Фи́шинг (англ. phishing отfishing «рыбная ловля, выуживание»^[1]) — видинтернет-мошенничества, целью которого является получениедоступа к конфиденциальным даннымпользователей —логинам и паролям. Это достигается путём проведениямассовых рассылокэлектронных писем от имени популярныхбрендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутрисоциальных сетей. В письме часто содержится прямая ссылка насайт, внешне неотличимый от настоящего, либо на сайт средиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ каккаунтам и банковским счетам.

Фишинг — одна из разновидностейсоциальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

Техника фишинга была подробно описана в1987 году, а сам термин появился2 января1996 года вновостной группе alt.online-service.America-Online сетиUsenet^[2][3], хотя возможно его более раннее упоминание вхакерском журнале2600^[4].

Фишинг на AOL тесно связан сварез-сообществом, занимавшимся распространением программного обеспечения снарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужимаккаунтам^[5].

Фишеры представлялись сотрудниками AOL и черезпрограммы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль^[6]. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылкеспама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку^[7], и фишинг на серверах AOL постепенно сошёл на нет.

Захват учётных записей AOL, позволявший получить доступ к даннымкредитной карты, показал, чтоплатёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную системуe-gold в июне2001 года, второй стала атака, прошедшая вскоре послетеракта 11 сентября^[8]. Эти первые попытки были лишьэкспериментом, проверкой возможностей. А уже в2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал^[9].

Целью фишеров сегодня являются клиенты банков иэлектронных платёжных систем.^[10] ВСША, маскируясь подСлужбу внутренних доходов, фишеры собрали значительные данные оналогоплательщиках^[11]. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку^[12]. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях^[13].

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей^[14]: в2006 годукомпьютерный червь разместил наMySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных^[15]; в мае2008 года первый подобный червь распространился и в популярной российской сетиВКонтакте^[16][17]. По оценкам специалистов, более 70 % фишинговых атак в социальных сетях успешны^[18].

Фишинг стремительно набирает свои обороты, но оценки ущерба сильно разнятся: по данным компанииGartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США^[19], в 2006 году ущерб составил 2,8 млрд долларов^[20], в 2007 — 3,2 миллиарда^[21]; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек^[20], к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов^[22].

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти повеб-ссылке для получения более подробной информации.

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельныессылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками илисубдомены часто используются мошенниками.

Например https://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например,https://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля^[23]. Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена вInternet Explorer^[24], аMozilla Firefox^[25] иOpera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование вHTML-теге<a> значенияhref, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерамиИнтернациональных Доменных Имён: адреса,визуально идентичные официальным, могли вести на сайты мошенников.

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами^[26]. Но специалисты научились бороться и с этим видом фишинга. Так, фильтрыпочтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу^[27]. К тому же появились технологии, способные обрабатывать и сравнивать изображения ссигнатурами однотипных картинок, используемых для спама и фишинга^[28].

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используютJavaScript для изменения адресной строки^[29]. Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL^[30].

Злоумышленник может использовать уязвимости в скриптах подлинного сайта^[31]. Этот вид мошенничества (известный какмежсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё (от веб-адреса досертификатов) выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношенииPayPal в 2006 году^[32].

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологииFlash. Внешне подобный сайт выглядит как настоящий, но текст скрыт вмультимедийных объектах^[33].

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами^[34]. Эта техника называетсявишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта иPIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера^[35][36]. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счёта. В конечном счёте, человека также попросят сообщить его учётные данные^[37].

Набирает свои обороты иSMS-фишинг, также известный каксмишинг (англ. SMiShing — от «SMS» и «фишинг»)^[38]. Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам^[39]. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем»^[40].

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любыхгиперссылок в подозрительном сообщении^[41].

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например,PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга^[42]. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали^[43], что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобнуюперсональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения^[44]. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали^[45].

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами^[46]. Эксперты считают, что в будущем более распространёнными методамикражи информации будутфарминг и различныевредоносные программы.

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерахInternet Explorer,Mozilla Firefox,Google Chrome,Safari иOpera^{[47][48][49][50]}. Firefox использует антифишинговую системуGoogle. Opera использует чёрные спискиPhishTank иGeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer^[51].

В 2006 году появилась методика использования специальныхDNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере^[52] и близок использованиюhosts-файла для блокировки рекламы.

СайтBank of America^[53][54] предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля^[55][56].

Специализированныеспам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается намашинном обучении иобработке естественного языка при анализе фишинговых писем^[57][58].

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов^[59].Физические лица могут помогать подобным группам^[60] (например,PhishTank^[61]), сообщая о случаях фишинга.

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток изКалифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтомAOL, и краже данных кредитных карт^[62]. Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, вБразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговыхпреступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США^[63]. В июне 2005 года властиВеликобритании осудили двух участников интернет-мошенничества^[64]. В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США)^[65]. Аресты продолжались в 2006 году — в ходе спецоперацииФБР задержало банду из шестнадцати участников в Европе и США^[66].

В Соединённых Штатах Америки 1 марта 2005 годасенаторПатрик Лехи представилКонгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет^[67]. В Великобритании был принят Закон о мошенничестве 2006 года^[68], предусматривающий ответственность замошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества^[69].

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 годаMicrosoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительстваАвстралии по обучению сотрудников правоохранительных органов борьбе с различными киберпреступлениями, в том числе фишингом^[70].

В январе 2007 годаДжеффри Бретт Гудин из Калифорнии был признан виновным в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использованиетоварных знаков AOL, он был приговорён к 70 месяцам заключения^{[71][72][73][74]}.

ВРоссийской Федерации первое крупное дело противбанды фишеров началось в сентябре2009 года. По самым скромным оценкам мошенники похитили около 6 миллионов рублей. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере^[75]. Отдельные процессы имели место и ранее: так, в 2006 году суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Мошенник был приговорен к 6 годамусловного срока и возмещению компаниям ущерба в размере 3 миллионов рублей^[76]. Но в целом правовая борьба в России ограничивается лишь незначительными судебными разбирательствами, редко оканчивающимися серьёзными приговорами.

Как считает ведущий специалист Следственного комитета при МВД по расследованию преступлений в сфере компьютерной информации и высоких технологийподполковник юстиции Игорь Яковлев, основная проблема в расследовании подобных преступлений в России заключается в нехватке специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело не только до суда, но и до обвинительного вердикта^[77]. Руководитель подразделенияЦентра информационной безопасностиФСБ России Сергей Михайлов добавляет, что «в России самое лояльное законодательство по отношению к киберпреступности». Также плохо налажено сотрудничество с зарубежными структурами, что мешает скоординированной борьбе с преступниками^[78].

	ВВикисловаре есть статья «фишинг»

• Выуживание — фишинг вгражданских процессах в странахобщего права
• Вишинг

Эта статья входит в числохороших статей русскоязычного раздела Википедии.

• Сетевое мошенничество
• Интернет
• Спам
• Информационная безопасность
• Компьютерные преступления

• Википедия:Cite web (заменить webcitation-архив: deadlink yes)
• Википедия:Cite web (заменить webcitation-архив: deadlink no)
• Википедия:Cite web (не указан язык)
• Статьи со ссылками на Викисловарь
• Википедия:Хорошие статьи по алфавиту
• Википедия:Хорошие статьи о компьютерах