адреса легитимных сайтов на адреса поддельных сайтов.

По мнению Поля Маттона (Paul Mutton), эксперта из компании Netcraft, судя по усложнению технических приемов, используемых фишерами в течение последних шести месяцев, фишингом всерьез занялись криминальные специалисты-технологи.

Представители Anti-Phishing Working Group считают, что фишинг только начал по-настоящему поднимать голову. Справиться с растущей угрозой позволит обучение персонала компаний и пользователей, внедрение средств защиты, а также обмен информацией между компаниями, которые стали мишенью фишинг-атак, властями и органами правопорядка.

Фишеры добрались до блогов

Для заражения компьютеров вредоносными программами, ворующими персональные данные, фишеры начали использовать блоги. На опасные страницы жертвы попадают по ссылкам в сообщениях, распространяемых по электронной почте или через службу мгновенного обмена сообщениями.

О новом приеме фишеров сообщает компания Websense. Специалисты отмечают, что эффективность атак основана на использовании приемов социальной инженерии – потенциальных жертв умело провоцируют воспользоваться ссылкой.

Недавно Websense обнаружила мошенническое письмо, которое якобы рассылалось популярной службой мгновенного обмена сообщениями. Получателям предлагалось скачать новую версию IM-программы. Ссылка в письме вела на блог, а машина пользователя заражалась программой, которая воровала пароли, когда жертва выходила на сайты определенных банков.

В течение последних четырех месяцев Websense зафиксировала сотни случаев использования блогов для хранения вредоносных программ и инфицирования компьютеров пользователей. Блоги привлекают вирусописателей не только своей популярностью, но и отсутствием защиты от вирусов.

По информации Websense, 12 апреля функционировало 210 фиктивных блогов. Средняя продолжительность жизни таких фальшивок – три-четыре дня.

Источник: CNET News.com