Журнал PC Magazine/RE №9/2012. PC Magazine/RE
Читать онлайн книгу.
защиты, благодаря которым можно выявлять новые фишинг-сайты в реальном времени. Данные для настройки могут поступать от службы безопасности компании, а также приходить с сообщениями от клиентов и сотрудников, использующих ту же программу.
Для тестирования мы выбрали тип виртуальной фишинг-атаки, когда мошенник создает новый фишинг-сайт для банка и распространяет ссылки на него. Такой сайт может быть связан в реальном времени с настоящим банковским сайтом, что позволяет мошеннику обойти мощные двухфакторные системы аутентификации, используемые банком для защиты онлайнового контента. Опасность состоит в том, что в процессе регистрации фишинг-сайт пытается запросить у клиента ту же информацию, которую запрашивает легальная система. Затем мошенник передает полученные данные на сайт банка и отдает управление клиенту, получив все секретные данные. Не заметить такую фишинг-атаку легко, тем более что все последующие операции клиент проводит на легальном Web-ресурсе.
Что в этом случае делать? Данные регистрации клиента уже сохранены у преступников, и мошенники могут пользоваться счетом клиента как своим собственным. Но доказать, что последующие обращения к сайту совершались не клиентом, а кем-то еще, будет практически невозможно. Конечно, остается еще один форпост защиты – подключенная функция SMS-оповещения. Однако в случае кражи мобильного телефона клиента эта защита тоже исчезает.
Без такой программы, как Trusteer Rapport, обойтись в этой ситуации сложно. Программа создает специальный значок в поле адреса ввода и с его помощью показывает уровень доверия к текущему Web-сайту. Но даже если клиент не обратил внимания на отличие цвета значка на защищаемом сайте от дозволенного и начал вводить персональные данные (логин и пароль) в Web-форму, Trusteer Rapport остановит процесс и попросит подтвердить их передачу, если обращение производится к неизвестному источнику. Никакие подмены в адресе онлайнового ресурса теперь не страшны.
Проверка защиты от атаки типа «человек посередине» также показала высокую эффективность Trusteer Rapport. Известно, что сегодня в распоряжении мошенников имеется вполне реальная возможность вклиниться между клиентом и Web-сайтом. Несмотря на применение SSL-кодирования в канале передачи данных, злоумышленник может перехватить их трафик и открыть новый SSL-сеанс с адресатом, будто вас попросили шепотом сказать пароль, а вы громогласно произнесли его на публику. При наличии Trusteer Rapport такой «фокус» не пройдет: обнаружив подобную ситуацию, программа выдаст на экран предупреждение о недействительности применяемого сертификата, контролирующего доступ к защищенному онлайновому ресурсу. Если клиент предупрежден, значит, он защищен.
Еще одна опасность – мошенничество типа «человек в браузере» (Man-in-the-Browser). Для проверки этой защиты мы установили специальный BHO-модуль в браузер. Это может сделать любой пользователь. Но при установке антивирусная программа, скорее всего, предупредит его об изменениях. Кажется, что проблемы нет: устанавливаемый BHO-модуль