Делаем PR под ключ — от стратегии до реализации
Новости

Фишинговый сайт не катастрофа, а повод стать внимательнее

Бизнес все активнее использует онлайн-каналы. Одновременно растет и интерес к ним многочисленных интернет-злоумышленников. Хакеры становятся все изобретательнее. Одна из разновидностей их атак — фишинг, то есть создание поддельных сайтов, с помощью которых деньги клиентов утекают к мошенникам. Отличить фишинговый сайт от прототипа бывает очень сложно. О том, как бизнесу противостоять хакерским атакам и защитить данные — свои и своих клиентов — рассказал генеральный директор финтех-компании RBK.money Денис Бурлаков на встрече с представителями СМИ, организованной агентством TrendFox.

Как понять, что ссылка, по которой вы собираетесь перейти, потенциально опасна? Эффективно победить мошенника поможет только внимательность. Распознать фальшивку можно, изучив адресную строку сайта.

Основные способы обмана:

  • Длинная ссылка, содержащая поддомен, похожий на настоящий

Создатели фишинговых сайтов используют привычную для глаза пользователя и похожую на настоящую «длинную ссылку», содержащую поддомен. Например: outlook.office.com.rbkmoney.com.

  • Короткая ссылка с опечаткой

Короткая ссылка при этом может писаться с опечаткой или с использованием символов из различных алфавитов, но в целом напоминает что-то очень привычное. Например: rbkmaney.com.

  • Использование сервиса сокращения ссылок

Например: Bit.ly/af23wfeaFa2, Go.g/aw4fFaef2.

  • Использование IP-адреса вместо домена

Например: 34.19.0.47/owa/email.

  • Использование пути в строке домена

Например: F3f3af.tk/outlook.office.com.

  • Имитация оформления и функционирования сайта. Это так называемые омографические атаки с использованием интернационализированных доменных имен

C 2003 года можно регистрировать доменные имена, используя различные местные алфавиты, в том числе кириллические. При этом нельзя использовать написание на двух языках одновременно. Но многие языки содержат буквы как кириллического, так и латинского происхождения. Этим часто пользуются мошенники, перемешивая алфавиты. Например, заменяют похожие или одинаковые буквы: «с» кириллицей пишут вместо «си» латиницей и т. д.

Используются и другие ухищрения с игрой букв. Необходимо помнить, что в начале адресной строки указывается протокол, по которому осуществляется соединение: http:// или https://. Отсутствие S показывает, что не используется защищенный протокол. Это не обязательно признак фишингового сайта, но перед вами домен, где нет защищенной информации. То есть это точно не сайт с интернет-банкингом или чем-то серьезным, когда требуется защищенное соединение.

Далее следует доменное имя. Доменное имя первого уровня — это .ru. Домен второго уровня, скажем yandex.ru, домен третьего уровня — bb.yandex.ru и т. д. Основная масса фишинговых сайтов прячется на втором и третьем уровнях.

Например, после регистрации домена hacker.ru может появляться бесконечное количество поддоменов различного уровня, в том числе и фрагменты популярных интернет-ресурсов. В этом главная задача мошенников — ввести пользователя в заблуждение. Например, может появиться поддомен hacker.ru.yandex.ru. Возможно, некоторые пользователи не обратят внимания на особенности написания сайта и зайдут туда.

Возможны и другие комбинации. Например, вероятно появление ресурса с названием файла yandex.ru.html. Это будет означать, что пользователь попал в домен hacker.ru/yandex.ru.html. Совершенно точно ничего хорошего он там не найдет.

Пользователь всегда сам может проявить бдительность, нажав гиперссылку на PC правой кнопкой мыши и выбрав пункт «проверить». В этом случае название домена состоящее, скажем, из букв кириллического алфавита, имитирующих латиницу, будет отражаться в кодировке Unicode. Например, не авс.сом, а xn-… Главное правило тут следующее: если вы переходите по хорошо известному вам URL на латинице, а он неожиданно меняет написание в браузере на xn-****, это, возможно, фишинг.

Можно еще кликнуть на иконку с изображением замка слева от адресной строки, чтобы проверить информацию о сертификате сайта. Но бывают фишинговые сайты, у которых на первый взгляд «все правильно» — сертификат, зеленый замок. Как их распознать? Изучить дополнительную информацию. Может оказаться, что в данных о сертификате она противоречивая. Например, перед нами вроде бы всем известный сайт «Яндекса», а в информации о сертификате написано, что он выпущен компанией, которая специализируется на бесплатных сертификатах. Маловероятно, что крупная известная компания не будет пользоваться бесплатными сертификатами.

Кроме всего прочего, стоит обратить внимание и на самые очевидные признаки: кривая верстка сайта, кричащие заголовки и баннеры, которые призывают немедленно ввести номер телефона или карты, чтобы выиграть призы, которых раньше никогда не было. Если во внешнем виде сайта что-то смущает, не спешите вводить реквизиты карты или другие личные данные.

Бизнес, который страдает от фишинговых сайтов не меньше своих клиентов, тоже может (и должен) принимать меры по борьбе с мошенниками. В распоряжении корпоративных пользователей есть различные сервисы, которые предоставляют бизнесу услуги по предотвращению фишинга. Например, такие, которые ищут в сети сайты-двойники.

Есть компании, которые предоставляют клиентам информацию о выданных сертификатах. Эти сервисы работают со всеми регистраторами. Когда они выявляют предполагаемую атаку или обнаруживают существующую, то связываются с регистраторами и добиваются того, чтобы фишинговый сайт был разделегирован.

Эта работа достаточно кропотливая. В России есть национальный регистратор, аналогичный имеется в Китае, и еще десятки других в разных странах. Поэтому, как правило, компании, предоставляющие услуги мониторинга новых доменов, для повышения эффективности своей деятельности группируются по сферам бизнеса.

Для борьбы с фишингом используют и превентивные меры. Например, можно заранее сгенерировать всевозможные комбинации названия сайта с различными опечатками и зарегистрировать, чтобы потенциальные злоумышленники не могли их взять себе. В этом случае риск фишинга снижается, но не исключается полностью, потому что абсолютно все сочетания, конечно, закрыть не удастся. Еще один хороший способ — обучать своих пользователей, рассказывать им о видах мошенничества с помощью email-рассылок, в соцсетях и так далее.