Самой популярной формой мошенничества в Сети на данный момент является фишинг. Киберпреступники используют мошеннические веб-сайты, перехватчики клавиатуры, почтовые сообщения, которые составлены согласно правилам социальной инженерии и др. С каждым днем эти методы становятся более разнообразными и опасными. Как сообщает сайт Internetua.com, со ссылкой на отчет APWG (Anti-Phishing Work Group Phishing Activity Trends Report 2nd Half), число ресурсов, ориентированных на хищение личных данных, во второй половине прошлого года возросло в десять раз. В июне этого года департамент внешних и общественных связей Центробанка России объявил о появлении в российском сегменте интернета сайтов, которые имитируют представительства реально существующих кредитных организаций. Стиль оформления и доменные имена этих веб-сайтов, чаще всего очень походили на официальные сайты соответствующих структур. При этом пользователям, посетившим эти ресурсы, предлагается заведомо поддельная контактная информация и банковские реквизиты. Использование этих данных и вступление с представителями таких сайтов в деловые отношения сопряжено с риском и способно привести к плачевным последствиям для клиентов, предупреждают в ЦБ. Это доказывает, что фишинговые атаки становятся сейчас все более актуальной проблемой, поэтому стоит более подробно исследовать их суть и методы защиты от них. Фишинг, согласно определению компании Dr. Web, представляет собой технологию мошенничества в Сети, которая заключается в хищении персональной закрытой информации, к примеру, данных идентификационных и банковских карт, паролей доступа и др. С помощью почтовых «червей» и спамерских рассылок потенциальным жертвам присылаются письма от лица, якобы, легальных организаций. В этих письмах их просят посетить поддельный сайт и подтвердить PIN-коды, пароли и прочую личную информацию, которая в будущем будет использоваться мошенниками для кражи со счета жертвы денег или других преступлений. По информации компании Websense, самым популярным инструментом для создания фишинг-ресурсов является Rock Phish Kit. В данный момент ситуация с фишингом очень напоминает ситуацию, которая была несколько лет назад при написании вредоносных кодов, когда появились их конструкторы. Суть фишинга заключается в следующем: злоумышленник, обманывая пользователя, вынуждает его предоставить персональную информацию (сведения о банковских картах, имена и пароли к различным ресурсам и др). Основным отличием этого типа мошенничества является добровольное предоставление пользователем своих сведений. Чтобы этого добиться, мошенники активно используют прием социальной инженерии. Современный фишинг можно поделить на 3 вида: онлайновый, почтовый и комбинированный. Наиболее старым является почтовый фишинг: на адрес получателя присылается письмо с просьбой выслать какие-то сведения. Онлайновый фишинг подразумевает следующую схему: мошенники копируют официальные ресурсы, используя схожие доменные имена и дизайн. Дальше все просто. Пользователь, посетивший такой ресурс, может оставить тут свои данные в полной уверенности, что они попадут в надежные руки. На самом деле, эти сведения оказываются в руках киберпреступников. К счастью, сейчас наблюдается тенденция к повышению знаний пользователей об элементарных мерах информационной безопасности, поэтому данная схема мошенничества постепенно теряет свою актуальность. Третий вид – комбинированный. Его суть заключается в создании фальшивого сайта реальной организации, на который мошенники пытаются заманить потенциальных жертв. В этом случае злоумышленники предлагают пользователям самостоятельно произвести некоторые операции. В интернете практически каждый день появляются предупреждения о подобных ресурсах, которые делают данные способы мошенничества хорошо известными. В связи с этим мошенники стали чаще использовать key-loggers – это специальные программы, которые отслеживают нажатия пользователем клавиш и отсылают эти сведения по заранее установленным адресам. На территории СНГ первая фишинг-атака была зафиксирована в 2004 году. Она была направлена на клиентов московского отделения «Ситибанка». Вишинг. Первый случай этого интернет-мошенничества была зафиксирован в 2006 году. Он представляет собой разновидность фишинга и реализуется с использованием war diallers (автонабирателей), а также интернет-телефонии (VoIP). С помощью данного вида мошенничества злоумышленники получают доступ к персональной информации, вроде паролей, идентификационных и банковских карт и др. Схема обмана мало чем отличается от фишинга: пользователи платежной системы получают от якобы администрации сообщения по почте, в которых им рекомендуется прислать свои пароли и счета. Но если в случае с фишингом прилагается ссылка на фальшивый сайт, то при фишинге пользователю предлагают позвонить по городскому номеру. При звонке зачитывается сообщение, в котором человека просят раскрыть свои конфиденциальные данные. Сложность в раскрытии этого вида мошенничества заключается в том, что развитие интернет-телфонии позволяет перенаправлять звонки на городской номер в любую точку мира, причем звонящий даже не будет об этом подозревать. Компания Secure Computing рапортовала о самом изощренном способе обмана по схеме вишинга – электронная почта тут вообще не использовалась, так как злоумышленники запрограммировали ПК, чтобы тот набирал телефонные номера из базы данных и проигрывал заранее записанное сообщение, к котором абонента предупреждали, что сведения о его кредитной карте оказались в руках мошенников, поэтому ему необходимо с телефонной клавиатуры ввести номер. Использование протокола VoIP позволяет существенно сократить расходы на телефонную связь, однако он же делает компании гораздо уязвимее для атак. Банки и иные организации, эксплуатирующие для голосовой связи IP-телефонию, могут подвергнуться вишинг-атакам, работающей защиты от которых пока нет. В частности, об этом говорил The Grugq - эксперт в области информационной безопасности, который выступил с сообщением о мошенничествах на конференции Hack In The Box Security Conference (HITB) в Малайзии. «Злоумышленники получат возможность свободно проникать в банковские сети и реализовывать контроль над банковскими телефонными каналами», - говорит Grugq. По его словам, вишинг-атаки через VoIP произойдут еще до конца 2009 года. Мошенники получат полный доступ к конфиденциальной информации, в том числе к учетным банковским данным и номерам кредитных карт. Помешать им сделать это могут лишь профи в сфере информационной безопасности. «Теоретически, клиент звонит в банк, а телефонная линия уже находится под контролем хакеров», - рассказывает The Grugq. В этом случае, мошенник просит звонящего сообщить некую учетную информацию, чтобы связаться со службой поддержки банка. «Нет технологии, которая сможет гарантировать компаниям защиту от этой проблемы», - уверен эксперт, отметив, что действующие системы не могут определить VoIP-атаку. Чтобы ее организовать злоумышленникам требуется стандартное программное обеспечение для поддержки биллинга телефонных разговоров и IP-телефонии. По информации Secure Computing, мошенники конфигурируют war dialler, набирающий номера в конкретном регионе. В момент ответа происходит следующее: • Автоответчик информирует пользователя, что с его кредитной картой проводятся мошеннические действия и рекомендует быстро перезвонить по некоему номеру. • После того как жертва перезванивает по номеру, там ему отвечает «компьютерный голос», говорящий, что пользователь должен пройти сверку и ввести номер карты с клавиатуры телефона. • Как только номер карты введен, мошенник получает всю информацию (адрес, номер телефона, полное имя). • Используя этот звонок, вишер может собрать и другую дополнительную информацию, вроде срока действия карты, PIN-кода, номера банковского счета и даты рождения. Как защититься от подобного вида мошенничества? Есть несколько простых способов, которые обезопасят вас: • Все кредитные организации по электронной почте или телефону обращаются к клиенту по имени и фамилии. Если в обращении это не указано, то, скорее всего, имеет место факт мошенничества. • Ни в коем случае не звоните по вопросам безопасности банковского счета или кредитной карты по предложенному номеру телефона. На всех платежных картах указывается специальный телефонный номер, по которому вы и должны звонить. • Если звонящий вам представляется вашим провайдером и задает вопросы относительно конфиденциальных данных, то он, скорее всего, мошенник.
There Are Two Types Of Men On Our Mother Earth Some Have All Luck Some Just Live In Dirt При низком уровне жизни (как в сети, так и в оффлайне), всегда будет проявлятся эта главная особенность человеческой природы - объебать ближнего своего дабы сделать жизнь свою краше. Умные и глупые всегда будут. На примере фишинга - это девочки которые сосали у босса последние 10 лет чтобы купить пежо для себя и своей тупой собаки, а потом у них ВНЕЗАПНО пропали деньги из интернета!!! Украли! Преступление! Воры! Жулики на худой конец! Это человеческий фактор, и в реале он гораздо больше значит полюбому чем в интернете. На самом деле, если у людей украли деньги значит им они не очень то были и нужны! (с) А! Нет, нет, не совсем так..: Если у вас украли деньги, значит нашелся тот, кому они понадобились больше! (с)
Подскажите где скачать Rock Phish Kit? Потому что нужно создать пару фальшивых сайтов не с коммерческой целью.
ИМХО если есть мозги и нужен картон, взломай буржуйский шоп, слей базу сс, прочекай и юзай валидный картон на свое усмотрение.
Привет, коллега Сейчас есть фейки, в точности копирующие адрес сайта, на который якобы должна перейти жертва. Чем больше "честные люди" находят способов защиты от атак, тем больше "нечестные люди" находят новых, более изощренных, способов атаки. И так будет всегда. Мир не стоит на месте ))
