Служба новостей IDG, Сан-Франциско

SANS Institute рекомендует «испытать фишингом» пользователей сетей

Специалистам по компьютерной безопасности, рассматривающим возможность ограничения функциональных возможностей пользователей своих сетей, аналитики SANS Institute дают весьма спорный совет: испытайте людей фишингом (англ. phishing, род Internet-мошенничества, цель которого состоит в получении конфиденциальных данных пользователей, от password — «пароль» и fishing — «рыбная ловля». — Прим. перев.).

Примерно то же самое в 2004 году проделали в американской военной академии в Вест-Пойнте с 512 курсантами, выбранными наугад для проведения тестирования под кодовым наименованием Carronade.

Курсанты получили поддельное электронное письмо от несуществующего полковника по имени Роберт Мелвилл, связанного якобы с командованием академии (реальный Роберт Мелвилл принимал участие в создании морской пушки ближнего радиуса действия Carronade, и было это почти 250 лет тому назад).

«С вашей последней академической справкой об успеваемости возникли определенные сложности», — писал Мелвилл, а затем просил курсантов перейти на указанную в письме Web-страницу и «следовать инструкциям для подтверждения правильности имеющейся у нас информации». В отчете о проведенном эксперименте сказано, что более 80% курсантов перешли на предлагаемую ссылку — несмотря на долгие часы инструктажей по компьютерной безопасности.

Инициаторы атак такого «инспекционного» фишинга часто действуют подобным образом для того, чтобы все выглядело правдоподобнее. Но цель при этом преследуется та же самая, что и при обычном фишинге: заставить пользователя сделать что-то, чего ему делать не следует, скажем, предоставить какую-то важную информацию.

«Поскольку подобные атаки предполагают содействие со стороны потенциальных жертв, предотвратить их крайне сложно, — считает научный директор SANS Institute Алан Паллер. — Единственная защита от фишинга заключается в периодическом проведении испытаний на устойчивость сотрудников компаний к атакам подобного рода».

SANS Institute ежегодно представляет отчет о состоянии Internet-безопасности и направленности проводимых атак. В нынешнем году «человеческий фактор» попал в список, который обычно состоял исключительно из программ наподобие Internet Explorer, баз данных и приложений совместного обращения к файлам.

Человеческие слабости все чаще используются для достижения своих целей киберпреступниками. Долгое время главным объектом атак оставалась операционная система Windows, хотя в последние несколько лет гиганту отрасли программного обеспечения удалось заметно укрепить свои средства безопасности.

Впрочем, все это не останавливает атакующих. В 2006 году очередная волна атак обрушилась на уязвимости в новых категориях программ — на офисные приложения, медиа-плейеры, программное обеспечение резервного копирования и серверы VoIP.

«Мы надеялись, что после принятия Microsoft необходимых мер эта проблема станет менее острой, — отметил Паллер, — но забыли о том, что и все прочие разработчики при проектировании своих приложений уделяют вопросам безопасности так же мало внимания, как и Microsoft несколько лет тому назад».

Изменения, внесенные в операционную систему Windows, остановили широкомасштабное распространение червей, но пользователи Сети сегодня по-прежнему остаются такими же незащищенными, как и во времена Sasser и Slammer.

«Уровень безопасности среднего пользователя упал, — подчеркнул Паллер. — И дело здесь не в том, что производители работают хуже: просто число злоумышленников в мире заметно возросло».

Отчет «20 самых уязвимых мест систем безопасности Internet в 2006 году» (The 2006 Top 20 Internet Security Vulnerabilities) был представлен в середине ноября при участии Национального координирующего центра инфраструктуры безопасности Великобритании.


Фишинг на высшем уровне

В ноябре специалисты по безопасности выявили небывалый случай фишинга: для заманивания жертв мошенники воспользовались серверами, один из которых принадлежал вполне легитимной компании, другой… правительству Малайзии.

Мошенники рассылали сообщения якобы от имени администрации платежного сервиса PayPal. Как это часто бывает в таких случаях, в письме говорилось о необходимости обновить информацию об учетной записи пользователя в системе. Необычным же был тот факт, что ссылка из сообщения вела на фальшивый сайт PayPal, размещенный на серверах в домене малайзийского правительства gov.my. Детальная проверка установила, что сообщения еще и отправлялись с источника, вроде бы заслуживающего доверия. Обычно это делается с применением компьютеров-«зомби», однако в данном случае почтовый сервер, выполнявший пересылку спама и заметание следов отправителя, принадлежал фирме Rxdocuments.com, оказывающей медицинским компаниям услуги расшифровки аудиозаписей.