Фишинг - мошенничество с согласия жертвы

Предупрежден, значит - вооружен. Разберемся в типах фишинга и научимся от него защищаться
08 ноября 2015312205Дмитрий Коробицын3068811

Это очень легко: включите воображение, составьте грамотное письмо и пользователи сами пришлют все, что вам нужно. Быть хакером - совсем не обязательно значит "обладать продвинутыми техническими умениями". Главное - хорошо знать людей и находить к ним подход. Не можешь взломать пароль – попроси его, придумав историю о том, что аккаунт заблокирован и нужно ввести старый пароль для разблокировки на вашем сайте, который маскируется под известный сервис. Этот метод распространен наравне со спамом и называется фишинг.

Многие пользователи знают о таких письмах и не торопятся выдавать личную информацию на сайтах, имитирующих популярные бренды, а на самом деле пересылающие введенные пароли злоумышленнику. Но этого недостаточно: личные данные могут быть перехвачены даже на этапе перехода по ссылке в письме, которую можно либо скрыть с помощью сервиса https://goo.gl/, либо замаскировать в картинке, либо представить обычной ссылкой, ведущей на проверенный ресурс. Попробуйте пройти по ссылке www.yandex.ru и вы увидите, что ссылка Яндекс на самом деле ведет на Google.

Человеческая психология

Фишинг и социальная инженерия основаны на игнорировании пользователями основ безопасности, причем, в широком смысле этого слова. Люди обычно реагируют, если речь идет о значимых для них событиях, поэтому требуется вызвать немедленную реакцию пользователя, например, спровоцировать его тревогу. Письмо с заголовком типа «ДОСТУП К ВАШЕМУ СЧЕТУ ЗАБЛОКИРОВАН» бросается в глаза и побуждает немедленно пройти по ссылке для получения более подробной информации.

Виды фишинга

Обычно на сайтах, имитирующих привычный интерфейс популярного сервиса, вас попросят ввести пароль для доступа к нему, якобы из-за возможной его компрометации. Однако, учетная запись окажется скомпрометирована именно после того, как вы это сделаете. По сути, пользователи добровольно выдают всю информацию, взламывать что-либо не требуется, что сильно упрощает работу сетевым мошенникам.

Наиболее популярен фишинг в социальных сетях. Если аккаунт вашего друга в одноклассниках скомпрометирован, хакер может разослать ссылки всем друзьям из списка контактов и вы пройдете по этой ссылке с вероятностью более 50%, так как приглашение идет из проверенного источника.

В некоторых случаях при переходе по таким ссылкам пользователь попадает на специально подготовленный для этого ресурс, который перехватывает хэш пароля текущего пользователя Windows. Пароль из хэша легко извлечь утилитой John The Ripper (входит в набор Kali Linux), особенно если этот пароль представляет собой значимое слово, которое можно найти в словаре. Затем уже дело техники – доступ к одной из рабочих станций локальной сети открывает широкие возможности компрометации других ресурсов.

Когда вам звонит мошенник, представляющийся сотрудником банка, и говорит, что ваша карта заблокирована — это тоже фишинг. Люди добровольно сообщают мошенникам все данные своей банковской карты, а потом удивляются тому, что деньги с нее пропали, а в худшем случае, если карта кредитная, остаются еще и должны своему банку.

Это элементарный пример того, как можно получить деньги, совершенно не заморачиваясь изучением технической стороны вопроса.

Попробуйте проверить номер звонившего по справочнику, вероятно, он вообще зарегистрирован в другом городе.

Другой пример, одному из сотрудников звонит «системный администратор» компании и просит сменить в целях безопасности логин и пароль текущего пользователя, терпеливо разъяснив, как это сделать и какой пароль использовать.

Дальше, сами понимаете, дело техники.

Тем, кто определился с тем, что хочет стать программистом, рекомендуем профессию «Веб-разработчик».

Новые комментарии