Лорри Фейт Кренор

Не ловись, рыбка! Проблемы и методы борьбы с фишингом

Лорри Фейт Кренор (Lome Faith Cranor) занимает пост адъюнкт-профессора информатики и технической и общественной политики в Университете Карнеги-Меллона и возглавляет лабораторию практической конфиденциальности и безопасности, где руководит исследованиями в области борьбы с фишингом. Кроме того, недавно она стала соучредителем компании Wombat Security Technologies, цель которой - вывод разработанных ее группой продуктов на рынок. Кренор опубликовала четыре книги и множество научных статей о защите информации в сетях, фишинге, спаме, электронном голосовании и других предметах, связанных с информационной безопасностью. Она надеется, что со временем люди перестанут воспринимать выражение «практическая безопасность» как оксюморон.

Основные положения

Фишинг - это вид сетевых преступлений, заключающийся в выманивании у людей конфиденциальной или секретной информации. Он уже обходится жертвам в миллиарды долларов в год, и угроза его растет. Поскольку фишинг основан на человеческих слабостях, изучение факторов, определяющих склонность людей клевать на удочку, поможет обучению пользователей и совершенствованию технологий защиты от мошенничества. Для борьбы с фишингом нужно объединение усилий правоохранительных органов, специалистов по защите информации и обычных пользователей.

За последнюю неделю я получила массу электронных писем: предупреждения от нескольких банков о предстоящей блокировке моих кредитных карт, напоминание eBay о необходимости сменить пароль, уведомление от Apple о неоплаченных счетах за скачанную музыку, предложение авиакомпании быстро заработать $50, заполнив опросную анкету, и просьбу Красного Креста перечислить деньги в фонд помощи пострадавшим от землетрясения в Китае. С виду эта корреспонденция не вызывала никаких подозрений. Однако все письма, кроме сообщения от eBay, были фальшивками, известными под названием «фиш» (phish, искаженный вариант английского слова fish- «рыба»).

Мошенники виртуозно составляют послания от имени уважаемых организаций и обычно призывают совершить срочные действия, чтобы избежать нежелательных событий или что-то заработать. Цель состоит в том, чтобы побудить человека зайти на некий сайт или позвонить по определенному номеру и выдать мошенникам свою персональную информацию. Иногда достаточно щелкнуть мышкой по ссылке или открыть файл, прикрепленный к электронному письму, чтобы компьютер оказался зараженным вредоносной программой, позволяющей «фишеру» (phisher, искаженный вариант английского слова fisher - «рыбак») извлекать нужную информацию или управлять компьютером жертвы для осуществления дальнейших атак. У каждой фишинговой атаки есть свои особенности, однако результат обычно один и тот же: тысячи беспечных жертв предоставляют преступникам сведения, которые затем используются для хищения денег с банковских счетов или для получения секретной информации.

Международный консорциум организаций по борьбе с сетевым мошенничеством отслеживает активность фишинга. В 2007 г. общее число фишинговых сайтов, выявляемых каждый месяц, достигло 55 643. Для обмана жертв и убеждения их в том, что они имеют дело с уважаемыми организациями, каждый месяц использовались названия или логотипы около двухсот компаний. По оценке консалтинговой компании Gartner, в 2007 г. на фитинг попалось 3,6 млн американцев, суммарные потери которых превысили $3,2 млрд.

Ставки высоки, и специалисты по информационной безопасности разрабатывают для почтовых клиентов и веб-браузеров все более совершенные фильтры, способные выявлять и регистрировать попытки фишинга. Хотя такие программы помогают пресекать множество атак, фишеры постоянно меняют тактику, стремясь идти на шаг впереди защитных технологий. Фишинг основан на использовании человеческих слабостей, и чтобы атака прошла успешно, жертва должна поддаться соблазну и предпринять определенные действия, так что проблема не только в технологии. Поэтому моя группа в Университете Карнеги-Меллона занимается поиском наилучших способов обучения людей распознаванию попыток фишинга и защиты от них. Кроме того, мы рассказываем людям, как работают антифишинговые программы, чтобы пользователи могли правильно их применять. Поскольку человеческий фактор является ключевым для успеха фишинговых атак, мы пришли к выводу, что он же может стать важным оружием и в борьбе с фишингом.

Комплексная защита
Многие браузеры уже содержат встроенные защитные фильтры а могут работать совместно с другими программами для выявления подозрительных сайтов. Но даже при условии, что программные антифишинговые средства будут выявлять фишинговые сайты, от них будет мало проку, если пользователи будут игнорировать их предупреждения. Чтобы понять, почему пользователи не обращают внимания на предупреждения об опасности, мой аспирант Серж Эгельман (Serge Egelman) рассылал добровольцам, участвующим в наших исследованиях, фишинговые электронные сообщения. Если получатели поддавались на провокацию и щелкали мышкой на ссылке, на их экране появлялось предостережение. Эгельман обнаружил, что пользователи браузера Mozilla Firefox 2 прислушивались к этим предупреждениям, а те, кто пользовался браузером Microsoft Internet Explorer 7 (I-E7), часто пренебрегали ими. Как мы выяснили, столь большая разница в реакциях двух групп участников обусловлена тем, что пользователи браузера IE7 либо не замечали предупреждений, либо путали их с предупреждениями о менее серьезных опасностях.

ЭЛЕМЕНТЫ и ПРИЗНАКИ ВОЗМОЖНОГО ФИШИНГА

Эволюционирующая угроза
В сообществе специалистов по информационной безопасности не мы одни постоянно стремимся к совершенствованию технологий. По мере улучшения защиты фишеры соответственно меняют свою тактику. Фишинговые письма теперь передаются через ICQ и SMS. Для завлечения своих потенциальных жертв фишеры используют сетевые игры вроде World of Warcrqft и такие интернет-сообщества, как MySpace и Facebook. Для фишинговых атак используется также создание точек доступа Wi-Fi в общественных местах и имитация регистрационных страниц настоящих провайдеров. Цель этих атак - определение паролей жертв и заражение их компьютеров вредоносными программами.

ДОПОЛНИТЕЛЬНАЯ ЛИТЕРАТУРА

Один из видов компьютерного мошенничества получил такое интересное название, как Фишинг . На английском языке означает выуживание, рыбалка. Только на крючок преступников попадает не рыба, а конфиденциальные данные пользователя. Все это делается путем хитрых и обманных действий.

Например, Вам приходит письмо на электронную почту с каким то заманчивым предложением. Далее переходя по ссылке просят ввести логин и пароль, например от почты. Часто злоумышленники пользуются в таких письмах брендами популярных сервисов (Майл, Гугл, любые соцсети), меняя в адресе лишь одну букву. Письма могут содержать текст, типа ваш аккаунт заблокирован и требуется повторная проверка авторизации. На фальшивом сайте Вы вводите свои данные и тем самым мошенники получают доступ к вашему электронному ящику. А в почте у нас часто хранятся пароли от других служб.

В настоящее время основной целью фишеров является получение данных клиентов банков и электронных платежных систем. Выполняя определенные правила, можно с уверенностью обезопасить свои данные от интернет-воровства.

Методы борьбы с фишинговыми атаками

• не переходите по сомнительным ссылкам и не вводите там свои данные. Проверяйте адрес отправителя
• используйте антивирусную программу, способную блокировать переход на фишинговые сайты
• используйте браузеры, предупреждающие об угрозе фишинга. К таким относятся GoogleChrome, MozillaFirefox, Opera, Яндекс.Браузер
• постоянно проверяйте свои банковские счета на наличие лишних операций
• не используйте один и тот же пароль для разных сервисов
• регулярно обновляйте ПО, связанное с безопасностью компьютера

Алексей Комаров

Возникшие с появлением фишинга угрозы потребовали внедрения адекватных мер защиты. В рамках данной статьи будут рассмотрены как уже широко распространенные способы противодействия фишингу, так и новые эффективные методы. Разделение это весьма условно: к традиционным отнесем хорошо известные (в том числе и самим злоумышленникам) способы противодействия фишингу и проанализируем их эффективность в первой части данной статьи. Согласно отчету APWG, за первую половину 2008 г. было выявлено 47 324 фишинговых сайтов. В этом же отчете приведены и средние потери пользователей и компаний в результате работы фишерского сайта – они составляют не менее $300 в час. Несложные умножения позволяют сделать вывод о высокой доходности этого вида черного бизнеса.

Современный фишинг

Слово "фишинг" (phishing) образовано от английских слов password – пароль и ёshing – рыбная ловля, выуживание. Цель этого вида Интернет-мошенничества – обманный увод пользователя на поддельный сайт, чтобы в дальнейшем украсть его личную информацию или, например, заразить компьютер пользователя, перенаправленного на подложный сайт, трояном. Зараженный компьютер может активно использоваться в ботнет-сетях для рассылки спама, организации DDOS-атак, а также для сбора данных о пользователе и отправки их злоумышленнику. Спектр применения "выуженной" у пользователя информации достаточно широк.

Механизмы фишинга

Главный вектор атаки фишинга направлен на самое слабое звено любой современной системы безопасности – на человека. Далеко не всегда клиент банка точно знает, какой адрес является правильным: mybank.account. com или account.mybank. com? Злоумышленники могут использовать и тот факт, что в некоторых шрифтах строчная i и прописная L выглядят одинаково (I = l). Такие способы позволяют обмануть человека с помощью похожей на настоящую ссылку в электронном письме, при этом даже наведение курсора мыши на такую ссылку (с целью увидеть настоящий адрес) не помогает. В арсенале злоумышленников есть и другие средства: от банальной подмены в локальной базе IP-адресов реального адреса на поддельный (в ОС Windows XP, например, для этого достаточно отредактировать файл hosts) до фарминга. Еще один вид мошенничества – подмена Web-страницы локально, "на лету". Специальный троян, заразивший компьютер пользователя, может добавлять в отображаемый браузером сайт дополнительные поля, отсутствующие на оригинальной странице. Например, номер кредитной карты. Конечно, для успешного проведения такой атаки надо знать банк или платежную систему, которыми пользуется жертва. Именно поэтому тематические базы электронных адресов пользуются большой популярностью и являются на черном рынке ликвидным товаром. Нежелающие нести дополнительные расходы фишеры просто направляют свои атаки на наиболее популярные сервисы – аукционы, платежные системы, крупные банки – в надежде на то, что случайный получатель спам-письма имеет там учетную запись. К сожалению, надежды злоумышленников зачастую оправдываются.

Традиционные методы противодействия фишинговым атакам

Уникальный дизайн сайта Суть этого метода такова: клиент, например, банка при заключении договора выбирает одно из предложенных изображений. В дальнейшем при входе на сайт банка ему будет показываться именно это изображение. В случае если пользователь его не видит или видит другое, он должен покинуть поддельный сайт и немедленно сообщить об этом службе безопасности. Предполагается, что злоумышленники, не присутствовавшие при подписании договора, априори не смогут угадать правильное изображение и обмануть клиента. Однако на практике этот способ не выдерживает критики. Во-первых, для того чтобы показать пользователю его картинку, его сначала надо идентифицировать, например, по логину, который он ввел на первой странице сайта банка. Злоумышленнику не составляет труда подготовить поддельный сайт, чтобы узнать эту информацию, а для самого пользователя – эмулировать ошибку связи. Теперь достаточно обратиться на реальный сервер, ввести украденный логин и подсмотреть правильное изображение.

Другой вариант – выдать клиенту фальшивое предупреждение об истечении срока действия его изображения и предложить выбрать новое...

Одноразовые пароли

Классические пароли являются многоразовыми: пользователь вводит один и тот же пароль каждый раз при прохождении процедуры аутентификации, не меняя его порой годами. Перехваченный злоумышленником, этот пароль может неоднократно использоваться без ведома хозяина.

В отличие от классического, одноразовый пароль используется только один раз, то есть при каждом запросе на предоставление доступа пользователь вводит новый пароль. Для этого используются, в частности, специальные пластиковые карточки с нанесенным защитным слоем. Клиент банка каждый раз стирает очередную полоску и вводит нужный одноразовый пароль. Всего на карточку стандартного размера помещается около 100 паролей, что при интенсивном использовании услуг телебанкинга требует регулярной замены носителя. Более удобными, но, правда, и дорогими представляются специальные устройства – генераторы одноразовых паролей. В основном различают два типа генерации: по времени, когда текущий одноразовый пароль отображается на экране и периодически меняется (например, раз в две минуты); по событию, когда новое значение генерируется каждый раз при нажатии пользователем на кнопку устройства.

Являясь более безопасным, чем классическая парольная аутентификация, такой метод, тем не менее, оставляет злоумышленнику определенные шансы на успех. Например, аутентификация с использованием одноразовых паролей не защищена от атаки "человек посередине". Суть ее состоит во "вклинивании" в информационный обмен между пользователем и сервером, когда злоумышленник "представляется" пользователю сервером, и наоборот. Серверу передается вся информация от пользователя, в том числе и введенный им одноразовый пароль, но уже от имени злоумышленника. Сервер, получив правильный пароль, разрешает доступ к закрытой информации. Не вызывая подозрений, злоумышленник может позволить пользователю поработать, например, со своим счетом, пересылая ему всю информацию от сервера и обратно, но при завершении пользователем своего сеанса работы не разрывать связь с сервером, а совершить нужные транзакции якобы от имени пользователя.

Чтобы не терять время в ожидании завершения пользовательского сеанса, злоумышленник может попросту имитировать ошибку связи и не позволять легальному пользователю работать со своим счетом. В зависимости от используемого метода генерации перехваченный одноразовый пароль будет действовать либо в течение короткого времени, либо только для первого сеанса связи, но в любом случае это дает злоумышленнику возможность успешно провести кражу данных или денег пользователя.

На практике аутентификация с помощью одноразовых паролей сама по себе используется редко, для повышения безопасности применяется установление защищенного соединения еще до аутентификации, например, с использованием протокола SSL.

Односторонняя аутентификация

Использование протокола безопасных соединений SSL (Secure Sockets Layer) обеспечивает защищенный обмен данными между Web-сервером и пользователями. Несмотря на тот факт, что протокол позволяет аутентифицировать не только сервер, но и пользователя, на практике чаще всего применяется только односторонняя аутентификация. Для установления SSL-соединения необходимо, чтобы сервер имел цифровой сертификат, используемый для аутентификации. Сертификат обычно выдается и заверяется третьей доверенной стороной, в роли которой выступают удостоверяющие центры (УЦ) или центры сертификации (в западной терминологии). Роль УЦ заключается в том, чтобы подтверждать подлинность Web-сайтов различных компаний, позволяя пользователям, "поверив" одному единственному удостоверяющему центру, автоматически иметь возможность проверять подлинность тех сайтов, владельцы которых обращались к этому же УЦ.

Список доверенных удостоверяющих центров обычно хранится в реестре операционной системы или в настройках браузера. Именно эти списки и подвергаются атакам со стороны злоумышленника. Действительно, выдав фишинговому сайту сертификат от поддельного удостоверяющего центра и добавив этот УЦ в доверенные, можно, не вызывая никаких подозрений у пользователя, успешно осуществить атаку.

Конечно, такой способ потребует от фишера больше действий и соответственно затрат, но пользователи, к сожалению, зачастую сами помогают в краже своих данных, не желая разбираться в тонкостях и особенностях использования цифровых сертификатов. В силу привычки или некомпетентности нередко мы нажимаем кнопку "Да", не особо вчитываясь в сообщения браузера об отсутствии доверия к организации, выдавшей сертификат.

Кстати, очень похожий способ используют некоторые средства по контролю SSL-трафика. Дело в том, что в последнее время участились случаи, когда сайты, зараженные троянскими программами, и сами трояны используют протокол SSL с тем, чтобы миновать шлюзовые системы фильтрации трафика – ведь шифрованную информацию ни антивирусное ядро, ни система защиты от утечки данных проверить не в состоянии. Вклинивание в обмен между Web-сервером и пользовательским компьютером позволяет таким решениям заменить сертификат Web-сервера на выданный, например, корпоративным УЦ и без видимых изменений в работе пользователя сканировать трафик пользователя при использовании протокола SSL.

URL-фильтрация

В корпоративной среде фильтрация сайтов применяется для ограничения нецелевого использования сети Интернет сотрудниками и как защита от фишерских атак. Во многих антивирусных средствах защиты данный способ борьбы с поддельными сайтами вообще является единственным.