Автор: Родион Насакин
Пару лет назад стандартный набор распространенных интернет-угроз пополнился еще одним видом криминала. В прессе все чаще стало мелькать слово «фишинг» (phishing), под которым поначалу понимали лишь почтовые рассылки, осуществляемые мошенниками от имени финансовых и торговых структур, дабы выведать конфиденциальные платежные данные пользователей. В 2004 году объем циркулировавших в Сети сообщений с подобным содержанием внезапно подскочил, количество потерпевших приняло угрожающие масштабы, а деловое и ИТ-сообщества в спешном порядке взялись за разработку мер противодействия внезапной напасти. Правда, за прошедшее с тех пор время все их усилия не позволили не то что ликвидировать угрозу, но даже замедлить темпы ее нарастания.
Разумеется, выуживать чужие пароли и реквизиты онлайн-мошенники начали гораздо раньше. Сам термин «phishing», созвучный с «fishing» («рыбалка») и расшифровывающийся как «password harvesting fishing» [По другой версии, термин расшифровывается как «phone fishing», так как первоначально под ним подразумевалось мошенничество с телефонными аккаунтами AOL.], впервые прозвучал на мюнхенской конференции Virus Bulletin Conference в 1998 году. Речь шла об исследовании защищенности почтовых сервисов AOL перед троянскими атаками, однако случайно специалисты столкнулись с другим криминальным явлением. Поначалу большинство фишеров было заинтересовано именно в получении логинов/паролей для аккаунтов AOL, чтобы в дальнейшем использовать их при рассылке спама и хостинге сайтов, сомнительных с точки зрения законности контента. В начале 90-х злоумышленники относительно просто могли создавать учетные записи в службах американского телекома, пользуясь сгенерированными номерами кредиток. После того как AOL обеспокоилась этими махинациями и ужесточила правила регистрации, случаи фишинга стали учащаться.
К тому же времени относится появление основных мошеннических приемов, которые можно отнести к так называемой «социальной инженерии». На массового пользователя успокаивающе действовало наличие в письме форм сбора данных и прочих html-прелестей на пару с официальным оформлением, что для многих служило доказательством солидности респондента. В письмах псевдослужащие техподдержки AOL рассказывали истории о сбоях в работе оборудования или СУБД, извинялись и просили о помощи. Причем неотложной. Во избежание появления у пользователя ненужных мыслей ему предлагали немедленно ввести свой пароль, пугая удалением аккаунта. В дальнейшем фишинг становился изощреннее только в техническом плане, психологическая же основа осталась прежней. Наличие правдоподобной легенды, побуждающей пользователя к необходимым действиям, — непременная составляющая успеха мошенников.
Позднее с кражи AOL-аккаунтов мошенники перешли на сбор номеров кредитных карт и распространили свою деятельность на любой мало-мальски известный финансовый брэнд. Довольно быстро появилась такая модификация фишинга, как спуфинг. От классической схемы этот вариант отличается тем, что в письме жертву просили перейти на сайт банка или компании для заполнения авторизационной формы по прилагаемому линку. Ссылка не вызывает особых подозрений, поскольку ее URL обычно очень похож на URL реального учреждения (тайпсквоттинг) или же текст ссылки не соответствует ее реальному «направлению». Те, кто клюнул и кликнул, заходили на специальную веб-страницу, повторяющую дизайн сайта оригинальной компании, где и вводили необходимые данные. Особо старательные фишеры вообще подделывают ресурсы целиком.
Забегая вперед, отмечу, что в настоящее время мошенники все чаще не утруждают пользователя собственноручным вбиванием паролей и PIN-кодов в формы и используют трояны. Да и задача в этом случае сильно упрощается — достаточно заставить пользователя перебраться на фишерский сайт и «подцепить» программу, которая самостоятельно разыщет на винчестере жертвы все, что нужно. А с прошлого года наравне с троянами стали использоваться и кейлоггеры. Шпионские утилиты, отслеживающие нажатия клавиш, загружают на компьютеры жертв на подставных сайтах. Если в конце 2004 года Websense каждую неделю обнаруживала по паре новых кейлоггеров и пятнадцать распространявших их сайтов, то полгода спустя эти показатели выросли до десятка и сотни соответственно. При использовании такого подхода необязательно находить выходы на клиентов конкретного банка или компании, а потому подделывать стали и сайты «общего назначения», такие как новостные ленты и поисковые системы.
Как уже упоминалось, озабоченность проблемой фишинга приняла массовые масштабы в 2004 году. Нельзя сказать, что к тому времени фишинг встал на первое место среди видов интернет-криминала, если оценивать по убыткам, которые понесли потерпевшие. Спам, вирусы и DoS-атаки «рыбакам» обойти не удалось. Встревожили относительные показатели. По данным mi2g, если ущерб, нанесенный фишерами мировой экономике, в 2003-м составлял $14 млрд., то год спустя он достиг $44 млрд. По статистике Symantec, в середине 2004 года фильтры компании еженедельно блокировали до 9 млн. писем с фишинговым контентом. К концу года за тот же период отсеивалось уже 33 млн.
Наиболее авторитетная в этом вопросе организация APWG (Anti-Phishing Working Group) подсчитала, что число подставных сайтов в Сети за последние шесть месяцев 2004 года увеличилось вчетверо и превысило 2,5 тысячи, а количество атак за год выросло в тридцать раз. Та же организация сообщила, что эффективность фишерских рассылок может достигать 5%, то есть каждый двадцатый получатель письма становится жертвой мошенников.
В том же году фишинг пришел в Россию. Первыми пострадали клиенты «Ситибанка», которые получили письма с просьбой уточнить данные своих пластиковых карт, якобы потерянные в результате сбоя в банковской системе. При переходе по ссылке, указанной в сообщении, клиент попадал на страницу, где ему предлагали ввести номер карты и PIN-код. В общем, местные фишеры не стали изощряться и воспользовались классической схемой. В мае 2004 года банк распространил заявление о своей непричастности к рассылке подобных сообщений. К тому времени, по некоторым источникам, фишерская кампания, направленная на клиентов «Ситибанка», уже шла по меньшей мере три месяца. К чести организации следует упомянуть, что президент банка пообещал при получении уведомлений о потере денежных средств действовать в интересах клиента, оценивая каждый случай в индивидуальном порядке.
Впрочем, это скорее исключение, чем правило, и столь великодушные жесты увидишь нечасто. Ведь банки в этом случае никому ничего не должны. Финансовые транзакции с использованием PIN-кода неоспоримы, и ответственность за их проведение целиком и полностью ложится на держателя карты. Вместе с тем исследование Ponemon Institute показало, что пользователи считают защиту от фишинга обязанностью бизнеса, а раз так — банкам и компаниям, работающим в е-коммерции, следует заняться разработкой дополнительных мер защиты от фальсификации своих онлайн-представительств. В частности, 96% участников проведенного в рамках исследования опроса отметили необходимость создания компаниями способа безошибочной аутентификации электронного письма и сайтов. Также респонденты высказались за внесение изменений в законодательство (в данном случае американское), которые позволили бы закрывать поддельные ресурсы. И если с однозначной аутентификацией вопрос остается открытым по сей день, то юридическими мерами фишеров стали «давить» уже в том же 2004-м.
Столь быстрой реакции правоохранительных органов США и ряда других западных стран способствовало резкое обострение ситуации летом. Вскоре после российского инцидента вал фишерских посланий обрушился и на американских клиентов Citigroup. В июле 2004 года специалисты APWG констатировали очередной всплеск активности мошенников, зарегистрировав за месяц 1974 атаки (в декабре 2003-го, согласно тому же источнику, было зафиксировано 116 случаев). Две трети из них пришлись на клиентов Citibank и U.S. Bank. Тогда же этот список пополнил «новичок» — Федеральная корпорация банковских депозитов США (FDIC), чье имя впервые «засветилось» в соответствующих посланиях за восемь месяцев до «бума».
В середине июля 2004-го в Сенате был подготовлен законопроект, где впервые описывалось явление фишинга и наличествовал запрет на подобную деятельность. К фишерским проделкам в этом документе причисляли имитацию сайтов с целью принудить пользователя к передаче идентификационных данных другому лицу и подделку обратных адресов электронной почты с целью заманить на подобные сайты. При этом авторы законопроекта подчеркнули, что свободу слова их детище ни в коем разе не нарушает и сайты-пародии, имитирующие популярные ресурсы «в мирных целях», останутся в рамках закона. Впрочем, этот документ устарел, не успев вступить в силу, поскольку уже к концу 2004 года обнаружились новые виды фишерских атак, «подтянуть» которые под предложенное юридическое описание не представлялось возможным. Первый суд над фишерами состоялся в октябре 2004-го в Лондоне. Интересно, что группа уличенных мошенников оказалась родом из экс-СССР. Обвинение им предъявили по классическим статьям: преступный сговор с целью обмана финансовых организаций и отмывание денег.
А на следующий год бразильской полиции удалось поймать более крупную фигуру в мире фишинга, некоего Валдира Пауло де Алмейду (Valdir Paulo de Almeida), который, по данным обвинения, возглавлял преступную группировку. Банде удалось похитить $37 млн. с банковских счетов, используя почтовые сообщения с троянами. Ежедневно рассылалось больше трех миллионов писем. Для финансового сектора Бразилии фишинг к тому времени уже превратился в настоящее бедствие. Несмотря на многочисленные (более пятидесяти только за 2004 год) аресты, национальный сегмент Сети наводнил шпионский софт, который отслеживал маршрут пользовательского веб-серфинга и после посещения жертвой сайта одного из бразильских банков отсылал аутентификационные данные преступникам.
Фишинг с использованием мобильной связи уже стал привычным явлением даже в России (см. «КТ» #655), хотя и в этой сфере грядут перемены. В частности, SMS-рассылками со словесными попытками убедить пользователя продиктовать коды активации для экспресс-карт дело уже не ограничивается. Злоумышленники комбинируют два вида «разводов». В сентябре текущего года специалисты компании McAffee объявили о появлении нового типа интернет-мошенничества, которое прозвали смишингом (smishing, то есть SMS + фишинг). В первых сообщениях такого типа абонентам писали, что факт их подключения к некоему сервису знакомств подтвержден, и напоминали, что ежедневная плата за пользование услугой составляет $2. К сообщению прилагалась ссылка на сайт сервиса, по которой пользователи переходили, чтобы удалить «ошибочно» полученный аккаунт, и получали трояна. Организаторы первой смишинг-атаки находятся в Испании и ведут рассылку по телефонам серии Nokia 60.
В 2005-м ситуация нисколько не улучшилась. Разве что, по данным APWG, немного снизились темпы роста атак, да и то ненадолго. Financial Times объявила о том, что половина опрошенных в рамках исследования пользователей Интернета сталкивалась со случаями фишинга. Причем четверть респондентов, несмотря на всю шумиху на протяжении полутора лет, все еще не знала, что в Интернете можно потерять деньги, поделившись данными о своем банковском счете с неизвестными. С пятью процентами опрошенных эта неприятность приключилась. Интересно, что половина жертв не получила возмещения ущерба от банка, что для многих тоже стало полной неожиданностью.
В июле текущего года был зафиксирован последний рекорд количества созданных фишерами подставных сайтов — 14191. Это на 18% превышает майский показатель. Причем на 1850 найденных сайтах были отмечены попытки загрузить на пользовательский компьютер тот или иной троян. Как и следовало ожидать, в «чистом» почтовом фишинге стремительно растет доля поддельных сайтов и прочих «альтернативных» методов мошенничества. При этом хостинг большинства таких ресурсов осуществляется в США. Среднее время жизни сайта составляет 5—7 суток. Методы, которыми пользователи заманиваются на фальшивые ресурсы, тоже изменились. Начиная с прошлого года, фишеры активно применяют технику так называемого DNS-отравления, при котором жертву уже не обязательно «убеждать» совершить те или иные действия, а достаточно просто инфицировать компьютер. В результате пользователь, попытавшийся зайти на реальный сайт банка или иного сервиса, автоматически перенаправляется на поддельную страницу.
Специалисты сумели выделить самые любимые мошенниками онлайн-сервисы. В 80% зарегистрированных случаев фишеры действовали под прикрытием всего шести брэндов: eBay, PayPal и нескольких банков. Но внимание аналитиков привлекают оставшиеся 20%, поскольку считается, что именно они позволяют получить информацию о новых, еще осваиваемых фишерами целях, на которые придется основная масса атак в ближайшие годы. Кроме того, специалисты центра RSA Cyota по борьбе с мошенничеством в Сети обнаружили, что фишеры уже выработали ответную меру на участившиеся случаи закрытия своих подставных ресурсов. Для того чтобы пользователь попадал на реально существующий сайт, мошенники создали так называемый «умный редиректор». То есть генерируется сеть подставных ресурсов, размещенных на разных серверах. URL сайта, указываемый фишерами в письмах, направляет жертву на единый сервер, где и установлен редирект-скрипт, который проверяет доступность фальшивых сайтов и перенаправляет пользователя на один из реально существующих.
На конференции HITB (Hack In The Box Security Conference), проходившей в сентябре сего года в Малайзии, было рассказано еще об одной (пока, правда, в большей степени потенциальной) угрозе, которая может доставить немало неприятностей финансовым компаниям. Речь идет о постепенном переходе банков и других организаций, вызывающих интерес у фишеров, на VoIP-связь. При этом в мире просто еще не придумано способов профилактики фишинговых атак, осуществляемых посредством IP-телефонии. Перспективы были нарисованы самые мрачные. Преступники, как ожидается, получат возможность, проникнув в банковские сети, работать с телефонными каналами. В результате клиент, позвонивший в свой банк, может стать жертвой фишинга, поскольку линия уже будет контролироваться хакерами. Пользователя попросят сообщить идентификационные данные для связи с клиентской службой поддержки, и после диктовки таковых злоумышленники смогут получить доступ к банковскому счету.
Понятно, что программный инструментарий для защиты от фишинга обладает ограниченной эффективностью, поскольку злоумышленники эксплуатируют в первую очередь не бреши в ПО, а человеческую психологию. Тем не менее уже второй год активно разрабатываются технические средства безопасности, прежде всего плагины для популярных браузеров. Для большинства из них плагины приходится скачивать дополнительно, однако, как ожидается, в следующих версиях эту функциональность будут поддерживать уже все браузеры.
Пока такая возможность реализована в «стандартной комплектации» только Opera 8.0. Mozilla весной прошлого года выпустила отдельно загружаемую заплатку для Firefox. В марте нынешнего года представители компании официально обещали появление антифишингового модуля в составе следующего релиза браузера. Соответствующую защитную систему создатели Firefox разрабатывают в сотрудничестве с Google. Суть защиты заключается в блокировании сайтов, попавших в «черные списки» мошеннических ресурсов, но обещают и некие другие дополнительные средства безопасности.
В Microsoft фишингом озаботились в августе прошлого года и выпустили дополнение к MSN Search Toolbar — Microsoft Phishing Filter для проверки открываемых сайтов на наличие подозрительного контента, а также соответствующих троянов и редиректов. Как ожидается, этот плагин будет встроен и в седьмую версию IE. Антифишинговое ПО корпорация разрабатывала в сотрудничестве с компанией Whole-Security, в загашнике которой имеется один из крупнейших «черных списков» подставных сайтов — Phish Report Network. Возможно, толчком к разработке фильтра послужила резкая критика Microsoft со стороны специалистов по информационной безопасности двумя месяцами ранее в связи с отказом корпорации выпускать для шестого IE заплатку, затрудняющую проведение спуфинговых атак. В Редмонде, правда, парировали обвинения, заявив, что еще в обновлении Windows XP SP2 предложили пользователям IE такие функции, как блокировка всплывающих окон и контроль за окнами с исполняемым скриптовым содержимым. Но, видимо, непрерывно усиливающийся страх пользователей перед фишерами (в многочисленных исследованиях наперебой рапортуется о десятках процентов респондентов, отказавшихся от электронных платежей в том или ином виде из-за боязни фишинга) все же вынудил Microsoft пойти на уступки.
Стараются по мере сил и сторонние разработчики. Так, McAfee предлагает свой плагин SiteAdvisor к IE и Firefox для проверки по URL сайта наличия в коде фишинговых ловушек. В июле текущего года в Сети появился аналогичный бесплатный онлайн-сервис LinkScanner (www.explabs.com/linkscanner).
Но несмотря на все усилия софтверных компаний, лавина фишинга в Сети нарастает, так что существующих методов борьбы с этим явлением явно недостаточно. Следующим шагом могут стать системы генерации одноразовых паролей для интернет-доступа к банковским счетам и аккаунтам в платежных системах, повсеместное распространение дополнительных уровней защиты за счет комбинации ввода пароля с использованием аппаратного USB-ключа и мобильные подтверждения (отправка удостоверяющей SMS с телефона клиента). Эти методы уже используются некоторыми банками, но говорить об их массовом применении пока рано. Да и не факт, что они помогут. Фишеры тоже не дремлют.
Аналитические компании, специализирующиеся на исследованиях киберпреступности, вообще констатируют, что примерно два года назад сетевой криминал изменился не только количественно, но и качественно. И существенно возросшая сложность борьбы со злоумышленниками во многом обусловлена именно глобальными тенденциями. Речь идет не только о появлении фишинга или каких-то еще новых видов отъема денег у пользователей, а о смене мотивации у преступников, резком увеличении «питательной среды» в виде широкого распространения беспроводного доступа или мобильных устройств и возникновении гибридных преступных явлений, образованных на стыке нескольких угроз (спам + вирусы, например). Хакеров-идеалистов, взламывающих сайты из хулиганских, а то и благородных побуждений, в Сети все меньше, а онлайн-криминал незаметно превратился в организованный и очень живучий бизнес с инновациями, инвестициями, транснациональной структурой и прочей атрибутикой.