СЕТИ

Андрей Пировских,  18 мая 2006 Страница:   1 2

Введение

Защитить наши компьютеры и информацию от злоумышленников с развитием Интернета становиться всё сложнее. Этим материалом мы начинаем серию статей, посвящённых электронному мошенничеству и компьютерной безопасности.

Только в США ущерб от мошенничества составляет более 50 миллиардов долларов в год. При этом мошенничество, направленное на сферу онлайн-покупок, имеет ежегодный оборот около 5 миллиардов долларов.

Куда же уходят эти миллиарды долларов? И что можно сделать, чтобы остановить этот огромный поток средств в руки мошенников?

На самом деле, за последний десяток лет все финансовые онлайн-структуры, банки, процессинговые центры, платёжные системы и прочие структуры так или иначе сталкивались с мошенничеством. Системы интернет-банкинга и пластиковых карт чаще всего подвергаются атакам типа фишинга, фарминга, "троянского" и шпионского ПО, атакам типа "человек в середине" (man in the middle, MITM) и даже атакам, основанным на социальной инженерии. В наших материалах мы рассмотрим многие из этих и других технологий. Хуже всего то, что атаки становятся всё более мощными и изощрёнными, расширяется список атакуемых структур. Теперь это уже не только крупные финансовые учреждения, как раньше. Сегодня организации любого масштаба могут столкнуться с непрошенными гостями.

В серии статей мы рассмотрим различные виды угроз и попытаемся чётко и ясно изложить их суть для наших читателей. Мы попытаемся копнуть поглубже, а не давать простые рекомендации вроде использования различных сложных паролей и установки антивируса. Мы рассмотрим, как работают хакеры и как от них можно защититься.

В нашем сегодняшнем мире знания, как никогда раньше, являются силой.

Защита личной информации

Путешествуя по Интернету, пользователи оставляют огромное количество следов с личной информацией. Начиная с данных о посещённых страницах и адресах, параметрах поиска, покупках, скачанных файлах, отправленной и принятой почте и заканчивая диалогами в чатах. Сотрудники интернет-провайдеров могут получить множество информации о деятельности пользователя в сети.

Онлайновые покупки? Сайт продавца получает имя и адрес покупателя, а также некоторые другие данные из анкет. Это касается всех сайтов, относящихся к онлайн-покупкам и доставке.

Есть ещё и сотрудники терминалов платёжных систем, проверяющие данные о пластиковой карте. Другая проблема - сотрудники банков, имеющие доступ к параметрам транзакции, администраторы, работающие с банковскими базами данных и получающие доступ к информации о счетах.

Совместив все эти данные, можно получить абсолютно всю информацию о пользователе, подключившемся к сети. Примем во внимание количество людей, имеющих доступ к такой информации, и ещё раз убедимся в существовании проблемы защиты личной информации.

Ограбления банков

Мошенничество с личными данными пользователя - одно из распространённых преступлений. Сначала мы остановимся на краже личных данных с последующим использованием их для доступа к финансам, поскольку этот способ наиболее опасен для обычных пользователей, подключённых к сети. Затем мы обратимся к стратегиям защиты и аппаратному/программному обеспечению, помогающему построить защиту от различных атак.

Многие банки, использующие системы интернет-банкинга, работают с парольной защитой (или PIN-кодом). Это базовая стандартная защита, которая известна ещё со времён появления Интернета. При такой системе пользователю предлагается ввести либо весь пароль (PIN-код), либо некоторые его символы; например, первый, третий и пятый символы шестизначного PIN-кода.

Некоторые банки работают с уникальными паролями, заново генерируемыми для каждой новой сессии. Такой способ более надёжен. Американская организация US Federal Financial Institutions Examination Council (FFIEC) создала рекомендации по защите систем для финансовых институтов. В России тоже существуют определённые стандарты защиты передачи банковской информации, которые ничуть не уступают западным аналогам.

Фишинг

Для начала познакомимся с некоторыми терминами, которыми пользуются хакеры. "Захватить shell/рабочий стол". Этот термин касается возможности хакера контролировать активность компьютера другого пользователя. Достигается это путём запуска на целевом компьютере шпионских программ, перехватывающих данные о его работе, например вводимую информацию. Такая возможность позволяет хакеру узнать учётные данные.

Имея эти данные, хакер может позвонить вам и представиться сотрудником банка. Зная учётные данные и имея под рукой скриншоты вашей личной банковской страницы, он может "уточнить" необходимую для телефонного банкинга информацию.

После такого звонка хакер может позвонить в банк и выполнить перечисление денег с вашего счёта. Таким образом, мы видим типичную атаку, состоящую из захвата рабочего стола и социальной инженерии (телефонный звонок), которая оказалась успешной. Хакер получил доступ к вашему счёту в банке практически без каких-либо изысков.

Однако такому риску подвержены не только банки. Вспомните о сайтах магазинов, которые для удобства позволяют сохранять информацию о вашей пластиковой карте. Хакеру достаточно узнать ваше имя и пароль для входа на подобный сайт, после чего он сможет воспользоваться данными о вашей пластиковой карте. И произвести какие-либо покупки.

Мы логично подошли к столь муссируемому сегодня в прессе типу атак: фишингу (phishing, созвучно слову fishing - рыбалка). В атаках фишинга широко используются методы социальной инженерии. Хакеры рассылают письма тысячам пользователей, представляясь работниками банков, систем eBay, PayPal или другими. Адресатам предлагается под разными предлогами зайти на сайты, внешне идентичные оригинальным. Конечно, эти сайты поддельные. После чего пользователь вводит необходимые учётные данные для какой-либо цели, указанной в письме, например, для разблокирования учётной записи или восстановления пароля. Очень многие пользователи "клюют на крючок" фишинга.

В качестве примера фишинга приведём страницу "Fraud Watch". Учтите, каждая запись говорит о рассылке многих тысяч писем.

feed_id: 6177 pattern_id: 2818

Страница:   1 2

СОДЕРЖАНИЕ |Одной страницей|Версия для печати

Введение Защита личной информации Ограбления банков Фишинг От фишинга до фарминга Атака "человек в середине" (Man in the Middle) Мошенничество с платёжными картами Самые серьёзные уязвимости: PIN-коды и пароли Страницы входа Протокол SSL: практически бесполезен Проблема очевидна, почему же тогда она не решается?  Обсуждение в Клубе Экспертов THG