Мошенники очень быстро реагируют на меняющуюся обстановку. Например, в результате летнего банковского кризиса в России появились письма, сообщающие, что из-за проблем банковской системы за снятие "с пластиковой карты денег теперь в большинстве российских банков забирают 10-15% комиссионных вместо обычных 5%". Чтобы спасти россиян от таких "потерь", им предлагают открыть банковский счет на свое имя в каком-нибудь надежном американском банке. Для того чтобы выбрать кредитное учреждение, пользователям предлагается за $22 купить справочник, который содержит информацию по открытию банковского счета в Америке. Указанную сумму "благодетели" предлагают прислать в Чехию. Повышается технический уровень мошенников. Некоторые создатели фишинга начали использовать небольшие написанные под Java всплывающие окна, накладывающиеся на адресную панель таким образом, что пользователи думают, будто находятся на настоящем сайте, а не на поддельной странице. Они также добавляют пиктограмму в виде замка, которая считается символом интернет-защиты, придавая своим страницам еще более подлинный вид. С планируемым разрешением в Рунете регистрации доменных имен с кириллицей клиенты любого банка могут стать жертвами фишинга (для этого нужно зарегистрировать сайт с тем же именем, что и атакуемый банк, но буква "а" должна быть не латинская, а кириллическая. Не потеряли своей актуальности вредоносные программы, которые могут быть без ведома пользователя тайно загружены на его компьютер. Программа активизируется автоматически, когда пользователь заходит на определенные веб-сайты, например банковские, тайно записывает личные данные и пересылает их мошеннику. Существует цепочка преступной интерактивной деятельности, использующая инструментарий интернет-методов. По словам исполнительного директора антиспамовой компании Ironport Скотта Вайсса (Scott Weiss), представители организованной преступности финансируют компьютерных хакеров, рассылающих вирусы, разработанные для создания "виртуальных компьютерных сетей" зомби-машин. После этого злоумышленники распродают ресурсы на этих виртуальных компьютерных сетях, предоставляя возможность рассылать через них миллионы фишинг-электронных писем, которые почти невозможно отследить. Старший полицейский офицер и глава Национального департамента Великобритании по борьбе с преступлениями в сфере высоких технологий*(131) Мик Дитс (Mick Deats) заявляет, что зачастую после взлома банковских счетов происходят сложные операции по отмыванию денег, проводимые в Сети. "В основном преступные элементы приходят из Восточной Европы, ведь за последнее время мы столкнулись с множеством обманутых русскоязычных пользователей, предоставлявших свои счета для перевода денег обратно в Россию", - отмечает он. Обычно этих жертв находят с помощью программ мгновенных сообщений (ICQ), проверяя их связи на родине (в России или странах СНГ), после чего просят выручить "российского бизнесмена", пытающегося переслать немного денег домой, обещая, естественно, за это вознаграждение. Как определить, является ли письмо попыткой "фишинга"? Приведем несколько внешних признаков того, что письмо является обманным. 1. Тема и тело письма бедно отформатированы и содержат много ошибок. 2. Письмо начинается с неличностного приветствия, такого, как "Дорогой клиент". Обычно действительные компании посылают письма, в которых обращаются к получателю по имени. 3. Манера изложения письма беспокоящая или тревожная, как у писем, запрашивающих финансовую или другую персональную информацию, в тревожном тоне в письме сообщается о том, что многие клиенты потеряли свои учетные записи и это может случиться и с получателем. 4. Если письмо содержит ссылку, следует провести мышью над ней. Если видимая ссылка в теле письма не совпадет со ссылкой в строке статуса, то существует большая вероятность, что письмо было подделано (например, в строке написан адрес https://www.Nbank.com/signin/confirmation.jsp, а гиперссылка ведет на адрес http://219.148.127.66/scripts/confirmation.htm). Проблема фишинга в западных странах стала одним из главных приоритетов для правительств, органов юстиции и финансовых компаний, в то время как информационно-техническое общество пытается найти ее решение. 17 июня 2004 г. министерство финансов США, Организация защиты прав потребителей (Better Business Bureau) и Федеральная торговая комиссия (Federal Trade Commission) объединились, чтобы обучить пользователей компьютеров тому, как правильно избегать нападения фишинг-преступников. Группа компаний, в состав которой вошли IBM и Fidelity Investments, открыли "Форум по надежным электронным коммуникациям" (TECF) - торговую группу, основной целью которой стало создание технических стандартов для борьбы с фишингом. Председатель TECF и директор по продуктовой и маркетинговой стратегии компании PbstX Шон Элдридж (Shawn Eldridge) надеется, что группа сможет создать ряд технологических и юридических стандартов для борьбы с мошенничеством. Обещающим выглядит развитие интернет-технологий, которые могли бы гарантировать законность получаемых сообщений. Компания Internet Engineering Task Force разрабатывает спецификации для регистрации авторизированных серверов, занимающихся рассылкой электронной почты. Подобная практика дополняет работу Microsoft над технологией Caller ID, а также компании Pobox.com над системами Sender Policy Framework (как CallerlD, так и SPF-системы проверяют электронные адреса, сравнивая серверы отправки с доменом отправляющего их человека). Старший вице-президент технологической стратегии в компании MCI Винт Керф (Vint Cerf) считает, что аутентичность должна стать решающим прорывом в будущее. По его мнению, возможность проверить надежность источника электронной почты даст как минимум начало управления. Другие антифишинговые решения включают систему Yahoo! DomainKeys, способную проверять содержание сообщений и панелей от eBay и Earthlink, которые в случае обращения к одному из фишинг-сайтов становятся красными или просто к ним перекрывается доступ. 28 июня 2004 г. корпорация MasterCard International официально присоединилась к программе по борьбе с компьютерным мошенничеством, связанным с использованием подложных финансовых данных и кредитных карт. Программа была инициирована компанией NameProtect, созданной специально для борьбы с мошенничеством в этой области. Основной целью программы является проведение комплекса мероприятий по предупреждению случаев мошенничества. Специалисты NameProtect установили сервисы мониторинга во всех известных системах обмена и продажи финансовых данных. Использование этих служб, по словам главы NameProtect обеспечивает наибольшую эффективность в борьбе с мошенниками - "меч правосудия поражает непосредственно черный рынок кредитных карт". Чтобы решить проблему фишинга, в американском Сенате подготовлен специальный законопроект. Он запрещает подделку сайтов с целью принудить пользователя передать свои идентификационные данные другому лицу. Преступлением согласно законопроекту является и подделка обратных адресов электронной почты с целью заманивания пользователей на поддельные сайты. В конце августа министерство юстиции США объявило о завершении операции "Веб-капкан", в ходе которой было заведено 160 уголовных дел, где фигурируют свыше 150 тыс. потерпевших. В сотрудничестве с властями Румынии и Нигерии были достигнуты следующие результаты: более 350 подследственных, 103 ареста и 53 приговора, 117 уголовных исков, обвинительных заключений и извещений, исполнение более чем 140 ордеров на обыски и изъятия. К операции были привлечены огромные ресурсы буквально по всему миру. 20-летний житель Техаса, который для получения номеров кредитных карт заманивал пользователей сервиса PalPay на ложный сайт, был осужден на 46 месяцев тюремного заключения (в результате своей деятельности он получил доступ к реквизитам 473 карт и 152 счетам). 5 мая 2004 г. британская полиция арестовала двенадцать выходцев из стран бывшего Советского Союза, подозревающихся в организации махинаций с целью хищения информации о счетах клиентов крупных банков. Преступники рассылали жертвам электронные письма с предложением подтвердить информацию о своих счетах. При этом клиентам банков было необходимо заполнить специальную форму, размещенную на фальшивом сайте. Естественно, внешний вид такого сайта полностью копировал оформление и структуру официального ресурса. 14 октября 2004 г. в лондонском магистратном суде на Боу-стрит были выдвинуты обвинения в фишинге четверым интернет-мошенникам. По информации интернет-издания CNews.ru, начальник пресс-службы "Управления К" Анатолий Платонов, комментируя ситуацию с фишингом в России, отметил, что бороться с этим явлением "Управление К" намерено "при помощи оперативно-розыскных мероприятий". Однако, чтобы бороться с преступлением, управлению требуется как минимум заявление потерпевшего, которое тот может написать в отделении милиции по месту жительства. Пункт 2 Постановления Пленума Верховного Суда Российской Федерации от 25.04.95 N 5 "О некоторых вопросах применения судами законодательства об ответственности за преступления против собственности" гласит: "Дела о преступлениях против чужой, в том числе и государственной, собственности являются делами публичного обвинения и не требуют для их возбуждения, производства предварительного расследования и судебного разбирательства согласия собственника или иного владельца имущества, ставшего объектом преступного посягательства". Постановление Пленума Верховного Суда Российской Федерации от 27.12.2002 N 29 "О судебной практике по делам о краже, грабеже и разбое" сохраняет в силе данный пункт. Некоторые специалисты в области безопасности достаточно скептически оценивают будущее борьбы с фишингом. По мнению Дуга Пековера (Doug Peckover), президента компании Privacy, производящей программное обеспечение, традиционные антифишинг-инструменты (такие, как фильтры) не работают, необходимо внедрять новые средства. Старший вице-президент в исследовательской фирме Meta Group Мет Каин (Matt Cain) считает, что бурный рост фишинг-мошенничества, а заодно и универсального спама и вирусов, способствует кризису, который может угрожать самому существованию электронной почты. Основные уязвимости, которые использует фишинг - это человеческий фактор и слабые средства защиты в технологии аутентификации. Информация, которую получают фишеры от клиентов банков и платежных систем: имена, фамилии, домашние адреса, телефоны, номера платежных карт, срок действия платежных карт, защитные коды карт (CVV2/CVC2), ПИН-коды, тип платежных карт, название банка, номер банковского счета; имя и пароль для доступа к счету через Интернет. Практически это весь перечень запрашиваемого на фишинг-сайтах. Данной информации оказывается достаточно, чтобы получить несанкционированный доступ к счетам клиентов. Платежные системы (eBay) используют в качестве идентификации клиентов только имя и пароль. То же самое делают многие зарубежные банки при предоставлении доступа к счету через Интернет (в качестве имени может запрашиваться номер банковской карты, а в качестве пароля - ПИН-код). Данная технология является явно недостаточно защищенной. Для оплаты товаров и услуг с использованием банковских карт по почте и телефону, а также в большинстве случаев оплаты через Интернет (если банк-эмитент и банк-эквайрер не используют защищенные технологии платежей Verified by Visa и Secure Code - на сегодняшний день они еще недостаточно распространены) достаточно знать номер карты, срок ее действия и код верификации карты (CW2/CVC2). Что касается получения наличных денежных средств через банкомат, то знания номера карты, срока ее действия и защитного кода CW2(CVC2) (т.е. тех данных, которые знает клиент и может сообщить их мошеннику) будет недостаточно, т.к. на магнитной полосе дополнительно записана еще некоторая информация, которую держатель карты не знает. Это так называемый код верификации ПИН-кода (PW) - четыре десятичные цифры (10 000 значений) и код верификации карты (CW/CVC) - три десятичные цифры (1000 значений), который отличается от записанного на полосе для подписи кода (CW2/CVC2). Таким образом, чтобы изготовить карту и получить по ней деньги в банкомате, помимо сведений, которые держатель может сообщить сам (номер карты и срок ее действия), необходимо иметь комбинацию из семи десятичных цифр (10 000 000 возможных значений). Существует еще одна сфера деятельности мошенников в области банковских карт. Это так называемый скимминг - несанкционированное копирование информации с магнитной полосы карты. Целью скимминга является получение второй дорожки магнитной полосы. Именно эта дорожка содержит все необходимые данные, передаваемые в процес-синговый центр эмитента для получения авторизации. Классическое копирование магнитной полосы карты осуществлялось в торговых предприятиях, когда держатель передавал свою карту для оплаты. Данный способ существует и на сегодняшний день. Однако развитие компьютерных технологий, использование протокола TCP, появление в крупных магазинах локальных сетей, по которым передается информация со вторых дорожек, деятельность хакеров по взлому компьютерных систем и утечка информации от провайдеров электронных каналов связи привели к колоссальному увеличению случаев данного мошенничества. На кардерских сайтах*(132) существуют предложения о продаже огромного количества дампов скопированных карт. В силу массовости и больших масштабов фишинга и скимминга происходит симбиоз данных направлений мошенничества. В результате фишинга имеется достаточно большая база данных номеров карт с ПИН-кодами, а в результате скимминга есть подобная база со вторыми дорожками магнитных карт. Мошенники из обеих групп обмениваются информации и получают возможность изготовить поддельную банковскую карту с известным ПИН-кодом. В западных технологиях особенно уязвимым является интернет-доступ к счету клиента. Достаточно каким-либо образом узнать имя и пароль доступа к счету (например, от самого же клиента, путем перебора или иными методами), и злоумышленник получает полный контроль над финансовыми средствами. При использовании слабых алгоритмов аутентификации клиентов (например, использование только статических паролей) в новых технологиях интернет-платежей Verified by Visa и Secure Code получаемая фишерами информация позволит обойти защитные механизмы протокола 3D-secure. Российские банки в связи с более жестким законодательством по использованию средств криптографической защиты в большинстве своем при организации услуг интернет-банкинга используют сертифицированные ФАПСИ или ФСБ средства криптографической защиты информации. Доступ к счету клиента и взаимная аутентификация банка и клиента осуществляются с использованием надежных криптографических алгоритмов (секретные ключи обладают достаточной длиной и хранятся на отчуждаемых носителях информации). Фишинговая атака на такие технологии окажется явно бессмысленной. В результате российские банки предоставляют своим клиентам более защищенную, а следовательно, и более качественную услугу. На фоне тех потерь, что несут зарубежные банки, это может использоваться отечественными банками как сильный маркетинговый ход.
Ви переглядаєте статтю (реферат): «Пример "фишингового" письма» з дисципліни «Пластикові картки»