Фишинг — разновидность мошенничества
На доверии к сетевым реквизитам паразитируют так называемые фишеры.
Фишинг — разновидность мошенничества, выманивание различными способами у ничего не подозревающего пользователя Интернета тех или иных критичных персональных данных, например номеров кредитных карт или паролей к системам управления банковскими счетами.
Соответственно, фишеры — те, кто занимается фишингом. Фишинг не обязательно должен проводиться в Интернете, тем не менее мы рассмотрим именно сетевую часть.
Для обмана интернет-пользователей фишеры используют целый арсенал средств, на первом месте в котором — хитрости с DNS и именами доменов. Очень большой удачей для фишеров является выполненный тем или иным способом перехват управления доменом, под которым размещен сайт банка.
Мошенники заблаговременно готовят сайт-обманку, внешне неотличимый от официального сайта банка, и после получения управления доменом переводят домен на этот сайт-обманку. Клиенты банка, как и ранее, заходят на веб-сайт, набрав в адресной строке браузера привычное имя домена или воспользовавшись закладками браузера, что в данном случае имеет тот же эффект.
Однако вместо настоящего сайта клиентов ждет поддельный, обычно предлагающий ввести реквизиты для управления банковским счетом. Мотивируется такая просьба самыми разными причинами обновление базы данных, проверка и переучет пользователей системы онлайн-банкинга и т. п.
Клиент, искренне полагая, что находится на официальном сайте банка, делится нужными реквизитами с фишерами. Именно для подобных атак, весьма и весьма эффективных, фишеры и прибегают к услугам хакеров, помогающих угнать домен.
Впрочем, угнать домен банка даже временно удается далеко не всегда. Поэтому фишеры используют и другие способы, также основанные на доменных именах, но не требующие хакерских ухищрений.
Например, фишеры регистрируют домены, по тому или иному аспекту похожие на домен атакуемого сервиса (атака не обязательно проводится на банк). Скажем, для атаки на сервисы известной поисковой машины Яндекс, размещающей свои точки входа под доменом yandex, предназначался домен yanclex. В этом случае использовалось графическое сходство буквы d и последовательности букв.
Для атаки с использованием графически похожего домена пользователям рассылают поддельные сообщения электронной почты, в данном случае якобы от Яндекса, при этом в тексте сообщений содержится приглашение зайти по указанной ссылке и ввести свои авторизационные данные. Здесь важную роль играет то, что пользователь не набирает адрес в строке браузера и не использует браузерную закладку для перехода на сайт Яндекса, а нажимает предложенную ссылку, на глаз определяет ее как ведущую на Яндекс.
Регистрация домена yanclex вполне может вызвать некоторые подозрения у регистратора, хотя правовых оснований для запрета регистрации подобного домена нет. Но встречаются и куда более изящные с технической точки зрения решения, не вызывающие никаких подозрений вплоть до того момента, как начнется фишинговая атака.
Например, в 2008 году фишеры атаковали пользователей платежной системы Яндекс.Деньги. В этой атаке задействовали обыкновенный цифровой домен в зоне (эта зона, кстати, допускает весьма высокую степень приватности регистрации, затрудняющую в дальнейшем поиск злоумышленников правоохранительными органами).
Внутри цифрового домена с помощью DNS приписывалось несколько доменов более низкого уровня, цепочка начиналась с имен, совпадающих с адресом интерфейса платежной системы Яндекс.Деньги, в результате получалась строка URL (ссылка) наподобие следующей money.yandex.passportdkey354 18863ncrnd.92nnnnnnn. (Здесь по понятным причинам большинство цифр в имени домена заменены на буквы п — см. правый конец строки).
Даже у искушенных в интернет-адресах пользователей не возникает сомнений, что их взору представлен домен в зоне ответственности Яндекса (yandex). Дело в том, что обычный пользователь, обладающий наивным сознанием в области систем адресации Интернета, начинает разбор строки URL слева направо и, убедившись, что перед ним ссылка на Яндекс (money.yandex), уверенно на этой ссылке щелкает.
Хитрость в том, что URL разбирается компьютером, как положено по стандартам с области, определяющей адрес сервера, — справа налево (терминальным, то есть отделяющим адрес сервера от других элементов URL, символом тут является правый символ ). Если теперь внимательно изучить представленный адрес с точки зрения компьютера, то окажется, что вся строка представляет собой адрес внутри домена первог уровня «92nnnnnnn», не имеющего никакого отношения к Яндексу.
К сожалению, о правилах синтаксического разбора интернет-адресов компьютерами знают только специалисты. Пользователи же вынуждены доверять своему наивному сознанию. Добавим в приведенной фишинговой ссылке умело эксплуатируется тот факт, что разработчики систем авторизации по неясным причинам (видимо, сложившимся исторически) постоянно используют в составе URL разнообразные цифры и буквы (обычно это идентификаторы сессий и разделов сайта), в большом количестве указываемые в качестве параметров. Именно поэтому использован цифровой домен, оказывающийся с точки зрения пользователя в конце строки. Пользователи постоянно видят эти цифры и буквы в адресе реального сайта, привыкают к ним и не пугаются абракадабры, лишь бы она начиналась со знакомого для глаз домена.
Фишеры атакуют все функции, касающиеся работы пользователя с интернет-адресами. Так, пользователям свойственно вводить адреса сайтов — имена доменов, вручную набирая их в адресной строке браузера. При этом пользователь может сделать опечатку. За доменами-опечатками охотятся не только так называемые тайпсквоттеры, но и фишеры.
Некоторые владельцы раскрученных торговых марок и посещаемых ресурсов щепетильно относятся к доменам-опечаткам, заранее регистрируя их на себя. Другие, видимо, из-за недопонимания проблемы упускают момент, отдавая опечатки охотникам за доменами. Уходят домены-опечатки даже от известных ИТ-компаний, чей бизнес прямо связан с Интернетом.
Например, в управлении у российской компании 1С-Битрикс находится домен bitrix, под которым размещен сайт известной в Рунете коммерческой системы управления сайтами (CMS) Битрикс. При этом очевидный домен-опечатка biRTix (из-за особенностей зрительного восприятия текста при беглом чтении этот домен неотличим от оригинала; перестановка специально выделена буквами) управляется вовсе не 1С-Битрикс (по состоянию на 2008 год). Другой пример компания Яндекс запустила сервис для веб-мастеров под доменом webmaster.yandex. Менеджеры компании, прежде чем публично объявлять о запуске нового сервиса, не позаботились о перехвате тайпсквоттерских доменов.
В результате очевидное доменное имя с опечаткой webmasteryandex (без точки) оказалось под управлением опытных домейнеров, сейчас под ним размещается что-то вроде поисковой системы. Рост тайпсквоттерской активности в приобретении доменов наблюдается регулярно, как только какой-то новый (или не очень новый) интернет-проект вдруг обретает большую популярность. Например, как только в 2006-2007 годах набрал популярность проект Одноклассники, размещенный под доменом odnoklassniki, тут же началась регистрация десятков доменов-опечаток, например odnoklasniki, odnolkassniki, ondokLassniki и т. п.
Все эти опечатки могут так или иначе использоваться фишерами. Не обязательно для прямых атак. Возможны многоступенчатые схемы сначала пользователя заманивают на домен-опечатку, выдавая размещенный там поддельный сайт за настоящий; далее пользователю предлагают перейти по той или иной ссылке, ведущей на внешний ресурс. Поскольку пользователь полагает, будто находится на сайте известной ИТ-компании, ему будет значительно легче обмануться и, особенно не задумываясь, перейти по рекомендуемой ссылке на ресурс фишера, например, изображающий официальный интернет-магазин той самой ИТ-компании.
Администратор домена должен принимать во внимание элемент подделки сайтов, особенно если речь идет о работе с важной пользовательской информацией, применять специальные дополнительные средства авторизации, позволяющие посетителю проверить достоверность сайта. Тем более что такие средства есть. Это системы SSL-сертификатов.
SSL-сертификаты, используя криптографические методы, позволяют браузеру клиента проверить с привлечением независимых центров доверия, что сайт, с которым браузер соединяется, действительно является тем, за который себя выдает, и действительно размещен под указанным в адресной строке доменом.
Рассмотрение систем подобной сертификации сайтов выходит за рамки данной статьи. Отмечу только, что сертификат должен быть размещен на защищаемом сайте, а процедура генерации сертификата должна сделать его копирование весьма затруднительным (можно сказать, нереальным) для злоумышленников. Впрочем, SSL-сертификаты лишь затрудняют деятельность по введению посетителей атакуемого сайта в заблуждение, но не делают ее невозможной.
В заключение этой статьи еще раз подчеркну, что существенным подспорьем в решении проблем безопасности, очень актуальных для банковских сайтов и сайтов платежных систем, является заблаговременная регистрация всевозможных доменов-опечаток.
Доменные имена давно превратились в важный инструмент бизнеса. Нередки случаи, когда доменное имя представляет собой единственный действительно ценный ресурс той или иной коммерческой компании, а потеря домена эквивалентна потере всего бизнеса. Вокруг доменов возникают серьезные и весьма сложные в юридическом смысле судебные процессы. Некоторые из них, несмотря на кажущуюся очевидность, могут тянуться годами. Так, например, разбирательства вокруг домена kamaz, зарегистрированного и использовавшегося частным лицом, а не известным на весь мир российским автопроизводителем, продолжались почти десять лет. Правда, в результате домен достался автозаводу.
Покупайте путешествия он-лайн