В процессе фишинга
используются массовые почтовые рассылки и/или заманивание пользователей на
фальшивый веб-сайт. В почтовом письме может сообщаться, например,
что аккаунт будет «заморожен» до тех пор, пока пользователь еще раз не заполнит
анкету на сайте или не войдет в свой персональный раздел. При этом
в письме приводится ссылка, которая ведет не на официальную страницу
сервиса, а на ее точную копию. Естественно, оставленная пользователем
информация попадает в руки мошенников. Такая техника, в которой
одновременно используются и методы социальной инженерии, и дыры
в популярном программном обеспечении (например, некорректная обработка
знака "@" в адресной строке браузера IE) приобрела настолько
широкую популярность и вызвало настолько огромное количество жертв, что
фишинг можно в полной мере назвать новым феноменом интернета.
В июле 2003 г.
представители ФБР назвали фишинг «самой свежей и наиболее тревожной, новой
угрозой в интернете». С тех пор фишинг распростряняется по Сети
подобно вирусной эпидемии. Дошло до того, что недавно пришлось даже создать Международную антифишинговую
рабочую группу APWG, которая расследует этот новый феномен
и координирует международную деятельность по предотвращению
распространения фишинга. По информации APWG, только в апреле 2004 г. было
зарегистрировано более 1100 случаев уникальных афер или мошенничеств
в интернете, это на 178% больше, чем в марте. И такая тенденция
сохраняется от месяца к месяцу. Полная статистика по распространению
фишинга опубликована в специальном отчете. Например, в апреле 2004 г. Citibank
подвергся 475 «фишинговым» атакам, eBay — 221 и PayPal —
135. Случаи фишинговых атак были неоднократно зарегистрированы и в России.
На сайте APWG опубликованы примеры самых масштабных фишинговых атак за
последние несколько месяцев. По официальной статистике, жертвами фишинга
становятся от 3 до 5% получателей почтовой рассылки, а это очень
высокий процент.
Кстати, в своем
апрельском отчете APWG также подтвердила информацию, что «фишинговые» веб-страницы
являются товаром среди мошенников, также как базы почтовых адресов
у спамеров.
Таким образом,
в последнее время фишинг стал повсеместно распространенным явлением. Тем
не менее, первое упоминание этого слова замечено в хакерском общении еще
28 января 1996 г.
В этот день хакер с ником mk590 опубликовал в хакерской ньюс-группе
alt.2600 сообщение под заголовком «Бесплатный AOL?», в котором
упомянул фишинг в качестве уже известной и эффективной техники.
В частности, он сказал, что создать фальшивый аккаунт на AOL раньше было очень просто
и для этого было достаточно ввести сгенерированный номер кредитной
карточки, но теперь система проверяет номера карточек в реальном режиме
времени. «Знает ли кто-нибудь способ пройти регистрацию, не
прибегая к фишингу?», — обратился хакер к своим коллегам.
Самое же ранее
упоминание фишинга в прессе обнаружено лишь спустя полтора года. Как
сообщает энциклопедия WordSpy, статья о фишинге была опубликована
в газете «Florida Times-Union» 16 марта 1997 г.