Книги по разным темам

Как мошенники обманывают пользователей сети Интернет

Доклад на VII Международной конференции Право и Интернет -

Батранков Денис Владимирович, эксперт по безопасности компьютерных сетей портала Securitylab.ru

юди доверяют нам свою информацию, чтобы мы ее хранили и обеспечивали целостность, доступность и конфиденциальность. Таким образом специалисты защищающие информацию в конечном итоге защищают информацию других людей, поскольку эти люди нам доверяют этим заниматься. Но вто же время нам доверяют не всю информацию. А именно нам недоверяют персональную информацию. Никто еще не просил меня хранить у себя его пароль электронной почты, чтобы когда ему нужно будет проверить почту я заходил и вводил пароль вместо него. Никто еще не просил меня знать логин и пароль на доступ к управлению его счетом в банке или электронным кошельком. Все люди вынуждены защищать эту информацию сами как умеют. И поскольку большинство не умеет, то тут и появляются новые угрозы. Особенно явно это видно в Интернете, где достаточно просто подделать письмо и спрятаться среди огромного множества хостов. Таким образом сегодня я хочу выделить из множества угроз в Интернете проблему кражи персональных данных посредством мошенничества – то, что по английски называется pharming и phishing.

Все мы знаем что такое мошенничество в обычной жизни. Хорошим примером обычного мошенничества является мошенничество на вокзалах. Так например еще во времена СССР, когда еще не было террористов, были камеры хранения на вокзалах, в которые можно положить свои вещи, набрать код с внутренней стороны двери, закрыть дверь, кинуть монетку 15 копеек в монетоприемник и уйти спокойно, зная, что только вы сможете взять эти вещи, поскольку только вы знаете код, набраный внутри ящика. Уже тогда появились люди которые вставляли спичку в щелочку в которую кидают 15 копеек и ждали когда вы воспользуетесь вышеприведенным алгоритмом. Дойдя до операции "кинуть 15 копеек" вы понимали, что кинуть не получится. Поэтому вы вынимали вещи, клали их в соседний ящик, проделывали то же самое и уходили довольные. Мошенник смотрел код, который вы набрали на предыдущем ящике и вскрывал ваш ящичек, поскольку с вероятностью 90% вы набирали тот же самый код, а старый не сбрасывали.

Термин фишинг ("password harvesting fishing" – ловля и сбор паролей) описывает мошенническое завладение персональной информацией. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов и вставляют в них ссылки на фальшивые сайты.

В конечном итоге фишеров как правило интересуют наши деньги, к которым можно добраться посредством Интернета. Чтобы это сделать нужно знать логин, пароль, адрес где вводить или телефон на который звонить модемом, номер кредитной карты или какие-то другие атрибуты для входа в онлайн систему, в том числе это могут быть даже данные о медицинском и социальном страховании, пенсионных счетах.

Ваиюле 2003аг. представители ФБР назвали фишинг самой свежей ианаиболее тревожной, новой угрозой ваинтернете. Сатех пор фишинг распростряняется по Сети подобно вирусной эпидемии. Дошло до того, что недавно пришлось даже создать Международную антифишинговую рабочую группу APWG, которая расследует эту новую угрозу иакоординирует международную деятельность по предотвращению распространения фишинга. Например, ваапреле 2004аг. Citibank подвергся 475алфишинговым атакам, eBayа— 221аи PayPalа— 135. Случаи фишинговых атак были неоднократно зарегистрированы иав России. По официальной статистике, жертвами фишинга становятся от 3адо 5% получателей почтовой рассылки, ааэто очень высокий процент.

Широко известным примером фишинга является атака на пользователей Citibank. В январе 2004 года электронное письмо в HTML формате было разослано под видом важного сообщения всем клиенам Citibank. В нем сообщалось о необходимости подтверждения своих учетных данных. Текст письма можно почитать тут.

В HTML файле содержалась ссылка, в который была использована Frame Spoof уязвимость. При клике на данную ссылку происходило обращение к сайту, расположенному в Южной Корее, который был точной копией сайта www.citibank.com "Благодаря" использованию Frame Spoof уязвимости, в окне навигации Internet Explorer отображался адрес официального сайта

От пользователя требовалось ввести свои учетные данные (номер карты и PIN), после чего они пересылались злоумышленникам, и те могли получить полный доступ к управлению счетом пользователя, через легальный сайт.

По информации компании Millersmiles 40% клиентов Citibank ответили на подобные письма. Citibank даже вынужден был выпустить специальное сообщение что он НИКОГДА НЕ ЗАПРАШИВАЕТ персональную информацию по электронной почте, и никогда так не будет делать и все такие сообщения - мошенничество.

Суть идеи frame spoof, в том, что в окне браузера открывается два фрейма, один из них невидимый указывающий на легитимный сайт, причем этот адрес сайта отображается также и в строке адреса, а второй фрейм который и показывается в окне открывает подставной сайт. В итоге даже HTTPS протокол отрабатывает на ура, показывает сертификат, но человек вводит свои данные (номер карты, PIN или пароль) на самом деле на сайте злоумышленника. Я, честно говоря, не знаю, как пересказать вышеприведенный текст среднестатической домохозяйке, чтобы она поняла.

По сути фишер – обычный мошенник, который пользуется методами социальной инженерии вкупе с недюжинными техническими знаниями и навыками. Надо представлять, что работа его достаточно многогранна и сложна, например посмотрим на список мероприятий которые должен произвести фишер, чтобы достичь результата:

  1. Мошенник должен сформировать сайт являющийся копией сайта от имени которого он работает.
    a) Нужно выбрать ценный для предполагаемой жертвы сайт или даже несколько сайтов и затем нужно сделать контент похожий на контент сайта: тут фишеру приходится возиться со скриптами, Flash страницами, базами данных.
    Фишинг атакам подвергаются многие известные банки, в том числе Citibank, Bank of America, U.S. Bank, самые лакомые куски: платежные системы VISA и Mastercard, полулярные интернет-магазины Amazon.com, Ebay.com, платежные системы типа PayPal. Не были исключением Bank One, Fleet, Wells Fargo Bank, Yahoo!, MSN, AOL и другие известные и неизвестные компании.
    б) Сам сайт нужно куда-то положить. Чтобы не засветиться, фишеру нужно выкладываеть этот контент на чужой сервер, например чужой взломанный WEB сайт или просто установить перенаправление на свой сайт через взломанный сервер.
    Например, специалистами по безопасности в Германии в ноябре 2004 года был отслежен и задокументирован случай фишинг атаки на пользователей PayPal. Интересно, что после рассылки фишинг письма потенциальным жертвам, не прошло и часа, как они начали кликать на подложный адрес и за 36 часов с 721 разного IP адреса пытались зайти на подложный сервер. Затем эта атака была заблокирована и информация о ней передана в правоохранительные органы.
  2. Второй задачей мошенника является придумать текст, который бы взволновал получателя и заставил начать действовать. Здесь используются методы социальной инженерии. Как правило жертве предлагают зайти срочно по какой-то причине на сайт. И если он не зайдет то он потеряет деньги. Причиной потери денег может быть
    1. подтверждение/проверка/обновление данных аккаунта на сервере;
    2. сообщение о переводе денег, который нужно срочно подтвердить, иначе деньги уйдут обратно;
    3. сообщение о странном поведении вашего счета, и вам стоит посмотреть почему было несколько ошибочных вводов пароля или почему сразу с нескольких разных адресов пытались использовать ваш аккаунт и вообще правда ли это вы проводили операции со своими деньгами.
    4. злые шутки письма, в которых написано, что Вас взломали, срочно зайдите на сайт поменяте пароль.. Ссылка естественно внизу стоит на сайт фишера.
    5. и другие причины, все зависит от фантазии фишера.

Например, в одном поддельном письме от имени PayPal было написано: Вашим счетом управляли из России, если вы не путешествовали в Россию, то вам лучше посмотреть свой электронный кошелек.

  1. Затем мошеннику нужно поместить в письмо ссылку на поддельный сайт, чтобы получатель письма каким-то образом попал не на сайт этой организации, от имени которой пришло письмо, а на сайт фишера. Для этого используются сложные технические приемы и уловки внутри письма. Как правило используется свойство, гиперссылок HTML, где то что написано на экране это не ссылка, а всего лишь подпись к ней. Некоторые пользователи об этом не знают, а некоторые под наплывом эмоций не проверяют куда реально указывает ссылка. Например, порой даже продвинутые пользователи, не могут ответить на вопрос какой адрес открывается, если набрать в строке браузера адрес А как думают присутствующие

На мой взгляд интересным решением было использовать хитрости начертания шрифта, когда www.ainazon.com () выглядит как www.amazon.com (). Кроме того злоумышленники неоднократно использовали и уязвимости в браузерах как в случае с Citibank.

  1. Следующей задачей мошенника является разослать этот текст так, чтобы получатель не догадался что письмо поддельное. Для этого используется уже наработанная спамерская технология. Вместо адреса отправителя подписывается что-нибудь типа support@microsoft.com или account.support@email.paypal.com

Иногда злоумышленники проявляют изрядное чувство юмора, например в очередной фишинг атаке на paypal.com клиенты получали письмо (на английском языке), в котором говорилось, что вы купили на сайте amina.com книгу о Шамиле Басаеве за 46 долларов. (

  1. Затем фишеру нужно собрать данные которые оставляет на его поддельном сайте жертва и использовать.
  1. Следующая задача это использовать полученные данные. Многих интересует вопрос, а что же делают мошенники после того как они украли номер кредитной карты и PIN. Ведь даже для того чтобы совершить покупку в Интернет магазине нужно засветить как минимум адрес доставки, а в случае перевода денег - номер счета. Чтобы не засветиться мошенники используют людей, которых иначе как ослами не назовешь, которые за определенный процент от истраченных денег соглашаются принять товар или получить на свой счет деньги, если используется банковский перевод. В результате мошенник остается неизвестным, а этот человек остается разбираться с полицией или ФБР.

А что же Российский закон

Закон молчит. Дело в том что эти деяния не попадают ни под какую статью нашего Уголовного кодекса, в том числе под статью 159 Мошенничество. Сбор персональной информации не является запрещенным по закону деянием. Так, номера кредитных карт, ПИН-коды и другие подобные сведения считаются коммерческими только в том случае, если это определено внутренними документами банка. Если нет - их можно красть безнаказанно.а Понимания важности борьбы с кибермошенничеством нет и во властных структурах. 1 июля 2004 г. вступила в силу Конвенция о преступности в сфере компьютерной информации, подписанная в 23 ноября 2001 г. в Будапеште. В ней предусмотрен ряд жестких мер законодательного характера, которые страны должны принять. В их числе - признание объектом права номеров кредитных карточек, логинов, ПИН-кодов. О присоединении к ней России пока не ведется и речи.

Все домашние пользователи сети Интернет могут надеяться только на себя, защищаясь от поддельных писем, а корпоративные пользователи еще могут положиться на системного администратора, что тоже нереально, поскольку администратор не читает все письма в компании.

Я полагаю что борьба специалистов по компьютерной безопасности на этом фронте продолжится. Раньше нас спасало то, что под угрозой в основном пользователи англоязычной части Интернета и кроме того в нашей стране единицы пользуются аукционом eBay или виртуальной платежной системой PayPal, от лица которых часто рассылаются послания. Но, возможно, скоро будут появляться и фишинг-рассылки на русском языке. Нам нужно быть готовыми к этому и сыграть на опережение.

В заключение приведу пример одной удачной шутки против которой вряд ли у кого найдется адекватное средство защиты.

Есть такой популярный бесплатный сервис криптографически защищенной электронной почты www.hushmail.com. Пользуясь этим сервисом пользователи могут обмениваться зашифрованными сообщениями, пользуясь форматом OpenPGP. Отличный сервис, отлично защищает до сих пор себя и других. Однако, в воскресенье 24 апреля этого года все пользователи, пытавшиеся попасть на сайт www.hushmail.com, попадали на страничку, где было написано "The Secret Service is watching. - Agent Leth and Clown Jeet 3k Inc." (Секретная служба просматривает вашу почту.) Копия той страницы тут. Естественно компания достаточно оперативно исправила ситуацию, но неправильные IP адреса еще некоторое время хранились в кеше различных DNS серверов по всему миру. В результате на несколько часов функционирование сервиса по доставке почты было приостановлено.

Как выяснилось, неизвестный человек позвонил доменному регистратору Network Solutions, который обслуживал домен hushmail.com и представившись сотрудником hushmail получил логин и пароль, которых было достаточно чтобы исправить DNS записи домена hushmail.com и перенаправить пользователей на нужную страницу. Налицо типичная атака из раздела социальная инженерия.

Так что, нужно всегда быть начеку и не забывайть, что процесс обеспечения безопасности должен быть непрерывным: без выходных, перерывов на обед и сон.

Для того чтобы посмотреть другие примеры фишинга можно посетить сайты которые собирают примеры мошеннических писем:

www.millersmiles.co.uk

www.antiphishing.org

phishinginfo.org

   Книги по разным темам