Фишинг, ни что иное как разновидность мошенничества в интернете, с целью получения личной, конфиденциальной информации пользователя, будь то логин, либо пароль. Достичь этого можно методом проведения массовых рассылок писем на e-mail адреса от имени популярных брендов. Например это могут быть различные социальные сети (Вконтакте, Одноклассники или Facebook), также рассылка может вестись от различных банков (Ситибанк, Альфа-банк) или других сервисов (Yandex, Rambler или же Mail.ru). В злополучном письме чаще всего пользователи обнаруживают ссылку на сайт, внешне практически не отличимой от оригинального. Переходя по ссылки на такой сайт, пользователь может предать важную и безусловно ценную информацию мошенникам, которая в свою очередь позволяет приобрести доступ к аккаунтам и счетам в банке.

Фишинг одна из вариаций социальной инженерии, которая в свою очередь основывается на безграмотности пользователей в вопросах сетевой безопасности. В частности, многие не знают такого факта: сервисы не ведут рассылку писем с просьбой сообщать пользователей свои учетные записи, пароли и прочие личные данные.

Для обороны от фишинга производители популярных интернет-браузеров решили применять одинаковые способы информирования пользователей об открытии подозрительного сайта, который, скорее всего принадлежит мошенникам. Последние версии браузеров обладают возможностью разоблачать фишинг, которая называется «анти-фишинг».

История.

Система фишинга была описана впервые в 1987 году, а термин же появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet, но вполне возможно и более раннее упоминание этого термина в хакерском журнале 2600.

Ранний фишинг на AOL.

Фишинг на AOL связан прежде всего с известным варез-сообществом, которое занималось незаконным распространением пиратского софта, мошенничеством с кредитными и прочими сетевыми правонарушениями. После принятия AOL мер по предотвращению использования поддельных номеров кредитных карт в 1995 году, мошенники начали заниматься фишингом для получения доступа к аккаунтам пользователей.

Фишеры представлялись, как сотрудники AOL и с помощью программы быстрого обмена сообщениями обращались к жертве, предпринимая попытки узнать его пароль. Для большего убеждения жертвы, использовались различные фразы, например, «подтверждение аккаунта», «подтверждение платежной информации». Когда же жертва сообщала злоумышленникам пароль, они получали доступ к данным жертвы и использовали его аккаунт с целью мошенничества или спамерства. Фишинг в то время достиг таких масштабов, что AOL пришлось использовать во всех своих сообщениях фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила политику в отношении фишинга и вареза, а также разработала новую систему быстрого отключения мошеннических аккаунтов. В то же время большинство фишеров, большей своей частью являвшиеся подростками, переросли свою привычку, и фишинг на серверах AOL постепенно сошёл на нет.

Переход к финансовым учреждениям.

Получение учетных записей AOL, позволявшее иметь доступ к кредитным картам, показал, что не исключены атаки и на платежные системы. Первая известная попытка была атака на платёжную систему e-gold в июне 2001 года, следующей стала атака, произошедшая сразу после теракта 11 сентября. Обе попытки считаются не успешными, но можно рассматривать их, как эксперимент, проверку способностей. Уже к 2004 году фишинг стал огромной опасностью для компаний, постоянно развиваясь и наращивая потенциал.

Фишинг сегодня.

Диаграмма роста числа зафиксированных случаев фишинга.

Жертвами фишеров на сегодняшний день являются клиенты банков и электронных платежных систем. В США, маскируя себя под Службу внутренних доходов, фишеры получили значительные данные о налогоплательщиках. И если же первые письма отправлялись абсолютно случайно, в надежде, что они всё же дойдут до клиентов нужного мошенникам банка или сервиса, то сейчас фишеры могут беспрепятственно определить, какими услугами пользуется та или иная жертва, и использовать целенаправленную рассылку. Часть последних фишинговых атак была направлена преимущественно на руководителей и прочих людей, которые занимают высокие посты в компаниях.

Социальные сети представляют великий интерес для фишеров, позволяют им собирать различные личные данные пользователей. В 2006 году компьютерный червь разместил на MySpace огромное число ссылок на фишинговые сайты, нацеленные на незаконное приобретение регистрационных данных. Впервые в мае 2008 года похожий червь распространился и в самой популярной в России социальной сети ВКонтакте. Уже доказано, что более 70% атак фишеров в социальных сетях успешны.

Социальная инженерия.

Чаще всего человек реагирует на важные для него события, поэтому фишеры преследуют цель встревожить своими манипуляциями пользователей и вызвать у них немедленную реакцию на то, что происходит. Например, электронное письмо с заголовком « чтобы восстановить пароль к своему счету в банке», как правило, привлекает внимание и принуждает жертву кликнуть веб-ссылку для получения более полной информации.

Многие методы фишинга сводятся к попытке замаскировать ложные ссылки на сайты фишеров под ссылкой настоящих брендов или организаций. Часто злоумышленники используют адреса с опечатками или субдомены.

Для примера можно взять http://www.alfa-bank.example.com/, на первый взгляд ссылка похожа на адрес банка Альфа-банк, а на самом деле она принадлежит фишинговому сайту example.com. Другая уловка, которая также весьма популярна, заключается в использовании внешне верных ссылок, в реальности которые также ведут на фишинговый сайт. К примеру, http://ru.wikipedia.org/wiki/Ночь приведёт не на статью «Ночь», а на статью «День».

Один из первых способов обмана пользователей основывался на использовании ссылок, которые содержали в себе символ «@», применяемый для добавления в ссылку имени пользователя и пароля. К примеру, ссылка http://www.yaxoo.com@members.foripod.com/ приведёт не на www.yaxoo.com, а на members.foripod.com от логина пользователя www.yaxoo.com. Данная функция была отключена в Internet Explorer, а Mozilla Firefox и Opera выдают предостережение и спрашивают подтверждение перехода на сайт.

Очередная проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально похожи на официальные, могли вести на сайты фишеров.

Также часто фишерами используются изображения вместо текста, что в свою очередь затрудняет поиск и обнаружение электронных писем злоумышленников антифишинговыми фильтрами.

Обман не заканчивается на посещении жертвой сайта фишеров. Мошенники используют также JavaScript, предназначенный для изменения адресной строки. Достигается это способом размещения изображения с подлинным URL над адресной строкой, либо закрытием официальной адресной строки и открытием новой с подлинным URL.

Мошенник может пользоваться уязвимостью в скриптах подлинного сайта. Этот вид правонарушения, известный как межсайтовый скриптинг, наиболее опасен, так как пользователь авторизуется на подлинной странице официального сайта, где всё, от веб-адреса до сертификатов, выглядит настоящим. Данный вид фишинга сложно обнаружить без особых навыков. Такой метод использовался в отношении PayPal в 2006 году.

С целью противостояния антифишинговым сканерам, мошенники начали использовать веб-сайты, которые основаны на технологии Flash. Внешне такой сайт смотрится, как настоящий, но текст скрыт в мультимедийных объектах.

Веб-сайты, подделанные злоумышленниками, не единственный вид фишинга. Письма, отправленные как будто из банка, сообщают пользователям о необходимости позвонить по специальному номеру для решения трудностей, связанных с их счетами в банках. В ходе разговора по телефону, фишеры убеждают жертву назвать номер своего счета и PIN-код. Для того, чтобы люди думали, что звонок идёт из официальных организация, фишеры иногда использовали фальшивые номера. Данный вид фишинга называется голосовой фишинг.

Поддельные веб-сайты   не единственное направление фишинга. Письма, которые отправлены якобы из банка, сообщают пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. В ходе телефонного разговора фишеры убеждают пользователя сказать номер своего счёта и PIN-код. Для того, чтобы казалось, что звонок идёт из официальных организаций, вишеры (вишинг   голосовой фишинг) иногда используют фальшивые номера.