Каким будет фишинг-2005?

Фишинг по итогам 2004 года повсеместно был признан самой распространенной и самой опасной формой интернет-мошенничества. Основная опасность заключалась в самой технологии, предусматривающей комбинирование "атаки на человеческий фактор" и чисто технологических приемов. Меры по противодействию фишинг-угрозам принимаются сегодня во всех странах мира. Тем не менее, наивно было бы полагать, что в 2005 году вал фишинга схлынет сам собой.

Общие тенденции

Уже сейчас, по итогам первого квартала, становится ясно, что фишеры начали серьезно совершенствовать технологию своего криминального бизнеса. Они теперь стараются не вести "огонь по площадям", стараясь спамерскими методами охватить как можно большее число пользователей — такая практика осталась в 2004 году. Сегодняшние фишеры меняют как подход к выбору жертвы, так и методы воздействия на нее.

Прежние методы перестают быть эффективными еще и потому, что интернет-компании достаточно оперативно отреагировали на новую угрозу. Например, в последних версиях браузера Opera уже присутствуют специальные средства, помогающие пользователю противостоять фишинг-атакам. В окне браузера есть специальная панель, на которой представлена информация о наличии сертификата безопасности у загружаемого сайта. Целью нововведения является защита пользователя от совершения транзакций на опасных банковских и коммерческих сайтах. Уже известно также, что аналогичными средствами защиты будут оснащаться все новые версии браузеров всех производителей. Кроме того, ряд крупных организаций, среди которых — такие известные банки и компании, как ABN AMRO Bank, AT&T Wireless Services, Best Buy, Charles Schwab, E*Trade Financial, HSBC Holdings, Royal Bank of Scotland Group, Siebel Systems и Target, IBM, Fidelity Investments и Tenet Healthcare, создали консорциум для противодействия этому виду мошенничества, получивший название "Форум по надежным электронным коммуникациям" (TECF). Участники консорциума совместно тестируют и внедряют технические стандарты для защиты от фишинга, а также разрабатывают новые методы борьбы с интернет-мошенниками.

Фарминг
Фарминг как метод хищения идентификационных данных интернет-пользователей явно станет основной фишинг-технологией в 2005 году. Руководитель технического отдела американской антивирусной компании MX Logic Скотт Чейзин мрачно предрек в конце минувшего года: "Следующим этапом фишинга станет фарминг". Суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты. В отличие от фишинга новый метод хищения данных почти не требует участия потенциальной жертвы. "Фишинг включает в себя насаживание наживки в надежде ухватить кусок. Фарминг — это посев зерна, который не требует полагаться на случай", — пояснил он различия между методами хищения данных в своем интервью. Пользователи становятся жертвами фарминга прежде всего в силу уязвимостей браузеров, которые позволяют размещать в адресной строке фальшивые адреса сайтов, уязвимостей операционных систем и уязвимостей DNS-серверов. Первой яркой иллюстрацией фарминга стал инцидент, произошедший в ноябре прошлого года. Пользователи, пытавшиеся попасть на сайты Amazon.com и Google.com, в конечном итоге оказывались на странице фармацевтической компании. Никакого злого умысла в произошедшем не было, однако сам инцидент стал возможным именно из-за сбоя на уровне DNS-сервера.

По мнению ряда экспертов, широкое распространение фарминга может поставить под угрозу развитие онлайн-бизнеса, который в 2004 году уже был ослаблен многочисленными фишинг-аферами. По их мнению, для противостояния фармингу следует принимать дополнительные меры безопасности при пользовании браузером. Такие меры должны включать подтверждение всех интернет-адресов, набранных в строке браузера. Кроме того, необходимо создать протоколы идентификации веб-ресурсов, подобные тем, что используются при идентификации электронных почтовых адресов. Дополнительной гарантией может также стать усложнение процедуры идентификации пользователя при пользовании онлайновыми формами регистрации.

Атака на бизнес
Как уже показывает практика, в нынешнем году сетевые мошенники больше внимания уделяют корпоративным сетям. Теперь уже организованные преступные группировки проводят массированные атаки на сети компаний с использованием технологий фишинга. Цель мошенников — заполучить пароли и иную ценную информацию закрытого характера. В большинстве случаев для поиска и идентификации новых сотрудников корпораций преступники используют изощренную технологию так называемых Directory Harvest Attack (о ней мы расскажем ниже). Затем они, представляясь, к примеру, расчетчиками заработной платы или инспекторами по социальному страхованию, пытаются "выудить" более детальную информацию в отделе кадров корпорации.

Перенос киберпреступниками акцента с обычных пользователей на бизнес имеет свой резон — улов в случае удачи значительно весомее. Теперь специалисты говорят о "корпоративном фишинге", и речь идет о весьма значительных суммах. По словам специалистов, пользователям становится все труднее отделять подлинные письма от "подложных". Из 25 тысяч британцев, прошедших тест компании MailFrontier на фишинг, 18% ошибочно идентифицировали фишинговое письмо как подлинное, а 46%, наоборот, приняли за обман настоящую деловую корреспонденцию. "Существует опасность того, что пользователи перестанут доверять электронной почте. Они сбиты с толку, и необходимо дополнительное обучение персонала", — резюмировали эксперты. Джереми Бил — глава группы CBI, специализирующейся в области электронного предпринимательства — считает фишинг наиболее серьезным современным вызовом электронному бизнесу. Он, в частности, заявил: "Спам был лишь головной болью, но сам по себе реальных убытков не приносил. Фишинг же приносит вполне конкретные убытки. Компании зависят от Интернета, так что просто выдернуть провод — не решение проблемы".

Directory Harvest Attack
Существует принцип: отсутствие отказа может быть не менее информативно, чем прямое согласие. Эта простая идея лежит в основе атаки с целью выявления действующих адресов (directory harvest attack, DHA) — приобретающего все большее распространение метода "добычи" адресов электронной почты, которые могут быть в дальнейшем засыпаны ненужными назойливыми СПАМ-предложениями или использованы мошенниками-фишерами. По сведениям Postini — компании-поставщика средств защиты электронной почты предприятий — масштабы DHA выросли в минувшем году на 250%, и теперь до четверти всех обращений, обрабатываемых некоторыми SMTP-серверами за день, составляют такие послания.

Организатор DHA-атаки запускает программу, которая формирует потенциально возможные в домене адреса электронной почты и рассылает по ним сообщения. Запросы по несуществующим адресам сервер, естественно, отклоняет. Не исключенные в процессе отсева адреса признаются верными, и программа вносит их в базы данных мошенников. Это не только приводит к увеличению объема спама, но и имеет другие последствия. Агрессивные DHA- атаки способны создать настолько интенсивный поток запросов на сервер, что их вполне можно квалифицировать как DDoS-атаки, в результате чего резко замедляется доставка законной электронной почты.

Для генерации потенциально допустимых в заданном домене адресов в DHA применяются два основных метода. Самый очевидный, "лобовой", метод — перебор всех возможных комбинаций алфавитно-цифровых символов. В другом варианте, представляющем собой разновидность словарной атаки (dictionary attack), используются перечни распространенных имен и то обстоятельство, что адреса электронной почты зачастую строятся по простой прогнозируемой схеме, то есть состоят из инициалов имен и фамилий. В принципе, можно было бы расстроить атаки DHA на основе словарного метода, выбирая нетипичные или малопонятные адреса электронной почты, но это, в свою очередь, затруднит их запоминание. Во всяком случае, такой подход не защитит от сценариев типа простого перебора всех комбинаций символов. Другой, казалось бы, простой контрмерой могла бы стать такая настройка конфигурации сервера, когда сообщения с неверными адресами не отвергаются, а молча принимаются, но отправляются "в черную дыру". Но этот подход оказывается сопряжен со значительными издержками. Если, согласно сценарию провокатора, отсутствие отказа означает, что адрес действующий, то на подобную несуществующую учетную запись потечет еще более интенсивный поток спама, который способен "затопить" всю локальную сетевую инфраструктуру.

Впрочем, методы противодействия этой напасти все же существуют. Некоторые фирмы — изготовители почтовых серверов и средств защиты предлагают специальные решения для борьбы с DHA. Продукты таких компаний, как Kerio, Postini и Rockliffe, обеспечивают постоянный контроль статистических показателей соотношения или частоты неверно адресованных сообщений электронной почты, поступающих с заданного IP-адреса; если этот показатель превышает определенный порог, сообщения с конкретного IP-адреса или послания конкретного отправителя могут быть отвергнуты или задержаны на некоторое время.

Задержка (вместо блокирования) по крайней мере гарантирует, что сервер не отклонит законную электронную почту, ошибочно помеченную как попытки DHA-атаки. Это замедляет доставку, но, как и в сценарии регистрации пользователя для входа в систему, после трех последовательных безуспешных попыток дальнейшие попытки блокируются на полчаса, в результате чего эффективность атаки резко снижается. Подобные решения могут быть полезными, однако в итоге такие задачи должны решаться на уровне протоколов, используемых для электронной почты. Хотя определенные меры в этом направлении уже принимаются, о заметном прогрессе говорить еще рано.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 24 за 2005 год в рубрике безопасность :: разное

©1997-2024 Компьютерная газета