Фишинг — это техника социальной инженерии, которую злоумышленники используют, чтобы украсть данные пользователей или скомпрометировать корпоративную информацию, чаще всего с помощью электронной почты. Фишинговые атаки наиболее эффективны, когда пользователи о них не осведомлены.
Фишинг — это метод атаки, существующий с середины 1990-х годов. Все началось с того, что группа молодых людей разработала программу для чат-рума AOL, которая позволяла им представляться сотрудниками AOL. Они хотели всегда иметь доступ к этому веб-порталу, но не хотели платить за это из своего кармана — поэтому крали номера чужих кредитных карт.
«Чат-рум для новых участников» AOL был предназначен для оказания помощи пользователям по вопросам доступа к сайту. Хакеры использовали ники типа “BillingAccounting”, похожие на ники администраторов AOL, и сообщали пользователям, что с их учетной записью возникли проблемы.
Пользователя просили указать номер банковской карты, чтобы решить проблему. Затем злоумышленники использовали номера карт, чтобы платить с них за собственные аккаунты. Хотя термин «фишинг» был придуман для описания этой и подобных ей атак, теперь он стал ассоциироваться в основном с мошенничеством по электронной почте. Фишинговые атаки до сих пор чрезвычайно распространенное явление. Согласно отчету Verizon 2021 Data Breach Investigations Report (DBIR) 36% утечек данных происходит из-за фишинга.
Поскольку фишинг основывается на социальной инженерии, для защиты от таких атак нужно понимать, как злоумышленники эксплуатируют особенности психологии человека. Начнем с того, что такое социальная инженерия. Это схемы, цель которых — убедить людей сделать то, что они делать не собирались.
Социальная инженерия действует, как человек, который просит вас открыть для него дверь, потому что обе руки у него заняты. Атака с применением социальной инженерии может начаться с того, что кто-то разбрасывает на парковках флешки с подписью «семейные фотографии» Эти USB-накопители могут содержать вредоносные программы, которые устанавливаются на компьютер и взламывают его защиту. Такая атака называется «бэйтинг» — англ. baiting, т. е. «ловля на наживку».
Под фишингом в основном подразумеваются атаки через электронную почту с широким охватом целей. То есть злоумышленник рассылает электронные письма на максимально возможное количество адресов, якобы от таких распространенных сервисов, как платежные системы или крупные банки.
В письме говорится, что аккаунт взломан, и нужно перейти по ссылке, чтобы убедиться в его легитимности. После перехода по ссылке события обычно развиваются по одному из двух сценариев (иногда сразу по обоим):
За годы своего существования фишинг эволюционировал настолько, что появились атаки, нацеленные на конкретные виды данных. Кроме денег целью атак могут быть чувствительные данные или фотографии.
Фишинговая атака — это действие или набор действий, которые злоумышленник предпринимает, чтобы эксплуатировать вас. Попытки фишинга по электронной почте часто легко обнаружить по грамматическим и орфографическим ошибкам в письмах. Однако злоумышленники совершенствуют свои техники. Чтобы принудить человека к нужным действиям, новые атаки воздействуют на эмоции человека: страх, гнев, любопытство и прочие.
Атака на компанию RSA в 2011 году была нацелена всего на четырех ее сотрудников. Электронное письмо было довольно примитивное, но сработало, потому что было нацелено на правильно выбранных людей. Электронное письмо, озаглавленное «План набора персонала 2011.xls», должно было заинтересовать именно этих сотрудников и вряд ли представляло интерес для других.
Существует много типов фишинговых атак. Сюда входят классические атаки через электронную почту, атаки через социальные сети, а также атаки, названия которых составлены из разных слов, например, смишинг и вишинг.
Внутренние фишинговые атаки вызывают все большую тревогу. Они происходят, когда доверенный пользователь отправляет фишинговое электронное письмо сотруднику своей организации. Поскольку отправитель не вызывает подозрений, получатели скорее всего нажмут на ссылку, откроют вложение или поделятся запрашиваемой информацией.
Чтобы отправлять внутренние фишинговые электронные письма, злоумышленник контролирует ваш электронный почтовый ящик с помощью скомпрометированных учетных данных. Злоумышленник также может получить контроль над вашим устройством либо физически — если найдет или украдет его, — либо установив на устройстве вредоносное ПО. Внутренние фишинговые письма обычно являются частью многоэтапных атак, конечная цель которых или вымогательство с помощью программ-вымогателей, или хищение финансовых активов и интеллектуальной собственности.
Смишинг — это тип фишинговой атаки, в которой задействуются мобильные устройства. Поскольку они сейчас популярнее, чем обычные компьютеры, злоумышленники не могли оставить их без внимания. При смишинг-атаке на ваш телефон приходит СМС-сообщение о проблеме с вашим счетом и номером телефона, по которому нужно позвонить, чтобы решить вопрос. Позвонив, вы будете говорить либо лично со злоумышленником, либо с его «сотрудником», нанятым для продолжения аферы.
Если вы не перезвоните, злоумышленники могут позвонить вам сами и сообщить, что ваш счет был атакован и требуется предоставить информацию по нему, чтобы решить проблему. Чем больше будет ответных звонков, тем вероятнее успех хакеров. Такая атака называется вишингом.
Подробнее о смишинге.
Социальные сети стали настолько важной частью нашей жизни, что хакеры могут легко использовать их для мошенничества с помощью фишинга. Одна из распространенных схем Facebook-фишинга — размещение «сделок» или «предложений» в учетных записях друзей с указанием нажать на ссылку. Чтобы провернуть это мошенничество, злоумышленники должны получить доступ к учетной записи.
Если на онлайн-серверах какой-то компании произошла утечка паролей, это может помочь хакерам получить доступ ко множеству учетных записей. Они пробуют вводить те же комбинации электронной почты и пароля на других распространенных платформах, таких как Facebook или LinkedIn.
Подробнее о фишинге через социальные сети.
Пользователи стали лучше разбираться в фишинговых атаках, поэтому злоумышленники создают новые методы атак. Фарминг — это компрометация кэша системы доменных имен (DNS) в вашем компьютере. Это достигается с помощью скрытых загрузок (Drive-by-Download).
Когда пользователь просматривает сайты, переходя от одного к другому, злоумышленник получает возможность воспользоваться брешью, которая часто обнаруживается в их безопасности. Дело в том, что довольно легко внести изменения в HTML-содержимое сайта таким образом, чтобы при его открытии или просмотре выполнялась какая-либо загрузка.
Если пользователь не кликает по адресу электронной почты, злоумышленник ждет, пока он подключится к банку. Скомпрометированный кэш DNS тут же перенаправит пользователя на поддельный сайт, вместо сайта банка. При вводе идентификатора пользователя и пароля их получает злоумышленник, что позволяет ему войти в банковский счет и совершить кражу.
Несколько конкретных советов, которые помогут частным лицам защитить себя:
Рекомендации, перечисленные выше, также подходят для организаций, но дополнительно им следует: