- Registrado
- 13 Jul 2010
- Mensajes
- 14
- Puntuación de reacción
- 0
- Puntos
- 1
- Ubicación
- Израиль. +972 526351963
Considere algunos aspectos de la información y la seguridad e inteligencia de negocios financieros en Internet. Consideramos específicamente una de las formas de obtener acceso no autorizado a la correspondencia comercial utilizando un sistema de correo electrónico (correo electrónico), así como un acceso similar para realizar transacciones financieras utilizando un sistema de pago "en línea" (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney , Rupay, PayPal, Platinum Trade, ElecPay, ICQMoney y otros), o un sistema de administración de cuentas bancarias "en línea", es decir, hay un método llamado Suplantación de identidad : Internet - fraude, cuyo propósito es obtener datos de identificación del usuario (nombre de usuario y contraseña).
La base de este método es obtener la identidad de la víctima utilizando un sitio falso (en adelante denominado sitio de phishing), que es una copia exacta del presente.
En la práctica, se pueden distinguir dos tipos de ataques para obtener la información deseada:
Se utiliza un ataque masivo de usuarios para obtener la mayor cantidad de datos de identificación, con el fin de robar dinero, cuentas o recopilar grandes cantidades de información sobre la red bancaria.
Un ataque dirigido por un usuario específico, con el fin de obtener la mayor cantidad de información comercial y financiera sobre una persona física o jurídica específica.
El algoritmo de acciones en ambos casos es el mismo:
- Selección y estudio de pago electrónico, postal o sistema bancario en línea.
- Recopilación de información sobre los clientes de este sistema, o sobre un cliente específico.
- Creación y colocación de un sitio de phishing en la red.
- Remisión de clientes de un sistema real en línea a un sitio de phishing.
A continuación, consideramos prácticamente este algoritmo.
Selección y estudio de pago electrónico, postal o sistema bancario en línea.
La elección de un objeto depende de la experiencia, el soporte técnico y el propósito específico de la persona involucrada en phishing. El estudio del sistema de interés comienza con una visita al sitio y un estudio de los componentes del sitio.
El phisher presta especial atención a la sección del sitio "Inicio de sesión en la sección personal de los clientes del sistema", así como a las condiciones para usar este sistema electrónico, la sección de soporte técnico, la sección de seguridad, las secciones de noticias e información y las direcciones de correo electrónico de los servicios del sistema de interés.
Además, es posible que el phisher registre su sección personal en el sistema de interés en línea, lo que le brinda información adicional para mejores actividades.
Un phisher experimentado utilizará la información obtenida para crear la impresión de la realidad más grande que le sucede a la víctima potencial mientras la envía al sitio de phishing.
Recopilación de información sobre clientes o un cliente específico de este sistema.
El método de recopilación de información depende de cuáles de los ataques se llevarán a cabo y los clientes de cuáles de los sistemas en línea serán atacados.
La base de esta operación es la recopilación de direcciones de correo electrónico de posibles víctimas, clientes del sistema en línea, a las que posteriormente se envía un mensaje o carta de información, supuestamente en nombre de la administración de un sitio real o sistema en línea, para enviar a la víctima a un sitio de phishing.
Como regla general, se realiza un ataque masivo de usuarios contra clientes de un correo electrónico o sistema de pago y se utilizan potentes botnets para recopilar direcciones de correo electrónico (un programa es un robot que recopila direcciones de correo electrónico para hojas de correo no deseado) o programas menos potentes para recolectar hojas de correo no deseado, como Advanced Email Extractor, E-mail Collection 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, algunos de estos programas tienen una función de recolección de correo electrónico direcciones de correo de acuerdo con un algoritmo dado: puede recopilar las direcciones de correo electrónico de un sistema de correo en particular y, como regla, el mismo sistema de pago electrónico, ya que el inicio de sesión es el mismo tanto para el correo como para los sistemas de pago. Yandex y @ MAIL.RU sirven como ejemplo, cabe señalar que @ MAIL.RU también sirve el sistema de correo @ inbox.ru, @ bk.ru, @ list.ru.
El método de recopilación de información en un ataque dirigido es diferente, ya que recopila información sobre un sistema de pago electrónico específico (por ejemplo, WebMoney, Egold), un sistema de administración de cuentas bancarias en línea y una persona física o jurídica específica.
La principal diferencia entre esta recopilación de información es que al final de la recopilación de información, el phisher utiliza no solo información sobre la dirección de correo electrónico de la posible víctima, sino también los detalles de las cuentas bancarias (cuenta bancaria y número de cuenta correspondiente, dirección del banco o su sucursal, datos personales del propietario cuentas), así como detalles de cuentas de sistemas de pago electrónico, lo que le da la oportunidad de preparar una carta de información mejor y más confiable para una posible víctima y un sitio de phishing.
En este caso, programas de búsqueda de información en Internet como Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch o Internet Search Systems como como Yandex, Rambler, Google y otros.
Con una solicitud correctamente especificada, el sistema de búsqueda puede emitir varios cientos de miles de enlaces a los detalles de cuentas bancarias de individuos y organizaciones. Cuando solicita “Detalles de nuestra cuenta corriente”, el sistema Yandex emite alrededor de 400,000 enlaces de páginas a usuarios bancarios con información que es de interés para el phisher, el sistema Google, alrededor de 250,000 enlaces. Alrededor de 15,000 enlaces a la solicitud "Detalles de nuestra cuenta corriente Alfa-Bank"
Creación y colocación de un sitio de phishing en la red.
Para obtener la información de identificación de la víctima, se crea una página de inicio de sesión falsa, que es idéntica a la página real en el sitio web del sistema en línea, y el lado del servidor del script para procesar los datos ingresados por la víctima.
La parte técnica de crear un sitio de phishing no lleva mucho tiempo, ya que se copia una página preparada del sitio original (la copia se puede hacer usando la función de copia de un navegador web o un programa de copia para sitios web como Teleport Pro, WebCopier, HTTrack, WebZip y otros) y El uso del editor HTML (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder y otros) crea una página de sitio phisher.
Los phishers experimentados también crean una o más páginas del sitio, para minimizar la sospecha de la víctima de que fue enviado al sitio de phishing. El contenido de información de estas páginas puede ser muy diverso, pero hay algunas páginas compuestas básicas de un sitio de phishing:
- Especialmente, de acuerdo con la carta de información enviada, se envía una página preparada a la cual la víctima es redirigida después de haber proporcionado información de identificación.
- Copia de la página principal del sitio original.
- Una página con un mensaje sobre un mal funcionamiento del servidor, al que se redirige a la víctima si intenta ir a otras trampas en la página del sitio de phishing.
Dicho sitio de phishing no establece enlaces que redirijan a la víctima a las páginas reales del sitio original, ya que el sistema de contabilidad de visitantes registra el paso de las páginas de otros sitios y existe la amenaza de establecer la presencia de un sitio de phishing.
Los phishers sin experiencia, por regla general, crean una página del sitio en la que la víctima debe ingresar los datos de identificación, o adicionalmente otra página donde le informa a la víctima que el nombre de usuario o la contraseña son incorrectos, o este servicio no está disponible temporalmente y le pide que se comunique nuevamente después de algunos hora.
El patrón es el siguiente: cuanto más experimentado y profesional sea el mismo phisher, más probable es que se vea el sitio phisher.
Un sitio de phishing en la red se aloja utilizando dos métodos:
Servidor de alojamiento gratuito: zona de dominio "ru" - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND y otros; otras zonas de dominio: ho (ua, org), AYOLA.net (com, net, biz), Bravanet (com), 007 Sites (com), 110MB HOSTIHG (com) y otros.
Uso de su servidor HTTP: Apache, Small HTTP server, Sambar Server, KF WEB Server y otros, que está instalado en la computadora phisher o en la computadora zombie (especialmente para tales fines una computadora pirateada).
Remitir a los clientes de un sistema en línea real a un sitio de phishing.
La víctima potencial es enviada al sitio de phishing enviando una carta de información especial a su correo electrónico.
Para ataques masivos de víctimas potenciales, se utilizan spammers de correo electrónico: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender y otros.
Para un ataque selectivo de una víctima potencial, se utilizan tanto los programas de "correo electrónico no deseado" como los programas de envío de correo anónimo: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer y otros, o servidores casi anónimos.
Cabe señalar que, utilizando programas de envío casi anónimos, el phisher tiene la capacidad de falsificar la dirección de correo electrónico del remitente, es decir, puede especificar cualquier otra dirección de correo electrónico real o inexistente. Utiliza la información recibida sobre la capacidad de contactar los servicios del sistema en línea, es decir, la dirección de correo electrónico real del sistema en línea.
Contenido de texto del boletín Se desarrolla según el sistema "en línea" atacado y el contenido del sitio de phishing.
El boletín más simple en este momento es un mensaje informativo que confirma el inicio de sesión y la contraseña:
-------------------------------------------------- -----------------------------
Estimado usuario, servicio de correo Yandex!
Debido a un ataque de piratas informáticos en el servidor de correo de Yandex y la restauración de cuentas de clientes, le pedimos que vaya al sitio web de Yandex y confirme su cuenta
Correo electrónico enviado por correo electrónico robot. Por favor no responder a este email.
Nos disculpamos por el
inconveniencia.
Sinceramente, Yandex Support.
Buzón Yandex sin spam y virus.
-------------------------------------------------- -------------------------------
Estimado usuario, Alfa-Click Internet Banking system!
Debido a un ataque de piratas informáticos en el servidor de Alfa-Click Internet Bank y la restauración de cuentas de clientes, le pedimos que vaya al servidor de Alfa-Click Internet Bank y confirme su cuenta o contacte a su sucursal de Alfa Bank.
Correo electrónico enviado por correo electrónico robot. Por favor no responder a este email.
Nos disculpamos por cualquier inconveniente que esto pueda causar.
Atentamente, Servicio de soporte "en línea" del sistema "Internet Bank Alfa-Click".
Otros proyectos de Internet de Alfa Bank.
-------------------------------------------------- ------------------------------
Como regla general, los boletines informativos de dicho contenido no son muy efectivos, ya que se han utilizado durante mucho tiempo y la mayoría de los usuarios de sistemas "en línea" saben que esto es un fraude en Internet.
Un boletín más plausible que no despierte sospechas de una víctima potencial se puede escribir de esta manera:
-------------------------------------------------- ---------------------------
Hola usuario!
Tienes una tarjeta postal.
Remitente de la postal: XXXX
Para convertirse en el descubridor de esta postal, haga clic en el enlace.
Por favor no responder a este email.
Para enviar una postal en respuesta, seleccione una postal en el sitio web Yandex.Cards o dibuje usando Yandex.Colors
Yandex Postales. Abierto antes de las vacaciones.
Hola, Polzovatel, acabas de recibir una postal.
Para ver la postal, haga clic en este enlace.
Por favor no responda este correo electrónico.
Yandex.Postcards. Pre-vacaciones Postales.
-------------------------------------------------- ------------------------
Estimado usuario, Alfa-Click Internet Banking system!
La gerencia de Alfa Bank anuncia una lotería para los clientes de Alfa-Click Internet Bank.
Se familiarizará con los términos de participación en la lotería, y puede confirmar su participación en la Lotería de Internet de Alfa-Click o en su sucursal de Alfa Bank.
Correo electrónico enviado por correo electrónico robot. Por favor no responder a este email.
Atentamente, Servicio de soporte "en línea" del sistema "Internet Bank Alfa-Click".
Alfa-Click Internet Banking es la simplicidad y la velocidad de conexión al sistema, la ausencia de la necesidad de instalar un software especial.
Oficina principal
107078, Moscú, st. Kalanchevskaya, 27
XML: PREFIJO DE ESPACIO DE NOMBRE = SKYPE (+7495) 620-91-91 (+7495) 620-91-91
(+7495) 797-31-60 (+7495) 797-31-60
(+7495) 974-25-15 (+7495) 974-25-15
-------------------------------------------------- ------------------------
Estimado usuario del sistema de pago Yandex.Money!
La administración del sistema de pago Yandex.Money anuncia una lotería para sus clientes.
Él se familiarizará con los términos de participación en la lotería, y puede confirmar su participación en la lotería haciendo clic en el enlace.
Correo electrónico enviado por correo electrónico robot. Por favor no responder a este email.
Descuentos este mes. Más detalles
Buzón Yandex sin spam y virus.
-------------------------------------------------- ------------------------
El contenido del boletín puede ser muy diverso y simplemente no es posible considerar todas las opciones. Puede familiarizarse con muchos tipos de boletines y sitios de phishing en el sitio web del Grupo de trabajo contra el phishing.
Está protegido contra ataques de phishing y principios de seguridad cuando se utilizan sistemas "en línea".
Considere los principios básicos de la seguridad del uso de sistemas "en línea" y esté protegido contra ataques de phishing.
Lo principal que deben recordar los usuarios de sistemas en línea:
- El servicio de soporte del sistema "en línea" no envía cartas de información solicitando agua o confirmando datos de identificación.
- Al recibir dicha carta, la transición a este sistema "en línea" se realiza utilizando solo la línea de comando del navegador web. No copie ni ingrese el enlace especificado en el boletín en la línea de comando del navegador web.
- No ingrese los datos de identificación requeridos si el enlace especificado conduce a la página para ingresar los datos de identificación "en línea" del sistema.
- No indique en las páginas del sitio una dirección de correo electrónico para la comunicación. Utilice guiones de formularios de comentarios.
- No indique los detalles de los sistemas de pago "en línea" ni los detalles de las cuentas bancarias en el sitio.
- El uso de scripts que prohíben la copia de páginas del sitio web. Cabe señalar que casi todos los sistemas "en línea" pecan por la protección de la información en este caso.
Señales eso puede indicar un posible ataque de phishing:
Receptor de E-mail : Al recibir dicha carta de información, es necesario prestar atención a la dirección de correo electrónico que se indica en la sección "Para". Si se indica una dirección de correo electrónico diferente en esta sección, en lugar del destinatario, la carta fue enviada por el programa "remitente de correo electrónico". Además, en esta sección se pueden indicar varias direcciones de correo electrónico, lo que indica un envío "no deseado".
Correo electrónico del remitente : No importa mucho, así es como existe la posibilidad de falsificar una dirección de correo electrónico cuando el programa envía una carta de información casi anónima.
Fecha: 05/10/07 10:03 PM
De: Yandex.Cards - dirección del remitente
Para: Su dirección@yandex.ru - dirección del destinatario
Asunto: ¡Postal de XXXX para ti!
Dirección IP del remitente : Puede configurar la dirección IP del remitente abriendo la opción "Propiedades del mensaje", que siempre indica la dirección original de la dirección IP del remitente.
"Propiedades de letra" en el sistema de correo Yandex
Recibido: de mxfront6.yandex.ru ([213.180.XXX.XXX]: 61840 "EHLO - IP del servidor de correo .
mxfront6.yandex.ru "smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) por mail.yandex.ru con ID de ESMTP S2965911AbYERLI6 (ORCPT
);
Dom, 18 de mayo de 2008 15:08:58 +0400
Recibido: de [61.106.66.XXX] ([61.106.66.XXX]: 44804 - IP del remitente
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1
por mail.yandex.ru con ID SMTP S40413AbYERLIw (ORCPT
Compruebe quién posee la dirección IP del remitente utilizando el servicio "WHOIS". Si la dirección IP del remitente coincide con la dirección IP de Yandex o Alfa-Bank, obtenemos la siguiente respuesta:
Yandex
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
nombre de red YANDEX-XXX-X
descr red empresarial Yandex
país RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
observaciones INFRA-AW
estado ASIGNADO PA
mnt-by YANDEX-MNT
fuente RIPE # Filtered
Alfa Bank
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
nombre de red ALFA-BANK
descr Alfa-Bank Moscú Rusia
país RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
estado ASIGNADO PA
mnt-by ALFABANK-MNT
fuente RIPE # Filtered
Si la dirección IP del remitente en la carta no coincide con la dirección IP en el servicio "WHOIS", esto indica un ataque de phishing, a pesar de que se indica una dirección de correo electrónico realmente existente del servicio de soporte en línea.
Puede verificar de la misma manera. Dirección IP de un sitio o dominio en el que se encuentra.
También existe la oportunidad de verificar el historial del sitio al que nos envía el enlace del boletín, es decir, al usar el sitio de Internet Archive, verificamos cuándo se publicó el sitio de interés y cuántas páginas de Internet. Para hacer esto, copie la dirección web del sitio desde la línea de comandos del navegador de Internet e ingrese "Internet Archive Wayback Machine" en el cuadro de búsqueda. Si el motor de búsqueda no encuentra datos en la dirección web verificada, esto significa que el sitio está siendo phishing.
La base de este método es obtener la identidad de la víctima utilizando un sitio falso (en adelante denominado sitio de phishing), que es una copia exacta del presente.
En la práctica, se pueden distinguir dos tipos de ataques para obtener la información deseada:
Se utiliza un ataque masivo de usuarios para obtener la mayor cantidad de datos de identificación, con el fin de robar dinero, cuentas o recopilar grandes cantidades de información sobre la red bancaria.
Un ataque dirigido por un usuario específico, con el fin de obtener la mayor cantidad de información comercial y financiera sobre una persona física o jurídica específica.
El algoritmo de acciones en ambos casos es el mismo:
- Selección y estudio de pago electrónico, postal o sistema bancario en línea.
- Recopilación de información sobre los clientes de este sistema, o sobre un cliente específico.
- Creación y colocación de un sitio de phishing en la red.
- Remisión de clientes de un sistema real en línea a un sitio de phishing.
A continuación, consideramos prácticamente este algoritmo.
Selección y estudio de pago electrónico, postal o sistema bancario en línea.
La elección de un objeto depende de la experiencia, el soporte técnico y el propósito específico de la persona involucrada en phishing. El estudio del sistema de interés comienza con una visita al sitio y un estudio de los componentes del sitio.
El phisher presta especial atención a la sección del sitio "Inicio de sesión en la sección personal de los clientes del sistema", así como a las condiciones para usar este sistema electrónico, la sección de soporte técnico, la sección de seguridad, las secciones de noticias e información y las direcciones de correo electrónico de los servicios del sistema de interés.
Además, es posible que el phisher registre su sección personal en el sistema de interés en línea, lo que le brinda información adicional para mejores actividades.
Un phisher experimentado utilizará la información obtenida para crear la impresión de la realidad más grande que le sucede a la víctima potencial mientras la envía al sitio de phishing.
Recopilación de información sobre clientes o un cliente específico de este sistema.
El método de recopilación de información depende de cuáles de los ataques se llevarán a cabo y los clientes de cuáles de los sistemas en línea serán atacados.
La base de esta operación es la recopilación de direcciones de correo electrónico de posibles víctimas, clientes del sistema en línea, a las que posteriormente se envía un mensaje o carta de información, supuestamente en nombre de la administración de un sitio real o sistema en línea, para enviar a la víctima a un sitio de phishing.
Como regla general, se realiza un ataque masivo de usuarios contra clientes de un correo electrónico o sistema de pago y se utilizan potentes botnets para recopilar direcciones de correo electrónico (un programa es un robot que recopila direcciones de correo electrónico para hojas de correo no deseado) o programas menos potentes para recolectar hojas de correo no deseado, como Advanced Email Extractor, E-mail Collection 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, algunos de estos programas tienen una función de recolección de correo electrónico direcciones de correo de acuerdo con un algoritmo dado: puede recopilar las direcciones de correo electrónico de un sistema de correo en particular y, como regla, el mismo sistema de pago electrónico, ya que el inicio de sesión es el mismo tanto para el correo como para los sistemas de pago. Yandex y @ MAIL.RU sirven como ejemplo, cabe señalar que @ MAIL.RU también sirve el sistema de correo @ inbox.ru, @ bk.ru, @ list.ru.
El método de recopilación de información en un ataque dirigido es diferente, ya que recopila información sobre un sistema de pago electrónico específico (por ejemplo, WebMoney, Egold), un sistema de administración de cuentas bancarias en línea y una persona física o jurídica específica.
La principal diferencia entre esta recopilación de información es que al final de la recopilación de información, el phisher utiliza no solo información sobre la dirección de correo electrónico de la posible víctima, sino también los detalles de las cuentas bancarias (cuenta bancaria y número de cuenta correspondiente, dirección del banco o su sucursal, datos personales del propietario cuentas), así como detalles de cuentas de sistemas de pago electrónico, lo que le da la oportunidad de preparar una carta de información mejor y más confiable para una posible víctima y un sitio de phishing.
En este caso, programas de búsqueda de información en Internet como Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch o Internet Search Systems como como Yandex, Rambler, Google y otros.
Con una solicitud correctamente especificada, el sistema de búsqueda puede emitir varios cientos de miles de enlaces a los detalles de cuentas bancarias de individuos y organizaciones. Cuando solicita “Detalles de nuestra cuenta corriente”, el sistema Yandex emite alrededor de 400,000 enlaces de páginas a usuarios bancarios con información que es de interés para el phisher, el sistema Google, alrededor de 250,000 enlaces. Alrededor de 15,000 enlaces a la solicitud "Detalles de nuestra cuenta corriente Alfa-Bank"
Creación y colocación de un sitio de phishing en la red.
Para obtener la información de identificación de la víctima, se crea una página de inicio de sesión falsa, que es idéntica a la página real en el sitio web del sistema en línea, y el lado del servidor del script para procesar los datos ingresados por la víctima.
La parte técnica de crear un sitio de phishing no lleva mucho tiempo, ya que se copia una página preparada del sitio original (la copia se puede hacer usando la función de copia de un navegador web o un programa de copia para sitios web como Teleport Pro, WebCopier, HTTrack, WebZip y otros) y El uso del editor HTML (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder y otros) crea una página de sitio phisher.
Los phishers experimentados también crean una o más páginas del sitio, para minimizar la sospecha de la víctima de que fue enviado al sitio de phishing. El contenido de información de estas páginas puede ser muy diverso, pero hay algunas páginas compuestas básicas de un sitio de phishing:
- Especialmente, de acuerdo con la carta de información enviada, se envía una página preparada a la cual la víctima es redirigida después de haber proporcionado información de identificación.
- Copia de la página principal del sitio original.
- Una página con un mensaje sobre un mal funcionamiento del servidor, al que se redirige a la víctima si intenta ir a otras trampas en la página del sitio de phishing.
Dicho sitio de phishing no establece enlaces que redirijan a la víctima a las páginas reales del sitio original, ya que el sistema de contabilidad de visitantes registra el paso de las páginas de otros sitios y existe la amenaza de establecer la presencia de un sitio de phishing.
Los phishers sin experiencia, por regla general, crean una página del sitio en la que la víctima debe ingresar los datos de identificación, o adicionalmente otra página donde le informa a la víctima que el nombre de usuario o la contraseña son incorrectos, o este servicio no está disponible temporalmente y le pide que se comunique nuevamente después de algunos hora.
El patrón es el siguiente: cuanto más experimentado y profesional sea el mismo phisher, más probable es que se vea el sitio phisher.
Un sitio de phishing en la red se aloja utilizando dos métodos:
Servidor de alojamiento gratuito: zona de dominio "ru" - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND y otros; otras zonas de dominio: ho (ua, org), AYOLA.net (com, net, biz), Bravanet (com), 007 Sites (com), 110MB HOSTIHG (com) y otros.
Uso de su servidor HTTP: Apache, Small HTTP server, Sambar Server, KF WEB Server y otros, que está instalado en la computadora phisher o en la computadora zombie (especialmente para tales fines una computadora pirateada).
Remitir a los clientes de un sistema en línea real a un sitio de phishing.
La víctima potencial es enviada al sitio de phishing enviando una carta de información especial a su correo electrónico.
Para ataques masivos de víctimas potenciales, se utilizan spammers de correo electrónico: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender y otros.
Para un ataque selectivo de una víctima potencial, se utilizan tanto los programas de "correo electrónico no deseado" como los programas de envío de correo anónimo: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer y otros, o servidores casi anónimos.
Cabe señalar que, utilizando programas de envío casi anónimos, el phisher tiene la capacidad de falsificar la dirección de correo electrónico del remitente, es decir, puede especificar cualquier otra dirección de correo electrónico real o inexistente. Utiliza la información recibida sobre la capacidad de contactar los servicios del sistema en línea, es decir, la dirección de correo electrónico real del sistema en línea.
Contenido de texto del boletín Se desarrolla según el sistema "en línea" atacado y el contenido del sitio de phishing.
El boletín más simple en este momento es un mensaje informativo que confirma el inicio de sesión y la contraseña:
-------------------------------------------------- -----------------------------
Estimado usuario, servicio de correo Yandex!
Debido a un ataque de piratas informáticos en el servidor de correo de Yandex y la restauración de cuentas de clientes, le pedimos que vaya al sitio web de Yandex y confirme su cuenta
Correo electrónico enviado por correo electrónico robot. Por favor no responder a este email.
Nos disculpamos por el
inconveniencia.
Sinceramente, Yandex Support.
Buzón Yandex sin spam y virus.
-------------------------------------------------- -------------------------------
Estimado usuario, Alfa-Click Internet Banking system!
Debido a un ataque de piratas informáticos en el servidor de Alfa-Click Internet Bank y la restauración de cuentas de clientes, le pedimos que vaya al servidor de Alfa-Click Internet Bank y confirme su cuenta o contacte a su sucursal de Alfa Bank.
Correo electrónico enviado por correo electrónico robot. Por favor no responder a este email.
Nos disculpamos por cualquier inconveniente que esto pueda causar.
Atentamente, Servicio de soporte "en línea" del sistema "Internet Bank Alfa-Click".
Otros proyectos de Internet de Alfa Bank.
-------------------------------------------------- ------------------------------
Como regla general, los boletines informativos de dicho contenido no son muy efectivos, ya que se han utilizado durante mucho tiempo y la mayoría de los usuarios de sistemas "en línea" saben que esto es un fraude en Internet.
Un boletín más plausible que no despierte sospechas de una víctima potencial se puede escribir de esta manera:
-------------------------------------------------- ---------------------------
Hola usuario!
Tienes una tarjeta postal.
Remitente de la postal: XXXX
Para convertirse en el descubridor de esta postal, haga clic en el enlace.
Por favor no responder a este email.
Para enviar una postal en respuesta, seleccione una postal en el sitio web Yandex.Cards o dibuje usando Yandex.Colors
Yandex Postales. Abierto antes de las vacaciones.
Hola, Polzovatel, acabas de recibir una postal.
Para ver la postal, haga clic en este enlace.
Por favor no responda este correo electrónico.
Yandex.Postcards. Pre-vacaciones Postales.
-------------------------------------------------- ------------------------
Estimado usuario, Alfa-Click Internet Banking system!
La gerencia de Alfa Bank anuncia una lotería para los clientes de Alfa-Click Internet Bank.
Se familiarizará con los términos de participación en la lotería, y puede confirmar su participación en la Lotería de Internet de Alfa-Click o en su sucursal de Alfa Bank.
Correo electrónico enviado por correo electrónico robot. Por favor no responder a este email.
Atentamente, Servicio de soporte "en línea" del sistema "Internet Bank Alfa-Click".
Alfa-Click Internet Banking es la simplicidad y la velocidad de conexión al sistema, la ausencia de la necesidad de instalar un software especial.
Oficina principal
107078, Moscú, st. Kalanchevskaya, 27
XML: PREFIJO DE ESPACIO DE NOMBRE = SKYPE (+7495) 620-91-91 (+7495) 620-91-91
(+7495) 797-31-60 (+7495) 797-31-60
(+7495) 974-25-15 (+7495) 974-25-15
-------------------------------------------------- ------------------------
Estimado usuario del sistema de pago Yandex.Money!
La administración del sistema de pago Yandex.Money anuncia una lotería para sus clientes.
Él se familiarizará con los términos de participación en la lotería, y puede confirmar su participación en la lotería haciendo clic en el enlace.
Correo electrónico enviado por correo electrónico robot. Por favor no responder a este email.
Descuentos este mes. Más detalles
Buzón Yandex sin spam y virus.
-------------------------------------------------- ------------------------
El contenido del boletín puede ser muy diverso y simplemente no es posible considerar todas las opciones. Puede familiarizarse con muchos tipos de boletines y sitios de phishing en el sitio web del Grupo de trabajo contra el phishing.
Está protegido contra ataques de phishing y principios de seguridad cuando se utilizan sistemas "en línea".
Considere los principios básicos de la seguridad del uso de sistemas "en línea" y esté protegido contra ataques de phishing.
Lo principal que deben recordar los usuarios de sistemas en línea:
- El servicio de soporte del sistema "en línea" no envía cartas de información solicitando agua o confirmando datos de identificación.
- Al recibir dicha carta, la transición a este sistema "en línea" se realiza utilizando solo la línea de comando del navegador web. No copie ni ingrese el enlace especificado en el boletín en la línea de comando del navegador web.
- No ingrese los datos de identificación requeridos si el enlace especificado conduce a la página para ingresar los datos de identificación "en línea" del sistema.
- No indique en las páginas del sitio una dirección de correo electrónico para la comunicación. Utilice guiones de formularios de comentarios.
- No indique los detalles de los sistemas de pago "en línea" ni los detalles de las cuentas bancarias en el sitio.
- El uso de scripts que prohíben la copia de páginas del sitio web. Cabe señalar que casi todos los sistemas "en línea" pecan por la protección de la información en este caso.
Señales eso puede indicar un posible ataque de phishing:
Receptor de E-mail : Al recibir dicha carta de información, es necesario prestar atención a la dirección de correo electrónico que se indica en la sección "Para". Si se indica una dirección de correo electrónico diferente en esta sección, en lugar del destinatario, la carta fue enviada por el programa "remitente de correo electrónico". Además, en esta sección se pueden indicar varias direcciones de correo electrónico, lo que indica un envío "no deseado".
Correo electrónico del remitente : No importa mucho, así es como existe la posibilidad de falsificar una dirección de correo electrónico cuando el programa envía una carta de información casi anónima.
Fecha: 05/10/07 10:03 PM
De: Yandex.Cards - dirección del remitente
Para: Su dirección@yandex.ru - dirección del destinatario
Asunto: ¡Postal de XXXX para ti!
Dirección IP del remitente : Puede configurar la dirección IP del remitente abriendo la opción "Propiedades del mensaje", que siempre indica la dirección original de la dirección IP del remitente.
"Propiedades de letra" en el sistema de correo Yandex
Recibido: de mxfront6.yandex.ru ([213.180.XXX.XXX]: 61840 "EHLO - IP del servidor de correo .
mxfront6.yandex.ru "smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) por mail.yandex.ru con ID de ESMTP S2965911AbYERLI6 (ORCPT
);
Dom, 18 de mayo de 2008 15:08:58 +0400
Recibido: de [61.106.66.XXX] ([61.106.66.XXX]: 44804 - IP del remitente
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1
por mail.yandex.ru con ID SMTP S40413AbYERLIw (ORCPT
Compruebe quién posee la dirección IP del remitente utilizando el servicio "WHOIS". Si la dirección IP del remitente coincide con la dirección IP de Yandex o Alfa-Bank, obtenemos la siguiente respuesta:
Yandex
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
nombre de red YANDEX-XXX-X
descr red empresarial Yandex
país RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
observaciones INFRA-AW
estado ASIGNADO PA
mnt-by YANDEX-MNT
fuente RIPE # Filtered
Alfa Bank
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
nombre de red ALFA-BANK
descr Alfa-Bank Moscú Rusia
país RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
estado ASIGNADO PA
mnt-by ALFABANK-MNT
fuente RIPE # Filtered
Si la dirección IP del remitente en la carta no coincide con la dirección IP en el servicio "WHOIS", esto indica un ataque de phishing, a pesar de que se indica una dirección de correo electrónico realmente existente del servicio de soporte en línea.
Puede verificar de la misma manera. Dirección IP de un sitio o dominio en el que se encuentra.
También existe la oportunidad de verificar el historial del sitio al que nos envía el enlace del boletín, es decir, al usar el sitio de Internet Archive, verificamos cuándo se publicó el sitio de interés y cuántas páginas de Internet. Para hacer esto, copie la dirección web del sitio desde la línea de comandos del navegador de Internet e ingrese "Internet Archive Wayback Machine" en el cuadro de búsqueda. Si el motor de búsqueda no encuentra datos en la dirección web verificada, esto significa que el sitio está siendo phishing.
Original message
Рассмотрим некоторые аспекты информационной и финансовой бизнес разведки и безопасности в интернете. Конкретно рассмотрим один из способов получения несанкционированного доступа к бизнес переписке, используя электронную почтовую систему (э-майл), а также аналогичный доступ к ведению финансовых операций, используя “онлайн” платежную систему (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney, Rupay, PayPal, Platinum Trade, ElecPay, ICQMoney и других), или “онлайн” систему управления банковским счетом, то – есть способ, который называется ФИШИНГ: интернет – мошенничество, цель которого - получение идентификационных данных пользователя (логин и пароль).
В основе данного способа лежит получение идентификационных данных жертвы, используя фальшивый сайт (далее – фишерный сайт), который является точной копией настоящего.
Практически можно выделить два вида атак для получения желаемой информации:
Массовая атака пользователей используется для получения наибольшего количества идентификационных данных, с целью похищения денежных средств, аккаунтов или сбора информации большого объема о банковсРкой сети.
Целенаправленная атака конкретного пользователя - с целью получения наибольшего объема бизнес и финансовой информации о конкретном физическом или юридическом лице.
Алгоритм действий в обоих случаях одинаков:
- Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
- Сбор информации о клиентах данной системы, или о конкретном клиенте.
- Создание и размещение в сети фишерного сайта.
- Направление клиентов реальной онлайн системы на фишерный сайт.
Далее рассмотрим практически этот алгоритм.
Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
Выбор объекта зависит от опыта, технического обеспечения и конкретной цели лица, занимающегося фишингом. Изучение интересующей системы начинается с посещения сайта и изучения составляющих компонентов сайта.
Особое внимание фишер обращает на раздел сайта “Вход в личный раздел клиентов системы “, а также условиям использования данной электронной системы, разделу технической поддержки, разделу безопасности, разделам новостей и информации, э-майл адресам служб интересующей системы.
Также не исключается возможность регистрации фишером своего личного раздела в интересующей онлайн системе, что дает ему дополнительную информацию для более качественной деятельности.
Опытный фишер будет использовать полученную информацию для создания впечатления наибольшей реальности происходящего у потенциальной жертвы во время направления таковой на фишерный сайт.
Сбор информации о клиентах или конкретном клиенте данной системы.
Способ сбора информации зависит от того какая из атак будет проводиться и клиенты какой из онлайн систем будет атакованы.
В основу данной операции лежит сбор э-майл адресов потенциальных жертв – клиентов онлайн системы, на которые в последствие отправляется информационное сообщение или письмо, якобы от имени администрации реального сайта или онлайн системы, с целью направить жертву на фишерный сайт.
Как правило, массовая атака пользователей проводиться на клиентов электронной почтовой или платежной системы и для сбора э-майл адресов используется мощные ботнеты (программа – робот, собирающий э-майл адреса для спам листов) или мене мощные программы для сбора спам листов, таких как Advanced Email Extractor, Сбор e-mail 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, часть из данных программ имеет функция сбора э-майл адресов по заданному алгоритму – может собирать э-майл адреса одной определенной почтовой системы и, как правило, той же самой электронной платежной системы, так как логин является одним и темже как на почтовую, так и на платежную систему. Примером служит Яндекс и @MAIL.RU, надо отметить, что @MAIL.RU обслуживает также почтовую систему @inbox.ru, @bk.ru, @list.ru.
Способ сбора информации при целенаправленной атаке отличается тем, что собирается информация о конкретной электронной платежной системе (на пример WebMoney, Egold ), системе онлайн управления банковским счетом и о конкретном физическом или юридическом лице.
Главная отличие данного сбора информации заключается в том, что по окончанию сбора информации в пользование фишера попадает не только информация об адресе э-майла потенциальной жертвы, но и реквизиты банковских счетов (№ расчетного и корреспондентского счета, адреса банка или его филиала, личные данные владельца счета), а также реквизиты счетов электронных платежных систем, что дает ему возможность подготовить более качественное и достоверное информационное письмо потенциальной жертве и фишерный сайт.
В данном случае для сбора информации используется Программы поиска информации в интернете, такие как Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, или Системы поиска в интернете, такие как Яндекс, Рамблер, Google и другие.
При правильно заданном запросе поисковая система может выдать несколько сот тысяч ссылок на реквизиты банковских счетов частных лиц и организации. При запросе “Реквизиты нашего расчетного счета ” система Яндекс выдает около 400000 ссылок страниц на банковских пользователей с интересующей фишера информацией, система “Google” – около 250000 ссылок. На запрос “Реквизиты нашего расчетного счета Альфа – банк ” - около 15000 ссылок
Создание и размещение в сети фишерного сайта.
Для получения идентификационной информации жертвы создается фальшивая страница входа в систему, которая идентична реальной странице на сайте онлайн системы, и серверная часть скрипта для обработки данных, введенных жертвой.
Техническая сторона создания фишерного сайта не занимает много времени, так как копируется уже готовая страница оригинального сайта (копирование может производиться, используя функцию копирования веб-браузера или программу копирования веб-сайтов, таких как Teleport Pro, WebCopier, HTTrack, WebZip и других) и используя HTML редактор (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder и других) создается страницы фишерного сайта.
Опытные фишеры создает дополнительно еще одну или несколько страниц сайта, для сведения до минимума возникновения подозрений у жертвы, что он направлен на фишерный сайт. Информационное содержание данных страниц может быть очень разнообразным, однако есть некоторые основные составные страницы фишерного сайта:
- Специально, в соответствие с разосланным информационным письмом, подготовленная станица, на которую жертва перенаправляется после того, как он вел идентификационную информацию.
- Копия Главной страницы оригинального сайта.
- Страницы с сообщением о сбое работы сервера, на которую перенаправляется жертва, если она старается перейти по другим силкам на странице фишерного сайта.
На таком фишерном сайте не устанавливается ссылки, которые перенаправляет жертву на реальные страницы оригинального сайта, так как система учета посетителей фиксирует переход со страниц других сайтов и возникает угроза установления наличие фишерного сайта.
Неопытные фишеры, как правило, создает одну страницу сайта, на которой жертва должна ввести идентификационной данные, или дополнительно еще одну страницу, где сообщает жертве, что неправильно указан логин или пароль, или данная услуга временно не доступна и просит Вас обратится еще раз через некоторое время.
Закономерность такова – чем опытнее и профессиональнее сам фишер, тем правдоподобнее выглядит фишерный сайт.
Фишерный сайт в сети размешает, используя два способа:
Сервер бесплатного хостинга : зона доменов “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND и другие; другие зоны доменов – ho (ua, org ), AYOLA.net (com, net, biz ), Bravanet (com ), 007 Sites (com ), 110MB HOSTIHG (com) и другие.
Использование своего HTTP сервера: Apache, Small HTTP server, Sambar Server, KF WEB Server и других, который установлен на компьютере фишера или на компьютере – зомби ( специально для таких целей взломанном компьютере ).
Направление клиентов реальной онлайн системы на фишерный сайт.
Потенциальная жертва направляется на фишерный сайт с помощью отправки на его э-майл специального информационного письма.
Для массовой атаки потенциальных жертв используется программы “э-майл спамеры”: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender и другие.
Для целенаправленной атаки потенциальной жертвы используется как выше упомянутые программы “э-майл спамеры” так и программы отправки анонимной почты: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer и другие, или сервера анонимной почти.
Надо отметить, что используя программы отправки анонимной почти, фишер имеет возможность подмены э-майла адреса отправителя, то есть, имеет возможность указать любой другой реально существующий или несуществующий э-майл адрес. Здесь используется полученная информация о возможности связаться со службами онлайн системы, то есть реальные э-майл адреса онлайн системы.
Текстовое содержание информационного письма разрабатывается в зависимости от атакуемой “онлайн” системы и содержания фишерного сайта.
Наиболее простим информационным письмом, на данный момент, является информационное сообщение о подтверждение логина и пароля:
-------------------------------------------------------------------------------
Уважаемый пользователь, почтовой службы “Яndex”!
В связи с хакерской атакой на почтовой сервер “Яndex” и восстановлением клиентских аккаунтов, просим Вас пройти на сайт “Яndex” и подтвердить Ваш аккаунт
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные
неудобства.
С уважением, Служба поддержки “Яndex”.
Почтовый ящик Яndex без спама и вирусов.
---------------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
В связи с хакерской атакой на сервер “Интернет-банк Альфа-Клик” и восстановлением клиентских аккаунтов, просим Вас пройти на сервер “Интернет-банк Альфа-Клик” и подтвердить Ваш аккаунт или обратиться в Ваше отделение Альфа-банк.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные неудобства.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Другие интернет-проекты Альфа-Банка.
--------------------------------------------------------------------------------
Как правило, информационное письмо такого содержания мало эффективны, так как они используется давно и большинство пользователей “онлайн” систем знает, что это является интернет – мошенничеством.
Более правдоподобная информационное письмо, которая не вызывает подозрение у потенциальной жертвы, может быть составлена подобным образом:
-----------------------------------------------------------------------------
Здравствуйте, Пользователь!
Вам открытка.
Отправитель открытки: ХХХХ
Чтобы стать первооткрывателем этой открытки, нажмите на ссылку.
Пожалуйста, не отвечайте на это письмо.
Чтобы направить открытку в ответ, выберите открытку на сайте Яндекс.Открытки или нарисуйте с помощью Яндекс.Красок
Яндекс.Открытки. Открыть перед праздником.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
--------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
Руководство банка “Альфа-банк” объявляет лотерею для клиентов “Интернет-банк Альфа-Клик”.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя на “Интернет-банк Альфа-Клик” или в Вашем отделение “Альфа-банк”.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Интернет-банк «Альфа-Клик» — это простота и быстрота подключения к системе, отсутствие необходимости установки специального программного обеспечения.
Главный офис
107078, Москва, ул. Каланчевская, 27
XML:NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495)620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
--------------------------------------------------------------------------
Уважаемый пользователь, платежной системы “Яндекс.Денги”!
Руководство платежной системы “Яндекс.Денги” объявляет лотерею для своих клиентов.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя по ссылке.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Скидки в этом месяце. Подробнее...
Почтовый ящик Яndex без спама и вирусов.
--------------------------------------------------------------------------
Содержание информационного письма может бить очень разнообразным и рассмотрение всех вариантов просто не возможна. Ознакомится с множеством видов информационных писем и фишерных сайтов можно на сайте Anti-Phishing Working Group.
Зашита от фишинговых атак и принципы безопасности при использование “онлайн” систем.
Рассмотрим основные принципы безопасности использования “онлайн” систем и зашиты от фишинговых атак.
Основное, что надо запомнить пользователям “онлайн” систем:
- Служба поддержки “онлайн” системы не отправляет информационные письма с требованием вода или подтверждения идентификационных данных.
- При получение такого письма переход на данную “онлайн” систему производится, используя только командную строку веб – браузера. Не копировать и не вводить ссылку, указанную в информационном письме, в командную строку веб – браузера.
- Не вводить требуемые идентификационные данные, если указанная ссылка выводит на страницу ввода идентификационных данных “онлайн” системы.
- Не указывать на страницах сайта э-майл адреса для связи. Использовать скрипты форм обратной связи.
- Не указывать реквизиты платежных “онлайн” систем или реквизиты банковских счетов на страницах сайта.
- Использование скриптов запрещающих копирование страниц веб – сайта. Надо отметить, что почти все “онлайн” системы грешит по поводу зашиты информации в данном случае.
Признаки, которые может указывать на возможную фишинговую атаку:
Э-майл адрес получателя:При получение такого информационного письма необходимо обратить внимание на что, какой э-майл адрес указан в разделе “Кому”. Если в данном разделе указан другой э-майл адрес, а не получателя, письмо отправлено программой “э-майл спамером”. Также в данном разделе может быть указаны несколько э-майл адреса, что свидетельствует об “спамерской” отправке.
Э-майл адрес отправителя: Большого значения не имеет, тат как существует возможность подмены э-майл адреса, при отправке информационного письма программой анонимной почти.
Дата: 10.05.07 22:03
От кого: Яндекс.Открытки - адрес отправителя
Кому: Ваш адрес@yandex.ru – адрес получателя
Тема: Вам Открытка от пользователя XXXX!
IP адрес отправителя: Установить IP адрес отправителя можно открыв опцию “Свойства письма”, где всегда указывается оригинальный адрес IP адрес отправителя.
“Свойства письма” в почтовой системе Яндекс
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]:61840 "EHLO - IP почтового сервера.
mxfront6.yandex.ru" smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
);
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]:44804 - IP отправителя
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1: )
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
Проверить, кому принадлежит IP адрес отправителя можно используя службу “WHOIS”.Если IP адрес отправителя соответствует IP адресу “Яндекс” или “Альфа-банк” получаем следующий ответ:
Яндекс
inetnum XXX.XXX.XXX.XXX – XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Альфа-банк
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Если IP адрес отправителя в письме не соответствует с IP адресом в службе “WHOIS”, это указывает на фишинговую атаку, несмотря даже на то, что указан реально существующий э-майл адрес Службы поддержки “онлайн” системы.
Таким же образом можно проверить IP адрес сайта или домена, на котором он находиться.
Есть также возможность проверить историю сайта, на который нас направляет ссылка информационного письма, то – есть с помощью сайта “Internet Archive” проверяем когда был размешен интересующий сайт и сколько интернет – страниц. Для этого копируем веб адрес сайта с командной строки интернет – браузера и вводим в поисковую строку “Internet Archive Wayback Machine”. Если поисковая система не находит данные на проверяемый веб адрес – это обозначает, что сайт – фишинговый.
В основе данного способа лежит получение идентификационных данных жертвы, используя фальшивый сайт (далее – фишерный сайт), который является точной копией настоящего.
Практически можно выделить два вида атак для получения желаемой информации:
Массовая атака пользователей используется для получения наибольшего количества идентификационных данных, с целью похищения денежных средств, аккаунтов или сбора информации большого объема о банковсРкой сети.
Целенаправленная атака конкретного пользователя - с целью получения наибольшего объема бизнес и финансовой информации о конкретном физическом или юридическом лице.
Алгоритм действий в обоих случаях одинаков:
- Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
- Сбор информации о клиентах данной системы, или о конкретном клиенте.
- Создание и размещение в сети фишерного сайта.
- Направление клиентов реальной онлайн системы на фишерный сайт.
Далее рассмотрим практически этот алгоритм.
Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
Выбор объекта зависит от опыта, технического обеспечения и конкретной цели лица, занимающегося фишингом. Изучение интересующей системы начинается с посещения сайта и изучения составляющих компонентов сайта.
Особое внимание фишер обращает на раздел сайта “Вход в личный раздел клиентов системы “, а также условиям использования данной электронной системы, разделу технической поддержки, разделу безопасности, разделам новостей и информации, э-майл адресам служб интересующей системы.
Также не исключается возможность регистрации фишером своего личного раздела в интересующей онлайн системе, что дает ему дополнительную информацию для более качественной деятельности.
Опытный фишер будет использовать полученную информацию для создания впечатления наибольшей реальности происходящего у потенциальной жертвы во время направления таковой на фишерный сайт.
Сбор информации о клиентах или конкретном клиенте данной системы.
Способ сбора информации зависит от того какая из атак будет проводиться и клиенты какой из онлайн систем будет атакованы.
В основу данной операции лежит сбор э-майл адресов потенциальных жертв – клиентов онлайн системы, на которые в последствие отправляется информационное сообщение или письмо, якобы от имени администрации реального сайта или онлайн системы, с целью направить жертву на фишерный сайт.
Как правило, массовая атака пользователей проводиться на клиентов электронной почтовой или платежной системы и для сбора э-майл адресов используется мощные ботнеты (программа – робот, собирающий э-майл адреса для спам листов) или мене мощные программы для сбора спам листов, таких как Advanced Email Extractor, Сбор e-mail 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, часть из данных программ имеет функция сбора э-майл адресов по заданному алгоритму – может собирать э-майл адреса одной определенной почтовой системы и, как правило, той же самой электронной платежной системы, так как логин является одним и темже как на почтовую, так и на платежную систему. Примером служит Яндекс и @MAIL.RU, надо отметить, что @MAIL.RU обслуживает также почтовую систему @inbox.ru, @bk.ru, @list.ru.
Способ сбора информации при целенаправленной атаке отличается тем, что собирается информация о конкретной электронной платежной системе (на пример WebMoney, Egold ), системе онлайн управления банковским счетом и о конкретном физическом или юридическом лице.
Главная отличие данного сбора информации заключается в том, что по окончанию сбора информации в пользование фишера попадает не только информация об адресе э-майла потенциальной жертвы, но и реквизиты банковских счетов (№ расчетного и корреспондентского счета, адреса банка или его филиала, личные данные владельца счета), а также реквизиты счетов электронных платежных систем, что дает ему возможность подготовить более качественное и достоверное информационное письмо потенциальной жертве и фишерный сайт.
В данном случае для сбора информации используется Программы поиска информации в интернете, такие как Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, или Системы поиска в интернете, такие как Яндекс, Рамблер, Google и другие.
При правильно заданном запросе поисковая система может выдать несколько сот тысяч ссылок на реквизиты банковских счетов частных лиц и организации. При запросе “Реквизиты нашего расчетного счета ” система Яндекс выдает около 400000 ссылок страниц на банковских пользователей с интересующей фишера информацией, система “Google” – около 250000 ссылок. На запрос “Реквизиты нашего расчетного счета Альфа – банк ” - около 15000 ссылок
Создание и размещение в сети фишерного сайта.
Для получения идентификационной информации жертвы создается фальшивая страница входа в систему, которая идентична реальной странице на сайте онлайн системы, и серверная часть скрипта для обработки данных, введенных жертвой.
Техническая сторона создания фишерного сайта не занимает много времени, так как копируется уже готовая страница оригинального сайта (копирование может производиться, используя функцию копирования веб-браузера или программу копирования веб-сайтов, таких как Teleport Pro, WebCopier, HTTrack, WebZip и других) и используя HTML редактор (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder и других) создается страницы фишерного сайта.
Опытные фишеры создает дополнительно еще одну или несколько страниц сайта, для сведения до минимума возникновения подозрений у жертвы, что он направлен на фишерный сайт. Информационное содержание данных страниц может быть очень разнообразным, однако есть некоторые основные составные страницы фишерного сайта:
- Специально, в соответствие с разосланным информационным письмом, подготовленная станица, на которую жертва перенаправляется после того, как он вел идентификационную информацию.
- Копия Главной страницы оригинального сайта.
- Страницы с сообщением о сбое работы сервера, на которую перенаправляется жертва, если она старается перейти по другим силкам на странице фишерного сайта.
На таком фишерном сайте не устанавливается ссылки, которые перенаправляет жертву на реальные страницы оригинального сайта, так как система учета посетителей фиксирует переход со страниц других сайтов и возникает угроза установления наличие фишерного сайта.
Неопытные фишеры, как правило, создает одну страницу сайта, на которой жертва должна ввести идентификационной данные, или дополнительно еще одну страницу, где сообщает жертве, что неправильно указан логин или пароль, или данная услуга временно не доступна и просит Вас обратится еще раз через некоторое время.
Закономерность такова – чем опытнее и профессиональнее сам фишер, тем правдоподобнее выглядит фишерный сайт.
Фишерный сайт в сети размешает, используя два способа:
Сервер бесплатного хостинга : зона доменов “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND и другие; другие зоны доменов – ho (ua, org ), AYOLA.net (com, net, biz ), Bravanet (com ), 007 Sites (com ), 110MB HOSTIHG (com) и другие.
Использование своего HTTP сервера: Apache, Small HTTP server, Sambar Server, KF WEB Server и других, который установлен на компьютере фишера или на компьютере – зомби ( специально для таких целей взломанном компьютере ).
Направление клиентов реальной онлайн системы на фишерный сайт.
Потенциальная жертва направляется на фишерный сайт с помощью отправки на его э-майл специального информационного письма.
Для массовой атаки потенциальных жертв используется программы “э-майл спамеры”: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender и другие.
Для целенаправленной атаки потенциальной жертвы используется как выше упомянутые программы “э-майл спамеры” так и программы отправки анонимной почты: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer и другие, или сервера анонимной почти.
Надо отметить, что используя программы отправки анонимной почти, фишер имеет возможность подмены э-майла адреса отправителя, то есть, имеет возможность указать любой другой реально существующий или несуществующий э-майл адрес. Здесь используется полученная информация о возможности связаться со службами онлайн системы, то есть реальные э-майл адреса онлайн системы.
Текстовое содержание информационного письма разрабатывается в зависимости от атакуемой “онлайн” системы и содержания фишерного сайта.
Наиболее простим информационным письмом, на данный момент, является информационное сообщение о подтверждение логина и пароля:
-------------------------------------------------------------------------------
Уважаемый пользователь, почтовой службы “Яndex”!
В связи с хакерской атакой на почтовой сервер “Яndex” и восстановлением клиентских аккаунтов, просим Вас пройти на сайт “Яndex” и подтвердить Ваш аккаунт
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные
неудобства.
С уважением, Служба поддержки “Яndex”.
Почтовый ящик Яndex без спама и вирусов.
---------------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
В связи с хакерской атакой на сервер “Интернет-банк Альфа-Клик” и восстановлением клиентских аккаунтов, просим Вас пройти на сервер “Интернет-банк Альфа-Клик” и подтвердить Ваш аккаунт или обратиться в Ваше отделение Альфа-банк.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные неудобства.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Другие интернет-проекты Альфа-Банка.
--------------------------------------------------------------------------------
Как правило, информационное письмо такого содержания мало эффективны, так как они используется давно и большинство пользователей “онлайн” систем знает, что это является интернет – мошенничеством.
Более правдоподобная информационное письмо, которая не вызывает подозрение у потенциальной жертвы, может быть составлена подобным образом:
-----------------------------------------------------------------------------
Здравствуйте, Пользователь!
Вам открытка.
Отправитель открытки: ХХХХ
Чтобы стать первооткрывателем этой открытки, нажмите на ссылку.
Пожалуйста, не отвечайте на это письмо.
Чтобы направить открытку в ответ, выберите открытку на сайте Яндекс.Открытки или нарисуйте с помощью Яндекс.Красок
Яндекс.Открытки. Открыть перед праздником.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
--------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
Руководство банка “Альфа-банк” объявляет лотерею для клиентов “Интернет-банк Альфа-Клик”.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя на “Интернет-банк Альфа-Клик” или в Вашем отделение “Альфа-банк”.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Интернет-банк «Альфа-Клик» — это простота и быстрота подключения к системе, отсутствие необходимости установки специального программного обеспечения.
Главный офис
107078, Москва, ул. Каланчевская, 27
XML:NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495)620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
--------------------------------------------------------------------------
Уважаемый пользователь, платежной системы “Яндекс.Денги”!
Руководство платежной системы “Яндекс.Денги” объявляет лотерею для своих клиентов.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя по ссылке.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Скидки в этом месяце. Подробнее...
Почтовый ящик Яndex без спама и вирусов.
--------------------------------------------------------------------------
Содержание информационного письма может бить очень разнообразным и рассмотрение всех вариантов просто не возможна. Ознакомится с множеством видов информационных писем и фишерных сайтов можно на сайте Anti-Phishing Working Group.
Зашита от фишинговых атак и принципы безопасности при использование “онлайн” систем.
Рассмотрим основные принципы безопасности использования “онлайн” систем и зашиты от фишинговых атак.
Основное, что надо запомнить пользователям “онлайн” систем:
- Служба поддержки “онлайн” системы не отправляет информационные письма с требованием вода или подтверждения идентификационных данных.
- При получение такого письма переход на данную “онлайн” систему производится, используя только командную строку веб – браузера. Не копировать и не вводить ссылку, указанную в информационном письме, в командную строку веб – браузера.
- Не вводить требуемые идентификационные данные, если указанная ссылка выводит на страницу ввода идентификационных данных “онлайн” системы.
- Не указывать на страницах сайта э-майл адреса для связи. Использовать скрипты форм обратной связи.
- Не указывать реквизиты платежных “онлайн” систем или реквизиты банковских счетов на страницах сайта.
- Использование скриптов запрещающих копирование страниц веб – сайта. Надо отметить, что почти все “онлайн” системы грешит по поводу зашиты информации в данном случае.
Признаки, которые может указывать на возможную фишинговую атаку:
Э-майл адрес получателя:При получение такого информационного письма необходимо обратить внимание на что, какой э-майл адрес указан в разделе “Кому”. Если в данном разделе указан другой э-майл адрес, а не получателя, письмо отправлено программой “э-майл спамером”. Также в данном разделе может быть указаны несколько э-майл адреса, что свидетельствует об “спамерской” отправке.
Э-майл адрес отправителя: Большого значения не имеет, тат как существует возможность подмены э-майл адреса, при отправке информационного письма программой анонимной почти.
Дата: 10.05.07 22:03
От кого: Яндекс.Открытки - адрес отправителя
Кому: Ваш адрес@yandex.ru – адрес получателя
Тема: Вам Открытка от пользователя XXXX!
IP адрес отправителя: Установить IP адрес отправителя можно открыв опцию “Свойства письма”, где всегда указывается оригинальный адрес IP адрес отправителя.
“Свойства письма” в почтовой системе Яндекс
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]:61840 "EHLO - IP почтового сервера.
mxfront6.yandex.ru" smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
);
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]:44804 - IP отправителя
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1: )
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
Проверить, кому принадлежит IP адрес отправителя можно используя службу “WHOIS”.Если IP адрес отправителя соответствует IP адресу “Яндекс” или “Альфа-банк” получаем следующий ответ:
Яндекс
inetnum XXX.XXX.XXX.XXX – XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Альфа-банк
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Если IP адрес отправителя в письме не соответствует с IP адресом в службе “WHOIS”, это указывает на фишинговую атаку, несмотря даже на то, что указан реально существующий э-майл адрес Службы поддержки “онлайн” системы.
Таким же образом можно проверить IP адрес сайта или домена, на котором он находиться.
Есть также возможность проверить историю сайта, на который нас направляет ссылка информационного письма, то – есть с помощью сайта “Internet Archive” проверяем когда был размешен интересующий сайт и сколько интернет – страниц. Для этого копируем веб адрес сайта с командной строки интернет – браузера и вводим в поисковую строку “Internet Archive Wayback Machine”. Если поисковая система не находит данные на проверяемый веб адрес – это обозначает, что сайт – фишинговый.
