Компьютерра - Журнал «Компьютерра» № 39 от 24 октября 2006 года

Нужны ли дорогие компьютеры? Мне — очень. Не те, что предлагают сейчас, на которых Doom летает и Word не задумывается. Мне нужно, чтобы Word именно задумывался! Мне нужны компьютеры, о которых мечтали полвека назад, компьютеры, обладающие искусственным интеллектом безо всяких кавычек, компьютеры, наделенные сознанием и волей. Чтобы тот же Word, поразмыслив, сказал: «знаешь, поди лучше погуляй, не переводи зря электричества», или, напротив, — «сегодня ты, брат, в ударе, работай дальше».

Но сумеют ли осуществить мою мечту разработчики, всю жизнь прикованные к ядру дешевизны во имя гренадского крестьянина?

Других-то нет…

Автор: Родион Насакин

Пару лет назад стандартный набор распространенных интернет-угроз пополнился еще одним видом криминала. В прессе все чаще стало мелькать слово «фишинг» (phishing), под которым поначалу понимали лишь почтовые рассылки, осуществляемые мошенниками от имени финансовых и торговых структур, дабы выведать конфиденциальные платежные данные пользователей. В 2004 году объем циркулировавших в Сети сообщений с подобным содержанием внезапно подскочил, количество потерпевших приняло угрожающие масштабы, а деловое и ИТ-сообщества в спешном порядке взялись за разработку мер противодействия внезапной напасти. Правда, за прошедшее с тех пор время все их усилия не позволили не то что ликвидировать угрозу, но даже замедлить темпы ее нарастания.

Разумеется, выуживать чужие пароли и реквизиты онлайн-мошенники начали гораздо раньше. Сам термин «phishing», созвучный с «fishing» («рыбалка») и расшифровывающийся как «password harvesting fishing» [По другой версии, термин расшифровывается как «phone fishing», так как первоначально под ним подразумевалось мошенничество с телефонными аккаунтами AOL.], впервые прозвучал на мюнхенской конференции Virus Bulletin Conference в 1998 году. Речь шла об исследовании защищенности почтовых сервисов AOL перед троянскими атаками, однако случайно специалисты столкнулись с другим криминальным явлением. Поначалу большинство фишеров было заинтересовано именно в получении логинов/паролей для аккаунтов AOL, чтобы в дальнейшем использовать их при рассылке спама и хостинге сайтов, сомнительных с точки зрения законности контента. В начале 90-х злоумышленники относительно просто могли создавать учетные записи в службах американского телекома, пользуясь сгенерированными номерами кредиток. После того как AOL обеспокоилась этими махинациями и ужесточила правила регистрации, случаи фишинга стали учащаться.

К тому же времени относится появление основных мошеннических приемов, которые можно отнести к так называемой «социальной инженерии». На массового пользователя успокаивающе действовало наличие в письме форм сбора данных и прочих html-прелестей на пару с официальным оформлением, что для многих служило доказательством солидности респондента. В письмах псевдослужащие техподдержки AOL рассказывали истории о сбоях в работе оборудования или СУБД, извинялись и просили о помощи. Причем неотложной. Во избежание появления у пользователя ненужных мыслей ему предлагали немедленно ввести свой пароль, пугая удалением аккаунта. В дальнейшем фишинг становился изощреннее только в техническом плане, психологическая же основа осталась прежней. Наличие правдоподобной легенды, побуждающей пользователя к необходимым действиям, — непременная составляющая успеха мошенников.

Позднее с кражи AOL-аккаунтов мошенники перешли на сбор номеров кредитных карт и распространили свою деятельность на любой мало-мальски известный финансовый брэнд. Довольно быстро появилась такая модификация фишинга, как спуфинг. От классической схемы этот вариант отличается тем, что в письме жертву просили перейти на сайт банка или компании для заполнения авторизационной формы по прилагаемому линку. Ссылка не вызывает особых подозрений, поскольку ее URL обычно очень похож на URL реального учреждения (тайпсквоттинг) или же текст ссылки не соответствует ее реальному «направлению». Те, кто клюнул и кликнул, заходили на специальную веб-страницу, повторяющую дизайн сайта оригинальной компании, где и вводили необходимые данные. Особо старательные фишеры вообще подделывают ресурсы целиком.

Забегая вперед, отмечу, что в настоящее время мошенники все чаще не утруждают пользователя собственноручным вбиванием паролей и PIN-кодов в формы и используют трояны. Да и задача в этом случае сильно упрощается — достаточно заставить пользователя перебраться на фишерский сайт и «подцепить» программу, которая самостоятельно разыщет на винчестере жертвы все, что нужно. А с прошлого года наравне с троянами стали использоваться и кейлоггеры. Шпионские утилиты, отслеживающие нажатия клавиш, загружают на компьютеры жертв на подставных сайтах. Если в конце 2004 года Websense каждую неделю обнаруживала по паре новых кейлоггеров и пятнадцать распространявших их сайтов, то полгода спустя эти показатели выросли до десятка и сотни соответственно. При использовании такого подхода необязательно находить выходы на клиентов конкретного банка или компании, а потому подделывать стали и сайты «общего назначения», такие как новостные ленты и поисковые системы.

Как уже упоминалось, озабоченность проблемой фишинга приняла массовые масштабы в 2004 году. Нельзя сказать, что к тому времени фишинг встал на первое место среди видов интернет-криминала, если оценивать по убыткам, которые понесли потерпевшие. Спам, вирусы и DoS-атаки «рыбакам» обойти не удалось. Встревожили относительные показатели. По данным mi2g, если ущерб, нанесенный фишерами мировой экономике, в 2003-м составлял $14 млрд., то год спустя он достиг $44 млрд. По статистике Symantec, в середине 2004 года фильтры компании еженедельно блокировали до 9 млн. писем с фишинговым контентом. К концу года за тот же период отсеивалось уже 33 млн.

Наиболее авторитетная в этом вопросе организация APWG (Anti-Phishing Working Group) подсчитала, что число подставных сайтов в Сети за последние шесть месяцев 2004 года увеличилось вчетверо и превысило 2,5 тысячи, а количество атак за год выросло в тридцать раз. Та же организация сообщила, что эффективность фишерских рассылок может достигать 5%, то есть каждый двадцатый получатель письма становится жертвой мошенников.

В том же году фишинг пришел в Россию. Первыми пострадали клиенты «Ситибанка», которые получили письма с просьбой уточнить данные своих пластиковых карт, якобы потерянные в результате сбоя в банковской системе. При переходе по ссылке, указанной в сообщении, клиент попадал на страницу, где ему предлагали ввести номер карты и PIN-код. В общем, местные фишеры не стали изощряться и воспользовались классической схемой. В мае 2004 года банк распространил заявление о своей непричастности к рассылке подобных сообщений. К тому времени, по некоторым источникам, фишерская кампания, направленная на клиентов «Ситибанка», уже шла по меньшей мере три месяца. К чести организации следует упомянуть, что президент банка пообещал при получении уведомлений о потере денежных средств действовать в интересах клиента, оценивая каждый случай в индивидуальном порядке.