Недавно беларуское интернет-сообщество познакомилось с очередным трюком, который провел Белтелеком вместе с правоохранительными хакерами. Имя этому трюку “фишинг”. Опасность данной атаки заключается в том, что за считанные часы злоумышленники (в нашем случае, спецслужбы) могут собрать огромное количество логинов и паролей для определенных сайтов. Таким образом они могут получить доступ к вашему аккаунту на фэйсбуке, твиттере, гмэйле и т.д.
Для борьбы с врагом надо знать его в лицо. В этой небольшой заметке мы попытаемся описать фишинг понятным языком.
Принцип интернет-фишинга довольно прост: вместо настоящего сайта создается поддельная интернет-страница. Отправляясь по адресу нужной вам страницы, вы переходите на эту поддельную, где вас просят ввести свой логин и пароль в определенные поля. Иногда это сопровождается каким-нибудь нелепым текстом о том, что надо подтвердить ваш пароль или еще что-то в этом духе. Часто фальшивые сайты ничем не отличаются от сайтов оригиналов.
Обычно, чтобы попасть на фальшивый сайт, злоумышленники используют методы социальной инженерии, т.е. отправляют вам письма на почтовый ящик, в которых говорится, что вам необходимо подтвердить ваш аккаунт по такой-то ссылке, или же ваш аккаунт будет удален. Ссылки на фишинговые сайты обычно отличаются от оригинала. Однако этот вопрос касается злоумышленников, которые не имеют доступа к провайдеру, которым вы пользуетесь.
Как известно, в Беларуси есть всего один провайдер, который предоставляет доступ к интернету за пределами Беларуси, и имя этому монстру – Белтелеком. Таким образом, все запросы, которые вы отправляете в интернет, вся информация, которая приходит к вам на компьютер и которую вы отправляете в интернет, проходит через Белтелеком. Большинство информации, с которой работает сегодня пользователь, проходит через сеть в незашифрованном виде. К примеру, данные вашего аккаунта от “Контакта” посылаются простым текстом, который в любой момент может перехватить не только Белтелеком, но и злоумышленники из вашей локальной сети.
Опять же, нас интересует случай, когда эти злоумышленники – агенты беларуских спецслужб, т.е. у них есть доступ к каналу Белтелекома и есть возможность перехватывать все необходимые пакеты. Однако, сотрудники оперативно-аналитического центра могут не только копировать ваши данные, но и изменять ваш запрос и перенаправлять вас на нужный им сайт. Таким образом, вы можете оказаться на сайте, который выглядит как сайт твиттера, но на самом деле этим сайтом не является, а представляет из себя лишь картинку. Вы вводите пароль в нужные поля и этот логин уходит к “неправильным” людям.
Как можно защититься от фишинга?
В первую очередь, пользуясь интернетом в такой стране, как Беларусь, стоит понимать, что даже проверенные сайты могут быть опасными. Особое внимание стоит уделять посещаемым вами сайтам во время больших демонстраций и обострений социальных конфликтов в стране.
На данный момент наиболее проверенный способ борьбы с фишингом – ssl протокол (https вместо http в адресной строке браузера). Принцип работы ssl протокола довольно прост: во время установления рабочей сессии с сайтом создается соединение, трафик по которому идет в исключительно зашифрованном виде. Злоумышленнику не представляется возможным не только изменить, но и вообще прочитать вашу информацию.
Для того, чтобы подтвердить подлинность сайта, проводится процедура рукопожатия, на одном из этапов которой веб-сайт отсылает вашему браузеру сертификат, который подписан определенной структурой, занимающейся верификацией сайтов и подписанием сертификатов этих сайтов.
Вы можете проверить подписанный сертификат наведя курсор на значок вашего веб-сайта. Для более подробной информации вы можете кликнуть на эту иконку. Если сайт, на котором вы находитесь, подлинный и выдан теми организациями, которые внесены в браузер по умолчанию, то у вас не должно возникнуть никаких проблем с работой веб-сайта. Его подлинность подтверждена, и вам нечего опасаться.
Вы можете проверить подписанный
сертификат наведя курсор на значок
вашего веб-сайта.
Если же сайт подписан организацией, которая не внесена по умолчанию в список вашего браузера, то у вас появится страница уведомления о том, что сертификат выдан неизвестной организацией. В этом случае стоит быть внимательным. Большинство популярных сайтов имеют сертификаты дефолтных больших организаций, однако существует довольно много сайтов в интернете, которые не хотят сотрудничать с этими большими организациями и пользуются услугами других небольших компаний, либо и вовсе подписывают сертификаты сами. В последнем случае всегда стоит постоянно тщательно проверять сертификаты, которые используются для рабочей сессии.
Если же вы заходите на сайт твиттера или фэйсбука и у вас возникает такое уведомление, то скорее всего вам пытаются подсунуть ненастоящий сайт.
В случае, если вы пользуетесь сайтом, протокол которого не подписан большой организацией, то в некоторых браузерах вы можете добавить организацию, которая подписала протокол для этого сайта в список доверенных, и в дальнейшем он будет для браузера таким же авторитетным как и сертификаты больших организаций.
Однако в большинстве случаев никто не будет пытаться подделать сертификаты, а просто заменит сайты и вместо безопасного ssl соединения (https) у вас будет простое http соединение. Таким образом периодически поглядывайте на адресную строку вашего веб-браузера, чтобы убедиться, что вы пользуетесь безопасным соединением.
Мы также рекомендуем пользоваться для работы с чувствительной информацией анонимайзером – таким как тор. Для работы с ним вам не надо много знаний (устанавливается довольно просто). Тор зашифрует весь ваш траффик и не позволит агентам беларуских спецслужб получить доступ вообще ни к какой информации, которую вы получаете по интернету. Подробнее о торе можете узнать пройдя по ссылке – https://www.torproject.org/about/overview.html.ru. Но не стоит забывать и то, что тор не предохраняет вас от фишинговых атак простых злоумышленников.
Если же вы уже стали жертвой фишинга, не стоит паниковать и убиваться. Смените пароль и секретный вопрос на вашем аккаунте, проверьте почту для восстановления пароля (часто её изменяют на чужую) и, в случае необходимости, измените её на необходимую для вас. В случае, когда доступ к аккаунту потерян и вы не можете восстановить пароль, так как ваш профиль был полностью изменен – свяжитесь с администрацией сайта немедленно и объясните им ситуацию. Скорее всего ваши данные будут восстановлены. Но если восстановить аккаунт не удалось, то предупредите всех людей, которые могут быть связаны с этим аккаунтом о том, что вы больше им не пользуетесь.
blackfeather[at]resist.ca