Безопасность

Индикаторы угроз

• Последние угрозы
• Карта вирусных инфекций
• Global ThreatWatch

Энциклопедия

Виды вредоносного ПО

• Мобильные угрозы
• Crimeware
• Руткиты
• Вирусы
• Шпионы
• Фишинг
• Спам
• Шуточное ПО

Утилиты и ресурсы

• Вы действительно защищены?
• Практические советы
• Утилиты восстановления
• Глоссарий

Блог PandaLabs

 Главная » Безопасность » Виды вредоносного ПО » Фишинг

Фишинг: кража персональных данных

Вы получили электронное письмо от своего банка, и в нем содержится запрос на проверку данных по Вашему счету? Не поддавайтесь обману, поскольку это очень похоже на атаку фишеров.

• Фишинг: характеристики и технологии.
• Как он работает. Как он распространяется.
• Как распознать фишинговое электронное сообщение.
• Как защититься от фишинга?

Фишинг: характеристики и технологии.

Фишинг – это рассылка электронных сообщений, которые якобы приходят из надежных источников, таких как банки, но по сути являются попыткой получения конфиденциальных данных пользователя. С этой целью они обычно включают ссылку, при переходе по которой пользователь попадает на фальшивый вебсайт. Затем пользователи, полагая что они находятся на надежном сайте, вводят запрошенные данные, которые попадаюжт в руки злоумышленника.

Существует огромное количество ПО и программ, которые по классификации подпадают под категорию кражи персональной и финансовой информации. Некторые из них достаточно сложны, например, использование окна Javascript, плавающего над адресной строкой веб-браузера для того, чтобы запутать пользователя.

Вот некоторые из наиболее распространенных характеристик, свойственных таким фальшивым электронным сообщениям:

• Использование наименований существующих компаний. Вместо того, чтобы с нуля создавать вебсайт компании, злоумышленники имитируют корпоративный имидж и функционал сайта существующей компании для того, чтобы запутать получателей фальшивых сообщений.
• Использование имени реального сотрудника компании в качестве отправителя фальшивого сообщения. За счет этого, если получатель предпримет попытку подтвердить аутентичность сообщения звонком в компанию, он получит ответ, что такой человек в компании действительно работает.
• Веб-адреса, которые кажутся правильными. Фальшивые электронные сообщения, как правило, ведут пользователей на веб-сайты, имитирующие внешний вид официального веб-сайта компании, которая используется в качестве приманки. На самом же деле, как содержимое, так и адрес сайта (URL) являются поддельными и просто имитируют легитимные данные. Более того, юридическая информация и другие некритичные ссылки могут даже перенаправлять пользователя на реальный вебсайт.
• Фактор страха. Возможность обмана пользователей для мошенников очень краткосрочна, поскольку как только компания получает информацию о том, что её клиенты стали жертвами подобных технологий, сервер, на котором расположен фальшивый вебсайт, отключают в течение нескольких дней. Таким образом, для мошенников особенно важно получить от пользователя немедленный отклик. В большинстве случаев лучшая стратегия – это пригрозить пользователю либо финансовыми убытками, либо утратой самого счета, в случае если содержащиеся в письме инструкции не будут выполнены, причиной для чего обычно называются новые меры безопасности, якобы введенные в компании.

В дополнение к ссылке на фальшивый URL, данный вид вредоносного ПО также использует и другие, более сложные технологии:

• Посредник. В рамках данной технологии злоумышленник расположен между жертвой и реальным веб-сайтом и действует в качестве прокси сервера. За счет этого, он может перехватывать все подключения между ними. Для получения успешного результата злоумышленникам необходимо перенаправлять жертвы на свой прокси вместо реального сервера. Существуют несколько методов, среди которых такие методы как прозрачный прокси, DNS Cache Poisoning и запутанный URL.
• Эксплуатация уязвимостей кросс-сайтового скриптинга на сайте позволяет подменять защищенную веб-страницу банка таким образом, что пользователи не смогут обнаружить аномалии в адресе или сертификате безопасности, отображаемом браузером.
• Уязвимости в Internet Explorer, которые посредством эксплойтов позволяют подделать веб-адрес, который появляется в браузере. За счет этого, в тот момент пока веб-браузер перенаправляется на поддельный вебсайт, в адресной строке отображается надежный URL. Данная технология также позволяет открывать фальшивые всплывающие окна при доступе к легитимным вебсайтам.
• В ходе некоторых атак также используются эксплойты, размещенные на вредоносных вебсайтах и эксплуатирующие уязвимости в Internet Explorer или клиентской операционной системе с целью загрузить кейлоггер-типы троянов, которые будут красть конфиденциальную информацию пользователей.
• Фарминг - это гораздо более сложная технология. Он заключается в изменении содержимого DNS (Domain Name Server), либо через настройки протокола TCP/IP, либо через файл Imhost, действующий как локальный кэш серверных имен для того, чтобы при попытке пользователя открыть легитимные сайты, перенаправлять его на фальсифицированные версии. Более того, если при пользовании интернетом для сохранения анонимности жертва использует прокси, может быть затронута и система разрешения имен DNS сервера, в результате чего все пользователи прокси будут перенаправляться на поддельный сервер.

[Вверх]

Как это работает. Как он распространяется.

Наиболее характерный вектор атаки – это поддельное электронное сообщение, которое якобы приходит от определенной компании, клиенты которой и становятся целью аферы. Такое сообщение содержит ссылки на одну или более фальшивую веб-страницу, которая полностью или частично имитирует внешний вид и функционал компании, которая предположительно связана с получателем коммерческими отношениями. Если получатель действительно работает с компанией и верит в то, что сообщение поступило из надежного источника, он, скорее всего, введет конфиденциальную информацию в предложенной форме, расположенной на одном из таких веб-сайтов.

Способ распространения таких электронных сообщений имеет несколько общих характеристик:

• Подобно спаму, такие сообщения в массовом порядке и без разбора рассылаются по электронной почте или программам для обмена мгновенными сообщениями:
  • Сообщение принуждает пользователей перейти по ссылке, которая приведет их на вебсайт, где они должны ввести свои конфиденциальные данные, обычно якобы с целью их подтвердить или повторно активировать свой счет и т.д.
  • Они рассылаются в качестве предупреждений от финансовой компании, сообщая пользователям об атаке. Они содержат ссылку на вебсайт, где необходимо ввести персональные данные
• Поскольку сообщения рассылаются в массовом порядке, некоторые из получателей действительно окажутся клиентами компании. В сообщении говорится о том, что по причине некоторых аспектов безопасности, пользователю необходимо посетить вебсайт и подтвердить свои данные: имя пользователя, пароль, номер кредитной карты, PIN-код, номер карточки социального страхования и др.
• Конечно же, ссылка ведет не на реальный сайт компании, а на вебсайт, созданный мошенниками и имитирующий корпоративный имидж финансовой или банковской организации. Отображаемый веб-адрес, как правило, содержит название легитимного института, чтобы пользователи не заподозрили ничего дурного.
• Когда пользователь вводит свои конфиденциальные данные, эти данные созраняются в базе, и Вам не потребуется применять воображение для того, чтобы представить, что случится дальше: мошенники используют полученную информацию для входа на Ваш счет и все средства окажутся у них в руках.

Основной ущерб, причиняемый фишингом, это:

• Кража идентификационных и конфиденциальных данных.
• Снижение производительности.
• Использование корпоративных сетевых ресурсов: пропускной способности сети, лавина электронной почты и др.

[Вверх]

Как распознать фишинговое электронное сообщение.

Для пользователей, получивших сообщение с подобными характеристиками, может показаться сложным отличить фишинговое письмо от легитимного, особенно для тех, кто действительно является клиентом финансовой организации, от которой якобы пришло письмо.

• Отправитель: в поле отображается адрес, принадлежащий легитимной компании. Однако, для мошенников не составляет никакого труда подменить электронный адрес источника, который отображается в любом почтовом клиенте.
• Сообщение включает логотипы и изображения, полученные с легитимного вебсайта компании, на который ссылается фальшивое письмо.
• Несмотря на то, что включенная в письмо ссылка якобы ведет на оригинальный сайт компании, она в действительности перенаправляет браузер на поддельную веб-страницу, на которой нужно ввести пользовательские данные, пароли и др.
• Такие сообщения часто содержат грамматические ошибки, ошибки в написании или специальные символы, которые обычно не встречаются в сообщениях от компании, которую они якобы представляют.

 

Каждый пользователь электронной почты является потенциальной жертвой данного вида атаки. Любой электронный адрес, размещенный на форумах, в группах новостей или на веб-сайте, потенциально подвержен фишинговым атакам, поскольку существуют специальные почтовые роботы, которые прочесывают интернет в поисках активных адресов электронной почты.

Таким образом, причина существования такого вредоносного ПО ясна: запустить фишинговую атаку очень просто и дешево, а полученная прибыль оказывается высокой, даже при очень небольшой доле успешных попыток.

 

[Вверх]

Как защититься от фишинга?

Panda Security разработала целый ряд технологических решений. Такие решения варьируются и могут быть адаптированы к потребностям каждого клиента, начиная от домашнего пользователя и заканчивая самой крупной корпорацией, и предлагают интегрированную защиту и централизованное управление для каждого сетевого уровня: рабочие станции, почтовые и веб-серверы, а также корпоративные брандмауэры. Для получения более подробной информации о решениях Panda Security и их способностях обнаружения: решения для дома, решения для офиса.

Однако, как и в большинстве других областей компьютерных знаний, лучшая защита от фишинга – это информированность.

Если Вы думаете, что полученное Вами электронное сообщение может оказаться легитимным, вероятность чего необходимо изначально отрицать, первым делом обратитесь в компанию по телефону или обычным для Вас способом. Даже после этого, для того, чтобы максимлаьно снизить вероятность стать жертвой фишинга, сверьтесь со следующим списком, прежде чем вводить какие-либо данные, которые могут быть использованы третьими сторонами в мошеннических целях:

• Всегда проверяйте источник информации. Не отвечайте автоматически на любое электронное письмо, в котором запрашивается Ваше персональная или финансовая информация. Если Вы не уверены, что компании на самом деле необходима запрошенная информация, возьмите телефон, найдите в телефонной книге нужный номер и позвоните контактному лицу в данной организации для того, чтобы свериться с источником информации.
• Набирайте веб-адрес в адресной строке Вашего браузера самостоятельно. Вместо того, чтобы переходить по ссылке в электронном письме, наберите веб-адрес (URL) в своем браузере сами или используйте созданную ранее закладку. Даже электронные адреса, которые выглядят правильными в письме, могут вести на поддельный веб-сайт.
• Укрепите свою безопасность. Пользователям, которые совершают транзакции через интернет, необходимо установить решение безопасности, способное заблокировать данный вид угроз при попадании в компьютер, применить наиболее актуальные патчи безопасности от всех доступных производителей и убедиться в том, что работа происходит в безопасном режиме с использованием цифровых сертификатов или таких коммуникационных протоколов, как HTTPS.
• Всегда проверяйте, что используете безопасный веб-сайт: веб-адрес должен начинаться с https://, а в статусной строке Вашего браузера должен отображаться закрытый маленький замок.
• Дважды кликните на замке, чтобы просмотреть цифровой сертификат, подтверждающий, что сайт, на котором Вы находитесь, действительно необходимый Вам сайт.
• Регулярно проверяйте свои счета. Ежемесячные выписки очень полезны для того, чтобы отследить некорректные переводы и транзакции, а также операции, которых Вы не совершали, но они отразились в выписке, и операции, совершенные в онлайновом режиме, но не отраженные в выписке.

Все эти методы мы собрали в одной анимации, которую пользователи могут просмотреть для того, чтобы научиться лучше защищаться от фишинга.

При условии применения всех рекомендаций, пользователи смогут спокойно вводить в формах свою информацию, не беспокоясь о том, что она будет использована в чужих интересах.

Для того, чтобы защититься от фишинга, особенно важно понимать, насколько провайдеры финансовых сервисов и другие компании уязвимы для данного вида атак. Как правило, такие компании не запрашивают конфиденциальную информацию по ненадежным каналам, таким как электронная почта..

Panda Security предлагает различные решения для защиты Вашего компьютера от преступного ПО, а также от таких угроз, как вирусы, хакеры и фишинг.

• Посетите наш онлайновый магазин для того, чтобы приобрести решение от Panda, в наибольшей степени соответствующее Вашим потребностям.
• Скачайте пробную версию наших продуктов для того, чтобы иметь возможность оценить их до приобретения.
• Проверьте свой компьютер с помощью Panda TotalScan, бесплатного онлайнового сканера от Panda Security, который быстро обнаружит все возможные угрозы.

[Вверх]