Название данного типа атак — Phishing (фишинг) — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.
Преступники для своего нападения используют spam или компьютеры-боты. При этом размер компании-жертвы не имеет значения; качество личной информации полученной преступниками в результате нападения, имеет значение само по себе.
Немного истории.
Термин был впервые употреблен в 1996 году хакерами, захватившими управление учетными записями America Online (AOL) и похитившими пароли ничего не подозревающих пользователей AOL. Первое упоминание в Internet термина phishing было сделано в группе новостей alt.2600 hacker newsgroup в январе 1996, однако термин, возможно, использовался даже ранее в популярном хакерском информационном бюллетене 2600.
Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал.
Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях.
Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей:
— в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных;
— в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте.
По оценкам специалистов, более 70 % фишинговых атак в социальных сетях — успешны!
Техника фишинга
Phishing нападения полагаются на соединение методов технического обмана и факторов социальной инженерии (это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств). В большинстве случаев Phisher должен убедить жертву преднамеренно выполнить ряд действий, которые обеспечат доступ к конфиденциальной информации.
В настоящее время фишеры активно используют популярность таких средств связи как электронная почта, web-страницы, IRC и службы мгновенной передачи сообщений (IM). Во всех случаях Phisher должен являться олицетворением доверенного источника (например, службы поддержки соответствующего банка и т.д.), чтобы внушить доверие жертве.
До настоящего времени, самые успешные нападения Phishing осуществлялись по электронной почте — где Phisher исполняет роль уполномоченного лица (например, имитируя исходный адрес электронной почты и используя внедрение соответствующих корпоративных эмблем. Например, жертва получает электронную почту от support@mybank.com(адрес — подменен) со строкой сообщения модификация защиты, в котором ее просят перейти по адресу www.mybank-validate.info(имя домена принадлежит нападавшему, а не банку) и ввести его банковский PIN-код.
Методы, используемые фишерами при работе с электронной почтой:
Официальный вид письма;
2. Копирование законных корпоративных адресов электронной почты с незначительными изменениями URL; )
HTML, используемый в электронных сообщениях, запутывает информацию об URL;
4. Стандартные вложения вируса/червя в сообщения;
Статьи к прочтению:
Добавление гаджетов в Google Blogger
Похожие статьи:
-
Информация, хранящаяся в электронном виде
Существует много способов выполнения DoS-атак, способных повредить информацию, хранящуюся в электронном виде. Ее можно удалить, а для закрепления успеха…
-
Алгоритмы, использующиеся в ssl
Одиночная перестановка по ключу. Более практический метод шифрования, называемый одиночной перестановкой по ключу очень похож на предыдущий. Он…