Не попадись на удочку

Понятие «фишинг» все больше и больше входит в обиход специалистов компьютерной безопасно­сти и обычных пользователей интернета. Наверное, попасть на удочку фишера — самое неприятное, что может случиться с пользователем электронной почты, социальных сетей или других сервисов на просторах всемирной сети. Ведь получается, что пользователь добровольно отдает злоумышленнику информацию о своем аккаунте и пароле от него, порой даже и, не подозревая об обмане. А потом украденный аккаунт может участвовать в действиях, которые законода­тельством большинства стран квалифицируются как административное или уголовное правонарушение.
Для начала разберемся, что же такое фишинг. Итак, phishing (от английских слов password — пароль и fishing — рыбная ловля, выужива­ние) — это способ получения конфиденциальной информации непосредственно от самого владельца данных при помощи «приманок» определенного вида — подложных сайтов, web-форм или электронной почты. Фактически, это компьютерное пре­ступление, основанное на принципах социального инжиниринга. Если говорить юридическим языком, то фишинг можно смело назвать мошенничеством.
Цель рассылаемых злоумышленниками писем — заставить пользователя нажать на приве­денную ссылку, а затем ввести свои конфиденци­альные данные на подложном сайте. В некоторых случаях злоумышленники размещают на интернет-страничках различные эксплойты (исполняемые коды) уязвимостей популярных браузеров для побочной установки на компьютер пользователей каких-либо троянских программ.
Украденные имена и пароли посетителей могут быть использованы для рассылки по доверен­ным контактам ссылок на зараженные ресурсы, спама или мошеннических сообщений (например, с просьбой перевести деньги на срочные нужды). Любой из упомянутых способов так или иначе при­носит прибыль злоумышленникам.
Более всего атакам фишеров подвержены поль­зователи электронной почты и социальных сетей, то есть таких служб, где пользователь может получить сообщение со ссылкой на вредоносный или подложный сайт. Чаще всего подобные сообщения приходят с вполне доверенных источников, настоящие владельцы которых могут быть знакомы потенциальной жертве. Еще большую выдумку проявляют фишеры, работающие с социальными сетями. Пользователь обязательно оставляет о себе личную информацию, к примеру, о своих хобби или пристрастиях. Тогда злоумышленникам ничего не стоит заманить, к примеру, любителей фотографии на фотосервер, а меломана на портал с огромным выбором бесплатной музыки.
По оценке большинства компаний, занимающихся сетевой безопасностью, в прошедшем году к фишинговым сообщениям можно отнести одно из трехсот посланий через электронную почту. Еще больше приманок рассылается через внутреннюю систему общения социальных сетей.
По данным компании Message Labs Intelligence, большинство фишинговых приемов в 2009 г. имело следующее содержание:
• предложение о поднятии рейтинга собственной страницы;
• поддельная заглавная страница, идеально повторяющая внешний вид оригинального сайта;
• тем или иным способом пользователь направляется на сайт, за посещение которого злоумышленник получает деньги;
• ссылки на вредоносные программы;
• предложение отправить CMC для повышения рейтинга или для скачивания файла или программы.
Для борьбы с фишингом порой одного здравого смысла недостаточно. Многие производители антивирусного ПО предлагают специальные модули, которые отслеживают опасные сайты и анализируют сообщения электронной почты. Еще один способ борьбы — создание общей онлайн-базы данных фишинговых софтов с обновлением в режиме реального времени.