Читаем Журнал «Компьютерра» № 39 от 24 октября 2006 года полностью

Позднее с кражи AOL-аккаунтов мошенники перешли на сбор номеров кредитных карт и распространили свою деятельность на любой мало-мальски известный финансовый брэнд. Довольно быстро появилась такая модификация фишинга, как спуфинг. От классической схемы этот вариант отличается тем, что в письме жертву просили перейти на сайт банка или компании для заполнения авторизационной формы по прилагаемому линку. Ссылка не вызывает особых подозрений, поскольку ее URL обычно очень похож на URL реального учреждения (тайпсквоттинг) или же текст ссылки не соответствует ее реальному «направлению». Те, кто клюнул и кликнул, заходили на специальную веб-страницу, повторяющую дизайн сайта оригинальной компании, где и вводили необходимые данные. Особо старательные фишеры вообще подделывают ресурсы целиком.

Забегая вперед, отмечу, что в настоящее время мошенники все чаще не утруждают пользователя собственноручным вбиванием паролей и PIN-кодов в формы и используют трояны. Да и задача в этом случае сильно упрощается – достаточно заставить пользователя перебраться на фишерский сайт и «подцепить» программу, которая самостоятельно разыщет на винчестере жертвы все, что нужно. А с прошлого года наравне с троянами стали использоваться и кейлоггеры. Шпионские утилиты, отслеживающие нажатия клавиш, загружают на компьютеры жертв на подставных сайтах. Если в конце 2004 года Websense каждую неделю обнаруживала по паре новых кейлоггеров и пятнадцать распространявших их сайтов, то полгода спустя эти показатели выросли до десятка и сотни соответственно. При использовании такого подхода необязательно находить выходы на клиентов конкретного банка или компании, а потому подделывать стали и сайты «общего назначения», такие как новостные ленты и поисковые системы.

От частных случаев к массированным атакам

Как уже упоминалось, озабоченность проблемой фишинга приняла массовые масштабы в 2004 году. Нельзя сказать, что к тому времени фишинг встал на первое место среди видов интернет-криминала, если оценивать по убыткам, которые понесли потерпевшие. Спам, вирусы и DoS-атаки «рыбакам» обойти не удалось. Встревожили относительные показатели. По данным mi2g, если ущерб, нанесенный фишерами мировой экономике, в 2003-м составлял $14 млрд., то год спустя он достиг $44 млрд. По статистике Symantec, в середине 2004 года фильтры компании еженедельно блокировали до 9 млн. писем с фишинговым контентом. К концу года за тот же период отсеивалось уже 33 млн.

Наиболее авторитетная в этом вопросе организация APWG (Anti-Phishing Working Group) подсчитала, что число подставных сайтов в Сети за последние шесть месяцев 2004 года увеличилось вчетверо и превысило 2,5 тысячи, а количество атак за год выросло в тридцать раз. Та же организация сообщила, что эффективность фишерских рассылок может достигать 5%, то есть каждый двадцатый получатель письма становится жертвой мошенников.

В том же году фишинг пришел в Россию. Первыми пострадали клиенты «Ситибанка», которые получили письма с просьбой уточнить данные своих пластиковых карт, якобы потерянные в результате сбоя в банковской системе. При переходе по ссылке, указанной в сообщении, клиент попадал на страницу, где ему предлагали ввести номер карты и PIN-код. В общем, местные фишеры не стали изощряться и воспользовались классической схемой. В мае 2004 года банк распространил заявление о своей непричастности к рассылке подобных сообщений. К тому времени, по некоторым источникам, фишерская кампания, направленная на клиентов «Ситибанка», уже шла по меньшей мере три месяца. К чести организации следует упомянуть, что президент банка пообещал при получении уведомлений о потере денежных средств действовать в интересах клиента, оценивая каждый случай в индивидуальном порядке.

Впрочем, это скорее исключение, чем правило, и столь великодушные жесты увидишь нечасто. Ведь банки в этом случае никому ничего не должны. Финансовые транзакции с использованием PIN-кода неоспоримы, и ответственность за их проведение целиком и полностью ложится на держателя карты. Вместе с тем исследование Ponemon Institute показало, что пользователи считают защиту от фишинга обязанностью бизнеса, а раз так – банкам и компаниям, работающим в е-коммерции, следует заняться разработкой дополнительных мер защиты от фальсификации своих онлайн-представительств. В частности, 96% участников проведенного в рамках исследования опроса отметили необходимость создания компаниями способа безошибочной аутентификации электронного письма и сайтов. Также респонденты высказались за внесение изменений в законодательство (в данном случае американское), которые позволили бы закрывать поддельные ресурсы. И если с однозначной аутентификацией вопрос остается открытым по сей день, то юридическими мерами фишеров стали «давить» уже в том же 2004-м.