Сложить слово Phishing

В «Теме дня» мы довольно редко пишем о фишинге. В первую очередь это связано с пристрастиями авторов: как правило, фишинг, несмотря на возможные тяжёлые последствия — результат обычной человеческой невнимательности, а не технологических усилий злоумышленников. Так как с человеческой невнимательностью что-либо сделать на уровне технических решений сложно, то усилий никто особо и не прилагает. Так, на одной из посещённых автором статьи закрытых конференций была озвучена следующая, пусть и условная, пропорция: человеческий фактор приводит к 90% инцидентов, связанных с компьютерной безопасностью, в то время как 90% усилий приходятся на закрытие технических факторов. Тем не менее первые публикации нового, 2019, года демонстрируют и новую технику со стороны злоумышленников, и то, что направлено это искусство против технических контрмер.

Один из возможных способов автоматизированной борьбы с фишингом — поиск ключевых признаков официальных страниц крупных сервисов на посторонних ресурсах. Это может быть повторяющееся название компании, её логотип и тому подобные критерии. Понятно, что так можно работать только по сравнительно узкому списку самых привлекательных целей, но это уже лучше, чем ничего.

Сообщение об очередной попытке похищения реквизитов доступа к личному кабинету одного крупного американского банка само по себе новостью и не являлось бы. Новостью оказалось то, что при этом злоумышленники — видимо, впервые в практике — использовали специально разработанные шрифты в формате WOFF (Web Open Font Format). Во внедрённых в страницу шрифтах буквы выглядели привычным образом, но в самом шрифте шли не в алфавитном, а в установленном хакерами порядке. Таким образом, пользователь при этом видел вполне правдоподобную страницу ввода реквизитов, но исходный текст веб-страницы оказывался зашифрованным, причем самым примитивным образом. Обычно эту подстановку делают на уровне JavaScript, и автоматизированные системы, нацеленные на поиск фишинга, уже научились разбираться в такого рода атаках. Но подстановка на уровне шрифтов оказалась не по силам существующим системам. В качестве дополнительной меры надо отметить, что и картинка с логотипом банка, за который выдавали себя мошенники, была преобразована в векторный формат, а описание помещено в текст страницы, так что и этот способ анализа страниц был перекрыт. По словам авторов публикации, применение для атак этого способа началось в мае-июне прошлого года.

Поддержка в современных стандартах вёрстки сайтов возможности использовать шрифт специального вида появилась уже некоторое время назад, просто злоумышленники ей до сих пор не пользовались. Понятно, зачем это может использовать дизайнер, но, как выяснилось, злоумышленники тоже оценили эту возможность.

Надо сказать, что различия начертания в шрифтах и сходство символов разных алфавитов остаются вектором атаки, который, к счастью, пока применяется ограниченно. Автору статьи довелось участвовать в рабочих группах ICANN, в которых обсуждалось, действительно ли символы разных алфавитов можно считать похожими. При этом всегда возникает вопрос об эталоне начертания — и выясняется, что даже начертания на сайте консорциума Unicode меняются из года в год, иногда довольно заметно. Ещё одна опасность, подстерегающая в сети — использование символов разных алфавитов (например, вариантов буквы “а” с различными диакритиками бывает около десятка) для создания подделки, плохо отличимой от оригинального доменного имени. Количество таких вариантов, в свою очередь, измеряется сотнями, так как букв, допускающих замену на похожие, в доменном имени, как правило, не одна. Скорее всего, регистратурам ещё предстоит принять контрмеры против этой угрозы. Запрета на смешение символов из разных языковых групп явно недостаточно — многие алфавиты содержат символы, похожие друг на друга. Да и что далеко ходить: в русском языке есть пары “и — й”, “е — ё”, “ш — щ”, “ъ — ь”, которые вполне подходят для проведения похожей атаки.

Отдельно можно вспомнить идею использовать в доменных именах эмодзи. Некоторые национальные регистратуры (например, .FM) объявили о запуске регистрации подобных доменов, и регистратуры New gTLD попробовали последовать их примеру. Потребовалось выпустить специальное разъяснение Консультативного комитета по стабильности и безопасности (Security and Stability Advisory Comittee, SSAC), чтобы охладить погоню за «стильными, модными, молодёжными» доменными именами. И действительно: проблема визуального сходства, да ещё и отсутствие порой единых наименований даёт массу возможностей зарегистрировать на каждое имя с использованием эмодзи с десяток визуально похожих. Так что в доменах верхнего уровня эмодзи строго запрещены, а на более нижнем — категорически не рекомендованы.

А в конце статьи напоминаем, что по-прежнему единственным надёжным способом противостояния фишингу остаётся один. Все страницы входа в личные кабинеты должны быть сохранены в закладках браузеров, и входить надо только с использованием этих закладок, в крайнем случае — набирая заведомо известные адреса сайтов самостоятельно. Кроме того, необходимо внимательно смотреть на полный URL в адресной строке. Чего никак нельзя делать, так это переходить на сайты по ссылкам из писем, особенно если браузер или почтовая программа выдаёт какое-либо предупреждение о проблемах с безопасностью.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку