Фишинг появился потому, что получение данных от клиента – более простой вариант, чем взлом защищенных банковских систем, поэтому не стоит попадаться на уловки мошенников. Прислушайтесь к следующим советам.
• Получив письмо от банка, подумайте, действительно ли он может быть отправителем.
• Никогда не отвечайте и игнорируйте сообщения по электронной почте или ICQ, запрашивающие личные данные и финансовую информацию, даже если они получены из, казалось бы, надежных источников.
• При получении подозрительного сообщения электронной почты не открывайте вложения. Свяжитесь напрямую с человеком или организацией, указанными в поле От, или службой поддержки сервиса.
• Никогда не открывайте ссылки, которые даются в сообщениях электронной почты, запрашивающих личные данные и финансовую информацию. Вводите в веб-браузере имя или адрес нужного веб-узла вручную.
• Проверяйте URL любого сайта, который запрашивает идентификационную информацию. Убедитесь в том, что сеанс начался с правильного адреса веб-сайта, и к нему не добавлены лишние символы.
• Используйте антивирус, брандмауэр, системы контроля целостности данных и другие системы защиты, о которых говорилось в предыдущих главах данной книги. Вовремя обновляйте программное обеспечение, установленное на компьютере.
• Избегайте работы с интернет-банками на компьютерах, не находящихся под вашим контролем. Особенно небезопасны общественные интернет-кафе, не рекомендуется также пользоваться компьютерами друзей и знакомых.
Всегда выходите из сервисов, использующих веб-интерфейс, с помощью предусмотренных средств. Как правило, для этого существует специальная кнопка, размещенная в правом верхнем углу страницы (Logout, Sign out или Выход). Так вы не позволите любому человеку, севшему за компьютер после вас, воспользоваться кэшем браузера для восстановления сеанса.
Некоторые сайты имеют подписанные сертификаты, и достаточно нескольких секунд, чтобы определить, можно ли доверять открытому веб-сайту. Например, в Internet Explorer для просмотра такого сертификата в меню Файл нужно выбрать пункт Свойства. В окне свойств следует нажать кнопку Сертификаты и проверить, есть ли у веб-сайта действующий сертификат, выданный официальной организацией. В Firefox для этого следует выполнить команду Tools → Page Info (Инструменты → Информация о странице) и в появившемся окне перейти на вкладку Security (Безопасность). К сожалению, большинство российских ресурсов не используют такой сертификат.
Если вы подозреваете, что сообщили пароль в ответ на фишинг-сообщение или ввели его на мошенническом веб-узле, как можно скорее смените его. Регулярно проверяйте банковские отчеты и отчеты по кредитным картам: часто мошенники не берут крупную сумму сразу, а вымогают деньги постепенно, рассчитывая на «долгое сотрудничество».
В настоящее время не существует готового решения, позволяющего распознать фарминг и фишинг с помощью одной программы. Для защиты от фишинга разработчики наиболее распространенных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам.
Новые версии некоторых веб-браузеров обладают такой возможностью. Например, фишинг-фильтр корпорации Microsoft доступен в обозревателе Internet Explorer 7, предназначенном для системы Windows XP c установленным Service Pack 2 и для Windows Vista. Он сканирует и выявляет подозрительные веб-узлы, а также предоставляет своевременные обновления и отчеты о найденных фишинг-узлах. Если вы не включили функцию антифишинга во время установки Internet Explorer 7, это можно сделать в любой момент, для чего нужно выполнить команду Сервис → Антифишинг. Функция антифишинга распознает два типа веб-узлов:
• веб-узлы, подозреваемые в фишинг-атаках: при переходе на такой узел функция антифишинга выдает предупреждение желтого цвета;
• веб-узлы, на которых предпринимались фишинг-атаки: при попытке посетить такой узел функция антифишинга препятствует этому и выдает предупреждение красного цвета, после чего на данном веб-узле нельзя ввести никакие данные.
Для пользователей обозревателя Internet Explorer версии 6 или более ранних доступна новая панель инструментов Windows Live (http://toolbar.live.com/), после установки которой требуется активизировать функцию OneCare Advisor. В дальнейшем эта функция будет работать подобно антифишингу в Internet Explorer 7.
Чтобы все работало, требуется наличие Windows XP c установленным Service Pack 2. Если вы используете более раннюю версию операционной системы Windows или другую систему вроде Linux, советую воспользоваться встраиваемой панелью Netcraft Toolbar, разработаную организацией Anti-Phishing Working Group, которая занимается борьбой с фишингом (http://www.antiphishing.org/). Панель доступна в двух вариантах: для веб-браузеров Internet Explorer и Firefox. Чтобы установить ее, следует перейти по адресу http://toolbar.netcraft.com/install и в области Choose version нажать кнопку, соответствующую используемому веб-браузеру, – появится запрос на установку нового модуля.
После перезапуска браузера в его окне появится новая панель. При переходе на сайт он будет проверяться, и индикатор Risk Rating будет отображать уровень риска сайта (рис. 7.6). Если цвет зеленый, то это означает, что сайт известен Netcraft и зарегистрирован давно (рядом с уровнем риска будет показан год регистрации и страна), его месторасположение соответствует регистрации, фальсификаций этого сайта или с этого диапазона адресов Интернета ранее замечено не было и сайт использует стандартный порт. Несоответствие хотя бы одного из этих параметров приведет к ухудшению рейтинга ресурса. Цвет панели будет меняться от желтого («внимание») до красного, указывающего на опасность.
Рис. 7.6. Показатель риска на панели Netcraft Toolbar
Кстати, по адресу http://www.antiphishing.org/phishing_archive.html можно найти большое количество реальных примеров фишерских писем.
Рассмотренная в главе 5 программа Kaspersky Internet Security обеспечивает защиту от фишинг-атак, отслеживая попытки открытия известных фишингсайтов и блокируя их. Список сайтов пополняется адресами, предоставляемыми Anti-Phishing Working Group, при обновлении сигнатур угроз.
7.3. Некоторые правила поведения пользователя в Интернете
Популярность веб-форумов, онлайн-дневников (блогов) и различных средств общения вроде электронной почты, групп новостей, различных чатов сегодня велика. Кроме добропорядочных пользователей эти сервисы привлекают мошенников, желающих поживиться за чужой счет, а также спецслужбы всего мира, поэтому рекомендуется соблюдать некоторые правила поведения в Интернете. Обычно отношение пользователя к переписке в Интернете складывается из нескольких простых пунктов: «до меня нет никому дела», «ничего особенного у меня нет», «меня никто не знает», «сообщения читают только те, кому они предназначены». Это не так.
В большинстве случаев сообщения передаются в Сети в открытом виде и могут быть прочитаны на любом этапе обработки. Существующие методы шифровки спасают не всегда, так как хакер может сделать так, что его компьютер будет транслировать сообщения между двумя компьютерами. Такой вид атаки называется man-in-middle (человек посередине). В этом случае поможет предварительное шифрование сообщений, о чем будет рассказано в гл. 11 (на диске).
Анонимность в Интернете также относительна: любой пакет, передаваемый по Сети, однозначно идентифицируется по IP-адресу, который указывает на провайдера, а следовательно, и на пользователя. Поле с информацией об отправителе электронного сообщения также укажет на IP-адрес компьютера, с которого послано сообщение. Известны случаи, когда для запуска вируса или троянской программы в корпоративную сеть хакеры изучали склонности рядовых сотрудников: ведь начальников обычно «опекает» служба безопасности. Чтобы такой сотрудник ничего не заподозрил, для него, в зависимости от его хобби, создавались сайты, печатались диски или проводились рекламные кампании.
Не следует забывать о методах социальной инженерии. Этот термин используется хакерами для обозначения несанкционированного доступа к информации путем, отличным от взлома программного обеспечения. Целью является обман пользователя и последующее получение паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическая схема включает звонки по телефону организации для выявления людей, владеющих необходимой информацией, и последующий звонок администратору: хакер в этом случае играет роль служащего, у которого возникла неотложная проблема. Может быть наоборот: хакер создает неполадку, требующую устранения, и информирует пользователя, что он является специалистом, который может ее исправить. Благодарный пользователь, не желающий лишний раз обращаться в службу поддержки, идет на контакт. Через некоторое время хакер устраняет поломку и делает свое дело. При этом у пользователя нет причин подозревать помощника в обмане, так как он сам обратился за советом. Известный хакер Кевин Митник добивался успехов именно благодаря способности убедить людей в том, что он – тот человек, за которого себя выдает, а не благодаря умению взламывать сложные системы.
В конце 2004 года компания Apple подала в суд на блоггеров, которые рассказали о новых товарах до того, как о них было объявлено официально, и потребовала открыть источник утечки информации. Apple проиграла, а в 2006 году было вынесено решение суда о том, что блоггеры обладают такими же правами по неразглашению источников информации, как и журналисты. Это положительная сторона вопроса. С другой стороны, практически все разведки мира давно имеют подразделения, занимающиеся сбором информации из подобных открытых источников. Причем в официальных заявлениях подчеркивается, что таким образом сегодня добывается большинство сведений. Службы безопасности многих крупных компаний также анализируют онлайн-дневники и переписку сотрудников, а в трудовом договоре, как правило, имеется соответствующий пункт, поэтому прежде чем написать что-то в своем блоге, на форуме или сообщить собеседнику в ICQ, подумайте хотя бы о том, что вас могут уволить, даже если вы действовали неумышленно. Имеется множество способов захватить чужой UIN ICQ, поэтому никогда нельзя быть уверенным, что на другом конце находится именно тот человек, с которым вы общаетесь. Подготовленному пользователю ничего не стоит незаметно выудить из вас интересующую его информацию.
В 1999 году на весь мир прогремело название «Эшелон» (Echelon) – сверхсекретная система глобальной интернет-слежки за любой активностью пользователей, используемая спецслужбами США, Великобритании и некоторых других государств. С помощью компьютеров большой мощности «Эшелон» может анализировать произвольно взятый трафик на предмет содержания заданных ключевых слов, которые потенциально могут использовать в своей переписке террористы. Спецслужбы долго отрицали, но все же признали факт существования «Эшелона», который после окончания «холодной войны» был практически переориентирован на промышленный шпионаж. Примерно в то же время стал известен факт существования и более новой системы слежки – Carnivore (плотоядное). Подобные системы используются спецслужбами практически каждого государства.
Глава 8 Спам – чума XXI века
Корни почтового зла
Способы борьбы со спамом
Подручные средства
Специальные программы для борьбы со спамом
«Well, there's egg and bacon; egg sausage and bacon; egg and spam; egg, bacon and spam; egg, bacon, sausage and spam; spam, bacon, sausage and spam; spam, egg, spam, spam, bacon and spam; spam, sausage, spam, spam, bacon, spam; tomato and spam…» – такое меню предлагала официантка в одной из серий популярного в 1970-х годах английского сериала «Летающий цирк Монти Пайтона», а викинги в рогатых шлемах подпевали: «Spam, spam, spam, spam, lovely spam, lovely spam».
Посетителям ресторана предлагалась только консервированная ветчина – spam (Hormel’s Spiced Ham) в разных комбинациях, которую и рекламировал хор. В это же время на другой стороне океана только зарождался Интернет. Тогда еще никто не знал, что через 20 лет эти два понятия станут практически неразделимы, а само слово «спам» будет употребляться в другом значении, которое во многих странах станет намного известнее оригинального.
8.1. Корни почтового зла
Под спамом принято понимать незапрашиваемую пользователем корреспонденцию рекламного или иного характера, массово рассылаемую, как правило, средствами электронной почты. Спам – наверное, самое противоречивое явление в Интернете. Часть людей считает его эффективным средством рекламы, другие – что он дискредитирует фирму, использующую такой метод. Одни считают, что спам нужно запретить, искоренить, уничтожить, другие почитают его как истинное проявление свободы распространения информации.
До сих пор нет однозначного определения, что следует понимать под этим словом. Ведь человек оставил свой адрес на одном из ресурсов Интернета именно для того, чтобы ему написали. Вопрос в том, чего он именно ожидает. Почему тогда такая однозначно негативная реакция? По оценкам различных исследований, нежелательные сообщения составляют приблизительно 80 % всех сообщений электронной почты, но бывает и хуже. Вероятно, поэтому пользователь, получающий на сотню рекламных сообщений одно полезное, ненавидит спамеров – в первую очередь за то, что они отнимают его личное время. Если в среднем на удаление ненужных писем из почтовых ящиков тратится хотя бы 5 минут в день, то в неделю это будет уже полчаса, а за год – больше суток.
История возникновения спама
Идея массово рассылать рекламу, используя средства связи, возникла еще в конце ХIХ века. Тогда для этих целей использовался телеграф. В Интернете спам зафиксирован практически с первых дней, но как серьезное явление стал восприниматься только в 1993 году, когда рекламу начали публиковать в группах новостей, дискуссионных листах и гостевых книгах. Тогда и появился термин «спам».
В России первый известный случай массовой рассылки электронных писем был отмечен 19 августа 1991 года, когда во время августовского путча через электронную почту было распространено обращение Бориса Ельцина. Наибольшую известность в русскоязычном сегменте Интернета получила борьба с рассылкой спама Центром американского английского в 2002–2004 годах, реклама которого отличалась агрессивностью и массовостью. В течение долгого времени спамерам удавалось обходить антиспам-фильтры с помощью модификации контента: перестановки букв, использования текста в виде рисунков, применения похожих по начертанию букв английского алфавита (если заменить русскую букву «а» на английскую «a», то в тексте это не заметно, а для фильтра получится другое слово), деформированных рисунков, вставки HTML-кода, содержащего «мусор», невидимый пользователю, и пр. Началась серьезная борьба. Если первые заголовки сообщений читались нормально – Центр американского английского, то дальше, чтобы обмануть антиспам-фильтры, они становились похожими на ребусы: «Центр/Школа АмеRиканского/Разговорного Английskого/Языка», Tsentr razgovornogo angliyskogo yazika и даже bxPpqlA Bыуbчuтe аH.гPлubйc.kufй язhыk вмecJтe kc HDамLu!
В итоге «ЦАА» стал ненавистен пользователям всего русскоязычного Интернета, и им удалось почти невозможное: подогреть «дубину народной войны». Был создан Центр борьбы с центром американского английского (http://antialc.narod.ru/). Компания открывала сайт, он взламывался или становился недоступным в результате DDOS-атак, почтовые ящики забивались большим количеством сообщений с вложенными рисунками. Любой уважающий себя пользователь Интернета, приезжая в Москву, звонил по одному из телефонов, указанных в объявлении, и записывался на курс. Телефоны размещались в газетах в популярных рубриках, посвященных продажам автомобилей, знакомствам и пр.
Вот анекдот тех времен: «Сегодня в ГУВД Москвы позвонил неизвестный и сообщил, что в здании Центра американского английского заложена бомба. Прибывшим на место взрывотехникам ФСБ не удалось обнаружить ничего подозрительного, поэтому было принято решение взорвать центр своими силами».
Некоторые подробности тех событий можно почитать на сайте центра борьбы, который существует до сих пор.
Привлекательность спама для рекламодателей и прочих использующих этот способ сообщить о себе – его относительно низкая стоимость и предположительно большой охват потенциальных клиентов. Именно поэтому почтовые ящики пользователей завалены различными предложениями купить, посетить, выучить и пр. Реклама по телевидению стоит на порядок дороже, поэтому при сравнимых показателях массовости она надоесть не может, так как, давая ее слишком много, рекламодатель разорится.
Если бы это была просто реклама, шума вокруг спама было бы меньше, так как всегда можно вычислить заказчика таких рассылок. До недавнего времени не было законов, запрещающих или ограничивающих подобную деятельность, но в некоторых странах они уже приняты, и пойманные спамеры привлекаются к суду и облагаются крупными штрафами.
Однако спам используется и теми, кто рекламирует незаконную продукцию или услуги. Используя технологию спама, рассылаются вирусы и «нигерийские» письма. Спамом заманивают пользователей в ловушку фишеры и другие мошенники. Их деятельность наносит серьезный урон, но найти и призвать к ответу таких злоумышленников сложнее, чем рассылающих рекламу.
Хотя спам как явление относят к электронной почте, его можно встретить в ICQ, IRC-чатах, на форумах, блогах, а также в виде SMS-сообщений.
Методы, используемые спамерами
Для обычного пользователя электронная почта начинается с почтового клиента, в котором он набирает письмо и отправляет его, нажав соответствующую кнопку. Все остальное – процесс формирования правильного заголовка, отправка и получения – остается за кадром. Спамеры разбираются в системе электронной почты и используют ее недостатки, а иногда и достоинства в своих целях.