23.03.2006
Особенности национальной рыбалки в интернете
Опубликовано в категориях Интернет и IT-бизнесМногим из вас, я думаю, известно такое понятие, как “фишинг”. Суть его в том, что на ваш адрес приходит письмо якобы от имени одной из уважаемых компаний - Amazon, PayPal, CitiBank и т.п. - в котором сообщается о какой-либо проблеме с вашим счетом и вас просят перейти по ссылке, залогиниться и провести какие-то действия.
При этом ссылка приводится в виде, к примеру [a xhref=”http://bad-phishing-site” mce_href=”http://bad-phishing-site” ]http://www.amazon.com/login[/a]. Т.е., вы ее в письме видите как ведущую на сайт уважаемой компании, а на самом деле она ведет на сайт злоумышленников, который пытается мимикрировать под оригинал. Там вы, ничего не подозревая, вводите свой логин и пароль, и вуаля - у “рыбаков” все ваши данные, включая доступ к денежным счетам.
За последний месяц мне стало приходить довольно много такой почты, я давно хотел об этом явлении написать, но вот вчерашний улов меня настолько поразил своей наглостью, что я это свое намерение осуществляю немедленно.
Итак, вариант, поразивший меня до глубины души - стандартная схема, мимикрируем под PayPal. Если я попадаюсь на крючок и иду по ссылке, передо мной предстает следующего вида сайт:
Оригинал выглядит примерно так:
Если вы не каждый день ходите на PayPal, то вполне похоже. В общем, дальше дело техники - “социальный хакинг” в действии, что называется.
О том, что меня поразило, чуть ниже, а пока предвижу вопрос - какой идиот пойдет вот так вот на сайт и введет какую-то свою критически важную информацию? Я тоже так думал, пока пару недель назад мне не пришло фишинговое письмо якобы из Амазона с текстом смысла “мы заметили подозрительную активность с вашей кредитной картой, пожалуйста, залогиньтесь и проверьте”. Даже в обычной ситуации задумаешься и как минимум проверишь свои счета, а у меня, если помните, недавно украли с кредитной карты около 1000 фунтов, так что моим первым сильным побуждением было пойти и залогиниться.
Естественно, я ссылки сначала проверил - но менее технически грамотный пользователь может принять это за чистую монету.
В чем же наглость? Посмотрите на адрес фишингового сайта: он начинается с адреса МГТУ имени Баумана, пользователь “enga”. В самой директории пользователя висит анонс “это место на реконструкции, рабочая версия сайта находится на http://stolko.narod.ru/“. По этому адресу довольно стандартный сайт-визитка какой-то промышленно-производственной фирмы.
Я на 100% уверен, что МГТУ здесь ни при чем, на 99% - что ни при чем и фирма Энга, а вся эта деятельность, скорее всего, личная инициатива какого-то студента или просто сисадмина; но это либо потрясающая наглость, либо потрясающая глупость.
Я думаю, ФСБ заинтересует возможность выйти на этих энтузиастов с настолько явной зацепкой. Тем более, что данный вид преступной деятельности направлен в первую очередь на запад - а заработать очки перед коллегами из ФБР или там Интерпола какого всегда полезно.
Вас же всех предостерегаю - будьте очень осторожны, кликая по непроверенным ссылкам даже из надежно и солидно выглядящих писем.
Майкрософт, кстати, судится с фишерами по всему миру:
“Весной прошлого года в США компания Microsoft подала 117 судебных исков против фишеров. 53 иска о нарушении авторских прав, которые планируется рассмотреть до конца марта 2006 года, были поданы через GPEI. Подозреваемые по этим делам проживают в Турции, Франции, Испании, Марокко, Великобритании, Германии, Австрии, Египте и Швеции.
Представитель отдела по борьбе с финансовыми и хайтек-преступлениями Интерпола подчеркнул преимущество сотрудничества правоохранительных органов с Microsoft. По его словам, это партнерство обеспечило им прямой доступ к новейшим технологическим достижениям в области фишинга. «Правоохранительные органы не могут решить эту проблему в одиночку. Пора наладить связь между ними, интернет-сервис-провайдерами и производителями аппаратуры и ПО”
UPD: Похоже сегодня фишинговый сайт уже убрали с оригинального адреса.
Опубликовано в 2:05 pm в категориях Интернет и IT-бизнес
Рекомендуйте на news2.ru
7 навыков эффективных людей.
The Long Tail.
> либо потрясающая наглость, либо потрясающая глупость
Второе, переходящее в идиотизм.
Есть ещё такой метод,работающий при определённых условиях:
при заходе через “amazon.com/login” это фишинг,
а при заходе через “www.amazon.com/login” вы попадёте туда,куда и планировали :)
Антон, по картинке видно, что у тебя стоит IE7.
Поэтому естественный вопрос — как проявляет себя в этих делах его модный антифишинговый фильтр?
Есть ли сейчас какая-то польза? Если нет, то будет ли она вообще, эта польза от антифишингового фильтра?
mihailik: судя по цвету адрес-бара, он не определил сайт как фишинг.
Интересно, а определил бы его Scam Sensor?
Он у меня отключен, честно говоря :)
А помнится еще в IE6 (если не раньше) вводили такую фичу, чтобы в тултипе показывать реальный адрес ссылки, т.е. то что в HREF, а не то, что между …. А потом еще дырку “затыкали” когда IE не мог показать правильный адрес для каких-то особо хитрых URL.
Можно эту фичу расширить и при клике на такие ссылки выдавать warning что URL в тексте ссылки не соответствует реальному URL куда вы перейдете.
А такая конструкция
[a xhref=”http://bad-phishing-site” mce_href=”http://bad-phishing-site” ]http://www.amazon.com/login[/a]
только в экспорере работает?
И ещё вопрос: разве сайты, работающие со счетами, не имеют SSL-сертификаты, которые подтверждают их достоверность?
Скорее всего, этот сайт просто хакнули и положили туда левую страничку. Фишинг-мэны не дураки, чтобы так подставляться.
Положили страничку, а потом рассылают фишинговые письма? Смысл в чем?
В подставлении чужого сайта. Называется phishing para-site.
А. Сначала не понял. Звучит логично.
[…] - Тирания толпы; - Особенности национальной рыбалки в интернете; - What’s more spammable - a comment or a trackback?; - Co Citation - understanding how it effects your SEO; - The big secret to Ranking #1 in Yahoo; - Интервью: Василий Сидоров, президент МТС; - Googlebot: Keep out!; - Make $200K+ a Year Running the SEO Scam; - Comments are Easy Marketing Opportunities; - Mixing Organic SEO and Pay Per Click Marketing; - Жизнь замечательных блоггеров #3. […]
Я тоже думаю, что скорее всего подобрали или как-то получили пароль к сайту и сменили на нем страницу. Не станут люди так подставляться, тем более достаточно грамотные чтобы построить сеть по рассылке спама. впрочем на их месте я бы не стал менять главную страницу, а завел бы отдельный каталог или просто положил рядом с нормальными файлами отдельный скрипт, чтобы админы сайта не сразу заметили взлом. ;)
Мне довольно часто приходят phishing-письма. Пару раз, ради интереса, написал на специальный security-feedback Сity bank (вэб-форма на сайте City) - ноль реакции.
О какой вообще безопасности можно говорить, если security такого известного банка спит аки сибирская мишка?
1. Если это институтски
Я про Ситибанк писал в ФБР. Мне ответили через день - сказали, что проблема им известна и нет нужды присылать такие письма. Видимо, что могут, делают все же.
А customer-service ситибанка, по крайней мере в России, это просто ужас.
[…] В комментариях к постингу “Особенности национальной рыбалки в Интернете” меня спросили, работает ли антифишинговый фильтр IE7. Я тогда ответил, что не знаю, потому что он у меня отключен. Но вопрос меня заинтересовал, я его включил, и когда сегодня пришло очередное рыбацкое письмо (кстати, пропущенное фильтром Gmail - прошлые он отлавливал хорошо), я ткнул на ссылку (это у меня теперь уже азарт коллекционера) и фильтр IE7 показал себя во всей красе: […]
Сначала я думал, что на подобные уловки ловяться только ламера, пока сам чуть не откликнулся на такое письмо ;)
Слава богу мейлер был на чику и предупредил что ссылка отличаеться от адреса сайта, указаного в тексте.