Фишинг

Начало / Безопасность / Мошенничество

Фишинг

Фишинг
(анг. phishing от password — пароль и fishing — рыбная ловля, выуживание)
Подложные веб-сайты и другие интернет-технологии, которые рассылают спам с целью заставить людей раскрыть ценную финансовую информацию.
Организаторы фишинг-атак используют массовые рассылки электронных писем от имени популярных брендов.
В эти письма они вставляют ссылки на фальшивые сайты, являющиеся точной копией настоящих. Оказавшись на таком сайте, пользователь может сообщить преступникам ценную информацию, позволяющую управлять своим счётом из интернета (имя пользователя и пароль для доступа), или, даже, номер своей кредитной карты.

То есть, не обязательно подделывать деньги, можно подделывать ценные бумаги или что-то еще, за что можно получить те же деньги, например официальные сайты.

Как это работает

Фишеры рассылают массовые сообщения email от имени легитимного онлайнового продавца или финансового учреждения.
Обычно в них содержится требование срочно выслать некую информацию, например, паспортные данные, данные своего интернет-счета (логин и пароль для доступа) или даже данные кредитной карты.
Часто в таких сообщениях получателю предлагается войти на подложный веб-сайт, являющийся точной копией настоящего, устроенный фишерами для сбора информации.

Фишеры начали дополнять свои происки разного рода ухищрениями - включая всплывающие окна с обманными сообщениями, "маски" URL, имитирующие реальные веб-адреса, и программы для регистрации ввода с клавиатуры, которые перехватывают номера счетов и пароли.
И в довершение всего организации со значительным онлайновым присутствием подвергаются прямому шантажу.

Наиболее часто атакуются сайты банковских структур, онлайн-магазинов, провайдеров хостинга и доступа в интернет.
Пятерку западных лидеров возглавляет PayPal, за ним идут eBay, BOA, Fifth Third, Wachovia - чем известнее банк или магазин, тем чаще атакуют его клиентов.

Новый вид фишинга

  • Заходим на сайт, свиду совсем обычный;
  • переходим на другую вкладку;
  • JavaScript определяет, что активности на сайте нет, меняет иконку и содержимое страницы на вход в почту Google (или чего-то еще);
  • мы решаем посмотреть нашу почту и принимаем эту ссылочку за настоящую;
  • вводим логин, пароль и нажимая ОК отправляем свой доступ хакеру. Имея доступ к почте можно попасть почти везде, где мы зарегистрированы.

ПРОФИЛАКТИКА

Прежде всего, храните ваш email.
Не попадется ваш email спаммерам - не будет спама. Попадется - будет.
Не попадется ваш email фишерам - не будет фишинга. Попадется - будет.
Самое элементарное - заведите 2 email адреса:
  1. Постоянный, который будет у вас на визитке, для регистрации на официальных сайтах. Его храните и не давайте кому попало.
  2. Временный, для регистрации на форумах и для регистрации в интернете. Пошел спам или фишинг, выкидывайте и заводите новый временный.
Используйте защитный код для email на вашем сайте (если он у вас есть).

подробнее

Защита:

  1. Финансовые организации и другие ответственные компании не запрашивают конфиденциальную информацию по email.

  2. Фишеры могут угрожать закрытием счета или прекращением обслуживания до тех пор, пока вы не обновите определенные сведения.

  3. Не доверяйте безадресным запросам информации. Между тем в письмах от вашего банка или ISP скорее всего назовут вашу организацию или учетное имя.

  4. Никогда не заносите конфиденциальную информацию в формы, встроенные в сообщения email.

  5. Всегда проверяйте, что для передачи персональной информации используется шифрованное соединение. Адрес должен начинаться с "https://", а не с "http://".

  6. На пользуйтесь ссылкой в письме, она может выглядеть абсолютно нормально - www.paypal.com/us/cgi-bin/webscr?cmd=_login-run, но наведите курсор и увидите совсем другой адрес. Наберите адрес вручную.

  7. Вообще-то, если вы зарегистрированы на PayPal или где-то еще, то вы можете провести все операции через свою учетную запись. Вы же не вчера родились, используйте прежние пути работы с официальными организациями. Они отнесутся к вам с пониманием.

  8. Чтобы убедиться в легитимности всех операций, регулярно проверяйте состояние своего банковского счета, кредитных и дебитных карт. Если обнаружится что-то подозрительное, обращайтесь в банк и ко всем эмитентам кредитных карт.

  9. За дополнительными рекомендациями обращайтесь на веб-сайт Anti-Phishing Workgroup (www.antiphishing.org - на английском).

  10. Чаще всего мошенникам требуются логины, пароли, номера кредитных карт и т.п.
Когда вы обращаетесь к сайту по http://, браузер устанавливает шифрованное соединение, анализирует предъявленную сайтом информацию и пытается проверить ее на подлинность, проверяя подписи с использованием корневых сертификатов.
И даже если весь интернет целиком окажется под контролем злоумышленников - все равно проверка сертификатов будет осуществляться на основе данных, встроенных в браузер, который и выявит попытку атаки.

И самое главное - внимательнее смотрите на те сообщения, которые показывает ваш браузер прежде чем побыстрее кликнуть на Yes или OK! Ведь кто знает, может, именно в этот раз он кричит Вам о том, что ваши данные пытаются украсть...