Phishing: перманентный тест на доверчивость

Phishing: перманентный тест на доверчивость

Статистика неумолимо свидетельствует о том, что во всем мире средневзвешенные потери компаний от Интернет-мошенничества и внедрения вредоносных программ растут почти пропорционально объему их инвестиций в безопасность своих информационных систем. По данным исследования консалтинговой компании Deloitte & Touche, с начала 2004 г. во всем мире электронным атакам преступников подверглись 83% компаний, включая 25 крупнейших банков, порядка 30 ведущих компаний из сектора финансовых услуг и 10 страховщиков. Тот факт, что сегодняшняя идеология обеспечения информационной безопасности не в состоянии существенно изменить сложившийся паритет между программными “средствами нападения” и “средствами защиты”, становится сегодня все очевиднее. Как ни парадоксально это звучит, но первыми данную аксиому осознали сами преступники, успевшие в процессе этой высокозатратной “гонки вооружений” разработать целый ряд “асимметричных ходов”. В качестве наиболее эффективного из них можно рассматривать такую методику мошенничества, как фишинг.

Рыбалка через “ph”
Первое упоминание термина “фишинг”, как сообщает энциклопедия WordSpy, отмечено менее десятилетия назад, в январе 1996 г., когда он впервые стал употребляться преступниками в качестве сленгового названия уже известной технологии. Самое же раннее упоминание о фишинге в прессе обнаружено лишь спустя год, после публикации 16 марта 1997 г. статьи об этой разновидности мошенничества в американской газете “Florida Times-Union”.

Слово phishing (“фишинг”) созвучно традиционному английскому слову fishing – рыбная ловля. В новом контексте этот термин означает “выуживание”, а, обращаясь к юридической терминологии – получение обманным путем, вымогательство конфиденциальных данных у клиентов банков, платежных систем или других финансовых структур.

Принципиальной особенностью этой сравнительно новой методики мошенничества, за последние два года снискавшей особую популярность у международных и национальных криминальных сообществ, является направленность на конечного пользователя – держателя банковской карты, клиента Интернет-банка, владельца электронного счета той или иной платежной Интернет-системы и т.д. Такой подход вполне логичен: очевидно, что защищенность рядового пользователя несопоставима с уровнем защиты баз данных крупных корпораций, вкладывающих значительные средства в обеспечение своей информационной безопасности и располагающих широким штатом специалистов соответствующего профиля.

Технология фишинга сравнительно проста и чрезвычайно низкозатратна. Ее суть состоит в том, что злоумышленники, имитируя деятельность реально существующих компаний и банков-эмитентов, под различными предлогами выманивают у пользователей конфиденциальную информацию: реквизиты банковских карт, ПИН-код, статические пароли и т. д. С этой целью последним предлагается заполнить специальные формы на фальсифицированных сайтах, дизайн которых имитирует оформление сайтов реальных организаций, или выслать их по электронной почте. Наибольшее распространение получила методика проведения массовых почтовых рассылок, когда письмо-обращение содержит ссылку, ведущую на точную копию официальной web-страницы банка или компании.

Характерно, что предлогом для получения конфиденциальной информации может являться практически все что угодно, от стандартных изменений в базе данных банка-эмитента до необходимости подтвердить покупку в Интернет-магазине. При этом мошенники также могут прибегнуть к скрытой или прямой угрозе (например, банковский аккаунт будет “заморожен”, если пользователь еще раз не заполнит анкету на сайте или не войдет в свой персональный раздел).

Техника фишинга успешно сочетает в себе методы психологического воздействия и социальной инженерии с эффективным использованием дыр в программном обеспечении пользователей. Так, по мнению ряда экспертов, широкое распространение этот вид мошенничества получил в связи с недавно обнаруженными прорехами в защите браузера Internet Explorer, позволяющими злоумышленнику заманивать жертву на подставной web-сайт, подделывая адрес реально существующего.

Полученные путем фишинга данные повсеместно используются для организации самого различного рода преступлений в финансовом секторе, и в первую очередь карточного мошенничества, включая оформление покупок в Интернет-магазинах с использованием похищенных реквизитов кредитных карт, а также фальсификацию реальных карточных продуктов.

Фишинг атакует
На протяжении последних двух лет число “фишинг-атак” лавинообразно растет. В результате на сегодняшний день персональная финансовая информация и “фишинговые” web-страницы являются таким же ходовым товаром в Интернете, как и базы почтовых адресов у спамеров. О масштабности этого вида преступлений косвенно свидетельствует тот факт, что еще год назад, в июле 2003 г., представители ФБР в своем отчете назвали фишинг “самой новой и наиболее серьезной угрозой в Интернете”. Объемы хищения средств с помощью полученной путем фишинга конфиденциальной информации клиентов, а также урон, который наносится таким образом репутации кредитнофинансовых организаций, привлекли к этой проблеме повышенное внимание экспертов по безопасности компаний, работающих в самых различных сегментах мирового рынка.

Так, в 2004 г. была создана специальная Международная рабочая группа по борьбе с фишингом (Anti-Phishing Working Group, APWG), объединяющая уже более 400 организаций), цель которой – отслеживание и анализ этого рода преступлений, а также координация совместной деятельности по предотвращению их дальнейшего распространения.

Результаты глобального исследования, проведенного APWG в апреле 2004г., показали, что в течение только этого месяца во всем мире преступниками было проведено 1125 различных атак с использованием технологий фишинга (в среднем 37,5 прецедента в день). Для сравнения – в марте нынешнего года было зарегистрировано порядка 400 таких преступлений, а по сравнению с ноябрем 2003г. этот показатель возрос в 400 раз. Согласно отчету APWG, в котором были использованы данные анализа Tumbleweed Communications Corp., наиболее серьезному удару подвергся кредитно-финансовый сектор, в котором своеобразным лидером по количеству атак стал один из крупнейших американских банков Citibank, клиенты которого в апреле привлекли к себе внимание преступников 475 раз. Изучение данных, собранных за последние 6 месяцев, показало, что фишинг-атаки становятся все более распространенными, а их количество ежемесячно возрастает в среднем на 110%. Так, рост атак на Citibank составил 250%, на втором месте – известный Интернет-аукцион eBay (105%) и оператор Интернет-платежей PayPal (85%).

По оценке аналитической компании Gartner Group, около 57 млн. пользователей Интернета в США уже получали электронные послания, содержащие ссылки на “фишинговые” ресурсы, причем порядка 1,8 млн. из них поддались на мошеннические уловки.

Как уже отмечалось, одной из распространенных форм фишинга является массовая рассылка сообщений по электронной почте в виде спама. Эти письма замаскированы под официальные обращения банков и других финансовых учреждений, обращающихся к получателю, являющемуся клиентом данной организации, с просьбой срочно подтвердить используемый пароль или, например, ввести реквизиты своей кредитной карты и ПИН-код. По официальной статистике APWG, от 3 до 5% получателей отвечают на такие письма. Это очень высокий процент, делающий данный вид преступлений потенциально сверхприбыльным. Подобные схемы Интернет-мошенничества получили широкое распространение лишь с 2002 г., однако только в Великобритании в 2003 г. “фишеры” похитили у банков и частных лиц около 60 млн. фунтов стерлингов (свыше 100 млн. долл. США).

Эксперты также считают, что преступники становятся все более изощренными в своих действиях и постоянно совершенствуют способы атак, например, провоцируя потенциальную жертву загрузить так называемые “трояны”, что дает возможность доступа к конфиденциальной информации, хранимой на жестком диске персонального компьютера. Так, недавно платежная Интернет-система PayPal обратилась к своим клиентам с заявлением, в котором призвала их не пренебрегать мерами защиты персональной информации. Поводом к этому послужили факты получения мошенниками конфиденциальных данных некоторых пользователей PayPal (включая имена, адреса обычной и электронной почты, транзакционную информацию и т. п.).

Для получения конфиденциальной информации о клиентах PayPal мошенники использовали рассылку электронных писем с вложенными “троянами”. Некоторым пользователям мошенники также направляли от имени PayPal письма с просьбой прислать свои персональные данные.

Слабое звено германского Интернет-банкинга
Сообщения о том, что клиенты крупных американских и европейских банков пострадали от действий приверженцев фишинга, регулярно озвучиваются в зарубежных и отечественных СМИ. В число потенциальных жертв, например, вошли крупнейший в Великобритании ипотечный банк Halifax Plc, Интернет-клиентами которого являются 1,5 млн. человек, Barclays, Lloyds TSB, Wells Fargo, Nationwide, а также NatWest, подразделение Royal Bank of Scotland.

Недавно жертвами злоумышленников стали клиенты Basler Kantonalbank (BKB), одного из крупнейших региональных банков Швейцарии, а также германского Postbank и такого флагмана банковского сектора Германии, как Deutsche Bank. В двух последних случаях мошенники использовали традиционную массовую рассылку клиентам электронных писем от имени руководства банка, где просили сообщить свои идентификационные данные для доступа к услугам Интернет-банкинга. К настоящему времени полиция ФРГ уже закрыла фальсифицированные копии сайтов обоих германских банков, на которых клиентам предлагалось оставлять свои реквизиты.

Характерно, что до последнего времени банки Германии позиционировали свой Интернет-банкинг как наиболее удобный способ дистанционного управления счетами. Ради привлечения новой онлайновой клиентуры ряд кредитно-финансовых организаций предлагал даже бесплатное обслуживание тем клиентам, которые полностью перейдут на Интернет-самообслуживание, стремясь при этом обеспечить максимальную защиту своих серверов от несанкционированного доступа. Однако, как показала практика, самым слабым звеном в этой цепи оказались сами клиенты, привыкшие следовать любым официальным, на их взгляд, рекомендациям, чем не преминули воспользоваться мошенники.

По данным Sparkassen-Informatik, информационной службы банковской системы Deutsche Sparkasse, только за двенадцать месяцев число попыток выведать пароли клиентов банков выросло с 300 в апреле 2003 г. до 200 тыс. в марте 2004 г. По уверениям представителей службы, все эти попытки удалось блокировать. При этом общий ущерб, нанесенный банковскому сектору Германии фишингом, ведомство уголовной полиции страны пока не разглашает.

По словам представителя Федерального объединения германских банков (BdB) Йенса Вальтера (Jens Walter), клиентам следует быть более бдительными, не забывая при этом, что банк отвечает только за безопасность на своем сервере, но никак не за последствия разглашения пользователем конфиденциальной информации на других web-ресурсах. Любопытно, что в связи с этим BdB даже выпустило памятку для клиентов, призванную воздержать последних от предъявления чрезмерных требований к банку в случае потерь, возникающих по их собственной вине.

Первые шаги в России
“Апологеты” фишинга не обошли своим вниманием и Россию. В частности, как уже ранее сообщал журнал “ПЛАС”, не так давно в отечественных банковских кругах циркулировала информация о том, что с аналогичными проблемами столкнулся один из крупных участников российского карточного рынка – Ситибанк. Многие держатели его карт получили электронные письма от имени банка с просьбой ввести на специальном сайте свои личные данные (номер кредитной карты и PIN-код), якобы потерянные из-за технического сбоя системы. Оформление мошеннического web-ресурса точно совпадало с дизайном сайта банка.

Расчет строился на неосведомленности адресатов о том, что Ситибанк (как и другие банки) ни при каких обстоятельствах не использует электронную почту для получения от своих клиентов информации конфиденциального характера. К чести сотрудников Ситибанка, они достаточно оперативно отреагировали на эту акцию мошенников и информировали своих клиентов о возникшей угрозе. Хотя, по утверждению представителей банка, никто из клиентов в результате не пострадал, нет сомнений в том, что число атак на отечественные финансовые учреждения будет увеличиваться.

увеличиваться. В связи с произошедшим инцидентом Ситибанк в срочном порядке снабдил держателей своих карт рекомендациями о необходимых действиях, призванных обезопасить их от фишинга, и призвал их не доверять любым электронным письмам от организаций или частных лиц, содержащим просьбы указать реквизиты платежных карт. В случае получения подобного рода сообщения держателям карт рекомендуется срочно его удалять, ни в коем случае не отвечая и тем более не предоставляя никаких данных конфиденциального характера.

Журнал “ПЛАС”, со своей стороны, настоятельно рекомендует не только уничтожать такого рода послания, но и блокировать адреса отправителей фишинговых писем по аналогии с сообщениями, относящимися к спаму, не забывая при этом, что потенциальная опасность первых гораздо выше.

“Рыбнадзор” переходит в наступление
Являясь одним из наиболее опасных видов мошенничества, фишинг стал серьезной проблемой для экономики многих развитых стран, требующей скоординированных ответных шагов со стороны государства и бизнеса. Пример целого ряда западных стран показывает, что ведущая роль в борьбе с этим явлением сегодня отводится совместным усилиям банков и правоохранительных органов.

Например, в США недавно был признан виновным в Интернет-мошенничестве и осужден на 46 месяцев тюремного заключения 20-летний житель Техаса, который заманивал пользователей сервиса PayPal на фальшивый сайт для получения реквизитов их кредитных карт. Наживкой для доверчивых пользователей служили письма от имени компаний AOL и PayPal с просьбой срочно обновить информацию о своем счете, который в противном случае может быть аннулирован. Следствием установлено, что мошенник успел получить доступ по меньшей мере к реквизитам 473 кредитных карт и 152 банковским счетам.

1 сентября 2004 г. в стране были подведены итоги государственной программы по борьбе с Интернет-мошенничеством, проводимой с 1 июня нынешнего года. Акция проводилась совместными усилиями ФБР, Федеральной торговой комиссии США и Почтовой службы США. В ходе программы в течение трех летних месяцев в стране были арестованы более 100 преступников и предъявлены 117 обвинений в совершении преступлений, при этом 53 человека уже признаны виновными и осуждены. При этом по распространенности среди фактов мошенничества продолжает лидировать фишинг, жертвами которого только в 2003 г. стали порядка 10 млн. американцев.

Созданная для борьбы с фишингом специальная рабочая группа при Австралийском центре высокотехнологичных преступлений (AHTCC) объединила представителей крупных банков страны, компаний, занимающихся электронными транзакциями, и Федеральной полиции Австралии, которая координирует деятельность вновь созданной структуры. По информации одного из инициаторов кампании по борьбе с фишингом в Австралии – сенатора А.Эллисона, – результаты работы группы уже начали приносить первые плоды: заведено несколько уголовных дел, ведутся расследования, а также запущен ряд программ, в рамках которых пользователи банковских Интернет-систем предупреждаются о недопустимости пересылки по почте паролей и карточных реквизитов.

Не менее весомы успехи полиции Великобритании – 5 мая 2004 г. сотрудники специального подразделения по борьбе с киберпреступлениями задержали сразу 12 выходцев из бывших советских республик (Латвии, Эстонии, России и Украины), обвиняемых в хищении сотен тысяч фунтов стерлингов с частных банковских счетов. Аресты были произведены в Лондоне и г. Ремсгейт (графство Кент) на юге Англии. Мошенническая группа “выуживала” у владельцев банковских счетов конфиденциальную информацию, пароли и кодовые слова, рассылая по электронной почте сообщения якобы от имени банка. В посланиях утверждалось, что система безопасности банка перепроверяет персональные данные клиентов и просит выслать их по электронной почте. Британской полиции удалось также задержать 21-летнего гражданина Великобритании во время попытки авторизации с использованием полученных с помощью фишинга данных клиентов Интернет-банка Smile, входящего в состав Co-Operative Bank. Всего в распоряжении мошенника оказались реквизиты карт и ПИН-коды более чем 0,5 млн. человек, посетивших фальшивый сайт.

Сегодня свой вклад в решение проблемы противостояния фишингу стремятся внести не только правоохранительные органы, но и ведущие поставщики платежных технологий. Ряд крупных компаний, в числе которых VASCO, Banksys, Element и STMicroelectronics, объединили усилия для создания универсальной платформы аутентификации, предназначенной для безопасного использования EMV-карт при совершении покупок в Интернете. Впервые новая разработка, которая поможет банкам в борьбе с фишингом, была анонсирована на международной выставке CeBIT-2004, проходившей в германском Ганновере.

Оригинальное решение для борьбы с фишингом не так давно предложила и компания WholeSecurity, разработавшая программу, способную обнаруживать мошеннические сайты и позволяющую владельцам часто фальсифицируемых брендов более оперативно отслеживать и пресекать деятельность подобного рода.

В июне 2004г. ряд крупных компаний, работающих как в телекоммуникационном сегменте, так и в других высокотехнологичных отраслях, начали создание консорциума для противодействия фишингу, получившего название “Форум по надежным электронным коммуникациям” (TECF – Trusted Electronic Communications Forum). Среди основателей TECF такие известные банки и компании, как ABN AMRO Bank, AT&T Wireless Services, Best Buy, Charles Schwab, E*Trade Financial, HSBC Holdings, Royal Bank of Scotland Group, Fidelity Investments, Tenet Healthcare, Siebel Systems и Target.

Эксперты отмечают важность участия в альянсе столь разных по профилю организаций, что позволяет выработать решения, которые получат понастоящему широкое распространение. Например, наряду с крупными банками в число участников вошли представители телекоммуникационных компаний (AT&T), провайдеры услуг спутниковой связи и доступа в Интернет (DirecTV Group), а также компании-разработчики аппаратных средств (IBM), которые планируют заниматься разработкой новых методов борьбы со всеми видами виртуального мошенничества, связанными с кражей личных данных, включая фишинг.

“За последние месяцы эпидемия фишинга распространялась так быстро, – отмечает Шон Элдридж (Shawn Eldridge), председатель TECF и директор по продуктовой и маркетинговой стратегии компании PostX, – что сейчас никто не может считать себя застрахованным от атаки мошенников”. Члены консорциума TECF собираются не только продвигать технологии и бизнес-методики, направленные на борьбу с мошенничеством, но и участвовать в судебном преследовании преступников.

Под прицелом MasterCard
Сегодня становится очевидным, что разрозненных усилий даже самых мощных правительственных или коммерческих структур недостаточно для противодействия масштабному наступлению криминала. Всесторонний анализ проблемы фишинга, выработка некой глобальной программы совместных действий по борьбе с этим видом преступности требуют участия крупнейших транснациональных финансовых организаций, и в первую очередь международных платежных систем.

Не случайно основной темой проведенного MasterCard International II Ежегодного Всемирного симпозиума по вопросам управления рисками стали вопросы борьбы с различного рода хищениями персональной информации, включая такие виды преступной деятельности, как фишинг (phishing), скимминг (skimming) и другие схемы карточного мошенничества.

Образец эпистолярного жанра, используемого апологетами фишинга:

Дорогой клиент,
Это письмо отправлено с сервера банка N для подтверждения Вашего email адреса. Вы должны продолжить процедуру, перейдя по нижеследующей ссылке и введя в маленьком окошке номер Вашей дебитной карты банка N и ПИН-кода, используемого Вами для ATM.

Это делается для Вашей защиты – некоторые наши клиенты лишились доступа к своим e-mail адресам, и мы обязаны проверить это.

Для проверки Вашего e-mail адреса и банковской учетной записи перейдите по следующей ссылке: https://wwww.bank_N.com/signin/confirmation.jsp

———————————————————————————————-Благодарим Вас за то, что Вы являетесь нашим клиентом.

Что должно настораживать?
Несколько характерных черт, присущих “фишинговым” электронным посланиям:

1. Тема и тело письма бедно отформатированы, текст может содержать пунктуационные и даже орфографические ошибки.
2. Письмо начинается с неличностного приветствия (“Дорогой клиент” и т. п.). Реальные компании, как правило, посылают письма, в которых обращаются к получателю по имени.
3. Манера изложения, используемая авторами письма, беспокоящая или тревожная (например, сообщается о том, что многие клиенты уже потеряли свои учетные записи, причем это может случиться и с получателем).
4. Если письмо содержит ссылку, стоит попытаться провести “мышью” над ней. Видимая ссылка в теле письма, не совпадающая со ссылкой в строке статуса, с большой вероятностью свидетельствует о том, что послание фальсифицировано.

В ходе работы симпозиума представители MasterCard International и компании NameProtect, специализирующейся на защите компьютерных активов, объявили о начале реализации совместного проекта по противодействию мошенничеству с пластиковыми картами. В рамках проекта MasterCard International будет инвестировать в развитие разрабатываемых компанией NameProtect Интернет-технологий, обеспечивающих выявление новых схем онлайнового мошенничества, включая постоянный контроль доменных имен, сайтов, онлайновых дискуссионных форумов и электронных рекламных рассылок. Информация о фальсифицированных Интернет-сайтах и онлайновых форумах будет передаваться в адрес Секретной службы США, Федерального бюро расследований, Почтовой службы США и Интерпола. Кроме того, используя систему оповещения MC Alerts, MasterCard International будет направлять уведомления о выявленных случаях мошенничества в адрес почти 25 тыс. участников ассоциации по всему миру, что позволит последним обеспечить защиту своих клиентов, а также принимать меры к тому, чтобы мошенники были найдены и наказаны по всей строгости закона.

Такой подход дает возможность вычислять и разоблачать создаваемые преступниками программные средства и сайты до начала их использования. По заявлению Сержио Пиньона (Sergio Pinon), старшего вице-президента отдела безопасности и управления рисками компании MasterCard, “…больше нельзя ограничиваться мерами по сдерживанию мошенничества. Наш новый партнерский проект позволит пресекать мошенничество еще до того, как злоумышленники получат доступ к персональной информации о счетах наших клиентов”.

Данный шаг эксперты рассматривают как свидетельство фундаментального перелома в подходе мирового карточного сообщества к борьбе с мошенничеством: от сдерживающих мер к активному противодействию.

Заключение
Как отмечают в своем аналитическом отчете специалисты международной консалтинговой компании KPMG, до сих пор в международной практике не выработано единого подхода к защите информации. При этом проблема защищенности конфиденциальных клиентских данных, которые в случае несанкционированного доступа к базам кредитно-финансовых и иных организаций становятся отправной точкой для последующей рассылки мошенниками “подметных” писем, приобретает сегодня все большую актуальность.

Как уже отмечалось, не последнюю роль в борьбе с хищением такого рода информации могло бы играть государство, учитывая, что жертвами фишинга становятся в первую очередь его законопослушные граждане. Ярким примером тому может служить “антифишинговый” законопроект, недавно выдвинутый на рассмотрение американским Сенатом. Этот документ впервые ставит вне закона создание копий официальных web-сайтов организаций с целью принудить пользователя передать свои идентификационные данные посторонним лицам. В качестве уголовного преступления данный законопроект рассматривает и подделку адресов электронной почты отправителя с целью заманивания пользователей на фальсифицированные web-сайты.

На этом фоне нельзя исключать, что любые разумные и эффективные инициативы отечественных законодательных органов, направленные на пресечение незаконного оборота персональной информации в России, также могли бы сыграть позитивную роль в борьбе с фишингом, уже делающим сегодня первые пробные шаги на нашем рынке.

Полный текст статьи читайте в журнале «ПЛАС» № 6 (96) ’2004 стр. 10

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных