Фишинг: типичная угроза для бизнеса

Бизнес

Фишинг ещё несколько лет назад не считался особо серьёзной угрозой: для специалистов это был скорее малозначительный вид мошенничества, на который попадались только самые неопытные или, с позволения сказать, наивные пользователи. Однако в последние годы всё поменялось: фишинг приобрёл, с одной стороны, массовый, а с другой — высокотехнологический характер (об этом будет сказано ниже), и далеко не только неопытные пользователи попадаются на эти удочки. Согласно данным, полученным из нашего облачного сервиса Kaspersky Security Network, в 2012-2013 годах в прицел фишеров попали 37,3 млн. пользователей по всему миру. Тут стоит оговориться, что эта статистика учитывает только пользователей решений «Лаборатории Касперского», согласившихся на участие в Kaspersky Security Network. Но сам факт 87-процентного роста количества атак такого рода по сравнению с 2011-2012 гг. весьма показателен.

Что, вообще, такое фишинг, и чего добиваются фишеры? В большинстве случаев речь идёт о создании поддельных копий популярных сайтов, аккумулирующих персональные данные в том или ином виде. Это могут быть социальные сети, интернет-магазины, сайты банков и т.п. Мошенники стремятся заманить пользователей на такие поддельные ресурсы и тем или иным образом заставить ввести там свои логины, пароли к «настоящим» сайтам, а также, желательно, номера кредитных карт и любые другие сведения о себе. Делается это самыми разными средствами – через электронную почту и ссылки в социальных сетях, в IM-службах и так далее.

Фишинг ещё недавно казался угрозой «только для самых наивных», однако сейчас всё изменилось. И бизнес всё чаще становится объектом для подобных атак.

Конечная цель, естественно, состоит в том, чтобы мошенники получили доступ к финансовым ресурсам обманутых пользователей. На чёрном рынке, однако, весьма ходовым товаром оказываются любые персональные данные пользователей.

Приведённый ниже график, взятый из недавнего исследования экспертов «Лаборатории Касперского» «Эволюция фишинговых атак в 2011-2013 годах«, даёт наглядное представление о том, какие именно сайты злоумышленники чаще всего копируют.

targetsПо сравнению с 2011-2012 годами изменения довольно значительны. В предыдущий период на поисковики и почтовые ресурсы приходились более 40% «подделок», на этот раз — 29,89% (снижение более чем на 10%). Сайты электронных платёжных систем также стали реже копировать (снижение с 7,83% до 5,52%). В то же время, банковские сайты стали подделывать чаще — рост с 9,78% до 12,17%.

На самом деле, ключевым фактором в выборе объекта атаки является популярность ресурса: чем больше людей его посещает, и чем большее количество персональных данных он аккумулирует, даже если это не более чем пары логинов и паролей, тем выше вероятность рано или поздно случайно напороться на его копию-подделку.

На нижеприведённом графике представлены конкретные ресурсы, которые чаще всего пытались имитировать киберпреступники в 2012-2013 годах:

spectargetsЛогины и пароли злоумышленникам могут быть интересны сами по себе, поскольку нередко пользователи используют одни и те же реквизиты для разных учётных записей.

К сожалению, как уже сказано, фишеры становятся всё более изобретательными. Случается, что, сделав поддельную копию сайта какого-либо банка, хакеры используют Javascript для того, чтобы отображать в адресной строке легитимный адрес, в то время как на самом деле пользователь находится в ловушке. Распознать её не так-то просто (если только у пользователя не отключен Javascript, конечно).

Кроме того, мошенники могут использовать XSS-уязвимости в сайтах-мишенях, внедряя произвольный код в адресную строку (например, для того чтобы выводить пользователю поддельное окно с полями для логина и пароля).

Опаснее же всего оказываются вредоносные программы, модифицирующие файл hosts в Windows (такие как QHost или DNSChanger) и тем самым перенаправляющие пользователя на поддельные ресурсы. Как и в случае с XSS, без технических средств, позволяющих выявить присутствие этих зловредов, распознать фишинг подобного рода невозможно.

Что это может значить для бизнеса? Во-первых, необходимость использовать вышеупомянутые технические средства, обеспечивающие профилактику фишинга даже тогда, когда пользователь ничего не подозревает.

Во-вторых, необходимо, чтобы персонал был осведомлён о существовании проблемы с фишингом и возможных векторах атаки. Например, если сотрудник компании получает личным сообщением в социальной сети непонятную ссылку от кого-либо из своих френдов, ему стоит убедиться в том, что ссылка поступила именно от этого пользователя, то есть его аккаунт не взломан и не используется для рассылки вредоносных ссылок. Пользователи также должны осознавать возможные последствия успеха фишеров, а также знать, что фишинг может представлять собой лишь один из этапов целенаправленной комплексной атаки. Потери крупного бизнеса от таких атак могут составлять миллионы долларов.

Антифишинговый инструментарий присутствует и в пользовательских, и в корпоративных решениях «Лаборатории Касперского», а также в пакетах для защиты малого бизнеса (Kaspersky Small Office Security). Без средств профилактики и борьбы с фишингом говорить об эффективной защите от информационных угроз не приходится.