Фишинг по-русски. Малоизвестные и «продвинутые» разновидности фишинга

Данная статья была когда-то фрагментом VIP-раздела энциклопедии мошенничества в интернете, но после закрытия этого проекта перекочевала в данный блог.

Фишинг по-русски

В русскоязычном секторе Интернета фишинг сравнительно долгое время проявлялся по большей части в виде рассылки примитивных, и содержащих многочисленные грамматические ошибки, письмах, приходящих от имени электронных платежных систем (WebMoney, Яндекс.Деньги и др.) с сообщениями о «фОтальных» проблемах и просьбами выслать логины и пароли для «воСтОновления пользователя в сЕстеме». Впрочем, известно, что даже на такие примитивные приемы в свое время попадалось немало людей.

Хотя, серьезно организованные случаи фишинга в Рунете также случались и в прошлом. Например, известны фишинговые атаки на систему Yandex, с рассылкой вот такого письма:

Уважаемый пользователь,

Согласно пункту 4.6.2.5. Соглашения об использовании Системы «Яндекс.Деньги», Ваш счет заблокирован.

Необходима реактивация счета в системе. Для реакцивации проследуйте по линку:

ht***://passport.yanclex.ru
Либо свяжитесь с одним из наших операторов:

ООО «ПС Яндекс.Деньги». 101000, г. Москва, ул. Вавилова, дом 40
тел.: +7 (495) 739-23-25
ООО «ПС Яндекс.Деньги», Петербургский филиал. 191123, г. Санкт-Петербург, ул. Радищева, д. 39,
тел.: +7 (812) 334-7750

фишинг по-русскиПереход по ссылке в таком письме приводил на страничку, фрагмент которой представлен на рисунке слева (кликните для просмотра). Достаточно обратить внимание на доменное имя yanclex (сочетание «cl» для невнимательного или просто подслеповатого человека вполне может сойти за «d»). Впрочем, ссылка в письме может быть и замаскирована (как в предыдущей заметке в примере с PayPal). Переход по ссылке приведет потенциальную жертву на копию страницы ЯндексДеньги, с формой для ввода логина и пароля. В адресной строке будет все тот же yanclex и у значительной части неосторожных пользователей есть шансы попасться на эту удочку. После ввода логина и пароля в такую фальшивую форму, эти данные отправляются мошеннику, а пользователь либо перенаправляется на страницу настоящего сайта, где ему приходится еще раз ввести свои данные для авторизации, либо переадресуется на другую подставную страничку, где ему сообщается о временных технических проблемах и необходимости немного подождать. Впрочем, возможны и варианты, не меняющие сути.

По данным некоторых источников, фишинг-атакам в 2007 году подвергалась и российская платежная система Assist, принимающая оплату по кредитным картам. Пользователи этой платежной системы, (компьютеры которых вероятно были заражены вирусом), при переходе на страницу оплаты попадали на ее фальшивый аналог, с предложением ввести не только номер карты, но и ее пин-код.

Своеобразной разновидностью фишинга можно считать также подделку страниц аттестатов платежных систем.

Однако в Рунете есть области, в которых фишинг имеет даже свою собственную специфику. Прежде всего — это системы активной рекламы и интернет-серфинга (так называемые «почтовики» и САР), весьма популярные среди многих наших соотечественников. Реализуется в них фишинг следующим образом:

Кто-то из рекламодателей запускает в серфинг страничку, внешне имитирующую главную страницу того сайта, на котором производится серфинг. То есть контрольный фрейм «убивается» специальным программным кодом и на весь экран разворачивается поддельная страничка, имитирующая страницу входа в систему. У пользователя, который занимается в это время серфингом, создается такое впечатление как будто его «выкинуло» на страницу авторизации (что и в самом деле порой случается в результате технических сбоев), и что ему предлагается вновь пройти авторизацию для входа в систему (иногда это требование выражается прямым текстом: «Произошел сбой, пройдите авторизацию»). Если серфер вводит свои данные на этой страничке, то спустя какое-то время он теряет доступ в систему. Злоумышленник, получив данные для доступа, меняет пароль, e-mail, а при возможности и платежные реквизиты и использует средства (деньги, кредиты), имеющиеся на счету жертвы в своих интересах: либо продает их, либо выводит, либо использует для раскрутки своих проектов. Впрочем, он может и ничего не менять, а просто красть средства (деньги или кредиты), оставив пользователю возможность «зарабатывать дальше», пока тот не спохватится, что заработанное им куда-то регулярно исчезает.

В последнее время фишинг получает огромное распространение в социальных сетях (таких как «Одноклассники», «в Контакте» и др.) При этом он очень часто используется в сочетании с фармингом:

Pharming — фарминг — это мошеннический технический прием, нередко сопровождающий фишинг (перенаправление пользователя-жертвы на ложный адрес). Является более опасным, чем классический фишинг, поскольку при удачной реализации фарминга, жертва, попадая в реальности на мошеннический сайт, видит в адресной строке своего браузера адрес настоящего сайта, и поэтому может считать, что находится на настоящем сайте.  Фарминг, как правило, организуется путем подмены IP-адресов (может использоваться файл HOSTS, а также система доменных имен (DNS)). Для изменения файлов используются вредоносные программы (трояны, вирусы), которые пользователь запускает на своём компьютере по неосторожности. Наиболее простым и распространенным вариантом фарминг-вмешательства является модификация на компьютере жертвы файла HOSTS (который по умолчанию расположен в директории %WinDir%System32driversetc и когда речь идет о компьютере простого пользователя (не программиста) является практически полностью задокументированным, то есть по сути пустым; признаком использования фарминга является привязка большого числа доменных имен к какому-то одному IP адресу в файле HOSTS; IP адрес в таком случае обычно является адресом фишингового сайта злоумышленника). Иногда этот вариант вмешательства сочетается со сменой местоположения файла HOSTS. Реже используется модификация настроек DNS-серверов и регистрация ложного DHCP-сервера.

Однако, углубляться в это в рамках данной заметки мы не будем, потому что фарминг, сам по себе, является уже не столько мошенничеством, сколько техническим трюком, ну а проблемам социальных сетей в данном блоге посвящены отдельные заметки.

Для того, чтобы обезопасить себя от любых разновидностей фишинга, следует помнить, что вводить свои регистрационные или платежные данные, — пароли, логины или просто реквизиты, — можно только на тех интернет-страницах, на которые вы попали путем набора адреса в адресной строке браузера. Это не гарантирует полной безопасности, поскольку в настоящее время эта страничка также может быть подменена с помощью фарминга (см. выше), если компьютер заражен вирусом. Но это является самым минимальным требованием безопасности, которое нужно соблюдать неукоснительно: Если страничка входа возникла самостоятельно (автоматически, как во время серфинга), или же появилась в результате перехода по ссылке в письме (чего делать не следует, но тем не менее если это все же произошло), то необходимо самым внимательным образом исследовать адрес перехода (в той же адресной строке). В большинстве случаев (если не используется фарминг), адрес будет отличаться от оригинального адреса того сайта, регистрационные данные к которому у вас хотят украсть. И такую страничку следует немедленно покинуть.

Полная же безопасность может быть гарантирована только при комплексном подходе, который предполагает: исследование адресной строки, контроль над файлами, управляющими переадресацией IP и т.д.

Между прочим, функции «бдительного сторожа» при фишинге невольно выполняют системы автоматического ввода пароля, — например Roboform. Дело в том, что на Roboform такой прием, как визуальный обман и искажение доменного имени на одну букву или даже точку, никакого воздействия не произведет. Roboform просто не найдет подходящего пароля для фальшивой странички, поскольку она не числится в его базе, и это наверняка заставит любого пользователя задуматься о причинах происходящего: если Робоформ не нашел пароля, значит это не та страница, с которой должен производиться вход.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.