Фишеры, добывающие обманным путем информацию у пользователей онлайн-банкинга, пользуются для данной процедуры инструментами, имеющими встроенные лазейки в защите, предоставляющие другим доступ к данным, и распознать эти «дыры» многие не в состоянии.

Нитеш Дханджан (Nitesh Dhanjan) намерен рассказать о результатах проникновения в мир фишеров, осуществленном совместно с коллегой Билли Райосом (Billy Rios), на конференции Black Hat в Вашингтоне.

Дханджан утверждает, что большинство фишеров далеки от технического совершенства, ставшего популярным мифом. Многие из них, по словам исследователя, пользуются готовыми наборами программ для фишинга, для работы с которыми особых умений не нужно.

«В эти наборы входят готовые фишинговые сайты, - поясняет он. – Все исследования мы проводили из web-браузера, даже не переходя той черты, за которой начинается взлом».

Дханджан убедился, что найти данные, украденные лишь несколько часов назад, чрезвычайно просто. «Уже через 15 минут после начала исследования мы смогли увидеть номера банковских счетов и кредитных карты, а также номера PIN, размещенные на международных форумах», - рассказывает он.

Но создатели наборов для фишинга используют менее искушенных мошенников в качестве исполнителей. По словам Дханджана, когда он и Райос, оба сотрудники крупных корпораций, провели исследование компьютерного кода в наборах, то обнаружили, что он содержат две различные инструкции для системы, регулирующие отправку данных жертвы по электронной почте.

«Мы поняли, что во второй команде зашифрован адрес электронной почты, на который также отправлялась информация, - сообщает Дханджан. – Так что, без ведома фишера, применяющего готовую программу, добытые им данные отправляются ему, а также заодно и автору программы, так что тут ситуация двоякая: фишер обманывает фишера».

По подсчетам компании Gartner, в 2007 году фишинговые аферы обошлись компаниям в $3,2 млрд., кроме того, они понесли серьезные убытки в дополнение к денежным потерям, так как людям часто очень трудно и долго приходится доказывать, что они не ответственны за расходы, произведенные от их имени.

Дханджан уверен, что проблему решить непросто. Он считает, что пока банки и правительства не разработают более сложную систему, чем простые номера карт, ситуация не изменится. При этом, правда, стоимость внесения подобных изменений превышает стоимость убытков, то есть системы пока останутся прежними.

Источник: Bankir.Ru