Особенности киберпреступлений в России: инструменты нападения и защиты информации - [11]

Количество сервисов и возможностей, привязанных к почтовому аккаунту, довольно велико и постоянно растет, и каждый сервис содержит какое-либо отличное доменное или субдоменное изображение, например https://mail.yandex.ru, а перейдя к файлам: https://disk.yandex.ru/client/disk.

Что должен заметить пользователь, когда строка

https://proxy.imgsmail.ru/?email=**&e=1498379070&h=9-c-pc-Us7zjiMuCsJ7qKQ&url171=cnUtbXguZW1haWwvaW1nL2ltZzEucG5n&is_https=0

сменится строкой:

http://e.mail.ru-cgi-blx.ru/files/?Login=&Domain=.ru&id=12433644800000023780&msg=bWFpbC5ydQIIZWxlbmFfcGFy=0

Пользователь будет заниматься тем, что у него происходит в основном окне браузера. А там все будет происходить красиво, возможно, даже интригующе…

Фишинговый сайт — это не какая-то одинокая страница в Интернете, которая внешне не отличается от оригинального сайта, это связка нескольких страниц, скриптов, сообщений, основанная на социальной инженерии и имеющая своей целью заполучить пароль незаметно для пользователя, в процессе сопровождения жертвы по определенному алгоритму действий.

Строка браузера, кроме доменного имени, содержит набор непонятных для большинства пользователей цифр и символов, поэтому до анализа точного написания доменного имени просто никому нет дела.

Еще один часто встречаемый совет — можно ввести любой вымышленный адрес электронной почты и придуманный пароль, при этом если сайт ненастоящий, то он примет введенные данные как верные и произведет переадресацию на настоящий сайт.

Практическое применение данного совета весьма интересно, то есть пользователь должен всегда при необходимости авторизации вводить разные пароли? При этом если есть сомнение, зачем вообще что-то вводить?

Здесь приходится также возразить и обратить внимание на то, что разработка фишинг-движков не стоит на месте и вводимые пользователем данные — логин и пароль — можно проверить на корректность несколькими функциями. В языке PHP, например, для установления соединения можно использовать сетевую функцию fsockopen, и пример фишинга с применением этой функции будет рассмотрен ниже.

Пропагандируемые утверждения, уверяющие, что антивирусы блокируют фишинговые атаки, официальные сайты сервисов блокируют переход по фишинговым ссылкам, антиспам-фильтры почтовых сервисов распознают фишинговые письма и, в конце концов, средства борьбы с фишингом предусмотрены во многих браузерах и почтовых клиентах, на практике действительны только при слепых фишинг-атаках или при использовании злоумышленниками старых доменных имен, которые уже внесены во всевозможные «черные списки». При персонализированном фишинге автоматические защитные меры малоэффективны.

Кроме того, нестандартный подход, используемый в целенаправленном фишинге, сводит на нет работу антифишинговых технологий, а вложенные кругленькие суммы в информационную безопасность лишь усиливают иллюзию защищенности. Поэтому фишинг жив и остается самым эффективным средством хищения пароля.

Фишинг — это универсальный инструмент, и основная его фишка — это постоянное видоизменение и совершенствование. Антивирус или другая система может заблокировать доменное имя или сервер, внеся его в базу данных, но ничто не мешает зарегистрировать злоумышленникам еще десяток-другой доменных имен и разместить их на десятке-другом виртуальных хостингов.

Универсальность фишинга в том, что он никогда не стоит на месте и из него, при желании, можно вылепить все, что угодно. Вот на рис. 1.9, к примеру, вид страницы фишинг-движка с интерфейсом пользовательских настроек учетной записи:

Рис. 1.9. Страница фишинг-движка с интерфейсом пользовательских настроек учетной записи

Интерфейс, незаконно использующий стиль и дизайн официального ресурса, предлагает пользователю изменить настройки и объем почтового ящика, а на самом деле так же бессовестно тащит пароль.

Письмо может выглядеть по-разному, но цель всегда одна и та же. В качестве примера можно привести довольно старый образец фишингового письма (рис. 1.10) из разряда слепой атаки, стилизованного под работу автоматической службы почтового сервиса:

Рис. 1.10.Фишинг под видом службы почтового сервиса

Или пример фишингового письма, замаскированного под официальные сообщения банка (рис. 1.11).

Рис. 1.11.Пример фишингового письма, замаскированного под официальные сообщения банка

Переход по ссылке такого письма также может отправить пользователя в путешествие по фэйковым страницам для «обработки».

Приведенный в самом начале пример, с отправкой сообщения от пользователя ООО «Магнит», вот так может выглядеть на другом почтовом сервисе — см. рис. 1.12, 1.13.

Рис. 1.12.Пример фишингового письма

Рис. 1.13.Пример фишингового письма

Еще раз стоит отметить, что для подобного рода атак совершенно не важно, на каком сервисе располагается учетная запись потенциальной жертвы.

Социальная инженерия представляет собой наибольшую угрозу для любой системы безопасности, в том числе информационной. Об этом говорится повсеместно и довольно давно, еще до возникновения киберпреступности.

Социальную инженерию правильнее рассматривать как некое воздействие, которое оказывает влияние на человека, подталкивая (направляя) его к выполнению определенных действий, которые могут быть как в его интересах, так и иметь обратные последствия.