Специалисты по безопасности в основном сосредоточены на выявлении и устранении уязвимостей в программном обеспечении, в то время как конечные пользователи остаются самой слабой линией обороны.
Фишинг — это одно из разновидностей интернет-мошенничества, которое позволяет обманным путем получать разную ценную информацию, маскируя коммуникации так, будто они поступили из надежного источника. В дальнейшем информация может быть использована для доступа к устройствам или сетям. Целевой фишинг является целенаправленной фишинговой атакой, которая опирается на использование личной информации жертвы, что делает атаку более надежной.
В чем разница между фишингом и целевым фишингом?
Фишинг — это метод социальной инженерии, что позволяет мошенническим путем получать информацию, которую затем можно использовать для доступа к устройствам или сетей. Этот тип атаки применяет определенные технологии, чтобы замаскировать коммуникации или веб-страницы под надежный источник. По сути, фишинговые атаки полагаются на методы, которые должны вызывать доверие, а также на технологические ухищрения для достижения своих целей.
В отличие от них, целевой фишинг направлен на конкретное лицо или компанию. Подобные атаки, как правило, применяют следующие методы и технологии: клонирование страницы входа в корпоративные интранет-сети, использование личной информации, собранной заранее для увеличения вероятности успеха, и другие. Целевой фишинг против высших руководителей компаний называются китобойным.
Метод китобойного фишинга также называется "мошенничество с генеральным директором", ведь фишинговые письма маскируются как происходящие от генерального директора. По словам экспертов, эти атаки на базе социальной инженерии являются очень разрушительными, поскольку письма электронной почты выглядят весьма реалистично и жертвы нередко добровольно присылают деньги.
Поэтому сначала злоумышленники идентифицируют цели, наблюдают за ними, а потом выманивают деньги с помощью электронной почты. Цель мошенника — перевести средства на свои банковские счета, обычно — в азиатских банках, которые потом опорожняются. Малые и средние предприятия особенно уязвимы для такого мошенничества, ведь там меньше бюрократических преград в коммуникациях между финансовым персоналом и генеральным директором.
Краткая история фишинга
Концепция фишинговых атак впервые была определена в 1987 году в документе, представленном на конференции Interex под названием «Безопасность системы: перспектива для хакера». С точки зрения этимологии, первое употребление слова «фишинг» встречается в хакерском инструменте AOHell в 1996 году.
Наиболее ранние известные попытки фишинга, нацеленные на сектор финансовых услуг, были зафиксированы в 2001 году. Их целью стал сервис «цифровой золотой валюты E-gold. До октября 2003 года злоумышленники несколько раз атаковали Bank of America, CitiBank, PayPal, lloyd's of London и Barclays.
По данным Рабочей группы по борьбе с фишингом (Anti-Phishing Working Group), количество уникальных фишинговых атак, зафиксированных организацией в 2005 году, составила 173 тысячи. Но уже в 2015 году цифра увеличилась до рекордно высокого уровня в 1,413 млн. Впрочем, в 2017 году это число уменьшилось до 1,122 млн.
Какие существуют типы фишинговых атак?
Обычно злоумышленники используют следующие методы фишинга в своих атаках.
Обманные веб-ссылки. Наиболее часто используемая стратегия состоит в том, что мошенники маскируют вредоносные веб-ссылку как указание на легитимное или доверенный источник. Эти типы фишинговых атак могут принимать любое количество форм, например, применение мошеннических URL-адресов, создание поддомена для вредоносного веб-сайта или эксплуатация очень похожих доменов с применением разной литерации.
Как пример рассмотрим следующее: латинская буква I очень близка к L на стандартных клавиатурах QWERTY, что делает «googie» очень похожим на «google». В случае субдоменов злоумышленник, который, например, контролирует доменное имя example.com может создать субдомены для него — «www.paypal.example.com». В период президентских выборов в США 2016 года для проведения фишинг-атаки на базе схожих доменов злоумышленники использовали сайт «accounts-google.com» как клона сайта «accounts.google.com».
Интернациональные доменные имена (IDN) также могут использоваться для создания запутанно похожих доменных имен, позволяя использовать не-ASCII символы. Визуальные сходства между символами в различных сценариях, которые называются гомоглифами, применяют для создания доменных имен, что визуально невозможно дифференцировать. Это побуждает пользователей принимать один домен за другой.
Клонирование веб-сайтов, подделка и перенаправления. Веб-сайты, уязвимые к атакам типа межсайтовый скриптинг (XSS), используются злоумышленниками для записи собственного контента на другой веб-сайт. XSS-атака может применяться для перехвата данных, введенных на скомпрометированном сайте (с именем пользователя и паролем), которые злоумышленники используют позже.
Некоторые фишинговые атаки используют XSS для создания всплывающих окон, которые происходят с уязвимого веб-сайта, но притом загружают страницу, контролируемую злоумышленниками. Часто такой тип скрытого перенаправления открывает форму для входа с целью сбора регистрационных данных. Из-за распространения этого типа атаки большинство браузеров теперь показывают адресную строку во всплывающих окнах.
Голосовой и текстовый фишинг. Для получения информации об учетной записи злоумышленники используют телефонные звонки и текстовые сообщения. Сначала они отправляют клиентам банков сообщения, где утверждают, что их учетная запись заблокирована. Это побуждает пользователей позвонить на указанный номер телефона или зайти на веб-сайт, контролируемый мошенниками, и оставить конфиденциальную информацию.
Почему надо беспокоиться по поводу фишинга?
Вообще, фишинг опасен для всех. Как правило, злоумышленники охватывают широкий круг людей во время фишинговых атак, надеясь поймать любую жертву и получить доступ к ее личной банковской информации или хотя бы узнать пароли входа в корпоративную сеть.
К сожалению, против фишинговых атак не существует надежных средств! Ведь почти все подобные атаки в значительной мере полагаются на социальную инженерию, с целью убедить пользователей немедленно принять меры и, тем самым, блокируя возможность и желание детального анализа ситуации. Поэтому лучшей защитой от фишинга является обучение конечных пользователей правилам безопасности.
Кроме того, производители защитных решений разработали специальные фильтры с целью выявления фишинговых атак в электронных письмах. Впрочем, в некоторых сообщениях мошенники используют изображение текста вместо обычного текстового формата, чтобы избежать этих фильтров в почте. Кроме того, фишинговые веб-сайты часто полагаются на методы запутывания кода, чтобы предотвратить детектированию злонамеренной активности со стороны систем защиты. Обычно фишинговые атаки применяют шифрование на базе алгоритмов AES-256 или Base64 в JavaScript, или же другие методики, усложняющие анализ базового исходного кода.
Кстати, недавно исследователи Proofpoint раскрыли фишинговый инструментарий, который запутывает получателя письма при помощи шифра замещения, который опирается на специальный шрифт. Этот инструментарий использует необычную версию шрифта Arial с отдельными транспонованими буквами; при загрузке фишинговой страницы контент выглядит нормально. Но когда пользователь или программа пытаются прочитать исходный текст на странице, он показывается смешанным.
Как защитить свою организацию от фишинговых атак?
Поскольку фишинговые атаки активно применяют социальную инженерию, обучение пользователей является важнейшей стратегией защиты компании. Если их обучить, как выявлять признаки мошеннических электронных писем и время от времени проводить в компании тайную имитацию фишинговых атак с целью проверки эффективности этого обучения, такие действия обеспечат гораздо лучшую защиту, чем специализированные программные решения.
Не менее важна политика защиты работников от самопроизвольного перевода средств и запрет доступа к данным для нелегальных целей. Вообще, по мнению экспертов, безопасность начинается именно с четко определенных политик — предприятия должны иметь согласованную политику для таких ситуаций и обучать своих сотрудников.
С технологической точки зрения, следует провести правильную настройку клиентов электронной почты, таких как Microsoft Outlook, ведь параметры по умолчанию не являются оптимальными для безопасности. Кроме того, инструменты для сканирование сообщений от сторонних производителей могут уменьшить эффективность фишинговых атак или даже предотвратить их попадание к почтовым ящикам пользователей.
Также современные браузеры включают так называемые службы безопасного просмотра, которые включены уже по умолчанию. Они способны выявлять фишинговые атаки и защищать от них пользователей.