По данным исследования, проведенного Gartner, Inc, в 2007 году в США возросло количество фишинговых атак, ущерб от которых составил $3,2 млрд. В ходе опроса выяснилось, что за 12 месяцев по данным на конец августа 2007 года 3,6 млн. взрослых американцев понесли потери из-за подобных атак, а год назад количество пострадавших составило 2,6 млн.
Согласно результатам онлайн-опроса более 4 500 взрослых американцев в августе 2007 года, атаки в 2007 году оказались более успешными, чем в предыдущие годы. Из числа потребителей, получивших фишинговые письма, 3,3% потеряли деньги из-за атаки в 2007 году, 2,3% - в 2006, 2,9% - в 2005 году.
«Фишинговые атаки становятся все более изощренными, и часто разработаны для внедрения вредоносных программ, ворующих важную информацию и персональные данные потребителей, - пояснила Эвайва Лайтан (Avivah Litan), вице-президент и аналитик Gartner. – Решения для обнаружения и предотвращения фишинга доступны, но не используются достаточно широко, чтобы прекратить его. Их необходимо внедрять и комбинировать с решениями, которые также находят и блокируют атаки вредоносных программ.
Организации, обслуживающие с клиентами, не могут ожидать, что компьютеры клиентов будут защищены от зловредного кода, электронной почты и/или рекламных ловушек, привлекающих ни о чем не подозревающих клиентов на web-сайты, которые оказываются рассадниками инфекции. На самом деле, 11% онлайн-пользователей признали, что они не пользуются защитными программами, а еще 45% пользуются лишь бесплатным обеспечением».
Средний долларовый убыток в каждом случае снизился до $886 с $1 244, потерянного в среднем в 2006 году, но в связи с увеличением количества пострадавших, ущерб от фишинга в 2007 году составил $3,2 млрд., по данным опроса. При этом, однако, есть и хорошие новости: возросло количество средств, которые потребителям удалось возместить. Около 1,6 млн. взрослых возместили примерно 64% своих убытков в 2007 году, что на 54% больше, чем 1,5 млн. взрослых вернули в 2006 году. Наиболее часто подвергающимися атакам брендами по-прежнему являются PayPal и eBay, но в фишинговых атаках все чаще задействуют социальную инженерию, имитирующую, к примеру, электронные открытки, благотворительные организации и иностранные компании.
Воры все чаще крадут дебетовые карты и другие идентификаторы банковских счетов, чтобы иметь возможность «увести» деньги со счета, избирая в качестве мишени сферы, в которых обнаружение мошенничества построено слабее, чем в случае со счетами кредитных карт. Как показал опрос, среди потребителей, понесших убытки из-за фишинговых атак, 47% использовали дебетовую или расчетную карту в качестве способа оплаты, когда они потеряли деньги или когда с их счетов были проведены неавторизованные списания. За ними следуют еще 32% респондентов, которые воспользовались кредитками, и 24%, совершивших покупку со счета (в опросе допускалась возможность выбора нескольких вариантов одновременно).
«Преступники увеличили количество атак на дебетовые карты и банковские счета, где системы обнаружения мошенничества из внешнего источника традиционно слабее, чем при мониторинге кредитно-карточных счетов, - добавила г-жа Лайтан. – Системы обнаружения мошенничества и аутентификации, широко применяемые в сфере онлайн-банкинга в ответ на рекомендации FFIEC, уже на шаг отстают от новейших технологий мошенников, их нужно обновлять для зашиты от «man in the middle» и других атак, применяющих вредоносные коды, часто рассылаемые пользователям посредством фишинговых писем. Чтобы регуляторы могли лучше справляться с подобными проблемами, банки должны своевременно и согласованно уведомлять органы о случаях мошенничества и убытках».
По словам г-жи Лайтан, банковские регуляторы не способны оценить ущерб от фишинговых атак. На основании Акта «О свободе в области информации» (Freedom of Information Act) сотрудники University of California направили запрос в Федеральную корпорацию страхования депозитов (Federal Deposit Insurance Corporation) на предоставление данных о фишинговых атаках по всем банкам за период между 27 января 2005 года и 30 мая 2007 года. Специалисты Gartner и UC Berkeley провели анализ полученной информации и обнаружили обрывочные, ненадежные и неструктурированные данные, которые направили регулятору американские банки. За этот период сообщили лишь о 451 инциденте. «Качество данных было настолько неудовлетворительным, что невозможно было вывести какое-либо заключение, кроме как о том, что отчетность о мошеннических атаках весьма и весьма бедна», - признала г-жа Лайтан.
Как утверждают специалисты, количество фишинговых и вредоносных атак будет продолжать увеличиваться вплоть до 2009 года включительно, так как они являются прибыльным бизнесом для преступников, а для рассылки 30% вредоносных программ, поселяющихся в компьютерах потребителей, будут использоваться рекламные сети.
Эксперты Gartner не видят простого выхода из этой дилеммы, кроме как поощрения инвестиций со стороны почтовых провайдеров в решения, не допускающие проникновения фишинговых писем к потребителям, в первую очередь, а также стимулирования провайдеров рекламных сетей и других «очагов заражения» к предотвращению появления зловредных кодов на их Web-сайтах. «Компании должны, по крайней мере, защищать собственные бренды от использования в фишинговых атаках, используя антифишинговые решения, - заявила г-жа Лайтан. – Таким же образом предприятия должны использовать сервисы обнаружения вредоносных программ, способных отслеживать коды, атакующие клиентов фирмы, и предотвращать их распространение в компьютерах потребителей. Ответственные за финансовые счета потребителей обязаны защищать эти счета путем предотвращения, более строгой аутентификации пользователей и верификации транзакций».
Источник: