- •История
- •Ранний фишинг на AOL
- •Переход к финансовым учреждениям
- •Фишинг сегодня
- •Техника фишинга
- •Социальная инженерия
- •Веб-ссылки
- •Обход фильтров
- •Веб-сайты
- •Новые угрозы
- •Борьба с фишингом
- •Обучение пользователей
- •Технические методы
- •Усложнение процедуры авторизации
- •Борьба с фишингом в почтовых сообщениях
- •Услуги мониторинга
- •Юридические меры
- •Примечания
- •См. также
- •Источники текстов и изображения, авторы и лицензии
- •Текст
- •Изображения
- •Лицензия
2
унтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку[7], и фишинг на серверах AOL постепенно сошёл на нет.
1.2.Переход к финансовым учреждениям
Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября[8]. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал[9].
1.3. Фишинг сегодня
Диаграмма роста числа зафиксированных случаев фишинга
Целью фишеров сегодня являются клиенты банков и электронных платёжных систем.[10] В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках[11]. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку[12]. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях[13].
Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей[14]: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных[15]; в мае 2008 года первый подобный
2 ТЕХНИКА ФИШИНГА
червь распространился и в популярной российской сети ВКонтакте[16][17]. По оценкам специалистов, более 70% фишинговых атак в социальных сетях — успешны[18].
Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США[19], в 2006 году — ущерб составил 2,8 млрд долларов[20], в 2007 — 3,2 миллиарда[21]; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек[20], к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов[22].
2. Техника фишинга
2.1. Социальная инженерия
Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по вебссылке для получения более подробной информации.
2.2. Веб-ссылки
Пример фишингового письма от платёжной системы Яндекс.Деньги, где внешне подлинная веб-ссылка ведёт на фишинговый сайт
Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.
Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта