Что такое фишинг?

Фишинг — это техника социальной инженерии, которую злоумышленники используют, чтобы украсть данные пользователей или скомпрометировать корпоративную информацию, чаще всего с помощью электронной почты. Фишинговые атаки наиболее эффективны, когда пользователи о них не осведомлены.

Фишинг

Фишинг — это метод атаки, существующий с середины 1990-х годов. Все началось с того, что группа молодых людей разработала программу для чат-рума AOL, которая позволяла им представляться сотрудниками AOL. Они хотели всегда иметь доступ к этому веб-порталу, но не хотели платить за это из своего кармана — поэтому крали номера чужих кредитных карт.

«Чат-рум для новых участников» AOL был предназначен для оказания помощи пользователям по вопросам доступа к сайту. Хакеры использовали ники типа “BillingAccounting”, похожие на ники администраторов AOL, и сообщали пользователям, что с их учетной записью возникли проблемы.

Пользователя просили указать номер банковской карты, чтобы решить проблему. Затем злоумышленники использовали номера карт, чтобы платить с них за собственные аккаунты. Хотя термин «фишинг» был придуман для описания этой и подобных ей атак, теперь он стал ассоциироваться в основном с мошенничеством по электронной почте. Фишинговые атаки до сих пор чрезвычайно распространенное явление. Согласно отчету Verizon 2021 Data Breach Investigations Report (DBIR) 36% утечек данных происходит из-за фишинга.

Поскольку фишинг основывается на социальной инженерии, для защиты от таких атак нужно понимать, как злоумышленники эксплуатируют особенности психологии человека. Начнем с того, что такое социальная инженерия. Это схемы, цель которых — убедить людей сделать то, что они делать не собирались.

Социальная инженерия действует, как человек, который просит вас открыть для него дверь, потому что обе руки у него заняты. Атака с применением социальной инженерии может начаться с того, что кто-то разбрасывает на парковках флешки с подписью «семейные фотографии» Эти USB-накопители могут содержать вредоносные программы, которые устанавливаются на компьютер и взламывают его защиту. Такая атака называется «бэйтинг» — англ. baiting, т. е. «ловля на наживку».

Под фишингом в основном подразумеваются атаки через электронную почту с широким охватом целей. То есть злоумышленник рассылает электронные письма на максимально возможное количество адресов, якобы от таких распространенных сервисов, как платежные системы или крупные банки.

В письме говорится, что аккаунт взломан, и нужно перейти по ссылке, чтобы убедиться в его легитимности. После перехода по ссылке события обычно развиваются по одному из двух сценариев (иногда сразу по обоим):

  1. Ссылка может привести на вредоносный веб-сай, который похож на настоящий. Например, адрес отличается одной буквой от легитимного: “www.PayPals.com” вместо “www.PayPal.com.” В ложном URL-адресе добавлена лишняя буква “s”. Как только вы попадете на вредоносный веб-сайт, при попытке входа в систему злоумышленник перехватит ваш идентификатор пользователя и пароль.

    Теперь хакер имеет доступ к вашему банковскому счету и может перевести с него деньги куда угодно. Злоумышленник может извлечь дополнительную выгоду. Он может получить доступ к другим вашим учетным записям, например, на Amazon или eBay, если вы везде используете один и тот же пароль.
  2. Злоумышленник может загрузить на ваш компьютер вредоносные программы, чтобы использовать их для атак в будущем. Вредоносная программа может оказаться регистратором нажатий клавиш, который зафиксирует логины или номера кредитных карт, или программой-вымогателем, которая зашифрует содержимое диска и потребует выкуп (обычно в биткоинах) за дешифровку данных.

    К тому же злоумышленник может использовать ваш зараженный компьютер для майнинга криптовалюты. Это может происходить в то время, когда вас нет у компьютера, или же вредоносная программа на все время резервирует для себя часть мощностей центрального процессора. Ваш компьютер при этом работает медленнее, потому что злоумышленник успешно занимается майнингом биткоинов.

За годы своего существования фишинг эволюционировал настолько, что появились атаки, нацеленные на конкретные виды данных. Кроме денег целью атак могут быть чувствительные данные или фотографии.

Фишинговые атаки

Фишинговая атака — это действие или набор действий, которые злоумышленник предпринимает, чтобы эксплуатировать вас. Попытки фишинга по электронной почте часто легко обнаружить по грамматическим и орфографическим ошибкам в письмах. Однако злоумышленники совершенствуют свои техники. Чтобы принудить человека к нужным действиям, новые атаки воздействуют на эмоции человека: страх, гнев, любопытство и прочие.

Атака на компанию RSA в 2011 году была нацелена всего на четырех ее сотрудников. Электронное письмо было довольно примитивное, но сработало, потому что было нацелено на правильно выбранных людей. Электронное письмо, озаглавленное «План набора персонала 2011.xls», должно было заинтересовать именно этих сотрудников и вряд ли представляло интерес для других.

Типы фишинга

Существует много типов фишинговых атак. Сюда входят классические атаки через электронную почту, атаки через социальные сети, а также атаки, названия которых составлены из разных слов, например, смишинг и вишинг.

  • Фишинг — как правило, мошенничество через электронную почту
  • Направленный фишинг — письма, предназначенные для обмана конкретных людей
  • Уэйлинг — электронные письма обычно предназначены для высшего руководства
  • Внутренний фишинг — фишинговые сообщения пересылаются внутри организации
  • Вишинг — мошенники звонят своим жертвам
  • Смишинг — мошенники высылают фишинговые СМС-сообщения
  • Фишинг через социальные сети — мошенники размещают фишинговые посты
  • Фарминг — компрометация кэша DNS
     

Внутренний фишинг

Внутренние фишинговые атаки вызывают все большую тревогу. Они происходят, когда доверенный пользователь отправляет фишинговое электронное письмо сотруднику своей организации. Поскольку отправитель не вызывает подозрений, получатели скорее всего нажмут на ссылку, откроют вложение или поделятся запрашиваемой информацией.

Чтобы отправлять внутренние фишинговые электронные письма, злоумышленник контролирует ваш электронный почтовый ящик с помощью скомпрометированных учетных данных. Злоумышленник также может получить контроль над вашим устройством либо физически — если найдет или украдет его, — либо установив на устройстве вредоносное ПО. Внутренние фишинговые письма обычно являются частью многоэтапных атак, конечная цель которых или вымогательство с помощью программ-вымогателей, или хищение финансовых активов и интеллектуальной собственности.

Смишинг

Смишинг — это тип фишинговой атаки, в которой задействуются мобильные устройства. Поскольку они сейчас популярнее, чем обычные компьютеры, злоумышленники не могли оставить их без внимания. При смишинг-атаке на ваш телефон приходит СМС-сообщение о проблеме с вашим счетом и номером телефона, по которому нужно позвонить, чтобы решить вопрос. Позвонив, вы будете говорить либо лично со злоумышленником, либо с его «сотрудником», нанятым для продолжения аферы.

Если вы не перезвоните, злоумышленники могут позвонить вам сами и сообщить, что ваш счет был атакован и требуется предоставить информацию по нему, чтобы решить проблему. Чем больше будет ответных звонков, тем вероятнее успех хакеров. Такая атака называется вишингом.

Подробнее о смишинге.

Фишинг через социальные сети

Социальные сети стали настолько важной частью нашей жизни, что хакеры могут легко использовать их для мошенничества с помощью фишинга. Одна из распространенных схем Facebook-фишинга — размещение «сделок» или «предложений» в учетных записях друзей с указанием нажать на ссылку. Чтобы провернуть это мошенничество, злоумышленники должны получить доступ к учетной записи.

Если на онлайн-серверах какой-то компании произошла утечка паролей, это может помочь хакерам получить доступ ко множеству учетных записей. Они пробуют вводить те же комбинации электронной почты и пароля на других распространенных платформах, таких как Facebook или LinkedIn.

Подробнее о фишинге через социальные сети.

Фарминг

Пользователи стали лучше разбираться в фишинговых атаках, поэтому злоумышленники создают новые методы атак. Фарминг — это компрометация кэша системы доменных имен (DNS) в вашем компьютере. Это достигается с помощью скрытых загрузок (Drive-by-Download).

Когда пользователь просматривает сайты, переходя от одного к другому, злоумышленник получает возможность воспользоваться брешью, которая часто обнаруживается в их безопасности. Дело в том, что довольно легко внести изменения в HTML-содержимое сайта таким образом, чтобы при его открытии или просмотре выполнялась какая-либо загрузка.

Если пользователь не кликает по адресу электронной почты, злоумышленник ждет, пока он подключится к банку. Скомпрометированный кэш DNS тут же перенаправит пользователя на поддельный сайт, вместо сайта банка. При вводе идентификатора пользователя и пароля их получает злоумышленник, что позволяет ему войти в банковский счет и совершить кражу.

Как защититься от фишинга?

Несколько конкретных советов, которые помогут частным лицам защитить себя:

  • включить двухфакторную аутентификацию на всех учетных записях;
  • использовать решения для защиты от вредоносных программ;
  • использовать межсетевой экран;
  • скептически относиться к рекламным баннерам;
  • так же относиться к вложениям в электронных письмах — как от известных, так и неизвестных отправителей;
  • это же касается СМС и других сообщений от известных и неизвестных отправителей, которые просят вас перейти по ссылке или передать им персональную информацию;
  • не давать никому своих персональных данных.

Рекомендации, перечисленные выше, также подходят для организаций, но дополнительно им следует:

  • отфильтровывать фишинговые письма и вредоносный веб-трафик с помощью шлюза;
  • проводить аутентификацию отправителей с помощью идентификации сообщений, создания отчетов и проверки соответствия по доменному имени (DMARC);
  • отфильтровывать фишинговые письма по отправителям и содержимому, а также проводить статический и динамический анализ URL-адресов и вложений для обнаружения угроз;
  • применять усовершенствованные техники фильтрации с использованием искусственного интеллекта для обнаружения компрометации корпоративной электронной почты (BEC) и атак с целью кражи учетных данных;
  • предотвращать внутренние фишинговые атаки с помощью решений безопасности, интегрированных в сервисы облачной или локальной платформ электронной почты, с использованием API. Они доступны для Microsoft 365, Google G Suite, Microsoft Exchange Server и IBM Domino server.

Статьи по теме

Исследования фишинга