Examinez certains aspects de l'information et de l'intelligence économique et de la sécurité financière sur Internet. Nous considérons spécifiquement l'un des moyens d'obtenir un accès non autorisé à la correspondance commerciale en utilisant un système de courrier électronique (e-mail), ainsi qu'un accès similaire pour effectuer des transactions financières en utilisant un système de paiement «en ligne» (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney , Rupay, PayPal, Platinum Trade, ElecPay, ICQMoney et autres), ou un système de gestion de compte bancaire «en ligne», c'est-à-dire qu'il existe une méthode appelée Hameçonnage : Internet - fraude, dont le but est d'obtenir des données d'identification de l'utilisateur (nom d'utilisateur et mot de passe).
La base de cette méthode est d'obtenir l'identité de la victime en utilisant un faux site (ci-après dénommé le site de phishing), qui est une copie exacte du présent.
En pratique, on peut distinguer deux types d'attaques pour obtenir les informations souhaitées:
Une attaque massive d'utilisateurs est utilisée pour obtenir la plus grande quantité de données d'identification, afin de voler de l'argent, des comptes ou de collecter de grandes quantités d'informations sur le réseau bancaire.
Une attaque ciblée par un utilisateur spécifique - afin d'obtenir la plus grande quantité d'informations commerciales et financières sur une personne physique ou morale spécifique.
L'algorithme d'actions dans les deux cas est le même:
- Sélection et étude du système de paiement électronique, postal ou bancaire en ligne.
- Collecte d'informations sur les clients de ce système, ou sur un client spécifique.
- Création et placement d'un site de phishing sur le réseau.
- Renvoi de clients d'un véritable système en ligne vers un site de phishing.
Ensuite, nous considérons pratiquement cet algorithme.
Sélection et étude du système de paiement électronique, postal ou bancaire en ligne.
Le choix d'un objet dépend de l'expérience, du support technique et du but spécifique de la personne impliquée dans le phishing. L'étude du système d'intérêt commence par une visite du site et une étude des composants du site.
Le phishing accorde une attention particulière à la section du site «Connexion à la section personnelle des clients du système», ainsi qu'aux conditions d'utilisation de ce système électronique, à la section de support technique, à la section de sécurité, aux sections d'actualités et d'informations et aux adresses e-mail des services du système d'intérêt.
Il est également possible que le phishing puisse enregistrer sa section personnelle dans le système d'intérêt en ligne, ce qui lui donne des informations supplémentaires pour de meilleures activités.
Un phishing expérimenté utilisera les informations obtenues pour créer l'impression de la plus grande réalité qui arrive à la victime potentielle lors de son envoi sur le site de phishing.
Collecte d'informations sur les clients ou un client spécifique de ce système.
La méthode de collecte des informations dépend de laquelle des attaques sera menée et des clients des systèmes en ligne qui seront attaqués.
La base de cette opération est la collecte des adresses e-mail des victimes potentielles - clients du système en ligne, auxquelles est ensuite envoyé un message ou une lettre d'information, prétendument au nom de l'administration d'un site réel ou d'un système en ligne, afin d'envoyer la victime vers un site de phishing.
En règle générale, une attaque massive d'utilisateurs est effectuée sur les clients d'un système de messagerie électronique ou de paiement et de puissants botnets sont utilisés pour collecter les adresses e-mail (un programme est un robot qui collecte les adresses e-mail pour les feuilles de spam) ou des programmes moins puissants pour collecter les feuilles de spam, tels que Advanced Extracteur d'e-mails, E-mail Collection 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, certains de ces programmes ont une fonction de collecte d'e-mails adresses e-mail selon un algorithme donné - peuvent collecter les adresses e-mail d'un système de messagerie particulier et, en règle générale, le même système de paiement électronique, car la connexion est la même pour les systèmes de messagerie et de paiement. Yandex et @ MAIL.RU servent d'exemple; il convient de noter que @ MAIL.RU sert également le système de messagerie @ mailbox.ru, @ bk.ru, @ list.ru.
La méthode de collecte d'informations dans une attaque ciblée est différente en ce qu'elle recueille des informations sur un système de paiement électronique spécifique (par exemple, WebMoney, Egold), un système de gestion de compte bancaire en ligne et une personne physique ou morale spécifique.
La principale différence entre cette collecte d'informations est qu'à la fin de la collecte d'informations, le phishing utilise non seulement des informations sur l'adresse e-mail de la victime potentielle, mais également les détails des comptes bancaires (compte bancaire et numéro de compte correspondant, adresse de la banque ou de sa succursale, données personnelles du propriétaire comptes), ainsi que les détails de compte des systèmes de paiement électronique, ce qui lui permet de préparer une lettre d'information meilleure et plus fiable à l'intention d'une victime potentielle et d'un site de phishing.
Dans ce cas, les programmes de recherche d'informations sur Internet tels que Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch ou Internet Search Systems tels que comme Yandex, Rambler, Google et autres.
Avec une demande correctement spécifiée, le système de recherche peut émettre plusieurs centaines de milliers de liens vers les détails des comptes bancaires des individus et des organisations. Lorsque vous demandez "Détails de notre compte courant", le système Yandex envoie environ 400 000 liens de page aux utilisateurs bancaires avec des informations qui intéressent le phishing, le système Google - environ 250 000 liens. Environ 15 000 liens vers la demande «Détails de notre compte courant Alfa-Bank»
Création et placement d'un site de phishing sur le réseau.
Pour obtenir les informations d'identification de la victime, une fausse page de connexion est créée, identique à la vraie page du site Web du système en ligne et au côté serveur du script pour le traitement des données saisies par la victime.
Le côté technique de la création d'un site de phishing ne prend pas beaucoup de temps, car une page prête à l'emploi du site d'origine est copiée (la copie peut être effectuée à l'aide de la fonction de copie d'un navigateur Web ou d'un programme de copie pour des sites Web tels que Teleport Pro, WebCopier, HTTrack, WebZip et autres) et L'utilisation d'un éditeur HTML (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder et autres) crée une page d'un site de phishing.
Les hameçonneurs expérimentés créent en outre une ou plusieurs pages du site, afin de minimiser les soupçons de la victime qu'il a été envoyé sur le site de phishing. Le contenu informatif de ces pages peut être très divers, mais il existe quelques pages composites de base d'un site de phishing:
- En particulier, conformément à la lettre d'information envoyée, une page préparée est envoyée vers laquelle la victime est redirigée après avoir fourni des informations d'identification.
- Copie de la page principale du site d'origine.
- Une page contenant un message de dysfonctionnement du serveur, vers laquelle la victime est redirigée si elle essaie d'accéder à d'autres collets sur la page du site de phishing.
Un tel site de phishing n'établit pas de liens qui redirigent la victime vers de vraies pages du site d'origine, car le système de comptabilité des visiteurs enregistre le passage depuis les pages d'autres sites et il existe une menace d'établir la présence d'un site de phishing.
Les hameçonneurs inexpérimentés, en règle générale, créent une page du site sur laquelle la victime doit entrer les données d'identification, ou en plus une autre page où il informe la victime que le nom d'utilisateur ou le mot de passe est incorrect, ou que ce service est temporairement indisponible et vous demande de contacter à nouveau après quelques temps.
Le schéma est le suivant: plus le phishing lui-même est expérimenté et professionnel, plus le site de phishing a l'air probable.
Un site de phishing sur le réseau est hébergé à l'aide de deux méthodes:
Serveur d'hébergement gratuit: zone de domaine «ru» - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND et autres; autres zones de domaine - ho (ua, org), AYOLA.net (com, net, biz), Bravanet (com), 007 Sites (com), 110 Mo HOSTIHG (com) et autres.
En utilisant votre serveur HTTP: Apache, Small HTTP server, Sambar Server, KF WEB Server et autres, qui est installé sur l'ordinateur phisher ou sur l'ordinateur zombie (spécialement à de telles fins un ordinateur piraté).
Renvoyer les clients d'un véritable système en ligne vers un site de phishing.
La victime potentielle est envoyée sur le site de phishing en envoyant une lettre d'information spéciale à son e-mail.
Pour les attaques de masse de victimes potentielles, des spammeurs de courrier électronique sont utilisés: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender et autres.
Pour une attaque ciblée d'une victime potentielle, les programmes susmentionnés de «spammeurs de courrier électronique» et les programmes d'envoi de courrier anonyme sont utilisés: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer et autres, ou serveurs presque anonymes.
Il convient de noter qu'en utilisant des programmes d'envoi presque anonymes, le phishing a la possibilité d'usurper l'adresse e-mail de l'expéditeur, c'est-à-dire qu'il peut spécifier toute autre adresse e-mail réelle ou inexistante. Il utilise les informations reçues sur la possibilité de contacter les services du système en ligne, c'est-à-dire la véritable adresse e-mail du système en ligne.
Contenu texte de la newsletter Il est développé en fonction du système «en ligne» attaqué et du contenu du site de phishing.
La newsletter la plus simple du moment est un message d'information confirmant le login et le mot de passe:
-------------------------------------------------- -----------------------------
Cher utilisateur, service de messagerie Yandex!
En raison d'une attaque de pirate sur le serveur de messagerie Yandex et de la restauration des comptes clients, nous vous demandons de vous rendre sur le site Yandex et de confirmer votre compte
E-mail envoyé par mailing robot. S'il vous plait ne répondez pas à cet email.
Nous nous excusons pour la
inconvénient.
Cordialement, Yandex Support.
Boîte aux lettres Yandex sans spam ni virus.
-------------------------------------------------- -------------------------------
Cher utilisateur, Alfa-Click Internet Banking system!
En raison d'une attaque de pirate sur le serveur Alfa-Click Internet Bank et de la restauration des comptes clients, nous vous demandons de vous rendre sur le serveur Alfa-Click Internet Bank et de confirmer votre compte ou de contacter votre agence Alfa Bank.
E-mail envoyé par mailing robot. S'il vous plait ne répondez pas à cet email.
Nous nous excusons pour tout dérangement que cela pourrait causer.
Cordialement, Service d'assistance «en ligne» du système «Internet Bank Alfa-Click».
Autres projets Internet d'Alfa Bank.
-------------------------------------------------- ------------------------------
En règle générale, les bulletins d'information de ce type de contenu ne sont pas très efficaces, car ils sont utilisés depuis longtemps et la plupart des utilisateurs de systèmes «en ligne» savent qu'il s'agit d'une fraude sur Internet.
Un bulletin d'information plus plausible qui ne suscite pas de soupçons sur une victime potentielle peut être rédigé de la manière suivante:
-------------------------------------------------- ---------------------------
Bonjour, utilisateur!
Vous avez une carte postale.
Expéditeur de la carte postale: XXXX
Pour devenir le découvreur de cette carte postale, cliquez sur le lien.
S'il vous plait ne répondez pas à cet email.
Pour envoyer une carte postale en réponse, sélectionnez une carte postale sur le site Web Yandex.Cards ou dessinez en utilisant Yandex.Colors
Yandex Cartes postales. Ouvert avant les vacances.
Salut, Polzovatel, tu viens de recevoir une carte postale.
Pour voir la carte postale, cliquez sur ce lien.
Veuillez ne pas répondre à cet e-mail.
Yandex.Postcards. Cartes postales pré-vacances.
-------------------------------------------------- ------------------------
Cher utilisateur, Alfa-Click Internet Banking system!
La direction d'Alfa Bank annonce une loterie pour les clients d'Alfa-Click Internet Bank.
Vous vous familiariserez avec les conditions de participation à la loterie, et vous pourrez confirmer votre participation à la loterie en vous rendant sur Alfa-Click Internet Bank ou dans votre agence Alfa Bank.
E-mail envoyé par mailing robot. S'il vous plait ne répondez pas à cet email.
Cordialement, Service d'assistance «en ligne» du système «Internet Bank Alfa-Click».
Alfa-Click Internet Banking est la simplicité et la rapidité de connexion au système, l'absence de nécessité d'installer un logiciel spécial.
Bureau principal
107078, Moscou, st. Kalanchevskaya, 27
XML: NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495) 620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
-------------------------------------------------- ------------------------
Cher utilisateur du système de paiement Yandex.Money!
La gestion du système de paiement Yandex.Money annonce une loterie pour ses clients.
Il se familiarisera avec les conditions de participation à la loterie, et vous pourrez confirmer votre participation à la loterie en cliquant sur le lien.
E-mail envoyé par mailing robot. S'il vous plait ne répondez pas à cet email.
Réductions ce mois-ci. Plus de détails
Boîte aux lettres Yandex sans spam ni virus.
-------------------------------------------------- ------------------------
Le contenu de la newsletter peut être très diversifié et il n'est tout simplement pas possible d'envisager toutes les options. Vous pouvez vous familiariser avec de nombreux types de newsletters et de sites de phishing sur le site Web du groupe de travail anti-hameçonnage.
Il est protégé contre les attaques de phishing et les principes de sécurité lors de l'utilisation de systèmes «en ligne».
Tenez compte des principes de base de la sécurité d'utilisation des systèmes «en ligne» et soyez protégé contre les attaques de phishing.
La principale chose que les utilisateurs de systèmes en ligne doivent se rappeler:
- Le service d'assistance du système «en ligne» n'envoie pas de lettres d'information demandant de l'eau ou confirmant des données d'identification.
- A réception d'une telle lettre, la transition vers ce système «en ligne» s'effectue uniquement via la ligne de commande du navigateur Web. Ne copiez pas et n'entrez pas le lien spécifié dans la newsletter dans la ligne de commande du navigateur Web.
- Ne saisissez pas les données d'identification requises si le lien spécifié mène à la page de saisie des données d'identification «en ligne» du système.
- N'indiquez pas sur les pages du site une adresse e-mail de communication. Utilisez des scripts de formulaires de commentaires.
- Ne pas indiquer les détails des systèmes de paiement "en ligne" ou les détails des comptes bancaires sur le site.
- L'utilisation de scripts interdisant la copie des pages du site Web. Il convient de noter que presque tous les systèmes «en ligne» pèchent sur la protection des informations dans ce cas.
Panneaux qui peut indiquer une éventuelle attaque de phishing:
Destinataire E-mail : Lors de la réception d'une telle lettre d'information, il est nécessaire de faire attention à l'adresse e-mail indiquée dans la section «À». Si une autre adresse e-mail est indiquée dans cette section, mais pas le destinataire, la lettre a été envoyée par le programme «spammeur e-mail». De plus, dans cette section, plusieurs adresses e-mail peuvent être indiquées, ce qui indique un envoi de «spam».
Courriel de l'expéditeur : Peu importe, c'est ainsi qu'il y a la possibilité d'usurper une adresse e-mail lors de l'envoi d'une lettre d'information par le programme presque anonyme.
Date: 05/10/07 22h03
De: Yandex.Cards - adresse de l'expéditeur
À: Votre adresse@yandex.ru - adresse du destinataire
Objet: Carte postale de XXXX à vous!
Adresse IP de l'expéditeur : Vous pouvez définir l'adresse IP de l'expéditeur en ouvrant l'option «Propriétés du message», qui indique toujours l'adresse IP de l'expéditeur d'origine.
«Propriétés des lettres» dans le système de messagerie Yandex
Reçu: de mxfront6.yandex.ru ([213.180.XXX.XXX]: 61840 "EHLO - IP du serveur de messagerie .
mxfront6.yandex.ru "smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) par mail.yandex.ru avec l'identifiant ESMTP S2965911AbYERLI6 (ORCPT
);
Dim.18 mai 2008 15:08:58 +0400
Reçu: de [61.106.66.XXX] ([61.106.66.XXX]: 44804 - IP de l'expéditeur
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1
par mail.yandex.ru avec l'ID SMTP S40413AbYERLIw (ORCPT
Vérifiez à qui appartient l'adresse IP de l'expéditeur en utilisant le service «WHOIS». Si l'adresse IP de l'expéditeur correspond à l'adresse IP de Yandex ou d'Alfa-Bank, nous obtenons la réponse suivante:
Yandex
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
nom de réseau YANDEX-XXX-X
réseau d'entreprise descr Yandex
pays RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarques INFRA-AW
statut ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Alfa Bank
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscou Russie
pays RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
statut ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Si l'adresse IP de l'expéditeur dans la lettre ne correspond pas avec l'adresse IP dans le service «WHOIS», cela indique une attaque de phishing, malgré le fait qu'une adresse e-mail réellement existante du service d'assistance en ligne soit indiquée.
Vous pouvez vérifier de la même manière. Adresse IP d'un site ou d'un domaine sur lequel il est.
Il y a aussi la possibilité de vérifier l'historique du site auquel le lien de la newsletter nous envoie, c'est-à-dire, en utilisant le site Internet Archive, nous vérifions quand le site d'intérêt a été publié et combien de pages Internet. Pour ce faire, copiez l'adresse Web du site à partir de la ligne de commande du navigateur Internet et entrez «Internet Archive Wayback Machine» dans le champ de recherche. Si le moteur de recherche ne trouve pas de données sur l'adresse Web vérifiée, cela signifie que le site est du phishing.
La base de cette méthode est d'obtenir l'identité de la victime en utilisant un faux site (ci-après dénommé le site de phishing), qui est une copie exacte du présent.
En pratique, on peut distinguer deux types d'attaques pour obtenir les informations souhaitées:
Une attaque massive d'utilisateurs est utilisée pour obtenir la plus grande quantité de données d'identification, afin de voler de l'argent, des comptes ou de collecter de grandes quantités d'informations sur le réseau bancaire.
Une attaque ciblée par un utilisateur spécifique - afin d'obtenir la plus grande quantité d'informations commerciales et financières sur une personne physique ou morale spécifique.
L'algorithme d'actions dans les deux cas est le même:
- Sélection et étude du système de paiement électronique, postal ou bancaire en ligne.
- Collecte d'informations sur les clients de ce système, ou sur un client spécifique.
- Création et placement d'un site de phishing sur le réseau.
- Renvoi de clients d'un véritable système en ligne vers un site de phishing.
Ensuite, nous considérons pratiquement cet algorithme.
Sélection et étude du système de paiement électronique, postal ou bancaire en ligne.
Le choix d'un objet dépend de l'expérience, du support technique et du but spécifique de la personne impliquée dans le phishing. L'étude du système d'intérêt commence par une visite du site et une étude des composants du site.
Le phishing accorde une attention particulière à la section du site «Connexion à la section personnelle des clients du système», ainsi qu'aux conditions d'utilisation de ce système électronique, à la section de support technique, à la section de sécurité, aux sections d'actualités et d'informations et aux adresses e-mail des services du système d'intérêt.
Il est également possible que le phishing puisse enregistrer sa section personnelle dans le système d'intérêt en ligne, ce qui lui donne des informations supplémentaires pour de meilleures activités.
Un phishing expérimenté utilisera les informations obtenues pour créer l'impression de la plus grande réalité qui arrive à la victime potentielle lors de son envoi sur le site de phishing.
Collecte d'informations sur les clients ou un client spécifique de ce système.
La méthode de collecte des informations dépend de laquelle des attaques sera menée et des clients des systèmes en ligne qui seront attaqués.
La base de cette opération est la collecte des adresses e-mail des victimes potentielles - clients du système en ligne, auxquelles est ensuite envoyé un message ou une lettre d'information, prétendument au nom de l'administration d'un site réel ou d'un système en ligne, afin d'envoyer la victime vers un site de phishing.
En règle générale, une attaque massive d'utilisateurs est effectuée sur les clients d'un système de messagerie électronique ou de paiement et de puissants botnets sont utilisés pour collecter les adresses e-mail (un programme est un robot qui collecte les adresses e-mail pour les feuilles de spam) ou des programmes moins puissants pour collecter les feuilles de spam, tels que Advanced Extracteur d'e-mails, E-mail Collection 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, certains de ces programmes ont une fonction de collecte d'e-mails adresses e-mail selon un algorithme donné - peuvent collecter les adresses e-mail d'un système de messagerie particulier et, en règle générale, le même système de paiement électronique, car la connexion est la même pour les systèmes de messagerie et de paiement. Yandex et @ MAIL.RU servent d'exemple; il convient de noter que @ MAIL.RU sert également le système de messagerie @ mailbox.ru, @ bk.ru, @ list.ru.
La méthode de collecte d'informations dans une attaque ciblée est différente en ce qu'elle recueille des informations sur un système de paiement électronique spécifique (par exemple, WebMoney, Egold), un système de gestion de compte bancaire en ligne et une personne physique ou morale spécifique.
La principale différence entre cette collecte d'informations est qu'à la fin de la collecte d'informations, le phishing utilise non seulement des informations sur l'adresse e-mail de la victime potentielle, mais également les détails des comptes bancaires (compte bancaire et numéro de compte correspondant, adresse de la banque ou de sa succursale, données personnelles du propriétaire comptes), ainsi que les détails de compte des systèmes de paiement électronique, ce qui lui permet de préparer une lettre d'information meilleure et plus fiable à l'intention d'une victime potentielle et d'un site de phishing.
Dans ce cas, les programmes de recherche d'informations sur Internet tels que Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch ou Internet Search Systems tels que comme Yandex, Rambler, Google et autres.
Avec une demande correctement spécifiée, le système de recherche peut émettre plusieurs centaines de milliers de liens vers les détails des comptes bancaires des individus et des organisations. Lorsque vous demandez "Détails de notre compte courant", le système Yandex envoie environ 400 000 liens de page aux utilisateurs bancaires avec des informations qui intéressent le phishing, le système Google - environ 250 000 liens. Environ 15 000 liens vers la demande «Détails de notre compte courant Alfa-Bank»
Création et placement d'un site de phishing sur le réseau.
Pour obtenir les informations d'identification de la victime, une fausse page de connexion est créée, identique à la vraie page du site Web du système en ligne et au côté serveur du script pour le traitement des données saisies par la victime.
Le côté technique de la création d'un site de phishing ne prend pas beaucoup de temps, car une page prête à l'emploi du site d'origine est copiée (la copie peut être effectuée à l'aide de la fonction de copie d'un navigateur Web ou d'un programme de copie pour des sites Web tels que Teleport Pro, WebCopier, HTTrack, WebZip et autres) et L'utilisation d'un éditeur HTML (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder et autres) crée une page d'un site de phishing.
Les hameçonneurs expérimentés créent en outre une ou plusieurs pages du site, afin de minimiser les soupçons de la victime qu'il a été envoyé sur le site de phishing. Le contenu informatif de ces pages peut être très divers, mais il existe quelques pages composites de base d'un site de phishing:
- En particulier, conformément à la lettre d'information envoyée, une page préparée est envoyée vers laquelle la victime est redirigée après avoir fourni des informations d'identification.
- Copie de la page principale du site d'origine.
- Une page contenant un message de dysfonctionnement du serveur, vers laquelle la victime est redirigée si elle essaie d'accéder à d'autres collets sur la page du site de phishing.
Un tel site de phishing n'établit pas de liens qui redirigent la victime vers de vraies pages du site d'origine, car le système de comptabilité des visiteurs enregistre le passage depuis les pages d'autres sites et il existe une menace d'établir la présence d'un site de phishing.
Les hameçonneurs inexpérimentés, en règle générale, créent une page du site sur laquelle la victime doit entrer les données d'identification, ou en plus une autre page où il informe la victime que le nom d'utilisateur ou le mot de passe est incorrect, ou que ce service est temporairement indisponible et vous demande de contacter à nouveau après quelques temps.
Le schéma est le suivant: plus le phishing lui-même est expérimenté et professionnel, plus le site de phishing a l'air probable.
Un site de phishing sur le réseau est hébergé à l'aide de deux méthodes:
Serveur d'hébergement gratuit: zone de domaine «ru» - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND et autres; autres zones de domaine - ho (ua, org), AYOLA.net (com, net, biz), Bravanet (com), 007 Sites (com), 110 Mo HOSTIHG (com) et autres.
En utilisant votre serveur HTTP: Apache, Small HTTP server, Sambar Server, KF WEB Server et autres, qui est installé sur l'ordinateur phisher ou sur l'ordinateur zombie (spécialement à de telles fins un ordinateur piraté).
Renvoyer les clients d'un véritable système en ligne vers un site de phishing.
La victime potentielle est envoyée sur le site de phishing en envoyant une lettre d'information spéciale à son e-mail.
Pour les attaques de masse de victimes potentielles, des spammeurs de courrier électronique sont utilisés: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender et autres.
Pour une attaque ciblée d'une victime potentielle, les programmes susmentionnés de «spammeurs de courrier électronique» et les programmes d'envoi de courrier anonyme sont utilisés: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer et autres, ou serveurs presque anonymes.
Il convient de noter qu'en utilisant des programmes d'envoi presque anonymes, le phishing a la possibilité d'usurper l'adresse e-mail de l'expéditeur, c'est-à-dire qu'il peut spécifier toute autre adresse e-mail réelle ou inexistante. Il utilise les informations reçues sur la possibilité de contacter les services du système en ligne, c'est-à-dire la véritable adresse e-mail du système en ligne.
Contenu texte de la newsletter Il est développé en fonction du système «en ligne» attaqué et du contenu du site de phishing.
La newsletter la plus simple du moment est un message d'information confirmant le login et le mot de passe:
-------------------------------------------------- -----------------------------
Cher utilisateur, service de messagerie Yandex!
En raison d'une attaque de pirate sur le serveur de messagerie Yandex et de la restauration des comptes clients, nous vous demandons de vous rendre sur le site Yandex et de confirmer votre compte
E-mail envoyé par mailing robot. S'il vous plait ne répondez pas à cet email.
Nous nous excusons pour la
inconvénient.
Cordialement, Yandex Support.
Boîte aux lettres Yandex sans spam ni virus.
-------------------------------------------------- -------------------------------
Cher utilisateur, Alfa-Click Internet Banking system!
En raison d'une attaque de pirate sur le serveur Alfa-Click Internet Bank et de la restauration des comptes clients, nous vous demandons de vous rendre sur le serveur Alfa-Click Internet Bank et de confirmer votre compte ou de contacter votre agence Alfa Bank.
E-mail envoyé par mailing robot. S'il vous plait ne répondez pas à cet email.
Nous nous excusons pour tout dérangement que cela pourrait causer.
Cordialement, Service d'assistance «en ligne» du système «Internet Bank Alfa-Click».
Autres projets Internet d'Alfa Bank.
-------------------------------------------------- ------------------------------
En règle générale, les bulletins d'information de ce type de contenu ne sont pas très efficaces, car ils sont utilisés depuis longtemps et la plupart des utilisateurs de systèmes «en ligne» savent qu'il s'agit d'une fraude sur Internet.
Un bulletin d'information plus plausible qui ne suscite pas de soupçons sur une victime potentielle peut être rédigé de la manière suivante:
-------------------------------------------------- ---------------------------
Bonjour, utilisateur!
Vous avez une carte postale.
Expéditeur de la carte postale: XXXX
Pour devenir le découvreur de cette carte postale, cliquez sur le lien.
S'il vous plait ne répondez pas à cet email.
Pour envoyer une carte postale en réponse, sélectionnez une carte postale sur le site Web Yandex.Cards ou dessinez en utilisant Yandex.Colors
Yandex Cartes postales. Ouvert avant les vacances.
Salut, Polzovatel, tu viens de recevoir une carte postale.
Pour voir la carte postale, cliquez sur ce lien.
Veuillez ne pas répondre à cet e-mail.
Yandex.Postcards. Cartes postales pré-vacances.
-------------------------------------------------- ------------------------
Cher utilisateur, Alfa-Click Internet Banking system!
La direction d'Alfa Bank annonce une loterie pour les clients d'Alfa-Click Internet Bank.
Vous vous familiariserez avec les conditions de participation à la loterie, et vous pourrez confirmer votre participation à la loterie en vous rendant sur Alfa-Click Internet Bank ou dans votre agence Alfa Bank.
E-mail envoyé par mailing robot. S'il vous plait ne répondez pas à cet email.
Cordialement, Service d'assistance «en ligne» du système «Internet Bank Alfa-Click».
Alfa-Click Internet Banking est la simplicité et la rapidité de connexion au système, l'absence de nécessité d'installer un logiciel spécial.
Bureau principal
107078, Moscou, st. Kalanchevskaya, 27
XML: NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495) 620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
-------------------------------------------------- ------------------------
Cher utilisateur du système de paiement Yandex.Money!
La gestion du système de paiement Yandex.Money annonce une loterie pour ses clients.
Il se familiarisera avec les conditions de participation à la loterie, et vous pourrez confirmer votre participation à la loterie en cliquant sur le lien.
E-mail envoyé par mailing robot. S'il vous plait ne répondez pas à cet email.
Réductions ce mois-ci. Plus de détails
Boîte aux lettres Yandex sans spam ni virus.
-------------------------------------------------- ------------------------
Le contenu de la newsletter peut être très diversifié et il n'est tout simplement pas possible d'envisager toutes les options. Vous pouvez vous familiariser avec de nombreux types de newsletters et de sites de phishing sur le site Web du groupe de travail anti-hameçonnage.
Il est protégé contre les attaques de phishing et les principes de sécurité lors de l'utilisation de systèmes «en ligne».
Tenez compte des principes de base de la sécurité d'utilisation des systèmes «en ligne» et soyez protégé contre les attaques de phishing.
La principale chose que les utilisateurs de systèmes en ligne doivent se rappeler:
- Le service d'assistance du système «en ligne» n'envoie pas de lettres d'information demandant de l'eau ou confirmant des données d'identification.
- A réception d'une telle lettre, la transition vers ce système «en ligne» s'effectue uniquement via la ligne de commande du navigateur Web. Ne copiez pas et n'entrez pas le lien spécifié dans la newsletter dans la ligne de commande du navigateur Web.
- Ne saisissez pas les données d'identification requises si le lien spécifié mène à la page de saisie des données d'identification «en ligne» du système.
- N'indiquez pas sur les pages du site une adresse e-mail de communication. Utilisez des scripts de formulaires de commentaires.
- Ne pas indiquer les détails des systèmes de paiement "en ligne" ou les détails des comptes bancaires sur le site.
- L'utilisation de scripts interdisant la copie des pages du site Web. Il convient de noter que presque tous les systèmes «en ligne» pèchent sur la protection des informations dans ce cas.
Panneaux qui peut indiquer une éventuelle attaque de phishing:
Destinataire E-mail : Lors de la réception d'une telle lettre d'information, il est nécessaire de faire attention à l'adresse e-mail indiquée dans la section «À». Si une autre adresse e-mail est indiquée dans cette section, mais pas le destinataire, la lettre a été envoyée par le programme «spammeur e-mail». De plus, dans cette section, plusieurs adresses e-mail peuvent être indiquées, ce qui indique un envoi de «spam».
Courriel de l'expéditeur : Peu importe, c'est ainsi qu'il y a la possibilité d'usurper une adresse e-mail lors de l'envoi d'une lettre d'information par le programme presque anonyme.
Date: 05/10/07 22h03
De: Yandex.Cards - adresse de l'expéditeur
À: Votre adresse@yandex.ru - adresse du destinataire
Objet: Carte postale de XXXX à vous!
Adresse IP de l'expéditeur : Vous pouvez définir l'adresse IP de l'expéditeur en ouvrant l'option «Propriétés du message», qui indique toujours l'adresse IP de l'expéditeur d'origine.
«Propriétés des lettres» dans le système de messagerie Yandex
Reçu: de mxfront6.yandex.ru ([213.180.XXX.XXX]: 61840 "EHLO - IP du serveur de messagerie .
mxfront6.yandex.ru "smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) par mail.yandex.ru avec l'identifiant ESMTP S2965911AbYERLI6 (ORCPT
);
Dim.18 mai 2008 15:08:58 +0400
Reçu: de [61.106.66.XXX] ([61.106.66.XXX]: 44804 - IP de l'expéditeur
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1
par mail.yandex.ru avec l'ID SMTP S40413AbYERLIw (ORCPT
Vérifiez à qui appartient l'adresse IP de l'expéditeur en utilisant le service «WHOIS». Si l'adresse IP de l'expéditeur correspond à l'adresse IP de Yandex ou d'Alfa-Bank, nous obtenons la réponse suivante:
Yandex
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
nom de réseau YANDEX-XXX-X
réseau d'entreprise descr Yandex
pays RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarques INFRA-AW
statut ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Alfa Bank
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscou Russie
pays RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
statut ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Si l'adresse IP de l'expéditeur dans la lettre ne correspond pas avec l'adresse IP dans le service «WHOIS», cela indique une attaque de phishing, malgré le fait qu'une adresse e-mail réellement existante du service d'assistance en ligne soit indiquée.
Vous pouvez vérifier de la même manière. Adresse IP d'un site ou d'un domaine sur lequel il est.
Il y a aussi la possibilité de vérifier l'historique du site auquel le lien de la newsletter nous envoie, c'est-à-dire, en utilisant le site Internet Archive, nous vérifions quand le site d'intérêt a été publié et combien de pages Internet. Pour ce faire, copiez l'adresse Web du site à partir de la ligne de commande du navigateur Internet et entrez «Internet Archive Wayback Machine» dans le champ de recherche. Si le moteur de recherche ne trouve pas de données sur l'adresse Web vérifiée, cela signifie que le site est du phishing.
Original message
Рассмотрим некоторые аспекты информационной и финансовой бизнес разведки и безопасности в интернете. Конкретно рассмотрим один из способов получения несанкционированного доступа к бизнес переписке, используя электронную почтовую систему (э-майл), а также аналогичный доступ к ведению финансовых операций, используя “онлайн” платежную систему (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney, Rupay, PayPal, Platinum Trade, ElecPay, ICQMoney и других), или “онлайн” систему управления банковским счетом, то – есть способ, который называется ФИШИНГ: интернет – мошенничество, цель которого - получение идентификационных данных пользователя (логин и пароль).
В основе данного способа лежит получение идентификационных данных жертвы, используя фальшивый сайт (далее – фишерный сайт), который является точной копией настоящего.
Практически можно выделить два вида атак для получения желаемой информации:
Массовая атака пользователей используется для получения наибольшего количества идентификационных данных, с целью похищения денежных средств, аккаунтов или сбора информации большого объема о банковсРкой сети.
Целенаправленная атака конкретного пользователя - с целью получения наибольшего объема бизнес и финансовой информации о конкретном физическом или юридическом лице.
Алгоритм действий в обоих случаях одинаков:
- Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
- Сбор информации о клиентах данной системы, или о конкретном клиенте.
- Создание и размещение в сети фишерного сайта.
- Направление клиентов реальной онлайн системы на фишерный сайт.
Далее рассмотрим практически этот алгоритм.
Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
Выбор объекта зависит от опыта, технического обеспечения и конкретной цели лица, занимающегося фишингом. Изучение интересующей системы начинается с посещения сайта и изучения составляющих компонентов сайта.
Особое внимание фишер обращает на раздел сайта “Вход в личный раздел клиентов системы “, а также условиям использования данной электронной системы, разделу технической поддержки, разделу безопасности, разделам новостей и информации, э-майл адресам служб интересующей системы.
Также не исключается возможность регистрации фишером своего личного раздела в интересующей онлайн системе, что дает ему дополнительную информацию для более качественной деятельности.
Опытный фишер будет использовать полученную информацию для создания впечатления наибольшей реальности происходящего у потенциальной жертвы во время направления таковой на фишерный сайт.
Сбор информации о клиентах или конкретном клиенте данной системы.
Способ сбора информации зависит от того какая из атак будет проводиться и клиенты какой из онлайн систем будет атакованы.
В основу данной операции лежит сбор э-майл адресов потенциальных жертв – клиентов онлайн системы, на которые в последствие отправляется информационное сообщение или письмо, якобы от имени администрации реального сайта или онлайн системы, с целью направить жертву на фишерный сайт.
Как правило, массовая атака пользователей проводиться на клиентов электронной почтовой или платежной системы и для сбора э-майл адресов используется мощные ботнеты (программа – робот, собирающий э-майл адреса для спам листов) или мене мощные программы для сбора спам листов, таких как Advanced Email Extractor, Сбор e-mail 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, часть из данных программ имеет функция сбора э-майл адресов по заданному алгоритму – может собирать э-майл адреса одной определенной почтовой системы и, как правило, той же самой электронной платежной системы, так как логин является одним и темже как на почтовую, так и на платежную систему. Примером служит Яндекс и @MAIL.RU, надо отметить, что @MAIL.RU обслуживает также почтовую систему @inbox.ru, @bk.ru, @list.ru.
Способ сбора информации при целенаправленной атаке отличается тем, что собирается информация о конкретной электронной платежной системе (на пример WebMoney, Egold ), системе онлайн управления банковским счетом и о конкретном физическом или юридическом лице.
Главная отличие данного сбора информации заключается в том, что по окончанию сбора информации в пользование фишера попадает не только информация об адресе э-майла потенциальной жертвы, но и реквизиты банковских счетов (№ расчетного и корреспондентского счета, адреса банка или его филиала, личные данные владельца счета), а также реквизиты счетов электронных платежных систем, что дает ему возможность подготовить более качественное и достоверное информационное письмо потенциальной жертве и фишерный сайт.
В данном случае для сбора информации используется Программы поиска информации в интернете, такие как Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, или Системы поиска в интернете, такие как Яндекс, Рамблер, Google и другие.
При правильно заданном запросе поисковая система может выдать несколько сот тысяч ссылок на реквизиты банковских счетов частных лиц и организации. При запросе “Реквизиты нашего расчетного счета ” система Яндекс выдает около 400000 ссылок страниц на банковских пользователей с интересующей фишера информацией, система “Google” – около 250000 ссылок. На запрос “Реквизиты нашего расчетного счета Альфа – банк ” - около 15000 ссылок
Создание и размещение в сети фишерного сайта.
Для получения идентификационной информации жертвы создается фальшивая страница входа в систему, которая идентична реальной странице на сайте онлайн системы, и серверная часть скрипта для обработки данных, введенных жертвой.
Техническая сторона создания фишерного сайта не занимает много времени, так как копируется уже готовая страница оригинального сайта (копирование может производиться, используя функцию копирования веб-браузера или программу копирования веб-сайтов, таких как Teleport Pro, WebCopier, HTTrack, WebZip и других) и используя HTML редактор (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder и других) создается страницы фишерного сайта.
Опытные фишеры создает дополнительно еще одну или несколько страниц сайта, для сведения до минимума возникновения подозрений у жертвы, что он направлен на фишерный сайт. Информационное содержание данных страниц может быть очень разнообразным, однако есть некоторые основные составные страницы фишерного сайта:
- Специально, в соответствие с разосланным информационным письмом, подготовленная станица, на которую жертва перенаправляется после того, как он вел идентификационную информацию.
- Копия Главной страницы оригинального сайта.
- Страницы с сообщением о сбое работы сервера, на которую перенаправляется жертва, если она старается перейти по другим силкам на странице фишерного сайта.
На таком фишерном сайте не устанавливается ссылки, которые перенаправляет жертву на реальные страницы оригинального сайта, так как система учета посетителей фиксирует переход со страниц других сайтов и возникает угроза установления наличие фишерного сайта.
Неопытные фишеры, как правило, создает одну страницу сайта, на которой жертва должна ввести идентификационной данные, или дополнительно еще одну страницу, где сообщает жертве, что неправильно указан логин или пароль, или данная услуга временно не доступна и просит Вас обратится еще раз через некоторое время.
Закономерность такова – чем опытнее и профессиональнее сам фишер, тем правдоподобнее выглядит фишерный сайт.
Фишерный сайт в сети размешает, используя два способа:
Сервер бесплатного хостинга : зона доменов “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND и другие; другие зоны доменов – ho (ua, org ), AYOLA.net (com, net, biz ), Bravanet (com ), 007 Sites (com ), 110MB HOSTIHG (com) и другие.
Использование своего HTTP сервера: Apache, Small HTTP server, Sambar Server, KF WEB Server и других, который установлен на компьютере фишера или на компьютере – зомби ( специально для таких целей взломанном компьютере ).
Направление клиентов реальной онлайн системы на фишерный сайт.
Потенциальная жертва направляется на фишерный сайт с помощью отправки на его э-майл специального информационного письма.
Для массовой атаки потенциальных жертв используется программы “э-майл спамеры”: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender и другие.
Для целенаправленной атаки потенциальной жертвы используется как выше упомянутые программы “э-майл спамеры” так и программы отправки анонимной почты: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer и другие, или сервера анонимной почти.
Надо отметить, что используя программы отправки анонимной почти, фишер имеет возможность подмены э-майла адреса отправителя, то есть, имеет возможность указать любой другой реально существующий или несуществующий э-майл адрес. Здесь используется полученная информация о возможности связаться со службами онлайн системы, то есть реальные э-майл адреса онлайн системы.
Текстовое содержание информационного письма разрабатывается в зависимости от атакуемой “онлайн” системы и содержания фишерного сайта.
Наиболее простим информационным письмом, на данный момент, является информационное сообщение о подтверждение логина и пароля:
-------------------------------------------------------------------------------
Уважаемый пользователь, почтовой службы “Яndex”!
В связи с хакерской атакой на почтовой сервер “Яndex” и восстановлением клиентских аккаунтов, просим Вас пройти на сайт “Яndex” и подтвердить Ваш аккаунт
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные
неудобства.
С уважением, Служба поддержки “Яndex”.
Почтовый ящик Яndex без спама и вирусов.
---------------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
В связи с хакерской атакой на сервер “Интернет-банк Альфа-Клик” и восстановлением клиентских аккаунтов, просим Вас пройти на сервер “Интернет-банк Альфа-Клик” и подтвердить Ваш аккаунт или обратиться в Ваше отделение Альфа-банк.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные неудобства.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Другие интернет-проекты Альфа-Банка.
--------------------------------------------------------------------------------
Как правило, информационное письмо такого содержания мало эффективны, так как они используется давно и большинство пользователей “онлайн” систем знает, что это является интернет – мошенничеством.
Более правдоподобная информационное письмо, которая не вызывает подозрение у потенциальной жертвы, может быть составлена подобным образом:
-----------------------------------------------------------------------------
Здравствуйте, Пользователь!
Вам открытка.
Отправитель открытки: ХХХХ
Чтобы стать первооткрывателем этой открытки, нажмите на ссылку.
Пожалуйста, не отвечайте на это письмо.
Чтобы направить открытку в ответ, выберите открытку на сайте Яндекс.Открытки или нарисуйте с помощью Яндекс.Красок
Яндекс.Открытки. Открыть перед праздником.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
--------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
Руководство банка “Альфа-банк” объявляет лотерею для клиентов “Интернет-банк Альфа-Клик”.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя на “Интернет-банк Альфа-Клик” или в Вашем отделение “Альфа-банк”.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Интернет-банк «Альфа-Клик» — это простота и быстрота подключения к системе, отсутствие необходимости установки специального программного обеспечения.
Главный офис
107078, Москва, ул. Каланчевская, 27
XML:NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495)620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
--------------------------------------------------------------------------
Уважаемый пользователь, платежной системы “Яндекс.Денги”!
Руководство платежной системы “Яндекс.Денги” объявляет лотерею для своих клиентов.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя по ссылке.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Скидки в этом месяце. Подробнее...
Почтовый ящик Яndex без спама и вирусов.
--------------------------------------------------------------------------
Содержание информационного письма может бить очень разнообразным и рассмотрение всех вариантов просто не возможна. Ознакомится с множеством видов информационных писем и фишерных сайтов можно на сайте Anti-Phishing Working Group.
Зашита от фишинговых атак и принципы безопасности при использование “онлайн” систем.
Рассмотрим основные принципы безопасности использования “онлайн” систем и зашиты от фишинговых атак.
Основное, что надо запомнить пользователям “онлайн” систем:
- Служба поддержки “онлайн” системы не отправляет информационные письма с требованием вода или подтверждения идентификационных данных.
- При получение такого письма переход на данную “онлайн” систему производится, используя только командную строку веб – браузера. Не копировать и не вводить ссылку, указанную в информационном письме, в командную строку веб – браузера.
- Не вводить требуемые идентификационные данные, если указанная ссылка выводит на страницу ввода идентификационных данных “онлайн” системы.
- Не указывать на страницах сайта э-майл адреса для связи. Использовать скрипты форм обратной связи.
- Не указывать реквизиты платежных “онлайн” систем или реквизиты банковских счетов на страницах сайта.
- Использование скриптов запрещающих копирование страниц веб – сайта. Надо отметить, что почти все “онлайн” системы грешит по поводу зашиты информации в данном случае.
Признаки, которые может указывать на возможную фишинговую атаку:
Э-майл адрес получателя:При получение такого информационного письма необходимо обратить внимание на что, какой э-майл адрес указан в разделе “Кому”. Если в данном разделе указан другой э-майл адрес, а не получателя, письмо отправлено программой “э-майл спамером”. Также в данном разделе может быть указаны несколько э-майл адреса, что свидетельствует об “спамерской” отправке.
Э-майл адрес отправителя: Большого значения не имеет, тат как существует возможность подмены э-майл адреса, при отправке информационного письма программой анонимной почти.
Дата: 10.05.07 22:03
От кого: Яндекс.Открытки - адрес отправителя
Кому: Ваш адрес@yandex.ru – адрес получателя
Тема: Вам Открытка от пользователя XXXX!
IP адрес отправителя: Установить IP адрес отправителя можно открыв опцию “Свойства письма”, где всегда указывается оригинальный адрес IP адрес отправителя.
“Свойства письма” в почтовой системе Яндекс
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]:61840 "EHLO - IP почтового сервера.
mxfront6.yandex.ru" smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
);
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]:44804 - IP отправителя
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1: )
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
Проверить, кому принадлежит IP адрес отправителя можно используя службу “WHOIS”.Если IP адрес отправителя соответствует IP адресу “Яндекс” или “Альфа-банк” получаем следующий ответ:
Яндекс
inetnum XXX.XXX.XXX.XXX – XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Альфа-банк
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Если IP адрес отправителя в письме не соответствует с IP адресом в службе “WHOIS”, это указывает на фишинговую атаку, несмотря даже на то, что указан реально существующий э-майл адрес Службы поддержки “онлайн” системы.
Таким же образом можно проверить IP адрес сайта или домена, на котором он находиться.
Есть также возможность проверить историю сайта, на который нас направляет ссылка информационного письма, то – есть с помощью сайта “Internet Archive” проверяем когда был размешен интересующий сайт и сколько интернет – страниц. Для этого копируем веб адрес сайта с командной строки интернет – браузера и вводим в поисковую строку “Internet Archive Wayback Machine”. Если поисковая система не находит данные на проверяемый веб адрес – это обозначает, что сайт – фишинговый.
В основе данного способа лежит получение идентификационных данных жертвы, используя фальшивый сайт (далее – фишерный сайт), который является точной копией настоящего.
Практически можно выделить два вида атак для получения желаемой информации:
Массовая атака пользователей используется для получения наибольшего количества идентификационных данных, с целью похищения денежных средств, аккаунтов или сбора информации большого объема о банковсРкой сети.
Целенаправленная атака конкретного пользователя - с целью получения наибольшего объема бизнес и финансовой информации о конкретном физическом или юридическом лице.
Алгоритм действий в обоих случаях одинаков:
- Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
- Сбор информации о клиентах данной системы, или о конкретном клиенте.
- Создание и размещение в сети фишерного сайта.
- Направление клиентов реальной онлайн системы на фишерный сайт.
Далее рассмотрим практически этот алгоритм.
Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
Выбор объекта зависит от опыта, технического обеспечения и конкретной цели лица, занимающегося фишингом. Изучение интересующей системы начинается с посещения сайта и изучения составляющих компонентов сайта.
Особое внимание фишер обращает на раздел сайта “Вход в личный раздел клиентов системы “, а также условиям использования данной электронной системы, разделу технической поддержки, разделу безопасности, разделам новостей и информации, э-майл адресам служб интересующей системы.
Также не исключается возможность регистрации фишером своего личного раздела в интересующей онлайн системе, что дает ему дополнительную информацию для более качественной деятельности.
Опытный фишер будет использовать полученную информацию для создания впечатления наибольшей реальности происходящего у потенциальной жертвы во время направления таковой на фишерный сайт.
Сбор информации о клиентах или конкретном клиенте данной системы.
Способ сбора информации зависит от того какая из атак будет проводиться и клиенты какой из онлайн систем будет атакованы.
В основу данной операции лежит сбор э-майл адресов потенциальных жертв – клиентов онлайн системы, на которые в последствие отправляется информационное сообщение или письмо, якобы от имени администрации реального сайта или онлайн системы, с целью направить жертву на фишерный сайт.
Как правило, массовая атака пользователей проводиться на клиентов электронной почтовой или платежной системы и для сбора э-майл адресов используется мощные ботнеты (программа – робот, собирающий э-майл адреса для спам листов) или мене мощные программы для сбора спам листов, таких как Advanced Email Extractor, Сбор e-mail 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, часть из данных программ имеет функция сбора э-майл адресов по заданному алгоритму – может собирать э-майл адреса одной определенной почтовой системы и, как правило, той же самой электронной платежной системы, так как логин является одним и темже как на почтовую, так и на платежную систему. Примером служит Яндекс и @MAIL.RU, надо отметить, что @MAIL.RU обслуживает также почтовую систему @inbox.ru, @bk.ru, @list.ru.
Способ сбора информации при целенаправленной атаке отличается тем, что собирается информация о конкретной электронной платежной системе (на пример WebMoney, Egold ), системе онлайн управления банковским счетом и о конкретном физическом или юридическом лице.
Главная отличие данного сбора информации заключается в том, что по окончанию сбора информации в пользование фишера попадает не только информация об адресе э-майла потенциальной жертвы, но и реквизиты банковских счетов (№ расчетного и корреспондентского счета, адреса банка или его филиала, личные данные владельца счета), а также реквизиты счетов электронных платежных систем, что дает ему возможность подготовить более качественное и достоверное информационное письмо потенциальной жертве и фишерный сайт.
В данном случае для сбора информации используется Программы поиска информации в интернете, такие как Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, или Системы поиска в интернете, такие как Яндекс, Рамблер, Google и другие.
При правильно заданном запросе поисковая система может выдать несколько сот тысяч ссылок на реквизиты банковских счетов частных лиц и организации. При запросе “Реквизиты нашего расчетного счета ” система Яндекс выдает около 400000 ссылок страниц на банковских пользователей с интересующей фишера информацией, система “Google” – около 250000 ссылок. На запрос “Реквизиты нашего расчетного счета Альфа – банк ” - около 15000 ссылок
Создание и размещение в сети фишерного сайта.
Для получения идентификационной информации жертвы создается фальшивая страница входа в систему, которая идентична реальной странице на сайте онлайн системы, и серверная часть скрипта для обработки данных, введенных жертвой.
Техническая сторона создания фишерного сайта не занимает много времени, так как копируется уже готовая страница оригинального сайта (копирование может производиться, используя функцию копирования веб-браузера или программу копирования веб-сайтов, таких как Teleport Pro, WebCopier, HTTrack, WebZip и других) и используя HTML редактор (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder и других) создается страницы фишерного сайта.
Опытные фишеры создает дополнительно еще одну или несколько страниц сайта, для сведения до минимума возникновения подозрений у жертвы, что он направлен на фишерный сайт. Информационное содержание данных страниц может быть очень разнообразным, однако есть некоторые основные составные страницы фишерного сайта:
- Специально, в соответствие с разосланным информационным письмом, подготовленная станица, на которую жертва перенаправляется после того, как он вел идентификационную информацию.
- Копия Главной страницы оригинального сайта.
- Страницы с сообщением о сбое работы сервера, на которую перенаправляется жертва, если она старается перейти по другим силкам на странице фишерного сайта.
На таком фишерном сайте не устанавливается ссылки, которые перенаправляет жертву на реальные страницы оригинального сайта, так как система учета посетителей фиксирует переход со страниц других сайтов и возникает угроза установления наличие фишерного сайта.
Неопытные фишеры, как правило, создает одну страницу сайта, на которой жертва должна ввести идентификационной данные, или дополнительно еще одну страницу, где сообщает жертве, что неправильно указан логин или пароль, или данная услуга временно не доступна и просит Вас обратится еще раз через некоторое время.
Закономерность такова – чем опытнее и профессиональнее сам фишер, тем правдоподобнее выглядит фишерный сайт.
Фишерный сайт в сети размешает, используя два способа:
Сервер бесплатного хостинга : зона доменов “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND и другие; другие зоны доменов – ho (ua, org ), AYOLA.net (com, net, biz ), Bravanet (com ), 007 Sites (com ), 110MB HOSTIHG (com) и другие.
Использование своего HTTP сервера: Apache, Small HTTP server, Sambar Server, KF WEB Server и других, который установлен на компьютере фишера или на компьютере – зомби ( специально для таких целей взломанном компьютере ).
Направление клиентов реальной онлайн системы на фишерный сайт.
Потенциальная жертва направляется на фишерный сайт с помощью отправки на его э-майл специального информационного письма.
Для массовой атаки потенциальных жертв используется программы “э-майл спамеры”: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender и другие.
Для целенаправленной атаки потенциальной жертвы используется как выше упомянутые программы “э-майл спамеры” так и программы отправки анонимной почты: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer и другие, или сервера анонимной почти.
Надо отметить, что используя программы отправки анонимной почти, фишер имеет возможность подмены э-майла адреса отправителя, то есть, имеет возможность указать любой другой реально существующий или несуществующий э-майл адрес. Здесь используется полученная информация о возможности связаться со службами онлайн системы, то есть реальные э-майл адреса онлайн системы.
Текстовое содержание информационного письма разрабатывается в зависимости от атакуемой “онлайн” системы и содержания фишерного сайта.
Наиболее простим информационным письмом, на данный момент, является информационное сообщение о подтверждение логина и пароля:
-------------------------------------------------------------------------------
Уважаемый пользователь, почтовой службы “Яndex”!
В связи с хакерской атакой на почтовой сервер “Яndex” и восстановлением клиентских аккаунтов, просим Вас пройти на сайт “Яndex” и подтвердить Ваш аккаунт
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные
неудобства.
С уважением, Служба поддержки “Яndex”.
Почтовый ящик Яndex без спама и вирусов.
---------------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
В связи с хакерской атакой на сервер “Интернет-банк Альфа-Клик” и восстановлением клиентских аккаунтов, просим Вас пройти на сервер “Интернет-банк Альфа-Клик” и подтвердить Ваш аккаунт или обратиться в Ваше отделение Альфа-банк.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные неудобства.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Другие интернет-проекты Альфа-Банка.
--------------------------------------------------------------------------------
Как правило, информационное письмо такого содержания мало эффективны, так как они используется давно и большинство пользователей “онлайн” систем знает, что это является интернет – мошенничеством.
Более правдоподобная информационное письмо, которая не вызывает подозрение у потенциальной жертвы, может быть составлена подобным образом:
-----------------------------------------------------------------------------
Здравствуйте, Пользователь!
Вам открытка.
Отправитель открытки: ХХХХ
Чтобы стать первооткрывателем этой открытки, нажмите на ссылку.
Пожалуйста, не отвечайте на это письмо.
Чтобы направить открытку в ответ, выберите открытку на сайте Яндекс.Открытки или нарисуйте с помощью Яндекс.Красок
Яндекс.Открытки. Открыть перед праздником.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
--------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
Руководство банка “Альфа-банк” объявляет лотерею для клиентов “Интернет-банк Альфа-Клик”.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя на “Интернет-банк Альфа-Клик” или в Вашем отделение “Альфа-банк”.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Интернет-банк «Альфа-Клик» — это простота и быстрота подключения к системе, отсутствие необходимости установки специального программного обеспечения.
Главный офис
107078, Москва, ул. Каланчевская, 27
XML:NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495)620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
--------------------------------------------------------------------------
Уважаемый пользователь, платежной системы “Яндекс.Денги”!
Руководство платежной системы “Яндекс.Денги” объявляет лотерею для своих клиентов.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя по ссылке.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Скидки в этом месяце. Подробнее...
Почтовый ящик Яndex без спама и вирусов.
--------------------------------------------------------------------------
Содержание информационного письма может бить очень разнообразным и рассмотрение всех вариантов просто не возможна. Ознакомится с множеством видов информационных писем и фишерных сайтов можно на сайте Anti-Phishing Working Group.
Зашита от фишинговых атак и принципы безопасности при использование “онлайн” систем.
Рассмотрим основные принципы безопасности использования “онлайн” систем и зашиты от фишинговых атак.
Основное, что надо запомнить пользователям “онлайн” систем:
- Служба поддержки “онлайн” системы не отправляет информационные письма с требованием вода или подтверждения идентификационных данных.
- При получение такого письма переход на данную “онлайн” систему производится, используя только командную строку веб – браузера. Не копировать и не вводить ссылку, указанную в информационном письме, в командную строку веб – браузера.
- Не вводить требуемые идентификационные данные, если указанная ссылка выводит на страницу ввода идентификационных данных “онлайн” системы.
- Не указывать на страницах сайта э-майл адреса для связи. Использовать скрипты форм обратной связи.
- Не указывать реквизиты платежных “онлайн” систем или реквизиты банковских счетов на страницах сайта.
- Использование скриптов запрещающих копирование страниц веб – сайта. Надо отметить, что почти все “онлайн” системы грешит по поводу зашиты информации в данном случае.
Признаки, которые может указывать на возможную фишинговую атаку:
Э-майл адрес получателя:При получение такого информационного письма необходимо обратить внимание на что, какой э-майл адрес указан в разделе “Кому”. Если в данном разделе указан другой э-майл адрес, а не получателя, письмо отправлено программой “э-майл спамером”. Также в данном разделе может быть указаны несколько э-майл адреса, что свидетельствует об “спамерской” отправке.
Э-майл адрес отправителя: Большого значения не имеет, тат как существует возможность подмены э-майл адреса, при отправке информационного письма программой анонимной почти.
Дата: 10.05.07 22:03
От кого: Яндекс.Открытки - адрес отправителя
Кому: Ваш адрес@yandex.ru – адрес получателя
Тема: Вам Открытка от пользователя XXXX!
IP адрес отправителя: Установить IP адрес отправителя можно открыв опцию “Свойства письма”, где всегда указывается оригинальный адрес IP адрес отправителя.
“Свойства письма” в почтовой системе Яндекс
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]:61840 "EHLO - IP почтового сервера.
mxfront6.yandex.ru" smtp-auth: TLS-CIPHER: TLS-PEER-CN1:
) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
);
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]:44804 - IP отправителя
"HELO 213.180.XXX.XXX"
smtp-auth: TLS-CIPHER: TLS-PEER-CN1: )
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
Проверить, кому принадлежит IP адрес отправителя можно используя службу “WHOIS”.Если IP адрес отправителя соответствует IP адресу “Яндекс” или “Альфа-банк” получаем следующий ответ:
Яндекс
inetnum XXX.XXX.XXX.XXX – XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Альфа-банк
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Если IP адрес отправителя в письме не соответствует с IP адресом в службе “WHOIS”, это указывает на фишинговую атаку, несмотря даже на то, что указан реально существующий э-майл адрес Службы поддержки “онлайн” системы.
Таким же образом можно проверить IP адрес сайта или домена, на котором он находиться.
Есть также возможность проверить историю сайта, на который нас направляет ссылка информационного письма, то – есть с помощью сайта “Internet Archive” проверяем когда был размешен интересующий сайт и сколько интернет – страниц. Для этого копируем веб адрес сайта с командной строки интернет – браузера и вводим в поисковую строку “Internet Archive Wayback Machine”. Если поисковая система не находит данные на проверяемый веб адрес – это обозначает, что сайт – фишинговый.
