Искусство цифровой самозащиты - Артимович Дмитрий

Веб-ссылки

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например, https://www.yourbank.example.com похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространенная уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Дело в том, что HTML позволяет указывать разными реальную ссылку и видимую часть, чем и пользуются мошенники. Кстати, любой браузер и многие почтовые клиенты показывают реальную ссылку внизу окна при наведении.

Один из старых методов обмана заключается в использовании ссылок, содержащих символ @, который применяется для включения в ссылку имени пользователя и пароля. Например, ссылка http://[email protected] приведет не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer, а Mozilla Firefox и Opera выдают предупреждение и предлагают подтвердить переход на сайт.

Еще одна проблема была обнаружена при обработке браузерами интернациональных доменных имен: адреса, визуально идентичные официальным, могли вести на сайты мошенников. Например, в домен sber.ru можно вставить русскую букву E вместо английской.

Обход фильтров

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга.

Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определенному номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счета и PIN-код. К тому же вишеры, используя фальшивые номера, могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счета. В итоге человека также попросят сообщить его учетные данные.

Набирает свои обороты и СМС-фишинг, также известный как смишинг (англ. SMiShing – от SMS и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт. Входя на него и вводя свои личные данные, жертва таким образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определенному номеру для решения «возникших проблем».

QR-коды

Помните, как в 2021 году мэрия Москвы при поддержкe Минцифры решилa в очередной раз блеснуть своей глупостью и ввелa QR-коды для посещения заведений общепита?

Технология QR-кода достаточно проста: в нем закодирована ссылка на внешний сайт. В примере с сертификатами вакцинации ссылка вела на портал Госуслуг, где была простенькая страничка, отображавшая, что сертификат действителен.

Почему я вдруг поднял эту тему? А всё просто: если взять технику фишинга, т. е. скопировать страничку, вставить туда нужные данные и разместить на каком-нибудь сайте типа gosuslugi.app – ни один проверяющий не заметит, что сайт ненастоящий. Честно признаться, в 2001-м я несколько раз проходил в кафе и рестораны по такому коду.

Я продемонстрировал, как легко подделать QR-код вакцинации газете «Коммерсантъ» и они написали статью «Неподменимых у нас нет». Тема была настолько больная, что поднялась настоящая буря в СМИ, да такая, что вызвала озабоченность даже в Кремле.

КАК НЕ ПОПАСТЬСЯ НА УДОЧКУ МОШЕННИКОВ?

1. Самое главное правило – компании и сервисы не запрашивают вашу конфиденциальную информацию по электронной почте. Если вы видите призыв зайти и что-то ввести – на 99 % это фишинг.

2. Настоящие компании и сервисы обычно называют вас по имени. Мошенники же опускают обращение и пишут просто что-то вроде «Дорогой пользователь».

3. Настоящие компании и сервисы присылают письма со своих доменов. Обращайте внимание, от кого пришло письмо, если в доменном имени есть лишние буквы и опечатки.

4. Проверяйте ссылки, по которым вас просят перейти. Наведите мышкой на ссылку и проверьте, совпадает ли отображаемое имя с тем, куда реально ведет ссылка, и написана ли сама ссылка верно, без ошибок (смотри выше техники фишинга).

5. При любом малейшем подозрении в том, что вы получили фишинговое письмо, просто свяжитесь с компанией напрямую. Например, настоящий URL-адрес компании можно найти в поисковой системе, банки часто пишут свои телефоны и адреса сайтов на обратной стороне карт.

Фишинг

Телефонное мошенничество

«Телефонные мошенники похищают со счетов россиян 3,5–5 миллиардов рублей ежемесячно. Средний чек по успешной мошеннической операции находится на уровне 8 тысяч рублей» (Станислав Кузнецов, зампред правления Сбербанка).

Ниже приведены некоторые из методов телефонного мошенничества.

Потенциальный покупатель

Человек размещает объявление в интернете, например, о продаже недвижимости на Aвито. Так телефон из объявления немедленно попадает в поле зрения мошенников. И владельцу звонит некий «потенциальный покупатель», готовый платить, не торгуясь, но только на карту или «Cбербанк онлайн».

Для этого он просит сообщить номер карты, срок действия, CVV-код с обратной стороны карты. И СМС-код из сообщения банка о проведенной операции. Или же доступы от «Сбер-онлайн» и код подтверждения. Неопытный пользователь вполне может назвать все реквизиты, вот только после этого счет не пополняется, а опустошается мошенниками.

Звонки от «службы безопасности» банка

Не менее распространены звонки из «службы безопасности банка-эмитента платежной карты» о совершенной подозрительной операции или сбое в программном обеспечении, который привел к потере средств. Для восстановления счета и возврата денег якобы необходимо подтвердить, что вы – это вы, а для этого нужны данные вашей карты и СМС-код подтверждения. Или же другой сценарий: ваши деньги срочно нужно перевести на другой защищенный счет, данные от которого вам даже могут прислать в СМС с короткого номера банка.

Большинство банков имеют специальные номера, которые используются только для сообщений клиентам. Сбербанк, например, рассылает свои уведомления только с номеров 900 или 9000. Технология VoIP[41] позволяет менять номер звонящего, а некоторые провайдеры не блокируют эту возможность. Есть даже специальные VoIP сервисы под такие вот мошеннические колл-центры, которые оставляют возможность смены номера. Так, при звонке мошенников вы можете видеть номер Сбера и на вопрос «А вы действительно Сбер?» вам нахально ответят: «Bы видите номер, с которого я звоню!»