Фишинг (phishing) – создание точной копии существующей веб-страницы с целью заставить пользователя ввести свои личные, финансовые данные или пароль. Произносится как “fishing” (рыбная ловля).
В процессе фишинга используются массовые почтовые рассылки и/или заманивание пользователей на фальшивый
веб-сайт. В почтовом письме может сообщаться, например, что аккаунт будет “заморожен” до тех пор, пока пользователь еще раз не заполнит анкету на сайте или не войдет в свой персональный раздел. При этом в письме приводится ссылка, которая ведет не на официальную страницу сервиса, а на ее точную копию. Естественно, оставленная пользователем информация попадает в руки мошенников. Такая техника, в которой одновременно используются и методы социальной инженерии, и дыры в популярном программном обеспечении (например, некорректная обработка знака “@” в адресной строке браузера IE) приобрела настолько широкую популярность и вызвало настолько огромное количество жертв, что фишинг можно в полной мере назвать новым феноменом интернета.
В июле 2003 г. представители ФБР назвали фишинг “самой свежей и наиболее тревожной, новой угрозой в интернете”. С тех пор фишинг распростряняется по Сети подобно вирусной эпидемии. Дошло до того, что недавно пришлось даже создать Международную антифишинговую рабочую группу APWG (http://www.antiphishing.org), которая расследует этот новый феномен и координирует международную деятельность по предотвращению распространения фишинга. По информации APWG, только в апреле 2004 г. было зарегистрировано более 1100 случаев уникальных афер или мошенничеств в интернете, это на 178% больше, чем в марте. И такая тенденция сохраняется от месяца к месяцу. Полная статистика по распространению фишинга опубликована в специальном отчете (http://www.antiphishing.org/APWG_Phishing_Attack_Report-Apr2004.pdf). Например, в апреле 2004 г. Citibank подвергся 475 “фишинговым” атакам, eBay – 221 и PayPal – 135. Случаи фишинговых атак были неоднократно зарегистрированы и в России. На сайте APWG опубликованы примеры самых масштабных фишинговых атак за последние несколько месяцев. По официальной статистике, жертвами фишинга становятся от 3 до 5% получателей почтовой рассылки, а это очень высокий процент.
Кстати, в своем апрельском отчете APWG также подтвердила информацию, что “фишинговые” веб-страницы являются товаром среди мошенников, также как базы почтовых адресов у спамеров.
Таким образом, в последнее время фишинг стал повсеместно распространенным явлением. Тем не менее, первое упоминание этого слова замечено в хакерском общении еще 28 января 1996 г. В этот день хакер с ником mk590 опубликовал в хакерской ньюс-группе alt.2600 сообщение под заголовком “Бесплатный AOL?”, в котором упомянул фишинг в качестве уже известной и эффективной техники. В частности, он сказал, что создать фальшивый аккаунт на AOL раньше было очень просто и для этого было достаточно ввести сгенерированный номер кредитной карточки, но теперь система проверяет номера карточек в реальном режиме времени. “Знает ли кто-нибудь способ пройти регистрацию, не прибегая к фишингу?”, – обратился хакер к своим коллегам, пишет Вебпланета.
Самое же ранее упоминание фишинга в прессе обнаружено лишь спустя полтора года. Как сообщает энциклопедия WordSpy, статья о фишинге была опубликована в газете “Florida Times-Union” 16 марта 1997 г.