Не попадайтесь на удочку
Целью этого вида мошенничества, иногда называемого «имитацией бренда», является получение денег или личной информации от пользователей Интернета путем рассылки электронных писем, направляющих пользователей на сфальсифицированный веб-сайт. Потенциальные жертвы получают сообщение, выглядящее как письмо от банка, интернет-провайдера или другого поставщика электронных услуг. В нем пользователю предлагается заново ввести свои идентификационные данные, так как возникла неполадка в системе защиты. Щелкнув на приведенной в сообщении ссылке, пользователь попадает на фальшивый веб-сайт, представляющий собой точную копию веб-сайта той организации, от имени которой отправлено письмо. Клиенты нескольких банков уже стали жертвами такого мошенничества. В прошлом году появлялись и фальшивые благотворительные веб-сайты для сбора средств жертвам цунами. Даже Google стал мишенью для атаки: недавно пользователям Интернета было предложено ввести номер своей банковской карты на копии домашней страницы этой известной поисковой системы под предлогом того, что они выиграли приз.
Пользователи просят защиты
Компания TrendMicro опубликовала ключевые результаты своего исследования. Оно показывает, каким образом атаки фишинга, проводимые под прикрытием спама, влияют на работу конечных пользователей и, следовательно, на их уверенность в том, что обеспечивается надежная защита корпоративной и персональной информации.
В работе приняли участие 1600 специалистов, не имеющих прямого отношения к ИТ, из компаний и организаций разной величины в США, Великобритании, Германии и Японии. Одним из важнейших результатов стало выявление следующих тенденций: большинство респондентов ожидают от ИТ-подразделений дополнительного информирования и обучения в отношении тех опасностей, которые представляют собой атаки фишинга, т.е. угроз, направленных на извлечение прибыли. Их все более широкое распространение подвергает опасности корпоративные и персональные данные. Поскольку спам во многих случаях применяется в качестве прикрытия для атак фишинга, исследование подчеркивает необходимость укрепления защиты от обоих типов угроз с тем, чтобы обеспечить безопасность сотрудников и предотвратить негативное влияние таких атак на бизнес.
Согласно исследованию, частота атак фишинга изменяется в зависимости от размера компании и страны. Однако страдают не только компании, но и индивидуальные пользователи, для частной жизни и конфиденциальной личной информации которых этот вид мошенничества представляет прямую угрозу. Рабочее место всегда считалось безопасной средой, однако атаки фишинга угрожают опровергнуть такое мнение. Более половины (58%) респондентов, ставших жертвами атак, сообщили о нарушении конфиденциальности своей личной информации. По крайней мере треть из них заявила о том, что они потеряли ее, испытали снижение производительности труда или стали жертвами так называемой «кражи идентичности». Помимо негативного влияния на индивидуальных пользователей более одной пятой (21%) из них сообщили о потере корпоративной информации.
Неудивительно, что после таких атак респонденты без колебаний обращались в ИТ-подразделения. «В случае прорыва системы безопасности служба ИТ-поддержки может быть легко парализована», — отмечает Дэйв Рэнд, главный специалист компании TrendMicro по технологиям безопасности Интернета. «При этом конечные пользователи могут потерять личную информацию, а компания испытает снижение производительности и потерю благоприятных возможностей для бизнеса. Фишинг — это нечто большее, чем угроза ИТ-безопасности. Это бизнес-проблема».
Хотя многие респонденты и указали на то, что их ИТ-подразделения развертывают решения, направленные против атак фишинга, эффективность таких мер подвергли сомнению по крайней мере треть из опрошенных в каждой стране. Наибольшая степень неуверенности была отмечена в Японии. Многие участники опроса указывали на то, что ИТ-подразделения должны расширить уровень знаний пользователей об атаках фишинга, обучить их, каким образом они могут избежать этих атак, и предупредить о последствиях, связанных с рискованным поведением в Интернете на рабочих местах.
Новые способы борьбы с фишингом
Учитывая масштаб этой проблемы, компания Symantec предложила решения с применением строгой идентификации пользователей (в частности, идентификации доменных имен, как в проекте Yahoo Domain Keys, или личного и общего ключа). Многие банки и поставщики услуг также используют новые приемы для обеспечения безопасного доступа к электронным счетам клиентов. Ниже приведены примеры таких аппаратных и программных решений.
Генераторы одноразовых паролей
Принцип фишинга основан на получении паролей и банковских сведений, необходимых для доступа к электронным счетам пользователей. Использование генераторов одноразовых паролей (небольших устройств, выглядящих, как карманный калькулятор) позволяет предотвратить этот тип мошенничества. Генератор автоматически создает одноразовые пароли. Для доступа к своему счету пользователь вводит показанную устройством комбинацию символов. Расположенный на другом конце веб-сайт банка применяет тот же алгоритм для создания пароля. Доступ предоставляется тогда, когда оба пароля совпадают. Сгенерированный пароль можно ввести только один раз, поэтому его нельзя украсть и использовать в мошеннических целях. Генераторы паролей применяют многие банки США и Европы, а также крупные интернет-провайдеры (например, AOL в США). Однако использование такой системы создает дополнительные накладные расходы для клиентов, которым приходится покупать генератор паролей и, как правило, ежемесячно оплачивать подписку на услугу.
Карты с микросхемами и USB-накопители как дополнительный уровень защиты
В дополнение к паролям некоторые банки планируют добавить еще один процесс идентификации, включающий использование карт с микросхемами или USB-накопителей. Для получения доступа к электронному счету клиенту потребуется не только ввести пароль, но и вставить карту в специальное считывающее устройство или подключить USB-накопитель к своему компьютеру. В этом случае промышляющие фишингом мошенники не смогут получить доступ к электронному счету пользователя, если только у него не будет украдена карта или накопитель. Однако использование карт с микросхемами — дорогостоящее «удовольствие». Специальные USB-накопители являются более доступным вариантом для широкого круга пользователей.
Хэширование паролей для конкретного сайта
Хэширование паролей — одна из мер противодействия, рекомендованных рабочей группой защиты от фишинга. Она предотвращает кражу идентификационных данных путем добавления к паролю информации, специфичной для того сайта, где данный пароль предполагается применить. Такая система прозрачна для пользователя, который просто вводит свой пароль в электронной форме. Браузер преобразует его и добавляет необходимую информацию. Следовательно, веб-сайту не сообщается пароль, вводимый пользователем. Он получает только «хэшированный» пароль и принимает решение о предоставлении доступа, применив тот же алгоритм хэширования, что и владелец карты. Таким образом, даже если пользователь и сообщит свой пароль на фальшивом веб-сайте, его не смогут применять хакеры.
Мобильное подтверждение
Эта система подразумевает, что пользователи Интернета подтверждают все транзакции путем отправки текстового сообщения с мобильного телефона. Ее преимуществом является то, что транзакция с электронным счетом выполняется лишь после того, как банк получит ответ на текстовое сообщение. Чтобы эта система работала, клиенты должны сообщить банку номер своего мобильного телефона.
По материалам, предоставленным компаниями Trend Micro и Symantec.
Е. Т.