Валерий Ледовской, Dr.Web: «Некоторые рассылки могут приносить фишерам десятки миллионов евро в месяц»

В интервью TelNews аналитик компании «Доктор Веб» Валерий Ледовской рассказывает о новейших инструментах, используемых фишерами, и наиболее эффективных на сегодняшний день средствах борьбы с ними:

- На прошлой неделе ваша компания распространила информационное сообщение о новой волне фишинг-мошенничества. Действительно ли сейчас наблюдается всплеск активности фишеров, и замечен ли он кем-либо, кроме вашей компании?

- Да, на прошлой неделе действительно было заметно невооруженным глазом присутствие в почте фишинговых писем, нацеленных на клиентов известных банков и платных интернет-сервисов. Наиболее заметными были рассылки, адресованные клиентам банка JPMorgan Chase Bank и пользователям платного рекламного сервиса Google AdWords. Несколько менее заметно прошла рассылка, направленная на клиентов банка RBC Royal Bank.

В каждом типе таких рассылок зачастую используется немного отличающийся текст, различные варианты дизайна. Видимо, это связано с тем, что по-разному отформатированные письма по-разному воспринимаются различными группами пользователей. В итоге ссылки со всех этих писем приводили на небольшое количество подставных сайтов.

В последние дни стало известно о закрытии нескольких хостеров, которые имели весьма важное значение для спамеров в общемировом масштабе, т.к. через них шел значительный спам-трафик. В результате в последнюю неделю количество спама значительно снизилось.

Тем не менее, эти новости не говорят о победе правоохранительных органов над спамерами. Фишинговые письма продолжают приходить и сейчас, хотя и в меньшем количестве, а общее количество спама начало снова потихоньку расти. Поэтому мы считаем важным предупредить наших пользователей об актуальных угрозах, связанных со спамом, и о методах, которые они могут применять в своей повседневной деятельности, чтобы не стать жертвами мошенников.

- Как со временем изменяется картина фишинговых угроз? Меняются ли средства и инструменты мошенников?

- Картина фишинговых угроз и методы, применяемые мошенниками в фишинговых письмах, неразрывно связаны с развитием спама в целом. Среди множества методов и средств, которые появились различное количество времени назад, следует обратить внимание на следующие:

- подмена адресов отправителя в спам-письмах на адреса известных компаний, использование ссылок, которые ведут на подставной сайт, что является следствием использования несовершенства протокола SMTP;

- использование спамерами все более изощренных реализаций бот-сетей для рассылки спама с зараженных компьютеров пользователей, работающих по всему миру;

- использование результатов работы вредоносных программ, которые собирают список электронных адресов в адресных книгах на почтовых клиентах пользователей и отсылают эту информацию мошенникам;

- использование метода маскировки ссылки, по которой совершается переход из письма, когда фактически производится переход на страницу, отличную от той, что указана в письме;

- использование все более хитрых способов имитации на подставных сайтах, а также использование символики известных компаний в фишинговых письмах;

- отвлечение внимания пользователя заполнением бессмысленных анкет на подставных сайтах, целью чего является получение не статистики, а приватной информации;

- запугивание пользователя выдуманными фактами о скорой блокировке или закрытии его банковского счета или счета на сайтах с платными онлайн-сервисами, в результате чего пользователь может совершать необдуманные поступки, на которые его толкают мошенники.

Как видно из данного списка, для того, чтобы эффективно противодействовать спамерам, часто достаточно знать методы, которые они используют.

- Какие изменения в связи с распространением фишинга происходят в работе антивирусных компаний?

- В связи с совершенствованием методов, используемых спамерами, изменяются и антиспам-фильтры. Прежние антиспам-фильтры, основывающиеся на анализе содержимого писем, ушли в прошлое. В современных модулях используются уже другие, более эффективные инструменты.

К примеру, антиспам-модуль, встроенный в продукты нашей компании, содержит в себе набор из тысяч правил, по которым отсеивается нежелательная корреспонденция. При этом до 80% спама отсеивается по анализу заголовков писем, в т.ч. скрытых заголовков. Если спамеры начинают использовать какой-то новый прием, в антиспам-модуль добавляется одно или несколько дополнительных корректирующих правил, что в короткое время приводит к отсеиванию спама нового типа.

- Увеличивается ли, по вашим наблюдениям, осведомленность пользователей о возможных фишинговых угрозах? На каком уровне она находится сейчас?

- В последнее время публикуется много материалов о спаме и фишинге. Однако они в большинстве своем носят общий характер. Соответственно, пользователь знает о существовании данной проблемы, но не осведомлен об ее особенностях и зачастую может предполагать, что его она не касается. В этом и заключается главная проблема.

В своих новостях мы стараемся раскрыть данную тему максимально полно: приводим различные примеры вредоносных программ, скриншоты фишинговых писем и сайтов, чтобы повысить их узнаваемость. При этом мы не ставим перед собой цель напугать пользователя неизвестной угрозой – наоборот, мы стремимся научить его хотя бы базовым методам идентификации и противодействия современным угрозам на примерах, взятых из жизни.

- Как банки и другие финансовые учреждения могут способствовать борьбе с фишингом, помимо стандартных предупреждений на их сайтах и в email-рассылках?

- Это могут быть совместные акции банков с разработчиками антивирусных и антиспам- продуктов. К примеру, совместные публикации в СМИ, элементы социальной рекламы по вопросам информационной безопасности.

Как мы полагаем, основные усилия на данный момент следует направлять в сторону повышения общего уровня грамотности населения в вопросах информационной безопасности. В долгосрочной перспективе это, безусловно, приведет к улучшению ситуации.

- Пользователи каких сайтов и клиенты каких компаний чаще всего подвергаются фишинговым атакам, помимо владельцев банковских и кредитных карт?

- Помимо клиентов банков, жертвами фишинга в последнее время становятся пользователи платных онлайн-сервисов. Среди наиболее известных примеров – пользователи электронных платежных систем, платных онлайн-игр, сайтов, предоставляющих услуги контекстной рекламы, интернет-магазинов различного рода и т.д.

- Способствует ли нынешний финансовый кризис активизации фишеров?

- Кризис, который потряс мировой финансовый рынок, отразился на всех сферах жизни современного человека. В том числе и на поведении пользователей Интернета. Соответственно, и интернет-мошенники не могли ни воспользоваться столь благоприятным для них моментом.

Пользователи банков и электронных платежных систем совершают большое число транзакций, пытаясь сберечь накопленные средства, переводя их на другой счет или совершая операции по обналичиванию денег. При этом из-за значительного увеличения потока информации, которую получают пользователи по данному вопросу, сокращается количество времени, затрачиваемого на ее обработку. Человек зачастую просто не может остановиться и отреагировать на проблему адекватно, чем и пользуются мошенники.

- Насколько сильно распространен фишинг в России по сравнению с западными странами?

- В России фишинг распространен меньше. Статистика говорит о том, что основная часть фишинговых писем – англоязычная, хотя встречаются и русскоязычные образцы. Связано это с тем, что формы и средства онлайн-оплаты в нашей стране менее популярны, чем на Западе. Помимо прочего, наши сограждане весьма настороженно относятся к онлайновым денежным операциям. Соответственно, фишинг-мошенникам просто не хватает места для размаха.

Более популярная тема для России – SMS-мошенники, о которых мы также упоминали в своих новостях. В нашей стране хватает владельцев мобильных телефонов, которые готовы рискнуть деньгами, имеющимися на балансе телефона, поддаваясь на заманчивые предложения.

- О каких суммах выручки может идти речь в случае успеха фишеров в той или иной атаке? В СМИ периодически проскальзывают какие-то цифры, но чаще всего они говорят о размере возможных потерь.

- В большинстве случаев публикуемые цифры основаны на неполной информации, на косвенных данных, которые достаточно сложно проверить. Служат они обычно для рекламы той или иной компании.

Выручка от той или иной фишинговой рассылки зависит от многих факторов, среди которых - время, в течение которого рассылаются письма, частота повторов рассылки, качество составления фишингового письма, его оформления и выбора домена для поддельного сайта. Особую роль играет и аудитория, на которую направлена рассылка, ее платежеспособность.

В итоге, некоторые из таких рассылок могут приносить десятки миллионов евро в месяц, а некоторые могут оказаться убыточными.

- Как тяжело обнаружить мошенников, занимающихся фишингом, и доказать их вину?

- В современных условиях обнаружить таких мошенников весьма непросто. Происходит это благодаря бот-сетям для рассылки спама, специально организованным хостингам и другим «прелестям» Интернета, позволяющим злоумышленникам оставаться анонимными.

Тем не менее, обнаружить кибермошенников все-таки можно. Наиболее успешные акции получаются при скоординированных действиях финансовых учреждений и компаний, предоставляющих платные услуги посредством Интернета, правоохранительных органов, а также разработчиков антивирусных и антиспам-продуктов.