(Продолжение. Начало в №37)
Часть 2
Простые инструменты и методы
Пользователям-жертвам в фишерских письмах обычно напоминают, что запрошенная информация "должна быть введена немедленно, дабы избежать появления серьезной проблемы ...и введите ваш логин/пароль. В случае неполучения ответа мы полностью удалим ваш экаунт". Правда, в первые годы после появления в Сети такого явления, как фишинг, преступники работали в одиночку или в малых непрофессиональных группах. На американских сайтах, посвященных проблемам компьютерной безопасности, часто рассказывается о начинающих фишерах как о подростках, желающих получить чужой экаунт в целях хулиганства или для звонков на дальние расстояния.
Но сегодня реальность совсем иная. Фишеры стали частью "традиционной" организованной преступности, боссы которой сообразили, что для получения преступного заработка не обязательно торговать наркотиками или организовывать мошенничества со страховкой. Как результат, сегодня фишеры выбирают стратегию рассылки своей почты такому количеству пользователей, какому возможно, маскируясь под известный брэнд - обычно тот, которому жертва, скорее всего, уже доверяет и с которым имеет деловые отношения. Запрос на срочные действия уже послан, и чтобы создать видимость, что данные, посылаемые пользователем, будут в безопасности, в ложное сообщение вписывают линк к удаленной веб-странице, дизайн которой подобран так, что почти полностью имитирует сайт реальной компании. Примеры компаний, брэнды которых использовались фишерами, включают в себя много известных банков, компаний, предоставляющих услуги кредитования или известных платежных систем интернета. Самые разнообразные трюки используются фишерами для создания уверенности пользователя в том, что он действительно зашел на "законный" веб-интерфейс.
Фишинговые атаки обычно осуществляются несколькими простыми инструментами и методами, позволяющими обмануть ни о чем не подозревающих пользователей. Основной инфраструктурой, поддерживающей фишерные сообщения, обычно служит HTML-страница, скопированная на контролируемый мошенниками сервер, и серверная часть скриптов для обработки всех данных, введенных пользователем. Могут создаваться и более комплексные веб-сайты и перенаправление содержания, но в большинстве случаев цель всегда одна - сымитировать на сервере работу реального брэнда, и в результате заполучить все данные, введенные пользователем в руки злоумышленника. Используя современные утилиты редактирования HTML, создание фальшивого веб-сайта не занимает много времени, и плохо защищенные веб-серверы могут быть легко запущены и взломаны в случае, если атакующий возьмется за сканирование диапазонов IP-адресов в поисках уязвимых хостов. Однажды взломанные, даже домашние компьютеры могут стать эффективными хостами для фишерных сайтов, поэтому "под прицелом" находятся не только корпоративные или академические системы. Атакующие часто не делают различий между целевыми компьютерами, тупо выбирая большие диапазоны IP адресов для поиска случайных или одной конкретной уязвимости.
Теперь, когда фальшивый сайт создан, главной задачей фишера становится перенаправление пользователей с легального сайта компании или банка на контролируемый мошенниками фальшивый сайт. Пока фишер имеет возможность подменять DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправлять сетевой трафик (метод, часто называемый pharming), он все равно должен поддерживать фальшивый сайт на достойном уровне, чтобы эффективно заманить свою жертву. Чем выше качество приманки, тем большая сеть может быть раскинута мошенниками, и тем больше шансы ничего не подозревающего пользователя посетить фальшивый сайт (и ввести данные, запрошенные фишером).
Но тут перед атакующим встает серьезная проблема. Ведь в большинстве случаев он не знает, кто именно из множества пользователей Сети является пользователем брэнда, выбранного в качестве приманки. Если даже фишер запостит пару линков, ведущих на фальшивый сайт в чатах и форумах, принадлежащих реальному брэнду (сайт технической поддержки или группы по связям с общественностью), велика вероятность что реальная организация будет быстро проинформирована о действиях мошенников, а неправильные ссылки будут удалены. Также существует существенный риск, что реальная организация может зафиксировать и отключить фальшивый сайт. Следовательно, фишеру требуется метод охвата максимального количества потенциальных жертв с минимумом риска, плюс идеальный механизм рассылки своего спама по электронной почте.
Вот тут-то начинается сотрудничество фишеров с "традиционными" спамерами. У последних имеются базы данных с миллионами рабочих e-mail адресов, то есть массовые методы рассылки могут быть использованы фишером для рассылки приманок очень многим пользователям с малым риском для самого фишера. Спамерские сообщения чаще всего посылаются через взломанные серверы в разных странах, или через глобальные сети "зомбированных" компьютеров (ботнэты). Таким образом, реальное местоположение фишера определить, в принципе, невозможно. Пользователя просят поменять пароль для онлайновых операций якобы в целях безопасности, и вероятность, что он сделает это, оказывается достаточно велика, если у него в почтовом ящике одновременно обнаруживается приличная куча другого спама с предложениями купить какой-либо новый товар и ссылками на неизвестные сайты.
Виктор ДЕМИДОВ
Горячие темы