Что такое антифишинг в антивирусе

Обновлено: 07.07.2024

Ежедневно десятки тысяч людей становятся жертвой вирусных атак и мошенничества в интернете. Для того чтобы защитить пользователей AdGuard от подобных угроз, мы добавили в программу специальные фильтры, защищающие вас от вредоносных и фишинговых сайтов.

В настоящий момент мы категоризировали больше 15 миллионов сайтов, а наши фильтры содержат около 1.5 миллионов фишинговых и вредоносных сайтов. Только вдумайтесь, 10% всех известных нам сайтов могут представлять опасность для вас! Неискушенный пользователь легко может стать жертвой мошенников или хакеров. Мы надеемся, что использование защиты от вредоносных сайтов поможет избежать всех угроз, которые могут вам повстречаться.

Каким образом происходит проверка?

Способ и качество проверки зависит от того, какой продукт вы используете. Если речь идет об одном из наших браузерных расширений, то AdGuard проводит проверку только тех страниц, которые вы посещаете. Если же вы используете AdGuard для Windows, то, помимо самой страницы, мы проверяем и каждый загружаемый на нее объект, обеспечивая вам наилучшую защиту.

AdGuard для Windows

Для работы с нашими фильтрами мы используем протокол Safe Browsing API version 2.2. Этот протокол позволяет сохранить ваши личные данные в полной безопасности. Наш сервер ничего не знает о тех сайтах, которые вы посещаете. Для проверок используются не открытые адреса, а префиксы их хешей.

Приблизительный алгоритм работы антифишингового модуля изображен на рисунке ниже.

Алгоритм работы антифишингового модуля AdGuard для Windows

Прочие версии AdGuard

Браузерные расширения (так же, как и AdGuard для Android и AdGuard для macOS) работают иначе, используя так называемый Lookup API для проверки адресов страниц, которые вы посещаете. Каждый раз, когда вы переходите на сайт, программа обменивается информацией в форме хэшей с нашим сервером. Для тех, кому этот процесс интересен на более глубоком уровне, будет полезна ссылка выше. В результате этого обмена программа определяет, входит ли данный сайт в черный список.

Очень важно отметить, что мы не получаем никакой информации, с использованием которой можно было бы определить, какой сайт вы посещаете. Соответственно, мы даже теоретически не смогли бы никак использовать получаемые данные в своих целях.

Приблизительный алгоритм работы антифишингового модуля изображен на рисунке ниже.

Алгоритм работы антифишингового модуля браузерных расширений AdGuard

Фильтры AdGuard

На данный момент мы поддерживаем работу двух фильтров AdGuard. Один из них направлен на защиту вас от фишинговых и мошеннических сайтов. Другой - на защиту от вредоносных сайтов, посещение которых может привести к заражению компьютера вирусом.

Фильтр фишинговых сайтов

Фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Если вас заинтересовала эта тема, советуем ознакомиться с соответствующей статьей на Wikipedia.

Помимо фишинговых сайтов, этот фильтр содержит также разнообразные мошеннические сайты. К ним относятся всевозможные "лохотроны", продажа несуществующего контента, и тому подобное.

Фильтр вредоносных сайтов

Фильтр содержит ссылки на страницы, которые приводят к исполнению вредоносного кода. Исполнение может инициировать утечку или потерю данных, а также причинить вред устройству пользователя. Этот процесс может быть санкционированным (например, при скачивании и запуске исполняемого файла) или несанкционированным (например, при атаке шпионским программным обеспечением).

Как мы пополняем фильтры

Наши фильтры постоянно пополняются новыми адресами. Так как большая часть работы автоматизирована, вы можете быть уверены, что новые фишинговые и вредоносные адреса попадут в нашу базу максимально быстро.

Антифишинговое Сообщество AdGuard

Важным инструментом для поддержания фильтрации на высочайшем уровне является механизм Антифишингового Сообщества AdGuard. Любой пользователь наших продуктов, будь то AdGuard для Windows, или браузерное расширение, может стать участником сообщества и помогать нам в составлении фильтров AdGuard.

На рисунке ниже мы изобразили алгоритм работы антифишингового сообщества:

Как работает Антифишинговое Сообщество AdGuard

Хотите нам помочь?

Ложно-положительные срабатывания

Изредка происходит так, что в фильтры AdGuard попадают сайты, которые не являются опасными. Мы стараемся уменьшить процент ложных срабатываний, но, тем не менее, они могут происходить. Если вы встретили подобное поведение AdGuard, пожалуйста, отправьте нам жалобу на ложноположительное срабатывание. Мы принимаем такие жалобы в службе поддержки и на нашем форуме.


Фишинг-атаки можно назвать преступлением XXI века. Средства массовой информации ежедневно публикуют списки организаций, чьи клиенты подверглись фишинговым атакам. Средства phishing-мошенничества с каждым днем продолжают расти не только количественно, но и качественно. В то время как спам только отвлекает получателей от работы, фишинг зачастую ведет к реальным финансовым потерям. Угроза вполне серьезная, так почему же люди до сих пор не научились ее избегать?

Почему фишинг работает?

Есть масса способов сыграть на доверии пользователя

Причин, по которым онлайн-мошенничество работает, на самом деле достаточно много. Начать следует с того, что преступники достаточно умело играют на психологии своих жертв: есть масса способов обмануть пользователя, и все они идут в ход.

Обещание халявы — самый простой и эффективный способ заполучить массу жертв

Например, летом 2014 года был обнаружен фишинговый сайт, имитировавший сайт FIFA, на котором пользователю предлагалось подписать петицию в защиту Луиса Альберто Суареса, нападающего национальной сборной Уругвая. Чтобы подписать петицию, пользователю необходимо было заполнить форму, введя в нее свое имя, страну проживания, номер мобильного телефона и адрес электронной почты.

Другой мошеннический сайт предлагал посетителям скачать электронный билет на чемпионат. На самом деле вместо билета пользователь получал банковского троянца — пробравшись в систему, зловред перехватывал личные данные, прежде всего финансового характера.

Voice phishing

Технически фишинг постоянно совершенствуется

Немалую роль в том, что многие люди становятся жертвами онлайн-мошенников, играет тот факт, что с технической точки зрения инструменты фишинга постоянно изменяются и становятся все более и более изощренными.

Фишинг — по-настоящему универсальная угроза, работает на всех платформах

Для преступников это по-настоящему прибыльно

Но в первую очередь популярность фишинга растет потому, что это действительно выгодный вид преступной деятельности. Инструменты существуют и сравнительно легко доступны, охват чрезвычайно широк, в том числе и в социальных сетях (помните — 600 миллионов переходов!), большинство действий фишеров полностью автоматизировано.

Поэтому даже при небольшом проценте попавшихся мошенники могут вполне прилично зарабатывать. Причем, поскольку в большинстве случаев охота идет за банковскими данными, для монетизации даже не надо придумывать какие-то сложные схемы.

Qendrim Dobruna

Поэтому не следует думать, что единственная информация, которую необходимо защищать от мошенников, — это данные банковских карт и платежных систем. Многие фишеры будут вполне удовлетворены и доступом к вашей учетной записи в социальной сети или почтовом сервисе.

Как уберечься от фишинга?

Что предложить пользователям в качестве инструмента противодействия мошенникам? Прежде всего, естественно, здравый смысл.

Keep Calm And Check Twice

В идеале на сайты, требующие ввода личных данных, ходить по ссылкам вообще не стоит — лучше набрать адрес вручную. Разумеется, посещение подобных ресурсов должно осуществляться через надежные устройства и сети.

Что такое антифишинг
Так как в сфере информационной безопасности понятия фишинг и социальная инженерия трактуются по разному, давайте сразу утвердим термины и их определения, и будем отталкиваться от них в статье.

Социальная инженерия – (в информационной безопасности) обман человека с целью несанкционированного доступа к информации и инфраструктуре организации или частных лиц.

Фишинг - один из методов социальной инженерии. Вид обмана пользователя с целью получения конфиденциальной информации.

Соответственно отсюда мы можем вывести определение антифишинга.
Антифишинг - это совокупность технических и организационных мер с целью противодействия фишингу.

Для чего нужен и как работает антифишинг
Для того, чтобы защитить сотрудников организации (точнее саму организацию) от фишинга, необходимо, как было сказано ранее, использовать 2 аспекта. Разберем их чуть подробнее.

Организационные меры: сюда входят правила, регламенты, обучение и тренировки сотрудников. Сотрудник должен знать, как распознать фишинг, как на него реагировать (включая то, кому сообщать о нем при обнаружении).

Технические меры: антиспам системы, системы противодействия вторжениям, сетевые фильтры, симуляторы фишинга для проверки знаний сотрудников в реальных условиях и точечная настройка систем ИТ-инфраструктуры.

Программы антифишинга, как отдельного продукта не существует. Точнее не так, - отдельно взятого ПО будет недостаточно. Из указанного выше, можно сделать вывод, что антифишинг - это комплекс мер по защите от фишинга.

Каждая компания антифишинг меры и программное обеспечение выбирает под свои задачи и риски. Например, в вашей организации сетевым фильтром ограничено посещение сайтов, кроме официальных. Тогда и приоритет в обучении, и симулировании учебных кибератак на распознавании фишинговых ссылок не стоит. Лучше сначала сосредоточиться на, например, векторах с подбрасыванием usb-устройств.

Вывод: одним только обучением сотрудников или настройкой ИТ-систем не обойтись. Антифишинг - это комплекс мер, полумер быть не должно.

Защита от фишинга действительно работает

Разработка вредоносного кода, который служит для кражи паролей на компьютере жертвы является грязным занятием. Гораздо проще спросить: «Эй, дай мне свой пароль!». Именно такой концепции придерживается фишинговый сайт. Киберпреступник создает веб-страницу, которая выглядит идентично со страницами банков, финансовых институтов, а затем распространяет ссылки на данный сайт при помощи социальных сетей, спама и других методов.

После того, как несколько неопытных пользователей передадут свои конфиденциальные данные сайт закрывается и разрабатывается новый. К счастью, многие современные антивирусы эффективно борются с этими угрозами. Авторитетная австрийская лаборатория AV-Comparatives тестировала 16 популярных продуктов.

В течение целой недели сотрудники организации собирали базу различных фишинговых сайтов, устраняя дубликаты или недействующие сайты и убеждаясь в том, что конфиденциальные данные находятся под угрозой. После проверки осталось 187 ссылок на ресурсы с фишингом. Затем исследователи пытались посетить эти сайты при включенной защите на тестовых машинах с 16 различными антивирусами, отмечая каждый случай блокировки.

Выдающийся результат

ESET и Kaspersky опередили все остальные продукты, обнаружив 99 процентов угроз. Bitdefender, Trend Micro и McAfee смогли распознать 98 процентов фишинг-сайтов. У Fortinet, BullGuard, Panda, и Sophos уровень обнаружения составил 94 процента и выше. Все перечисленные продукты получили наивысший рейтинг ADVANCED+.

AV-Comparatives: Защита от фишинга: Август 2013

Emsisoft, eScan, F-Secure, Vipre, Avast и G Data нашли от 80 до 89 процентов угроз и заработали рейтинг ADVANCED. Рейтинг STANDARD оказался у Qihoo. Нужно отметить, что Qihoo особенно хорошо справился с блокировкой вредоносных сайтов на китайском языке.

Отсутствуют ложные срабатывания

Лучшие на сегодняшний день антифишинг решения используют двусторонний подход. Простая база данных позволяет им блокировать доступ к известным фишинговым сайты, а в некоторых случаях позволяет им добавлять в белый список надежные сайты. Для неизвестных страниц проводится полный анализ внутренний структуры и кода для выявления фальшивых элементов. Norton (не участвовал в программе тестов) стал первым антивирусом с подобным механизмом защиты. Проблема заключается в том, что если эти механизмы не достаточно отработаны, то будет наблюдаться большое число ложных срабатываний, т.е. блокировок безопасных ресурсов.

Исследователи проверили защиту с коллекцией из 400 страниц авторизаций на сайтах банков. Блокирование 1-2 сайтов понизит рейтинг на один пункт. Блокировка 3 сайтов понижает рейтинг на 2 пункта. Продукт с 4 ложными срабатываниями или более не сможет пройти тест и не получит даже STANDARD рейтинг. При тестировании ни один продукт не заблокировал ни один надежный сайт, ложных срабатываний не было вообще.

Таким образом, большинство популярных антивирусных решений показали высокие результаты в этом тестировании. Хотелось бы видеть в списке тестируемых продуктов Internet Explorer со встроенным фильтром SmartScreen. В собственном тесте PC Magazine многие продукты не дотянули до результатов Internet Explorer, поэтому такое сравнение будет очень интересным.

Читайте также: