ловля на живца

NONAME

Спецвыпуск: Хакер, номер #070, стр. 070-030-2

Часто общий тон фишинг-сообщения или его заголовок подталкивают пользователя предпринимать действия незамедлительно и не раздумывая, грозя немедленной приостановкой обслуживания и т.п.

[через веб.]

Все большую популярность приобретают методы, не требующие «заманивания» пользователя на веб-страницу в обязательном порядке, а «работающие» с пользователями, переходящими от страницы к странице в Сети. Это может быть:

- МАСКИРОВКА ССЫЛОК. ССЫЛКИ, СПРЯТАННЫЕ ПОД КАРТИНКОЙ, ПОДМЕНА СИМВОЛОВ В ССЫЛКАХ НА СХОЖИЕ (СИМВОЛЫ ИЗ ДРУГОГО РЕГИСТРА ИЛИ ДРУГОГО ЯЗЫКА).

- ИСПОЛЬЗОВАНИЕ ПОДДЕЛЬНЫХ БАННЕРОВ И ВСПЛЫВАЮЩИХ ОКОН.

- ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТЕЙ БРАУЗЕРА.

- ЗАПИСЬ ИДЕНТИФИКАЦИОННОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ В ПРОЦЕССЕ ВВОДА ДАННЫХ НА ЛЕГИТИМНОМ САЙТЕ.

[пример: DNSChanger.eg.]

Данная атака предполагает разрушение процесса преобразования имени домена в фактический веб-сайт. Когда пользователь вводит адрес, например, «jpmorgan.com», состоящий из текстовой строки, его нужно преобразовать в IP-адрес, например, «192.220.34.11». Эта троянская программа разработана таким образом, чтобы изменять значение ключа системного реестра «ИмяСервера» на поддельный IP-адрес. Если жертва вписывает верный URL, ее направляют на фальшивый web-сайт. То есть в этом случае не требуется никого никуда заманивать.

[IRC и интернет-пейджеры.]

Распространенность IRC и интернет-пейджеров (IM) не могла не способствовать обращению злоумышленников к этому каналу распространения вредоносного ПО. Поскольку большинство IRC и IM-клиентов разрешают загрузку различного рода содержимого (графиков, URL-ссылок и т.д.), нетрудно адаптировать многие методы фишинга под этот канал распространения, а повсеместное распространение бот-сетей еще более облегчает эту задачу.

[зараженные машины.]

Нужно отметить, что постоянно увеличивается количество домашних компьютеров, которые используются злоумышленниками в качестве источника атаки. Установка троянской программы на такой компьютер превращает его в «промежуточное звено» между злоумышленником и жертвой.

[методы фишинговых атак.]

Поскольку фишеры материально заинтересованы в успешности своих атак, ими разработано великое множество способов, которые заставляют пользователя обращаться к серверу злоумышленника или его веб-странице. Вот наиболее распространенные:

- АТАКА «ЧЕЛОВЕК ПОСЕРЕДИНЕ».

- ПУТАНИЦА С URL.

- CROSS-SITE SCRIPTING.

- АТАКА С ИСПОЛЬЗОВАНИЕМ ПРЕДОПРЕДЕЛЕННОГО ИДЕНТИФИКАТОРА СЕССИИ.

- ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ.

[атака «человек посередине».]

Одним из наиболее популярных и излюбленных способов атаки является схема «человек посередине», когда злоумышленник находится между пользователем и веб-приложением, к которому пользователь получает доступ. В этом случае атакующий выступает в роли прокси-сервера, через который пользователь взаимодействует с приложением. Эта форма атаки успешно применяется как для http, так и для https-соединений. Для пользователя подключение к прокси-серверу злоумышленника выглядит точно так же, как обычное легитимное подключение. В случае использования защищенного соединения HTTPS (с использованием SSL) данные пользователя могут быть записаны в незашифрованном виде, так как пользователь сначала соединяется с прокси атакующего, а тот, в свою очередь, устанавливает SSL-соединение с реальным сервером уже от своего имени.