Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 29

Из всех возможных вариантов получения несанкционированного (скрытого) доступа к учетной записи самым эффективным на сегодняшний день является использование фишинг-движков, также называемых фэйками. Основан этот метод на веб-программировании и социальной инженерии.

Схема взаимодействия с почтовым сервером

Теперь рассмотрим две схемы обращения пользователя к интерфейсу ресурса: штатной работы пользователя с почтовым сервером и работы пользователя, когда вмешивается фишинг (рис. 1.15, 1.16).

Рис. 1.15.Упрощенная схема штатной работы с почтовым сервером

Рис 1.16.Схема работы с почтовым ящиком при фишинге

Получение пароля для доступа к электронному почтовому адресу без его модификации осуществляется посредством использования фишинг-движков, визуально имитирующих интерфейс сервиса, на базе которого находится учетная запись. Цель атаки достигнута,

Три основные функции фишинг-движка

Движки выполняют три основные функции:

— имитация интерфейса по заданной ситуации, связанной с операциями пользователя (авторизация, получение файла, изменение настроек учетной записи и многое другое);

— копирование и обработка незаконно полученных учетных данных пользователя;

— возврат пользователя на соответствующую ситуации страницу официального сервиса.

Для того чтобы движок заработал, его нужно собрать. Он состоит из элементов (картинок, текста, ссылок и анимации), скопированных с официального интернет-ресурса, и программ-скриптов, написанных злоумышленником.

Собранный и готовый к работе движок злоумышленник размещает на сервере (виртуальном хостинге) и «прикручивает» к нему заранее подготовленное доменное имя.

Учитывая, что в состав движка, кроме статических данных и html-разметки, входят программы, написанные на языках программирования, для функционирования фэйка необходимы определенные минимальные требования системного окружения хостинга.

Разобрать детально механизм фишинг-сайта (фэйка) необходимо по нескольким серьезным причинам:

— во-первых, непонимание всего механизма приводит к заблуждению по поводу технической сложности фишинг-атак;

— во-вторых, непонимание технической стороны фишинг-сайта приводит к ошибочной квалификации преступных действий злоумышленников;

— в-третьих, не зная принципов создания фишинг-движков, многие продолжают верить в реальную действенность методов автоматической защиты от фишинг-атак.

Для подробного рассмотрения движков в локальной среде не потребуется заморский или абузоустойчивый хостинг[19].

Воспользуемся теми же доступными и легальными средствами, которыми пользуются злоумышленники для проверки интерфейса и отработки программ, входящих в состав движков. К таким средствам относятся программы, имитирующие работу полноценного веб-сервера.