Я решил пополнить данную статью, так как считаю, что не полностью раскрыт данный вопрос.
Необходимо отметить, что данный метод получения информации, хотя является незаконным, используется частенько и приносит большой урон пользователям интернета.
В данной статье рассмотрим некоторые аспекты информационной и финансовой бизнес разведки и безопасности в интернете. Конкретно рассмотрим один из способов получения несанкционированного доступа к бизнес переписке, используя электронную почтовую систему (э-майл), а также аналогичный доступ к ведению финансовых операций, используя “онлайн” платежную систему (Yandex Money, MoneyMail, WebMoney, Egold, Imoney, AstraMoney, Rupay, PayPal, Platinum Trade, ElecPay, ICQMoney и других), или “онлайн” систему управления банковским счетом, то – есть способ, который называется ФИШИНГ: интернет – мошенничество, цель которого - получение идентификационных данных пользователя (логин и пароль).
В основе данного способа лежит получение идентификационных данных жертвы, используя фальшивый сайт (далее – фишерный сайт), который является точной копией настоящего.
Практически можно выделить два вида атак для получения желаемой информации:
Массовая атака пользователей используется для получения наибольшего количества идентификационных данных, с целью похищения денежных средств, аккаунтов или сбора информации большого объема о банковской сети.
Целенаправленная атака конкретного пользователя - с целью получения наибольшего объема бизнес и финансовой информации о конкретном физическом или юридическом лице.
Алгоритм действий в обоих случаях одинаков:
- Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
- Сбор информации о клиентах данной системы, или о конкретном клиенте.
- Создание и размещение в сети фишерного сайта.
- Направление клиентов реальной онлайн системы на фишерный сайт.
Далее рассмотрим практически этот алгоритм.
Выбор и изучение электронной платежной, почтовой или онлайн банковской системы.
Выбор объекта зависит от опыта, технического обеспечения и конкретной цели лица, занимающегося фишингом. Изучение интересующей системы начинается с посещения сайта и изучения составляющих компонентов сайта. Особое внимание фишер обращает на раздел сайта “Вход в личный раздел клиентов системы “, а также условиям использования данной электронной системы, разделу технической поддержки, разделу безопасности, разделам новостей и информации, э-майл адресам служб интересующей системы. Также не исключается возможность регистрации фишером своего личного раздела в интересующей онлайн системе, что дает ему дополнительную информацию для более качественной деятельности.
Опытный фишер будет использовать полученную информацию для создания впечатления наибольшей реальности происходящего у потенциальной жертвы во время направления таковой на фишерный сайт.
Сбор информации о клиентах или конкретном клиенте данной системы.
Способ сбора информации зависит от того какая из атак будет проводиться и клиенты какой из онлайн систем будет атакованы.
В основу данной операции лежит сбор э-майл адресов потенциальных жертв – клиентов онлайн системы, на которые в последствие отправляется информационное сообщение или письмо, якобы от имени администрации реального сайта или онлайн системы, с целью направить жертву на фишерный сайт.
Как правило, массовая атака пользователей проводиться на клиентов электронной почтовой или платежной системы и для сбора э-майл адресов используется мощные ботнеты (программа – робот, собирающий э-майл адреса для спам листов) или мене мощные программы для сбора спам листов, таких как Advanced Email Extractor, Сбор e-mail 0.1, BBSRobot, Advanced Direct Remailer, Dynamic Mail Pro 3.0.83, Email Spider 9.0, Robospam, E-Mail Addresses Extractor, E-MAILS HUNTER, NetTools, часть из данных программ имеет функция сбора э-майл адресов по заданному алгоритму – может собирать э-майл адреса одной определенной почтовой системы и, как правило, той же самой электронной платежной системы, так как логин является одним и темже как на почтовую, так и на платежную систему. Примером служит Яндекс и @MAIL.RU, надо отметить, что @MAIL.RU обслуживает также почтовую систему @inbox.ru, @bk.ru, @list.ru.
Способ сбора информации при целенаправленной атаке отличается тем, что собирается информация о конкретной электронной платежной системе (на пример WebMoney, Egold ), системе онлайн управления банковским счетом и о конкретном физическом или юридическом лице.
Главная отличие данного сбора информации заключается в том, что по окончанию сбора информации в пользование фишера попадает не только информация об адресе э-майла потенциальной жертвы, но и реквизиты банковских счетов (№ расчетного и корреспондентского счета, адреса банка или его филиала, личные данные владельца счета), а также реквизиты счетов электронных платежных систем, что дает ему возможность подготовить более качественное и достоверное информационное письмо потенциальной жертве и фишерный сайт.
В данном случае для сбора информации используется Программы поиска информации в интернете, такие как Internet EZ Search, Genius!, Quintura Search, Surf Pilot, aSearch.INFO, Hotkey Search Tool, LENIN INC Search Machine, SpeedySearch, или Системы поиска в интернете, такие как Яндекс, Рамблер, Google и другие.
При правильно заданном запросе поисковая система может выдать несколько сот тысяч ссылок на реквизиты банковских счетов частных лиц и организации. При запросе “Реквизиты нашего расчетного счета ” система Яндекс выдает около 400000 ссылок страниц на банковских пользователей с интересующей фишера информацией, система “Google” – около 250000 ссылок. На запрос “Реквизиты нашего расчетного счета Альфа – банк ” - около 15000 ссылок
Создание и размещение в сети фишерного сайта.
Для получения идентификационной информации жертвы создается фальшивая страница входа в систему, которая идентична реальной странице на сайте онлайн системы, и серверная часть скрипта для обработки данных, введенных жертвой.
Техническая сторона создания фишерного сайта не занимает много времени, так как копируется уже готовая страница оригинального сайта (копирование может производиться, используя функцию копирования веб-браузера или программу копирования веб-сайтов, таких как Teleport Pro, WebCopier, HTTrack, WebZip и других) и используя HTML редактор (Macromedia Dreamweawer, 1stPage2000, WebCoder, WYSIWYG Web Builder и других) создается страницы фишерного сайта.
Опытные фишеры создает дополнительно еще одну или несколько страниц сайта, для сведения до минимума возникновения подозрений у жертвы, что он направлен на фишерный сайт. Информационное содержание данных страниц может быть очень разнообразным, однако есть некоторые основные составные страницы фишерного сайта:
- Специально, в соответствие с разосланным информационным письмом, подготовленная
станица, на которую жертва перенаправляется после того, как он вел идентификационную
информацию.
- Копия Главной страницы оригинального сайта.
- Страницы с сообщением о сбое работы сервера, на которую перенаправляется жертва, если
она старается перейти по другим силкам на странице фишерного сайта.
На таком фишерном сайте не устанавливается ссылки, которые перенаправляет жертву на реальные страницы оригинального сайта, так как система учета посетителей фиксирует переход со страниц других сайтов и возникает угроза установления наличие фишерного сайта.
Неопытные фишеры, как правило, создает одну страницу сайта, на которой жертва должна ввести идентификационной данные (Яндекс, Альфа – банк ), или дополнительно еще одну страницу, где сообщает жертве, что неправильно указан логин или пароль, или данная услуга временно не доступна и просит Вас обратится еще раз через некоторое время.
Закономерность такова – чем опытнее и профессиональнее сам фишер, тем правдоподобнее выглядит фишерный сайт.
Фишерный сайт в сети размешает, используя два способа:
Сервер бесплатного хостинга : зона доменов “ru” - HUT.RU, Holm.Ru, Jino-net.ru, AYOLA.net, Fatal.ru, HOSTLAND и другие; другие зоны доменов – ho (ua, org ), AYOLA.net (com, net, biz ), Bravanet (com ), 007 Sites (com ), 110MB HOSTIHG (com) и другие.
Использование своего HTTP сервера: Apache, Small HTTP server, Sambar Server, KF WEB Server и других, который установлен на компьютере фишера или на компьютере – зомби ( специально для таких целей взломанном компьютере ).
Направление клиентов реальной онлайн системы на фишерный сайт.
Потенциальная жертва направляется на фишерный сайт с помощью отправки на его э-майл специального информационного письма.
Для массовой атаки потенциальных жертв используется программы “э-майл спамеры”: Advanced Direct Remailer, mcspammer, Rich Mailer, Easy Mass Mailer, HNC E-Mail Spamer, Advanced Mass Sender и другие.
Для целенаправленной атаки потенциальной жертвы используется как выше упомянутые программы “э-майл спамеры” так и программы отправки анонимной почты: Crazy Mail Quinto, Megasoft Crazy Mail, MailTO, AniMail, Advanced Direct Remailer, Mix2Minion, 123 Hidden Sender, AnonyMail, Smtp Client, DirectMailer, Anonym Mailer и другие, или сервера анонимной почти.
Надо отметить, что используя программы отправки анонимной почти, фишер имеет возможность подмены э-майла адреса отправителя, то есть, имеет возможность указать любой другой реально существующий или несуществующий э-майл адрес. Здесь используется полученная информация о возможности связаться со службами онлайн системы, то есть реальные э-майл адреса онлайн системы.
Текстовое содержание информационного письма разрабатывается в зависимости от атакуемой “онлайн” системы и содержания фишерного сайта.
Наиболее простим информационным письмом, на данный момент, является информационное сообщение о подтверждение логина и пароля:
-------------------------------------------------------------------------------
Уважаемый пользователь, почтовой службы “Яndex”!
В связи с хакерской атакой на почтовой сервер “Яndex” и восстановлением клиентских аккаунтов, просим Вас пройти на сайт “Яndex” и подтвердить Ваш аккаунт
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные
неудобства.
С уважением, Служба поддержки “Яndex”.
Почтовый ящик Яndex без спама и вирусов.
---------------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
В связи с хакерской атакой на сервер “Интернет-банк Альфа-Клик” и восстановлением клиентских аккаунтов, просим Вас пройти на сервер “Интернет-банк Альфа-Клик” и подтвердить Ваш аккаунт или обратиться в Ваше отделение Альфа-банк.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Приносим извинения за предоставленные неудобства.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Другие интернет-проекты Альфа-Банка.
--------------------------------------------------------------------------------
Как правило, информационное письмо такого содержания мало эффективны, так как они используется давно и большинство пользователей “онлайн” систем знает, что это является интернет – мошенничеством
Более правдоподобная информационное письмо, которая не вызывает подозрение у потенциальной жертвы, может быть составлена подобным образом:
-----------------------------------------------------------------------------
Здравствуйте, Пользователь!
Вам открытка.
Отправитель открытки: ХХХХ <хххх@хххх.ru>
Чтобы стать первооткрывателем этой открытки, нажмите на ссылку.
Пожалуйста, не отвечайте на это письмо.
Чтобы направить открытку в ответ, выберите открытку на сайте Яндекс.Открытки или нарисуйте с помощью Яндекс.Красок
Яндекс.Открытки. Открыть перед праздником.
Hi, Polzovatel, you've just received a postcard.
To view the postcard click this link.
Please do not answer this e-mail.
Yandex.Postcards. Pre-holidays Postcards.
--------------------------------------------------------------------------
Уважаемый пользователь, системы “Интернет-банк Альфа-Клик”!
Руководство банка “Альфа-банк” объявляет лотерею для клиентов “Интернет-банк Альфа-Клик”.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя на “Интернет-банк Альфа-Клик” или в Вашем отделение “Альфа-банк”.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
С уважением, Служба поддержки “онлайн” системы “Интернет-банк Альфа-Клик”.
Интернет-банк «Альфа-Клик» — это простота и быстрота подключения к системе, отсутствие необходимости установки специального программного обеспечения.
Главный офис
107078, Москва, ул. Каланчевская, 27
XML:NAMESPACE PREFIX = SKYPE (+7 495) 620-91-91 (+7 495)620-91-91
(+7 495) 797-31-60 (+7 495) 797-31-60
(+7 495) 974-25-15 (+7 495) 974-25-15
--------------------------------------------------------------------------
Уважаемый пользователь, платежной системы “Яндекс.Денги”!
Руководство платежной системы “Яндекс.Денги” объявляет лотерею для своих клиентов.
Ознакомится с условиями участия в лотерее, и подтвердить свое участие в лотерее Вы можете, перейдя по ссылке.
Письмо отправлена роботом почтовой рассылки. Пожалуйста, не отвечайте на это письмо.
Скидки в этом месяце. Подробнее...
Почтовый ящик Яndex без спама и вирусов.
--------------------------------------------------------------------------
Содержание информационного письма может бить очень разнообразным и рассмотрение всех вариантов просто не возможна. Ознакомится с множеством видов информационных писем и фишерных сайтов можно на сайте Anti-Phishing Working Group.
Зашита от фишинговых атак и принципы безопасности при использование “онлайн” систем.
Рассмотрим основные принципы безопасности использования “онлайн” систем и зашиты от фишинговых атак.
Основное, что надо запомнить пользователям “онлайн” систем:
- Служба поддержки “онлайн” системы не отправляет информационные письма с требованием вода или подтверждения идентификационных данных.
- При получение такого письма переход на данную “онлайн” систему производится, используя только командную строку веб – браузера. Не копировать и не вводить ссылку, указанную в информационном письме, в командную строку веб – браузера.
- Не вводить требуемые идентификационные данные, если указанная ссылка выводит на страницу ввода идентификационных данных “онлайн” системы.
- Не указывать на страницах сайта э-майл адреса для связи. Использовать скрипты форм обратной связи.
- Не указывать реквизиты платежных “онлайн” систем или реквизиты банковских счетов на страницах сайта.
- Использование скриптов запрещающих копирование страниц веб – сайта. Надо отметить, что почти все “онлайн” системы грешит по поводу зашиты информации в данном случае.
Признаки, которые может указывать на возможную фишинговую атаку:
Э-майл адрес получателя. При получение такого информационного письма необходимо обратить внимание на что, какой э-майл адрес указан в разделе “Кому”. Если в данном разделе указан другой э-майл адрес, а не получателя, письмо отправлено программой “э-майл спамером”. Также в данном разделе может быть указаны несколько э-майл адреса, что свидетельствует об “спамерской” отправке.
Э-майл адрес отправителя. Большого значения не имеет, тат как существует возможность подмены э-майл адреса, при отправке информационного письма программой анонимной почти.
Дата: 10.05.07 22:03
От кого: Яндекс.Открытки <xxx@yandex.ru> - адрес отправителя
Кому: Ваш адрес@yandex.ru – адрес получателя
Тема: Вам Открытка от пользователя XXXX!
IP адрес отправителя. Установить IP адрес отправителя можно открыв опцию “Свойства письма”, где всегда указывается оригинальный адрес IP адрес отправителя. “Свойства письма” в почтовой системе Яндекс
Received: from mxfront6.yandex.ru ([213.180.XXX.XXX]:61840 "EHLO - IP почтового сервера.
mxfront6.yandex.ru" smtp-auth: <none> TLS-CIPHER: <none> TLS-PEER-CN1:
<none>) by mail.yandex.ru with ESMTP id S2965911AbYERLI6 (ORCPT
<rfc822;kjhgfdsgjh%yandex.ru@mxc10.yandex.ru>);
Sun, 18 May 2008 15:08:58 +0400
Received: from [61.106.66.XXX] ([61.106.66.XXX]:44804 - IP отправителя "HELO 213.180.XXX.XXX"
smtp-auth: <none> TLS-CIPHER: <none> TLS-PEER-CN1: <none>)
by mail.yandex.ru with SMTP id S40413AbYERLIw (ORCPT
Проверить, кому принадлежит IP адрес отправителя можно используя службу “WHOIS”.Если IP адрес отправителя соответствует IP адресу “Яндекс” или “Альфа-банк” получаем следующий ответ:
Яндекс
inetnum XXX.XXX.XXX.XXX – XXX.XXX.XXX.XXX
netname YANDEX-XXX-X
descr Yandex enterprise network
country RU
admin-c YNDX1-RIPE
tech-c YNDX1-RIPE
remarks INFRA-AW
status ASSIGNED PA
mnt-by YANDEX-MNT
source RIPE # Filtered
Альфа-банк
inetnum XXX.XXX.XXX.XXX - XXX.XXX.XXX.XXX
netname ALFA-BANK
descr Alfa-Bank Moscow Russia
country RU
admin-c LSS2-RIPE
tech-c DV672-RIPE
tech-c SP6271-RIPE
status ASSIGNED PA
mnt-by ALFABANK-MNT
source RIPE # Filtered
Если IP адрес отправителя в письме не соответствует с IP адресом в службе “WHOIS”, это указывает на фишинговую атаку, несмотря даже на то, что указан реально существующий э-майл адрес Службы поддержки “онлайн” системы.
Таким же образом можно проверить IP адрес сайта или домена, на котором он находиться.
Есть также возможность проверить историю сайта, на который нас направляет ссылка информационного письма, то – есть с помощью сайта “Internet Archive” проверяем когда был размешен интересующий сайт и сколько интернет – страниц. Для этого копируем веб адрес сайта с командной строки интернет – браузера и вводим в поисковую строку “Internet Archive Wayback Machine”. Если поисковая система не находит данные на проверяемый веб адрес – это обозначает, что сайт – фишинговый.