Главная Security, Новое Мошенничество в Интернет
  • Мошенничество в Интернет

    f2c74ee1e1c9da4fe76f853f3af1f800 Наиболее развитой формой мошенничества в Интернет, без сомнения, является кража персональных данных пользователей (пароли, номера кредитных карт и тп.) именуемая фишинг.

    Типичными инструментами фишинга являются почтовые сообщения (использующие методы социальной инженерии) и специально разработанные web-сайты.

    Бурное развитие IT-технологий, к сожалению, влечет за собой и прогресс интернет- мошенничества, методы атак становятся все изощреннее, повышается уровень подготовленности атак с целью кражи номеров кредитных карт, банковских счетов и прочей конфиденциальной информации.

    Приведем настораживающие цифры.

    Согласно отчету ассоциации APWG (Anti-Phishing Working Group), в апреле 2007 года произошел резкий рост числа уникальных фишинговых сайтов. Так, если в марте было зафиксировано 20 871 мошеннических сайтов, то в апреле их количество составило 55 643. Специалисты из компании MarkMonitor объясняют столь бурный рост тем, что фишеры стали размещать массу URL на один и тот же домен. Данная тактика впервые была обнаружена в октябре 2006 года. На одном домене может быть размещено до нескольких тысяч фишерских URL. Все это делается с целью "обмануть" инструментарий защиты, встроенный в браузеры Internet Explorer 7 и FireFox2.

    В апреле 2007 года количество брендов, которые становились объектом подделки также выросло. Если в марте мошенники активно эксплуатировали 166 марок, то в апреле их количество составило 174, причем прирост шел не за счет традиционных для фишеров финансовых учреждений, а за счет VOIP-сервисов и социальных сетей. Вместе с тем, самыми "популярными" у мошенников по-прежнему являются сайты финансовых компаний, составляющие более половины сайтов-обманок. Компания Radicati Group прогнозирует на 2008 год в среднем по 404 атаки в день.

    Согласно опубликованного компанией Symantec очередного полугодового отчета Internet Security Threat Report (http://www.symantec.com/about/news/release/article.jsp?prid=20080407_01) в период с июля по декабрь 2007 года сотрудниками компании Symantec выявлено около 88 тысяч хостов, на которых могут быть размещены фишинг-сайты. Это на 167% больше, чем аналогичные показатели за первую половину прошлого года. Прирост сетевых угроз различных типов за год составил 500% (более 700 тысяч угроз). Продолжается торговля нелегально полученной информацией о пользователях. Украденный номер кредитной карты продается за 40 центов, а сведения о банковском аккаунте жертвы оцениваются в 10 долларов.

    Настоящим бедствием для США в 2007 году стали фишинг-атаки. Из-за мошенничества, по данным Gartner, финансовые компании потеряли около $3.2 млрд. В период с августа 2006 года по август 2007, 3.6 млн пользователей пали жертвами фишинга. Год назад это число составляло 2.3 млн, т.е. за год рост составил около 57%.

    При этом стоит помнить, что фишинг-атаки оказались более эффективными в 2007 году, чем в 2005 и 2006-м. 3.3% пользователей, получивших мошеннические письма признались, что пострадали от фишинг атак. В 2006 году пострадавших было 2.3%, а в 2005 – 2.9%, сообщает Gartner.

    Средняя потеря за одну кражу составляла $886, а в 2006 – $1244.

    По словам Авиваха Литана (Avivah Litan), вице-президента и аналитика Gartner, фишинг-атаки становятся все более скрытными, а методы анти-фишингового обнаружения используются не настолько широко, чтобы эффективно предотвратить атаки. Приблизительно 11% интернет-пользователей признают, что не используют какое-либо программное обеспечение для защиты своих компьютеров, 45% пользователей использует подобное ПО только в том случае, если они могут получить его бесплатно.

    В Британии в 2007 г. на 25% увеличились потери от мошенничества с кредитными и дебетовыми банковскими картами. Потери оцениваются в £535 млн. (около $1 млрд.). Рост потерь связан с увеличением числа преступлений, связанных с использованием данных о кредитных картах британцев за границей, а также при покупке товаров в онлайн-магазинах.

    Потери в 2007 г. от мошенничества с британскими пластиковыми картами за пределами страны составили около £200 млн.

    Однако, число преступлений, связанных с хищением денежных средств при использовании онлайн-банкинга, сократилось более чем на 30% – до £22,6 млн. Данное снижение объясняется большей осведомленностью обладателей пластиковых карт о фишинге.

    Однако не стоит думать, что фишинг-атаки характерны только для США и стран Западной Европы.

    Первая попытка фишинга на территории СНГ была зарегистрирована в 2004 году. Жертвами ее стали клиенты московского Ситибанка.

    На Украине жертвами фишинговых атак стали клиенты «Приват-банка» и компании «Киевстар».

    В случае с клиентами компании «Киевстар» мошенники осуществляли рассылку электронных сообщений потенциальным жертвам и сделали рекламные постинги в популярных украинских Интернет-форумах о «возможном» пополнении счета, который должен нанести ущерб оператору мобильной связи "Киевстар" (предлагалось осуществить специальный набор USSD команд, который приводит к списанию денег со счета доверчивого абонента), от этого страдают сами абоненты. Некоторые эксперты считают подобную Интернет-рассылку первой серьезной украинской фишинг-атакой, поскольку она опирается на использование новой услуги оператора мобильной связи компании "Киевстар", которая позволяет пересылку сумм со счета одного абонента на другой.

    Как сообщило http://hitechexpert.blogspot.com/ 24 и 25 июля 2007 пользователи Интернет в Рунете и Уанете подверглись фишинговой атаке.

    Спамерская рассылка от имени якобы администрации сайта "Яндекс" извещала собственников денежных кошельков на "Яндексе" о том, что:

    "Согласно пункту 4.6.2.5. Соглашения об использовании Системы “Яндекс.Деньги”, счет абонента заблокирован. Необходима реактивация счета в системе. Для реакцивации (орфография сохранена – HITechBlog) проследуйте по линку: https://money.yandex.ru/login.html.

    Однако ссылка приводила пользователя на сайт, который имеет абсолютно идентичный дизайн с сайтом "Яндекса", но абсолютно не имеет никого отношения к сайту "Яндекс-Деньги".

    Число пострадавших от данной атаки неизвестно.

    По оценкам различных исследователей отклик на E-mail -рассылку сильно зависит от степени доверия пользователей к источнику информации. Так по данным американских ученых на рассылки, которые касаются личных финансов пользователей "ведутся" от США от 18% до 72%(!) респондентов.

    Прежде чем говорить о мерах противодействия фишингу, давайте попробуем определить, а что же все таки такие – фишинг и какие разновидности фишинга на сегодня известны?

    Что такое «фишинг»?

    Приведем определение «фишинга», данное специалистами компании DrWeb.

    Фишинг (Phishing) — технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. В декабре 2005 года отмечен резкий рост числа фишинговых сайтов (на 65%, в ноябре 2005 года 4630, а в декабре уже 7197). По мнению экспертов APWG такой рост стал возможен благодаря появлению так называемых «phishing kit» – утилит, которые позволяют в короткие сроки создать фишинг-сайт.

    По сведениям компании Websense, один из наиболее популярных инструментов для конструирования фишинг-ресурсов называется Rock Phish Kit. В настоящее время ситуация с фишингом напоминает ситуацию в области написания вирусов несколько лет назад, в момент появления конструкторов вирусов.

    Вкратце суть фишинга можно свести к следующему. Мошенник обманывая пользователя заставляет его предоставить свою конфиденциальную информацию: данные для выхода в Интернет (имя и пароль), информацию о кредитных картах и т.д. При этом необходимо отметить, что все действия жертва выполняет абсолютно добровольно, не понимая, что она делает на самом деле. Для этого используются технологии социальной инженерии.

    На сегодняшний день фишинг можно разделить на три вида – почтовый, онлайновый и комбинированный. Почтовый – самый старый. При этом по электронной почте присылается специальное письмо с требованием выслать какие-либо данные. (рис. 2).

    image001

    Рисунок 1 Пример фишингового письма

    Перейдя по указанной ссылке, жертва попадает на сайт (рис. 2)

    image003

    Рисунок 2 Страница фишингового сайта

    Однако данный сайт, несмотря на внешнюю полную схожесть с оригинальным, предназначен исключительно для того, чтобы жертва сама внесла конфиденциальные данные.

    image005

    Рисунок 3 Пример с поддельным mail-адресом отправителя

    Под онлайн фишингом подразумевается, что злоумышленники копируют какие-либо сайты (наиболее часто это это Интернет-магазины онлайновой торговли). При этом используются похожие доменные имена и аналогичный дизайн. Ну а дальше все просто. Жертва, попадая в такой магазин, решает приобрести какой-либо товар. Причем число таких жертв достаточно велико, ведь цены в таком «несуществующем» магазине будут буквально бросовыми, а все подозрения рассеиваются ввиду известности копируемого сайта. Покупая товар, жертва регистрируется и вводит номер и прочие данные своей кредитной карты.

    Такие способы фишинга существуют уже достаточно давно. Благодаря распространению знаний в области информационной безопасности они постепенно превращаются в неэффективные способы «отъема денег».

    image006

    Рисунок 4 Письмо только с одной фишерской ссылкой из многих правдивых

    Третий способ – комбинированный. Суть данного способа состоит в том, что создается поддельный сайт некоей организации, на который потом завлекаются потенциальные жертвы. Им предлагается зайти на некоторый сайт и там произвести некие операции самим. Причем, как правило, используется психология.

    image007

    Рисунок 5 Образец фишингового письма пользователям почты Mail.ru

    Многочисленные предупреждения, практически ежедневно появляющиеся в Интернет, делают подобные методы мошенничества все менее и менее эффективными. Поэтому теперь все чаще злоумышленники прибегают к применению key-loggers – специальных программ, которые отслеживают нажатия клавиш и отсылают полученную информацию по заранее назначенным адресам.

    В "Лаборатории Касперского" считают, что развитие социальных сетей принесёт новую волну фишинга: "Учётные данные абонентов таких сервисов, как Facebook, MySpace, Livejournal, Blogger и им подобных будут пользоваться повышенным спросом у злоумышленников. В 2008 году множество троянских программ станут распространяться именно через аккаунты пользователей социальных сетей, через их блоги и профили".

    Банки и другие организации, использующие для голосовой связи IP-телефонию, рискуют подвергнуть себя фишинг-атакам, для профилактики которых в настоящее время нет никаких средств. Об этом заявил эксперт в области информационной безопасности, называющий себя The Grugq, на конференции Hack In The Box Security Conference (HITB) в Малайзии.

    «Преступники получат возможность проникать в банковские сети и устанавливать контроль над их телефонными каналами», — убежден The Grugq. Использование протокола VoIP становится все более популярной технологией, которая помогает снизить расходы на телефонную связь. Вместе с тем VoIP делает сети компаний более уязвимыми для атак. По мнению эксперта, фишинг-атаки через VoIP будут зафиксированы до конца этого года. Преступники получат доступ к персональным данным, в том числе номерам кредитных карт и учетной банковской информации, и лишь небольшое количество специалистов в области информационной безопасности сможет им помешать. «Теоретически, вы звоните в свой банк, а клиентская телефонная линия уже захвачена хакерами», — допустил The Grugq.

    В случае развития событий по такому сценарию хакер попросит клиента сообщить учетную информацию перед тем, как связаться с представителем службы поддержки клиентов. «Нет никакой технологии, которая позволяет компаниям справиться с проблемой», — заявил эксперт, отметив, что существующие системы для выявления атак не способны определить факт VoIP-атаки. Для ее организации хакерам сейчас будет достаточно обычного софта для поддержки IP-телефонии или биллинга телефонных разговоров.

    Вишинг как разновидность фишинга

    В июле 2006 года появилась новая разновидность фишинга, тут же получившая название вишинг.

    "Вишинг" (vishing) назван так по аналогии с "фишингом" — распространенным сетевым мошенничеством, когда клиенты какой-либо платежной системы получают сообщения по электронной почте якобы от администрации или службы безопасности данной системы с просьбой указать свои счета, пароли и т.п. При этом ссылка в сообщении ведет на поддельный сайт, на котором и происходит кража информации. Сайт этот уничтожается через некоторое время, и отследить его создателей в интернете достаточно сложно

    Схемы обмана, в общем-то, идентичны, только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.

    Владельцев такого номера найти не просто, так как с развитием Интернет-телефонии, звонок на городской номер может быть автоматически перенаправлен в любую точку земного шара на виртуальный номер. Звонящий же об этом не догадывается. Этой возможностью и воспользовались очередные мошенники.

    Согласно информации от Secure Computing, мошенники конфигурируют «war dialler» (автонабиратель), который набирает номера в определенном регионе и, когда на звонок отвечают, происходит следующее:

    – автоответчик предупреждает потребителя, что с его картой производятся мошеннические действия, и дает инструкции – перезвонить по определенному номеру немедленно. Это может быть номер 800, часто с выдуманным именем звонившего от лица финансовой организации;

    – когда по этому номеру перезванивают, на другом конце провода отвечает типично компьютерный голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;

    – как только номер введен, вишер становится обладателем всей необходимой информации (номер телефона, полное имя, адрес), чтобы, к примеру, обложить карту штрафом;

    – затем, используя этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, дата рождения, номер банковского счета и т.п.

    Как защититься от этого? Прежде всего с помощью здравого смысла, а именно:

    Ваш банк (или кредитная компания, картой которой вы пользуетесь) обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то скорее всего это мошенничество;

    Нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному вам номеру телефона. Для звонков в экстренных случаях вам предоставляется телефонный номер на обратной стороне вашей платежной карточки. Если звонок законный, то в банке сохраняется его запись и вам помогут;

    Если же вам звонит некто, представляющийся вашим провайдером и задает вопросы, касающиеся ваших конфиденциальных данных – повесьте трубку.

    Пока серьезных инцидентов такого рода еще не отмечено. Но только пока…

    Фарминг

    Как ни опасен фишинг и вишинг, однако в сети существует еще более грозная угроза. Это – фарминг.

    Фарминг – это перенаправление жертвы по ложному адресу. Для этого может использоваться некая навигационная структура (файл hosts, система доменных имен – DNS).

    Как это происходит?

    Механизм фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает непрошенное почтовое послание или посещает некий web-сервер, на котором выполняется исполнимый вирус-скрипт. При этом искажается файл hosts. Вредоносное ПО может содержать указатели URL многих банковских структур. В результате механизм перенаправления активизируется когда пользователь набирает адрес, соответствующий его банку. В результате жертва попадает на один из ложных сайтов.

    Механизмов защиты от фарминга на сегодня просто не существует. Необходимо внимательно смотреть за получаемой почтой, регулярно обновлять антивирусные базы, закрыть окно предварительного просмотра в почтовом клиенте и т.д.

    Как же противостоять подобным атакам?

    Антифишинговый фильтр в Internet Explorer 7.0

    Технология антифишингового фильтра включает в себя несколько разновидностей технологий:

    Встроенный фильтр. Фильтр встроенный в веб-обозреватель проводит сканирование веб-страниц, посещаемых в процессе посещения Интернет, в поисках признаков, характерных ждя мошеннических узлов или фишинг-атак. Если пользователь посещает такую страницу, то получает предупреждение.

    Интерактивная служба, которая содержит обновляемую информацию об этих узлах. Очень часто фишинг-узлы появляются на срок 24-48 часов, поэтому чрезвычайно важным является процесс своевременного обновления.

    Встроенное средство (антифишинговый фильтр) позволяет пользователю получить предупреждение о подозрительных узлах. При этом пользователь может сам передать сведения о любом потенциально опасном узле в корпорацию Microsoft для последующей проверки. После этого подтвержденная информация добавляется в соответствующую базу данных для защиты компьютеров, использующих Internet Explorer с панелью управления Windows Live.

    На сегодня функция антифишингового фильтра доступна в обозревателе Internet Explorer для OC Windows XP SP2 и в Windows Vista. Кроме того, данная функция доступна в новой панели инструментов Windows Live (http://toolbar.live.com/ ) для Internet Explorer 6.0 или старше.

    Как работает антифишинговый фильтр в Internet Explorer 7.0

    После загрузки и установки обозревателя Internet Explorer 7 можно включить функцию антифишинга.

    image008

    Рисунок 6 Включение антифишингового фильтра

    Если при установке IE 7.0 вы не включили функцию антифишинга, то сможете сделать это позже. Для этого выберите в меню Tools (Сервис) обозревателя IE 7.0 выберите пунки Phising Filter (Антифишинг)

    image010

    Рисунок 7 Антифишинг

    Фильтр распознает два типа подозрительных узлов:

    Веб-узлы, которые подозреваются в атаках

    Веб узлы, на которых фишинг атаки уже происходили

    При посещении узла, который подозревается в фишинг-атаках, фильтр выдает предупреждение желтого цвета (рис. 3).

    image011

    Рисунок 8 Этот узел подозревается в фишинг-атаках

    При попытке посетить веб-узел, на котором предпринимались атаки, фильтр выдает предупреждение красного цвета, как показано на рисунке 4 и прекращает доступ к этому узлу. Ввод любых данных в любую форму на этом узле после этого невозможен.

    image012

    Рисунок 9 На этом узле происходили фишинг-атаки

    Работа фишинг-фильтра на панели инструментов Windows Live

    После установки новой панели инструментов Windows Live установите кнопку OneCare Advisor. Функция антифишинга при этом начинает работу аналогично IE 7.0

    image013

    Рисунок 10 Сведения безопасности отображаются в строке состояния

    Защита от фишинга в Opera 9

    Защита от фишинга в Opera организована несколько по-иному. нежели в FireFox и IE. В Opera, когда вы набираете адрес в адресной строке, Opera  одновременно делает запрос к онлайновой базе данных Opera Software, для проверки легитимности сайта, который Вы хотите посетить. Если сайт будет определён как подставной, пользователь увидит такое предупреждение…

    image015

    Рисунок 11 Защита от фишинга в Opera 9

    В прочем у пользователя останется возможность посетить сайт, если ему это действительно нужно.

    В отличие от FireFox, который сверяет адрес с базой у себя на компьютере, Opera делает проверку в режиме реального времени, сверяясь с постоянно обновляемой базой. Это должно быть гораздо эффективнее, т.к. фишинговые сайты-однодневки – появляются внезапно и быстро исчезают.

    Opera получает данные о легитимности сайта из анти-фишинговой базы от компании GeoTrust (http://www.geotrust.com/), которая специализируется на защите от подобного рода мошенничества.

    Одноразовые пароли

    Одним из наиболее интересных методов противодействия фишингу является применение одноразовых паролей в системах аутентификации.

    Одноразовый пароль – это ключевое слово, действительное только для одного процесса аутентификации в течение ограниченного промежутка времени. Такой пароль полностью решает проблему возможного перехвата информации или банального подглядывания. Даже если злоумышленник сможет заполучить пароль "жертвы", шансы воспользоваться им для получения доступа равны нулю.

    Существует несколько технологий одноразовых паролей. Давайте рассмотрим некоторые из них.

    Статические наборы одноразовых паролей.

    Первые реализации концепции одноразовых паролей были основаны на статичном наборе ключевых слов, т.е. сначала генерировался список паролей (ключей, кодовых слов и т.п.), которые потом могли применять пользователи. Подобный механизм использовался в первых банковских системах с возможностью удаленного управления счетом. При активации этой услуги клиент получал конверт со списком своих паролей. Затем при каждом доступе к системе он использовал очередное ключевое слово. Дойдя до конца списка, клиент снова ехал в банк за новым. Такое решение имело целый ряд недостатков, главный из которых – низкая надежность. Все-таки постоянно носить с собой список паролей опасно, его легко можно потерять или его могут украсть злоумышленники. Хотя до сих пор этот способ ввиду своей дешевизны применяется в некоторых банках.

    Сегодня применяется динамическая генерация ключевых слов с помощью сильных криптоалгоритмов. В данном случае аутентификационные данные – результат шифрования начального значения с помощью секретного ключа пользователя.

    Эта информация не передается по сети, а следовательно, недоступна для перехвата. В качестве начального значения используется известная и пользователю и серверу информация, а ключ шифрования создается для каждого пользователя при его инициализации в системе (рис.12).

    image017

    Рисунок 12 Аутентификация с помощью ОТР

    Реализация аутентификации с помощью One Time Password

    Технологии ОТР были разработаны в рамках инициативы Open Authentication (OATH), выдвинутой компанией VeriSign в 2004 году. При этом речь шла сразу о двухфакторной аутентификации, т.е. смарт-карта или USB-токен и PIN-код. На сегодня существует несколько вариантов реализации систем аутентификации на базе одноразовых паролей.

    Метод «запрос-ответ»

    Принцип работы данного метода заключается в следующем:

    1. Пользователь отправляет на сервер аутентификации свой логин;
    2. Сервер генерирует случайным образом строку и посылает ее обратно;
    3. Пользователь шифрует эту строку и отправляет ее на сервер;
    4. Сервер «находит» в памяти ключ пользователя и расшифровывает исходную строку;
    5. Происходит сравнение результатов. Если они совпадают, аутентификация пройдена верно.

    Данный процесс называется асинхронным, так как не зависит от предыдущих паролей и других факторов (например, времени).

    Метод "только ответ"

    Алгоритм аутентификации в данном случае несколько проще:

    1. Программное или аппаратное обеспечение пользователя самостоятельно генерирует данные, при этом в процессе создания строки используется значение предыдущего запроса;
    2. Эти данные защифровываются и отправляются на сервер;
    3. Сервер тоже обладает такими же «знаниями»;
    4. Сервер, используя имя пользователя, находит значение его предыдущего запроса и генерирует точно такую же строку;
    5. Если строки идентичны, то аутентификация пройдена верно.

    Метод "синхронизация по времени"

    В данном случае в качестве исходной строки используются показания таймера специального устройства или компьютера. При этом используется не точное указание времени, а текущий интервал с заранее установленными границами (например, 30 секунд). Эти данные зашифровываются с помощью ключа пользователя и отправляются на сервер вместе с именем пользователя. Сервер при получении запроса повторяет те же действия. Затем сравниваются два значения: вычисленное и полученное от пользователя.

    Метод "синхронизация по событию"

    Данный метод полностью иентичен предыдущему. Единственное различие – в качестве исходной строки используется количество успешных процедур аутентификации, а не текущее время. Это количество подсчитывается сторонами раздельно друг от друга. В некоторых случаях используются два и более методов.

    Уязвимости методов ОТР

    У технологии одноразовых паролей вместе с тем существуют и объективные недостатки. Наиболее серьезный из них – подмена сервера аутентификации. Веди в таком случае злоумышленник может перехватывать пароли и затем использовать их. Однако справедливости ради стоит отметить, что осуществит такую атаку совсем не просто.

    Другая серьезная уязвимость присуща методам реализации ОТР в которых в качестве стартовой строки используются показания таймера. Ведь возможно рассогласование времени. В таком случае придется подбирать временной интервал.

    Для защиты от воровства аппаратных генераторов паролей (например, RSA Secur ID, рис.9) пароль состоит из PIN-кода+показания аппаратного генератора. При этом в данном исполнении отображаемый на экране код зависит от времени – так называемый тип Time Based для устройств типа RSA Security и подобных.

    image018 image019 image021

    Рисунок 13 Примеры генераторов одноразовых паролей

    Другой подход реализован в USB-токенах (eToken NG OTP от фирмы Aladdin). (рис.10) – по событию – нажатию кнопки для устройств типа eToken NG OTP и подобных

    image023

    Рисунок 14 eToken

    image024

    Рисунок 15 RSA SecurID

    В eToken NG-OTP реализован алгоритм одноразовых паролей (One-Time Password, OTP), разработанный в рамках инициативы OATH.

    OATH является отраслевой инициативой, миссия которой состоит в распространении во всех сетях, приложениях и устройствах передовых методов аутентификации.

    Алгоритм генерации одноразовых паролей (основан на алгоритме HMAC) использует в качестве входных значений секретный ключ и текущее значение счетчика генераций. Секретный ключ известен только данному eToken NG-OTP и серверу аутентификации.

    Основной функциональный блок алгоритма HOTP вначале вычисляет значение HMAC-SHA-1, а затем выполняет операцию усечения (выделения) из полученного 160-битового значения 6-ти цифр, являющихся одноразовым паролем.

    HOTP (K, N) = Truncate (HMAC-SHA-1(K, N))

    где K=секретный ключ и N=счетчик генераций.

    Счетчик генераций и секретный ключ генерируются eToken NG-OTP во время регистрации пользователя в TMS и коннекторе OTP.

    Однако недостатком данного метода является возможность создания ложного сайта, ведь владелец пароля не может отличить ложный сайт от подлинного.

    Аутентификация с использованием мобильного телефона

    Есть еще один вариант аутентификации с использованием одноразовых паролей –аутентификация по мобильному телефону. Вы с вашего мобильного телефона (зарегистрированного в системе) отправляете СМС на определенный номер. В ответ вам приходит PIN-код, который вы вместе со своим кодом вводите при аутентификации. В этом случае вам вообще не нужны брелки, т.к. мобильные телефоны есть у всех …

    Помимо этого существуют программные реализации (на JAVA) подобных токенов (рис. 9). Т.е. опять используем ваш телефон, в который устанавливаем программный токен. К сожалению, поддерживаются не все телефоны, чем и ограничивается распространение данной реализации OTP, хотя для внутрикорпоративного использования очень популярное решения, в связи с более низкой стоимостью, по сравнению с аппаратным токеном.

    image026

    Рисунок 16 JAVA токен для телефона

    Так как сгенерированный пароль можно ввести лишь однажды, да еще и в ограниченный по времени интервал, то использовать подсмотренный пароль не представляется возможным. Генераторы одноразовых паролей широко применяются в банковской системе Европы и США, а также их используют некоторые Интернет-провайдеры (AOL). Но безопасность в этом случае стоит денег, так как нужно покупать само устройство и провайдеру (банку) нужно иметь соответствующее программное обеспечение.

    Применение смарт-карт в системах с одноразовыми паролями

    Для работы систем аутентификации на базе смарт-карт необходим считыватель. Как правило, он требует физического подключения к компьютеру. Следовательно, нельзя применять схемы защищенного доступа с помощью смарт-карт, если у нас нет считывателя?

    Однако, существует считыватель смарт-карт, который не требует подключения к компьютеру. Примерами таких считывателей являются считыватели Digipass компании Vasco (рис.6). Они обеспечивают строгую аутентификацию при помощи динамических паролей.

    image028

    Рисунок 18 Digipass PRO 800

    Пароль в этом случае будет зависеть, как правило, от времени создания и начальных условий (рис.7).

    image029

    Рисунок 19 Схема аутентификации с дополнительным запросом

    В простейшем режиме пользователь вводит свой PIN-код, токен сразу выдает одноразовый пароль. При этом сервер аутентификации проверяет:

    • внутренние начальные данные (seed values);
    • время создания пароля;
    • предшествующие пароли;
    • секретные ключи алгоритмов DES

    Антифишинговые технологии в антивирусном ПО

    Рассмотрим антифишинговые технологии на примере антивируса Касперского. Защита от подобного ПО является одной из функций Анти-Шпиона.

    В состав Анти-Шпиона входит модуль Анти-Фишинг, который обеспечивает защиту от фишинг-атак.

    Частным примером фишинг-атаки является письмо от банка, клиентом которого вы являетесь, со ссылкой на официальный сайт в интернете. Воспользовавшись ссылкой, вы попадаете на точную копию веб-сайта банка и даже можете видеть его адрес в браузере, однако реально находитесь на фиктивном сайте. Все ваши дальнейшие действия на сайте отслеживаются и могут быть использованы для кражи ваших денежных средств.

    Ссылка на фишинг-сайт может быть вам направлена не только письмом, но и другими доступными для этого способами, например, в тексте ICQ-сообщения. Анти-Фишинг отслеживает попытки открытия фишинг-сайта и блокирует его.

    В состав сигнатур угроз Антивируса Касперского включены известные на настоящее время сайты, которые используются для фишинг-атак. Специалисты «Лаборатории Касперского» пополняют его адресами, предоставляемыми международной организацией по борьбе с фишингом (The Anti-Phishing Working Group). Данный список пополняется при обновлении сигнатур угроз.

    Применение взаимной сертификации согласно Х.509

    Вместе с тем стоит отметить, что единственной гарантией от фишинговых атак является применение взаимной сертификации согласно стандарта X.509. Ведь в таком случае не только сервер может проверить пользователя, но и пользователь может проверить сервер!

    В данном случае единственной гарантией может служить трехшаговая аутентификация, в ходе которой:

    Происходит передача одного сообщения от пользователя к серверу, в ходе которой устанавливается

    1. Аутентичность А и то, что сообщение было создано А.
    2. Что сообщение предназначалось для В.
    3. Целостность и оригинальность сообщения (что оно не посылается второй раз).

    Стоит заметить, что данная процедура устанавливает только аутентичность источника, но не устанавливает аутентичность получателя.

    Сообщение должно включать метку даты-времени, оказию и идентификатор В и должно быть подписано с использованием открытого ключа А. Метка даты-времени складывается из необязательно указываемого времени выдачи и времени окончания срока действия. Это устраняет возможность задержки доставки общения. Оказию можно использовать для того, чтобы обнаружить атаку воспроизведения. Значение для оказии должно быть уникальным на протяжении всего срока действия сообщения. Так, В может сохранять значения оказии до истечения срока их действия и отвергать любые новые сообщения с повторяющимися значениями оказии.

    На втором шаге:

    Сервер создает ответное сообщение, которое подписывается закрытым ключом сервера, сто позволяет доказать:

    1. Аутентичность В и то, что ответное сообщение было создано В.
    2. Что сообщение предназначалось для А.
    3. Целостность и оригинальность ответа.

    Ответное сообщение включает оказию пользователя, подтверждающую ответ. Оно также включает метку даты-времени и оказию, сгенерированные сервером.

    На третьем шаге происходит пересылка еще одного сообщения от А к В, которое должно содержать подписанную копию оказии В. Такая форма сообщения выбирается потому, что проверять метку даты-времени необходимость нет: обе оказии возвращаются назад другой стороной, а потому каждая из сторон имеет возможность обнаружить по значению возвращаемой оказии признаки атаки воспроизведения. Такой подход требуется тогда, когда синхронизация часов невозможна.

    Заключение

    Проблема «фишинга» будет разрастаться в дальнейшем. И одними техническими средствами остановить ее весьма сложно. Стоит понимать, что никогда банковское и другое подобное учреждение не будут требовать от вас пересылки конфиденциальной информации, а слишком низкие цены в Интернет-магазине должны вас настораживать. Что еще можно посоветовать? Заведите отдельную банковскую карту для Интернет-транзакций и кладите на этот счет деньги лишь тогда, когда вы соберетесь делать какие-то покупки. Причем всегда держите на этой карте небольшие суммы. Тогда даже в случае взлома ваш ущерб будет не настолько весомым.

    Безмалый В.Ф.

    MVP Consumer Security

    • Рубрика: Security,Новое
    • Автор: Владимир Безмалый
    • Дата: Tuesday 07 Jul 2009

Комментарии

  1. Хотелось бы добавить две ссылки в тему:
    1) Труд Максима Ефремова, по попытке заражения машины вирусом http://lazydog.ru/?p=224 наглядно показывает какую защиту обеспечивает браузер
    2) Собственно ссылка на блог Владимира. http://vladbez.spaces.live.com/blog/cns!586B9203C3561071!5110.entry Новость о том, что ЦБ РФ озаботился проблемой фишинга

  2. Отличная статья, дочитав до конца собирался в каментах написать ссылку на мой пост, но Алексей меня опередил, тем самым сделав вдвойне приятнее.