`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Phishing: проблема в 500 млн долл.

0 
 
Такие сайты нередко базируются на бесплатном хостинге, а информация о них приходит в виде официального почтового сообщения с просьбой подтвердить какие-то важные данные пользователя. Так работают лишь начинающие шулеры, профессионалы используют хостинг в какой-то из азиатских стран, где законы не предусматривают уголовной ответственности за подобную деятельность и присылают безукоризненно составленный текст, где банк или онлайн-брокер извиняется за причиненные неудобства, но просит обновить информацию на аккаунте. Дизайн ресурса и его содержание нередко с точностью до комментариев в HTML-коде повторяют сайты финансовых организаций. Вот только ценные пароли и номера счетов и карточек затем оказываются в руках злоумышленников.

По данным Anti-Phishing Working Group, только в октябре зафиксировано 1142 подложных сайта. Финансовые организации ведут постоянный мониторинг подобных ресурсов, а некоторые из них (PayPal, к примеру) предлагают адрес электронной почты, на который более догадливые пользователи могут отослать фальшивое письмо. После обнаружения нового коллектора информации чаще всего выходят на хостинг-компанию, обеспечивающую Web-пространство под столь амбициозный проект. Несмотря на активные меры пресечения phishing-деятельности, фирма WebSense полагает, что ежедневно в мире функционируют примерно 1000 таких Web-сайтов. Термин phishing является производным от английского слова fishing (рыбалка), так как создатели подобных проектов обычно забрасывают удочки и ждут доверчивого клиента, вводящего в Web-форму ценные пароли и номера.

Вы наверняка уже догадались, для чего могут быть использованы такого рода сведения. Информация о номерах банковских счетов и водительских прав может пригодиться для изготовления фальшивых документов, в то время как номера кредиток и пароли для платежных систем могут быть применены непосредственно по назначению.

Пароли к банковским и брокерским счетам нельзя использовать напрямую, так как онлайн-банкинг на многих сайтах ограничен просмотром баланса и переводом средств только на свои аккаунты. Между тем ряд банков и онлайн-брокеров предоставляет своим клиентам возможность выписывать чеки (чаще всего для оплаты бытовых услуг и перевода денег с брокерского счета на банковский), что, разумеется, злоумышленник может использовать в личных целях.

В сентябре 2004 г. в результате исследования, проведенного Truste, было установлено, что только на территории США потери от подобной "рыбацкой" деятельности составили 500 млн долл. Несколькими месяцами ранее Mail-Frontier разослала тысяче Web-пользователей письма, содержащие ссылки на фальшивые версии сайтов eBay.com и PayPal.com. 28% клиентов, по словам исследователей, "купились" на идентичный дизайн и ввели необходимые для аутентификации данные.

Решение копировать сайты компании eBay не случайно, так как большинство phishing-сайтов заинтересовано именно в аккаунтах онлайн-аукциона eBay или платежной системы PayPal. Подобное внимание со стороны криминального мира заставило eBay выпустить собственную панель для браузера Internet Explorer. Кроме обеспечения стандартных функций поиска, панель подтверждает, что посетитель действительно находится на сайте eBay (об этом свидетельствует зеленый фон кнопки Account Guard).

Аналогично компания Ferris Research призвала интернет-торговцев и финансовые организации использовать подписи SPF (spf.pobox.com) в своих почтовых сообщениях. SPF позволяет верифицировать отправителя почты, что несколько снижает потоки спама и пресекает попытки отправить почту, где в поле "От:" значится фальшивый адрес.
0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT