|
:: Статья из рассылки
Не так давно получил пару-тройку забавных сообщений с примерных содержанием:
«Откровенно видео из Дома-2. Бузова со… у Мая! Скачай первым: а___д___р___е___с»
Или такое:
«Привет, дорогой. Ты опять молчишь? Может, ты больше не будешь злиться на меня? Я по тебе очень скучаю. Знаешь, какая классная погода была в эти выходные. Мы с подругой гуляли по парку и даже сделали пару фоток. Лучшую я прислала тебе. Не злись, мой котёнок…»
Далее следовал приложенный файл с надписью: «мы с подругой.jpg». При более тщательном рассмотрении странного послания, можно было заметить, что приложенный файл называется «мы с подругой.jpg .exe». :) Да, я не открываю подобные письма, но разошли такое письмо 100000 раз и точно какое-то количество пользователей откроет данный файл. Что в него можно вложить, думаю не стоит говорить…
Но сегодня в этой рассылке мы будем говорить не об общих методах сетевых атак, а о phishing-атаках (по-русски произносится как фишинг).
Что же такое phishing? Phishing - это мошенничество с целью хищения личных данных.
Phishing-атака производится для того, чтобы под «левым» (фальшивым) предлогом вынудить вас раскрыть ваши личные данные. Понятное дело, что первой целью при таких атаках становятся: номера кредитных карточек, пароли, пин-коды, какие-либо данные личного характера, возможно номера банковского счета и т.п. Мошенники могут «атаковать» по Сети, например: нежелательные сообщения электронной почты, воздействия по icq или irc , всплывающие окна на web-сайтах, также возможны способы личного воздействия или же по телефоны, а также любые иные.
Пожалуй, самый популярный способ это рассылка phishing-сообщений по электронной почте с адресов популярные сайтов, которые составлены специальным образом, что с первого взгляда вызывают доверие. Например, мне иной раз через спам фильтры пролезали сообщения с популярных Интернет магазинов или от одного известного российского банка, при этом при переходе по данной ссылке мы попадаем на сайт который выглядит очень официально и как капля воды похож на настоящий. Стоит помнить, что мошенники никогда не экономят на дизайне или же оформлении фальшивого web ресурса, тем самым многие могут повестись на такие фокусы и добровольно предоставить свои личные данные мошенником.
Серьезность подобных атак была показана уже два года, когда в январе сразу две волны phishing-атак захлестнули пользователей Интернет банков.
Smitfraud.a и Bankfraud.ca – стали масштабными атаками, сравнимыми с эпидемиями почтовым червей. Не зря лаборатория Касперского поставила их аж на 10-11 места в TOP’e вредоносных программ за 2005 год.
10 New Trojan-Spy.HTML.Smitfraud.a 1,75
11 New Trojan-Spy.HTML.Bankfraud.ca 1,63
Сейчас же уже появились новые виды фишинга, один из них, так называемый spear phishing – целенаправленный phishing. Т.е. точные атаки на определенных людей, организаций с целью раскрытия критически важных данных. С помощью таких атак можно получить конфиденциальную информацию, завладев которой мошенник может добраться до интеллектуальной собственности (организации, предприятия) или же просто-напросто обнулить вашу кредитную карту.
Стоит всегда помнить, что почта ходит по STMP (Simple Mail Transfer Protocol) протоколу. Он даже в названии «простой», чего уж говорить…SMTP работает без авторизации, тем самым в качестве отправителя позволяет указывать всё, что только пожелает злоумышленник ( -- прим., кто всё ещё не верит в это, пишите мне, и я в обратном ответе передам вам «привет», например, от [email protected]).
Более подробно я, надеюсь, мы рассмотрим различные методы сетевых атак в последующих номерах журнала и конечно подробно остановимся на phishing-атаках, рассмотрев их более тщательно.
Полезные ссылки:
Сообщество против фишинга:
Как же бороться с этим злом? Ответ дает нам популярный браузер Opera.
Opera, The Securestest Browser On Earth, puts an end to Phishing! («Опера, самый безопасный браузер на Земле, положит конец фишингу!») – гласит браузер времен и народов. Дело в том, в Opera 9.1 по умолчанию добавлен phishing фильтр ( -- прим. подобный фильтр вроде как есть и у Firefox, но так как я им не пользуюсь, то сказать точно не могу).
В чем же состоит такая уверенность? Рассмотри «на пальцах», как устроена технология защиты от phishing атак в Opera.
Суть стратегии обеспечения безопасности состоит в консультировании браузера с базой данной, которая помогает определить законность сайта и траекторию серфинга после который вы попадете на сайт. В этом понимании есть две базы данных: белый список и черный список.
Также есть категория «не то ни сё» :) иными словами сайт не помещен ни в какую категорию, так как информация о его безопасности неизвестна. При вводе имени сайта браузер сам пытается определить на сколько он безопасен, использую вышеназванную базу данных, при этом если информация о сайте есть в черном списке, то вам выдастся информация об этом. Понятно, что это только попытка минимизировать риск столкновения с phishing, устранить вероятность на 100% пока не представляется возможным.
Как бы то ни было, но ничего уязвимого не существует по определению. Итак рассмотрим методы обхода анти-фишинг фильтров.
Февраль 06 2007 01:05PM
Firefox 2.0.0.1 и Опера 9.10 найдена возможность обхода Anty Fraud/Phishing защиты.
+ Версии:
Firefox 2.0.0.1 [ Linux | Windows ]
Opera 9.10 Final [ Linux build 521 | Windows build 8679 ]
+ Источник:
Kanedaaa:
+ Опасность:
Низкая
+ Описание обхода:
Защиту фильтра возможно обойти добавляя некоторые символы к адресу URL. При этом URL будет работать должным образом, но мы не получим предупреждения о phishing’e.
Ещё в ноябре 2006 года, когда версия 9.10 была выпушена и проводились проверки анти-фишинг фильтра хитрый member из группы kanedaaa нашел вариант обхода защиты. Для этого он добавлял символ "." в конец URL’a. При этом тест на фишинг (при том, что сайт занесен в черный список) терпит фиаско.
Т.е. например: http://kaneda.bohater.net. и http://kaneda.bohater.net разные вещи с точки зрения фильтра и если второй адрес в черном списке, то на первый тревоги не будет. :)
Об этом баге было сообщено на http://bugs.opera.com после чего он был быстренько устранен.
Но недавно тот же member объявляет о новом методе обхода. Теперь в конце добавляется символ " / ". Например, когда сайт: http://kaneda.bohater.net/phish.html находится в черном списке, то предупреждение будет показано. Однако если мы сделаем коварную ссылку таким образом: http://kaneda.bohater.net//phish.html - предупреждение показано не будет ( -- прим. можно добавить не один слеш, а больше…)
FireFox уязвим тем же самым способом.
+ Opera график времени:
2006.12.20 обнаруженная ошибка
2006.12.21 "/" ошибка сообщена на http://bugs.opera.com
2007.01.19 ни ответа ни привета от разработчиков Opera, возможно bug будет устранен в будущем
2007.02.06 первые упоминания в Bugtraq о такой возможности
.:: Special for Open Team E-zine ::.
Автор:
Public icq: 327656483
|
|