История фишинга, наверное, начинается в Древней Греции, во времена неудачной десятилетней осады Трои. Когда, согласно мифам, греческая армия решила отступить, солдаты собрали вещички, оставив осажденным фишинговое письмо — огромную деревянную статую благородной лошади.
Троянцы письмо открыли (или ворота крепости) и кликнули по ссылке (то есть завезли к себе домой лошадку), прочитали сообщение типа «Спасибо за войну. До свидания», после чего пошли спать. В это время небольшой отряд греческих солдат, сегодня состоящий из одного сутулого мальчика в очках, повылезал из лошадки, открыл городские ворота (собрал все пароли, информацию о сетевом окружении и безопасности) и впустил остальную часть греческой армии, которая под покровом ночи украла много ценной конфиденциальной информации, осуществила переводы на кругленькие суммы на офшорные счета или счета фирм-однодневок…
Греки полностью разрушили Трою, а оставшиеся в живых троянцы жили с мыслью о том, на кой черт они ежегодно тратили огромные средства на обеспечение информационной и экономической безопасности, если по собственной глупости поступают так, как того хотят кибершпионы.
Мифическая или нет история про Трою, но она олицетворяет пример социальной инженерии, который успешно используется и сегодня.
Когда человек производит авторизацию в своем электронном почтовом адресе, у него складывается полное ощущение того, что он находится один на один со своими секретами в закрытом кабине — те и нет никаких бесконечно длинных коммутационных проводов, ползущих по вентиляционным шахтам, темным чердакам и подземным лабиринтам, нет целых тонн сетевого и серверного оборудования, гигабайтов сложного программного обеспечения и алгоритмов.
Иллюзия настолько прочная и всем привычная, что позволяет с легкостью похитить пароль, какой бы сложный и длинный он ни был. Имеющиеся установленные средства программно-аппаратной защиты только усиливают эффект иллюзии и необоснованного чувства безопасности.
Если пользователь незнаком с механизмом проведения фишинг-атак и их разновидностями, попасться на удочку ничего не стоит.
В ранних проявлениях фишинга рассылались письма о временной блокировке аккаунта или его удалении. Довольно весело было злодеям, когда они осуществляли фишинговые спам-рассылки писем, содержащие угрозы пользователям заблокировать их аккаунты навсегда, если те срочно не пройдут повторную авторизацию в связи с поступившими жалобами или подозрением администрации ресурса в использовании почтового ящика для спам-рассылок.
В годах 2002–2008 эффект от такого фишинга был потрясающий. С одной стороны, сам термин «спам» в России стал ругательством, поскольку использовался всеми без исключения «впаривателями» всего, что можно было только впарить. С другой — уровень доверия к программному обеспечению, интернет-сервисам и компьютерной технике был значительно выше и вызывал во многих чувство, близкое к уважению.
Был период, когда злоумышленники массово заманивали пользователей на созданные фэйки банков, где под различными предлогами (смены программного обеспечения дистанционного банковского обслуживания, противодействия мошенничеству) заставляли пользователя вводить данные для доступа к своему аккаунту.
Время шло, пользователи становились опытнее, менялись системы защиты. Но социальная инженерия помогла мошенникам обходить и двухфакторную аутентификацию, и SMS-оповещения. При этом комплекс атаки мог включать совершение звонков потенциальным жертвам, например с просьбой ввести SMS-код, якобы для отмены ошибочно направленного в их адрес перевода.
В некоторых случаях на фишинговых сайтах создавались поля для ввода значения из таблицы переменных кодов. Такой трюк делали, например, братья Евгений и Дмитрий Попелыши[14], которые признаны виновными в совершении преступлений, предусмотренных ч. 2 ст. 272 (неправомерный доступ к охраняемой законом компьютерной информации), ч. 1 ст. 273 (создание, использование и распространение вредоносных компьютерных программ) и ч. 4 ст. 159 (мошенничество, совершенное группой лиц по предварительному сговору с причинением ущерба в особо крупном размере) УК РФ.
