Фи­шинг на се­год­няшний день яв­ля­ет­ся од­ним из са­мых рас­простра­нен­ных ви­дов со­ци­аль­ной ин­же­нерии. По су­ти фи­шинг это вы­веды­вание ин­форма­ции для дос­ту­па к бан­ков­ским сче­там до­вер­чи­вых поль­зо­вате­лей. Он рас­простра­нен в тех стра­нах, где поль­зу­ют­ся по­пуляр­ностью ус­лу­ги ин­тернет-бан­кинга. Ча­ще все­го "фи­шеры" ис­поль­зу­ют под­дель­ные элек­трон­ные пись­ма, яко­бы при­сыла­емые бан­ком, с прось­бой под­твер­дить па­роль или уве­дом­ле­ние о пе­рево­де круп­ной сум­мы де­нег.
При­меча­ние
Са­мо сло­во "фи­шинг" про­ис­хо­дит от ан­глий­ско­го fishing, что, в свою оче­редь, пе­рево­дит­ся как ры­бал­ка. Та­кое наз­ва­ние это­му ви­ду мо­шен­ни­чес­тва да­ли по­тому, что он на са­мом де­ле очень на­поми­на­ет ры­бал­ку, так как фи­шер по су­ти заб­ра­сыва­ет на­жив­ку (вер­нее, нес­коль­ко со­тен на­живок) и ждет, по­ка на нее кто-то "клю­нет".
Суть фи­шин­га сво­дит­ся к сле­ду­юще­му. Зло­умыш­ленник зас­тавля­ет поль­зо­вате­ля пре­дос­та­вить ему ка­кую-ли­бо сек­ретную ин­форма­цию: ин­форма­цию о бан­ков­ских сче­тах, кре­дит­ных кар­тах и т. д. Са­мое важ­ное в том, что жер­тва со­вер­ша­ет все эти дей­ствия аб­со­лют­но доб­ро­воль­но, — фи­шеры хо­рошие пси­холо­ги и дей­ству­ют чет­ко.
Вы­деля­ют три ос­новных ви­да фи­шин­га:
• поч­то­вый;
• он­лай­но­вый;
• ком­би­ниро­ван­ный.
Поч­то­вый фи­шинг по­явил­ся пер­вым, — об этом ви­де мо­шен­ни­чес­тва об­щес­твен­ность уз­на­ла еще в 1996 го­ду.
При­меча­ние
Тог­да сра­зу нес­коль­ко ты­сяч кли­ен­тов про­вай­де­ра America Online по­лучи­ли элек­трон­ные пись­ма от "пред­ста­вите­ля ком­па­нии" с прось­бой выс­лать ло­гин и па­роль для вхо­да в сис­те­му. И мно­гие выс­ла­ли.
Суть поч­то­вого фи­шин­га в том, что жер­тве от­прав­ля­ет­ся элек­трон­ное пись­мо, в ко­тором со­дер­жится прось­ба выс­лать те или иные кон­фи­ден­ци­аль­ные дан­ные. К при­меру, от име­ни ин­тернет-про­вай­де­ра с по­хоже­го (или иден­тично­го) поч­то­вого ад­ре­са от­прав­ля­ет­ся пись­мо, в ко­тором на­писа­но, что по про­вай­де­ру нуж­но уз­нать ло­гин и па­роль для дос­ту­па в Ин­тернет ука­зан­но­го поль­зо­вате­ля, так как сам про­вай­дер по тем или иным тех­ни­чес­ким при­чинам (ба­за "рух­ну­ла") это­го сде­лать не мо­жет. Бо­лее ин­те­рес­ный при­мер свя­зан с од­ним из­вес­тным аме­рикан­ским бан­ком, кли­ен­ты ко­торо­го од­нажды по­лучи­ли со­об­ще­ния о том, что на их счет приш­ло боль­шое пе­речис­ле­ние (до­пус­тим нес­коль­ко де­сят­ков ты­сяч дол­ла­ров), и в со­от­ветс­твии с до­гово­ром, так как сум­ма пе­речис­ле­ния пре­выша­ет сум­му в $1000, им для под­твержде­ния по­луче­ния пе­рево­да не­об­хо­димо прой­ти по ссыл­ке, при­веден­ной в кон­це пись­ма, и ввес­ти всю не­об­хо­димую ин­форма­цию для под­твержде­ния пе­рево­да. В про­тив­ном слу­чае пе­ревод бу­дет от­прав­лен на­зад. Ма­ло кто смог по­бороть свою жад­ность, и нес­коль­ко ты­сяч кли­ен­тов бан­ка ста­ли объ­ек­том фи­шинг-ата­ки.
При­меча­ние
Это как раз тот слу­чай, ког­да со­ци­аль­ные ха­керы блес­тя­ще сыг­ра­ли на од­ном из люд­ских по­роков — жад­ности.
Он­лай­но­вый фи­шинг зак­лю­ча­ет­ся в том, что мо­шен­ни­ки один в один ко­пиру­ют ка­кой-ли­бо из из­вес­тных сай­тов, при­чем для не­го вы­бира­ет­ся очень по­хожее до­мен­ное имя (или то же са­мое, толь­ко в дру­гой зо­не), и соз­да­ет­ся иден­тичный ди­зайн.
При­меча­ние
В ка­чес­тве при­ман­ки (ат­трак­ции) то­вары в этих под­дель­ных ин­тернет-ма­гази­нах про­да­ют­ся прак­ти­чес­ки по дем­пинго­вым це­нам, что не­уди­витель­но, ведь ник­то ни­чего на са­мом де­ле ре­аль­но не про­да­ет.
Даль­ше про­ис­хо­дит при­мер­но сле­ду­ющее. Ре­шив со­вер­шить в ма­гази­не по­куп­ку, поль­зо­ватель вво­дит свои ло­гин, па­роль и но­мер плас­ти­ковой кар­ты, пос­ле че­го все эти дан­ные ста­новят­ся из­вес­тны­ми зло­умыш­ленни­ку. Пос­ле че­го мо­шен­ник не­замед­ли­тель­но "об­ну­ля­ет" кре­дит­ную кар­точку жер­твы.
При­меча­ние
Дан­ный вид фи­шин­га иног­да еще на­зыва­ют ими­таци­ей брен­да (brand spoofing).
Ком­би­ниро­ван­ный фи­шинг яв­ля­ет­ся объ­еди­нени­ем двух пре­дыду­щих ви­дов фи­шин­га. Его по­яв­ле­ние выз­ва­но тем, что поч­то­вый и он­лай­но­вый фи­шинг уже дос­та­точ­но ус­та­рели, да и поль­зо­вате­ли ста­ли гра­мот­нее в час­ти ин­форма­ци­он­ной бе­зопас­ности. По­это­му фи­шеры при­дума­ли дру­гую так­ти­ку. Так же как в он­лай­но­вом фи­шин­ге соз­да­ет­ся под­дель­ный сайт, а по­том как в поч­то­вом фи­шин­ге поль­зо­вате­лям от­сы­ла­ют­ся пись­ма с прось­бой зай­ти на этот сайт.
При­меча­ние
Это дос­та­точ­но силь­ный пси­холо­гичес­кий ход, бла­года­ря ко­торо­му ком­би­ниро­ван­ный фи­шинг сра­зу же по­лучил ог­ромное рас­простра­нение. Де­ло в том, что по­сети­тели ста­ли нас­то­рожен­нее, и уже нем­но­гие прос­то так ска­жут свои па­роли (хо­тя и та­кие встре­ча­ют­ся). А в ком­би­ниро­ван­ном фи­шин­ге эта нас­то­рожен­ность как раз и сни­ма­ет­ся, бла­года­ря то­му, что в пись­ме поль­зо­вате­ля не про­сят со­об­щать ка­кие-ли­бо кон­фи­ден­ци­аль­ные дан­ные, а прос­то про­сят зай­ти на сайт. Все­го то. Поль­зо­вате­лю прос­то пред­ла­га­ет­ся зай­ти на ка­кой-ли­бо сайт, и са­мому про­делать все не­об­хо­димые опе­рации.
Сей­час про­ис­хо­дит са­мый нас­то­ящий бум фи­шин­га. Об этом, в час­тнос­ти, мо­гут сви­детель­ство­вать сле­ду­ющие циф­ры: все­го с ок­тября по ян­варь 2005 го­да Фе­дераль­ная ко­мис­сия США по тор­говле за­регис­три­рова­ла бо­лее 10 млн (!) жа­лоб от поль­зо­вате­лей, став­ши­ми жер­тва­ми фи­шинг-атак. Об­щая же сум­ма убыт­ков по дан­ным этой же ор­га­низа­ции сос­та­вила око­ло $15 млрд за 2005 год.
При­меча­ние
Ес­тес­твен­но, за­коно­датель­ства всех стран ока­зались неп­риспо­соб­ленны­ми к это­му но­вому ви­ду мо­шен­ни­чес­тва.
Из ис­то­рии Рос­сий­ско­го фи­шин­га
В Рос­сии пер­вый за­регис­три­рован­ный слу­чай фи­шин­га да­тиру­ет­ся ма­ем 2004 го­да, ког­да кли­ен­ты Си­ти-бан­ка по­лучи­ли по элек­трон­ной поч­те пись­ма с прось­бой зай­ти на сайт бан­ка (лже­сайт, ес­тес­твен­но) и под­твер­дить но­мер сво­ей кар­ты и ПИН-код.
Фи­шеры в сво­ей де­ятель­нос­ти прек­расно ис­поль­зу­ют связь с те­ми или ины­ми со­быти­ями. К при­меру, че­лове­ку точ­но в его день рож­де­ния при­ходит поз­дра­витель­ная от­крыт­ка, в ко­торой на­писа­но, что ему ко дню рож­де­ния банк, кли­ен­том ко­торо­го он яв­ля­ет­ся, в рам­ках про­води­мой ак­ции "День Рож­де­ния" пе­речис­лил на счет $500. Для то­го что­бы их по­лучить, нуж­но зай­ти на сайт бан­ка (под­дель­ный, ес­тес­твен­но) и ввес­ти не­об­хо­димую ин­форма­цию. Мно­гие не чу­ра­ют­ся ис­поль­зо­вать и та­кие го­рес­тные для всех со­бытия, как круп­ные те­рак­ты или сти­хий­ные бедс­твия, ког­да раз­личные ор­га­низа­ции про­сят лю­дей пе­речис­лять день­ги в фонд по­мощи пос­тра­дав­шим. Про­сят и фи­шеры. По тем же схе­мам, что мы рас­смат­ри­вали: зай­ди­те на сайт, за­регис­три­руй­тесь и спи­шите ка­кую-то сум­му со сво­его сче­та.
При­меча­ние
На мо­мент на­писа­ния кни­ги единс­твен­ным бра­узе­ром ос­на­щен­ным за­щитой от фи­шин­га по умол­ча­нию яв­ля­ет­ся Opera, на­чиная с вер­сии 8.0.
В нас­то­ящее вре­мя мно­гие IT-спе­ци­алис­ты по все­му ми­ру за­няты раз­ра­бот­кой спо­собов, поз­во­ля­ющих за­щитить­ся от атак фи­шеров. Кро­ме то­го, что в бра­узе­рах бу­дут соз­да­вать­ся чер­ные спис­ки фи­шинг-сай­тов, пред­ло­жено еще нес­коль­ко спо­собов.
• Ге­нера­торы од­но­разо­вых па­ролей
Пос­коль­ку суть фи­шин­га сос­то­ит в по­луче­нии па­ролей и бан­ков­ских све­дений, не­об­хо­димых для дос­ту­па к элек­трон­ным сче­там поль­зо­вате­лей, ис­поль­зо­вание ге­нера­торов од­но­разо­вых па­ролей поз­во­ля­ет обой­ти этот вид мо­шен­ни­чес­тва. Ге­нера­тор од­но­разо­вых па­ролей на вид на­поми­на­ет обыч­ный не­боль­шой кар­манный каль­ку­лятор. Ког­да поль­зо­ватель за­ходит на сайт бан­ка, для то­го что­бы по­лучить дос­туп к сво­ему сче­ту, ему не­об­хо­димо ввес­ти по­казан­ную ге­нера­тором пос­ле­дова­тель­ность сим­во­лов. Банк при­меня­ет тот же ал­го­ритм для соз­да­ния па­роля. Дос­туп пре­дос­тавля­ет­ся толь­ко в том слу­чае, ког­да оба па­роля сов­па­да­ют. Та­кой па­роль нель­зя ук­расть по той прос­той при­чине, что дос­туп по не­му мож­но по­лучить толь­ко один раз. Ми­нусы ис­поль­зо­вания та­кой сис­те­мы сос­то­ят в до­пол­ни­тель­ных рас­хо­дах для кли­ен­тов.
При­меча­ние
В нас­то­ящее вре­мя ге­нера­торы од­но­разо­вых па­ролей при­меня­ют мно­гие бан­ки США и Ев­ро­пы, а так­же круп­ные ин­тернет-про­вай­де­ры, к при­меру, про­вай­дер AOL.
• Ис­поль­зо­вание USB-ус­трой­ств
Суть дан­но­го при­ема сво­дит­ся к то­му, что поль­зо­ватель не смо­жет по­лучить дос­туп к сво­ему сче­ту, ес­ли он не под­клю­чит USB-ус­трой­ство к сво­ему компь­юте­ру. В этом слу­чае мо­шен­ни­ки так­же не смо­гут по­лучить дос­туп к сче­ту поль­зо­вате­ля.
При­меча­ние
На­ряду с USB-ус­трой­ства­ми пред­ла­галось ис­поль­зо­вать так­же спе­ци­аль­ные кар­ты с мик­росхе­мами, ко­торые встав­ля­ют­ся в счи­тыва­ющее ус­трой­ство, под­клю­чен­ное к компь­юте­ру. Од­на­ко от это­го ва­ри­ан­та от­ка­зыва­ют­ся, как от до­рогос­то­яще­го.
• Мо­биль­ное под­твержде­ние
Суть это­го при­ема в том, что дос­туп к кар­те осу­щест­вля­ет­ся толь­ко пос­ле то­го, как поль­зо­ватель от­пра­вит со сво­его мо­биль­но­го те­лефо­на, но­мер ко­торо­го он со­об­щил бан­ку, ка­кое-ли­бо со­об­ще­ние SMS (Short Message Service).
• Хе­широ­вание па­ролей кон­крет­но­го Web-сай­та
Хе­широ­вание па­ролей пре­дот­вра­ща­ет кра­жу кон­фи­ден­ци­аль­ных дан­ных пу­тем до­бав­ле­ния к па­ролю ин­форма­ции, спе­цифич­ной для то­го сай­та, где пред­по­лага­ет­ся при­менить па­роль. Поль­зо­ватель прос­то вво­дит в спе­ци­аль­ной фор­ме свой па­роль, а бра­узер пре­об­ра­зу­ет его и до­бав­ля­ет не­об­хо­димую ин­форма­цию. Суть в том, что Web-сай­ту, на ко­тором поль­зо­ватель вво­дит па­роль, этот па­роль в чис­том ви­де не со­об­ща­ет­ся, на сайт при­ходит уже хе­широ­ван­ный па­роль. Та­ким об­ра­зом, да­же ес­ли поль­зо­ватель и вве­дет свой па­роль на фаль­ши­вом сай­те, то ха­керы его при­менить не смо­гут. На нас­то­ящем же сай­те при­меня­ет­ся та же схе­ма хе­широ­вания, что и у вла­дель­ца кар­ты.