Фишинговые сайты — дело обычное, особенно для таких сервисов, как «В Контакте», «Одноклассники» и веб-почта. Опаснее, когда попадаешь на такой сайт в результате фарминга — подмены в файле HOSTS или изменения DNS-информации. Тогда при наборе пользователем настоящего адреса, он попадет на фишинговый сайт. А позже узнает от друзей, что с его аккаунта приходят такие странные сообщения :) Правда, в некоторых случаях можно определить фишинговый сайт «на глаз», используя 2 нехитрых плагина к Firefox.
Как правило, фишинговые сайты регистрируются на подставных лиц, и физически могут располагаться на веб-серверах практически по всему миру. Эту особенность можно использовать как признак. Например, если веб-сайт российской социальной сети располагается на веб-сервере в Китае, Перу или Зимбабве, это повод усомниться в легальности подобного сайта даже самому неискушенному пользователю. Определить страну, в которой расположен веб-сервер посещаемого веб-сайта, можно, используя, например, расширение «Flagfox» для браузера Mozilla Firefox. На рисунке изображена страница фишингового сайта, имитирующего сайт социальной сети «В Контакте». Перенаправление на данный сайт осуществила вредоносная программа Trojan.BAT.QHost.fy. При этом расширение «Flagfox» демонстрирует, что веб-сервер данного сайта располагается в Китае. Если вы не помните все флаги, то достаточно навести указатель мыши на изображение флага, чтобы во всплывающем окне появилась расшифровка с полным названием страны.
Данный способ прост, но при этом позволит выявить признаки фишингового сайта, даже в случае манипулирования информацией на удаленном DNS-сервере. Конечно же, если сайт злоумышленников располагается в той же стране, что и оригинальный сайт, выявить подделку данным способом не удастся. Еще одной особенностью фарминг-атаки является то, что, как правило, перенаправлению подвергаются сразу несколько сайтов, например, сайты разных банков или популярных социальных сетей. При этом физически все поддельные веб-сайты, опять же в большинстве случаев, располагаются на одном веб-сервере. Следовательно, если на сайте «Одноклассников» и «В Контакте» вы видите один и тот же IP-адрес, это явный признак злоумышленного перенаправления. Так Trojan.Win32.QHost.mcc перенаправляет пользователей на поддельные сайты социальных сетей «Одноклассники», «В Контакте», почтовых сервисов «Яндекс.Почта», «Ramber.Почта». При этом все эти сайты размещены на одном и том же IP-адресе, что легко определить, используя расширение «Show IP» к браузеру Firefox (см. рисунок)
Описанные способы достаточно просты, не требуют каких-либо затрат :). Другие способы защиты + способы реализации фарминг-атак можно прочитать в специальной статье-обзоре.
Как правило, фишинговые сайты регистрируются на подставных лиц, и физически могут располагаться на веб-серверах практически по всему миру. Эту особенность можно использовать как признак. Например, если веб-сайт российской социальной сети располагается на веб-сервере в Китае, Перу или Зимбабве, это повод усомниться в легальности подобного сайта даже самому неискушенному пользователю. Определить страну, в которой расположен веб-сервер посещаемого веб-сайта, можно, используя, например, расширение «Flagfox» для браузера Mozilla Firefox. На рисунке изображена страница фишингового сайта, имитирующего сайт социальной сети «В Контакте». Перенаправление на данный сайт осуществила вредоносная программа Trojan.BAT.QHost.fy. При этом расширение «Flagfox» демонстрирует, что веб-сервер данного сайта располагается в Китае. Если вы не помните все флаги, то достаточно навести указатель мыши на изображение флага, чтобы во всплывающем окне появилась расшифровка с полным названием страны.
Данный способ прост, но при этом позволит выявить признаки фишингового сайта, даже в случае манипулирования информацией на удаленном DNS-сервере. Конечно же, если сайт злоумышленников располагается в той же стране, что и оригинальный сайт, выявить подделку данным способом не удастся. Еще одной особенностью фарминг-атаки является то, что, как правило, перенаправлению подвергаются сразу несколько сайтов, например, сайты разных банков или популярных социальных сетей. При этом физически все поддельные веб-сайты, опять же в большинстве случаев, располагаются на одном веб-сервере. Следовательно, если на сайте «Одноклассников» и «В Контакте» вы видите один и тот же IP-адрес, это явный признак злоумышленного перенаправления. Так Trojan.Win32.QHost.mcc перенаправляет пользователей на поддельные сайты социальных сетей «Одноклассники», «В Контакте», почтовых сервисов «Яндекс.Почта», «Ramber.Почта». При этом все эти сайты размещены на одном и том же IP-адресе, что легко определить, используя расширение «Show IP» к браузеру Firefox (см. рисунок)
Описанные способы достаточно просты, не требуют каких-либо затрат :). Другие способы защиты + способы реализации фарминг-атак можно прочитать в специальной статье-обзоре.