Не верь первому встречному DNS!

Интернет-мошенники продолжают искать новые способы, позволяющие им получить доступ к приватным данным или установить контроль над компьютером ничего не подозревающего пользователя. В последнее время все большей популярностью пользуются фишинговые атаки, когда пользователям вместо настоящей интернет-странички подсовывают ловушку, напичканную вирусами и троянами.

"Угроза фишинга, к сожалению, сегодня достаточно велика и продолжает расти, потому как пользователи не знают достаточно об этой угрозе. Не знают также и о методах борьбы с ней. Поэтому число фишинговых сайтов продолжает расти, технологии, связанные с фишингом и подменой веб-страниц, развиваются и совершенствуются", - отмечает Виталий Камлюк, старший вирусный аналитик "Лаборатории Касперского".

Осложняет ситуацию и тот факт, что фишеры постоянно пополняют свой арсенал приемов. Исследователи Google и института технологии Джорджии собираются опубликовать в феврале подробный доклад, посвященный проблеме фишинга. Исследователи считают, что в ближайшее время основой фишинговых атак станут открытые рекурсивные DNS-сервера. Согласно собранной информации, в сети порядка 17 млн. таких серверов, подавляющее большинство которых корректно преобразует имя домена в IP-адрес. Однако примерно 0,4% серверов, или 68 тыс., используются хакерами, предоставляя по запросам искаженную информацию. При этом пользователь, независимо от введенного им URL, автоматически перенаправляется на фальшивую страничку, где ему предлагают ввести какую-то важную персональную информацию, либо просто цепляют вирус.

Схема такого мошенничества проста. Хакеру нужно лишь любым из сотен доступных способов установить на компьютер пользователя небольшую утилиту, которая переписывает единственную запись в реестре Windows, после чего все обращения идут через тот DNS-сервер, который укажет злоумышленник. Конечно, этот прием используется не первый год, однако в последнее время случаи мошенничества с использованием открытых DNS-серверов встречаются все чаще. Исследователи Google и института Джорджии считают, что в совокупности с постоянно растущим количеством социальных сетей, где люди часто открывают странички по ссылкам, не заботясь об их содержании, такие схемы действия мошенников могут привести к новой волне фишинговых атак. Сотрудникам института уже удалось обнаружить 2100 сайтов, содержащих эксплойт, меняющий запись в регистре ОС.

Мнение исследователей разделяют и российские эксперты. "Исследование показалось весьма интересным, хотя бы с точки зрения количественной оценки уже существующих на компьютере пользователей сайтов, зараженных такой вредоносной программой. Следует отметить, что это действительно будущее фишинга. Это привлекает криминал все больше и больше, потому как сама концепция фишинга не зависит от платформы на которой работает пользователь и одинаково сработает для пользователей Windows, Linux, MacOS и других систем, - говорит Виталий Камлюк. - В целом, идея всевозможной подмены DNS данных не нова, и различные концепты появлялись ещё пять лет назад. Естественно, это серьезная угроза и несёт большой риск как домашним, так и корпоративным пользователям всех уровней: новичкам и профессионалам".

Тем не менее, не стоит преувеличивать угрозу фишинга. Виталий Камлюк считает, что таким атакам вполне реально противостоять, например, проверяя подлинность информации, получаемой из Интернета с помощью той же технологии HTTPS. Это делает фишинговые атаки на основе имитации авторизованных веб-страниц неактуальными, но лишь в том случае, если компьютер пользователя не заражен.