Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5111 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Российский новый университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Митряев лекции / ИБИС гр.445зс 2015 / Л. БИС НСД Управление доступом / Л.3.БИС Управление доступом.docx
Скачиваний:
182
Добавлен:
25.03.2016
Размер:
76.82 Кб
Скачать
►Содержание►

12.4. Фишинг

Фишинг – это разновидность социальной инженерии, которая направлена на получение персональной информации, учетных данных, номеров кредитных карт или финансовых данных. Атакующий «выуживает» критичные данные различными способами. Термин фишинг появился в 1996 году, когда хакеры начали воровать пароли доступа к провайдеру America Online (AOL). Хакеры представлялись сотрудниками AOL и отправляли сообщения жертвам с запросом их паролей «для проверки правильности информации биллинга» или «проверки правильности работы учетной записи в AOL». Когда пользователь отправлял свой пароль, злоумышленник аутентифицировался от его имени и использовал его электронную почту для криминальной деятельности, такой как рассылка спама, порнографии и т.п. Хотя фишинг существовал еще в 1990-х, большинство людей не знали о нем до середины 2003 года, когда фишинговые атаки участились. Фишеры направляли жертвам по электронной почте убедительные сообщения, прося их перейти по ссылке, чтобы обновить информацию об их банковском счете. Жертвы переходили по этой ссылке, и перед ними появлялась форма, запрашивающая номера банковских счетов, учетные данные и другие виды данных, которые использовались затем для кражи личности. Количество фишинговых сообщений электронной почты очень быстро растет последние годы. Фишеры представляются крупными банками, платежными системами и другими хорошо известными компаниями. Фишеры создают веб-сайты, которые выглядят очень похоже на настоящие сайты и заманивают на них жертв посредством других сайтов и рассылок по электронной почте с целью сбора их персональной информации. Такие сайты требуют от жертвы ввести свой номер социального страхования, дату рождения, девичью фамилию матери с целью «аутентификации для обновления информации о своих счетах». Поддельные веб-сайты не только выглядят и работают как настоящие веб-сайты, злоумышленники часто используют еще и доменные имена, очень похожие на адреса настоящих сайтов. Например, www.amzaon.com вместо www.amazon.com. Или используют специальным образом размещенный символ @. например, адрес www.msn.com@notmsn.com в действительности приведет жертву на сайт notmsn.com и автоматически введет на нем имя пользователя www.msn.com. Такое имя пользователя на сайте notmsn.com будет отсутствовать, поэтому жертве будет просто показана стартовая страница notmsn.com, поддельного сайта, выглядящего и работающего подобно www.msn.com. Жертва чувствует себя в полной безопасности и вводит свои учетные данные на этом сайте. Были разработаны даже некоторые функции JavaScript для того, чтобы показывать жертве некорректный веб-адрес в адресной строке браузера. С помощью них, например, можно заменить в адресной строке браузера адрес www.evilandwilltakeallyourmoney.com на www.citibank.com, чтобы жертва (даже та, которая проверила правильность адреса) чувствовала себя в полной безопасности.

ПРИМЕЧАНИЕ. Использовавшиеся ранее варианты атак, заменяющие содержимое адресной строки, уже были исправлены. Однако важно понимать, что злоумышленники постоянно находят новые способы проведения таких атак. Одно только знание о фишинге не означает, что вы сможете выявить или предотвратить его. Как специалист по безопасности, вы должны быть осведомлены о новых стратегиях и трюках, использующихся злоумышленниками.

Некоторые атаки используют «всплывающие» веб-формы, появляющиеся когда жертва находится на легитимном сайте. Например, когда вы находитесь на реальном веб-сайте банка, всплывает окно, запрашивающее у вас некоторую конфиденциальную информацию. Вероятно это не вызовет беспокойства, если вы уверены, что находитесь на реальном сайте банка. Вы поверите, что это окно относится к банковскому сайту, и заполните форму в соответствии с инструкциями. К сожалению, это всплывающее окно может иметь другой источник, и ваши данные могут попасть в руки злоумышленнику, а не вашему банку. Получив эту персональную информацию, злоумышленник сможет открыть новый счет на имя жертвы, получить несанкционированный доступ к ее банковскому счету, сделать нелегальную покупку по кредитной карте или даже снять наличные. Согласно отчету Gartner в 2003 году убытки от фишинга составили 2,4 миллиарда долларов. По оценке Gartner 57 миллионов людей в США получали за 2003 год фишинговые сообщения, а 1,8 миллионов из них в ответ передавали свою персональную информацию. Поскольку все больше людей узнает о таких видах атак, и они опасаются переходить по ссылкам, указанным в сообщениях электронной почты, фишеры изменили свои методы. Например, они стали направлять электронные письма, которые говорят пользователям, что они выиграли приз или что существует проблема с их банковским счетом. Сообщение электронной почты говорит пользователю, что ему нужно позвонить на некий телефонный номер, на котором автоматизированная голосовая система требует от человека ввести для аутентификации номер своей кредитной карты или номер социального страхования. В 2006 году, было выявлено по крайней мере 35 фишинговых веб-сайтов, которые использовались для атак на многие банки, применяющие аутентификацию на основе токенов с одноразовыми паролями. Действующие в США правила требуют от финансовых компаний внедрять двухфакторную аутентификацию для онлайн-транзакций. Чтобы удовлетворить этому требованию, некоторые банки предоставили своим клиентам аппаратные токены, генерирующие одноразовые пароли. Для противодействия этому, фишеры создали поддельные веб-сайты, которые выглядели как сайт финансовой компании, и обманывали жертв, требуя их ввести свои одноразовые пароли. Затем эти веб-сайты отправляли эти учетные данные на реальный веб-сайт банка, аутентифицируясь от имени законных пользователей и получая доступ к их счетам. Похожий тип атак называется фармингом (pharming), при котором жертва перенаправляется на поддельный сайт, выглядящий как легитимный. В этом типе атаки, злоумышленник использует отравление DNS (DNS poisoning), при котором сервер DNS неправильно разрешает имя узла в IP-адрес. Например, при вводе www.nicebank.com в адресную строку вашего браузера, компьютер в действительности не знает, что это такое. Браузер просматривает настройки TCP/IP, и находит в них IP-адрес DNS-сервера. Затем он посылает запрос на этот DNS-сервер, спрашивая "есть ли у тебя IP-адрес для www.nicebank.com?" DNS-сервер просматривает свои записи о ресурсах, и, найдя информацию об этом сайте, он посылает IP-адрес сервера, на котором размещена страница www.nicebank.com, обратно вашему компьютеру. Получив IP-адрес, браузер показывает главную страницу запрошенного вами сайта банка. Теперь представьте, что будет, если злоумышленник изменит («отравит») кэш этого DNS-сервера таким образом, чтобы запись об этом ресурсе имела неправильную информацию? При вводе пользователем www.nicebank.com и отправке его системой запроса на DNS-сервер, он пришлет имеющуюся у него информацию об IP-адресе веб-сервера, не зная, что она неверна. И вместо www.nicebank.com, он отправит пользователя на www.thethief.com, который выглядит и работает точно также как и запрошенный веб-сайт. Пользователь, ничего не подозревая, вводит на нем свое имя и пароль, которые сохраняются для злоумышленника. Преимуществом фарминг-атак для злоумышленника является то, что такие атаки могут оказать влияние на большое количество жертв, без необходимости отправки им электронной почты. Кроме того, таким образом проще обмануть жертв, поскольку они сами переходят на эти веб-сайты.

Соседние файлы в папке Л. БИС НСД Управление доступом
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности