В течение 2007 года, хакеры-фишеры продемонстрировали очередной год своей настойчивости и изобретательности с тем, чтобы социально программировать как можно больше людей в интерактивном режиме на то, чтобы люди верили, что они те, кем притворяются. Почему количество фишеров достигло таких масштабов в 2007 году, какие факторы способствовали постоянному сокращению времени, требуемого этим людям на создание фальшивых электронных адресов, и как получилось так, что люди, будучи в курсе таких приемов, все же становятся жертвами этих мошенников? Эта статья направлена на то, чтобы дать обзор ключевых факторов, способствовавших росту и эволюции фишинга в течение года.
Последний доклад, предоставленный группой Anti Phishing Group, приводит некоторые среднестатистические данные касаемо времени, которое требуется фишинговому сайту, чтобы оставаться в режиме он-лайн, ключевой фактор для успешной фишинговой кампании. Например, в докладе группы APG за август говорится о том, что среднее время в интерактивном режиме для таких сайтов составляло 3.3 дня, а самый долгий срок в режиме он-лайн длился 30 дней. И как вы можете себе представить, чем дольше кампания остается в интерактивном режиме, тем выше вероятность того, что адресат попадется на полностью отвечающую страницу мошенников, и тем самым будет «пойман». Среди коллективной разведки Интернет-сообщества по координации временного прекращения работы постоянного появляющихся доменов фишеров появились предприниматели, желающие превратить в источник дохода процесс закрытия фишинговых кампаний нацеливая на свой бренд в частности. Такое присваивание приоритетов может на самом деле быть финансово оправданным в свете некоторых недавно опубликованных результатов исследований, говорящих о том, что потребители определенных брендов перестают им доверять, когда получают фальшивые почтовые сообщения, как-будто присланные от компании, и это происходит так часто, что требуется прибегать к показателю Brandjacking Index, чтобы отслеживать всю эту деятельность.
Поставщики безопасности, третьи лица в группах исследований, и проекты Интернет сообществ, такие как Phishtank, отмечают огромный рост фишинговых email-ов, наполнивших сеть, а также уникальных имен доменов, соответствующих им. Этот рост в большей степени вызван следующими ключевыми концептами, которые я затрону в этой статье, а именно: фишинговый набор «сделай сам», доступность шаблонов фишинговых страниц для каждой финансовой и информационной компании, являющейся потенциальной жертвой, объединение фишеров, совершенствующих приемы социотехники, со спаммерами, совершенствующими приемы доставки сегментной электронной почты более выгодным целям. Все это способствовало перерождению фишинга из одной плохо организованной группы в эффективный централизованный процесс, включающий множество областей доменов, каждая из которых включает несчитанное количество субдоменов, нацеленных на различные бренды благодаря пакету Rock Phish. Несколько лет назад концепция создания антифишинговой панели инструментов начала интересовать общественность из-за того, что интегрированных в браузеры функций безопасности было недостаточно для определения общих характеристик фишинговых сайтов, а существующий ныне ассортимент защиты браузеров от атак фишеров четко показывает, насколько велика стала проблема фишинга, особенно в свете того, как сильно она подрывает доверие к электронной торговле. Давайте рассмотрим проблему и ее эволюцию на примере некоторых самых важных моментов в ее динамике:
Объединение со спаммерами
Если вы задумались о консолидации, начните с рассмотрения объединения спаммеров с создателями вредоносного ПО, о которых я рассказывал в предыдущей статье, говоря другими словами, спаммерам нужна инфраструктура для рассылки всей электронной почты, и эту инфраструктуру они получают от создателей botnet, или используют по требованию. Фишерам тоже требуется эта предпосылка для существования, на самом деле эту вредоносную экосистему становится все труднее отслеживать, поскольку все еще неясно, кто причиняет больше вреда, рассылают ли создатели вредоносного ПО свои вирусы самостоятельно в надежде получить больше прибыли, рассылают ли спаммеры фишинговые сообщения среди прочего вредоносного ПО, и насколько реальна ситуация, когда фишеры также рассылают банковских троянов, просто на тот случай, если вдруг получатель не стал жертвой мошенников? Одно очевидно – они ищут новые и более эффективные способы совместной работы. Чего может хотеть фишер от спаммера, являются ли эти две стороны взаимоисключающими, или это одно и то же?
Это дело перспективы. Фишера будет интересовать локализация сообщения в местном языке, сегментация сообщений на основе количества на страну, возможно даже данные, поддерживающие работу общественных сайтов сети и публичных вебсайтов с тем, чтобы создать определенные взаимоотношения между электронной почтой и брендом, которые являются потенциальными жертвами. Давайте посмотрим это на примере. Представим себе получателя, который не имеет абсолютно никаких деловых отношений с брендом, информирующим его об “инциденте безопасности, требующем контроля их учетных данных ”. Адресат не станет жертвой этого и воспримет это, как сообщение фишеров. Если учесть, что фишеры не желают такого положения дел, они просто воспользуются преимуществом ноу-хау спаммеров в форме сегментации почтовых баз данных, которыми они владеют на данный момент в каждой стране и каждом городе, тем самым, повышая свои шансы на отправку ложного сообщения, нацеленного на Немецкий банк, например, присланного с почтового ящика местного жителя.
Уменьшение входных барьеров на арене фишинга сравнимо со снижением входных барьеров на арене вредоносного ПО, а именно благодаря созданию комплекта фишера (сделай сам), целью которого является значительная экономия времени для фишера, ищущего более эффективные способы входа в загрузочные данные механизма продвижения информации в как можно большем количестве шаблонов фишинговых страниц. Именно в этом и заключается основная задача комплектов сделай сам, и именно они стали предметами потребления в течение последней половины 2007 года, а один из комплектов практически достиг стадии v.2.0 (версия). Такие комплекты позволяют практически каждому с легкостью войти в пространство фишеров. Поэтому они напрямую несут ответственность за рост количества атак фишеров. Новые версии с более совершенными функциями, такими как прямая загрузка фишинговой страницы на предопределенный список URL, обречены на успех, учитывая популярность первых двух версий .
Существует общее ошибочное мнение по поводу того, что собой представляет комплект Rock Phish. Представляет ли он собой банды фишеров, или это комплект сделай сам, в котором фишеры используют технологию «укажи и кликни», чтобы создать успешную кампанию, о которой, я надеюсь, вы знаете? Ответ прост, комплект Rock Phish представляет собой простой сценарий с большим количеством переменных, где фишеры пользуются преимуществом одного домена для создания большого количества субдоменов различных компаний, каждый из которых соответствует различным фишинговым страницам, нацеленным на различные бренды. Вот вам пример области доменов Rock Phish (View Image).
Этот IP, 212.199.95.108, появлялся на моем радаре довольно продолжительное время, и он является отличным примером домена Rock Phish, если говорить точнее, домена, который размещает множество субдоменов, каждый из которых принадлежит отдельной фишинговой кампании, делая ее уникальной и вполне легально выглядящей. Вот как выглядят примерные фишинговые URL:
Мониторинг доменов Rock Phish всегда информативен, поскольку сценарий, уполномочивающий сотни тысяч этих фишинговых кампаний, становится общим, стандартным орудием фишеров в больших масштабах. Например, пару месяцев назад, сообщением по умолчанию для всех и каждого домена Rock Phish было «209 Host Locked», но поскольку стало относительно просто отслеживать такие домены, фишеры недавно сменили его на «66.1 Host Locked». Единственным слабым местом Rock Phish является его “подход эффективности”. Если закрывать IP-адреса, содержащие область доменов, все фишинговые кампании перестанут отвечать. Более того, такая централизация фишинговых кампаний позволяет блокировать их более просто.
Очень интересно наблюдать за процессом того, как много усилий вкладывают финансовые институты в продвижение услуг электронных банков и трансакций, а с другой стороны получают выгоду от того, что именно потребители подписывают соглашение, скрыто говорящее о том, что банк не несет ответственности за любые жульнические сделки. Фишинг не следует воспринимать как нечто отличное от спама. Это незатребованное сообщение, однако, по сравнению со спамом, фишинговые сообщения могут нанести гораздо больший материальный ущерб. Задача состоит в том, чтобы такие сообщения не доходили до почтовых ящиков пользователей, и не отправлялись с определенных хостов зараженных сетей. По большому счету фишинг все еще находится в своей первой стадии. Это пробивной подход отправки сообщений жертве, предшествующий более совершенному подходу, такому как фарминг.
Более того, фишеры, как и спаммеры, очень хорошо приспосабливаются, и самая последняя фишинговая кампания MySpace указывает на рост их интереса к сочетанию различных приемов не только для того, чтобы выглядеть более доверительно, используя технику typosquatting, но и для того, чтобы научиться оставаться незамеченными для радаров поставщиков. В кампании MySpace они не рассылали фишинговые URL, а располагали их в качестве внутренних компонентов спама, чтобы ни один сенсор поставщика их не вычислил. И несмотря на логические преобразования фишинга из хорошо сформулированного рыночного сообщения в текущую модель массовой коммуникации, создание осведомленности с помощью технологического решения в форме интегрированной защиты браузера на данный момент удерживает ворота закрытыми. Хотя “лучшее” еще впереди.
Источник www.windowsecurity.com