Первый взгляд и статистика
Около половины всех пользователей интернета оказываются объектами атак со стороны цифровых мошенников. Об этом свидетельствуют данные опроса, проведенного мониторинговым центром YouGov по заказу одного из крупнейших американских интернет-провайдеров America Online (AOL). Злоумышленники, пользуясь спамерскими технологиями, постоянно рассылают по электронной почте письма с какими-либо мошенническими предложениями, основным типом которых как раз и является исследуемый нами в этой статье "фишинг" - поддельные письма якобы от имени банков или платежных интернет-систем с просьбой к клиентам сообщить данные для авторизации и доступа к личным денежным средствам. Говоря просто, такие письма содержат ссылки на фальшивые сайты, которые копируют дизайн сайтов банков или платежных систем. В случае, если пользователь оставляет на таких сайтах свои данные, они используются мошенниками для немедленного снятия с его счета имеющихся там денег. К слову, банки и платежные системы предупреждают, что никогда не рассылают подобных писем своим клиентам; обычно сайты, содержащие фальшивые страницы, быстро блокируются провайдерами, как правило, по запросам самих банков или правоохранительных органов.
Кроме того, спамерские письма часто содержат предложения сделать заказ какого-либо товара или услуги (часто нелегального характера) либо внести предоплату за какое-нибудь привлекательное предложение, связанное, например, с поиском работы. Деньги, посланные наивными пользователями авторам таким писем, бесследно пропадают. Также периодически рассылаются письма, реализующие так называемые "схемы быстрого обогащения" или "сетевой маркетинг", когда пользователей призывают отправить небольшую сумму отправителю и разослать аналогичные предложения множеству получателей.
Проведенный YouGov опрос также показал, что около четверти пользователей не знают, что выдача авторизационных данных (например, PIN-кода банковской карты) чревата возможной потерей денег. Около 5% опрошенных признали, что высылали деньги, пытаясь заказать предлагавшиеся спамерами услуги, и не получали ничего в ответ. Жертвами фишинга признали себя 1% опрошенных. Отмечается, что подавляющее большинство пользователей все же не реагируют на злоумышленный спам, успешно распознавая его среди других поступающих писем.
Впрочем, все это - самое примитивное представление такого явления, как фишинг. Ниже мы увидим, что далеко не все так просто, и по сложности фишинг мало чем отличается от других хакерских приемов.
Лучшее алиби - быть жертвой
Таким образом, фишинг представляет собой одну из форм рассылки спама, причем написанного так, как будто его прислал банк или другая серьезная организация (обычно связанная с финансовыми операциями). Цель - выудить у получателя письма важную для него информацию (имена пользователей, пароли, экаунты, IDs, ATM PIN'ы или информацию о кредитках). В классическом варианте, фишинговые письма содержат ссылки, направляющие получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. В добывании такой информации больше всего заинтересованы blackhat'ы, так как она позволяет им установить личности своих жертв и произвести мошеннические финансовые транзакции. Чаще всего жертвы терпят финансовые потери или их украденные личные данные используются в иных, криминальных, целях. Мошенники-фишеры постоянно занимаются исследованиями, поэтому многочисленные новые методы фишинга уже сейчас находятся в стадии разработки, если уже не используются.
Выуживание чужих паролей или другой важной персональной информации имеет долгую историю в сообществе интернет-преступников. Традиционно такие действия осуществлялись при помощи методов социальной инженерии. В конце 90-х годов, с ростом числа компьютеров, подключенных к Сети, и растущей долей интернет-бизнеса, атакующие научились автоматизировать этот процесс и атаковать рынок массового потребления.
Первое систематизированное исследование этой проблемы было проведено в 1998 году. Тогда аналитики исследовали почтовые программы на AOL, однако столкнулись с фишингом вместо ожидаемых атак троянами. Сам термин "фишинг" (password harvesting fishing - ловля и сбор паролей) описывает мошенническое овладение важной информацией, когда жертве сообщают совсем другую причину, по которой она должна сообщить эти данные, а о настоящей цели она даже не догадывается. Вот фишинговое сообщение, описанное первыми исследователями проблемы: "Сектор 4G9E нашей базы данных перестал выполнять функции ввода/вывода. Когда вы выполнили вход в систему под вашим экаунтом, мы смогли вас идентифицировать как зарегистрированного пользователя. Примерно 94 секунды назад ваша верификация была аннулирована из-за потери данных сектора 4G9E. Сейчас, по протоколу верификации AOL, мы обязаны создать для вас экаунт заново. Пожалуйста, нажмите "Ответить" и введите ваш пароль. В случае неполучения ответа мы полностью удалим ваш экаунт".
Как видно, изначально подобные атаки были главным образом нацелены на получение доступа к экаунту AOL жертвы, реже - для получения данных о кредитной карте в целях мошенничества. Часто фишинговые сообщения содержали элементарные хитрости, в результате чего компьютер жертвы оказывался под контролем третьих лиц. Происходило это потому, что неопытный пользователь "покупался" на "автоматизированные" функции формы ввода личных данных или явные признаки того, что письмо пришло от авторитетного источника. Как показано в предыдущем примере, это могла быть "сказочная" история о нарушении работы оборудования или ошибке в базе данных, и большинство пользователей верили в значимость официально оформленного сообщения или неотложной технической просьбы, в которой требовалась помощь пользователя. К слову, этот прием продолжает отлично срабатывать и в наши дни - новичков в интернете меньше не становится, а финансовые транзакции и/или управление своим банковским счетом через Сеть получают все большее распространение.
Простые инструменты и методы
Пользователям-жертвам в фишерских письмах обычно напоминают, что запрошенная информация "должна быть введена немедленно, дабы избежать появления серьезной проблемы ...и введите ваш логин/пароль. В случае неполучения ответа мы полностью удалим ваш экаунт". Правда, в первые годы после появления в Сети такого явления, как фишинг, преступники работали в одиночку или в малых непрофессиональных группах. На американских сайтах, посвященных проблемам компьютерной безопасности, часто рассказывается о начинающих фишерах как о подростках, желающих получить чужой экаунт в целях хулиганства или для звонков на дальние расстояния.
Но сегодня реальность совсем иная. Фишеры стали частью "традиционной" организованной преступности, боссы которой сообразили, что для получения преступного заработка не обязательно торговать наркотиками или организовывать мошенничества со страховкой. Как результат, сегодня фишеры выбирают стратегию рассылки своей почты такому количеству пользователей, какому возможно, маскируясь под известный брэнд - обычно тот, которому жертва, скорее всего, уже доверяет и с которым имеет деловые отношения. Запрос на срочные действия уже послан, и чтобы создать видимость, что данные, посылаемые пользователем, будут в безопасности, в ложное сообщение вписывают линк к удаленной веб-странице, дизайн которой подобран так, что почти полностью имитирует сайт реальной компании. Примеры компаний, брэнды которых использовались фишерами, включают в себя много известных банков, компаний, предоставляющих услуги кредитования или известных платежных систем интернета. Самые разнообразные трюки используются фишерами для создания уверенности пользователя в том, что он действительно зашел на "законный" веб-интерфейс.
Фишинговые атаки обычно осуществляются несколькими простыми инструментами и методами, позволяющими обмануть ни о чем не подозревающих пользователей. Основной инфраструктурой, поддерживающей фишерные сообщения, обычно служит HTML-страница, скопированная на контролируемый мошенниками сервер, и серверная часть скриптов для обработки всех данных, введенных пользователем. Могут создаваться и более комплексные веб-сайты и перенаправление содержания, но в большинстве случаев цель всегда одна - сымитировать на сервере работу реального брэнда, и в результате заполучить все данные, введенные пользователем в руки злоумышленника. Используя современные утилиты редактирования HTML, создание фальшивого веб-сайта не занимает много времени, и плохо защищенные веб-серверы могут быть легко запущены и взломаны в случае, если атакующий возьмется за сканирование диапазонов IP-адресов в поисках уязвимых хостов. Однажды взломанные, даже домашние компьютеры могут стать эффективными хостами для фишерных сайтов, поэтому "под прицелом" находятся не только корпоративные или академические системы. Атакующие часто не делают различий между целевыми компьютерами, тупо выбирая большие диапазоны IP адресов для поиска случайных или одной конкретной уязвимости.
Теперь, когда фальшивый сайт создан, главной задачей фишера становится перенаправление пользователей с легального сайта компании или банка на контролируемый мошенниками фальшивый сайт. Пока фишер имеет возможность подменять DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправлять сетевой трафик (метод, часто называемый pharming), он все равно должен поддерживать фальшивый сайт на достойном уровне, чтобы эффективно заманить свою жертву. Чем выше качество приманки, тем большая сеть может быть раскинута мошенниками, и тем больше шансы ничего не подозревающего пользователя посетить фальшивый сайт (и ввести данные, запрошенные фишером).
Но тут перед атакующим встает серьезная проблема. Ведь в большинстве случаев он не знает, кто именно из множества пользователей Сети является пользователем брэнда, выбранного в качестве приманки. Если даже фишер запостит пару линков, ведущих на фальшивый сайт в чатах и форумах, принадлежащих реальному брэнду (сайт технической поддержки или группы по связям с общественностью), велика вероятность что реальная организация будет быстро проинформирована о действиях мошенников, а неправильные ссылки будут удалены. Также существует существенный риск, что реальная организация может зафиксировать и отключить фальшивый сайт. Следовательно, фишеру требуется метод охвата максимального количества потенциальных жертв с минимумом риска, плюс идеальный механизм рассылки своего спама по электронной почте.
Вот тут-то начинается сотрудничество фишеров с "традиционными" спамерами. У последних имеются базы данных с миллионами рабочих e-mail адресов, то есть массовые методы рассылки могут быть использованы фишером для рассылки приманок очень многим пользователям с малым риском для самого фишера. Спамерские сообщения чаще всего посылаются через взломанные серверы в разных странах, или через глобальные сети "зомбированных" компьютеров (ботнэты). Таким образом, реальное местоположение фишера определить, в принципе, невозможно. Пользователя просят поменять пароль для онлайновых операций якобы в целях безопасности, и вероятность, что он сделает это, оказывается достаточно велика, если у него в почтовом ящике одновременно обнаруживается приличная куча другого спама с предложениями купить какой-либо новый товар и ссылками на неизвестные сайты.
Около половины всех пользователей интернета оказываются объектами атак со стороны цифровых мошенников. Об этом свидетельствуют данные опроса, проведенного мониторинговым центром YouGov по заказу одного из крупнейших американских интернет-провайдеров America Online (AOL). Злоумышленники, пользуясь спамерскими технологиями, постоянно рассылают по электронной почте письма с какими-либо мошенническими предложениями, основным типом которых как раз и является исследуемый нами в этой статье "фишинг" - поддельные письма якобы от имени банков или платежных интернет-систем с просьбой к клиентам сообщить данные для авторизации и доступа к личным денежным средствам. Говоря просто, такие письма содержат ссылки на фальшивые сайты, которые копируют дизайн сайтов банков или платежных систем. В случае, если пользователь оставляет на таких сайтах свои данные, они используются мошенниками для немедленного снятия с его счета имеющихся там денег. К слову, банки и платежные системы предупреждают, что никогда не рассылают подобных писем своим клиентам; обычно сайты, содержащие фальшивые страницы, быстро блокируются провайдерами, как правило, по запросам самих банков или правоохранительных органов.
Кроме того, спамерские письма часто содержат предложения сделать заказ какого-либо товара или услуги (часто нелегального характера) либо внести предоплату за какое-нибудь привлекательное предложение, связанное, например, с поиском работы. Деньги, посланные наивными пользователями авторам таким писем, бесследно пропадают. Также периодически рассылаются письма, реализующие так называемые "схемы быстрого обогащения" или "сетевой маркетинг", когда пользователей призывают отправить небольшую сумму отправителю и разослать аналогичные предложения множеству получателей.
Проведенный YouGov опрос также показал, что около четверти пользователей не знают, что выдача авторизационных данных (например, PIN-кода банковской карты) чревата возможной потерей денег. Около 5% опрошенных признали, что высылали деньги, пытаясь заказать предлагавшиеся спамерами услуги, и не получали ничего в ответ. Жертвами фишинга признали себя 1% опрошенных. Отмечается, что подавляющее большинство пользователей все же не реагируют на злоумышленный спам, успешно распознавая его среди других поступающих писем.
Впрочем, все это - самое примитивное представление такого явления, как фишинг. Ниже мы увидим, что далеко не все так просто, и по сложности фишинг мало чем отличается от других хакерских приемов.
Лучшее алиби - быть жертвой
Таким образом, фишинг представляет собой одну из форм рассылки спама, причем написанного так, как будто его прислал банк или другая серьезная организация (обычно связанная с финансовыми операциями). Цель - выудить у получателя письма важную для него информацию (имена пользователей, пароли, экаунты, IDs, ATM PIN'ы или информацию о кредитках). В классическом варианте, фишинговые письма содержат ссылки, направляющие получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. В добывании такой информации больше всего заинтересованы blackhat'ы, так как она позволяет им установить личности своих жертв и произвести мошеннические финансовые транзакции. Чаще всего жертвы терпят финансовые потери или их украденные личные данные используются в иных, криминальных, целях. Мошенники-фишеры постоянно занимаются исследованиями, поэтому многочисленные новые методы фишинга уже сейчас находятся в стадии разработки, если уже не используются.
Выуживание чужих паролей или другой важной персональной информации имеет долгую историю в сообществе интернет-преступников. Традиционно такие действия осуществлялись при помощи методов социальной инженерии. В конце 90-х годов, с ростом числа компьютеров, подключенных к Сети, и растущей долей интернет-бизнеса, атакующие научились автоматизировать этот процесс и атаковать рынок массового потребления.
Первое систематизированное исследование этой проблемы было проведено в 1998 году. Тогда аналитики исследовали почтовые программы на AOL, однако столкнулись с фишингом вместо ожидаемых атак троянами. Сам термин "фишинг" (password harvesting fishing - ловля и сбор паролей) описывает мошенническое овладение важной информацией, когда жертве сообщают совсем другую причину, по которой она должна сообщить эти данные, а о настоящей цели она даже не догадывается. Вот фишинговое сообщение, описанное первыми исследователями проблемы: "Сектор 4G9E нашей базы данных перестал выполнять функции ввода/вывода. Когда вы выполнили вход в систему под вашим экаунтом, мы смогли вас идентифицировать как зарегистрированного пользователя. Примерно 94 секунды назад ваша верификация была аннулирована из-за потери данных сектора 4G9E. Сейчас, по протоколу верификации AOL, мы обязаны создать для вас экаунт заново. Пожалуйста, нажмите "Ответить" и введите ваш пароль. В случае неполучения ответа мы полностью удалим ваш экаунт".
Как видно, изначально подобные атаки были главным образом нацелены на получение доступа к экаунту AOL жертвы, реже - для получения данных о кредитной карте в целях мошенничества. Часто фишинговые сообщения содержали элементарные хитрости, в результате чего компьютер жертвы оказывался под контролем третьих лиц. Происходило это потому, что неопытный пользователь "покупался" на "автоматизированные" функции формы ввода личных данных или явные признаки того, что письмо пришло от авторитетного источника. Как показано в предыдущем примере, это могла быть "сказочная" история о нарушении работы оборудования или ошибке в базе данных, и большинство пользователей верили в значимость официально оформленного сообщения или неотложной технической просьбы, в которой требовалась помощь пользователя. К слову, этот прием продолжает отлично срабатывать и в наши дни - новичков в интернете меньше не становится, а финансовые транзакции и/или управление своим банковским счетом через Сеть получают все большее распространение.
Простые инструменты и методы
Пользователям-жертвам в фишерских письмах обычно напоминают, что запрошенная информация "должна быть введена немедленно, дабы избежать появления серьезной проблемы ...и введите ваш логин/пароль. В случае неполучения ответа мы полностью удалим ваш экаунт". Правда, в первые годы после появления в Сети такого явления, как фишинг, преступники работали в одиночку или в малых непрофессиональных группах. На американских сайтах, посвященных проблемам компьютерной безопасности, часто рассказывается о начинающих фишерах как о подростках, желающих получить чужой экаунт в целях хулиганства или для звонков на дальние расстояния.
Но сегодня реальность совсем иная. Фишеры стали частью "традиционной" организованной преступности, боссы которой сообразили, что для получения преступного заработка не обязательно торговать наркотиками или организовывать мошенничества со страховкой. Как результат, сегодня фишеры выбирают стратегию рассылки своей почты такому количеству пользователей, какому возможно, маскируясь под известный брэнд - обычно тот, которому жертва, скорее всего, уже доверяет и с которым имеет деловые отношения. Запрос на срочные действия уже послан, и чтобы создать видимость, что данные, посылаемые пользователем, будут в безопасности, в ложное сообщение вписывают линк к удаленной веб-странице, дизайн которой подобран так, что почти полностью имитирует сайт реальной компании. Примеры компаний, брэнды которых использовались фишерами, включают в себя много известных банков, компаний, предоставляющих услуги кредитования или известных платежных систем интернета. Самые разнообразные трюки используются фишерами для создания уверенности пользователя в том, что он действительно зашел на "законный" веб-интерфейс.
Фишинговые атаки обычно осуществляются несколькими простыми инструментами и методами, позволяющими обмануть ни о чем не подозревающих пользователей. Основной инфраструктурой, поддерживающей фишерные сообщения, обычно служит HTML-страница, скопированная на контролируемый мошенниками сервер, и серверная часть скриптов для обработки всех данных, введенных пользователем. Могут создаваться и более комплексные веб-сайты и перенаправление содержания, но в большинстве случаев цель всегда одна - сымитировать на сервере работу реального брэнда, и в результате заполучить все данные, введенные пользователем в руки злоумышленника. Используя современные утилиты редактирования HTML, создание фальшивого веб-сайта не занимает много времени, и плохо защищенные веб-серверы могут быть легко запущены и взломаны в случае, если атакующий возьмется за сканирование диапазонов IP-адресов в поисках уязвимых хостов. Однажды взломанные, даже домашние компьютеры могут стать эффективными хостами для фишерных сайтов, поэтому "под прицелом" находятся не только корпоративные или академические системы. Атакующие часто не делают различий между целевыми компьютерами, тупо выбирая большие диапазоны IP адресов для поиска случайных или одной конкретной уязвимости.
Теперь, когда фальшивый сайт создан, главной задачей фишера становится перенаправление пользователей с легального сайта компании или банка на контролируемый мошенниками фальшивый сайт. Пока фишер имеет возможность подменять DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправлять сетевой трафик (метод, часто называемый pharming), он все равно должен поддерживать фальшивый сайт на достойном уровне, чтобы эффективно заманить свою жертву. Чем выше качество приманки, тем большая сеть может быть раскинута мошенниками, и тем больше шансы ничего не подозревающего пользователя посетить фальшивый сайт (и ввести данные, запрошенные фишером).
Но тут перед атакующим встает серьезная проблема. Ведь в большинстве случаев он не знает, кто именно из множества пользователей Сети является пользователем брэнда, выбранного в качестве приманки. Если даже фишер запостит пару линков, ведущих на фальшивый сайт в чатах и форумах, принадлежащих реальному брэнду (сайт технической поддержки или группы по связям с общественностью), велика вероятность что реальная организация будет быстро проинформирована о действиях мошенников, а неправильные ссылки будут удалены. Также существует существенный риск, что реальная организация может зафиксировать и отключить фальшивый сайт. Следовательно, фишеру требуется метод охвата максимального количества потенциальных жертв с минимумом риска, плюс идеальный механизм рассылки своего спама по электронной почте.
Вот тут-то начинается сотрудничество фишеров с "традиционными" спамерами. У последних имеются базы данных с миллионами рабочих e-mail адресов, то есть массовые методы рассылки могут быть использованы фишером для рассылки приманок очень многим пользователям с малым риском для самого фишера. Спамерские сообщения чаще всего посылаются через взломанные серверы в разных странах, или через глобальные сети "зомбированных" компьютеров (ботнэты). Таким образом, реальное местоположение фишера определить, в принципе, невозможно. Пользователя просят поменять пароль для онлайновых операций якобы в целях безопасности, и вероятность, что он сделает это, оказывается достаточно велика, если у него в почтовом ящике одновременно обнаруживается приличная куча другого спама с предложениями купить какой-либо новый товар и ссылками на неизвестные сайты.
