Распространение атак направленного фишинга связанно с их эффективностью и слабой возможности традиционных решений по безопасности противостоять им. В то время как обычная фишинговая атака рассылается массово, атаки направленного фишинга (spear phishing) проводятся против конкретных субъектов.

Spear phishing

Направленный фишинг стал самым распространенным типом таргетированной атаки по одной простой причине: эта техника по-настоящему работает, вводя в заблуждение даже тех пользователей, которые серьезно подходят к вопросам безопасности. Она создает для хакеров опорный пункт для проникновения в корпоративную сеть. По данным исследования Check Point, проведенного среди более 10 тысяч организаций по всему миру, в 84% из них за последние 12 месяцев был скачан хотя бы один зараженный документ. Это происходит потому, что злоумышленнику достаточно просто получить представление о компании или о конкретных ее сотрудниках в сети Интернет, а затем написать такое письмо, которое побудит даже самого бдительного работника открыть вредоносное вложение и тем самым инициировать хакерскую атаку.

Цели атаки

• получить список сотрудников с сайта (уровень доверия информации - очень высокий);
• получить список сотрудников с помощью социотехнических техник - звонок или обращение по почте (уровень доверия информации - очень высокий);
• получить ФИО из метаданных документов, размещенных на сайте (уровень доверия информации - высокий);
• linkedin (уровень доверия информации - средний);
• пропарсить соцсети (уровень доверия информации - низкий).

После предварительного сбора списка вероятных сотрудников организации производится сбор данных об их сфере деятельности, зонах ответственности и горизонтальных связях. Также производится поиск точки входа для проведения атаки на выбранных субъектов. После анализа полученной информации можно составлять сценарий атаки.

Психология атаки

Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения, глубинным страхам и выработанным под давлением микросоциума приспособительным рефлексам. Чтобы развитый блок критического восприятия жертвы не мешал атаке, его просто перегружают потоком данных, переключая на анализ второстепенной информации, или используют фактор срочности, чтобы отключить вовсе и заставить действовать необдуманно. Все это похоже на атаку ключевых узлов нейросети.

Один из базовых приемов социальной инженерии- создание дефицита времени, некое событие, на которое жертва должна среагировать немедленно. Срочные решения сложно принимать именно потому, что приходится действовать в условиях нехватки достоверной информации. В таких ситуациях некогда советоваться и проверять все сообщенные атакующим данные, поэтому жертва начинает действовать, руководствуясь сильными чувствами: желанием помочь, стремлением получить признание или поскорее отделаться от неожиданной проблемы. Также часто удается сыграть на жажде легкой наживы, страхе потерять деньги, работу, результаты труда или репутацию.

Жертве могут сказать в лоб, что ситуация срочная, или позволить ей самостоятельно прийти к такому выводу. Второе эффективнее, так как для человека это будет собственная мысль, которая не вызывает сомнений. Именно на нее он будет опираться в своих минимальных рассуждениях, все больше проникаясь доверием к услышанной легенде.

Пример

Объектами атаки выбраны главный бухгалтер и секретарь, под которых были задействованы следующие сценарии атаки (вектор - электронная почта):
Главный бухгалтер:

• От: нейтральный адрес, типа %surname%%birthyear%@mail.ru
• Тема письма: FWD акт сверки
• Текст письма: Добрый день, ФИО. Согласно предварительной договоренности высылаю акт сверки.
• Приложение: Акт сверки ООО Ромашка.xls

• От: [email protected] (поддельный адрес)
• Тема письма: Исковое заявление о взыскании долга
• В Арбитражный суд г. Москвы подано исковое заявление №23401-16 о взыскании долга с ООО «Ромашка», ЕГРЮЛ: ХХХХХХХХХХХХ, ИНН: ХХХХХХХХХХХ, Юридический адрес:, свидетельство о регистрации: ХХХХХХ на основании искового заявления контрагента по взысканию задолженности за оказанные услуги.
• Исковые требования:
• В соответствии со ст. 395 ГК РФ за пользование чужими денежными средствами вследствие их неправомерного удержания, уклонения от их возврата, иной просрочки в их уплате либо неосновательного получения или сбережения за счет другого лица подлежат уплате проценты на сумму этих средств.
• Приложение: судебное решение 23401-16.docx

Тренинг персонала

Технические меры защиты от фишинга, такие как фильтрация и анализ почтового/веб трафика, ограничение программной среды, запрет запуска вложений - весьма эффективны, но они не могут противостоять новым угрозам и, что более важно, не могут противостоять человеческой глупости любознательности и лени. Бывали случаи, когда пользователь, будучи не в состоянии открыть/запустить вредоносное содержимое на рабочем месте пересылал его на свой домашний компьютер и запускал, со всеми вытекающими… Поэтому, какую бы основательной не была система технической защиты - не стоит забывать про такой важный фактор как обучение пользователя.

Периодические инструктажи и информационные рассылки являются важной составляющей обучения персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках, учитывая фактор вовлеченности в процесс.

Простейшая система, позволяющая провести тестирование и тренинг персонала по выявлению фишинговых атак выглядит следующим образом:

• Подготовка сценария и шаблонов писем;
• Рассылка фишинговых писем пользователям;
• Перенаправление отреагировавших пользователей на специализированную страницу с предупреждением;
• Статистический учет эффективности атаки.

Для облегчения такого рода «учений» можно воспользоваться специализированным фреймворком gophish. Существуют и другие утилиты для облегчения задачи социоинженеру, например setoolkit, но они обладают избыточным функционалом и предназначены скорее для активной атаки. Также есть несколько онлайн сервисов, но они, в основном, англоязычные и не подходят для использования среди русскоговорящих целей фишинговой компании.

Gopgish - мультиплатформенный фреймворк с удобным веб-интерфейсом и простейшим развертыванием. Этот фреймворк разработан на Golang и вероятнее всего не заработает на шаред-хостинге, имейте это ввиду.

С его помощью можно создать фишинговую компанию для определенной группы пользователей:

На фишинговой странице можно «собирать» введенные пользователями данные:

После проведения компании можно оценить её эффективность:

Меры предосторожности

В этой статье мы расскажем о том, как мошенники получают доступ к вашим личным данным, используя E-mail. Вы узнаете о способах воровства логинов, паролей, номеров кредитных карт, а также поймете как от них защититься. Кто такие фишеры, как спрятать свои пароли, почему спам - это плохо...

Азбука ПК уже описывала способы проникновения вирусов в ваш компьютер и рассматривала различные методы борьбы с ними. Сегодня пришло время поговорить о более изощренных методах нанести вред вашему ПК, а точнее, именно вам и вашему кошельку. Все хотят получить деньги, причем много и не прилагая к этому никаких усилий, поэтому и возникает воровство. Интернет развивается, ПК становятся все мощнее... Рабочие станции постепенно превращаются в инструмент бизнеса, появляются все новые и новы электронные платежные системы и банки, а следовательно, появляются и электронные воры, способные украсть ваши пароли, электронные кошельки и номера кредитных карт. Путей мошенничества много - инструментом преступления может быть вирус, а может и простое человеческое доверие или обман. Рассмотрим же, как бороться с мошенниками, пытающимися прорвать вашу оборону по электронной почте.

Одним из самых распространенных и, в то же время, простых способов кражи вашего пароля, кошелька или номера кредитки является, так называемый, фишинг .

Фишинг (англ. phishing , от password - пароль и fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, цель которого - получить идентификационные данные пользователей.

Как вы поняли, о вирусах речи не будет. Основой такого метода является простое выманивание ваших секретных данных. Вспомните многочисленные истории о воровстве цыганок, буквально гипнотизирующих своих доверчивых жертв - так и Интернет мошенники могут виртуально загипнотизировать начинающих пользователей, да и опытных тоже. Вас могут постараться запугать, заманить всевозможными акциями или подарками. Многие, сами того не ведая, попадаются на удочку «парольных рыболовов», лишаясь номеров ICQ, кошельков или номеров кредиток. Рассмотрим наиболее распространенные варианты фишинга и методы борьбы с ними.

Как бороться со спамом и фишингом

Итак, как действуют Интернет-мошенники. Фишеры рассылают множество одинаковых писем от лица известной компании, предоставляющей какие-либо услуги. Письма могут содержать различную информацию - начиная от угроз (например, что их сервера атакованы вирусами и для обеспечения вашей безопасности вам нужно ввести в предложенной форме логии и пароль), предложений или акций, и заканчивая просто скрытыми ссылками. После того, как доверчивый пользователь вводит контактную информацию в надежде обезопасить себя либо получить приз, либо что-то другое, все данные отправляются прямиком в руки мошенникам. Как они это делают?

Рассмотрим ситуацию номер 1 - Как бороться с фишингом

Вам приходит письмо, в котором компания XXX просит вас войти в свой аккаунт по предложенной ссылке. Пройдя по этой ссылке, вы видите знакомый интерфейс используемой электронной платежной системы, аукциона либо другого известного сайта. На первый взгляд ничего страшного. Однако если присмотреться, окажется, что это не их сайт - адрес отличается, хотя дизайн очень похож. Просто мошенники постарались сделать точную копию настоящего сайта, а введя данные по предложенной ссылке вы просто-напросто отдадите сой пароль в их руки. Часто, мошенники делают все, чтобы у вас не возникло никаких подозрений, поэтому ссылка в письме может выглядеть абсолютно нормально, например https://www.paypal.com/us/cgi-bin/webscr?cmd=_login-run .

Кажется, абсолютно нормальная ссылка для входа в учетную запись платежной системы PayPal, однако это просто текст, название ссылки. Сама гиперссылка ведет на сайт мошенника и при наведении внизу браузера вы увидите что-то подобное http://203.162.168.198/.confirm/index.php?MfcISAPICommand=3DSignIn=FPP .

Если не обратить внимания на разницу между отображаемой и реальной ссылкой, то можно запросто стать жертвой мошенников. На поддельном сайте вам предложат ввести например данные своего аккаунта или данные кредитной карты. И не смотря на то что сайт выглядит почти как настоящий, эти данные пойдут прямиком к мошенникам.

Пример номер 2 - Как бороться с фишингом

Вам не предложат перейти по ссылке, а позаботятся о вашем времени - форма ввода пароля и логина уже размещена в полученном вами письме. Не вздумайте вводить никаких данных! Это еще одна уловка фишеров, которые старательно готовили текст письма, который может заверять вас о полученном вознаграждение в $1000 либо угрожать опасностью взлома.

Для того, чтобы не попасться на подобную удочку, следует лишь выполнять несколько простых рекомендаций. Итак, как бороться с фишерами и что нужно знать о сетевом мошенничестве.

1. Будьте предельно внимательными, когда вам приходят письма с запросом какой-либо персональной информации, либо с требованием ее обновить на сайте.

2. Если письмо не подписано цифровой сигнатурой, то нельзя быть уверенным, что оно не поддельное.

3. Мошенники часто используют специальные приемы, чтобы вызвать реакцию на письмо. Типичными являются фразы с угрозами каких-либо неприятных последствий, в случае если вы не перейдете по ссылке. Либо наоборот обещания каких то бонусов от известного сервиса.

4. Чаще всего мошенникам требуются логины, пароли, номера кредитных карт и т.п.

5. Как правило фишинговые письма не персонализированы, т.е. не содержат вашего имени в адресе.

7. Никогда не заполняйте персональными данными HTML формы, которые расположены прямо в письме.

8. Всегда проверяйте, что для передачи персональной информации используется шифрованное соединение. Чтобы проверить шифруются ли данные, посмотрите на ссылку страницы где вводятся данные. Адрес должен начинаться с "https://", а не с "http://".

Часть 2

Алексей Комаров
эксперт по информационной безопасности

Новые методы противодействия

Описанные в 1-й части статьи (журнал "Информационная безопасность" № 1-2009, с. 4) методы противодействия фишинговым атакам (уникальный дизайн сайта, одноразовые пароли, односторонняя аутентификация, URL-фильтрация), особенно применяемые совместно, позволяют повысить безопасность, однако остаются подверженными тем или иным видам атак и при известной настойчивости злоумышленника не смогут защитить деньги и данные пользователя.

Рассмотренные способы обладают одним общим недостатком: применяемые меры легко сводятся на нет небрежностью или невнимательностью пользователя. Согласие принять подписанный недоверенным УЦ сертификат или переход по ссылке из спамового письма на поддельный сайт вообще без установления защищенного SSL-соединения, несвоевременно обновленный антивирус, неправильно настроенный локальный МСЭ, введение трех идущих подряд одноразовых паролей на фишерском сайте, согласие выбрать новую картинку для сайта или игнорирование сообщения о невозможности загрузить ее - все это и многое другое в конечном итоге может привести и, к сожалению, приводит к финансовым потерям.

Как правило, в договорах, заключаемых с пользователями платежных систем или клиентами банков, вся ответственность за халатность в действиях возлагается на самих пользователей. Попытка таким образом обезопасить себя юридически уже приводит к ответным действиям клиентов. Не редкостью становятся судебные процессы, в которых адвокаты доказывают, что при имеющейся системе аутентификации обеспечить сохранность данных клиент был не в состоянии, о чем в момент заключения договора сотрудники банка не могли не знать, а значит, и возложение ответственности было неправомочным. С другой стороны, потеря денег пользователями, пусть даже по своей вине, в любом случае негативно сказывается на репутации банка в их глазах, а при массовых потерях и в глазах еще не пострадавших клиентов.

Рассмотрим методы борьбы с фишинговыми атаками, представляющиеся наиболее эффективными на сегодняшний день.

Пропаганда культуры поведения

Как мы уже выяснили, самое слабое звено в современных системах защиты вообще и от фишинговых атак в частности - человек. Именно поэтому основное внимание компании, обеспокоенной потенциальными финансовыми потерями, стоит обратить на пропаганду основ информационной безопасности среди своих сотрудников и клиентов.

Приведем некоторые правила, рассказам о которых стоит уделить чуть больше внимания, чем принято (обычно они просто упоминаются на предпоследней странице многостраничного договора на обслуживание):

• не доверяйте ссылкам в электронных письмах;
• не отправляйте личную информацию в ответ на просьбу по электронной почте;
• проверяйте правильность URL-адреса;
• вводите адрес в строку браузера самостоятельно;
• используйте только телефонные номера, указанные на кредитной карте или в договоре;
• не открывайте неизвестные вложения в письмах.

Возможно, кому-то этот список покажется элементарным, но если говорить о пользователях в целом, то общепринятое выполнение даже таких простых правил способно существенно уменьшить доходы фишеров, потенциально сделав данный бизнес менее рентабельным, а значит, менее привлекательным. Правила дорожного движения тоже нельзя назвать сверхсложными, но их знание и выполнение ежегодно спасает немало жизней.

Понятно, что в масштабах государства пропаганда правил компьютерной безопасности не является столь высокоприоритетной задачей, и поэтому основная надежда здесь на руководителей организаций. Ведь именно их бизнесу и их деньгам напрямую через сотрудников или опосредованно через клиентов угрожают фишеры.

Противодействие фишингу в корпоративной среде

Основным приоритетом при построении защиты от фишинга в рамках компании стоит сделать минимизацию зависимости от человеческого фактора. Поэтому наиболее перспективными представляются шлюзовые решения, которые в отличие от персональных продуктов не только снижают нагрузку на рабочие станции и упрощают администрирование, но и позволяют закрыть всю компьютерную сеть организации единым надежным "зонтиком".

Современные эффективные шлюзовые решения борются с фишерскими атаками на четырех уровнях:

• Уровень доступа. Основа антифишинговой безопасности -это уже рассмотренная URL-фильтрация (запрет доступа к сайтам из категории фишинговых), которая, несмотря на свою низкую эффективность "в бою один на один", дополненная рядом технологий, позволяющих отличить ссылку на фишерский сайт от легитимной, способна оказать сопротивление фишерам.
• Уровень активного контента. Лучшие в этом классе решения реализуют фильтрацию HTML-кода и внедренных объектов на наличие вредоносного кода, в том числе скрытых каскадных переадресаций, когда тело трояна собирается из небольших безвредных по отдельности и потому трудно детектируемых фрагментов на нескольких сайтах, по которым пользователя прозрачно для него "пробрасывают". Благодаря эффективной очистке трафика реализуется защита пользователя от потенциальных нежелательных последствий в случае состоявшегося все же перехода на фишерский сайт.
• Уровень коммуникаций. В том случае, когда целью привлечения пользователя на поддельный сайт является заражение его компьютера каким-либо вредоносным кодом, еще одним уровнем блокировки защиты может быть предотвращение передачи приватных данных, собранных ботами. Несмотря на большое количество и огромное разнообразие видов самих троянов и ботов, существует всего лишь несколько десятков коммуникационных протоколов, по которым они взаимодействуют со своим управляющим центром. Таким образом, блокировка таких коммуникаций наиболее эффективно осуществляется по сигнатурам протоколов, а не самого вредоносного кода.
• Уровень передачи данных. Получившие широкое распространение в последние годы DLP-решения (Data Leak Prevention) позволяют в рамках компании построить еще один рубеж обороны в виде контроля потенциальных каналов утечки данных. Такие решения могут помочь в выявлении и предотвращении отправки вредоносным кодом, например, номера кредитных карт или другой конфиденциальной информации.

Пожалуй, единственным слабым местом таких систем может оказаться невозможность защиты мобильных сотрудников, работающих удаленно по открытым каналам связи. Для решения данной проблемы в качестве одного из вариантов можно предложить проксирова-ние, то есть выход в Интернет с ноутбуков компании только через головной офис. Такое же решение для упрощения администрирования и снижения финансовых затрат можно предложить и для филиалов. Стоит отметить, что ведущие игроки этого сегмента рынка готовы помочь своим клиентам самим почувствовать себя в роли таких филиалов, предлагая не приобретать и сопровождать их продукты, а арендовать для фильтрации почтового и веб-трафика вычислительные мощности самого производителя.

Противодействие фишингу как конкурентное преимущество

Помимо заботы о собственной конфиденциальной информации и защите сотрудников в филиалах и офисах многие компании заботятся и о своих клиентах. Деловая репутация порой стоит дороже, чем затраты на построение действительно безопасной системы по аутентификации пользователей.

Уже рассмотренный ранее протокол SSL имеет возможность проводить двустороннюю аутентификацию, когда проверяется валидность не только сервера, но и самого пользователя. Для этого клиентам, например, банка необходимо получить цифровой сертификат. Сделать это можно, как правило, при заключении договора на обслуживание или позже в любое время.

Отказ от паролей при доступе пользователей к счетам серьезно осложняет жизнь фишерам. Использование цифровых сертификатов на стороне сервера и клиента снимает проблему атаки "человек посередине" и делает прослушивание и перехват трафика бесполезными.

Основой безопасности при использовании цифровых сертификатов является сохранность закрытого ключа. Организация имеет гораздо больше, чем рядовой пользователь, финансовых и технических возможностей по надежной защите закрытого ключа, используемого для аутентификации ее веб-сайта. Хранение клиентом своего закрытого ключа в реестре операционной системы или на жестком диске не является безопасным. В случае заражения компьютера пользователя эти данные легко могут быть похищены вредоносным программным обеспечением, и защита закрытого ключа паролем не будет являться надежной гарантией сохранности денежных средств пользователя. Применяемые на практике пароли редко превышают 8 символов и зачастую, если и не являются осмысленным словом, то состоят только из прописных букв латинского алфавита.

Надежным способом хранения закрытых ключей пользователя на сегодняшний день является использование криптографических токенов. В отличие от других внешних носителей (например, тех же USB-флэш) при использовании токенов нет необходимости в копировании секретной информации в оперативную память компьютера при проведении операции аутентификации, так как подобные устройства не только надежно хранят закрытые ключи, но и аппаратно выполняют необходимые криптографические вычисления. При этом важно, что воспользоваться токеном может только его владелец, знающий пароль от него (PIN-код).

Многие банки уже сегодня предлагают своим клиентам возможность аутентификации не только по одноразовым паролям, но и с использованием цифровых сертификатов. Пока использование аппаратных криптографических токенов для повышения безопасности хранения закрытых ключей не получило широкого распространения. Тем не менее банков, прибегающих к этому методу, становится с каждым годом все больше, ведь данный механизм на сегодня является одним из самых надежных для аутентификации при осуществлении онлайн-транзакций.

Всего статей: 2

example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. На-

пример, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля. Например, ссылка http: //[email protected]/ приведёт не на www.google.com, а на members.tripod.com от име-

ни пользователя www.google.com. Эта функциональ-

ность была отключена в Internet Explorer , аMozilla Firefox иOpera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML -теге значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён : адреса,визуально идентичные официальным, могли вести на сайты мошенников.

2.3. Обход фильтров

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтрыпочтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения ссигнатурами однотипных картинок, используемых для спама и фишинга.

2.4. Веб-сайты

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки. Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL.

Злоумышленник может использовать уязвимости в скриптах подлинного сайта. Этот вид мошенничества (известный какмежсайтовый скриптинг ) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё, - от веб-адреса досертификатов , выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношенииPayPal в 2006 году.

Для противостояния антифишинговым сканерам фи-

шеры начали использовать веб-сайты, основанные на технологииFlash . Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах.

2.5. Новые угрозы

Сегодня фишинг выходит за пределы интернетмошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называетсявишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код . К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные.

Набирает свои обороты и SMS -фишинг, также известный каксмишинг (англ. SMiShing - от «SMS» и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, - входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем». Встречается и следующий вид SMS-фишинга: на подставном сайте для получения какой-либо услуги просят отправить SMS на предложенный номер или ввести свой номер сотового телефона, чаще всего этофэйки файлообменных сервисов. В первом случае с телефонного счёта абонента списывается крупная (возможно, максимальная предусмотренная контрактом) сумма, во втором случае номер добавляется в базу адресов рассылки SMS-спама и может использоваться для дальнейших фишинговых действий.

3. Борьба с фишингом

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

3.1. Обучение пользователей

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на

Главная » Пдд » Как бороться с фишингом. Уроки защиты от Интернет-мошенничества