Фишинг (phishing) – мошенничество, хакинг (hacking) – взлом системы путем недюжих познаний в программировании и склерозинг (sklerozing) – когда вы сами сделали все что могли: посеяли, забыли, спрятали бумажку с паролем в сейф с голодными мышами.

Затронутая тема настолько обширна, что это будет цикл статей. А пока предлагаю вашему вниманию часть первую - фишинг.

Технически взломать любой сайт непросто. Очень непросто. А сайт на uCoz, вообще практически невозможно. (Сразу предупрежу, что об этом подробнее будет во второй части.) Куда легче подобрать ключик к владельцу сайта, хитростью выманив у него логин-пароль. Это вам, господа, не хакинг «программист против программиста», это уже целый социальный инжиниринг :)


Под фишингом понимают интернет-мошенничество, целью которого является получение доступа к конфиденциальным данным пользователей.

На этот метод мы попадаемся как щучки на блесну. Им тоже казалось, что приманка настоящая и плавает сама по себе.



Самый последний из виденных мною фишинговых сайтов имитировал вход на сайт через админ-панель типа «ваш-сайт.ru/admin». Выглядел он вот так:






И помимо логина-пароля выманивал секретные вопрос-ответ.

Человека бывалого 100% смутил бы адрес сайта – он располагался на стороннем хостинге и его название сразу не внушало доверия. Но много ли надо новичку, чтоб попасться в сети? Да даже если бы такой сайт располагался на uCoz и имел адрес admin.ucoz.ru верить ему ни в коем случае нельзя!

Ссылка на поддельный сайт располагалась в поддельном письме, в котором от имени uCoz сообщалось о чистке в системе и необходимости вводить логин-пароль. А теперь скажите мне во скольких местах (админки, FAQ-а системы, главной страницы, правил и.т.д. до бесконечности…) написано, что мы никогда не будем просить вас, наших пользователей, сообщать нам логин, пароль и, боже упаси, девичью фамилию вашей матушки!? И что, помогает? Как думаете, сколько человек ввели-таки свои данные? И кто при этом виноват в том, что впоследствии их сайт был взломан? Этот пример с письмом может считаться классикой выманивания.
Так же фишинг может содержать какое-то обещание. Например, “введите тут ваш логин и пароль и получите 500 Mb на свой аккаунт". Надеюсь, вы догадываетесь, что на самом деле получите в случае ввода? Пожалуйста, уведомляйте администрацию о подобных ресурсах, чтоб мы могли принимать меры.


Бывают варианты и посложнее.

Вы никаких подозрительных писем не получали, ни по каким стремным ссылкам не ходили, но при заходе на главную страницу сайта выскакивает предложение авторизоваться, как вот тут:






То, что ничего туда ни в коем случае нельзя вводить, надеюсь, и так понятно! Но откуда эта красота?

А давайте-ка отмотаем время назад и вспомним, ни с кем вы случайно баннерами не обменивались на днях? Никакие новые наборы смайликов на сайт не подгружали? Вспомнили? А вот то-то же!

Если вы загрузили на сайт (через файловый менеджер) картинку, которая на самом деле картинкой не является, а таит в себе вредоносный код – то с нашего сервера он выполниться не сможет. Но если вы подгружаете что-то со стороны (то есть просто ссылкой), то на сайте как раз может выскочить вот такое окошко – результат работы скрипта.


Подобная пакость может прятаться так же в импорте удаленного кода, который вы сами (никто вас при этом за Редактор шаблонов не держал! ) вставили на сайт! Удаляйте быстро!



БУДЬТЕ ВНИМАТЕЛЬНЕЕ - САЙТ НЕ МОЖЕТ ЗАПРАШИВАТЬ У ВАС ПАРОЛЬ ОТ АДМИН ПАНЕЛИ!!!


Еще один вариант, это если вам в аську вдруг постучалась темная личность, представилась Selen'ой, Kron’ом или Kurt'ом и в процессе разговора (пока вы ошалели от такого внимания) ненавязчиво так интересуется: «Да, кстати, мил человек, а какой у тебя логин-пароль?». Совет – удаляйте такой контакт сразу. Дамы и господа! Вот делать администрации больше нечего как по аське с вами общаться на подобные темы!


БУДЬТЕ ВНИМАТЕЛЬНЕЕ - АДМИНИСТРАЦИЯ НЕ МОЖЕТ ЗАПРАШИВАТЬ У ВАС ПАРОЛЬ ОТ АДМИН ПАНЕЛИ!!!