Не так давно получил пару-тройку забавных сообщений с примерных содержанием:

Далее следовал приложенный файл с надписью: «мы с подругой.jpg». При более тщательном рассмотрении странного послания, можно было заметить, что приложенный файл называется «мы с подругой.jpg      .exe». :) Да, я не открываю подобные письма, но разошли такое письмо 100000 раз и точно какое-то количество пользователей откроет данный файл. Что в него можно вложить, думаю не стоит говорить…

Но сегодня в этой рассылке мы будем говорить не об общих методах сетевых атак, а о phishing-атаках (по-русски произносится как фишинг).

Что же такое phishing? Phishing - это мошенничество с целью хищения личных данных.

Phishing-атака производится для того, чтобы под «левым» (фальшивым) предлогом вынудить вас раскрыть ваши личные данные. Понятное дело, что первой целью при таких атаках становятся: номера кредитных карточек, пароли, пин-коды, какие-либо данные личного характера, возможно номера банковского счета и т.п. Мошенники могут «атаковать» по Сети, например: нежелательные сообщения электронной почты, воздействия по icq или irc , всплывающие окна на web-сайтах, также возможны способы личного воздействия или же по телефоны, а также любые иные.

Пожалуй, самый популярный способ это рассылка phishing-сообщений по электронной почте с адресов популярные сайтов, которые составлены специальным образом, что с первого взгляда вызывают доверие. Например, мне иной раз через спам фильтры пролезали сообщения с популярных Интернет магазинов или от одного известного российского банка, при этом при переходе по данной ссылке мы попадаем на сайт который выглядит очень официально и как капля воды похож на настоящий. Стоит помнить, что мошенники никогда не экономят на дизайне или же оформлении фальшивого web ресурса, тем самым многие могут повестись на такие фокусы и добровольно предоставить свои личные данные мошенником.

Серьезность подобных атак была показана уже два года, когда в январе сразу две волны phishing-атак захлестнули пользователей Интернет банков.

Smitfraud.a и Bankfraud.ca – стали масштабными атаками, сравнимыми с эпидемиями почтовым червей. Не зря лаборатория Касперского поставила их аж на 10-11 места в TOP’e вредоносных программ за 2005 год.

10 New Trojan-Spy.HTML.Smitfraud.a 1,75
11 New Trojan-Spy.HTML.Bankfraud.ca 1,63

Сейчас же уже появились новые виды фишинга, один из них, так называемый spear phishing – целенаправленный phishing. Т.е. точные атаки на определенных людей, организаций с целью раскрытия критически важных данных. С помощью таких атак можно получить конфиденциальную информацию, завладев которой мошенник может добраться до интеллектуальной собственности (организации, предприятия) или же просто-напросто обнулить вашу кредитную карту.

Стоит всегда помнить, что почта ходит по STMP (Simple Mail Transfer Protocol) протоколу. Он даже в названии «простой», чего уж говорить…SMTP работает без авторизации, тем самым в качестве отправителя позволяет указывать всё, что только пожелает злоумышленник ( -- прим., кто всё ещё не верит в это, пишите мне, и я в обратном ответе передам вам «привет», например, от [email protected]).

Более подробно я, надеюсь, мы рассмотрим различные методы сетевых атак в последующих номерах журнала и конечно подробно остановимся на phishing-атаках, рассмотрев их более тщательно.

Полезные ссылки:

Сообщество против фишинга: http://antiphishing.org

Как же бороться с этим злом? Ответ дает нам популярный браузер Opera.

В чем же состоит такая уверенность? Рассмотри «на пальцах», как устроена технология защиты от phishing атак в Opera.

Суть стратегии обеспечения безопасности состоит в консультировании браузера с базой данной, которая помогает определить законность сайта и траекторию серфинга после который вы попадете на сайт. В этом понимании есть две базы данных: белый список и черный список.

Также есть категория «не то ни сё» :) иными словами сайт не помещен ни в какую категорию, так как информация о его безопасности неизвестна. При вводе имени сайта браузер сам пытается определить на сколько он безопасен, использую вышеназванную базу данных, при этом если информация о сайте есть в черном списке, то вам выдастся информация об этом. Понятно, что это только попытка минимизировать риск столкновения с phishing, устранить вероятность на 100% пока не представляется возможным.

Как бы то ни было, но ничего уязвимого не существует по определению. Итак рассмотрим методы обхода анти-фишинг фильтров.

Февраль 06 2007 01:05PM
Firefox 2.0.0.1 и Опера 9.10 найдена возможность обхода Anty Fraud/Phishing защиты.

+ Источник:
Kanedaaa: http://kaneda.bohater.net

+ Опасность:
Низкая

+ Описание обхода:
Защиту фильтра возможно обойти добавляя некоторые символы к адресу URL. При этом URL будет работать должным образом, но мы не получим предупреждения о phishing’e.
Ещё в ноябре 2006 года, когда версия 9.10 была выпушена и проводились проверки анти-фишинг фильтра хитрый member из группы kanedaaa нашел вариант обхода защиты. Для этого он добавлял символ "." в конец URL’a. При этом тест на фишинг (при том, что сайт занесен в черный список) терпит фиаско.
Т.е. например: http://kaneda.bohater.net. и http://kaneda.bohater.net разные вещи с точки зрения фильтра и если второй адрес в черном списке, то на первый тревоги не будет. :)
Об этом баге было сообщено на http://bugs.opera.com после чего он был быстренько устранен. Но недавно тот же member объявляет о новом методе обхода. Теперь в конце добавляется символ " / ". Например, когда сайт: http://kaneda.bohater.net/phish.html находится в черном списке, то предупреждение будет показано. Однако если мы сделаем коварную ссылку таким образом: http://kaneda.bohater.net//phish.html - предупреждение показано не будет ( -- прим. можно добавить не один слеш, а больше…)
FireFox уязвим тем же самым способом.

+ Opera график времени:
2006.12.20 обнаруженная ошибка
2006.12.21 "/" ошибка сообщена на http://bugs.opera.com
2007.01.19 ни ответа ни привета от разработчиков Opera, возможно bug будет устранен в будущем
2007.02.06 первые упоминания в Bugtraq о такой возможности

.:: Special for Open Team E-zine ::.

Автор: latys
Public icq: 327656483