среда, 23 июля 2008 г.

Phishing: почему он есть и как с ним бороться.

Пока крайняя мысль на тему фишеров и прочих лишенцев. Давайте рассмотрим, собственно, возможные способы борьбы с этим делом. Для начала лично я попробовал просто подумать (анализом это не назвать) как письмо фишера появляется в почтовом ящике пользователя. Что приводит к тому, что этот вид мошенничества так распространен?

1) Рассылка таких писем становится кому то выгодной (да-да, прошли те благородные времена, когда пиратствовали по зову сердца ;) ). В первую очередь выгодна она людям, которые и являются фишерами, во вторую - владельцам спам сетей, о которых мы вспомним еще чуть позже в этой публикации. Бороться с выгодностью можно разными способами. Например, обучать пользователей. Обученный пользователь с меньшей вероятностью засветит свою кредитку на подложном сайте, тем самым снизив рентабельность фишера. Другим способом являются создание различных международных договоров, организаций и прочих нормативных актов, способствующих поимке и наказанию мошенников (а мы ведь помним, что фишер с точки зрения УК это банальный мошенник, отличающийся от лохотронщика только инструментарием). Международных потому, что фишер, сидя в России, может наносить ущерб швейцарским клиентам американского банка. Создание такой "противорыбачной" сети так же снизит прибыльность предприятия. Трудно ведь назвать прибыльной операцию, принесшую несколько десятков тысяч долларов, за которую придется отсидеть пару лет. А то и не пару.

2) Фишерскую атаку легко организовать. Для нее есть отличный транспорт: спам-сети, о которых я уже упомянул. Дешево и массово. Нет, я видел случаи комбинированных атак, когда в почтовый ящик кидают обычное письмо, просящее зайти на страничку в интернете и "подтвердить" свои данные путем ввода реквизитов банковской карты и PIN кода. Слышал я и о полностью "бумажных" аферах, когда просто требуют перечислить некую сумму на банковский счет, потому что иначе "все будет плохо и банк Вас заблокирует". Но это как раз дорого и не массово, а, следовательно, плохо удовлетворяет пункту 1. Таким образом, мы приходим к мысли о борьбе фишерами и прочей нечистью путем борьбы со спамерами, которые и сами по себе являются злом (кто-нибудь не знает, что до 95% почтового трафика в мире является спамом?). Нет спама - нет фишерских писем в ящике, значит, нет прибыли. Остаются другие способы доставки, но на то она и безопасность, чтобы быть забегом наперегонки со злоумышленником. Да и не такие они выгодные эти другие каналы доставки. Одна беда: победа над спамом, похоже, является лишь несбыточной мечтой. Пока. Есть разные идеи, например, идея Эльдара Мусаева или Sender ID от MS. Но эти идеи требуют всеобщего внедрения. Частными инициативами здесь ничего не добьешься.

3) Пользователи. Я всегда говорил, что не было бы пользователей - не было бы проблем. =) Но, увы, мы живем в не идеальном мире, в котором пользователь не верит всякому письму "счастья", электронному или бумажному. Где пользователи сначала думают, потом… Ну, хватит мечтать. Этим делу не поможешь. Если письмо с просьбой нажать красную кнопку, под которой написано «Self Destruction» попало в ящик пользователя, то пользователь эту кнопку нажмет. Исходить нужно, увы, из этого предположения. И повлиять на это можно только обучением пользователя или отчуждением его от канала распространения атаки.

Ну, а вкратце, подводя итоги всей этой писанины можно сказать, что Путь Меча проходит лечение данной проблемы должно быть комплексным (удивил, да? =) ) и включать в себя 1) технические и организационные меры по уничтожению каналов доставки вредоносных писем

2) создание нормативно-правовой базы и международных организаций для борьбы с киберпреступлениями. (кстати, может уже есть такие организации кроме ИнтерПола, кто-нибудь знает?)

3) обучение конечных пользователей. Мне за назойливое повторение этой истины скоро памятник поставят из навоза, но я по прежнему убежден: пользователь должен быть обучен. Иначе никакие ухищрения не спасут. Должна постепенно зарождаться культура информационной безопасности, такая же как культура поведения за столом или культура пития.

Вот такой вот набор банальностей ;)

2 комментария:

Анонимный комментирует...

Только не fishing, а phishing - зачем хороших людей рыбаков обижаешь?

Alexander Trofimov комментирует...

Спасибо большое. Что-то я с этим двуязычием... Обратная калька, будь она неладна =)