При подготовке к программе Первого канала главной темой для экспертов HeadLight Security стал фишинг: вид интернет-мошенничества, при котором атакующий заманивает пользователя на подконтрольный ему ресурс и заставляет поверить в его подлинность. Цель преступника проста — получить логины, пароли, карточные данные и другую конфиденциальную информацию, а в иных сценариях — заразить компьютер доверчивого пользователя вредоносным ПО. В самых простых случаях к фишингу можно отнести страницы «проверки безопасности банковских карт«, где пользователю открыто предлагают ввести все данные карты вместе с трехзначным кодом CVV, или такие сайты публичного сбора подписей вместе с персональными данными.

Фишинг не только хорошо автоматизируется, но и имеет явную российскую специфику: по статистике «Лаборатории Касперского», на жителей России пришлась почти каждая пятая фишинговая атака в мире (17,28%), что делает нас лидерами в этом невесёлом «сегменте». Согласно тому же исследованию ЛК, сегодня только 12% фишинговых ссылок приходится на электронную почту, в остальных случаях мошенники используют социальные сети, веб-приложения, Skype и т.п. В последние годы среди злоумышленников приобретает популярность голосовая разновидность фишинга — вишинг. Один из типичных примеров такой схемы атаки: мошенник запускает массовую SMS-рассылку с сообщением о блокировке банковской карты и ждет звонка от взволнованных клиентов банка. В некоторых сценариях жертву убеждают, что для разблокировки карты необходимо найти банкомат и ввести четырехзначный пинкод в меню «платежи и переводы». Пинкод при этом вводится в поле «Сумма».

Одна из распространённых разновидностей фишинга заключается в создании сайта-подделки, имитирующего страницу интернет-банка, почтового сервиса, социальной сети и других популярных ресурсов, на которых вводят чувствительные данные. При этом информация о безопасности соединения не всегда помогает пользователю. Широкую известность получил оригинальный метод для проведения социальной инженерии. Вредоносный фишинговый сайт переключает браузер в полноэкранный режим и рисует в верхней части сайта интерфейс браузера пользователя с произвольным URL вместе со значком защищенного соединения (http://feross.org/html5-fullscreen-api-attack/). К слову, данный вид фишинга по-прежнему остается популярным.

Чтобы продемонстрировать схему атаки с клонированием сайта, исследователи HeadLight Security зарегистрировали двойника популярной социальной сети «Одноклассники.ru» по адресу m.odnoklassnliki.ru. От настоящей мобильной версии сайта подделка отличалась лишней буквой «s», а копия сайта была создана за пару минут с использованием Social-Engineer Toolkit (SET) — набора инструментов, предназначенного для проведения устойчивости к атакам социальной инженерии. Сильное впечатление, произведенное на съемочную группу в ходе создание фишинг-сайта, — имело обратный эффект — продюсер программы решил не показывать сюжет во избежание популяризации социальной сети 🙂

Интересно, что наш поддельный сайт не был зарегистрирован в поисковых системах, однако привлек внимание со стороны систем мониторинга сетевого пространства. О результатах наблюдения мы расскажем в отдельном материале.