Пример защиты от фишинга в Интернете

Фишинг (англ. phishing, от fishing – рыбная ловля, выуживание) – это вид интернет-мошенничества с целью получения конфиденциальных данных пользователей, в частности имени учетной записи (логин) и пароля. Обычно производится массовая рассылка электронных писем от имени организаций или частных лиц. В письме часто содержится прямая или косвенная ссылка на подложный сайт, внешне неотличимый от настоящего. На поддельной странице пользователю предлагается ввести имя и пароль, которые становятся известными мошенникам и используются ими для собственного доступа на настоящий веб-сайт вместо обманутого ими пользователя.

Фишинг предполагает не только поддельные сообщения э-почты, но и любые другие методы социальной инженерии, проще говоря – обычного обмана с помощью технических средств и Интернета в частности. Автоматические методы борьбы с фишингом действуют вполне успешно, но до сих пор находится множество беспечных пользователей, попадающих на удочку мошенников. Именно поэтому информирование пользователей остается одной из главных задач по борьбе с фишингом. Для этого рассмотрим один из показательных последних примеров атаки через сообщения э-почты на журналистов CSO.

На адреса нескольких сотрудников редакции поступило сообщение: «Защита персональных данных и безопасность клиентов, компании и ее сотрудников остаются важнейшей задачей. Именно поэтому компания Fiserv представляет центр безопасного обмена почтовыми сообщениями Fiserv Secure E-mail Message Center, защищенную среду э-почты, специально разработанную для защиты важной и конфиденциальной информации. В этой среде можно обмениваться сообщениями, которые будут извлекаться в виде защищенных шифрованных файлов», ну и так далее.

В принципе, здесь нет ничего необычного, поскольку в любую редакцию поступает множество рекламных рассылок от ранее неизвестных компаний. Причем нет никакой связи между правописанием, стилем, лексиконом и другими внешними признаками текста и целью (законной или мошеннической) этого сообщения. Однако мы не зря говорили о массовых почтовых рассылках, поэтому мошеннические сообщения обычно составлены по шаблону с автоматической подстановкой фактических данных. Например, в сообщении использовалось приветствие «Уважаемая коммерческая организация», а в поле «Кому» был устаревший список сотрудников. Кстати, из этого следует простой вывод для рекламных отделов – не рассылайте рекламные письма по шаблону, они будут слишком похожи на фишинг и поэтому будут удалены без прочтения (возьмите на себя труд по индивидуальной рассылке рекламной информации – пользы будет больше).

Primer-zashiti-ot-fishinga-v-internete-1
Признаки фишинга: (1) неизвестный ранее сотрудник Pat Evans из неизвестной компании Fiserv делает именно массовую рассылку, поскольку в списке получателей есть несколько посторонних лиц, (2) в теме сообщения указано о переадресации сканированного документа, что тоже не характерно для рекламной почты и (3) вложен файл архива ZIP, который вместе с DOC, XLS, EXE, и PDF, считается подозрительным в таких случаях.

Primer-zashiti-ot-fishinga-v-internete-2
Признаки фишинга: (1) обращение по шаблону свидетельствует о массовой рассылке, (2) нет контактной информации о сотруднике компании, отправившей сообщение, (3) нет никакой связи между данными в поле «Отправитель» и текстом сообщения.

В тексте сообщения запрашивается переход на сайт и регистрация на нем имени и пароля. Это не создаст никакой опасности, если пользователь не будет использовать одну и ту же пару реквизитов имя-пароль на всех сайтах. Однако для защищенного доступа придется использовать список реквизитов, который придется вести в электронном или бумажном виде.

Primer-zashiti-ot-fishinga-v-internete-3

Было достаточно предыдущих признаков фишинга для скорейшего удаления этого почтового сообщения, но можно провести дальнейшее расследование, воспользовавшись видом на полный заголовок, доступный во многих почтовых программах: (1) первая строка содержит IP-адрес отправителя и данные о поставщике услуг связи (провайдере). В данном случае это пользователь провайдера Comcast из Индианы (США) – in.comcast.net, но компания Fiserv находится в Висконсине, а это совсем другой штат США. Адрес xxx.xxx.xxx.xxx принадлежит взломанному компьютеру, который мошенники используют в качестве рассылочного узла. Во второй строке (2) указан отправитель, которым обычно будет SMTP-сервер провайдера.

Кстати, активная жизненная позиция предполагает не удаление подозрительного почтового сообщения, а пересылка его с комментариями в компанию специализирующуюся на защите от вредоносных программ. Именно специалисты одной из таких компаний подтвердили предположение журналистов – во вложенном архиве действительно находилась вредоносная программа с трояном Zeus.

Если бы на компьютере была отключена антивирусная защита в реальном времени и пользователь запустил бы программу из архива, то рабочая копия Zeus открыла бы для злоумышленников черных ход в систему, начала бы копирование документов и регистрацию нажатий клавиш на клавиатуре. Вполне возможно, что в украденном потоке информации могли присутствовать финансовые или конфиденциальные сведения, которые можно использовать для кражи средств или продажи.

Источник:
http://www.csoonline.com/article/2130760/data-protection/118916-How-to-spot-a-phishing-email.html
Фото: http://www.tekrevue.com/phishing-scams-itunes-icloud/

Интересные записи