Расширенный

Расширенный поиск

Автор

Статьи

Фишинг: кража паролей

16.07.2015 09:37:37
Фишинг: кража паролей
Данный вид сетевого мошенничества состоит в том, чтобы заманить пользователя на поддельную страницу какого-либо сервиса (платежной системы, социальной сети, онлайн-магазина, почтового сервиса) и заставить ввести свой логин и пароль на этой поддельной странице.

Содержание статьи:

Злоумышленник, заманив пользователя на поддельную страницу какого-либо сервиса и заставив ввести свой логин и пароль на этой поддельной странице, получает доступ к вашей учетной записи в настоящем сервисе и может в дальнейшем делать с вашим аккаунтом все, что хочет: снимать деньги, писать поддельные письма вашим знакомым и т. п.

Хотя для фишинга часто используются письма-обманки, следует отличать этот способ мошенничества от обычного почтового спама, вроде «нигерийских писем». Авторы «нигерийских писем» пытаются заставить вас перевести им деньги самостоятельно. Фишинг же предполагает более изощренную технику, когда у вас не просят денег. Наоборот, вам обещают улучшить вашу безопасность.

Фишеры рассылают потенциальным жертвам письма, отправленные якобы от администрации или службы поддержки популярного онлайн-ресурса. Такие письма бывают почти неотличимы от настоящих. Чаще всего в них сообщается о какой-то проблеме, связанной с учетной записью получателя. Например:

  • «В нашем сервисе произошел сбой, возможна утечка конфиденциальных данных. В целях безопасности просим вас сменить пароль, пройдя по данной ссылке...»
  • «Недавно мы зафиксировали несколько попыток войти в вашу учетную запись с зарубежного IP-адреса. Пройдите, пожалуйста, по заданной ссылке для подтверждения личности...»
  • «Данные вашей учетной записи устарели. Если вы не хотите, чтобы ваш аккаунт был удален, пройдите авторизацию...»
5.jpg

Текст может быть сколь угодно убедительным, но в любом случае вам предложат залогиниться: для этого нужно либо перейти по ссылке на сайт (поддельный), либо ввести свои данные в форме, приложенной прямо к письму. И форма для ввода, и целый поддельный сайт могут быть довольно точными копиями настоящего сервиса, включая логотип и остальные элементы дизайна. Однако после того как вы залогинитесь предложенным способом, ваш логин и пароль тут же станут известны мошенникам.

Помимо электронной почты, фишеры могут рассылать свои сообщения через мессенджеры типа ICQ или Skype, внутренние сообщения «ВКонтакте» или иной социальной сети, а также форумы и комментарии. С ростом популярности смартфонов и планшетов появились фишеры, которые создают поддельные веб-страницы для мобильных браузеров.

6.jpg

В чем опасность

Потеря логина и пароля чревата разными неприятностями, даже если речь идет лишь об электронной почте. Не исключено, что при регистрации на каком-то ресурсе вам на почту автоматически направлялось письмо с логином и паролем к этому ресурсу. Кроме того, многие онлайн-сервисы предлагают процедуру восстановления забытого пароля, которая предусматривает отправку письма на ваш электронный адрес, и часто при этом нет никаких дополнительных уровней защиты. Таким образом, ваша почта — это ключ злоумышленника к вашим учетным записям во многих других сервисах.

Кроме того, в вашем почтовом ящике есть еще множество адресов, которые интересует спамеров и мошенников. Выступая от вашего имени, они получают гораздо больше возможностей для вредоносных действий, чем те, кто рассылает мусор с посторонних адресов.

В случае кражи учетной записи в социальной сети, злоумышленник не только получает ваши контакты, но может и публично выступать от вашего имени, приписывая вам вещи, которых вы не говорили и не делали, тем самым подрывая вашу репутацию.

Если же речь идет о доступе злоумышленника к учетной записи в платежной системе, то связанные с этим риски совсем очевидны: вы просто останетесь без денег.

Для скептиков приведем статистику, собранную специалистами «Лаборатории Касперского» на основе данных от пользовательских антивирусных приложений. В 2013 году более 35% попыток зайти на поддельные веб-страницы были связаны с фишинговыми атаками на пользователей социальных сетей, основная доля переходов (22%) пришлась на Facebook. Количество фишинговых атак, приходящихся на платежные системы, было меньше — 31,5%, из которых 22% — для сайтов банков. Еще 23% атак приходилось на почтовые сервисы. Можно сказать, что «прямые» пути к деньгам используются фишерами лишь в каждой третьей атаке.

Следует также иметь в виду, что если вы открыли в браузере поддельную веб-страницу, но не ввели в форму никаких своих данных, — это еще не значит, что вы не стали жертвой мошенников. Открытие поддельных сайтов подразумевает возможность заражения компьютера через критическую уязвимость в операционной системе или браузере.

Признаки фишинговых писем

Наличие на компьютере современного антивирусного комплекса, безусловно, поможет отсеять значительную часть фишинговых писем и веб-страниц. Но в ряде случаев вам придется принимать решение самостоятельно: в самом начале новой атаки антивирусы могут оказаться бесполезны, поскольку новые адреса поддельных сайтов пока еще не попали в черные списки.

Поэтому к любым сообщениям, приходящим к вам по электронной почте или через мессенджер, следует относиться с осторожностью. Фишинговые письма отличаются следующим:

Наличие прямой ссылки или формы
Никакие уважающие себя банки, платежные системы, социальные сети и другие легитимные сервисы не попросят у вас пароль в теле письма или по прямой ссылке из письма. При необходимости сделать что-либо в вашем профиле официальное письмо предложит вам самостоятельно открыть в браузере официальный сайт сервиса и осуществить те или иные действия — без длинных прямых ссылок в какие-то внутренние разделы.
При этом в ответ на ваши действия на ваш электронный адрес действительно могут приходить официальные письма, содержащие прямые ссылки — но в этих письмах должно быть явно оговорено, какие ваши действия на сайте вызвали ответ (например, вы попросили восстановить пароль). Это означает, что если вы никого ни о чем не просили, а вам пришло письмо, где утверждается обратное, — его следует проигнорировать.
Странное обращение
Нередко фишеры рассылают сообщения массово, рассчитывая на популярность целевого сервиса. Такие письма получают как пользователи сервиса, так и люди, которые никогда не имели на нем учетной записи. Если вы получили письмо от сервиса, которым не пользуетесь, это очевидный признак письма-ловушки.
Может случиться и так, что у фишеров имеются какие-то данные о пользователях целевого сервиса, так что письма рассылаются избирательно. Однако это не значит, что злоумышленники располагают личными данными пользователей. Если в официальных письмах от сервиса к вам обычно обращаются по имени, указанному вами при регистрации, и вдруг вы получаете письмо, где личного обращения нет или в качестве обращения используется просто электронный адрес, — перед вами, скорее всего, ловушка.
Подозрительный домен
В подавляющем большинстве случаев ссылка-ловушка в фишинговом письме будет вести на сайт, который не имеет к настоящему сервису никакого отношения. Всегда старайтесь обращать пристальное внимание на адреса в письмах. Если речь идет, например, об аукционе eBay, правильные ссылки должны иметь вид: https://<поддомен>.ebay.com/<страница>. Фишерские ссылки будут вести на другой домен: это может быть «.ebay.com.customer.service.com/» или «.ebay.com-customer-service.com/» или «.customers-ebay.com/» или даже «.eaby.com/». Особые подозрения должны вызывать случаи, когда вместо доменов используются просто IP-адреса, то есть цифровые последовательности вроде «100.17.234.1».
Адрес не соответствует гиперссылке
В письмах HTML-формата текст ссылки и реальный адрес ссылки — это два независимых понятия. Это значит, что если словами в письме написано «https://www.ebay.com/», то по нажатии на такую ссылку может открыться совсем другая страница. Чтобы проверить это, вовсе не обязательно на ссылку нажимать — достаточно навести на нее мышку и подождать всплывающей подсказки.
Бывают ситуации, когда ссылка выглядит вполне правильной даже в адресной строке браузера, но фактически ведет на поддельную страницу. Это случается редко, поскольку требует от фишеров дополнительных усилий, связанных со взломом официального сайта сервиса или взломом сервера доменных имен. Тем не менее, данную возможность следует учитывать, то есть помнить о правилах 1 и 2.

Как решать проблему

Несмотря на эти несложные правила безопасности, многие люди все равно отдают свои пароли фишерам. Однако ситуацию можно исправить, если быстро распознать проблему.

Признаки того, что вы стали жертвой фишинга:

  1. Подозрительные транзакции по вашим банковским счетам и счетам платежных систем могут свидетельствовать о том, что кто-то посторонний получил к ним доступ.
  2. Жалобы от знакомых на то, что от вас к ним приходят странные электронные письма или сообщения в социальной сети, могут говорить о том, что ваша почта или учетная запись социальной сети скомпрометированы.
  3. Странные письма в папке «Отправленные» и входящие письма с инструкциями для восстановления забытого пароля, о которых вы не просили, также означают, что вашим почтовым ящиком пользуется кто-то еще.

Если вы поняли, что стали жертвой фишеров, нужно немедленно выполнить следующие действия:

  1. Первым делом нужно проверить компьютер на вирусы: напомним, что заходить на поддельный сайт опасно даже тогда, когда вы не заполняли там никакие формы. Нужно убедиться, что в памяти компьютера не «висят» программы-шпионы, которые собирают пароли. Иначе, даже если вы восстановите доступ к своей учетной записи, вы можете снова его потерять в тот же день.
    Более подробная информация — в статье "Что делать если компьютер заражен".
  2. Получив доступ к чужой учетной записи, фишеры обычно заинтересованы в том, чтобы жертва как можно дольше не знала об этом (например, чтобы украсть со счета не только текущие накопления, но и новые). Есть шанс, что фишер не будет менять пароль вашей учетной записи, и у вас сохранится доступ к ней. Поэтому второй важный шаг — сменить скомпрометированный пароль и лишить фишеров доступа.
  3. Если вы использовали этот же пароль на других сервисах, лучше поскорее сменить его и там. А если речь идет об украденном пароле к почтовому ящику, стоит перестраховаться и сменить пароли везде, где только можно. Ведь если злоумышленники хотя бы ненадолго получили доступ к вашему почтовому архиву, это означает, что они могли его скачать и изучить. В старых письмах часто хранится информация, о которой вы и думать забыли, — в том числе и пароли к другим сервисам. Кроме того, почтовый адрес часто используется для восстановления паролей к самым разным сервисам, что только усугубляет ситуацию.
  4. Если дело дошло до кражи денежных средств, следует связаться с банком или платежной системой и сообщить о том, что к вашем счету получил доступ посторонний. Если деньги были похищены недавно — вполне возможно их удастся вернуть.
  5. Если платежи были осуществлены с помощью кредитных карт, такие карты лучше заблокировать и перевыпустить.