Особенности национальной рыбалки в интернете

March 23, 2006

Многим из вас, я думаю, известно такое понятие, как “фишинг”. Суть его в том, что на ваш адрес приходит письмо якобы от имени одной из уважаемых компаний – Amazon, PayPal, CitiBank и т.п. – в котором сообщается о какой-либо проблеме с вашим счетом и вас просят перейти по ссылке, залогиниться и провести какие-то действия.

При этом ссылка приводится в виде, к примеру [a xhref="http://bad-phishing-site" mce_href="http://bad-phishing-site" ]http://www.amazon.com/login[/a]. Т.е., вы ее в письме видите как ведущую на сайт уважаемой компании, а на самом деле она ведет на сайт злоумышленников, который пытается мимикрировать под оригинал. Там вы, ничего не подозревая, вводите свой логин и пароль, и вуаля – у “рыбаков” все ваши данные, включая доступ к денежным счетам.

За последний месяц мне стало приходить довольно много такой почты, я давно хотел об этом явлении написать, но вот вчерашний улов меня настолько поразил своей наглостью, что я это свое намерение осуществляю немедленно.

Итак, вариант, поразивший меня до глубины души – стандартная схема, мимикрируем под PayPal. Если я попадаюсь на крючок и иду по ссылке, передо мной предстает следующего вида сайт:

Phishing Paypal

Оригинал выглядит примерно так:

PayPal orig

Если вы не каждый день ходите на PayPal, то вполне похоже. В общем, дальше дело техники – “социальный хакинг” в действии, что называется.

О том, что меня поразило, чуть ниже, а пока предвижу вопрос – какой идиот пойдет вот так вот на сайт и введет какую-то свою критически важную информацию? Я тоже так думал, пока пару недель назад мне не пришло фишинговое письмо якобы из Амазона с текстом смысла “мы заметили подозрительную активность с вашей кредитной картой, пожалуйста, залогиньтесь и проверьте”. Даже в обычной ситуации задумаешься и как минимум проверишь свои счета, а у меня, если помните, недавно украли с кредитной карты около 1000 фунтов, так что моим первым сильным побуждением было пойти и залогиниться.

Естественно, я ссылки сначала проверил – но менее технически грамотный пользователь может принять это за чистую монету.

В чем же наглость? Посмотрите на адрес фишингового сайта: он начинается с адреса МГТУ имени Баумана, пользователь “enga”. В самой директории пользователя висит анонс “это место на реконструкции, рабочая версия сайта находится на http://stolko.narod.ru/“. По этому адресу довольно стандартный сайт-визитка какой-то промышленно-производственной фирмы.

Я на 100% уверен, что МГТУ здесь ни при чем, на 99% – что ни при чем и фирма Энга, а вся эта деятельность, скорее всего, личная инициатива какого-то студента или просто сисадмина; но это либо потрясающая наглость, либо потрясающая глупость.

Я думаю, ФСБ заинтересует возможность выйти на этих энтузиастов с настолько явной зацепкой. Тем более, что данный вид преступной деятельности направлен в первую очередь на запад – а заработать очки перед коллегами из ФБР или там Интерпола какого всегда полезно.

Вас же всех предостерегаю – будьте очень осторожны, кликая по непроверенным ссылкам даже из надежно и солидно выглядящих писем.

Майкрософт, кстати, судится с фишерами по всему миру:

“Весной прошлого года в США компания Microsoft подала 117 судебных исков против фишеров. 53 иска о нарушении авторских прав, которые планируется рассмотреть до конца марта 2006 года, были поданы через GPEI. Подозреваемые по этим делам проживают в Турции, Франции, Испании, Марокко, Великобритании, Германии, Австрии, Египте и Швеции.

Представитель отдела по борьбе с финансовыми и хайтек-преступлениями Интерпола подчеркнул преимущество сотрудничества правоохранительных органов с Microsoft. По его словам, это партнерство обеспечило им прямой доступ к новейшим технологическим достижениям в области фишинга. «Правоохранительные органы не могут решить эту проблему в одиночку. Пора наладить связь между ними, интернет-сервис-провайдерами и производителями аппаратуры и ПО”

UPD: Похоже сегодня фишинговый сайт уже убрали с оригинального адреса.

Bookmark and Share
Uncategorized
  • rdm
    Сначала я думал, что на подобные уловки ловяться только ламера, пока сам чуть не откликнулся на такое письмо ;)
    Слава богу мейлер был на чику и предупредил что ссылка отличаеться от адреса сайта, указаного в тексте.
  • Я про Ситибанк писал в ФБР. Мне ответили через день - сказали, что проблема им известна и нет нужды присылать такие письма. Видимо, что могут, делают все же.

    А customer-service ситибанка, по крайней мере в России, это просто ужас.
  • Whistler
    1. Если это институтски
  • Vladislav Artukov
    Мне довольно часто приходят phishing-письма. Пару раз, ради интереса, написал на специальный security-feedback Сity bank (вэб-форма на сайте City) - ноль реакции.

    О какой вообще безопасности можно говорить, если security такого известного банка спит аки сибирская мишка?
  • Я тоже думаю, что скорее всего подобрали или как-то получили пароль к сайту и сменили на нем страницу. Не станут люди так подставляться, тем более достаточно грамотные чтобы построить сеть по рассылке спама. впрочем на их месте я бы не стал менять главную страницу, а завел бы отдельный каталог или просто положил рядом с нормальными файлами отдельный скрипт, чтобы админы сайта не сразу заметили взлом. ;)
  • А. Сначала не понял. Звучит логично.
  • В подставлении чужого сайта. Называется phishing para-site.
  • Положили страничку, а потом рассылают фишинговые письма? Смысл в чем?
  • Серега
    Скорее всего, этот сайт просто хакнули и положили туда левую страничку. Фишинг-мэны не дураки, чтобы так подставляться.
  • А такая конструкция
    [a xhref=”http://bad-phishing-site” mce_href=”http://bad-phishing-site” ]http://www.amazon.com/login[/a]
    только в экспорере работает?

    И ещё вопрос: разве сайты, работающие со счетами, не имеют SSL-сертификаты, которые подтверждают их достоверность?
  • Дима Лапшин
    А помнится еще в IE6 (если не раньше) вводили такую фичу, чтобы в тултипе показывать реальный адрес ссылки, т.е. то что в HREF, а не то, что между .... А потом еще дырку "затыкали" когда IE не мог показать правильный адрес для каких-то особо хитрых URL.

    Можно эту фичу расширить и при клике на такие ссылки выдавать warning что URL в тексте ссылки не соответствует реальному URL куда вы перейдете.
  • Он у меня отключен, честно говоря :)
  • mihailik: судя по цвету адрес-бара, он не определил сайт как фишинг.

    Интересно, а определил бы его Scam Sensor?
  • Антон, по картинке видно, что у тебя стоит IE7.

    Поэтому естественный вопрос — как проявляет себя в этих делах его модный антифишинговый фильтр?

    Есть ли сейчас какая-то польза? Если нет, то будет ли она вообще, эта польза от антифишингового фильтра?
  • russo
    Есть ещё такой метод,работающий при определённых условиях:
    при заходе через "amazon.com/login" это фишинг,
    а при заходе через "www.amazon.com/login" вы попадёте туда,куда и планировали :)
  • > либо потрясающая наглость, либо потрясающая глупость

    Второе, переходящее в идиотизм.
blog comments powered by Disqus