Фишинг - это подделка интерфейса веб-сайтов, email с целью выдать поддельный веб-сайт или письмо за оригинал (к примеру сайта платежной системы, банка или письма от банка) и выудить из жертвы необходимую информацию, например, пароли к каким либо системам или номера кредитных карт.

Количество пострадавших от фишинговых атак уже исчисляется десятками миллионов пользователей Интернет. А если вы занимаетесь заработком или работой в Интернете, то наверняка сталкивались с этой проблемой неоднократно.

Огромное количество пользователей получает письма, с сообщениями о выигрышах. Здесь надо особо отметить письма MSN.Transfer.Service с заголовком YOU RECEIVED $200 и повторяющиеся уже более полугода YOU WON $300! Please get your money!, маскирующиеся под лотереи от Yahoo! Кроме это мне запомнились письма с предложением вложить деньги в инвестиционный фонд от Google и полученное наследство от богатого африканского родственника.

Их принцип работы крайне прост – вам сообщается о получении выигрыша для MSN.Transfer.Service он составляет всего лишь $200, в случае с Yahoo целых $300. В любом случае под разными предлогами, например, проверить вашу лояльность или для оплаты накладных расходов, вам будет предложено заплатить маленькую сумму комиссии (или вступительный взнос), как правило, он не превышает $10 (в случае с MSN Online Transfer $8.5). Для вашего удобства деньги возьмут почти в любой мыслимой платежной системе. Выигрыша конечно ждать бесполезно – вы нечего не получите. Рассмотрим примеры таких писем.

Письмо от MSN.Transfer.Service <MSN.Transfer.Service@msn.com> с темой YOU RECEIVED $200 выглядит следующим образом:

MSN.com - Saturday January 7 2006
-----------------------------------------------------------
You received this e-mail because someone sent you $200 through MSN Online
Transfer Service. To pick up your money, please click here:
http://www.msn.com/?page=transfer&action=show&id=381029831728391

Sincerely,
The MSN.com staff

При этом истинная ссылка, по которой происходит переход выглядит совершенно другим образом:

http://www.msn.com|&page=transfer&action=show&id=193182319283 @id17283721.fx.to/?url1=http://www.msn.com/&page=transfer&action=show&id=381029831728391

Весьма интересная конструкция, при переходе по этой ссылке мы оказываемся на сайте, который не имеет никакого отношения к MSN, но для непосвященного пользователя, даже строка в браузере выглядит очень похожей.

Подделка дизайна выполнена очень качественно – оформление, графика и все ссылки полностью копируют оригинальный дизайн и ведут на страницы правильных сервисов. Простой просмотр кода из браузера затруднителен из-за применения фреймов.

Браузер Opera 8.51 при переходе по такой ссылке выдает предупреждение

Security warning:
You are about to go to an address containing a username.
Username: www.msn.com:&page=transfer&action=show&id=193182319283%01
Server: id17283721.fx.to
Are you sure you want to go to this address?

Вот он истинный сайт, который маскируется под MSN. Перейдя по ссылке http://id17283721.fx.to - вы увидите, ту же самую форму для запроса денег.

Рассмотрим другой пример – письма «от Yahoo». Вот текст письма (без сохранения html форматирования):

You won $300! Yahoo! Lottery congratulates you!
CONGRATULATIONS!
YOU WON $300!
Yahoo! Lottery gives members random cash prizes. Today, your account is randomly selected as the one of 12 top winners accounts who will get cash prizes from us. Please click the link below and follow instructions on our web site. Your money will be paid directly to your e-gold, PayPal, StormPay or MoneyBookers account.

Click here to get your prize:
http://lottery.yahoo.com/lottery/prizes.php?sid=a3n92dj2d3&rd=us&id=23018392384378&uid=2e5a4h43u2r3u5y1c3&id=28403934224345345

Sincerely,
The Yahoo.com staff
Yahoo.com http://www.yahoo.com

You receive this e-mail because your e-mail service provider is registered as a Yahoo! Lottery affiliate or you are a member of the Yahoo! Partners network. Yahoo! Partners network includes over 12,000 Web sites, e.g. Online Experiences Web circle and CYGP group.

А вот ссылка по которой происходит реальный переход:

http://lottery.yahoo.com|lottery|prizes.php&sid=a3n92dj2d3&rd=us&id=23018392384378 @bnu.me.to/?url1=www.lottery.yahoo.com/lottery/prizes.php

И опять Opera 8.51 открывает нам правду:

Security warning:
You are about to go to an address containing a username.
Username: lottery.yahoo.com:lottery:prizes.php&sid=a3n92dj2d3&rd=us&id=23018392384378%01
Server: bnu.me.to
Are you sure you want to go to this address?

В данном случае мы имеем то же прием, выполненный с высоким качеством – реальный сайт - bnu.me.to

Примечание: На момент прочтения статьи – эти фишинговые адреса наверняка уже будут заблокированы, но не приходится сомневаться, что появится множество других.

Фишинг развивается и приобретает самые разные формы, в т.ч. он пришел в сферу «заработка в Интернет». Из последних случаев стоит отметить атаки на ведущих спонсоров Рунета – RusIP (в сентябре 2005) и NeoSAP (немного пораньше).

В этом случае применялась другая техника – в процессе серфинга показывалась страница, которая рушила фрейм серфинга, но при этом сайт, на который происходил переход, был близнецом сайта жертвы (RusIP, NeoSAP). Даже его адрес был очень похож на оригинальный. На этой странице сообщалось о прерывании серфинга по техническим причинам и для его возобновления просили ввести имя и пароль.

Защиты от такой атаки практически нет. До проверки администратором заказанной рекламы она ведет на благопристойный сайт, после показа в течении некоторого времени, содержимое этого сайта подменяется на фишинговое и начинается сбор паролей. Как правило, злоумышленники имеют несколько дней в течении которых могут снимать средства с взломанных аккаунтов.

Почему же фишинговые сайты вообще регистрируются на платных хостингах? Например, на серверах Yahoo размещается до 5 тысячи сайтов в доменных именах которых есть слова «банк», eBay, PayPal и т.п. Часть этих сайтов используется для фишинга. Проблема в том, что даже крупные интернет-провайдеры не готовят (или не успевают готовить) свой персонал должным образом к вопросам обеспечения безопасности. И с позиции закона, против владельцев таких доменов имен можно предпринять какие-либо действия только после подтверждения факта фишинговой атаки.

Что же делать спросите вы? Советы очень простые и эффективные:

1. Все пароли должны вводиться только со страниц адреса, которых в браузере набрали именно вы или же сам адрес должен иметь короткую и полностью понятную форму (например, в случае автоматического приема платежей, адрес нельзя ввести вручную).

2. Ни один проект (Yahoo, MSN, Google, E-Gold и т.п.) не шлет писем с просьбой подтвердить пароль или сообщить о себе личные данные. Внимательно прочтите их правила, ведь об этом специально предупреждают.

3. Никогда и никому не платите деньги за призы, бонусы и т.п.

4. Помните, что халявы не бывает. И прежде чем отсылать свои данные для получения призов (вознаграждений, наследства и т.п.), узнайте проходили ли такие акции.

Ну и напоследок посоветую просто почаще задумываться над тем, что вам предлагают сделать, т.к. формы мошенничества неисчерпаемы.