Антифишинговые фильтры в современных браузерах

Наиболее развитой формой мошенничества в Интернете, несомненно, является фишинг. Злоумышленники используют перехватчики клавиатуры, почтовые сообщения, составленные по всем правилам социальной инженерии, специально разработанные сайты и другие средства. Все более изобретательными становятся атакующие, все выше уровень их подготовленности. Об этом уже было сказано немало. Напомню, что фишинг (рhishing) — вид интернет-мошенничества, который заключается в рассылке электронных сообщений с целью кражи конфиденциальной информации (как правило, финансового характера). Фишинг-сообщения составляются таким образом, чтобы максимально походить на информационные письма от банковских структур или компаний с известными брендами. Письма содержат ссылку на заведомо ложный веб-ресурс, специально подготовленный злоумышленниками и являющийся копией сайта организации, от имени которой отправлено письмо. На данном фальшивом сайте пользователю предлагается ввести, например, номер своей кредитной карты и другую конфиденциальную информацию.

Статистика фишинговых атак

По данным отчета APWG (Anti-Phishing Work Group, http://www.antiphishing.org/reports/APWG_GlobalPhishingSurvey_2H2009.pdf) во второй половине 2009 года:

• совершено 126 697 фишинговых атак, что вдвое превышает показатели первого полугодия 2009 года (55 698 атак). Под фишинговой атакой имеется в виду использование фишингового сайта известной торговой марки;
• атакующие использовали 28 775 уникальных доменных имен. За первую половину 2009 года задействовано 30 131 уникальных доменных имен;
• в атаках использован 2 031 уникальный IP адрес (например, http://96.56.84.43/ClientHelp/ssl/index.htm) — это менее, чем 3 563 в первой половине 2008 года.

По данным антивирусных компаний, каждый день появляется от 15 тыс. до 50 тыс. новых вредоносных программы (или около миллиона каждый месяц) — тут исследователи ссылаются на Касперского. По данным Trend Micro, 53% вредных программ устанавливается через интернет-загрузку, 12% — из почты, 7% — эксплойты IFrame.

Как же защититься от фишинга? Возможно применение следующих мер.

1. Внимательность самого пользователя. Мера в принципе разумная, однако маловероятно, что все пользователи вдруг станут внимательными.
2. Фишинговые фильтры в специализированном антивирусном программном обеспечении.
3. Фишинговые фильтры в браузерах.

Именно о последнем пункте хотелось бы рассказать подробнее.

Антифишинговая защита в Opera

Если в Opera включена функция «Защита от мошенничества» (Fraud and Malware Protection) то вы в начале каждого сеанса с конкретным веб-сайтом проверяете адрес, используя шифрованный канал (https). Opera передает имя домена и адрес запрашиваемой страницы и проверяет его по черным спискам фишинговых ссылок, формируемым Netcraft (http://www.netcraft.com/) и PhishTank (http://www.phishtank.com/), а также по черным спискам сайтов с вредоносным ПО от Yandex.

Если доменное имя совпадет с именем из черного списка, Fraud and MalwareProtection server возвращает XML-документ браузеру, в котором будет описана проблема (фишинг или вредоносное программное обеспечение).

1. Функция «Защита от мошенничества» в Opera включена по умолчанию.
2. При посещении любой страницы любого веб-сайта имя посещаемой страницы с вычисленным хешем доменного имени передается по https на Opera Fraud and Malware Protection server. Локальные адреса не передаются.
3. Opera Fraud and Malware Protection server не сохраняет IP-адрес или любую другую позволяющую идентифицировать вас информацию. Никакая сессионная информация, включая куки, не сохраняется.
4. Вы можете в любое время отключить функцию «Защита от мошенничества» (экран 1). Меню — Настройки — Общие настройки (Crtl-F12) — Безопасность.

Если веб-сайт найден в черном списке, откроется окно с предупреждением; необходимо будет решить, посещать подозрительную страницу или вернуться на домашнюю. Механизм защиты от мошенничества не оказывает никакого воздействия на скорость открытия веб-страниц.

Защита от фишинга и вредоносных программ в Google Chrome

Данный фильтр включен в браузере Google Chrome по умолчанию. При попытке посещения сайта, подозреваемого в фишинге или распространении вредоносных программ, браузер показывает предупреждение: «Внимание: посещение этого сайта может нанести вред вашему компьютеру!». Данное сообщение отображается в том случае, если Google Chrome обнаружил, что сайт может содержать вредоносную программу, то есть код, целью которого является похищение вашей конфиденциальной информации или загрузка на компьютер небезопасного программного обеспечения.

Сообщение «Вероятно, это не тот сайт, который вы ищете!» отображается в том случае, если URL, указанный в сертификате, не совпадает с действительным адресом страницы. Это означает, что данный сайт может оказаться поддельным. При подключении к сайту, использующему протокол SSL для передачи данных, сервер, на котором размещен этот сайт, предоставляет Google Chrome и другим браузерам сертификат, подтверждающий подлинность сайта. Этот сертификат содержит, например, информацию об адресе веб-сайта, подтвержденную независимой организацией. Проверка соответствия фактического и указанного в сертификате адресов веб-сайта позволяет подтвердить подлинность сайта. Возможные причины появления предупреждения следующие.

• Данные, передаваемые на сервер, перехватываются сторонними лицами, предоставляющими сертификат другому веб-сайту. Это может оказаться причиной несоответствия.
• Настройки сервера могут допускать предоставление одного и того же сертификата нескольким связанным веб-сайтам, включая тот, который вы хотите посетить. При этом для некоторых веб-сайтов такой сертификат может быть недействительным. Например, в сертификате может быть указан адрес http://www.cucumbers.com, однако мы не можем проверить, что это тот же веб-сайт, что и http://cucumbers.com.

Если вы абсолютно уверены в надежности сайта, можете открыть его, нажав «Все равно продолжить». В остальных случаях рекомендуется нажать «Лучше не рисковать», чтобы вернуться на последнюю посещенную страницу.

Проблемы с отображением страниц (Windows): «Сертификат безопасности сайта не является доверенным!» Сертификаты могут издаваться кем угодно, поэтому Google Chrome проверяет, надежной ли организацией он выпущен. Это сообщение указывает на то, что издатель сертификата не является какой-либо известной независимой организацией.

Это предупреждение появляется в Google Chrome, если сертификат сайта не подписан признанной независимой организацией. При подключении к веб-сайту, использующему протокол SSL для передачи данных, сервер, на котором размещен этот сайт, предоставляет Google Chrome и другим браузерам сертификат, подтверждающий подлинность сайта. Данный сертификат содержит, например, информацию об адресе веб-сайта, подтвержденную независимой организацией, которая на вашем компьютере указана как заслуживающая доверия. Проверка соответствия фактического и указанного в сертификате адресов сайта позволяет подтвердить подлинность открываемого ресурса. Причина появления предупреждения: независимая организация, выпустившая сертификат просматриваемого веб-сайта, не является доверенной организацией для вашего компьютера. Создать сертификат, свидетельствующий о принадлежности какому-либо сайту, может кто угодно. Чтобы в Chrome выполнялась проверка подключения к соответствующему веб-сайту, его сертификат должен быть выпущен доверенной организацией.

Если вы абсолютно уверены в надежности сайта, можете открыть его, нажав кнопку «Все равно продолжить». В остальных случаях рекомендуется нажать «Лучше не рисковать», чтобы вернуться на последнюю посещенную веб-страницу.

«Срок действия сертификата безопасности сайта истек!» или «Сертификат безопасности еще не действителен!». Если вы видите одно из этих сообщений, значит, сертификат в настоящий момент недействителен. Поэтому Google Chrome не может гарантировать безопасность данного сайта.

«Сертификат безопасности сервера отозван!». Независимая организация, выпустившая сертификат, отметила его как недействительный. Поэтому Google Chrome не может гарантировать безопасность данного сайта.

Отключение защиты от фишинга и вредоносных программ осуществляется следующим образом. Нажмите на значок гаечного ключа на панели инструментов браузера (экран 2). Пользователям Mac: если значок гаечного ключа не отображается, перейдите в панель меню вверху экрана и нажмите Chrome. Выберите «Параметры» (или «Настройки на Mac»). Перейдите на вкладку «Расширенные» и найдите раздел «Конфиденциальность». Снимите флажок «Включить защиту от фишинга и вредоносного ПО» (экран 3). Если используется операционная система Windows или Linux, нажмите «Закрыть» после завершения настройки.

Функция безопасного просмотра, отвечающая за обнаружение в Google Chrome фишинга и вредоносного программного обеспечения, предназначена для защиты компьютера и конфиденциальности пользователя. При этом в целях экономии пропускной способности дополнительно на компьютер и с компьютера передаются небольшие объемы данных. При включении этой функции в браузер загружается список с информацией о сайтах, которые могут содержать вредоносные программы или подозреваются в фишинге. Этот список не содержит полные адреса URL каждого подозрительного сайта. Вместо этого каждый URL хешируется (изменяется таким образом, что его нельзя прочесть) и разделяется на фрагменты. Только часть каждого хешируемого URL включается в список в браузере.

При работе в Интернете браузер создает хешированные версии посещаемых URL и проверяет их в соответствии со списком. Если адрес посещаемого сайта соответствует хешированному фрагменту URL в списке, браузер свяжется с серверами Google и запросит полный список (а не только фрагменты) хешированных URL подозрительных страниц. Затем ваш компьютер определит, является ли сайт подозрительным, и выведет соответствующее предупреждение. При обращении компьютера к Google для получения дополнительной информации об определенном хешированном фрагменте URL или для обновления списка мы получаем стандартную журнальную информацию, включающую IP-адрес компьютера и, возможно, файл cookie. Эта информация не позволяет идентифицировать вас и хранится всего несколько недель. Вся информация, полученная таким образом, защищается в соответствии со стандартными условиями политики конфиденциальности Google.

Защита от фишинга в Firefox

Функция Phishing and Malware Protection проверяет страницы, куда вы собираетесь перейти по базе фишинговых и вредоносных сайтов, которая каждые 30 минут обновляется на компьютере, конечно же если фильтр Phishing and Malware Protection включен. Технические детали описания используемого протокола можно найти по адресу http://code.google.com/p/google-safe-browsing/wiki/Protocolv2Spec.

Существует две ситуации, когда Firefox связывается с партнерами Mozilla:

• регулярное обновление базы фишинговых и вредоносных сайтов;
• в случае если вы сталкиваетесь с фишинговым сайтом или с вредоносной программой; перед блокированием сайта Firefox будет запрашивать перепроверку для гарантии того, что сайт, о котором сообщают, не был удален из списка, начиная с последнего обновления.

Следует учесть, что фильтр Phishing and Malware Protection включен по умолчанию (экран 4).

Защита от фишинга и вредоносных программ в Safari

Защита от фишинга в Safari включена по умолчанию (экран 5). Как только вы захотите посетить веб-сайт, известный как фишинговый, Safari выведет предупреждение: «The website you are visiting has been reported as a «phishing» website. These websites are designed to trick you into disclosing personal or financial information, usually by creating a copy of a legitimate website, such as a bank». Для поиска фишинговых сайтов Safari использует технологии Google. Как только вы пытаетесь посетить некоторую страницу в Safari, он соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок на вредоносные программы.

Фильтр SmartScreen в Internet Explorer 8

Сегодня в состав Internet Explorer 8 включен фильтр SmartScreen — технология, а вернее, набор технологий, предназначенный для защиты пользователей от возможных интернет-угроз, в том числе угроз социальной инженерии. Базируется SmartScreen на технологии фишингового фильтра в Internet Explorer 7. Сегодня фильтр SmartScreen предназначен для защиты пользователей от известных вредоносных веб-узлов, а кроме того, данный фильтр включает защиту от ClickJacking, технологии, применяемой для перехвата клавиш, искажения веб-страниц и т. д.

Для того чтобы включить Smart­Screen, необходимо (экран 6):

• в меню Internet Explorer 8 выбрать «Безопасность»;
• в выпадающем меню выбрать фильтр SmartScreen и включить SmartScreen.

Что касается SmartScreen, то здесь хотелось бы привести несколько цифр.

• С начала марта 2009 года SmartScreen заблокировал более 560 млн попыток загрузки вредоносных программ.
• Ежечасно SmartScreen блокирует более 125 тыс. потенциально небезо­пасных сайтов и программ.
• Каждую минуту выполняется почти 2 тыс. потенциально опасных загрузок.

Фильтр SmartScreen в Internet Explorer 8 предупреждает пользователя о подозрительных или уже известных мошеннических веб-узлах. При этом фильтр проводит анализ содержимого соответствующего сайта, а также использует сеть источников данных для определения степени надежности сайта. Фильтр SmartScreen сочетает анализ веб-страниц на стороне клиента на предмет обнаружения подозрительного поведения с онлайн-службой, доступ к которой пользователь разрешает или запрещает. При этом реализуется три способа защиты от мошеннических и вредоносных узлов.

1. Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится.
2. Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов.
3. Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.

С помощью Internet Explorer 8 вы можете узнать, является ли узел мошенническим. Для этого выберите из меню «Безопасность» пункт Фильтра SmartScreen, а затем «Проверить веб-узел» (экран 7).

С целью соблюдения режима конфиденциальности состояние фильтра SmartScreen по умолчанию не определено, и поэтому пользователь получает запрос, включить или отключить эту функцию. По умолчанию при первом же запуске Internet Explorer 8 фильтр SmartScreen предлагает пользователю включить автоматическую проверку или отключить совсем. Работа фильтра SmartScreen основывается на службе Microsoft URL Reputation Service (URS), осуществляющей круглосуточную поддержку. Если фильтр SmartScreen включен, то он просматривает локальный список известных разрешенных узлов и отправляет адрес URL узла службе URS для проверки.

Во избежание задержек обращения к URS производятся асинхронно, так что на работе пользователя это не отражается. Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen. В фильтре SmartScreen также применяется механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети. Один из способов выявления потенциально подставных узлов, применяемый службой URS, — сбор отзывов пользователей о ранее неизвестных узлах. Пользователь может решить, следует ли отправлять информацию об узле, который вызывает у него подозрения.

Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь. Учтите, что службе URS могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально. По умолчанию фильтр SmartScreen включен для всех зон, кроме местной интрасети. Если вы захотите исключить некоторые узлы из списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, то необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону. Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику.

Настроить этот параметр можно в папке редактора объектов групповой политики:

Конфигурация пользователя\ Административные шаблоны\ Компоненты Windows\Internet Explorer\Панель управления браузером\Вкладка безопасности\ <зона> (экран 8).

В таблице 1 приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.

Помимо указанных параметров для каждой зоны, можно задать два глобальных параметра фильтра SmartScreen (описание приведено в таблице 2) в папке редактора объектов групповой политики: Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer (экран 9).

Заключение

В январе 2010 года лаборатория NSS Labs провела тестирование браузеров на защищенность от атак с использованием социальной инженерии (http://nsslabs.com/test-reports/NSSLabs_Q12010_GTRBrowserSEM_FINAL.pdf).

При этом были получены следующие результаты (см. рисунок):

• Windows Internet Explorer 8 блокировал 85% угроз;
• Safari Apple 4 блокировал 29% угроз;
• Mozilla Firefox 3.5 блокировал 29% угроз;
• Google Chrome 4 блокировал 17% угроз;
• Opera 10 блокировала менее 1% угроз, фактически не обеспечив защиту от атак социальной инженерии.

Таким образом, можно сделать вывод, что, несмотря на то что в браузерах сегодня уже появились технологии защиты от фишинга и вредоносных программ, это не может быть единственной линией обороны от подобных атак. А следовательно, пользователи и их компьютеры будут нуждаться в специализированном программном обеспечении по защите от фишинга.

Владимир Безмалый — Специалист по обеспечению безопасности, имеет сертификаты MVP Consumer Security, Microsoft Security Trusted Advisоr. vladb@windowslive.com