Читаем Социальная инженерия и социальные хакеры полностью

Онлайновый фишинг заключается в том, что мошенники один в один копируют какой-либо из известных сайтов, причем для него выбирается очень похожее доменное имя (или то же самое, только в другой зоне), и создается идентичный дизайн.

В качестве приманки (аттракции) товары в этих поддельных интернет-магазинах продаются практически по демпинговым ценам, что неудивительно, ведь никто ничего на самом деле реально не продает.

Дальше происходит примерно следующее. Решив совершить в магазине покупку, пользователь вводит свои логин, пароль и номер пластиковой карты, после чего все эти данные становятся известными злоумышленнику. После чего мошенник незамедлительно "обнуляет" кредитную карточку жертвы.

Данный вид фишинга иногда еще называют имитацией бренда (brand spoofing).

Комбинированный фишинг является объединением двух предыдущих видов фишинга. Его появление вызвано тем, что почтовый и онлайновый фишинг уже достаточно устарели, да и пользователи стали грамотнее в части информационной безопасности. Поэтому фишеры придумали другую тактику. Так же как в онлайновом фишинге создается поддельный сайт, а потом как в почтовом фишинге пользователям отсылаются письма с просьбой зайти на этот сайт.

Это достаточно сильный психологический ход, благодаря которому комбинированный фишинг сразу же получил огромное распространение. Дело в том, что посетители стали настороженнее, и уже немногие просто так скажут свои пароли (хотя и такие встречаются). А в комбинированном фишинге эта настороженность как раз и снимается, благодаря тому, что в письме пользователя не просят сообщать какие-либо конфиденциальные данные, а просто просят зайти на сайт. Всего то. Пользователю просто предлагается зайти на какой-либо сайт, и самому проделать все необходимые операции.

Сейчас происходит самый настоящий бум фишинга. Об этом, в частности, могут свидетельствовать следующие цифры: всего с октября по январь 2005 года Федеральная комиссия США по торговле зарегистрировала более 10 млн (!) жалоб от пользователей, ставшими жертвами фишинг-атак. Общая же сумма убытков по данным этой же организации составила около $15 млрд за 2005 год.

Естественно, законодательства всех стран оказались неприспособленными к этому новому виду мошенничества.

В России первый зарегистрированный случай фишинга датируется маем 2004 года, когда клиенты Сити-банка получили по электронной почте письма с просьбой зайти на сайт банка (лжесайт, естественно) и подтвердить номер своей карты и ПИН-код.

Фишеры в своей деятельности прекрасно используют связь с теми или иными событиями. К примеру, человеку точно в его день рождения приходит поздравительная открытка, в которой написано, что ему ко дню рождения банк, клиентом которого он является, в рамках проводимой акции "День Рождения" перечислил на счет $500. Для того чтобы их получить, нужно зайти на сайт банка (поддельный, естественно) и ввести необходимую информацию. Многие не чураются использовать и такие горестные для всех события, как крупные теракты или стихийные бедствия, когда различные организации просят людей перечислять деньги в фонд помощи пострадавшим. Просят и фишеры. По тем же схемам, что мы рассматривали: зайдите на сайт, зарегистрируйтесь и спишите какую-то сумму со своего счета.

На момент написания книги единственным браузером оснащенным защитой от фишинга по умолчанию является Opera, начиная с версии 8.0.