От White Angel
Публикация: Апрель 6, 2006

Фишинг (phishing) - это компьютерное мошенничество, основанное на принципах социального инжиниринга. Злоумышленником создаётся практически точная копия сайта выбранного банка. Затем при помощи спам-технологий рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от выбранного банка. Используются логотипы банка, имена и фамилии реальных руководителей банка. В таком письме, как правило, сообщается о том, что из-за смены программного обеспечения в системе интернет-банкинга, пользователю необходимо подтвердить или изменить свои учётные данные. В качестве причины для изменения данных могут быть названы выход из строя ПО банка или же "нападение хакеров". Во всех случаях цель таких писем одна - заставить пользователя нажать на приведённую ссылку, а затем ввести свои конфиденциальные данные на ложном сайте банка.

В некоторых случаях злоумышленники размещают на подобных сайтах различные эксплойты уязвимостей MS Internet Explorer для побочной установки на компьютер пользователей каких-либо троянских программ.

Появление в конце 2003 года эксплойта уязвимости с подменой реального URL (http://support.microsoft.com/?id=833786) привело к появлению новой разновидности фишинга, получившего название "спуфинг" (spoofing). В случае использования данной уязвимости атакуемый пользователь визуально может наблюдать настоящий адрес банковского сайта в адресной строке браузера, но находиться сам при этом будет на сайте поддельном.

Существует международная антифишинговая группа, ведущая статистику по фишинг-преступлениям. С её архивом зафиксированных фишинг-рассылок можно ознакомиться по адресу: http://www.antiphishing.org/phishing_archive.htm