Фішинг та цільовий фішинг: поради по захисту від такого інтернет-шахрайства
Фахівці з безпеки в основному зосереджені на виявленні та виправлення вразливостей у програмному забезпеченні, у той час як кінцеві користувачі залишаються найслабшою лінією оборони. Фішинг — це один із різновидів інтернет-шахрайства, який дозволяє обманним шляхом отримувати різну цінну інформацію, маскуючи комунікації так, ніби вони надійшли з надійного джерела.
Надалі інформація може бути використана для доступу до пристроїв або мереж. Цільовий фішинг є цілеспрямованою фішинговою атакою, яка спирається на використання особистої інформації жертви, що робить атаку більш надійною.
У чому різниця між фішингом та цільовим фішингом?
Фішинг — це метод соціальної інженерії, що дозволяє шахрайським шляхом отримувати інформацію, яку потім можна використовувати для доступу до пристроїв або мереж. Цей тип атаки застосовує певні технології, щоб замаскувати комунікації або веб-сторінки під надійне джерело. По суті, фішингові атаки покладаються на методи, що мають викликати довіру, а також на технологічні хитрощі для досягнення своїх цілей.
На відміну від них, цільовий фішинг спрямований на конкретну особу або компанію. Подібні атаки, як правило, застосовують наступні методи та технології: клонування сторінки входу в корпоративні інтранет-мережі, використання особистої інформації, зібраної заздалегідь для збільшення ймовірності успіху, та інші. Цільовий фішинг проти вищих керівників компаній називаються китобійним.
Метод китобійного фішінгу також називається «шахрайство з генеральним директором», адже фішингові листи маскуються як такі, що походять від генерального директора. За словами експертів, ці атаки на базі соціальної інженерії є дуже руйнівними, оскільки листи електронної пошти виглядають вельми реалістично і жертви нерідко добровільно надсилають гроші.
Тож спочатку зловмисники ідентифікують цілі, спостерігають за ними, а потім видурюють гроші за допомогою електронної пошти. Мета шахрая — переказати кошти на свої банківські рахунки, зазвичай — в азійських банках, які потім спорожняються. Малі та середні підприємства є особливо вразливими для такого шахрайства, адже там менше бюрократичних перепон в комунікаціях між фінансовим персоналом та генеральним директором.
Коротка історія фішингу
Концепція фішингових атак вперше буле визначена у 1987 році в документі, представленому на конференції Interex під назвою «Безпека системи: перспектива для хакера». З точки зору етимології, перше вживання слову «фішинг» зустрічається у хакерському інструменті AOHell в 1996 році.
Найбільш ранні відомі спроби фішингу, націлені на сектор фінансових послуг, були зафіксовані в 2001 році. Їхньою метою став сервіс «цифрової золотої валюти» E-gold. До жовтня 2003 року зловмисники кілька разів атакували Bank of America, CitiBank, PayPal, Lloyd’s of London і Barclays.
За даними Робочої групи по боротьбі з фішингом (Anti-Phishing Working Group), кількість унікальних фішингових атак, зафіксованих організацією у 2005 році, склала 173 тисячі. Але вже у 2015 році цифра збільшилася до рекордно високого рівня у 1,413 млн. Втім, у 2017 році це число зменшилося до 1,122 млн.
Які існують типи фішинг-атак?
Зазвичай зловмисники використовують наступні методи фішингу у своїх атаках.
Обманні веб-посилання. Найбільш часто використовувана стратегія полягає в тому, що шахраї маскують зловмисне веб-посилання як вказівку на легітимне або довірене джерело. Ці типи фішингових атак можуть приймати будь-яку кількість форм, наприклад, застосування шахрайських URL-адрес, створення піддомену для зловмисного веб-сайту або експлуатація дуже схожих доменів.
Як приклад розглянемо наступне: латинська літера I дуже близька до L на стандартних клавіатурах QWERTY, що робить «googie» дуже схожим на «google». У випадку субдоменів зловмисник, який, наприклад, контролює доменне ім’я example.com, може створити субдомени для нього — «www.paypal.example.com». В період президентських виборів у США 2016 року для проведення фішинг-атаки на базі схожих доменів зловмисники використали сайт «accounts-google.com» як клону сайту «accounts.google.com».
Інтернаціональні доменні імена (IDN) також можуть використовуватися для створення заплутано схожих доменних імен, дозволяючи використовувати не-ASCII символи. Візуальні подібності між символами в різних сценаріях, які називаються гомогліфами, застосовують для створення доменних імен, що візуально неможливо диференціювати. Це спонукає користувачів приймати один домен за інший.
Клонування веб-сайтів, підробка та перенаправлення. Веб-сайти, вразливі до атак типу межсайтовий скриптинг (XSS), використовуються зловмисниками для запису власного контенту на інший веб-сайт. XSS-атака може застосуватися для перехоплення даних, введених на скомпрометованому сайті (включно з ім’ям користувача та паролем), які зловмисники використають пізніше.
Деякі фішингові атаки використовують XSS для створення вікон, що спливають, які походять з вразливого веб-сайту, але притому завантажують сторінку, що контролюється зловмисниками. Часто такий тип прихованого перенаправлення відкриває форму для входу з метою збору реєстраційних даних. Через поширення цього типу атаки більшість браузерів тепер показують адресний рядок у вікнах, що спливають.
Голосовий та текстовий фішинг. Для отримання інформації про обліковий запис зловмисники використовують телефонні дзвінки та текстові повідомлення. Спочатку вони надсилають клієнтам банків повідомлення, де стверджують, що їхній обліковий запис заблоковано. Це спонукає користувачів подзвонити на вказаний номер телефону або зайти на веб-сайт, що контролюється шахраями, і залишити конфіденційну інформацію.
Чому треба турбуватися з приводу фішингу?
Взагалі, фішинг небезпечний для всіх. Як правило, зловмисники охоплюють широке коло людей під час фішингових атак, сподіваючись зловити довільну жертву і отримати доступ до її особистої банківської інформації або хоча б взнати паролі входу в корпоративну мережу.
На жаль, проти фішингових атак не існує надійних засобів! Адже майже всі подібні атаки значною мірою покладаються на соціальну інженерію, з метою переконати користувачів негайно вжити заходів і, тим самим, блокуючи можливість та бажання детального аналізу ситуації. Через це найкращим захистом від фішингу є навчання кінцевих користувачів правилам безпеки.
Крім того, виробники захисних рішень розробили спеціальні фільтри з метою виявлення фішингових атак в електронних листах. Втім, в деяких повідомленнях шахраї використовують зображення текстузамість звичайного текстового формату, щоб уникнути цих фільтрів в пошті. Крім того, фішингові веб-сайти часто покладаються на методи заплутування коду, щоб запобігти детектуванню зловмисної активності з боку систем захисту. Зазвичай фішингові атаки застосовують шифрування на базі алгоритмів AES-256 або Base64 у JavaScript, або ж інші методики, що ускладнюють аналіз базового вихідного коду.
До речі, нещодавно дослідники Proofpoint розкрили фішинговий інструментарій, який заплутує отримувача листа за допомогою шифру заміщення, який спирається на спеціальний шрифт. Цей інструментарій використовує незвичайну версію шрифту Arial з окремими транспонованими літерами; при завантаженні фішингової сторінки контент виглядає нормально. Але коли користувач або програма намагаються прочитати вихідний текст на сторінці, він показується змішаним.
Як захистити свою організацію від фішингових атак?
Оскільки фішингові атаки активно застосовують соціальну інженерію, навчання користувачів є найважливішою стратегією захисту компанії. Якщо їх навчити, як виявляти ознаки шахрайських електронних листів та час від часу проводити в компанії таємну імітацію фішингових атак з метою перевірки ефективності цього навчання, такі дії забезпечать набагато кращий захист, ніж спеціалізовані програмні рішення.
Не менш важливою є політика захисту працівників від мимовільного переказу коштів та заборона доступу до даних для нелегальних цілей. Взагалі, за думкою експертів, безпека починається саме з чітко визначених політик — підприємства повинні мати узгоджену політику для таких ситуацій і навчати своїх співробітників.
З технологічної точки зору, варто провести правильне налаштування клієнтів електронної пошти, таких як Microsoft Outlook, адже параметри за замовчанням не є оптимальними для безпеки. Крім того,інструменти для сканування повідомлень від сторонніх виробників можуть зменшити ефективність фішингових атак або навіть запобігти їхньому потраплянню до поштових скриньок користувачів.
Також сучасні веб-переглядачі включають так звані служби Безпечного перегляду, які увімкнені вже за замовчуванням. Вони здатні виявляти фішингові атаки й захищати від них користувачів.
Оригинал: TechRepublic
Переклад: Олег Пилипенко; Blog Imena.UA
Tweet