Компьютерра - Журнал «Компьютерра» № 39 от 24 октября 2006 года
А на следующий год бразильской полиции удалось поймать более крупную фигуру в мире фишинга, некоего Валдира Пауло де Алмейду (Valdir Paulo de Almeida), который, по данным обвинения, возглавлял преступную группировку. Банде удалось похитить $37 млн. с банковских счетов, используя почтовые сообщения с троянами. Ежедневно рассылалось больше трех миллионов писем. Для финансового сектора Бразилии фишинг к тому времени уже превратился в настоящее бедствие. Несмотря на многочисленные (более пятидесяти только за 2004 год) аресты, национальный сегмент Сети наводнил шпионский софт, который отслеживал маршрут пользовательского веб-серфинга и после посещения жертвой сайта одного из бразильских банков отсылал аутентификационные данные преступникам.
Знакомство на деньгиФишинг с использованием мобильной связи уже стал привычным явлением даже в России (см. «КТ» #655), хотя и в этой сфере грядут перемены. В частности, SMS-рассылками со словесными попытками убедить пользователя продиктовать коды активации для экспресс-карт дело уже не ограничивается. Злоумышленники комбинируют два вида «разводов». В сентябре текущего года специалисты компании McAffee объявили о появлении нового типа интернет-мошенничества, которое прозвали смишингом (smishing, то есть SMS + фишинг). В первых сообщениях такого типа абонентам писали, что факт их подключения к некоему сервису знакомств подтвержден, и напоминали, что ежедневная плата за пользование услугой составляет $2. К сообщению прилагалась ссылка на сайт сервиса, по которой пользователи переходили, чтобы удалить «ошибочно» полученный аккаунт, и получали трояна. Организаторы первой смишинг-атаки находятся в Испании и ведут рассылку по телефонам серии Nokia 60.
Текущий моментВ 2005-м ситуация нисколько не улучшилась. Разве что, по данным APWG, немного снизились темпы роста атак, да и то ненадолго. Financial Times объявила о том, что половина опрошенных в рамках исследования пользователей Интернета сталкивалась со случаями фишинга. Причем четверть респондентов, несмотря на всю шумиху на протяжении полутора лет, все еще не знала, что в Интернете можно потерять деньги, поделившись данными о своем банковском счете с неизвестными. С пятью процентами опрошенных эта неприятность приключилась. Интересно, что половина жертв не получила возмещения ущерба от банка, что для многих тоже стало полной неожиданностью.
В июле текущего года был зафиксирован последний рекорд количества созданных фишерами подставных сайтов — 14191. Это на 18% превышает майский показатель. Причем на 1850 найденных сайтах были отмечены попытки загрузить на пользовательский компьютер тот или иной троян. Как и следовало ожидать, в «чистом» почтовом фишинге стремительно растет доля поддельных сайтов и прочих «альтернативных» методов мошенничества. При этом хостинг большинства таких ресурсов осуществляется в США. Среднее время жизни сайта составляет 5—7 суток. Методы, которыми пользователи заманиваются на фальшивые ресурсы, тоже изменились. Начиная с прошлого года, фишеры активно применяют технику так называемого DNS-отравления, при котором жертву уже не обязательно «убеждать» совершить те или иные действия, а достаточно просто инфицировать компьютер. В результате пользователь, попытавшийся зайти на реальный сайт банка или иного сервиса, автоматически перенаправляется на поддельную страницу.
Специалисты сумели выделить самые любимые мошенниками онлайн-сервисы. В 80% зарегистрированных случаев фишеры действовали под прикрытием всего шести брэндов: eBay, PayPal и нескольких банков. Но внимание аналитиков привлекают оставшиеся 20%, поскольку считается, что именно они позволяют получить информацию о новых, еще осваиваемых фишерами целях, на которые придется основная масса атак в ближайшие годы. Кроме того, специалисты центра RSA Cyota по борьбе с мошенничеством в Сети обнаружили, что фишеры уже выработали ответную меру на участившиеся случаи закрытия своих подставных ресурсов. Для того чтобы пользователь попадал на реально существующий сайт, мошенники создали так называемый «умный редиректор». То есть генерируется сеть подставных ресурсов, размещенных на разных серверах. URL сайта, указываемый фишерами в письмах, направляет жертву на единый сервер, где и установлен редирект-скрипт, который проверяет доступность фальшивых сайтов и перенаправляет пользователя на один из реально существующих.
На конференции HITB (Hack In The Box Security Conference), проходившей в сентябре сего года в Малайзии, было рассказано еще об одной (пока, правда, в большей степени потенциальной) угрозе, которая может доставить немало неприятностей финансовым компаниям. Речь идет о постепенном переходе банков и других организаций, вызывающих интерес у фишеров, на VoIP-связь. При этом в мире просто еще не придумано способов профилактики фишинговых атак, осуществляемых посредством IP-телефонии. Перспективы были нарисованы самые мрачные. Преступники, как ожидается, получат возможность, проникнув в банковские сети, работать с телефонными каналами. В результате клиент, позвонивший в свой банк, может стать жертвой фишинга, поскольку линия уже будет контролироваться хакерами. Пользователя попросят сообщить идентификационные данные для связи с клиентской службой поддержки, и после диктовки таковых злоумышленники смогут получить доступ к банковскому счету.
ПротиводействиеПонятно, что программный инструментарий для защиты от фишинга обладает ограниченной эффективностью, поскольку злоумышленники эксплуатируют в первую очередь не бреши в ПО, а человеческую психологию. Тем не менее уже второй год активно разрабатываются технические средства безопасности, прежде всего плагины для популярных браузеров. Для большинства из них плагины приходится скачивать дополнительно, однако, как ожидается, в следующих версиях эту функциональность будут поддерживать уже все браузеры.
Пока такая возможность реализована в «стандартной комплектации» только Opera 8.0. Mozilla весной прошлого года выпустила отдельно загружаемую заплатку для Firefox. В марте нынешнего года представители компании официально обещали появление антифишингового модуля в составе следующего релиза браузера. Соответствующую защитную систему создатели Firefox разрабатывают в сотрудничестве с Google. Суть защиты заключается в блокировании сайтов, попавших в «черные списки» мошеннических ресурсов, но обещают и некие другие дополнительные средства безопасности.
В Microsoft фишингом озаботились в августе прошлого года и выпустили дополнение к MSN Search Toolbar — Microsoft Phishing Filter для проверки открываемых сайтов на наличие подозрительного контента, а также соответствующих троянов и редиректов. Как ожидается, этот плагин будет встроен и в седьмую версию IE. Антифишинговое ПО корпорация разрабатывала в сотрудничестве с компанией Whole-Security, в загашнике которой имеется один из крупнейших «черных списков» подставных сайтов — Phish Report Network. Возможно, толчком к разработке фильтра послужила резкая критика Microsoft со стороны специалистов по информационной безопасности двумя месяцами ранее в связи с отказом корпорации выпускать для шестого IE заплатку, затрудняющую проведение спуфинговых атак. В Редмонде, правда, парировали обвинения, заявив, что еще в обновлении Windows XP SP2 предложили пользователям IE такие функции, как блокировка всплывающих окон и контроль за окнами с исполняемым скриптовым содержимым. Но, видимо, непрерывно усиливающийся страх пользователей перед фишерами (в многочисленных исследованиях наперебой рапортуется о десятках процентов респондентов, отказавшихся от электронных платежей в том или ином виде из-за боязни фишинга) все же вынудил Microsoft пойти на уступки.
Стараются по мере сил и сторонние разработчики. Так, McAfee предлагает свой плагин SiteAdvisor к IE и Firefox для проверки по URL сайта наличия в коде фишинговых ловушек. В июле текущего года в Сети появился аналогичный бесплатный онлайн-сервис LinkScanner (www.explabs.com/linkscanner).
Но несмотря на все усилия софтверных компаний, лавина фишинга в Сети нарастает, так что существующих методов борьбы с этим явлением явно недостаточно. Следующим шагом могут стать системы генерации одноразовых паролей для интернет-доступа к банковским счетам и аккаунтам в платежных системах, повсеместное распространение дополнительных уровней защиты за счет комбинации ввода пароля с использованием аппаратного USB-ключа и мобильные подтверждения (отправка удостоверяющей SMS с телефона клиента). Эти методы уже используются некоторыми банками, но говорить об их массовом применении пока рано. Да и не факт, что они помогут. Фишеры тоже не дремлют.
Аналитические компании, специализирующиеся на исследованиях киберпреступности, вообще констатируют, что примерно два года назад сетевой криминал изменился не только количественно, но и качественно. И существенно возросшая сложность борьбы со злоумышленниками во многом обусловлена именно глобальными тенденциями. Речь идет не только о появлении фишинга или каких-то еще новых видов отъема денег у пользователей, а о смене мотивации у преступников, резком увеличении «питательной среды» в виде широкого распространения беспроводного доступа или мобильных устройств и возникновении гибридных преступных явлений, образованных на стыке нескольких угроз (спам + вирусы, например). Хакеров-идеалистов, взламывающих сайты из хулиганских, а то и благородных побуждений, в Сети все меньше, а онлайн-криминал незаметно превратился в организованный и очень живучий бизнес с инновациями, инвестициями, транснациональной структурой и прочей атрибутикой.