Антифішинговий фільтри в сучасних браузерах

1. Статистика фішингових атак
2. Антифішинговий захист в Opera
3. Захист від фішингу та шкідливих програм в Google Chrome
4. Захист від фішингу в Firefox
5. Захист від фішингу та шкідливих програм в Safari
6. Фільтр SmartScreen в Internet Explorer 8
7. висновок

Найбільш розвиненою формою шахрайства в Інтернеті, поза сумнівом, є фішинг. Зловмисники використовують перехоплювачі клавіатури, поштові повідомлення, складені за всіма правилами соціальної інженерії, спеціально розроблені сайти і інші засоби. Дедалі винахідливішими стають атакуючі, все вище рівень їх підготовленості. Про це вже було сказано чимало. Нагадаю, що фішинг (рhishing) - вид інтернет-шахрайства, який полягає в розсилці електронних повідомлень з метою крадіжки конфіденційної інформації (як правило, фінансового характеру). Фішинг-повідомлення складаються таким чином, щоб максимально бути схожим на інформаційні листи від банківських структур або компаній з відомими брендами. Листи містять посилання на завідомо неправдивий веб-ресурс, спеціально підготовлений зловмисниками і є копією сайту організації, від імені якої надіслано листа. На даному фальшивому сайті користувачеві пропонується ввести, наприклад, номер своєї кредитної картки та іншу конфіденційну інформацію.

Статистика фішингових атак

За даними звіту APWG (Anti-Phishing Work Group, http://www.antiphishing.org/reports/APWG_GlobalPhishingSurvey_2H2009.pdf ) У другій половині 2009 року:

• скоєно 126 697 фішингових атак, що вдвічі перевищує показники першого півріччя 2009 року (55 698 атак). Під фішинговою атакою мається на увазі використання фішингових сайту відомої торгової марки;
• атакуючі використовували 28 775 унікальних доменних імен. За першу половину 2009 року задіяно 30 131 унікальних доменних імен;
• в атаках використаний 2 031 унікальний IP адресу (наприклад, http://96.56.84.43/ClientHelp/ssl/index.htm ) - це менш, ніж 3 563 у першій половині 2008 року.

За даними антивірусних компаній, кожен день з'являється від 15 тис. До 50 тис. Нових шкідливих програм (або близько мільйона кожен місяць) - тут дослідники посилаються на Касперського. За даними Trend Micro, 53% шкідливих програм встановлюється через інтернет-завантаження, 12% - з пошти, 7% - експлойти IFrame.

Як же захиститися від фішингу? Можливе застосування наступних заходів.

1. Уважність самого користувача. Міра в принципі розумна, проте малоймовірно, що всі користувачі раптом стануть уважними.
2. Фішингові фільтри в спеціалізованому антивірусний програмному забезпеченні.
3. Фішингові фільтри в браузерах.

Саме про останній пункт хотілося б розповісти докладніше.

Антифішинговий захист в Opera

Якщо в Opera включена функція «Захист від шахрайства» (Fraud and Malware Protection) то ви на початку кожного сеансу з конкретним веб-сайтом перевіряєте адреса, використовуючи зашифровані канал (https). Opera передає ім'я домену та адреса запитуваної сторінки і перевіряє його по чорних списків фішингових посилань, який формується Netcraft ( http://www.netcraft.com/ ) І PhishTank ( http://www.phishtank.com/ ), А також по чорних списків сайтів з шкідливим ПЗ від Yandex.

Якщо доменне ім'я співпаде з ім'ям з чорного списку, Fraud and MalwareProtection server повертає XML-документ браузеру, в якому буде описана проблема (фішинг або шкідливе програмне забезпечення).

1. Функція «Захист від шахрайства» в Opera включена за замовчуванням.
2. При відвідуванні будь-якої сторінки будь-якого веб-сайту ім'я відвідуваною сторінки з обчисленим хешем доменного імені передається по https на Opera Fraud and Malware Protection server. Локальні адреси не передаються.
3. Opera Fraud and Malware Protection server не зберігаються IP-адреса або будь-яку іншу дозволяє ідентифікувати вас інформацію. Ніяка сесійний інформація, включаючи куки, не зберігається.
4. Ви можете в будь-який час відключити функцію «Захист від шахрайства» (екран 1). Меню - Настройки - Загальні настройки (Crtl-F12) - Безпека.

Якщо веб-сайт знайдений в чорному списку, відкриється вікно з попередженням; необхідно буде вирішити, відвідувати підозрілу сторінку або повернутися на домашню. Механізм захисту від шахрайства не робить ніякого впливу на швидкість відкриття веб-сторінок.

Захист від фішингу та шкідливих програм в Google Chrome

Даний фільтр включений в браузері Google Chrome за умовчанням. При спробі відвідування сайту, підозрюваного у фішингу або розповсюдженні шкідливих програм, браузер показує попередження: «Увага: відвідування цього сайту може завдати шкоди вашому комп'ютеру!». Дане повідомлення відображається в тому випадку, якщо Google Chrome виявив, що сайт може містити шкідливу програму, тобто код, метою якого є викрадення вашої конфіденційної інформації або завантаження на комп'ютер небезпечного програмного забезпечення.

Повідомлення «Ймовірно, це не той сайт, який ви шукаєте!» Відображається в тому випадку, якщо URL, вказаний в сертифікаті, не збігається з дійсною адресою сторінки. Це означає, що даний сайт може виявитися підробленим. При підключенні до сайту, який використовує протокол SSL для передачі даних, сервер, на якому розміщений цей сайт, надає Google Chrome та іншим браузерам сертифікат, що підтверджує справжність сайту. Цей сертифікат містить, наприклад, інформацію про адресу веб-сайту, підтверджену незалежною організацією. Перевірка відповідності фактичного і зазначеного в сертифікаті адрес веб-сайту дозволяє підтвердити справжність сайту. Можливі причини появи попередження наступні.

• Дані, що передаються на сервер, перехоплюються сторонніми особами, які надають сертифікат іншому веб-сайту. Це може виявитися причиною невідповідності.
• Налаштування сервера можуть допускати надання одного і того ж сертифіката кільком пов'язаним веб-сайтам, включаючи той, який ви хочете відвідати. При цьому для деяких веб-сайтів такий сертифікат може бути недійсним. Наприклад, в сертифікаті може бути адреса був призначений додатковий http://www.cucumbers.com , Однак ми не можемо перевірити, що це той же веб-сайт, що і http://cucumbers.com .

Якщо ви абсолютно впевнені в надійності сайту, можете відкрити його, натиснувши «Все одно продовжити». В інших випадках рекомендується натиснути «Краще не ризикувати», щоб повернутися на останню відвідану сторінку.

Проблеми з відображенням сторінок (Windows): «Сертифікат безпеки сайта ненадійний!» Сертифікати можуть видаватися ким завгодно, тому Google Chrome перевіряє, надійної чи організацією він випущений. Це повідомлення вказує на те, що видавець сертифіката не є якою-небудь відомою незалежною організацією.

Це попередження з'являється в Google Chrome, якщо сертифікат сайту не підписаний визнаною незалежною організацією. При підключенні до веб-сайту, який використовує протокол SSL для передачі даних, сервер, на якому розміщений цей сайт, надає Google Chrome та іншим браузерам сертифікат, що підтверджує справжність сайту. Даний сертифікат містить, наприклад, інформацію про адресу веб-сайту, підтверджену незалежною організацією, яка на вашому комп'ютері вказана як заслуговує на довіру. Перевірка відповідності фактичного і зазначеного в сертифікаті адрес сайту дозволяє підтвердити справжність відкривається ресурсу. Причина появи попередження: незалежна організація, що випустила сертифікат проглядається веб-сайту, не є довіреною організацією для вашого комп'ютера. Створити сертифікат, що свідчить про приналежність якого-небудь сайту, може хто завгодно. Щоб в Chrome виконувалася перевірка підключення до відповідного веб-сайту, його сертифікат повинен бути випущений довіреної організацією.

Якщо ви абсолютно впевнені в надійності сайту, можете відкрити його, натиснувши кнопку «Все одно продовжити». В інших випадках рекомендується натиснути «Краще не ризикувати», щоб повернутися на останню відвідану веб-сторінку.

«Термін дії сертифіката безпеки сайта втратив чинність!» Або «Сертифікат безпеки сервера ще не є дійсним!». Якщо ви бачите одне з цих повідомлень, значить, сертифікат зараз недійсний. Тому Google Chrome не може гарантувати безпеку даного сайту.

«Сертифікат безпеки сервера відкликано!». Незалежна організація, що випустила сертифікат, зазначила його як недійсний. Тому Google Chrome не може гарантувати безпеку даного сайту.

Відключення захисту від фішингу та шкідливих програм здійснюється наступним чином. Натисніть на значок гайкового ключа на панелі інструментів браузера (екран 2). Користувачам Mac: якщо значок гайкового ключа не відображається, перейдіть в панель меню у верхній частині екрану і натисніть Chrome. Виберіть «Параметри» (або «Налаштування на Mac»). Перейдіть на вкладку «Розширені» і знайдіть розділ "Конфіденційність". Зніміть прапорець "Увімкнути захист від фішингу та шкідливих програм» (екран 3). Якщо використовується операційна система Windows або Linux, натисніть «Закрити» після завершення налаштування.

Функція безпечного перегляду, що відповідає за виявлення в Google Chrome фішингу та шкідливих програм, призначена для захисту комп'ютера і конфіденційності користувача. При цьому з метою економії пропускної здатності додатково на комп'ютер і з комп'ютера передаються невеликі обсяги даних. При включенні цієї функції в браузер завантажується список з інформацією про сайти, які можуть містити шкідливі програми або підозрюються у фішингу. Цей список не містить повні адреси URL кожного підозрілого сайту. Замість цього кожен URL хешіруется (змінюється таким чином, що його не можна прочитати) і розділяється на фрагменти. Тільки частина кожного хешіруемого URL включається в список в браузері.

При роботі в Інтернеті браузер створює хешировать версії відвідуваних URL і перевіряє їх відповідно до списку. Якщо адреса відвідуваного сайту відповідає хешировать фрагменту URL в списку, браузер зв'яжеться з серверами Google і запросить повний список (а не тільки фрагменти) хешировать URL підозрілих сторінок. Потім ваш комп'ютер визначить, чи є сайт підозрілим, і виведе відповідне попередження. При зверненні комп'ютера до Google для отримання додаткової інформації про певний хешировать фрагменті URL або для оновлення списку ми отримуємо стандартну журнальну інформацію, що включає IP-адреса комп'ютера і, можливо, файл cookie. Ця інформація не дозволяє ідентифікувати вас і зберігається всього кілька тижнів. Вся інформація, отримана таким чином буде захищено відповідно зі стандартними умовами політики конфіденційності Google.

Захист від фішингу в Firefox

Функція Phishing and Malware Protection перевіряє сторінки, куди ви збираєтеся перейти по базі фішингових і шкідливих сайтів, яка кожні 30 хвилин оновлюється на комп'ютері, звичайно ж якщо фільтр Phishing and Malware Protection включений. Технічні деталі опису використовуваного протоколу можна знайти за адресою http://code.google.com/p/google-safe-browsing/wiki/Protocolv2Spec .

Існує дві ситуації, коли Firefox зв'язується з партнерами Mozilla:

• регулярне оновлення бази фішингових і шкідливих сайтів;
• в разі якщо ви стикаєтеся з фішингових сайтом або з шкідливою програмою; перед блокуванням сайту Firefox буде запитувати повторну перевірку для гарантії того, що сайт, про який повідомляють, що не був вилучений зі списку, починаючи з останнього оновлення.

Слід врахувати, що фільтр Phishing and Malware Protection включений за замовчуванням (екран 4).

Захист від фішингу та шкідливих програм в Safari

Захист від фішингу в Safari включена за замовчуванням (екран 5). Як тільки ви захочете відвідати веб-сайт, відомий як фішинговий, Safari виведе попередження: «The website you are visiting has been reported as a« phishing »website. These websites are designed to trick you into disclosing personal or financial information, usually by creating a copy of a legitimate website, such as a bank ». Для пошуку фішингових сайтів Safari використовує технології Google. Як тільки ви намагаєтеся відвідати деяку сторінку в Safari, він з'єднується з Google і запитує інформацію з двох основних баз Google: бази фішингових посилань і бази посилань на шкідливі програми.

Фільтр SmartScreen в Internet Explorer 8

Сьогодні до складу Internet Explorer 8 включений фільтр SmartScreen - технологія, а вірніше, набір технологій, призначений для захисту користувачів від можливих інтернет-загроз, в тому числі загроз соціальної інженерії. Базується SmartScreen на технології фішингових фільтра в Internet Explorer 7. Сьогодні фільтр SmartScreen призначений для захисту користувачів від відомих шкідливих веб-вузлів, а крім того, даний фільтр включає захист від ClickJacking, технології, застосовуваної для перехоплення клавіш, спотворення веб-сторінок і т. д.

Для того щоб включити SmartScreen, необхідно (екран 6):

• в меню Internet Explorer 8 вибрати «Безпека»;
• в випадаючому меню вибрати фільтр SmartScreen і включити SmartScreen.

Що стосується SmartScreen, то тут хотілося б навести кілька цифр.

• З початку березня 2009 року SmartScreen заблокував понад 560 млн спроб завантаження шкідливих програм.
• Щогодини SmartScreen блокує більше 125 тис. Потенційно небезпечних сайтів і програм.
• Кожну хвилину виконується майже 2 тис. Потенційно небезпечних завантажень.

Фільтр SmartScreen в Internet Explorer 8 попереджає користувача про підозрілих або вже відомих шахрайських веб-вузлах. При цьому фільтр проводить аналіз вмісту відповідного сайту, а також використовує мережу джерел даних для визначення ступеня надійності сайту. Фільтр SmartScreen поєднує аналіз веб-сторінок на стороні клієнта на предмет виявлення підозрілої поведінки з онлайн-службою, доступ до якої користувач дозволяє або забороняє. При цьому реалізується три способи захисту від шахрайських і шкідливих вузлів.

1. Порівняння адреси відвідуваного сайту зі списком відомих сайтів. Якщо сайт знайдений в цьому списку, більше перевірок не проводиться.
2. Аналіз сайту на предмет наявності ознак, характерних для шахрайських сайтів.
3. Відправка адреси сайту, на який користувач збирається зайти, онлайн-службі Microsoft, яка шукає сайт в списку фішингових і шкідливих сайтів. При цьому доступ до онлайн-службі проводиться асинхронно по SSL-з'єднання, так що це не позначається на швидкості завантаження сторінок.

За допомогою Internet Explorer 8 ви можете дізнатися, чи є вузол шахрайським. Для цього виберіть з меню «Безпека» пункт Фільтри SmartScreen, а потім «Перевірити веб-вузол» (екран 7).

З метою дотримання режиму конфіденційності стан фільтра SmartScreen за замовчуванням не визначено, і тому користувач отримує запит, включити або відключити цю функцію. За замовчуванням при першому ж запуску Internet Explorer 8 фільтр SmartScreen пропонує користувачеві включити автоматичну перевірку або відключити зовсім. Робота фільтра SmartScreen грунтується на службі Microsoft URL Reputation Service (URS), що здійснює цілодобову підтримку. Якщо фільтр SmartScreen включений, то він переглядає локальний список відомих дозволених вузлів і відправляє адреса URL вузла службі URS для перевірки.

Щоб уникнути затримок звернення до URS виробляються асинхронно, так що на роботі користувача це не відбивається. Щоб зменшити мережевий трафік, на клієнтському комп'ютері зберігається зашифрований DAT-файл зі списком тисяч найбільш відвідуваних вузлів; всі включені в цей список вузли не піддаються перевірці фільтром SmartScreen. У фільтрі SmartScreen також застосовується механізм локального кешування адрес URL, що дозволяє зберігати раніше отримані рейтинги вузлів і уникнути зайвих звернень по мережі. Один із способів виявлення потенційно підставних вузлів, застосовуваний службою URS, - збір відгуків користувачів про раніше невідомі вузлах. Користувач може вирішити, чи слід відправляти інформацію про вузол, який викликає у нього підозри.

Для захисту від фішингу та експлойтів фільтр SmartScreen досліджує рядок URL цілком, а не підмножина адрес URL, на які заходив користувач. Врахуйте, що службі URS можуть бути передані особисті відомості, оскільки іноді вони знаходяться в самому рядку URL.

Фільтр SmartScreen можна включати або відключати вибірково для кожної зони безпеки, але тільки в тому випадку, коли ця функція включена глобально. За замовчуванням фільтр SmartScreen включений для всіх зон, крім місцевої інтрамережі. Якщо ви захочете виключити деякі вузли зі списку перевіряються фільтром SmartScreen, але не відключати при цьому фільтр повністю, то необхідно включити фільтр глобально, а потім відключити фільтрацію тільки для зони «Надійні вузли», після чого окремі сайти додати в цю зону. Для того щоб користувачі в організації не могли відключити фільтр SmartScreen, необхідно застосувати групову політику.

Налаштувати цей параметр можна в папці редактора об'єктів групової політики:

Конфігурація користувача \ Адміністративні шаблони \ Компоненти Windows \ Internet Explorer \ Панель управління браузером \ Вкладка безпеки \ (екран 8).

В таблиці 1 наведені відомості про параметри безпеки, що відносяться до цієї технології в Internet Explorer 8.

Крім зазначених параметрів для кожної зони, можна задати два глобальних параметра фільтра SmartScreen (опис наведено в таблиці 2 ) В папці редактора об'єктів групової політики: Конфігурація користувача \ Адміністративні шаблони \ Компоненти Windows \ Internet Explorer (екран 9).

висновок

У січні 2010 року лабораторія NSS Labs провела тестування браузерів на захищеність від атак з використанням соціальної інженерії ( http://nsslabs.com/test-reports/NSSLabs_Q12010_GTRBrowserSEM_FINAL.pdf ).

При цьому були отримані наступні результати (див. Малюнок):

• Windows Internet Explorer 8 блокував 85% загроза;
• Safari Apple 4 блокував 29% загроза;
• Mozilla Firefox 3.5 блокував 29% загроза;
• Google Chrome 4 блокував 17% загроза;
• Opera 10 блокувала менше 1% загроз, фактично не забезпечивши захист від атак соціальної інженерії.

Таким чином, можна зробити висновок, що, незважаючи на те що в браузерах сьогодні вже з'явилися технології захисту від фішингу та шкідливих програм, це не може бути єдиною лінією оборони від подібних атак. А отже, користувачі і їхні комп'ютери потребуватимуть спеціалізованому програмному забезпеченні захисту від фішингу.

Володимир Безмалий - Спеціаліст по забезпеченню безпеки, має сертифікати MVP Consumer Security, Microsoft Security Trusted Advisоr. [email protected]

Таблиця 1. Параметри фільтра SmartScreen Об'єкт політики Опис Використовувати фільтр SmartScreen Цей параметр політики визначає, чи слід фільтру SmartScreen перевіряти сторінки в цій зоні на наявність шкідливого вмісту.
Якщо цей параметр включений, фільтр SmartScreen перевірятиме сторінки в цій зоні на наявність шкідливого вмісту. Якщо цей параметр відключений, фільтр SmartScreen не перевірятиме сторінки в цій зоні на наявність шкідливого вмісту.
За замовчуванням користувачеві дозволено ставити цей параметр Таблиця 2. Глобальні параметри фільтра SmartScreen Об'єкт політики Опис Відключити управління фільтром SmartScreen Дозволяє користувачеві включити фільтр SmartScreen, який буде попереджати про те, що відвідуваний веб-вузол може збирати інформацію про вас шахрайським шляхом або розповсюдженні шкідливих програм.
Якщо включити цей параметр, користувач не побачить пропозиції включити фільтр SmartScreen; при цьому адреси всіх веб-вузлів, відсутніх в списку дозволених вузлів фільтра, автоматично направляються корпорації Microsoft, не питаючи згоди користувача.
Якщо функція відключена або цей параметр не заданий, користувачеві буде запропоновано визначити режим роботи фільтра SmartScreen при? Першому запуску оглядача Запобігання блокування попереджень фільтра SmartScreen Цей параметр керує поведінкою фільтра SmartScreen.
Якщо цей параметр включений, користувачеві забороняється переходити на? Вузли, певні фільтром SmartScreen як небезпечні.
Якщо цей параметр відключений або не заданий, користувач може пропустити попередження фільтра SmartScreen і перейти на? Небезпечні вузли