Фишинг

Сложные фишинговые атаки

Более продвинутые фишинговые атаки требуют лишь несколько дополнительных строк кода. Эти страницы также отображают значок загрузки, но уже через несколько секунд перенаправляют пользователя на легитимный сайт.

На этом этапе данные пользователя также уже отправлены злоумышленнику, однако заметить ссылку в адресной строке уже нельзя. Обычно пользователи думают, что неправильно ввели имя пользователя или пароль, либо произошла еще какая-либо заминка, и пытаются войти в систему снова.

Затем об этой маленькой заминке пользователи забывают и не предпринимают никаких действий. Однако через несколько часов, дней или даже месяцев начинаются реальные проблемы с личными данными.

Рисунок 2. Фишинговая страница авторизации Google

Цель фишинга

Учитывая то обстоятельство, что фишинговые атаки могут совершаться как на частных лиц, так и на компании, различаются и преследуемые мошенниками цели.

Так, в первом случае преследуется цель получения доступа к логинам и паролям, а также номерам счетов пользователей банковских сервисов, равно как платежных систем и соцсетей. Кроме того, часто фишинговые атаки совершаются для установки программного обеспечения, носящего вредоносный характер, на компьютер потенциальной жертвы.

Обналичивание счетов, к которым мошенники получили доступ, представляет собой достаточно сложный процесс, с технической точки зрения, причем человека, занимающегося подобными операциями, поймать гораздо легче.

Таким образом, получив конфиденциальную информацию, мошенник, в подавляющем большинстве случаев, просто продает их другим лицам, использующим проверенные способы снятия денежных средств со счетов. В том случае, если фишинговая атака совершается на компанию, приоритетной целью является доступ к учетной записи одного из сотрудников, для последующего совершения атаки на компанию в целом.

Как используют фишинг для кражи данных

Фишинг – самый популярный вид мошенничества в интернете. С момента изобретения, год от года злоумышленники обманывают тысячи людей. Этот способ берёт не качеством, а количеством. Один на десять тысяч ведётся на уловку, и мошенники получают доступ к его счетам и файлам.

Обычно мошенники рассылают множество писем с заманчивыми предложениями, сообщениями о мнимом выигрыше или купонами от известных магазинов, с сообщениями о скидках и акциях. Часто в таких письмах прикрепляются поддельные ссылки на сайты. Цель таких писем – обманным путём заполучить личные данные, платежные реквизиты и т.д .

Самым ярким примером фишинга можно назвать акцию «миллионный посетитель». При переходе по такой ссылке вам предложат ввести свои личные данные, якобы для подтверждения получения вашего выигрыша.

В основном воруются такие данные:

  • Имя, никнейм, адрес проживания пользователя.
  • Пароли, логины от почты и социальных сетей.
  • Номера телефона, банковского счёта.
  • Данные банковской карточки, её номер, CCV-код, PIN-код.
  • Номер социальной страховки.

После получения данных, они используются мошенниками для оформления и взятия кредита на имя жертвы, снятие денег с банковской карты или использования в виде подставного счёта.

Что такое фишинг

По традиции, в начале прямого эфира ведущий предложил экспертам определиться с базовыми понятиями и рассказать зрителям о том, что называют фишингом и чем этот тип атак отличается от других киберугроз.

Михаил Кондрашин:

Алексей Белоглазов:

Александр Калинин:

Сергей Кузнецов:

Рисунок 1. Жизненный цикл фишинга

Эксперты отметили, что компании весьма редко занимаются проактивным поиском фишинговых угроз, поскольку это — сложный процесс, требующий значительных ресурсов. Превентивная защита от фишинга включает в себя обнаружение вредоносных сайтов, которые могут быть использованы при атаке на конкретную организацию, мониторинг соцсетей с целью выявления публикаций содержащих информацию о сотрудниках, и другие меры. Как подчеркнули наши спикеры, компаниям неэффективно заниматься такой деятельностью самостоятельно: для этого есть специализированные решения.

Фишинг начинается гораздо раньше, чем жертва напрямую сталкивается с ним. Поэтому в зависимости от своих возможностей и ресурсов компании могут либо заказывать услугу мониторинга индикаторов возможной атаки, либо самостоятельно анализировать внешнее окружение в поисках потенциальных угроз.

Чтобы дополнить мнение экспертов, мы спросили зрителей прямого эфира о том, сталкивались ли они с фишингом. Более половины опрошенных — 54 % — рассказали, что встречались с этим видом вредоносной активности как дома, так и в процессе рабочей деятельности. Ещё 20 % респондентов сталкивались с фишингом только дома, а 19 % — только на работе. Никогда не встречались с фишингом всего 7 % зрителей прямого эфира.

Рисунок 2. Сталкивались ли вы когда-нибудь с фишингом?

Какую цель преследует фишинг и чем он опасен?

После перехода на фишинговые сайты появляется окно, предлагающее потенциальной жертве ввести личные данные (логин, пароль)

Для большей убедительности в необходимости передачи конфиденциальной информации, в сообщении могут содержаться призывы «подтвердить учетную запись», «подтвердить платежную информацию», «восстановить пароль», «погасить задолженность» или другие уведомления, привлекающие внимание и побуждающие пользователя к немедленному действию

В случае введения пользователем данных, запрашиваемых фишинговым сайтом, злоумышленники похищают информацию об учетных записях, банковских счетах, свободно распоряжаясь ними в мошеннических целях, что может привести пострадавшего пользователя к ощутимым финансовым потерям, а также причинить существенный моральный ущерб.

В первую очередь фишинг-атакам подвергаются финансовые учреждения (банки, брокерские компании, кредитные организации), электронные платежные системы с целью нелегального получения базы данных, а также секретной информации о клиентах. Основной целью этого вида мошенничества также являются социальные сети (Facebook, Instagram), а также мессенджеры, которые подходят для кражи аккаунтов пользователей, их персональных данных.

Примечание. Первой известной попыткой атаки на финансовые учреждения было хакерское проникновение в международную платежную систему E-Gold в 2001 году, а уже в 2004 году этот вид интернет-мошенничества разросся до глобального масштаба и до сих пор представляет большую опасность для самых разнообразных компаний и их клиентов.

Виды фишинга

Чтобы лучше защититься от подобного вида мошенничества, необходимо знать, в каких оно бывает формах. Специалисты выделяют несколько видов фишинга.

Классический

Конечно, эти письма создаются с большой скрупулезностью, поскольку отличия от настоящих писем должны быть минимальны или вовсе отсутствовать, чтобы пользователь не заметил подмены.

Надо знать и о самых частых «уловках» мошенников, которые заставляют перейти по этой ссылке:

Целенаправленная атака

Предыдущий, классический, вид фишинга можно назвать мошенничеством «на удачу», то есть злоумышленники практически не имеют информации о тех, кому письмо рассылают, и кто на него «поведется». Но есть и целевая атака — когда мошенники владеют избыточной информации о своей жертве.

Чтобы собрать информацию о будущей жертве, чаще всего много усилий не требуется —например, подойдут сайты для поиска работы вроде LinkedIn или HH, где люди подробно рассказывают о себе с целью привлечь работодателя. Но привлекают не тех.

Чтобы не допустить такой ситуации, желательно не размещать личную или служебную информацию в открытом доступе.

Против топ-менеджмента (гарпунный фишинг, охота на китов)

Чем выше должность, тем интереснее и важнее у нее информация, поэтому мошенники часто охотятся за личными данными руководства различных организаций.

Дело в том, что эксперты по безопасности в какой-либо компании ограничивают информацию, которая доступна для определенного сотрудника.

Например, продажник будет знать поставщиков продукции, закупочную цену, возможно, номера счетов организации, а кадровик к этой информации доступа не имеет, но знает всех сотрудников компании, их должности и заработную плату. Руководитель же имеет доступ к любой информации, поэтому для мошенников он наиболее ценен.

После того, как получен доступ к личному кабинету руководителя, злоумышленники могут взаимодействовать с другими отделами компании, например, чтобы оформить банковский перевод денежных средств на свои счета.

Проблема заключается в том, то менеджеры высшего звена часто отказывают проходить обучение основам информационной безопасности, называя это тратой времени и денег.

Рассылки от Google или Dropbox

Новое направление фишинга — кража логина и пароля от облачных хранилищ данных. Облачные сервисы действительно удобны, поэтому многие пользуются ими и для хранения конфиденциальных или служебных данных. Это могут быть:

  • документы;
  • таблицы и презентации;
  • пароли к другим сервисам;
  • копии данных компьютеров;
  • личные фотографии и так далее.

По этой причине желание злоумышленников влезть в данные ресурсы вполне объяснимо и понятно. Для этого чаще всего создают сайт, который максимально имитирует страницу входа в личный кабинет в одном из сервисов облачного хранения. На этот сайт-обманку пользователей ведет ссылка в электронном письме.

Прикрепленные файлы

Ссылка на сайты-обманки — не единственное и не самое опасное средство фишеров. Если пользователь и клюнет на эту удочку, то предоставит только ограниченную информацию — аккаунт на определенном сайте, мобильный телефон, домашний адрес и др.

Намного опаснее те атаки, которые ведут к заражению компьютера вредоносными вирусами, которые могут собрать все личные данные и информацию о человеке.

Такие вирусы часто всего прикрепляются вложениями к письмам. Пользователи видят письмо якобы от знакомого источника, поэтому без сомнений скачивают все вложенные файлы, тем самым заражая свои ПК.

Как организовать учебный фишинг в своей компании

Начинать лучше всего с проведения тестовой атаки. Так вы сразу проанализируете текущую ситуацию и замерите уровень осведомленности ваших сотрудников в области кибербезопасности. Как показывает наша практика, примерно каждый третий попадется на фишинговое письмо. 

Следующий этап — обучение

Важно дать сотрудникам обратную связь сразу после учебной атаки. Сама по себе имитация фишинга не научит людей защищаться от злоумышленников, а лишь покажет уровень киберграмотности. Проинформируйте людей о том, чем чревата фишинговая атака для компании, и расскажите, как выявлять вредоносные письма и ссылки и что делать, когда они обнаружили фишинг. Нужно создать в компании атмосферу здоровой паранойи при общении через цифровые каналы. Особенно когда речь идет о взаимодействии с людьми за пределами компании — подрядчиками, партнерами и другими организациями

Через некоторое время повторите атаку (для разных компаний могут быть уместны разные сроки перерыва — от трех недель до полугода). На этот раз все, кто попался, должны узнать о том, что они стали «жертвой» фишинговой атаки. Будет много разговоров и эмоций, но мы этого и добиваемся!

Теперь можно сравнить результаты двух атак и узнать, насколько эффективен был тренинг.

Проанализировав статистику, стоит уже более детально продумать следующую учебную атаку: кто будет ее целью, как адаптировать сценарий под риски конкретно вашего бизнеса. 

Проводя регулярный учебный фишинг, вы увидите значительный прогресс сотрудников: они будут все чаще распознавать приемы киберпреступников. 

Процесс непрерывного обучения и тренировки навыков сотрудников в области кибербезопасности

Чтобы добиться максимального результата, мы рекомендуем проводить симуляции фишинга ежемесячно. Обычно одна учебная атака занимает от двух до пяти дней в зависимости от размера организации. Этот период включает определение целей и сценария атаки, подготовку материалов (письма, фишинговой страницы, вложения) и рассылку.

Атаки должны учитывать психологический профиль сотрудника. С точки зрения особенностей личности самая уязвимая группа — это люди с такими чертами, как экстраверсия, эмоциональная неустойчивость, доброжелательность, импульсивность и открытость

Именно для таких сотрудников важно регулярно проводить обучение и тренировки

Стоит отдельно продумать, кого вы будете включать в рассылки. Получат ли тестовые фишинговые письма ваши подрядчики и поставщики (в таких случаях нужно отдельно прописать возможность учебных атак в договоре), будете ли вы проверять удаленных сотрудников или сотрудников с частичной занятостью. В симуляциях фишинга обязательно нужно участвовать и топ-менеджменту. Если не тестировать устойчивость руководителей компании, теряется и смысл проводить учебные атаки по остальным сотрудникам.

Согласно нашей практике, чаще всего на фишинг попадаются работники подразделений маркетинга, секретариата и бухгалтерии. К фишингу уязвимы представители творческих профессий. При этом работники IT-подразделений, как правило, реже всего становятся жертвами вредоносных рассылок, потому что лучше других осведомлены о том, как работает электронная почта или для чего нужны SSL-сертификаты.

Разбираем фишинговые сайты

В последнем письме приведена ссылка https://is.gd/SwnIQn, на котором якобы можно получить обещанные денежные средства. Как и предполагалось, происходит редирект на другой адрес https://is.gd/s2miuH, где речи о переводе нет, а требуется пройти некий опрос, который и принесет деньги, причем уже за 100 000 рублей.

Рисунок 6. Главная страница фишингового сайта

 

Создатели утверждают, что при прохождении опроса необходимо ввести данные карты для того, чтобы выполнить тестовое списание денег в размере 160 рублей, которые они обязательно вернут с заслуженной суммой.

Рисунок 7. Фейковая платежная система

 

Фейковая платежная система, ради которой вся кампания и построена. Пользователь вводит данные банковской карты, и они утекают кардерам на действия, которые на сленге называются «вбив» или «обнал».

Система стара как мир — каждый хочет быть индивидуальным и получить легких денег, на эту уловку социальной инженерии и рассчитан данный фишинг. Платежная система скопирована с настоящей и вызывает подозрение, лишь если внимательно посмотреть на URL — https://globalpay4.top/select/internal-account/235?label=donors.

Если перейти лишь на https://globalpay4.top, то получим пустую страницу с надписью «top secret!».

Доменное имя имеет IP 185.254.188.69, и это не web-хостинг. Это выделенный сервер.

Рисунок 8. Информация об IP-адресе

 

Если учитывать фишинговую кампанию сайта в сумме с письмом, то очень много логических несовпадений: выплата по договору, а на сайте необходимо пройти опрос, подозрительный URL, чтобы получить деньги — сначала их надо отдать. Все эти неувязки должны наталкивать на мысли об обмане.

Методы защиты от фишинга

Почтовые серверы и клиенты, а также браузеры имеют встроенные средства защиты от фишинга. Достаточно ли этих инструментов, чтобы защититься от атаки? Так ли нужны наложенные решения? Эти и другие вопросы Алексей Лукацкий предложил обсудить в следующей части дискуссии.

Как пояснили эксперты в студии, встроенные средства безопасности почтовых сервисов и браузеров предоставляют базовый уровень защиты, который злоумышленники способны обойти, поскольку имеют возможность протестировать соответствующие механизмы до начала атаки. Наложенные средства реализуют более сложные алгоритмы, которые также могут быть изучены киберпреступниками, однако это существенно увеличит стоимость атаки — ведь нападающим придётся приобрести соответствующие решения для проверки и тестирования. Далеко не во всех случаях злоумышленники пойдут на такой шаг; так образуется «окно безопасности», где наложенные средства будут обеспечивать эффективную защиту.

По мнению спикеров, современное решение для защиты электронной почты должно обладать следующими свойствами:

  • Регулярно обновляться.
  • Использовать методы машинного обучения для распознавания атак.
  • Уметь хорошо разбирать структуру и текст письма, «понимать» его содержание, распознавать текст на картинке, а также выявлять другие индикаторы.
  • Обладать механизмом оценки репутации отправителя и указанных в письме доменов.

Эксперты AM Live отметили, что машинное обучение используется в антифишинговых системах для сравнения страниц сайтов, а также определения подозрительных доменных имён. Эти действия нельзя автоматизировать при помощи сигнатур или статистических методов, однако искусственный интеллект хорошо справляется с этой задачей. Кроме того, при помощи машинного обучения можно анализировать действия пользователя, которые он пытается совершить после получения сообщения, и таким образом пресечь развитие атаки.

В качестве основы для машинного обучения разумно использовать поставляемую вендором базу, поскольку собственных данных организации может быть недостаточно — ведь они быстро устаревают. При этом специалист по информационной безопасности может дополнять её, а также вручную корректировать решения искусственного интеллекта для более точной настройки правил.

Зрители прямого эфира AM Live в своих компаниях чаще всего контролируют только канал доставки электронной почты. Об этом в ходе опроса рассказали 60 % респондентов. Ещё 15 % опрошенных защищают другие каналы, такие как мессенджеры или голосовые звонки, а 25 % наших зрителей вообще не используют технические средства защиты от фишинга.

Рисунок 3. Какие каналы доставки фишинга вы контролируете техническими средствами?

Дополнительно мы поинтересовались тем, настроены ли у зрителей встроенные механизмы защиты от фишинга в почте и браузерах. Как оказалось, у 36 % респондентов встроенная защита настроена только на почтовых серверах и клиентах, а у 8 % — только в браузерах. Защищают и почту и браузеры 30 % участников опроса, а у 26 % зрителей AM Live встроенные средства безопасности не настроены вообще.

Рисунок 4. Настроены ли у вас встроенные механизмы защиты от фишинга в почте и браузерах?

Технические детали сложных фишинговых атак

Но как же фишинговые атаки выглядят изнутри? Попробуем заглянуть «за кулисы» и начнем с анализа файла index.php:

Рисунок 3. Файлы index.php и modules.php

 

Это хороший пример сложной фишинговой атаки, позволяющей злоумышленнику не только красть данные пользователя. Модуль chmod.php на конечном этапе создает лог-файлы.

Рисунок 4. Часть файла chmod.php

Теперь пришло время логировать информацию — файл visitor_log.php записывает данные посетителя, форматируя даже часовой пояс.

Рисунок 5. Код файла visitor_log.php, записывающий данные посетителя

И теперь становится действительно интересно — злоумышленники проверяют через HTTP_REFERER, с какого сайта пришел посетитель.

Рисунок 6. Часть файла phishtank_check.php 

Но и это еще не все. У злоумышленников имеется целый черный список служб безопасности, которые могут быть угрозой для них. На рисунке ниже можно увидеть список из 122 компаний и их диапазоны IP.

Рисунок 6. Черный список служб безопасности для злоумышленников 

Киберпреступники логируют каждую атаку и всю информацию о пользователе, которую им удается достать, например браузер и user-agent.

Рисунок 6. Логирование информации о пользователе в коде

Как включить защиту от фишинга в разных антивирусах

В последних версиях любого антивируса защита от фишинга подключена автоматически, то есть дополнительно ничего включать не требуется. Актуальную информацию всегда можно посмотреть в настройках конкретной программы, установленной на компьютере.

Например, в программе ESET NOD32 Antivirus необходимо:

  1. Нажать на клавишу F5.
  2. Выбрать «Интернет и электронная почта».
  3. Выбрать «Защита от фишинга».

В Касперском все еще проще, необходимо выбрать:

  1. Раздел «Параметры».
  2. Подраздел «Защита».
  3. В блоке «Анти-фишинг» нажать на переключатель.

Антивирус Аваст хорош тем, что выпустил специальный плагин для браузера, который будет сразу же предупреждать клиента о возможной угрозе. Требуется только добавить плагин в Хром или другой браузер, ничего настраивать не придется.

Если речь идет о типичном антивирусе Аваст в виде программы, то тут функция антифишинга называется «Антиспам». Найти ее можно по адресу: настройки — компоненты — антиспам.

Очевидно, что процедуры очень схожи между собой, поэтому найти такую функцию аналогичным путем можно в любом антивирусе.

Типы и схемы фишинговых атак

К основным методикам и техникам фишинга относят:

Приемы социальной инженерии

Представляясь представителями известных компаний, фишеры чаще всего сообщают получателям, что им нужно по какой-либо причине срочно передать или обновить персональные данные. Такое требование мотивируется утерей данных, поломкой в системе или другими причинами.

Фишинг с обманом

Для кражи личных данных создаются специальные фишинговые сайты, которые размещаются на домене максимально похожем на домен реального сайта. Для этого фишеры могут использовать URL с небольшими опечатками или субдомены. Фишинговый сайт оформляется в похожем дизайне и не должен вызвать подозрений у попавшего на него пользователя.

Cледует отметить, что фишинг с обманом — наиболее традиционный метод работы фишеров и при этом наименее безопасный для организаторов атак, поэтому в последнее время он постепенно уходит в прошлое.

«Гарпунный» фишинг

Объектами «гарпунного» фишинга выступают не широкие группы пользователей, а конкретные люди. Чаще всего этот способ является первым этапом для преодоления средств защиты компании и проведения целевой атаки на нее. Злоумышленники в таких случаях изучают своих жертв с помощью социальных сетей и других сервисов и таким образом адаптируют сообщения и действуют более убедительно.

«Охота на китов»

Охоту за конфиденциальной информацией топ-менеджеров и других важных персон называют «охотой на китов». В этом случае фишеры тратят достаточно много времени на определение личностных качеств целевой жертвы, чтобы подобрать подходящий момент и способы для кражи учетных данных.

Рассылка вирусов

Кроме кражи личных данных мошенники также ставят себе целью нанесение ущерба отдельным лицам или группам лиц. Ссылка фишингового письма при клике может загружать на ПК вредоносный вирус: кейлоггер, троянскую программу или программу-шпиона.

Вишинг

Вишинг — метод фишинга, использующий для получения информации телефонную связь. В уведомительном письме указывается номер телефона, по которому нужно перезвонить, чтобы устранить «возникшую проблему». Затем во время разговора оператор или автоответчик просит пользователя для решения проблемы назвать идентификационные данные.

Читайте по теме: Кардинг, фишинг и скимминг: что это и как защитить свои средства?

Выводы

Организуя фишинговые кампании, злоумышленники используют социальную инженерию как средство психологической атаки. Обычно это самые сильные аспекты человеческих качеств: злость, страх, сострадание и жалость. В случае грамотной манипуляции хакер выводит жертву на эмоции, при которых уже незаметны мелкие расхождения и неувязки. Однако дьявол кроется в деталях.

Для выявления и разоблачения фишинга необходимо находиться в состоянии эмоционального покоя, испытывать положительные эмоции, за исключением эйфории.

Под обязательную проверку попадают все контакты, которые указаны в письме. Если в теле письма есть неверные уточнения или утверждения, есть сомнения по поводу отправителя, в полях указаны сторонние адреса — это все является доказательством фишинга.

При переходе по ссылкам лучше открывать их в режиме инкогнито. Если в момент перехода на сайт браузер затребовал разрешения к камере, микрофону или включить Adode Flash, то делать этого не стоит, так как javascript локальный язык, и выполняется он на стороне клиента, а в коде может быть что угодно

Также необходимо обращать внимание на доменные имена и редиректы между сайтами. Вряд ли get-запросы со спецзнаками используют реальные фирмы