PayPal: у фишеров почти не осталось шансов
PayPal, крупнейшая в мире онлайновая платёжная система со 133 миллионами пользователей, – одна из самых частых мишеней для фишерских атак. Компания, принадлежащая eBay, небезуспешно борется с мошенниками, подключая к процессу не только высокие технологии, но и интернет-провайдеров, и разработчиков браузеров, говорит директор PayPal по ИТ-безопасности Майкл Барретт (Michael Barrett).
Об угрозах и мерах по их предотвращению главный защитник платёжной системы рассказал в интервью ComputerWeekly.com. По его словам, уровень мошенничества на PayPal составляет 0,41%, что гораздо ниже, чем у любого оператора кредитных карт или любой другой платёжной системы.
В компании внедрена вспомогательная система, позволяющая определить множество различных фишерских схем, что позволило достичь самого низкого процента успешных случаев мошенничества в отрасли. Однако фишеры берут количеством рассылаемых писем. PayPal реагирует тем, что подписывает все свои исходящие письма двумя способами: по системе Sender Policy Framework и при помощи доменного криптографического ключа. Однако пользователю сложно разобраться в этих подписях в заголовке и понять, подлинное оно или нет.
В процессе борьбы с фишерами участвуют и "полдюжины провайдеров, обрабатывающих 50% всей электронной почты в мире: Yahoo, AOL, MSN, Gmail". PayPal договорилась с этими провайдерами об удалении всех неподписанных входящих писем с обратным адресом PayPal.
Этот процесс покрывает половину всех клиентов платёжной системы. С другими сложнее: существуют сотни провайдеров почты, каждый из которых обслуживает порядка 1% клиентов PayPal. Стратегия заключается в том, чтобы встраивать системы проверки подписей в клиентские программы и интерфейсы, помогая пользователю отличить настоящее письмо от фальшивки.
PayPal также будет поддерживать SSL-сертификаты расширенного подтверждения (Extended Validation): сейчас Computer Associates проводит трёхнедельный процесс проверки перед выпуском ввиду серьёзности самого сертификата. "Его нельзя получить за день", - говорит Барретт. При работе с настоящим сайтом PayPal.com пользователь увидит в адресной строке зелёную метку. "В IE7 встроена хорошая система определения фишинга".
Подробностями систем отслеживания схем мошенничества Барретт поделиться отказался. "Чем больше вы рассказываете, тем лучше "плохие парни" будут знать, как это обойти". В общих чертах, детекторы анализируют различные типы поведения пользователей.
В целом, бороться с фишингом стало сложнее. 18 месяцев назад фальшивку можно было легко выявить по грамматическим ошибкам, плохому дизайну сайтов. Сейчас фишеры стали профессиональнее. Что касается схем атак, то ничего нового здесь не изобрели. Основа остаётся той же - фишеры настаивают на срочной необходимости заново ввести реквизиты. Отмечена также вертикализация преступности: каждый участник фишерской группы сосредотачивается на одном из видов деятельности.
Об угрозах и мерах по их предотвращению главный защитник платёжной системы рассказал в интервью ComputerWeekly.com. По его словам, уровень мошенничества на PayPal составляет 0,41%, что гораздо ниже, чем у любого оператора кредитных карт или любой другой платёжной системы.
В компании внедрена вспомогательная система, позволяющая определить множество различных фишерских схем, что позволило достичь самого низкого процента успешных случаев мошенничества в отрасли. Однако фишеры берут количеством рассылаемых писем. PayPal реагирует тем, что подписывает все свои исходящие письма двумя способами: по системе Sender Policy Framework и при помощи доменного криптографического ключа. Однако пользователю сложно разобраться в этих подписях в заголовке и понять, подлинное оно или нет.
В процессе борьбы с фишерами участвуют и "полдюжины провайдеров, обрабатывающих 50% всей электронной почты в мире: Yahoo, AOL, MSN, Gmail". PayPal договорилась с этими провайдерами об удалении всех неподписанных входящих писем с обратным адресом PayPal.
Этот процесс покрывает половину всех клиентов платёжной системы. С другими сложнее: существуют сотни провайдеров почты, каждый из которых обслуживает порядка 1% клиентов PayPal. Стратегия заключается в том, чтобы встраивать системы проверки подписей в клиентские программы и интерфейсы, помогая пользователю отличить настоящее письмо от фальшивки.
PayPal также будет поддерживать SSL-сертификаты расширенного подтверждения (Extended Validation): сейчас Computer Associates проводит трёхнедельный процесс проверки перед выпуском ввиду серьёзности самого сертификата. "Его нельзя получить за день", - говорит Барретт. При работе с настоящим сайтом PayPal.com пользователь увидит в адресной строке зелёную метку. "В IE7 встроена хорошая система определения фишинга".
Подробностями систем отслеживания схем мошенничества Барретт поделиться отказался. "Чем больше вы рассказываете, тем лучше "плохие парни" будут знать, как это обойти". В общих чертах, детекторы анализируют различные типы поведения пользователей.
В целом, бороться с фишингом стало сложнее. 18 месяцев назад фальшивку можно было легко выявить по грамматическим ошибкам, плохому дизайну сайтов. Сейчас фишеры стали профессиональнее. Что касается схем атак, то ничего нового здесь не изобрели. Основа остаётся той же - фишеры настаивают на срочной необходимости заново ввести реквизиты. Отмечена также вертикализация преступности: каждый участник фишерской группы сосредотачивается на одном из видов деятельности.
Ещё новости по теме:
18:20