Как не стать жертвой Фишинга
СодержаниеНазвание проекта
Авторы проектаРуководитель проектаПредмет,классИнформатика, 7 класс МБОУ лицей №2 АктуальностьВы когда - либо получали на электронную почту письма с предупреждением о блокировке аккаунта или денежного счёта на сайте, клиентом которого Вы являетесь? Будьте осторожны - скорее всего, это фишинг. Фишинг - достаточно распространённый вид мошенничества в интернете, но о нем нам еще не так много известно. Поэтому мошенники снимают деньги с банковских счетов пользователя, злоумышленникам удается заполучать обманным путем чужие денежные средства, от имени пользователей рассылают вредоносный спам. Кроме того, фишерами отправляются электронные сообщения со скриптами, перехватывающими всевозможные пароли и коды в процессе ввода их клиентами на официальных страницах банковских организаций и пересылающими данные спамерам. Знания о фишинге актуальны для нашей интернет безопасности. ГипотезаМошенничество в интернете распространено ничуть не меньше, чем в реальной жизни, поэтому обязательно стоит знать его основные схемы и отличительные черты, чтобы помочь не угодить в ловушку. Цель работыПознакомиться с фишингом, разобраться с тем, каким образом фишинг угрожает нашей безопасности в Интернете. Задачи1. Познакомиться с литературой о фишинге. 2. Систематизировать правила зашиты от фишеров. 3. Познакомить с данным явлением одноклассников и родителей. Авторы благодарны за консультацию и помощь при выполнении работы Максиму Маслову, выпускнику лицея 2010 года, выпускнику ТУСУРА, ведущему специалисту администрации Сургутского района. ВведениеС момента создания интернета прошло достаточно много времени. На данном этапе своего развития он является неотъемлемой частью повседневной жизни каждого человека. Нам больше не нужно ходить в гости, чтобы посмотреть новые фотографии друзей, у нас есть социальные сети. Нам не нужно покупать газеты, для чтения новостей, у нас есть новостные интернет-рассылки. Даже поход в магазин можно заменить просмотром и заказом товаров в интернете. В связи с этим, появился и новый вид опасности в интернете. Раньше нам можно было просто поставить антивирус и надеяться, что его разработчики не зря едят свой хлеб. На данный момент вирусы отошли на второй план, уступив место более действенным и опасным методам обмана пользователей. Одним из таких методов является фишинг. Основная частьФишинг Фи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее. Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».
Социальные сети являются более чем привлекательной средой для любого вида мошенничества, включая и фишинг. При этом соцсети, в отличие, например, от тех же электронной почты или ICQ, позволяют легко пользоваться приемами социальной инженерии – вся необходимая для этого информация находится на страницах самих пользователей. Но чаще мошенники используют спамовую рассылку ссылок на фишинговый сайт с помощью взломанных или поддельных страниц. Обычно страницы, которые таким способом "рекламируют" злоумышленники, имеют доменное имя, схожее с популярным ресурсом (facedook.ru и т.д.). При входе на такие сайты пользователю показывают страницу логина, крайне схожую по виду с настоящей социальной сетью. При вводе данных пользователь теряет доступ к своей реальной странице. Впоследствии она используется для рассылки спама, включая и распространение ссылок на сами фишинговые сайты. В некоторых случаях фишеры действуют несколько более изощренно и предлагают пользователю "доработанную" версию социальной сети. Например, широко распространены подделки сети "Вконтакте", якобы позволяющие просматривать "гостей" странички пользователя – сама социальная сеть подобной возможности не предоставляет. Также весьма распространены различные "Одноклассники для взрослых" и тому подобные сайты, которые эксплуатируют потребность пользователей в "клубничке". Из них не все являются фишинговыми – гораздо чаще они просто распространяют вредоносные коды. Иногда, пользователю, держателю какой-либо группы в соц. сети, предлагается программа, которая будет "накручивать лайки", увеличивать счетчик пользователей, нажавших "мне нравиться", что поможет продвинуть группу по популярности. Программа благополучно скачивается, в нее вводятся учетные данные пользователя, после чего они отправляются к злоумышленнику. Пользователь, естественно, ничего не получает и теряет доступ к сайту. Использование фишинга и его разновидностей стало весьма распространенным явлением. Его обсуждают, пытаются делать антифи-шинговые фильтры, встраивать их в браузеры и в антивирусное ПО, однако атак меньше не становится. Более того, они делаются все изощреннее. Миллионы пользователей увлекаются играми типа Весёлая Ферма и Mobsters. В них используется собственная виртуальная валюта, помогающая разными способами улучшать игровой статус. Причем ее можно купить, расплатившись реальной кредиткой, но существуют и "бесплатные" способы увеличения игрового капитала, которые приносят компаниям еще больше прибыли. К счастью, пока они не дошли до России, но уже распространены на Западе. Суть выманивания денег заключается в следующем. Пользователям предлагают пройти тест на IQ или скачать пробную версию какой-то программы, получив взамен определенное количество виртуальных денег. Нигде в этих предложениях не говорится, что пользователь, даже не имея кредитной карты, в обоих случаях потеряет реальные деньги. Монетизация производится различными способами: например, деньги могут сниматься с мобильного телефона (для прохождения теста на IQ) или взиматься наличными за доставку "бесплатного" CD с программой. Более того, разработчики игр для Вконтакте получают доступ к персональным данным пользователей и их социальным связям. Это позволяет персонализировать спам ("ваш друг такой-то приглашает вас сыграть с ним"), что вводит в заблуждение, особенно если реклама визуально напоминает стиль Вконтакте. На самом же деле нужно смотреть внимательно на то, что предлагают, и пытаться понять, что уже давно никто ничего "за спасибо" не делает! Дети и родители в Интернете В связи с изложенным следует еще раз обратить внимание на то, что необходимо контролировать, чем заняты дети. Они не имеют жизненного опыта, а, следовательно, окажутся первым объектом для удара! Проведенные в США исследования показали, что подростки ведут около половины всех блогов, причем двое из трех указывают в них свой возраст, а трое из пяти - свое местожительство и возможные способы контактов (телефон, номер ICQ, электронный адрес и т.д.), а один из пяти сообщает свое реальное имя. Стоит помнить, что в таком случае резко возрастает риск использования персональной информации вашего ребенка. Проведя анкетирование родителей по вопросам использования интернета, мы выяснили следующее:
Оцените, пожалуйста, насколько Вы опытный пользователь Интернета? Выберите наиболее подходящий для вас ответ.
По итогам опроса родителей (всего приняло участие 26 человек) можно сделать вывод, что все являются потенциальными жертвами интернет мошенников, тем более, о фишинге не знало большинство респондентов.
Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга. Глава 28. Преступления в сфере компьютерной информации (УК РФ). Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. 2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ 1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. 2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -наказываются лишением свободы на срок от трех до семи лет. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети 1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред,- наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. 2. То же деяние, повлекшее по неосторожности тяжкие последствия, -наказывается лишением свободы на срок до четырех лет. Обучение пользователей Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении. Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например, PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали, что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали. Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами. Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы. Технические методы Браузеры, предупреждающие об угрозе фишинга. Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer. В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере и близок использованию hosts-файла для блокировки рекламы. Как узнать фишинг? Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации. ЗаключениеФишинг является одним из самых распространенных видов мошенничества в Интернете. Главная задача фишера — заманить пользователя на такой сайт-ловушку и каким-либо образом убедить его сообщить идентификационные данные. Для решения такой задачи фишеры обычно применяют одну из следующих методик: спам — его типичная идея заключается в том, чтобы напугать пользователя некими проблемами, требующими от пользователя немедленной авторизации для выполнения тех или иных операций (разблокировки счета, отката ошибочных транзакций и т.п.). Более простая форма фишинга состоит в рассылке поддельных писем от имени банка или некого провайдера услуг с просьбой уточнить номер счета, логин/пароль и прочие персональные данные, отправив их по указанному адресу; реклама неких товаров, которые можно приобрести в интернет-магазине, причем в рекламе обязательно приводится ссылка на сайт магазина. Методика аналогична предыдущей — вместо сайта магазина пользователь может попасть на сайт фишеров или на сайт созданного мошенниками магазина-однодневки; применение троянской программы. В последнее время все чаще сообщается о новой форме фишинга — выуживании у пользователя отсканированных копий его документов. В частности, имея ксерокопию паспорта и образец подписи, теоретически можно оформить кредит от имени пользователя. Получить отсканированные копии документов доверчивого пользователя несложно — например, прислать ему сообщение о том, что он выиграл в лотерею, является N-тысячным посетителем сайта X и т.п. Фишинг уже победил представление о себе, как о примитивном и низкотехнологичном орудии киберпреступников. Сегодня его эффективность, а заодно и степень угрозы для корпораций, с каждым днем становится все выше. И успешные фишинг-атаки на такие крупные компании, как Oak Ridge National и RSA The Security Division of EMC, как нельзя лучше подтверждают это мнение специалистов. В прошлом месяце представители национальной исследовательской лаборатории США Oak Ridge сообщили о фишинговой атаке на свои сервера, в результате которой были похищены ценные сведения. Вредоносная программа проникла в базу данных через письма, которые были разосланы 570 сотрудникам компании. Е-мейлы выглядели как уведомления о кадровых перестановках, которые были бы желательны для получателей. Отправителем якобы являлся отдел кадров. Когда определенное число сотрудников организации кликнуло на помещенную в письмах ссылку, вирус смог проникнуть в их компьютеры. Подобные фишинг-мейлы стали излюбленным методом взлома корпоративных сетей. Проблема усугубляется тем, что со временем фишеры становятся все более изобретательными. Организованные группы киберперступников создают максимально убедительные е-мейлы, направленные как на рядовых сотрудников фирм, так и на их руководство. Часто такие электронные письма являются персонализированными и выглядят так, словно их отправила организация, с которой получателя связывают доверительные отношения. Масла в огонь подливают социальные сети, например, Facebook, при помощи которых практически каждый может получить информацию о нужных ему людях. «Сотрудники компаний размещают на этих сайтах свои личные данные и списки друзей. Имея в распоряжении подобные сведения, не сложно создавать персонализированные электронные сообщения», - рассказывают аналитики. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях. Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте. По оценкам специалистов, более 70 % фишинговых атак в социальных сетях — успешны. Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году — ущерб составил 2,8 млрд долларов, в 2007 — 3,2 миллиарда; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек, к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов. Подводя итог, хотелось бы напомнить о внимательности в интернете. Несмотря на то, что технические специалисты постоянно работают над совершенствованием методов распознавания компьютерных угроз, безопасность в интернете по - прежнему зависит от пользователей. Идеальной защиты не существует, поэтому будьте бдительны и осторожны. Советы для родителей по защите от Интернет-мошенничества 1.Никогда не отвечайте на сообщения электронной почты, запрашивающие личные сведения. Следует особо подозрительно относиться к сообщениям электронной почты от предприятий или частных лиц, запрашивающим личные сведения, а также сообщениям, содержащим ваши личные сведения с просьбой обновить или подтвердить их. 2.Не щелкайте ссылки в подозрительных письмах.Не щелкайте ссылки в сообщениях электронной почты, вызывающих подозрение. Такие ссылки могут быть опасны. 3. Используйте надежные пароли и часто меняйте их.Надежные пароли должны сочетать буквы в нижнем и верхнем регистре, цифры и символы. 4.Не отправляйте свои личные сведения в обычных сообщениях электронной почты. Обычные сообщения электронной почты не зашифрованы. Их отправку можно сравнить с отправкой почтовой открытки. 5. Сотрудничайте только с теми компаниями, которым вы доверяете.Пользуйтесь услугами известных, признанных компаний, имеющих хорошую репутацию. 6.Защитите свой компьютер. 7. Контролируйте финансовые операции.Проверяйте подтверждения заказов, а также выписки по кредитным картам и банковским счетам немедленно по получении, чтобы убедиться, что с вас взимаются средства только за проведенные операции. 8. Следует настороженно относиться к рекламе товаров, цена которых значительно ниже цены в других магазинах; в случае работы с интернет-магазинами следует производить простейший контроль: как давно зарегистрирован домен магазина, есть ли у магазина офис, юридический адрес, телефоны и т.п. (естественно, что подобную информацию достаточно просто проверить). Если на сайте подобная контактная информация не указана, то с таким магазином лучше дела не иметь. 9.Если вы подозреваете, что ответили на фишинговое сообщение, указав свои личные или финансовые данные, выполните следующие действия для минимизации возможного ущерба. Смените пароли или PIN-коды во всех своих онлайн-аккаунтах, которые могли быть скомпрометированы. 10.При фишинг атаке обратитесь в банк или в интернет-магазин напрямую. Не переходите по ссылкам в фишинговом сообщении. 11.Если вам стало известно о мошенническом доступе к счетам или открытии счетов, закройте их. 12.Ежемесячно просматривайте банковские выписки и отчеты по операциям с кредитной картой, обращая внимание на необъяснимые траты или запросы, которые вы не инициировали.
Если вы считаете, что получили сообщения электронной почты, разосланные в мошеннических целях, или стали жертвой Интернет-мошенничества, вы можете сообщить об этом в следующие инстанции: ФБР Подразделение ФБР — Центр рассмотрения жалоб на мошенничество в Интернете (Internet Fraud Complaint Center, IFCC) сотрудничает с правоохранительными органами и ведущими компаниями по всему миру, способствуя немедленному прекращению работы поддельных веб-узлов и обнаружению лиц, стоящих за этими случаями мошенничества. Федеральная торговая комиссия.В случае возникновения подозрений о хищении или нарушении безопасности личных сведений следует обратиться в Федеральную торговую комиссию (отдел государственного центра по борьбе с хищениями идентификационных сведений) (на английском языке). Для отправки можно использовать следующие адреса: reportphishing@antiphishing.org — адрес электронной почты отраслевой ассоциации Anti-Phishing Working Group (на английском языке); spam@uce.gov — адрес Федеральной торговой комиссии; abuse@msn.com — адрес службы MSN; abuse@microsoft.com — адрес корпорации Майкрософт. Список источников1.Фишинг (Phishing), Вишинг(vishing), Фарминг - мошенничество в Интернете 2.Компьютерные преступления в уголовном законодательстве стран СНГ 6.Как защититься от фишинг-атак и других действий мошенников Приложение |