HTML, используемый в электронных сообщениях, запутывает информацию об URL;

Название данного типа атак - Phishing (фишинг) - это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

Преступники для своего нападения используют spam или компьютеры-боты. При этом размер компании-жертвы не имеет значения; качество личной информации полученной преступниками в результате нападения, имеет значение само по себе.

Немного истории.

Термин был впервые употреблен в 1996 году хакерами, захватившими управление учетными записями America Online (AOL) и похитившими пароли ничего не подозревающих пользователей AOL. Первое упоминание в Internet термина phishing было сделано в группе новостей alt.2600 hacker newsgroup в январе 1996, однако термин, возможно, использовался даже ранее в популярном хакерском информационном бюллетене "2600".

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал.

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях.

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей:

- в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных;

- в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте.

По оценкам специалистов, более 70 % фишинговых атак в социальных сетях - успешны!

Техника фишинга

Phishing нападения полагаются на соединение методов технического обмана и факторов социальной инженерии (это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств). В большинстве случаев Phisher должен убедить жертву преднамеренно выполнить ряд действий, которые обеспечат доступ к конфиденциальной информации.

В настоящее время фишеры активно используют популярность таких средств связи как электронная почта, web-страницы, IRC и службы мгновенной передачи сообщений (IM). Во всех случаях Phisher должен являться олицетворением доверенного источника (например, службы поддержки соответствующего банка и т.д.), чтобы внушить доверие жертве.

До настоящего времени, самые успешные нападения Phishing осуществлялись по электронной почте - где Phisher исполняет роль уполномоченного лица (например, имитируя исходный адрес электронной почты и используя внедрение соответствующих корпоративных эмблем. Например, жертва получает электронную почту от support@mybank.com <mailto:support@mybank.com> (адрес - подменен) со строкой сообщения "модификация защиты", в котором ее просят перейти по адресу www.mybank-validate.info <http://www.mybank-validate.info> (имя домена принадлежит нападавшему, а не банку) и ввести его банковский PIN-код.

Методы, используемые фишерами при работе с электронной почтой:

Официальный вид письма;

2. Копирование законных корпоративных адресов электронной почты с незначительными изменениями URL; )

HTML, используемый в электронных сообщениях, запутывает информацию об URL;

4. Стандартные вложения вируса/червя в сообщения;