Замаскированный фишинг
В чем же отличие фарминга от традиционного фишинга? Если в случае фишинг-атаки пользователь получает электронное письмо с приглашением зайти на фальшивый сайт, на котором ему предлагается ввести пароль своего аккаунта и другие конфиденциальные данные, то фарминг заключается в автоматическом перенаправлении посетителя на поддельный ресурс при попытке захода на нужную веб-страницу. Получается, что потенциально фарминг невозможно обнаружить и, хотя пока он не получил такого распространения, как фишинг, в последнее время встречается все чаще и вызывает серьезную тревогу у экспертов.
Итак, фарминг (термин произошел от слияния английских слов «phishing» и «farming» – фермерство, занятие сельским хозяйством) – это процедура скрытого перенаправления жертвы на ложный IP-адрес. Бдительность пользователя усыпляется тем, что изначально он переходит по вполне «правильной» внешне ссылке, и лишь специальная вредоносная программа перенаправляет его на копию, созданную мошенниками. Там ему предлагается выполнить определенные действия, в результате которых хакерам будет передана нужная информация или переведены средства клиента.
Технически данный метод мошенничества может быть реализован несколькими способами.
- Заражение записей DNS (англ. Domain Name System — система доменных имен) на локальном компьютере. Используя троянские программы, злоумышленники могут изменить данные локального кэша DNS таким образом, чтобы при вводе имени веб-сайта организации открывалась фальшивая страница, выглядящая в точности как настоящая.
- Заражение записей DNS на сервере. В результате кражи кэша наиболее часто используемых записей DNS, который хранят интернет-провайдеры, пользователи, указавшие правильный URL, перенаправляются на фальшивый веб-сайт. В таких случаях пользователь либо сам выдает злоумышленникам свою персональную информацию, пройдя процедуру идентификации на поддельном ресурсе, либо на его компьютер загружается программа-шпион для кражи данных. Поскольку, как правило, серверы интернет-провайдеров достаточно хорошо защищены, заражение DNS на этом уровне – достаточно сложный, а потому наименее популярный способ фарминга. Однако успешная атака сулит преступникам богатый урожай сведений о клиентах компании. Стоит отметить, что в реализации атак данного типа часто бывают задействованы инсайдеры.
- Хакеры вскрывают коды официальных сайтов компаний и встраивают сценарии, манипулирующие их посетителями. В результате пользователь либо переходит по ссылке, внешне выглядящей как настоящая, на поддельный сайт; либо поверх нужного ресурса открывается еще одно окно браузера, которое маскируется, например под окно входа в систему. Также вредоносный сценарий может использовать дыру безопасности веб-браузера с целью заражения компьютеров посетителей сайта. Данная тактика позволяет за одну атаку заманить в ловушку сразу большое число жертв.
Профилактика фарминга
Фарминг относится к тем коварным видам мошенничества, которые удается распознать не сразу. Когда факт преступления налицо, встает сложная задача поиска вредоносного вируса и избавления от него. Как известно, лучшая превентивная мера в борьбе с мошенниками – своевременное информирование компаниями своих клиентов о возможных рисках. Для профилактики фарминга организациям следует в обязательном порядке советовать клиентам использование для доступа и совершения операций в системах ДБО (дистанционное банковское обслуживание) только собственных персональных компьютеров с актуальной обновленной версией антивирусной программы с функциями «антихакер» и «антишпион». В противном случае компьютер может быть заражен шпионскими программами, собирающими персональные данные или троянами, изменяющими параметры сетевой защиты и делающими компьютер уязвимым для несанкционированного доступа. Для хранения ключевых данных целесообразно использовать USB-токены (микрокомпьютер со своим процессором, защищенный от записи и копирования).
Держатели платежных карт должны быть обучены мерам их безопасного обслуживания, включая использование систем ДБО. Клиенты должны твердо знать, что банки никогда не просят назвать или прислать им по почте свой ПИН-код, а также что адреса сайтов банковских систем ДБО содержат признак использования защищенного канала связи https://. При входе в систему со своего ПК в присутствии других лиц, когда пользователь не уверен в том, что сможет сохранить в тайне свой обычный логин/пароль, для аутентификации ему следует использовать одноразовые динамические пароли.
Реальная угроза
По мнению экспертов, в ближайшее время усложненные схемы фишинг- и фармингатак войдут в десятку самых серьезных угроз для IT-безопасности. Известен случай, когда в результате фарминг-атаки пострадали порядка 50 финансовых институтов в США, Европе и Азиатско-Тихоокеанском регионе; в течение нескольких дней ежедневно заражению подвергалась порядка 1 тыс. компьютеров. По сообщению Computerworld.com, для осуществления атаки хакеры создали поддельные веб-ресурсы, практически полностью копировавшие сайты каждой из пострадавших организаций.
Фарминг-атаке подвергался и сайт крупнейшей российской социальной сети «Вконтакте», когда мошенникам удалось получить доступ к аккаунтам огромного числа ее пользователей. Вредоносная программа, распространявшаяся на сайте через одно из приложений, отправляла посетителей на фальшивую страницу популярного ресурса. На ней юзер вводил свои логин и пароль, которые попадали в руки кибер-преступников. Всего в свободный доступ попали данные учетных записей более чем 130 тыс. пользователей. В то же время появились сообщения о готовящейся атаке на социальную сеть «Одноклассники».
Летом 2011 г. «Лаборатория Касперского» получила патент на новый способ борьбы с фармингатаками. Суть технологии заключается в создании дублирующего безопасного канала связи, по которому для определенного списка сайтов можно установить настоящее соответствие IP-адреса и доменного имени. Данный метод защищает пользователей в момент обращения, не допускает посещение фишинговых сайтов и помогает выявить факт фарминг-атаки, эффективно блокируя попытки злоумышленников перенаправить пользователя на фальшивую веб-страницу. Кроме того, новая технология позволяет оперативно пополнять базу с адресами поддельных ресурсов для использования в модулях защиты от фишинговых атак.
Важно понимать, что, хотя в СМИ нечасто появляется информация о крупных фарм-атаках, организациям следует принять все возможные меры, чтобы усложнить задачу мошенникам и не дать своим клиентам попасться на их удочку.
Добавить комментарий