Фишинг

редактировать
Попытка получить конфиденциальную информацию, выдавая себя за надежную организацию Пример фишингового электронного письма, замаскированного под официальное электронное письмо от (вымышленного) банка. Отправитель пытается обманом заставить получателя раскрыть конфиденциальную информацию, «подтверждая» ее на веб-сайте фишера. Обратите внимание на орфографическую ошибку в полученных словах и несоответствие полученного и несоответствие соответственно. Хотя URL-адрес веб-страницы банка кажется допустимым, гиперссылка указывает на веб-страницу фишера.

Фишинг - это попытка мошенничества получить конфиденциальную информацию или данные, такие как имена пользователей, пароли и другие данные, замаскировавшись под надежную организацию в электронном сообщении. Обычно осуществляется с помощью спуфинга электронной почты, обмена мгновенными сообщениями и текстовых сообщений, фишинг часто побуждает пользователей вводить личную информацию на поддельном веб-сайте, который соответствует внешний вид законного сайта.

Фишинг - это пример методов социальной инженерии, используемых для обмана пользователей. Пользователи соблазняются сообщениями, которые якобы исходят от доверенных лиц, таких как социальные сети, аукционные сайты, банки, коллеги / руководители, процессоры онлайн-платежей или ИТ-администраторы..

Попытки справиться с фишинговыми инцидентами включают законодательство, обучение пользователей, повышение осведомленности общественности и технические меры безопасности (последние из-за фишинговых атак, часто использующих слабые места в текущей веб-безопасности).

Слово создано как омофон и сенсационное написание слова fishing под влиянием фрикинга.

Содержание
  • 1 Типы
    • 1.1 Spear phishing
    • 1.2 Whaling
    • 1.3 Catphishing и catfishing
    • 1.4 Clone phishing
    • 1.5 Голосовой фишинг
    • 1.6 SMS-фишинг
  • 2 Методы
    • 2.1 Манипуляции со ссылками
    • 2.2 Уклонение от фильтров
    • 2.3 Подделка веб-сайтов
    • 2.4 Скрытое перенаправление
    • 2.5 Социальная инженерия
    • 2.6 Другие методы
  • 3 История
    • 3.1 1980-е годы
    • 3.2 1990-е годы
      • 3.2.1 Ранний фишин AOL g
    • 3.3 2000-е
    • 3.4 2010-е
  • 4 Антифишинг
    • 4.1 Обучение пользователей
    • 4.2 Технические подходы
      • 4.2.1 Фильтрация фишинговых писем
      • 4.2.2 Браузеры, предупреждающие пользователей о мошеннические веб-сайты
      • 4.2.3 Добавление пароля для входа в систему
      • 4.2.4 Мониторинг и удаление
      • 4.2.5 Проверка и подписание транзакции
      • 4.2.6 Многофакторная аутентификация
      • 4.2.7 Редактирование содержимого электронной почты
      • 4.2.8 Ограничения технических ответов
    • 4.3 Юридические ответы
  • 5 См. Также
  • 6 Ссылки
  • 7 Внешние ссылки
Типы

Spear phishing

Попытки фишинга, направленные на конкретных лиц или компании, известны как целевой фишинг. В отличие от массового фишинга злоумышленники с целевым фишингом часто собирают и используют личную информацию о своей цели, чтобы увеличить вероятность успеха.

Первое исследование социального фишинга, типа целевой фишинг-атаки, использующей информацию о дружбе из социальных сетей. сетей, показали более 70% успешных экспериментов.

Внутри организаций целевой фишинг нацелен на сотрудников, обычно руководителей или сотрудников финансовых отделов, имеющих доступ к финансовым данным.

Threat Group-4127 (Fancy Bear) использовала тактику целевого фишинга для нацеливания на учетные записи электронной почты, связанные с президентской кампанией Хиллари Клинтон в 2016 году. Они атаковали более 1800 аккаунтов Google и внедрили домен accounts-google.com, чтобы угрожать целевым пользователям.

Китобойный промысел

Под термином китобойный промысел подразумевается для целенаправленных фишинговых атак, направленных конкретно на руководителей высшего звена и других высокопоставленных целей. В таких случаях контент будет ориентирован на руководителя высшего звена и его роль в компании. Содержание электронного письма о китобойной атаке может быть административным вопросом, таким как повестка в суд или жалоба клиента.

Кетфишинг и кетфишинг

Катфишинг (пишется с помощью «ph») представляет собой тип онлайн-обмана, который включает в себя близкое знакомство с кем-либо, чтобы получить доступ к информации или ресурсам, обычно находящимся под контролем знака, или иным образом получить контроль над поведением цели.

Кетфишинг (пишется с буквой «f»), похожая, но отличная от других концепция, подразумевает, что человек создает социальную сеть в качестве марионетки в носке или вымышленного человека в чтобы завлечь кого-то (обычно) романтическими отношениями. Обычно это начинается в Интернете, с надежды или обещания перерасти в реальный роман. Это никогда не является целью преступника; как правило, он стремится получить доступ к деньгам или ресурсам марки или получить подарки или иное вознаграждение от жертвы. Иногда это может быть форма самоуправления для привлечения внимания.

Клонирование фишинга

Клонирование фишинга - это тип фишинговой атаки, при которой законное и ранее доставленное электронное письмо, содержащее вложение или ссылка имеет содержание и адрес (а) получателя и используется для создания почти идентичного или клонированного электронного письма. Вложение или ссылка в электронном письме заменяется вредоносной версией, а затем отправляется с поддельного адреса электронной почты, который выглядит как исходящий от исходного отправителя. Он может утверждать, что является повторной отправкой оригинала или обновленной версии оригинала. Обычно для этого требуется, чтобы отправитель или получатель были ранее взломаны, чтобы третья сторона-злоумышленник могла получить законную электронную почту.

Голосовой фишинг

Не для всех фишинговых атак требуется поддельный веб-сайт. В сообщениях, которые якобы были отправлены из банка, пользователям предлагалось набрать номер телефона по поводу проблем с их банковскими счетами. После набора номера телефона (принадлежащего фишеру и предоставленного службой передачи голоса по IP ) пользователям предлагается ввести номера своих учетных записей и PIN-код. Вишинг (голосовой фишинг) иногда использует поддельные данные идентификатора вызывающего абонента, чтобы создать впечатление, что звонки поступают из доверенной организации.

SMS-фишинг

SMS-фишинг или smishing использует текстовые сообщения мобильного телефона, чтобы доставить приманку, чтобы побудить людей раскрыть свою личную информацию. Smishing-атаки обычно предлагают пользователю щелкнуть ссылку, позвонить по номеру телефона или связаться с адресом электронной почты, предоставленным злоумышленником в SMS-сообщении. Затем жертве предлагается предоставить свои личные данные; часто учетные данные для других веб-сайтов или служб. Кроме того, из-за особенностей мобильных браузеров URL-адреса могут отображаться не полностью; это может затруднить идентификацию незаконной страницы входа в систему. Поскольку рынок мобильных телефонов сейчас перенасыщен смартфонами, у всех есть быстрое подключение к Интернету, вредоносная ссылка, отправленная через SMS, может дать тот же результат, что и при отправке через электронную почту. Шутливые сообщения могут поступать с телефонных номеров в странном или неожиданном формате.

В июне 2018 года Orange County Агентство социальных услуг (SSA) предупредило жителей о мошенничестве с текстовыми сообщениями, которое пытается получить информацию о держателях карт клиентов CalWORKs, CalFresh и General Relief по всей Калифорнии.

Методы

Манипуляции со ссылками

Большинство видов фишинга используют те или иные формы технического обмана, предназначенные для ссылка в электронном письме (и поддельный веб-сайт, на который она ведет), по всей видимости, принадлежит поддельной организации. Ошибки в написании URL-адресов или использование из поддоменов - распространенные уловки, используемые фишерами. В следующем примере URL-адреса, http://www.yourbank.example.com/, похоже, что URL-адрес приведет вас в раздел примеров на веб-сайте yourbank; на самом деле этот URL указывает на раздел yourbank (т.е. фишинг) на примере веб-сайта. Другой распространенный прием - сделать так, чтобы отображаемый текст ссылки (текст между тегами ) предлагал надежное место назначения, когда ссылка фактически ведет на сайт фишеров. Многие почтовые клиенты для настольных ПК и веб-браузеры будут отображать целевой URL-адрес ссылки в строке состояния при наведении на нее мыши. Однако в некоторых случаях такое поведение может быть отменено фишером. Эквивалентные мобильные приложения обычно не имеют этой функции предварительного просмотра.

Интернационализированные доменные имена (IDN) могут быть использованы с помощью спуфинга IDN или атак с использованием гомографа для создания веб-адресов, визуально идентичных законному сайту, что вместо этого приводит к вредоносному версия. Фишеры воспользовались аналогичным риском, используя открытые перенаправители URL на веб-сайтах доверенных организаций, чтобы замаскировать вредоносные URL-адреса с помощью доверенного домена. Даже цифровые сертификаты не решают эту проблему, потому что фишер вполне может приобрести действующий сертификат и впоследствии изменить контент для подделки подлинного веб-сайта или разместить фишинговый сайт вообще без SSL.

Уклонение от фильтров

Иногда фишеры использовали изображения вместо текста, чтобы антифишинговые фильтры затрудняли обнаружение текста, обычно используемого в фишинговых письмах. В ответ более сложные антифишинговые фильтры могут восстанавливать скрытый текст на изображениях с помощью оптического распознавания символов (OCR).

Чтобы избежать антифишинговых методов, которые сканируют веб-сайты на предмет фишинга. текста, фишеры иногда используют Adobe Flash (метод, известный как флеширование). Они очень похожи на настоящий веб-сайт, но скрывают текст в мультимедийном объекте.

Подделка веб-сайта

Некоторые фишинговые мошенники используют команды JavaScript для изменения адресная строка веб-сайта, на который они ведут. Это делается либо путем размещения изображения допустимого URL-адреса в адресной строке, либо путем закрытия исходной панели и открытия новой с допустимым URL-адресом.

Злоумышленник также потенциально может использовать уязвимости в доверенном собственные скрипты сайта против жертвы. Эти типы атак, известные как межсайтовый скриптинг (XSS), особенно проблематичны, поскольку они заставляют пользователя войти в систему на собственной веб-странице своего банка или службы, где все с веб-адреса к сертификатам безопасности кажется правильным. На самом деле ссылка на веб-сайт создана для проведения атаки, поэтому ее очень сложно обнаружить без специальных знаний. Такой недостаток был использован в 2006 году против PayPal.

Скрытое перенаправление

Скрытое перенаправление - это тонкий метод выполнения фишинговых атак, который заставляет ссылки выглядеть законными, но фактически перенаправляет жертву на веб-сайт злоумышленника. Ошибка обычно маскируется под всплывающим окном входа в систему на основе домена затронутого сайта. Это может повлиять на OAuth 2.0 и OpenID на основе хорошо известных параметров эксплойта. При этом часто используются открытые перенаправления и уязвимости XSS на веб-сайтах сторонних приложений. Пользователи также могут быть перенаправлены на фишинговые веб-сайты скрытно через вредоносные расширения браузера.

Обычные попытки фишинга легко обнаружить, потому что URL-адрес вредоносной страницы обычно отличается от реальной ссылки на сайт. Для скрытого перенаправления злоумышленник может вместо этого использовать настоящий веб-сайт, повредив его с помощью вредоносного всплывающего диалогового окна входа в систему. Это отличает скрытое перенаправление от других.

Например, предположим, что жертва нажимает вредоносную фишинговую ссылку, начинающуюся с Facebook. Всплывающее окно от Facebook спросит, хочет ли жертва авторизовать приложение. Если жертва решит авторизовать приложение, злоумышленнику будет отправлен «токен», и личная конфиденциальная информация жертвы может быть раскрыта. Эта информация может включать адрес электронной почты, дату рождения, контакты и историю работы. Если «токен» имеет более высокие привилегии, злоумышленник может получить более конфиденциальную информацию, включая почтовый ящик, присутствие в сети и список друзей. Что еще хуже, злоумышленник может контролировать и управлять учетной записью пользователя . Даже если жертва не решает авторизовать приложение, она по-прежнему будет перенаправлена ​​на веб-сайт, контролируемый злоумышленником. Это потенциально может дополнительно скомпрометировать жертву.

Эту уязвимость обнаружил Ван Цзин, доктор математики.D. Студент школы физико-математических наук Технологического университета Наньян в Сингапуре. Скрытое перенаправление является заметным недостатком безопасности, хотя и не представляет угрозы для Интернета, заслуживающей особого внимания.

Социальная инженерия

Пользователи могут быть поощрены нажимать на различные виды неожиданного содержания по разным техническим и социальным причинам. Например, вредоносное вложение может маскироваться под безобидную ссылку Документ Google.

В качестве альтернативы пользователь s могут быть возмущены фейковыми новостями, щелкнуть ссылку и заразиться.

Другие методы

  • Другая успешная атака - перенаправить клиента на законный веб-сайт банка, а затем для размещения всплывающего окна с запросом учетных данных вверху страницы таким образом, чтобы многие пользователи думали, что банк запрашивает эту конфиденциальную информацию.
  • Tabnabbing использует преимущества просмотра с вкладками с несколькими открытыми вкладками. Этот метод незаметно перенаправляет пользователя на уязвимый сайт. Этот метод работает в обратном направлении по сравнению с большинством методов фишинга, поскольку он не ведет пользователя напрямую на мошеннический сайт, а вместо этого загружает поддельную страницу в одну из открытых вкладок браузера.
История

1980-е годы

Техника фишинга подробно описана в документе и презентации, представленных Международной группе пользователей HP 1987 года, Interex.

1990-е годы

Термин «фишинг» "был придуман известным спамером и хакером в середине 90-х. Первое зарегистрированное упоминание этого термина встречается в хакерском инструменте AOHell (по словам его создателя), который включает функцию попытки кражи паролей или финансовых данных пользователей America Online.

Ранний фишинг AOL

Фишинг на AOL был тесно связан с сообществом warez, которое обменивалось нелицензионным программным обеспечением и черной шляпой сцена взлома, в ходе которого было совершено мошенничество с кредитными картами и другие преступления в Интернете. Правоприменение AOL обнаружит слова, используемые в чатах AOL для приостановки аккаунтов лиц, причастных к подделке программного обеспечения и торговле украденными аккаунтами. Этот термин был использован потому, что «<><" is the single most common tag of HTML that was found in all chat transcripts naturally, and as such could not be detected or filtered by AOL staff. The symbol <>< was replaced for any wording that referred to stolen credit cards, accounts, or illegal activity. Since the symbol looked like a fish, and due to the popularity of фрикинг он был адаптирован как« фишинг ». AOHell, выпущенная в начале 1995 года, была программой, разработанной для взлома пользователей AOL, позволяя злоумышленнику выдавать себя за Сотруднику AOL, и отправьте мгновенное сообщение потенциальной жертве с просьбой раскрыть свой пароль. Чтобы заставить жертву отказаться от конфиденциальной информации, сообщение может включать в себя такие императивы, как «подтвердите свою учетную запись. "или" подтвердить платежную информацию ".

После того, как жертва раскрыла пароль, злоумышленник мог получить доступ к учетной записи жертвы и использовать ее в мошеннических целях. Как для фишинга, так и для варазинга на AOL обычно требовались специально написанные программы, такие как AOHell. Фишинг стал настолько распространенным в AOL, что они добавили строку во все мгновенные сообщения, в которой говорилось: «Никто, работающий в AOL, не будет запрашивать ваш пароль или платежную информацию». Пользователь, использующий как учетную запись AIM, так и Учетная запись AOL от интернет-провайдера одновременно может фишинговать членов AOL с соответствующими Безнаказанность, поскольку интернет-аккаунты AIM могли использоваться не членами AOL в интернете, и к ним нельзя было применить какие-либо меры (например, сообщить в отдел TOS AOL для принятия дисциплинарных мер). В конце 1995 года взломщики AOL прибегли к фишингу для легальных аккаунтов после того, как AOL ввела принятые в конце 1995 года меры по предотвращению использования поддельных, созданных алгоритмически, для открытия счетов. В конце концов, политика AOL вынудила нарушить авторские права на серверах AOL, и AOL незамедлительно деактивировала учетные записи, участвующие в фишинге, часто до того, как жертвы успевали ответить. Отключение варез-сцены на AOL заставило большинство фишеров покинуть сервис.

2000-е годы

  • 2001
  • 2003
    • Первый известный фишинг The Banker сообщил об атаке на розничный банк в сентябре 2003 года.
  • 2004
    • По оценкам, с мая 2004 года по май 2005 года примерно 1,2 миллиона пользователей компьютеров в Соединенных Штатах понесла убытки в результате фишинга на общую сумму около 929 миллионов долларов США. Предприятия США теряют примерно 2 миллиарда долларов США в год, поскольку их клиенты становятся жертвами.
    • Фишинг считается полностью организованной частью черного рынка. В глобальном масштабе появились специализации, которые предоставляли фишинговое программное обеспечение для платежей (тем самым передавая риски на аутсорсинг), которые собирались и внедрялись в фишинговые кампании организованными бандами.
  • 2005
    • В Соединенном Королевстве убытки от Интернета банковское мошенничество - в основном из-за фишинга - почти удвоилось до 23,2 млн фунтов стерлингов в 2005 году по сравнению с 12,2 млн фунтов стерлингов в 2004 году, а каждый 20-й компьютерный пользователь заявил, что проиграл фишингу в 2005 году.
  • 2006
    • Почти половина фишинговых краж в 2006 году совершали группы, действующие через Русскую Деловую Сеть, базирующуюся в Санкт-Петербурге. Петербург.
    • Банки спорят с клиентами из-за потерь от фишинга. Позиция банковского органа Великобритании APACS заключается в том, что «клиенты также должны принимать разумные меры предосторожности... чтобы они не были уязвимы для преступников». Точно так же, когда первая волна фишинговых атак поразила банковский сектор Ирландской Республики в сентябре 2006 года, Банк Ирландии первоначально отказался покрывать убытки, понесенные его клиентами, хотя убытки составили евро 113 000 были исправлены.
    • Фишеры атакуют клиентов банков и онлайн-платежных систем. Электронные письма, предположительно от Налоговой службы, использовались для сбора конфиденциальных данных от налогоплательщиков США. Хотя первые такие примеры были отправлены без разбора в ожидании того, что некоторые из них будут получены клиентами определенного банка или службы, недавнее исследование показало, что фишеры в принципе могут определять, какие банки используют потенциальные жертвы, и соответственно нацеливать поддельные электронные письма.
    • Сайты социальных сетей являются основной целью фишинга, поскольку личные данные на таких сайтах могут использоваться для кражи личных данных ; в конце 2006 г. компьютерный червь захватил страницы на MySpace и изменил ссылки для прямых пользователей веб-сайтов, предназначенных для кражи данных для входа в систему.
  • 2007
    • 3,6 миллиона взрослых потеряли 3,2 доллара США. миллиардов за 12 месяцев, закончившихся в августе 2007 года. Microsoft утверждает, что эти оценки сильно преувеличены и оценивает ежегодные потери от фишинга в США в 60 миллионов долларов США.
    • Злоумышленники, взломавшие TD Ameritrade ' s и взяли 6,3 миллиона адресов электронной почты (хотя они не смогли получить номера социального страхования, номера счетов, имена, адреса, даты рождения, номера телефонов и торговую активность), также хотели имена пользователей и пароли учетных записей, поэтому они запустили последующую целевую фишинговую атаку.
  • 2008
    • Сайт обмена файлами RapidShare был атакован фишингом для получения премиум-аккаунта, который снимает ограничения скорости загрузки, автоматически удаление загрузок, ожидание загрузок и время охлаждения между загрузками.
    • Криптовалюты, такие как Биткойн способствует продаже вредоносного программного обеспечения, делая транзакции безопасными и анонимными.
  • 2009
    • В январе 2009 года фишинговая атака привела к несанкционированным электронным переводам на сумму 1,9 миллиона долларов США через Experi-Metal. учетные записи онлайн-банкинга.
    • В 3 квартале 2009 года рабочая группа по борьбе с фишингом сообщила о получении 115 370 сообщений о фишинге по электронной почте от потребителей, из которых более 25% фишинговых страниц размещено в США и Китае.

2010-е

Уникальные отчеты о фишинге по годам
ГодКампании
2005173,063
2006268,126
2007327,814
2008335,965
2009412,392
2010313,517
2011284,445
2012320,081
2013491,399
2014704,178
20151,413,978
  • 2011
    • В марте 2011 года сотрудники внутреннего RSA успешно подверглись фишингу, в результате чего были украдены главные ключи для всех токенов безопасности RSA SecureID, которые впоследствии были использованы для взлома. в поставщиков оборонных услуг США. 172>
    • Китайские фишинговые кампании были нацелены на аккаунты Gmail высокопоставленных чиновников правительства и вооруженных сил США и Южной Кореи, а также китайских политических активистов.
  • 2012
    • По словам Гоша, было «445 004 атаки в 2012 по сравнению с 258 461 в 2011 и 187 203 в 2010 ».
  • 2013
    • В августе 2013 года рекламный сервис Outbrain подвергся целевой фишинг-атаке, и SEA разместила перенаправления на веб-сайты The Washington Post, Time и CNN.
    • В октябре 2013 года электронные письма якобы от American Express были отправлены неизвестному количеству получателей.
    • В ноябре 2013 года 110 миллионов клиентов а записи о кредитных картах были украдены у клиентов Target через фишинговую учетную запись субподрядчика. Впоследствии генеральный директор и сотрудники службы ИТ-безопасности были уволены.
    • К декабрю 2013 года Cryptolocker вымогатели заразили 250 000 компьютеров. Согласно Dell SecureWorks, 0,4% или более зараженных, вероятно, согласились с требованием выкупа.
  • 2014
    • В январе 2014 года исследовательская лаборатория Seculert обнаружила новую целевую атаку с использованием Xtreme КРЫСА. В этой атаке использовались электронные письма целевого фишинга для нацеливания на израильские организации и развертывания передового вредоносного ПО. Было взломано 15 машин, в том числе принадлежащие Гражданской администрации Иудеи и Самарии.
    • . В августе 2014 года было установлено, что утечка фотографий знаменитостей из iCloud была основана на фишинговых электронных письмах, отправленных на адрес жертвы, которые выглядели так, как будто пришли из Apple или Google, предупреждали жертв о том, что их учетные записи могут быть скомпрометированы, и запрашивали данные их учетных записей.
    • В ноябре 2014 года фишинговые атаки на ICANN получили административный доступ в централизованную систему данных зоны; также были получены данные о пользователях в системе и доступ к вики-странице, блогу и информационному порталу Whois Правительственного консультативного комитета ICANN.
  • 2015
    • Чарльз Х. Экклстон признал себя виновным в попытке целевого фишинга, когда он попытался заразить компьютеры 80 сотрудников Министерства энергетики.
    • Элиот Хиггинс и другие журналисты, связанные с Bellingcat, группой, расследующей сбитие рейса 17 Малазийских авиалиний над Украиной, стали целью многочисленные электронные письма с целевым фишингом.
    • В августе 2015 года Cozy Bear была связана с фишинговым кибератакой против Пентагона электронная почта, что привело к отключению всей несекретной системы электронной почты Объединенного штаба и доступа к Интернету во время расследования.
    • В августе 2015 года Fancy Bear применила эксплойт нулевого дня Java, в рамках целевой фишинг-атаки подмены Electronic Frontier Foundation и организации атак на Белый дом и НАТО.
  • 2016
  • В феврале австрийская аэрокосмическая компания FACC AG была украдена на 42 миллиона евро (47 миллионов долларов) в результате атаки BEC - и впоследствии уволила и финансового директора, и главного исполнительного директора.
    • Fancy Bear провела целевые фишинговые атаки на адреса электронной почты, связанные с Национальным комитетом Демократической партии, в первом квартале 2016 года.
    • The Wichita Eagle сообщила, что «сотрудники KU становятся жертвами фишинга. мошенничество, потеря зарплаты "
    • Fancy Bear подозревается в организации целевого фишинга атаки в августе 2016 года на членов Бундестага и нескольких политических партий, таких как Лидер фракции Linken Сахра Вагенкнехт, Junge Union и ХДС из Саар.
    • В августе 2016 года Всемирное антидопинговое агентство сообщило о получении фишинговых писем, разосланных пользователям его базы данных, которые утверждали, что они являются официальным WADA, но соответствуют данным российской хакерской группы Fancy Bear. По данным ВАДА, некоторые из данных, опубликованных хакерами, были сфальсифицированы.
    • Через несколько часов после результатов выборов в США в 2016 году российские хакеры отправили электронные письма из поддельного Гарвардского университета адреса электронной почты с использованием методов, аналогичных фишингу, для публикации фейковых новостей, нацеленных на обычных американских избирателей.
  • 2017
    • В 2017 году 76% организаций подверглись фишинговым атакам. Почти половина опрошенных специалистов по информационной безопасности заявили, что количество атак увеличилось с 2016 года.
    • В первой половине 2017 года компании и жители Катара подверглись более чем 93 570 фишинговым атакам за трехмесячный период.
    • Фишинговое письмо, отправленное пользователям Google и Facebook, успешно побудило сотрудников перевести деньги - в размере 100 миллионов долларов США - на счета в зарубежных банках, находящихся под контролем хакера. С тех пор он был арестован Министерством юстиции США.
    • В августе 2017 года клиенты Amazon столкнулись с фишинг-атакой Amazon Prime Day, когда хакеры рассылали клиентам Amazon, казалось бы, законные сделки. Когда клиенты Amazon пытались совершить покупки с использованием «сделок», транзакция не могла быть завершена, что побуждало клиентов розничного продавца ввести данные, которые могли быть скомпрометированы или украдены.
  • 2018
    • В 2018 году компания block.one, который разработал блокчейн EOS.IO, был атакован фишинговой группой, которая рассылала фишинговые письма всем клиентам с целью перехвата ключа криптовалютного кошелька пользователя; а более поздняя атака была нацелена на токены airdrop.
Общее количество полученных уникальных отчетов (кампаний) о фишинге, согласно APWG
ГодЯнвФевмарапрмайиюниюлавгсенОктябрьноядекабрьВсего
200512,84513,46812,88314,41114,98715,05014,13513,77613,56215,82016,88215,244173,063
200617,87717,16318,48017,49020,10928,57123,67026,15022,13626,87725,81623,787268,126
200729,93023,61024,85323,65623,41528,88823,91725,62438,51431,65028,07425 683327 814
200829,28430,71625,63024,92423,76228,15124,00733,92833,26134,75824,35723,187335,965
200934,58831,29830,12535,28737,16535,91834,68340,62140,06633,25430,49028,897412,392
201029,49926,90930,57724,66426,78133,61726,35325,27322,18823,61923,01721,020313,517
201123,5352501826,40220,90822,19522,27324,12923,32718,38819,60625,68532,979284,445
201225,44430,23729,76225,85 033,46424,81130,95521,75121,68423,36524,56328,195320,081
201328,85025,38519,89220,08618,29738,10061,45361,79256,76755,24153,04752,489491,399
201453,98456,88360,92557,73360,80953,25955,28254,39053,66168,27066,21762,765704,178
201549,60855,795115,808142,099149,616125,757142,155146,439106,421194,499105,23380,5481,413,978
201699,384229,315229,265121,02896,49098,00693,16066,16669,92551,15364,32495,5551,313,771
201796,148100,932121,86087,45393,28592,65799,02499,17298,01261,32286,54785,7441,122,156
201889,25089,01084,4449105482,54790,88293,07889,32388,15687,61964,90587,3861,040,654
201934,63035,36442,39937,05440,17734,93235,53040,45742,27345 05742 42445 072475 369

«Отчеты APWG о тенденциях фишинговых атак». Проверено 5 мая 2019 г.

Антифишинг

Существуют антифишинговые веб-сайты, которые публикуют точные сообщения, которые недавно циркулировали в Интернете, такие как FraudWatch International и Millersmiles. Такие сайты часто предоставляют конкретную информацию о конкретных сообщениях.

Еще в 2007 году применение антифишинговых стратегий компаниями, которым необходимо защищать личную и финансовую информацию, было низким. Сейчас существует несколько различных методов борьбы с фишингом, в том числе законодательство и технологии, разработанные специально для защиты от фишинга. Эти методы включают шаги, которые могут быть предприняты как отдельными лицами, так и организациями. Теперь о фишинге по телефону, веб-сайту и электронной почте можно сообщать властям, как описано ниже.

Обучение пользователей

Кадр из анимационного ролика Федеральной торговой комиссии США, предназначенный для ознакомления граждан с тактикой фишинга.

Людей можно научить распознавать попытки фишинга и бороться с ними с помощью различных подходов. Такое обучение может быть эффективным, особенно в тех случаях, когда при обучении делается упор на концептуальные знания и обеспечивается прямая обратная связь.

Многие организации проводят регулярные смоделированные фишинговые кампании, нацеленные на своих сотрудников, чтобы измерить эффективность их обучения.

Люди могут принять меры, чтобы избежать попыток фишинга, слегка изменив свои привычки просмотра. При обращении к учетной записи, требующей «верификации» (или по любой другой теме, используемой фишерами), разумной мерой предосторожности является обращение в компанию, от которой, по-видимому, исходит электронное письмо, чтобы проверить его подлинность. В качестве альтернативы адрес, который, как известно, является подлинным веб-сайтом компании, можно ввести в адресную строку браузера, вместо того, чтобы доверять каким-либо гиперссылкам в подозрительном фишинговом сообщении.

Практически все законные сообщения электронной почты от компаний своим клиентам содержат элемент информации, недоступный для фишеров. Некоторые компании, например PayPal, всегда обращаются к своим клиентам по имени пользователя в электронных письмах, поэтому, если электронное письмо обращается к получателю в общем виде («Уважаемый клиент PayPal»), это, скорее всего, попытка фишинга.. Кроме того, PayPal предлагает различные методы для определения поддельных электронных писем и рекомендует пользователям пересылать подозрительные электронные письма на свой домен [email#160;protected] для расследования и предупреждения других клиентов. Однако небезопасно предполагать, что наличие личной информации само по себе гарантирует, что сообщение является законным, и некоторые исследования показали, что наличие личной информации существенно не влияет на вероятность успеха фишинговых атак; что говорит о том, что большинство людей не обращает внимания на такие детали.

Электронные письма от банков и компаний, выпускающих кредитные карты, часто включают частичные номера счетов. Однако недавнее исследование показало, что публика обычно не различает первые несколько цифр и несколько последних цифр номера счета - серьезная проблема, поскольку первые несколько цифр часто совпадают для всех клиентов финансового учреждения.

Рабочая группа по борьбе с фишингом регулярно публикует отчеты о тенденциях в области фишинговых атак.

Google опубликовал видео, демонстрирующее, как идентифицировать себя и защитить себя от фишинговых атак.

Технические подходы

Доступен широкий спектр технических подходов для предотвращения фишинговых атак, доходящих до пользователей, или для предотвращения их успешного перехвата конфиденциальной информации.

Фильтрация фишинговых писем

Специализированные спам-фильтры могут уменьшить количество фишинговых писем, доходящих до почтовых ящиков адресатов. В этих фильтрах используется ряд методов, включая подходы машинного обучения и обработки естественного языка для классификации фишинговых писем и отклонения писем с поддельными адресами.

Браузеры предупреждают пользователей о мошенничестве веб-сайты

Снимок экрана Firefox 2.0.0.1 Предупреждение о подозрительном фишинговом сайте

Еще один популярный подход к борьбе с фишингом - это ведение списка известных фишинговых сайтов и проверка веб-сайтов по этому списку. Одной из таких услуг является служба Безопасный просмотр. Веб-браузеры, такие как Google Chrome, Internet Explorer 7, Mozilla Firefox 2.0, Safari 3.2 и Opera все содержат этот тип мер защиты от фишинга. Firefox 2 использовал Google антифишинговое программное обеспечение. Opera 9.1 использует живые черные списки из Phishtank, cyscon и GeoTrust, а также живые белые списки от GeoTrust. Некоторые реализации этого подхода отправляют посещенные URL-адреса в центральную службу для проверки, что вызывает опасения по поводу конфиденциальности. Согласно отчету Mozilla в конце 2006 г., Firefox 2 оказался более эффективным, чем Internet Explorer 7 при обнаружении мошеннических сайтов в исследовании, проведенном независимой компанией по тестированию программного обеспечения.

Подход Представленный в середине 2006 года, включает переключение на специальную службу DNS, которая фильтрует известные фишинговые домены: это будет работать с любым браузером и в принципе аналогично использованию файла hosts для блокировки веб-рекламы.

Чтобы уменьшить проблему фишинговых сайтов, выдающих себя за сайт-жертву путем встраивания его изображений (например, логотипов), несколько владельцев сайтов изменили изображения, чтобы сообщить посетителю о том, что сайт может быть мошенническим. Изображение может быть перемещено в новое имя файла и исходное постоянное y заменен, или сервер может определить, что изображение не запрашивалось при обычном просмотре, и вместо этого отправить предупреждающее изображение.

Пополнение пароля для входа в систему

The Bank of America - один из нескольких веб-сайтов, который просит пользователей выбрать личное изображение (продается как SiteKey ) и отображает это выбранное пользователем изображение с любыми формами, запрашивающими пароль. Пользователям онлайн-сервисов банка предлагается вводить пароль, только когда они видят выбранное изображение. Однако несколько исследований показывают, что немногие пользователи воздерживаются от ввода своих паролей при отсутствии изображений. Кроме того, эта функция (как и другие формы двухфакторной аутентификации ) уязвима для других атак, например, от скандинавского банка Nordea в конце 2005 года и Citibank. в 2006 году.

Подобная система, в которой автоматически сгенерированная «идентификационная метка», состоящая из цветного слова в цветном поле, отображается каждому пользователю веб-сайта, используется в других финансовых учреждениях.

Защитные оболочки - это связанная техника, которая включает наложение выбранного пользователем изображения на форму входа в систему в качестве визуального сигнала о том, что форма является допустимой. Однако, в отличие от схем изображений на основе веб-сайтов, само изображение используется только пользователем и браузером, а не между пользователем и веб-сайтом. Схема также основана на протоколе взаимной аутентификации, что делает ее менее уязвимой для атак, затрагивающих схемы аутентификации только для пользователей.

Еще один метод основан на динамической сетке изображений, которая различается для каждой попытки входа в систему. Пользователь должен идентифицировать изображения, которые соответствуют заранее выбранным им категориям (например, собаки, автомобили и цветы). Только после того, как они правильно определили изображения, соответствующие их категориям, им разрешается вводить буквенно-цифровой пароль для завершения входа в систему. В отличие от статических изображений, используемых на веб-сайте Bank of America, метод аутентификации на основе динамических изображений создает одноразовый пароль для входа в систему, требует активного участия пользователя и очень сложно правильно воспроизвести фишинговый веб-сайт, поскольку он может необходимо отображать другую сетку случайно сгенерированных изображений, которая включает секретные категории пользователя.

Мониторинг и удаление

Некоторые компании круглосуточно предлагают банкам и другим организациям, которые могут пострадать от фишинговых атак. сервисы для мониторинга, анализа и помощи в закрытии фишинговых сайтов. Частные лица могут внести свой вклад, сообщая о фишинге как волонтерам, так и отраслевым группам, таким как cyscon или PhishTank. Частные лица также могут внести свой вклад, сообщая о попытках телефонного фишинга в Федеральную торговую комиссию по телефонному фишингу. О фишинговых веб-страницах и электронных письмах можно сообщать в Google. Доска объявлений Центра жалоб на Интернет-преступления содержит предупреждения о фишинге и программах-вымогателях.

Проверка и подписание транзакций

Также появились решения, использующие мобильный телефон (смартфон) в качестве второго канала для проверки и авторизации банковских транзакций.

Многофакторная аутентификация

Организации могут реализовать двухфакторную или многофакторную аутентификацию (MFA), при которой пользователь должен использовать не менее двух факторов при входе в систему. (Например, пользователь должен предъявить смарт-карту и пароль). Это снижает некоторый риск: в случае успешной фишинг-атаки украденный пароль сам по себе не может быть повторно использован для дальнейшего взлома защищенной системы. Однако есть несколько методов атаки, с помощью которых можно обойти многие типичные системы. Схемы MFA, такие как WebAuthn, решают эту проблему заранее.

Редактирование содержимого электронной почты

Организации, которые ставят безопасность выше удобства, могут потребовать от пользователей своих компьютеров использовать почтовый клиент, который удаляет URL-адреса из сообщений электронной почты, что делает невозможным для читателя электронной почты щелкните ссылку или даже скопируйте URL-адрес. Хотя это может вызвать неудобства, это почти полностью исключает фишинговые атаки по электронной почте.

Ограничения технических ответов

В статье в Forbes в августе 2014 года утверждается, что проблема фишинга сохраняется даже после десятилетия продажи антифишинговых технологий, что фишинг является «технологическим средством для использования человеческих слабостей», и эта технология не может полностью компенсировать человеческие слабости.

Юридические ответы

Файл: Scam Watch 1280x720.ogv Воспроизвести медиа Видеоинструкция о том, как подать жалобу в Федеральный Торговая комиссия

26 января 2004 года Федеральная торговая комиссия США подала первый иск против подозреваемого в фишере. Обвиняемый, подросток из Калифорнии , якобы создал веб-страницу, похожую на веб-сайт America Online, и использовал ее для кражи информации о кредитной карте. Другие страны последовали этому примеру, отслеживая и арестовывая фишеров. Вор в законе фишинга Валдир Пауло де Алмейда был арестован в Бразилии за руководство одной из крупнейших фишинговых преступных групп, которая за два года украла от 18 до 37 миллионов долларов США. Власти Великобритании заключили в тюрьму двух мужчин в июне 2005 года за их участие в фишинге по делу, связанному с США. Секретная служба Operation Firewall, нацеленная на печально известные "кардерские" сайты. В 2006 году восемь человек были арестованы японской полицией по подозрению в мошенничестве с использованием фишинга путем создания поддельных веб-сайтов Yahoo Japan, заработав 100 миллионов йен (870 000 долларов США). Аресты продолжились в 2006 году, когда в ходе операции ФБР «Хранитель карт» была задержана банда из шестнадцати человек в США и Европе.

В США, сенатор Патрик Лихи представил в Конгресс 1 марта 2005 года. Этот закон, если бы он был принят в силу закона, подверг бы преступников, создающих поддельные сети, сайты и рассылали поддельные электронные письма, чтобы обмануть потребителей, вынудив потребителей заплатить штраф до 250 000 долларов США и тюремное заключение сроком до пяти лет. Великобритания укрепила свой правовой арсенал против фишинга с помощью Закона о мошенничестве 2006, который вводит общее преступление мошенничества, которое может повлечь за собой до десяти лет тюремного заключения, и запрещает разработку или хранение фишинговых комплектов с умыслом. для совершения мошенничества.

Компании также присоединились к усилиям по борьбе с фишингом. 31 марта 2005 г. Microsoft подала 117 федеральных исков в США. Окружной суд Западного округа Вашингтона. В судебных процессах обвиняемых "Джон Доу " обвиняются в получении паролей и конфиденциальной информации. В марте 2005 года Microsoft и правительство Австралии начали сотрудничать с правоохранительными органами, обучая их бороться с различными киберпреступлениями, включая фишинг. Microsoft объявила о запланированных дополнительных 100 судебных процессах за пределами США в марте 2006 года, после чего по состоянию на ноябрь 2006 года было возбуждено 129 судебных исков, сочетающих уголовные и гражданские иски. AOL усилила свои усилия по борьбе с фишингом в начале 2006 года тремя иски на общую сумму 18 миллионов долларов США в соответствии с поправками 2005 года к Закону о компьютерных преступлениях штата Вирджиния, и Earthlink присоединился к ним, помогая установить личность шести человек, впоследствии обвиненных в фишинговом мошенничестве в Коннектикуте.

в В январе 2007 года Джеффри Бретт Гудин из Калифорнии стал первым обвиняемым, осужденным присяжными в соответствии с положениями Закона о CAN-SPAM 2003 года. Он был признан виновным в отправке тысяч электронных писем пользователям America Online, выдавая себя за отдел биллинга AOL, который побуждал клиентов предоставлять личные данные и данные кредитной карты. Ему грозит 101 год тюремного заключения за нарушение CAN-SPAM и десять других пунктов обвинения, включая мошенничество с использованием электронных средств, несанкционированное использование кредитных карт и неправомерное использование товарного знака AOL, и он был приговорен к 70 месяцам заключения. Гудин находился под стражей с тех пор, как не явился на предыдущее судебное заседание, и сразу же начал отбывать свой тюремный срок.

См. Также
  • Юридический портал
Ссылки
  • Гош, Аюш (2013). «Seclayer: плагин для предотвращения фишинговых атак». IUP Journal of Information Technology. 9 (4): 52–64. SSRN 2467503.
Внешние ссылки
Викискладе есть медиафайлы, связанные с фишингом.
Последняя правка сделана 2021-06-02 03:50:21
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте