Cтоит учесть, что наиболее развитой формой мошенничества в Сети, несомненно, является фишинг. Об этом уже было немало написано (см. статью «Фишинг, вишинг, фарминг...», «Мир ПК», №12/06, с. 82). Согласно отчету  APWG (Anti-Phishing Work Group), во втором полугодии 2010 г. было зарегистрировано 67 677 фишинговых атак. Это почти на треть больше, чем в первом полугодии 2010 г.

Чем успешнее становится защита от атак на те или иные уязвимости, тем чаще злоумышленники понимают, что самое слабое звено в обороне -- человек. Теоретически помочь невнимательному и беззаботному пользователю могут антифишинговые технологии, применяемые в современных браузерах, так как фактически первой линией обороны в данном случае выступает сам браузер. Именно такие технологии и будут рассмотрены в данной статье.

Антифишинговая защита в Opera
В этом браузере для защиты от фишинга используется функция «Защита от мошенничества» (Fraud and Malware Protection), включеннная по умолчанию. В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал (https): передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft (www.netcraft.com) и PhishTank (www.phishtank.com), а также в списках сайтов с вредоносным ПО, которые ведет «Яндекс».
Если доменное имя совпадет с именем из черного списка, сервер Fraud and Malware Protection возвратит браузеру XML-документ, в котором будет описана проблема (фишинг или вредоносное ПО).
При этом необходимо учесть:
- Opera Fraud and Malware Protection server не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию. Никакая сессионная информация, включая cookies, не сохраняется;
- в любое время можно отключить функцию «Защита от мошенничества» в меню «Настройки - Расширенные (Crtl-F12) - Безопасность».


 Антифишинговый фильтр в Opera

Если веб-сайт найден в черном списке, в браузере откроется страница с предупреждением. Пользователю придется решить, посещать эту подозрительную страницу или вернуться на свою домашнюю. Механизм защиты от мошенничества не оказывает никакого воздействия на скорость открытия веб-страниц.


Предупреждение о мошенничечтве в Opera

 

Защита от фишинга и вредоносного ПО в Google Chrome
Функция безопасного просмотра Google Chrome, отвечающая за обнаружение фишинга и вредоносного ПО, включена по умолчанию. При попытке посещения сайта, подозреваемого в фишинге или распространении вредоносного ПО, браузер показывает предупреждение.


Предупреждение о фишинговом сайте в Google Chrome

Принцип ее работы состоит в следующем. В браузер загружается список с информацией о сайтах, которые могут содержать вредоносное ПО или подозреваются в фишинге. Этот список не содержит полные адреса URL каждого подозрительного сайта. Вместо этого каждый URL хэшируется (изменяется таким образом, что его нельзя прочесть) и разделяется на фрагменты. Только часть каждого хэшируемого URL включается в список в браузере.
При работе в Интернете браузер создает хэшированные версии посещаемых URL и проверяет их в соответствии со списком. Если адрес посещаемого сайта соответствует хэшированному фрагменту URL в списке, браузер свяжется с серверами Google и запросит полный список (а не только фрагменты) хэшированных URL подозрительных страниц. Затем компьютер определит, является ли сайт подозрительным, и выведет соответствующее предупреждение.
Отключить эту функцию можно в меню «Параметры – Расширенные – Конфиденциальность». Для этого достаточно  снять флажок «Включить защиту от фишинга и вредоносного ПО».

Защита от фишинга в Firefox
Технология Phishing and Malware Protection проверяет по базе фишинговых и вредоносных сайтов страницы, на которые собирается перейти пользователь. База хранится на компьютере пользователя и обновляется каждые 30 мин, если, конечно, включен сам фильтр Phishing and Malware Protection. А если обнаружено совпадение адреса со списком фишинговых сайтов или сайтов, содержащих вредоносное ПО, Firefox обращается к серверам компаний-партнеров, предоставляющих такие черные списки, и перед блокировкой страницы еще раз перепроверяет, не был ли удален сайт из базы после последнего ее обновления.

Фильтр Phishing and Malware Protection включен по умолчанию.


Предупреждение Firefox о переходе на сайт, cодержащий вредоносное ПО

 

Защита от фишинга и вредоносного ПО в Safari
По умолчанию модуль защиты от фишинга в этом браузере включен. Для поиска фишинговых сайтов он использует технологии Google.
Как только пользователь пытается открыть подозрительную страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносного ПО. При наличии совпадения пользователь должен увидеть страницу с предупреждением.

Предупреждение о переходе на сайт, содержащий вредоносное ПО,
в браузере Safari

 

Фильтр SmartScreen в Internet Explorer 9
Начиная с Internet Explorer 8 в состав IE входит фильтр SmartScreen -- набор технологий, предназначенный для защиты пользователей от возможных интернет-угроз, в том числе угроз социальной инженерии. Базируется SmartScreen на технологии фишингового фильтра и предназначен для защиты пользователей от известных вредоносных веб-узлов. Кроме того, данный фильтр включает защиту от ClickJacking, технологии, применяемой для перехвата клавиш, искажения веб-страниц и т.д. По умолчанию он включен.
Фильтр SmartScreen в Internet Explorer 9  использует сразу несколько технологий. В первую очередь происходит сравнение адреса посещаемого сайта со списком известных мошеннических и вредоносных  сайтов. Если сайт найден в этом списке, больше проверок не производится. В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов. Причем доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц. Однако обращение к данной службе пользователь может запретить.
Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список не подвергаются проверке фильтром SmartScreen. 
Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URS могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

Предупреждение, выдаваемое фильтром SmartScreen в IE9 при попытке
зайти на небезопасный сайт


 

Результаты тестирования работы антифишинговых фильтров в браузерах
В октябре 2010 г. компания NSS Labs провела тестирование работы антифишинговых фильтров  в браузерах:
• Apple® Safari® 5
• Google Chrome™ 6
• Windows® Internet Explorer® 8
• Windows® Internet Explorer® 9
• Mozilla® Firefox® 3.6
• Opera™ 10
Результаты тестирования приведены в табл. 1.

Более подробный отчет доступен по адресу www.nsslabs.com/assets/noreg-reports/NSS%20Labs_Q32010_Browser-SEM.pdf (на английском языке).
Однако с момента создания данного отчета прошло уже полгода, у некоторых продуктов появились новые версии. Что же изменилось?
Чтобы ответить на этот вопрос, мы протестировали возможности самых свежих версий браузеров (табл.2). Для этого была отобрана небольшая коллекция из 23 фишинговых сайтов. Ссылки были предоставлены сотрудниками одной из российских антивирусных лабораторий.
Для проведения теста была создана html-страница, на которой находились ссылки на все 23 фишинговых сайта. Для того чтобы убедиться в том, что ссылки «живые», предварительно каждая из них была открыта с выключенным фишинговым фильтром.
Затем каждая из ссылок открывалась по очереди в браузерах. Если соответствующий сайт открывался, значит, фишинговый фильтр пропустил ссылку.

Данные результаты ни в коем случае нельзя считать исчерпывающими из-за малой выборки фишинговых сайтов, однако вместе с тем стоит отметить, что IE 9, безусловно, сохраняет лидерство. Более того, ни один из браузеров, участвующих в тесте, не сумел существенно улучшить свои результаты по сравнению с полугодом ранее.

Тестирование попыток загрузки вредоносного ПО
Для данного тестирования использовалась коллекция из 24 ссылок на вредоносное ПО (табл.3).
Ссылки на вредоносное ПО брались из коллекции сайта http://malware.pl за 12 мая 2011 г. Были выбраны первые 24 «живые» ссылки из списка.

Таким образом, можно сделать вывод о том, что ни один из браузеров пока не в состоянии обеспечить полную защиту от атак социальной инженерии и, в частности, от фишинга, а также от загрузки вредоносного ПО из Интернета. Хотя Internet Explorer и справляется с данной задачей гораздо лучше прочих, все же не следует слепо доверять браузеру -- пользователям самим стоит быть внимательнее при работе в Сети.