Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей (пароли, номера кредитных карт, банковских счетов, социальных сетей и другой конфиденциальной информации).
Данный метод получил большую популярность, так как большинство пользователей не всегда соблюдают элементарные требования компьютерной безопасности.
Используя различные психологические приемы, мошенники побуждают пользователей вводить свои конфиденциальные данные на фальшивых веб-страницах, внешне неотличимых от оригинального сайта банка, интернет-магазина почтового сервиса и др.
В большинстве случаев, единственное отличие поддельной страницы от настоящей - это ее неверный адрес (URL). Зачастую пользователи не обращают внимания на адресную строку браузера. А так как внешний вид фишинговой страницы полностью копирует страницу сайта-оригинала, то большинство пользователей попадаются на уловку и отдают конфиденциальную информацию мошенникам.
Злоумышленники нацелены на широкий круг пользователей. Они производят массовую email-рассылку фишинговых писем содержащих официальные логотипы учреждения, сайта, компании или бренда, от лица которого идет обращение и побуждают пользователя самыми разными способами перейти по ссылке и ввести свои персональные данные. Заставить нажать на ссылку пользователя может якобы победа в розыгрыше, невероятно высокие скидки в интернет магазине, подтверждение платежных данных или ПИН-кодов, требования изменить ваши данные для входа в систему под предлогом защиты от взлома и т.д.
Фишинговые сайты, как правило, живут недолго (в среднем — 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен — он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники.
Технологии фишеров постоянно совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры DNS-серверы и заменяют на на них цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно.
Наиболее популярными целями фишеров являются банковские сайты. Атаки фишеров бывают случайными и целевыми. В первом случае атака производится “наобум”. Атакуются наиболее крупные и популярные объекты — такие как аукцион Ebay — так как вероятность того, что случайный получатель имеет там учетную запись, довольно высока. Во втором случае мошенники узнают, каким именно банком, платежной системой, провайдером, сайтом пользуется адресат. Этот способ более сложен и затратен для фишеров, зато больше шансов, что жертва купится на провокацию.
Воровство конфиденциальных данных — не единственная опасность, поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую, следуя по ней, можно получить программу-шпиона, кейлоггер или троян.
Как вы можете защитить себя от мошенничества?В настоящее время мошенники разработали великое множество всевозможных ухищрений и ловушек, чтобы заманить доверчивого пользователя на свою страницу, и заставить его ввести нужную для хакера информацию. Интернет-мошенники могут связаться с вами по-разному, например, по электронной почте, личным сообщениям, сообщениям в социальных сетях, при помощи объявлений на сайтах и т.д. Нажав на любые ссылки в таких сообщениях, вы попадете на страницу входа на фишиноговой странице. Поэтому всякий раз, когда вы получаете какое-либо электронное письмо, призывающие вас перейти по ссылке, первым делом вы должны обратить внимание на адрес этой ссылки. Вы должны потратить немного времени и изучить эту ссылку.
- Проверьте, присутствует ли в адресной строке символ защиты (зеленый замочек, приставка https).
- Сравните написание полученной в письме ссылки с адресом оригинального сайта.
- Узнайте подробности регистрации сайта – введите в поисковой системе whois.com название сайта. Так вы узнаете дату и срок регистрации сайта. Недавняя регистрация должна насторожить. Регистрация сроком на 1 год – тоже опасный признак.
Пример фишинговой страницы «Facebook». Страница входа и регистрацииБольшинство людей не заподозрят подмену, так как есть префикс «
https» и браузер сообщает, что сайт безопасен, да и facebook.com написано верно. Однако это фишинг-страница. Внимательно посмотрите на URL-адрес. Это «
https;//www.facebook.com.beck.com». В данном виде «
www.facebook.com.» является субдоменом «
beck.com». Браузер Google Chrome не отличает поддомен и домен, в отличие от Firefox. А защитные «
SSL-сертификаты» (HTTPS) могут быть получены от многих поставщиков, да и получить «SSL-сертификат» на любой сайт можно бесплатно. Поэтому крайне важно всегда обращать внимание на правильность указанного URL-адреса.
Второй пример фишинговой страницы FacebookВ этом примере используется замена одной буквы, которая при беглом взгляде может быть и незаметна. Но преступники используют и куда более незаметную замену букв, используя символы из других алфавитов.
Среди примеров фишинговых сайтов — страница polonìex.com, копирующая биржу криптовалют poloniex.comИнтернационализированные доменные имена (IDN) содержат символы национальных алфавитов, отличающиеся от латинских символов. Для того, чтобы структуру системы доменных имён
DNS не нужно было менять, для поддержки других языков используется преображение адресов, содержащих символы национальных алфавитов, в слова из символов
ASCII. Такой способ был призван стать «мостом» между англоговорящими и неанглоговорящими пользователями.
Для кодирования символов из других алфавитов в символы ASCII используется
Unicode. Стандарт Unicode
включает в себя знаки почти всех письменных языков мира — более 136 тысяч символов из 139 языков. Unicode технически — это массив данных, в котором каждому из символов назначен код в формате ASCII, который затем раскодирует формат UTF —
Unicode Transformation Format.
Но некоторые символы мы все же не можем использовать в адресной строке. Помочь справится с этим ограничением поможет Punycode (Паникод) — система преобразования Unicode в последовательность из букв и символов, разрешённых в доменных именах. В адресной строке мы видим набор символов, начинающийся с префикса «xn--», который сообщает об использовании Punycode. Например, «россия.рф» в Punycode выглядит как
xn--h1alffa9f.xn--p1ai. В адресной строке браузера мы видим кириллицу, но передаётся она именно в Punycode, после чего браузер переводит набор символов на русский.
Буквы из разных языков могут выглядеть похоже или абсолютно идентично. Только в английском языке практически неотличимы «l» и «I» — маленькая «L» и большая «i». Русская и английская маленькая «а» — полностью идентичны. Такие символы называют «гомоглифами», а «гомографы» — слова, в которых они используются. Такой способ обмана пользователей
используется уже много лет.
Несколько примеров похожего написания адресов:
| Код: выделить все xn--farsghtsecurity-xng.com --> farsɩghtsecurity.com
|
— использована строчная греческая «Йота» — "ι" (U+0269)
— все символы — кириллические.
Компания Farsight Security
искала фишинговые сайты, использующие эту уязвимость, в течение трёх месяцев с 17 октября 2017 года по 10 января 2018, и за это время обнаружила более 116 тысяч страниц, копирующих финансовые сайты, страницы модных брендов и биржи криптовалют и, конечно, социальные сети.
Еще несколько примеров фишинговых ссылок:
