11 типов фишинга и их примеры из реальной жизни

Как обезопаситься

  1. Всегда проверять URL-адрес, по которому советуют перейти, или который уже открылся. Если есть хоть какие-то, даже самые незначительные ошибки, личные данные водить не рекомендуется.
  2. Использовать только защищенные https-соединения. Если в ссылке стоит просто «http» без S, то нет никакой причины доверять этому сайту.
  3. Подвергать сомнению любые ссылки и вложения в письмах. Даже если письмо пришло от друга, то это не исключает вредоносности содержимого, ведь друг мог быть взломан.
  4. Вводить URL-адрес необходимого сайта самостоятельно или пользоваться закладками. К сожалению, от фарминга даже это не спасет.
  5. Если получено письмо с подозрительным содержимым, то необходимо связаться с отправителем другим способом и уточнить, он ли его послал.
  6. Не входить в онлайн-банкинг и другие финансовые сети через открытые Wi-Fi-сети. Эти сети могут быть изначально созданы мошенниками. Даже если это не так, то взломать открытую сеть Вай-Фая все равно несложно.
  7. Везде, где это возможно, подключать двухфакторную аутентификацию. Это может спасти аккаунт, даже если основной пароль был похищен злоумышленниками.
  8. Своевременно обновлять браузеры, поскольку они имеют встроенную систему защиты, которая тоже требуют обновления.
  9. Использовать антивирусы.
  10. Обновлять операционную систему, поскольку это поможет закрыть ее уязвимости.
  11. Использовать несколько почтовых ящиков — отдельно для работы и друзей.
  12. Сразу удалять подозрительные письма.

Если возникли подозрения, то любой сайт можно проверить на наличие вирусных скриптов и спам-рассылки с помощью специальных сторонних сервисов из списка ниже:

1. Urlvoid.com. 2. Unmaskparasites.com. 3. Phishtank.com. 4. Unshorten.it. 5. AVG Threatlabs. 6. Kaspersky VirusDesk. 7. ScanURL. 8. PhishTank. 9. Google Transparency Report. 10. Antiphishing.ru.

Эти меры безопасности помогут предотвратить утечку личных данных. Их можно объединить одним понятием — антифишинг. Простыми словами определение антифишинга будет звучать так: защита от фишинга.

Продукты на рынке

Фишинг могут использовать как злоумышленники, так и сотрудники ИБ компании, с целью проведения постоянного аудита поведения сотрудников. Что же нам предлагает рынок бесплатных и коммерческих решений по автоматизированной системе обучения сотрудников компании:

  1. GoPhish — опенсорсный проект, позволяющий развернуть фишинговую компанию с целью проверки IT-грамотности ваших сотрудников. К преимуществам я бы отнес простоту развертывания и минимальные системные требования. К недостаткам — отсутствие готовых шаблонов рассылки, отсутствие тестов и обучающих материалов для персонала.

  2. KnowBe4 — площадка с большим числом доступных продуктов для тестирования персонала.

  3. Phishman — автоматизированная система тестирования и обучения сотрудников. Имеет различные версии продуктов, поддерживающих от 10 до более 1000 сотрудников. Курсы обучения включают в себя теорию и практические задания, есть возможность выявления потребностей на основе полученной статистики после фишинговой компании. Решение коммерческое с возможностью триального использования.

  4. Антифишинг — автоматизированная система обучения и контроля защищенности. Коммерческий продукт предлагает проведение периодических учебных атак, обучение сотрудников и т.д. В качестве демо-версии продукта предлагается кампания, включающая в себя разворачивание шаблонов и проведение трех учебных атак.

Вышеперечисленные решения лишь часть доступных продуктов на рынке автоматизированного обучения персонала. Конечно же, у каждого есть свои преимущества и недостатки. Сегодня мы познакомимся с GoPhish, имитируем фишинговую атаку, изучим доступные опции.

Как распознать фишинговую атаку

Есть несколько вещей, на которые следует обратить внимание, когда электронное письмо или веб-сайт кажутся подозрительными. Хотя некоторые фишинговые кампании создаются так, чтобы они выглядели аутентичными, всегда есть ключевые подсказки, которые помогут их легко обнаружить

Давайте рассмотрим некоторые вещи, которые могут показать вам, если вы стали жертвой фишинг-атаки.

Адрес отправителя

Проверьте, получали ли вы что-нибудь от одного и того же отправителя. Если фишер был достаточно умен, они хорошо замаскировали адрес отправителя, и разница могла быть только в одной букве, поэтому вы можете даже не увидеть его, если не присмотритесь.

Доменные имена с ошибками

Один из ключей – проверить, не отличается ли домен немного от обычного (например, добавление суффикса к имени домена)

Что еще более важно, большинство законных брендов никогда не попросят вас передать личную информацию по электронной почте

Плохая грамматика и орфография

Многие фишинговые атаки не очень хорошо спланированы, особенно атаки типа «спрей и молись», а сообщения могут содержать орфографические и грамматические ошибки. Официальные сообщения от любой крупной организации вряд ли будут содержать неправильную орфографию или грамматику, поэтому плохо написанные сообщения должны немедленно указывать на то, что сообщение может быть незаконным.

Подозрительные вложения / ссылки

В фишинговых сообщениях электронной почты довольно часто просят пользователя щелкнуть ссылку на поддельный веб-сайт, созданный для злонамеренных целей. URL-адрес будет выглядеть допустимым, но будут небольшие ошибки, такие как пропущенные или замененные буквы.

Если сообщение кажется странным, всегда разумно потратить секунду, чтобы изучить ссылку более внимательно, наведя указатель на нее, чтобы увидеть, отличается ли веб-адрес от настоящего. Вы всегда можете связаться с брендом, используя их общедоступный адрес электронной почты или номер телефона, чтобы дважды проверить, прежде чем нажимать что-нибудь подозрительное.

В срочном порядке

Многие фишинговые атаки содержат сообщения, предупреждающие о проблемах с вашей учетной записью или проблемах с оплатой. Это потому, что фишеры пытаются заставить вас действовать быстро, не слишком много раздумывая

В этих случаях еще более важно дважды проверить ссылки в сообщении и адрес отправителя

Сообщение слишком хорошее, чтобы быть правдой

Сожалеем, что разбили ваш пузырь, но любое сообщение о том, что вы выиграли ваучер или приз, скорее всего, является фишинг-атакой. Мы уверены, что это потребует немного больше работы, чем просто размещение вашей личной информации на веб-сайте, поэтому вам нужно быть очень осторожным и проверять все ключевые раздачи.

Но если вы действительно выиграли приз, поздравляю!

Как определить фишинговый сайт

Современные браузеры, почтовые клиенты и антивирусные программы имеют встроенные системы защиты пользователей от мошеннических схем, информирующие о переходе на небезопасный сайт. Согласно статистике «Лаборатории Касперского» за 2018 год, с помощью системы «Антифишинг» было предотвращено более 90 миллиона попыток переходов пользователей на мошеннические сайты. 

Самостоятельная проверка сайта

URL не должен быть слишком длинным, содержать непонятные символы или искажения названия домена известного ресурса. Корректный адрес содержит название сайта, категории и страницы:

Если переход на сайт осуществлен, обращайте внимание на итоговый адрес, поскольку мошенники часто используют редиректы на другие ресурсы. Наличие орфографических ошибок, неправильной верстки и непрофессионального дизайна — также один из признаков фишингового сайта

Настоящие проекты крупных компаний отличаются профессиональным исполнением, качественным дизайном и грамотными текстами.
Платежные данные официальные компании требуют только на сайтах с защищенным протоколом https, если используется небезопасный протокол http и предлагают ввести номер карточки, то сайт фишинговый и его следует покинуть.
При вводе номеров карточек и паролей данные в целях безопасности должны маркироваться точками или звездочками:

Отсутствие подобной защиты тоже свидетельствует о том, что сайт сделан мошенниками.

  1. Также помните, что сайты злоумышленников часто содержат вирусное программное обеспечение, которое попадает на компьютер или телефон пользователя. Чтобы обезопасить свои конфиденциальные данные и личный контент от вирусных атак, необходимо устанавливать и своевременно обновлять антивирусные программы. 

Проверка сайта с помощью онлайн-сервисов

Если возникли сомнения в безопасности сайта, на котором требуется ввести личную информацию, воспользуйтесь онлайн-сервисами, проверяющими проект на наличие вредоносных программ и фишинга:

Unshorten.It!

При получении в мессенджере или соцсети сокращенной ссылки расшифруйте ее перед переходом. Скопируйте короткий линк и нажмите Unshorten.It.

После этого отображается скриншот сайта, на который ведется ссылка, а также дается оценка его трастовости и безопасности для детей:

Что такое фишинговые сайты.

Фишинговый сайт — это сайт, который полностью или частично скопирован с оригинального, но таковым не является.

Целью таких сайтов является хищение логина и пароля, который вы используете на оригинальном сайте. Пользователь переходит по фишинговой ссылке и видит перед собой обычный портал, которым постоянно пользуется. Ничего не подозревая вводит свои логин и пароль, которые тот час же становятся известны злоумышленникам.

Как было описано выше, такие сайты внешне полностью копируют оригинальные, но вот если присмотреться к адресу в адресной строке или сообщениям, которые могут у вас всплывать при переходе, то вы можете удивиться. Например, адрес http://vkontalke.ru очень похож на правильный, но если посмотреть внимательнее, то вы увидите в нем ошибку. Ниже представлены примеры таких сайтов.

Существует ли защиты от фишинга?

Задумались о том, как защититься от фишинга? С учетом разнообразия методов, действительно хитрых схем фишинга, увеличивается необходимость в усилении применяемых мер безопасности. Основными способами защиты персональных данных от интернет-мошенников являются:

  • Спам-фильтры в электронной почте. Фильтры почтовых программ и сервисов автоматически блокируют фишинговые электронные письма, попадающие в почтовые ящики пользователей, и помещают их в специальную папку. В нее иногда попадает и реклама.
  • Привязка почтового аккаунта к номеру мобильного телефона. Многие сайты предоставляют возможность SMS-авторизации, то есть использования мобильного телефона в качестве дополнительного способа для входа в учетную запись, проверки и подтверждения проведения банковских транзакций. Для входа в аккаунт в случае смены IP-адреса пользователь вводит одноразовый код или пароль, приходящий на его мобильный телефон. Это существенно снижает риски: даже в случае успешной фишинг-атаки украденный киберпреступников пароль сам по себе не может быть повторно использован для дальнейшего проникновения.
  • Проверка ссылки на фишинг на специальных анти-фишинговых сайтах. Существуют организации, специализирующиеся на борьбе с фишингом, например, FraudWatch International, Millersmiles. Они публикуют сведения о подтвержденных фишинговых атаках, происходящих в Интернете.

Функция «антифишинг» в современных браузерах

Все наиболее популярные браузеры на сегодняшний день имеют встроенную функцию обнаружения и блокировки фишинговых сайтов, которая работает на основе черного списка.

Соблюдение мер предосторожности. Хотя власти разных стран, крупные IT-компании (Microsoft, Google, Amazon и другие) активно борются с фишингом и другими видами киберпреступлений, а соблюдение всех необходимых мер предосторожности позволяет не попасться на уловки мошенников

В целях безопасности не следует открывать подозрительные электронные письма, не переходить по ссылкам, не кликать по объектам, самостоятельно вводить URL-адреса сайтов компаний в адресную строку браузера вместо клика по любым гиперссылкам в сообщении, не вводить личные данные на неизвестных интернет-ресурсах. Кроме того рекомендуется «усложнить» процедуру авторизации, доступную на сайтах, своевременно обновлять антивирусное программное обеспечение на всех своих устройствах. А самое главное и простое правило – всегда помнить о том, что никакие интернет-сервисы, сотрудники банков или других организаций не будут спрашивать пароль, PIN-код банковской карты и другие конфиденциальные данные.

Фишинг – один из наиболее распространенных видов интернет-мошенничества, представляющий серьезную опасность для конфиденциальности персональных данных, что достаточно часто приводит к финансовым потерям. Знание и соблюдение правил сетевой безопасности позволяет значительно снизить или даже полностью исключить риск возникновения подобных проблем.

Создание фишинг сайта

И так приведу пример создания фишингового сайта для социальной сети вконтакте.

Открываем любой браузер, заходим по адресу vk.com,

жмем файл => сохранить как =>

Имя файла: index.html

Тип файла: Веб – страница, полностью с картинками. Жмем кнопку, Сохранить.

Теперь нужно создать скрипт, который будет передавать данные введенные в поле логин и пароль. Назовем его icq.php

Открываем блокнот и вставляем туда этот код.

Закрываем и сохраняем как icq.php

Открываем в блокноте файл, index.html. Открываем поиск (ctrl+f) и вводим <form жмем enter.

Он найдет строчку:

Меняем её на это:

Дальше, смотрим чуть ниже и находим строчку:

Меняем на это:

Смотрим еще чуть ниже и находим строчку:

Меняем на это:

Дальше необходимо кнопку «Войти» включить в форму, чтобы она работала, для этого, находим чуть ниже закрывающийся тег </form>, вырезаем его и вставляем его вот тут.

Когда жертва зайдет на вашу страничку фишинговую, введет «логин» и «пароль», у вас создаться на хостинге еще один файл, ups.php в нем и будут храниться учетные записи.

Чем опасны фишинговые сайты

Чаще всего фишинговые сайты создают для банков, авиакомпаний, сервисов бронирования билетов и доставки еды — там, где пользователь будет что-то оплачивать или есть шанс получить доступ к его счету.

86 фишинговых сайтов Деливери-клаба, Сбермаркета и Яндекс-еды появились в пандемию — новость в Коммерсанте

На фишинговых сайтах есть форма оплаты или форма ввода логина и пароля от личного кабинета. С личным кабинетом опасность в том, что мошенник получает логин, пароль и код из смс, а затем — доступ к деньгам на счете. Работает это так:

  • пользователь вводит логин и пароль на поддельном сайте;
  • мошенник видит эти данные и вводит их на настоящем сайте;
  • пользователю приходит смс от банка и он вводит код на поддельном сайте;
  • этот код мошенник вводит на настоящем сайте и получает доступ к личному кабинету и счету пользователя.

А через форму оплаты на фишинговом сайте мошенник может списать любую сумму. Например, пользователь заказывает пиццу за 700 рублей, вводит номер карты и получает код в смс. Но код приходит не на 700 рублей, а на 30 000 рублей, которые получит мошенник.

Пользователь заказал пиццу по ссылке из инстаграма, и с его карты списалось 30 000 рублей.

Комментарий на виси-ру

Когда смс с кодом появляется на экране телефона в виде уведомления, видно только код. Сумму пишут ниже, и чтобы ее увидеть, нужно раскрыть уведомление.

Защита от веб-фишинга

Как отметили гости студии, стратегия тотальных запретов может быть вполне эффективной, однако она губительно сказывается на бизнес-процессах компании. Использовать её в полной мере в условиях реальной работы организации очень трудно. Один из компромиссных вариантов — разрешить пользователям доступ к сайтам определённой категории, что также помогает бороться и с сайтами-однодневками.

Во многих компаниях существует практика предоставления рядовым сотрудникам доступа на основе ограниченного списка доверенных ресурсов. Однако проблема состоит в том, что главные цели фишинговых атак — сотрудники маркетинговой службы и отдела продаж, финансисты, руководители компаний — обычно обладают более широкими привилегиями, необходимыми им для работы.

Для борьбы с сайтами-клонами можно применять следующую стратегию:

  • Использовать сервисы Brand Protection (защиты бренда в цифровой среде), которые проверяют все вновь зарегистрированные домены на схожесть с доменом конкретной организации, а также выполняют автоматическую проверку содержимого таких сайтов.
  • Использовать средства анализа действий, выполняемых сайтом при открытии его в браузере, чтобы бороться с ресурсами, которые отображают разное содержимое в зависимости от определённых параметров сеанса.

Как показали результаты опроса, 58 % зрителей конференции AM Live не предпринимают действий для борьбы с сайтами-клонами и иными фишинговыми ресурсами. Ведут такую работу 42 % опрошенных.

Рисунок 5. Боретесь ли вы с сайтами-клонами и иными фишинговыми интернет-ресурсами?

Что такое фарминг

Классический фишинг со ссылками на сомнительные ресурсы постепенно становится менее эффективным. Опытные пользователи веб-сервисов обычно уже осведомлены об опасности, которую может нести ссылка на подозрительный сайт и проявляют осмотрительность, получив странное письмо или уведомление. Заманить жертву в свои сети становится все труднее.

В качестве ответа на снижение результативности традиционных атак злоумышленниками был придуман фарминг — скрытое перенаправление на мошеннические сайты.

Суть фарминга состоит в том, что на первом этапе в компьютер жертвы тем или иным образом внедряется троянская программа. Она зачастую не распознается антивирусами, ничем себя не проявляет и ждет своего часа. Вредонос активируется лишь тогда, когда пользователь самостоятельно, без всякого внешнего воздействия, решает зайти на интересующую преступников страницу в интернете. Чаще всего это сервисы онлайн-банкинга, платежные системы и прочие ресурсы, осуществляющие денежные транзакции. Здесь-то и происходит процесс подмены: вместо проверенного, часто посещаемого сайта хозяин зараженного компьютера попадает на фишинговый, где, ничего не подозревая, указывает нужные хакерам данные. Делается это с помощью изменения кэша DNS на локальном компьютере или сетевом оборудовании. Такой вид мошенничества особенно опасен из-за трудности его обнаружения.

Запуск ловли GoPhish

Мы указали все необходимые данные. Во вкладке «New Campaign» создадим новую кампанию.

После старта мы всегда можем ознакомиться со статистикой, в которой указано: отправленные сообщения, открытые сообщения, переходы по ссылкам, оставленные данные перенос в спам.

Из статистики видим, что 1 сообщение было отправлено, проверим почту со стороны  получателя:

В итоге наш пользователь перешел по фишинговой ссылке, где потенциально мог оставить данные от своей учетной записи.

Примечание автора: процесс ввода данных не фиксировался по причине использования тестового макета, но такая опция есть. При этом содержимое не шифруется и хранится в БД GoPhish, учтите это.

Разовые акции

Появляются в качестве ответа на запрос общества. Спрос порождает предложение, как бы банально ни звучало. Стоило по телевизору в мае сказать про ковидные выплаты, как реакция не заставила себя ждать (см. график выше). Весенние локдауны тоже служат хорошей иллюстрацией.

По динамике регистраций доменов со словом zoom в названии хорошо видно, когда россияне стали массово осваивать новые форматы учебы и работы. В марте регистраций подозрительных zoom-доменов было 4, в апреле уже 28, а в мае – 49.

Занимательный факт: дополнительную путаницу для пользователей внёс сам Zoom, будучи зарегистрированным на национальном домене US, а не «привычном» COM.

Ещё одну разовую акцию можно было наблюдать летом накануне голосования за поправки в Конституцию.

Занимательный факт: представители власти иногда, сами того не желая, помогают мошенникам. Для привлечения граждан к онлайн-голосованию мэрия Москвы запустила проект портала «Активный гражданин», который предполагал розыгрыш 2 млн сертификатов на оплату товаров, услуг, парковки и скидки в ресторанах. Розыгрыш сертификатов «Активный гражданин» был организован по следующей официальной (!) схеме. Для информирования организаторы использовали смс-рассылку. Потенциальному участнику розыгрыша приходило сообщение с предложением перейти на сайт (домен ag-vmesteru), где нужно было бы ввести код из смс. А чтобы отказаться от участия, нужно было написать сообщение на короткий номер.

Стоит добавить, что внимание мошенников привлекают не только массовые маркетинговые акции, но и запуск бонусных программ отдельных брендов. Так, немного покопавшись в доменах, можно обнаружить, что мошенники пытались организовывать сценарии мошенничества с бонусными программами «Лукойла» (в январе был всплески регистраций сайтов типа BONUS-CARD-LUCOILru, BONUSI-LUKOILru), Тинькофф, Альфа-банк, ВКонтакте, Ситимобил, BelkaCar, МТС, М-Видео, Магнит и др

Как включить защиту от фишинга в разных антивирусах

В последних версиях любого антивируса защита от фишинга подключена автоматически, то есть дополнительно ничего включать не требуется. Актуальную информацию всегда можно посмотреть в настройках конкретной программы, установленной на компьютере.

Например, в программе ESET NOD32 Antivirus необходимо:

  1. Нажать на клавишу F5.
  2. Выбрать «Интернет и электронная почта».
  3. Выбрать «Защита от фишинга».

В Касперском все еще проще, необходимо выбрать:

  1. Раздел «Параметры».
  2. Подраздел «Защита».
  3. В блоке «Анти-фишинг» нажать на переключатель.

Антивирус Аваст хорош тем, что выпустил специальный плагин для браузера, который будет сразу же предупреждать клиента о возможной угрозе. Требуется только добавить плагин в Хром или другой браузер, ничего настраивать не придется.

Если речь идет о типичном антивирусе Аваст в виде программы, то тут функция антифишинга называется «Антиспам». Найти ее можно по адресу: настройки — компоненты — антиспам.

Очевидно, что процедуры очень схожи между собой, поэтому найти такую функцию аналогичным путем можно в любом антивирусе.

Цель фишинга

Учитывая то обстоятельство, что фишинговые атаки могут совершаться как на частных лиц, так и на компании, различаются и преследуемые мошенниками цели.

Так, в первом случае преследуется цель получения доступа к логинам и паролям, а также номерам счетов пользователей банковских сервисов, равно как платежных систем и соцсетей. Кроме того, часто фишинговые атаки совершаются для установки программного обеспечения, носящего вредоносный характер, на компьютер потенциальной жертвы.

Обналичивание счетов, к которым мошенники получили доступ, представляет собой достаточно сложный процесс, с технической точки зрения, причем человека, занимающегося подобными операциями, поймать гораздо легче.

Таким образом, получив конфиденциальную информацию, мошенник, в подавляющем большинстве случаев, просто продает их другим лицам, использующим проверенные способы снятия денежных средств со счетов. В том случае, если фишинговая атака совершается на компанию, приоритетной целью является доступ к учетной записи одного из сотрудников, для последующего совершения атаки на компанию в целом.

Какую цель преследует фишинг и чем он опасен?

После перехода на фишинговые сайты появляется окно, предлагающее потенциальной жертве ввести личные данные (логин, пароль)

Для большей убедительности в необходимости передачи конфиденциальной информации, в сообщении могут содержаться призывы «подтвердить учетную запись», «подтвердить платежную информацию», «восстановить пароль», «погасить задолженность» или другие уведомления, привлекающие внимание и побуждающие пользователя к немедленному действию

В случае введения пользователем данных, запрашиваемых фишинговым сайтом, злоумышленники похищают информацию об учетных записях, банковских счетах, свободно распоряжаясь ними в мошеннических целях, что может привести пострадавшего пользователя к ощутимым финансовым потерям, а также причинить существенный моральный ущерб.

В первую очередь фишинг-атакам подвергаются финансовые учреждения (банки, брокерские компании, кредитные организации), электронные платежные системы с целью нелегального получения базы данных, а также секретной информации о клиентах. Основной целью этого вида мошенничества также являются социальные сети (Facebook, Instagram), а также мессенджеры, которые подходят для кражи аккаунтов пользователей, их персональных данных.

Примечание. Первой известной попыткой атаки на финансовые учреждения было хакерское проникновение в международную платежную систему E-Gold в 2001 году, а уже в 2004 году этот вид интернет-мошенничества разросся до глобального масштаба и до сих пор представляет большую опасность для самых разнообразных компаний и их клиентов.

Выводы

Кроме элементарных примеров фишинговых атак, также существуют более продвинутые, тенденция к усложнению атак наблюдается давно. Например, в среде хакеров Black hat гораздо больше серьезных хакеров, нежели script kiddies (в хакерской культуре унизительный термин, используемый для описания тех, кто пользуется скриптами или программами, разработанными другими, для атаки компьютерных систем и сетей, не понимая механизма их действия. Предполагается, что скрипт кидди слишком неопытные, чтобы самим написать свой собственный эксплойт или сложную программу для взлома, и что их целью является лишь попытка произвести впечатление на друзей или получить похвалу от сообществ компьютерных энтузиастов). Следовательно, киберпреступления совершаются опытными людьми со знанием дела.