#phishing

За даними звіту Cisco, причиною витоків даних у 90% випадків є фішингові атаки. Від шкідливих програм та програм-вимагачів страждають мільйони користувачів. Однак, фішингові атаки завдають не меншої шкоди. Наявність новітніх протоколів безпеки та програмного забезпечення не забезпечує повний захист від кіберзагроз. Низький рівень знань користувачів збільшує ризик стати жертвою кіберзлочинців. Тому важливо забезпечити належне навчання всіх користувачів.

Фішингова атака – це кібератака з використанням соціальної інженерії з метою незаконно оволодіти конфіденційними даними. Найчастіше атака здійснюється через шкідливі посилання та файли. Також фішингові атаки поєднують із шкідливими програмами для завдання більшої шкоди. Для успішної реалізації атаки кіберзлочинець ретельно вивчає поведінку користувачів. Таким чином він підбирає найпростіший та найефективніший шлях до здійснення своїх цілей.

Ознаки спроб фішингу:

запит персональних та облікових даних, а також інформації про банківські картки;
необґрунтовані погрози;
терміновість;
помилки у тексті (орфографічні, граматичні);
підозрілі URL-адреси;
унікальні пропозиції.

Кіберзлочинці постійно розробляють нові методи фішингу для отримання конфіденційних даних.

Найпоширеніші типи фішингових атак:

Email фішинг – найстаріший і найчастіше використовуваний вид фішингових атак. Метою листів, що імітують законних відправників, є корпоративні користувачі та приватні особи. За допомогою шкідливого посилання, документа або зображення зловмисник змушує жертву завантажити шкідливий код (наприклад, підтвердити особисту інформацію, перейшовши за посиланням).

Ознаки: запит особистої інформації; термінова проблема; скорочені посилання; підозрілий URL; орфографічні та граматичні помилки; вкладені файли; порожнє зображення;

Цільовий фішинг – є більш цілеспрямованим та орієнтований на конкретну людину чи компанію. Зловмисники збирають із відкритих джерел інформацію та роблять атаку на цілі підприємства та відділи.

Ознаки: незвичайні запити; посилання на загальні диски; підозрілі та незапитані листи; згадка особистих даних;

Фішинг китів – цільова атака на конкретну особу чи групу осіб із керівництва найвищого рівня. Найчастіше жертвою стає генеральний директор компанії.

Ознаки: неправильна адреса домену, використання особистої електронної пошти; нові контактні запити;

Компрометація корпоративної пошти – зловмисники видають себе за керівників з метою отримати доступ до його облікового запису з можливістю приймати рішення та надсилати внутрішні запити працівникам.

Ознаки: терміновість, незвичайна поведінка, відсутність юристів у листуванні;

Голосовий фішинг – атака за допомогою телефону з метою отримання інформацію чи грошей.

Ознаки: заблокований та прихований номер, запити конфіденційної інформації чи грошей;

HTTPS (стандартний протокол шифрування трафіку, що вимагає TSL/SSL сертифікати) фішинг – атака на основі URL-адрес, метою якої є змусити обманним шляхом перейти за шкідливим посиланням.

Ознаки: скорочені посилання, текст із гіперпосиланнями, помилки в написанні URL.

Клон-фішинг – зловмисники копіюють раніше надісланий законною особою або організацією лист, підробляють адресу відправника та відправляють його повторно жертві зі шкідливим вкладенням або посиланням.

Ознаки: електронні листи, що повторюються, помилки в адресі електронної пошти, текст з гіперпосиланням.

SMS-фішинг – атака за допомогою смс-повідомлень зі шкідливими вкладеннями та посиланнями.

Ознаки: підозрілі та незапитані повідомлення, повідомлення з невідомих номерів, запит на автентифікацію.

Спливаючий фішинг – атака через вікна, що спливають. Зловмисники вставляють шкідливе програмне забезпечення у вигляді спливаючих рекламних вікон, при натисканні якого запускається процес зараження.

Ознаки: повідомлення браузера, нова вкладка або вікно, вікна із терміновим повідомленням (оновлення антивіруса, продовження передплати тощо).

Фішинг через соціальні мережі – використовуючи інформацію із соціальних мереж, зловмисники за допомогою соціальної інженерії отримують доступ до конфіденційних даних жертви.

Ознаки: підозрілі посилання, підозрілі облікові записи.

Angler фішинг – зловмисники видають себе за співробітників служби підтримки клієнтів у фішинговій атаці, створюючи фальшивий обліковий запис, та зв’язується з потенційною жертвою. У процесі взаємодії кіберзлочинець уточнює особисті дані, а потім надає посилання для вирішення проблеми, яке містить шкідливе ПЗ.

Ознаки: непідтверджений обліковий запис, відсутність історії профілю.

Evil Twin фішинг – атака полягає у створенні незахищеної точки доступу Wi-Fi та заманюванні користувачів у підключення. Після того, як жертва підключилася, всі вхідні та вихідні дані (особиста інформація, фінансові дані тощо) можуть бути перехоплені зловмисниками. Такого виду атаки частіше відбуваються у громадських місцях із безкоштовним Wi-Fi (кафе, готелі, аеропорти тощо). Найкращим способом не стати жертвою в цьому випадку – використання VPN.

Ознаки: точки доступу Wi-Fi, що повторюються, попередження про незахищеність.

Спуфінг – створення повністю підробленого сайту ідентичного законному для одержання конфіденційної інформації. Найчастіше підробляють сайти організацій зі сфери фінансів, охорони здоров’я та соціальних мереж, оскільки вони містять важливу персональну інформацію.

Ознаки: помилки в написанні URL-адрес, помилки на сайті.

Email спуфінг (підміна електронної пошти) – створення повністю підробленого домену електронної пошти.

Ознаки: підозрілі та незапитані електронні листи, помилки в адресах електронної пошти.

DNS спуфінг (фармінг-атаки) – технічно складніший вид атаки, де кіберзлочинець повинен зламати сервер доменних імен (DNS), що перетворює доменні імена в IP-адреси.

Ознаки: незахищений сайт, помилки на сайті.

Фішинг за допомогою зображень – відбувається через надсилання електронного листа із зображенням, що містить гіперпосилання, шкідливі URL-адреси, посилання на заражені сайти.

Ознаки: посилання в зображеннях, спам, великі кнопки, які спонукають до дії.

Фішинг пошукових систем – зловмисники створюють законні сторінки на основі ключових слів та запитів для отримання рейтингу у пошукових системах (Google, Bing). Сторінки містять цікаві пропозиції, щоб заманити жертву та змусити її надати банківську інформацію. Найчастіше такі сторінки пропонують безкоштовний відпочинок, продукти, інвестиційні можливості, знижки, пропозиції про роботу тощо.

Ознаки: привабливі пропозиції, від яких важко відмовитися, погано розроблені сайти.

Watering Hole – така атака спрямована на конкретну компанію чи групу людей і відбувається шляхом зараження часто відвідуваного ними сайту. Кіберзлочинці знаходять уразливості сайту, заражають його та заманюють потенційних жертв електронними листами на цей сайт.

Ознаки: попередження безпеки, тестування безпеки.

Man in the middle (MITM) – зловмисник перехоплює комунікаційний ланцюжок, стає «посередником», контролює комунікацію, перехоплює дані та має можливість маніпулювати ними для отримання особистої інформації з обох сторін.

Ознаки: незахищені сайти, помилки в написанні URL-адреси, помітно повільний процес комунікації.

Одним із найпопулярніших видів кіберзлочинів є фішинг. Незважаючи на це, ці атаки досі становлять серйозну загрозу багатьом організаціям. Причиною цього є широке використання та витонченість фішингових кампаній.

Фішинг – це вид кібератаки, спрямований на отримання доступу до конфіденційної інформації користувачів (дані для входу в систему (логін/пароль), дані банківських карток (CVV, ПІН-код картки тощо), пароль підтвердження операцій, адреса електронної пошти, фінансовий номер телефону, кодове слово та відповіді на секретні запитання та інша банківська інформація).

Для такої атаки злочинці використовують методи соціальної інженерії. Вони підробляють електронні листи, оголошення або сайти для максимальної схожості з тими, яким вже довіряють користувачі. Так, кіберзлочинці можуть надіслати листа нібито від банку, де обслуговується клієнт, і змусити його надати інформацію про свій банківський рахунок. При відкритті такого листа та переході за шкідливим посиланням користувач потрапляє на підроблений, але максимально відповідний справжньому, сайт. Найчастіше зловмисники підробляють фінансові організації, електронні листи від колег, сайти аукціонів, соціальні мережі та системи онлайн платежів. Фішингові листи також можуть містити вкладення для встановлення шкідливого ПЗ (програми-вимагачі, програми для отримання несанкціонованого доступу до системи та отримання конфіденційної інформації тощо).

Для спрощення здійснення фішингових кампаній є набір для фішингу. Це набір інструментів, які відображають законні сайти (Microsoft, Google, Apple, PayPal тощо). Після встановлення такого набору на сервер і придбання доменного ім’я для фішингового сайту можна починати атаку листами для досягнення злочинних цілей. Фішингові набори доступні для покупки в даркнеті.

Цілі фішингу:
Збір конфіденційної інформації: підозрілі листи, метою яких є за допомогою обману змусити жертву розкрити облікові дані для входу до системи та/або надати персональну інформацію;
Встановлення шкідливого ПЗ: листи із зараженими посиланнями або прикріпленими файлами із зараженим ПЗ.

Типи фішингових атак:

Цільовий фішинг – це цілеспрямована атака на отримання та використання особистої інформації жертви за допомогою електронного листа або повідомлення. Кіберзлочинці використовують особисту інформацію жертви у фішинговому повідомленні, що робить атаки успішними;
Вішинг (голосовий фішинг) – атака за допомогою телефонного дзвінка з метою виманювання банківської інформації, реквізитів банківських карток, інших конфіденційних даних, а також переказу коштів на рахунок зловмисників;
Смішинг – фішинг через СМС, яке містить посилання або номер телефону. Для збільшення бажання перейти за посиланням або зателефонувати злочинці посилюють відчуття терміновості;
Клонінг фішингу – це тип фішингу, при якому повністю клонується раніше доставлений електронний лист від законного джерела та додається шкідливий зміст (вкладення, посилання);
Фішинг китів – цільовий фішинг, спрямованим на керівників вищої ланки (члени правління, фінансовий директор та інші особи, які мають доступ до чутливої інформації);
Маніпуляції з посиланнями – це форма фішингу, за якої шкідливе посилання виглядає так, ніби воно належить законній організації;
Ухилення фільтра – це форма фішингу з використанням зображення для уникнення антифішингових фільтрів;
Підробка веб-сайтів – форма фішингу, за якої злочинці використовують команди javascript для зміни адреси URL, на яку вони ведуть;
Прихована переадресація – форма фішингу, при якій посилання має вигляд легітимної, при цьому перенаправляє жертву на сайт фішера;
Tabnabbing – атака, при якій використовуються неактивні вкладки для виманювання персональних, реєстраційних даних та паролів на популярні веб-сайти;;
Фармінг – атака, яка перенаправляє користувачів із законного сайту на фішинговий сайт, навіть при правильному введенні доменного ім’я.

Основне завдання фішингу – максимально замаскуватися під законну компанію, співробітника чи колегу, що ускладнює можливість визначити справжність листів, повідомлень та дзвінків. Однак, існують певні індикатори, що вказують на спроби фішингу:

Використання піддоменів, помилки в URL-адресах;
Використання Gmail або іншого постачальника безкоштовних адрес електронної пошти замість корпоративної пошти; доменне ім’я не співпадає з невірно наданим доменом;
Повідомлення викликає почуття страху та невідкладності;
Повідомлення містить запит на перевірку персональної інформації (дані для входу в банк, логін та паролі для входу в соціальні мережі або інші системи);
Орфографічні та граматичні помилки у тексті повідомлення;
Повідомлення містить незвичне вкладення, яке може бути шкідливим ПЗ або програмою-вимагачем;
Знайоме ім’я відправника, однак зазвичай ви не спілкуєтеся або не маєте спільних посадових обов’язків із ним;
Розбіжність URL-адреси в електронному листі з URL-адресою невірно представленої організації;
Повідомлення містить неправдиву інформацію про виграш у лотереї або змаганнях, у яких ніколи не брали участь.

Популярність та високий відсоток успіху фішингових атак збільшує потребу у методах їх запобігання. Найкращим способом запобігти фішингу є вивчення прикладів спроб фішингу та проведення навчання співробітників.

Для запобігання спробам фішингових атак персонал повинен:

Ідентифікувати фішингові атаки;
Бути обережним зі спливаючими вікнами;
Бути обережним з переходом за посиланням, яке містить електронний лист;
Переконатися, що посилання ведеться за правильною адресою;
Переконайтеся, що SSL-сертифікат веб-сайту дійсний та відповідає домену;
Отримати підтвердження від колеги або керівника про надсилання підозрілого листа;
Остерігатися перенаправлень на інші сайти з ідентичним дизайном;
Перевірити URL-адресу перед введенням конфіденційної інформації;
Не розкривати персональну інформацію, яка може бути використана для цільового фішингу та фішингу китів (наприклад, дата народження, адреса, номер телефону тощо);
Перевіряти листи, що вказують на терміновість;
Уникати завантаження вкладень з електронних листів, якщо немає впевненості про їхню справжність;
Перевіряти посилання;
Використовувати двофакторну автентифікацію.

Для запобігання попаданню фішингових листів до працівників слід використовувати:

Антивірусне ПЗ;
Десктопні брандмауери;
Мережеві брандмауери;
Антишпигунське ПЗ;
ПЗ для захисту від шкідливих програм;
Фільтр пошти;
Шлюзи інформаційної безпеки;
Спам-фільтри;
Браузери, які попереджають користувачів про шахрайські сайти;
Двофакторну автентифікацію;
Менеджер паролів.

Найпоширеніші типи фішингових атак та їхні ознаки

Що таке фішинг та як не потрапити на гачок?