Фишинг
В Unisender есть все для рассылок: можно создавать и отправлять клиентам письма и SMS, настроить чат-бота и делать рассылки в Telegram и даже собрать простой лендинг для пополнения базы контактов.
Фишинг — это распространенный способ интернет-мошенничества. Хакеры используют его, чтобы получить доступ к конфиденциальной информации других людей: их учетным записям и данным банковских карт.
Фишинговые мошенники действуют по отработанной схеме: закидывают «наживку» — письмо, сообщение, ссылку на сайт — и пытаются «поймать» доверчивых пользователей. Поэтому неудивительно, что сам термин произошел от англоязычного phishing, которое созвучно со словом fishing — «рыбалка». Замена f на ph — отсылка к оригинальной форме хакерства фрикингу, или телефонному взлому (phreaking).
Фишинг становится популярнее с каждым годом. По статистике Google, в 2021 году компания обнаружила более 2 миллионов фишинговых сайтов — это на 27% больше, чем в 2020 году.
Виды фишинговых атак
Почтовый фишинг
Злоумышленники отправляют пользователям письма под видом известного бренда: подделывают адрес, чтобы он напоминал официальный. Получатель нажимает на ссылку и переходит на поддельный сайт или загружает документ с вирусом.
Одна из вариаций почтового фишинга — клон-фишинг. Мошенники определяют, какими программами и магазинами вы часто пользуетесь, а затем отправляют письма якобы от этих брендов.
Пример фишингового письма, замаскированного под письмо от службы безопасности Gmail. При наведении на кнопку «Сменить пароль» отображается фишинговая ссылка. Источник
Целевой фишинг
Его еще называют спеар-фишинг (spear phishing). Мошенники нацеливаются на конкретную компанию, изучают нескольких сотрудников по аккаунтам в соцсетях или информации на сайте.
Затем этим сотрудникам отправляют письма будто бы от коллег: используют реальные имена, должности, номера рабочих телефонов. Человек думает, что получил внутренний запрос, и следует указаниями из письма.
В 2020 году американская медицинская компания Elara Caring неделю останавливала утечку данных клиентов, после того как злоумышленники получили доступ к аккаунтам сотрудников и стали рассылать с них фишинговые сообщения. В результате атаки мошенники украли информацию о ста тысячах пациентов: имена, даты рождения, банковские данные, номера водительских прав и социального страхования.
У спеар-фишинга есть подвид — уэйлинг. Слово происходит от whailing — «охота на китов». Это целевой фишинг, который направлен на руководителей.
Телефонный фишинг
Этот тип атаки разделяется на два подвида: вишинг и смишинг.
Голосовой фишинг, или вишинг (vishing) предполагает разговор по телефону. Преступник звонит жертве, давит на нее и создает повышенное чувство срочности, чтобы человек сообщил конфиденциальные данные.
Мошенники часто представляются сотрудниками банков: они сообщают о заявках на кредит или подозрительных переводах, угрожают блокировкой, а затем требуют сообщить смс-код или оформить подозрительный перевод.
В результате люди теряют все свои накопления. Так, в 2020 году с помощью голосового фишинга мошенники украли у одной женщины 400 миллионов рублей.
В смишинге (smishing) вместо звонков используют СМС-сообщения с вредоносными ссылками, которые маскируют под купоны и розыгрыши.
Пример фишингового сообщения: справа переписка с настоящим банком, слева — с мошенниками, которые переставили буквы в названии банка местами. Источник
CEO-мошенничество
Через социальные сети или веб-сайты мошенники находят информацию о руководстве компании, например о генеральном директоре или главном бухгалтере. Затем подделывают почтовый ящик и рассылают письма другим сотрудникам от имени этого руководителя.
Яркий случай СЕО-мошенничества произошел в 2015 году, когда финансовый отдел австрийско-китайской аэрокосмической компании FACC перевел злоумышленникам 61 миллион долларов, следуя указаниям из поддельного письма от гендиректора.
Фишинг в социальных сетях
Такие мошенники создают поддельные аккаунты в Instagram*, ВКонтакте, Facebook*, Twitter. Хакеры выдают себя за знакомого жертвы или аккаунт известной компании. Они присылают сообщения со ссылками на поддельные сайты, запрашивают личную информацию через Facebook*-приложения, отмечают на изображениях с призывом перейти на сайт.
Смежный способ фишинга — мошенничество в мессенджерах: Telegram, WhatsApp и Viber. Через них хакеры рассылают сообщения якобы от популярных компаний в попытке завладеть вашими личными данными.
Один из крупных примеров — мошенничество, направленное на пользователей Booking.com. В 2018 году хакеры рассылали юзерам WhatsApp-сообщения, через которые получали доступ к аккаунтам. Завладев информацией о бронированиях, злоумышленники требовали оплатить проживание по поддельным счетам.
Компания не говорит, сколько денег потеряли клиенты, но, по данным CNN, от подобных типов мошенничества только за первый квартал 2021 года американцы потеряли 26 миллионов долларов.
Веб-фишинг
Главный метод этого вида — подмена сайта. Хакер создает страницу, практически не отличимую от сайта крупного бренда или компании, в которой вы работаете. Вы используете свою учетную запись для входа, и злоумышленник получает доступ к реальному аккаунту.
Пример фишингового сайта, замаскированного под страницу обновления Google Chrome. Адрес страницы не имеет никакого отношения к браузеру. Источник
Хакеры либо присылают ссылку через email, либо перенаправляют пользователей на поддельный сайт при помощи фарминга. Злоумышленники взламывают систему доменных имен (DNS), и когда пользователь хочет зайти на сайт, сервер открывает страницу-подделку.
У веб-фишинга много вариаций.
- Фишингчерез поисковые системы. Такие мошенники таргетируются на людей, желающих что-то купить: их просят ввести конфиденциальную информацию, которую перехватывает хакер.
- «Атака на водопое». Хакеры выясняют, какие сайты часто посещают сотрудники компании, и подменяют адрес или добавляют к нему вредоносный код для скачивания.
- Всплывающие окна или уведомления веб-браузера. Когда человек кликает на кнопку «разрешить», на устройство загружается вредоносный код.
Злой двойник
Фишинговая атака evil twin симулирует привычную точку доступа Wi-Fi. После подключения злоумышленники получают учетные данные для входа в систему и другую информацию.
В 2020 году хакеры при помощи такого способа и оборудования стоимостью 200 долларов взломали сети Министерства внутренних дел США. К счастью, хакеры оказались «белыми», то есть этичными. Они работали на управление генерального инспектора МВД и помогали надзорному ведомству устранить уязвимости в системе безопасности.
Как распознать фишинг-атаки и не попасться на удочку
Обучайтесь сами и обучайте сотрудников. Вот список подозрительных «флажков», которые указывают на фишинговое письмо:
- Письмо создает иллюзию срочности и вызывает тревогу.
- Письмо обезличено, к отправителю не обращаются по имени (этот пункт может не соблюдаться при использовании целевого фишинга).
- В письме есть грамматические и орфографические ошибки.
- Письмо пришло от подразделения или от сотрудника, который прежде с вами не общался, либо в письме содержится нехарактерная просьба.
- К письму прикреплен zip-файл или большое изображение.
- Адрес почты вызывает подозрения. Например, организация использует адреса в виде name@example.com, а письмо пришло с адреса name.example@gmail.com. Либо в имени сотрудника есть опечатки.
- Ссылки встроены в текст или сокращены, либо при наведении на ссылку отображается другой адрес.
- Отправитель пишет с личной электронной почты вместо рабочей.
А вот как определить фишинговый сайт:
- Веб-адрес написан с ошибками: например: appel.com вместо apple.com.
- В адресе сайта стоит http вместо https.
- У адреса неправильный домен верхнего уровня: например, .org вместо .ru.
- Логотип компании плохого качества.
- Браузер предупреждает, что сайт небезопасный.
Подключите двухфакторную аутентификацию. Двухфакторная аутентификация, помимо пароля, обычно требует:
- ввести код, который пришел на почту, в смс или в push-уведомлении;
- подтвердить вход на другом устройстве;
- подтвердить вход через биометрические данные — отпечаток пальца или сканирование лица.
Так как злоумышленники чаще всего охотятся за логинами и паролями, такая защита личных и рабочих аккаунтов пресечет многие попытки украсть данные.
Регулярно обновляйте софт. Злоумышленники часто используют уязвимости программного обеспечения. Чтобы избежать проблем, регулярно устанавливайте обновления, которые устраняют эти недостатки.
Установите надежный антивирус. Антивирусные программы сегодня не только сканируют загружаемые программы на предмет вредоносных кодов, но и могут определять фишинговые сайты.
Nod32 предупреждает, что вы пытаетесь зайти на фишинговый сайт
Подключите почтовые фильтры. Фишинговые мошенники часто делают массовые рассылки, поэтому хороший почтовый фильтр пометит их как спам-рассылку.
Кроме того, киберпреступники часто прячут вредоносный код в активном содержимом PDF-файла или в коде — вы можете настроить почтовый клиент или антивирус так, чтобы сервис проверял такие вложения.
У разных почтовых клиентов фильтры настраиваются по-разному. Например, в почте Gmail можно помечать подозрительные письма ярлыками или сразу удалять их, а в Microsoft Exchange Online — основательно проверять вложения.
Чаще всего отрегулировать почтовые фильтры можно в настройках почтовых клиентов в разделах «Фильтры» или «Правила».
Пример фильтров, которые можно настроить в Gmail
Пример настройки правил для вложений в Microsoft Exchange Online
Что такое «фишинг»
Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание и password — пароль) — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.
Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее.
Атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Но в любом случае клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Забавно, но часто в качестве причины, по которой пользователь якобы должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»).
Рис. 1. Пример фишингового письма с требованием (ради обеспечения дополнительной безопасности)
пройти по ссылке и обновить свои данные в системе Federal Credit Union.
Фишинговые сайты, как правило, живут недолго (в среднем — 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен — он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники.
Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свой логин и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем — к электронному счету. Но не все фишеры сами обналичивают счета жертв. Дело в том, что обналичивание счетов сложно осуществить практически, к тому же человека, который занимается обналичиванием, легче засечь и привлечь мошенников к ответственности. Поэтому, добыв персональные данные, некоторые фишеры продают их другим мошенникам, у которых, в свою очередь, есть отработанные схемы снятия денег со счетов.
Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы.
Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Но не только. Также популярна кража личных данных от электронной почты — эти данные могут пригодиться тем, кто рассылает вирусы или создает зомби-сети.
Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка / сайта / провайдера, выглядящее в точности так же, как настоящее. Ничего не подозревающий пользователь переходит по ссыке «Перейти на сайт и залогиниться», но попадает на самом деле не на официальный сайт, а на фишерский его аналог, выполненный с высочайшей точностью.
Еще одной хитростью фишеров являются ссылки, очень похожие на URL оригинальных сайтов. Ведь достаточно наблюдательный пользователь может обратить внимание на то, что в командной строке браузера высвечивается ссылка, совершенно отличная от легитимного сайта. Такие «левые» ссылки тоже встречаются, но рассчитаны они на менее искушенного пользователя. Часто они начинаются с IP-адреса, хотя известно, что настоящие солидные компании давно не используют подобные ссылки.
Поэтому фишинговые URL часто похожи на настоящие. Они могут включать в себя название настоящего URL, дополненное другими словами (например, вместо www.examplebank.com стоит www.login-examplebank.com). Также в последнее время популярный фишинговый прием — ссылка с точками вместо слешей, внешне очень похожая на настоящую (вместо www.examplebank.com/personal/login стоит www.examplebank.com.personal.login). Можно привести еще такой фишерский вариант: www.examplebank.com-personal.login.
Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Бдительность пользователя притупляется еще тем, что в письме может быть несколько второстепенных ссылок, ведущих на официальный сайт, но основная ссылка, по которой пользователю надо пройти и залогиниться, ведет на сайт мошенников.
Рис. 2. Пример фишингового письма (подделка под уведомление интернет-аукциона Ebay)
со множеством ссылок, только одна из которых введет на сайт мошенников.
Иногда личные данные предлагается ввести прямо в письме. Надо помнить, что никакой банк (либо другая организация, запрашивающая конфиденциальную информацию) не будет этого делать подобным образом.
Рис. 3. Пример фишингового письма (подделка под уведомление online-банка Barclays,
где непосредственно в теле письма пользователь должен ввести свои данные).
Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг.
Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно.
Наиболее популярные фишерские мишени — аукцион Ebay и платежная система PayPal. Также страдают различные банки по всему миру. Атаки фишеров бывают случайными и целевыми. В первом случае атака производится «наобум». Атакуются наиболее крупные и популярные объекты — такие как аукцион Ebay — так как вероятность того, что случайный получатель имеет там учетную запись, довольно высока. Во втором случае мошенники узнают, каким именно банком, платежной системой, провайдером, сайтом пользуется адресат. Этот способ более сложен и затратен для фишеров, зато больше шансов, что жертва купится на провокацию.
Воровство конфиденциальных данных — не единственная опасность, поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую, следуя по ней, можно получить программу-шпиона, кейлоггер или троян. Так что если даже у вас нет счета, которым мошенники могли бы воспользоваться, нельзя чувствовать себя в полной безопасности.
Согласно данным Gartner, в США в 2006 году ущерб, нанесенный одной жертве фишинга, в среднем составил 1244 долларов США. В 2005 году эта сумма не превышала 257 долларов, что свидетельствует о невероятном успехе фишеров. В России ситуация несколько иная. Из-за того, что у нас электронные платежные системы пока не столь распространены, как на Западе, ущерб от фишинга не столь велик. Но с распространением в России электронных платежных систем доля фишинга в общем почтовом потоке возрастет, и, соответственно, возрастет и ущерб от него. Так что, хотя данная проблема в России не стоит еще столь остро, готовиться к ней надо уже сейчас.
Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. И хотя на многих сайтах, требующих конфиденциальной информации, опубликованы специальные предупреждения о том, что они никогда не просят сообщать свои конфиденциальные данные в письмах, пользователи продолжают слать свои пароли мошенникам. Поэтому несколько лет назад была создана Anti-Phishing Working Group (APWG) — группа по борьбе с фишингом, в которую входят как компании-«мишени» фишеров, так и компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. Сейчас APWG насчитывает более 2500 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании. Так что, по оптимистическим прогнозам, через некоторое время пользователи научатся остерегаться фишерских сайтов, как в свое время научились с опаской относиться к письмам с вложениями от неизвестных адресатов. Пока же основной защитой от фишинга остаются спам-фильтры.
Публикации на схожие темы
- Атаки на индустриальный и государственный секторы РФ
- Уязвимость CVE-2023-23397: комплексный анализ образцов первичной атаки
- LockBit Green и фишинговые атаки на организации
Поиск
- Детектируемые объекты
- Кто и почему создает вредоносные программы?
- Три условия существования вредоносных программ
- Способы проникновения вредоносных программ в систему
- Классификация детектируемых объектов
- Типы детектируемых объектов
- Вредоносные программы
- Вирусы и черви
- Троянские программы
- Подозрительные упаковщики
- Вредоносные утилиты
- Adware
- Pornware
- Porn-Dialer
- Porn-Downloader
- Porn-Tool
- Client-SMTP
- Client-P2P
- Client-IRC
- Dialer
- FraudTool
- Monitor
- NetTool
- PSWTool
- RemoteAdmin
- RiskTool
- Server-Web
- Server-Telnet
- Server-Proxy
- Server-FTP
- WebToolbar
- 1970-е
- 1980-е
- 1987
- 1988
- 1989
- 1990
- 1991
- 1992
- 1993
- 1994
- 1995
- 1996
- 1997
- 1998
- 1999
- 2000
- 2001
- 2002
- 2003
- 2004
- 2005
- 2006
- Выбор антивирусной защиты
- Качество антивирусной защиты и проблемы антивирусных программ
- Новые технологии против традиционных решений
- Независимое тестирование
- Что такое спам
- Что такое «фишинг»
- Инфраструктура спам-рынка
- Вред от спама
- Тематики спама
- Спам «для взрослых»
- «Цепочечные письма»
- Фармацевтический спам
- «Нигерийские» письма
- Поддельные уведомления о выигрыше в лотерею
- «Личные финансы»
- Программные уязвимости
- Примеры распространенных уязвимостей
- Статистика использования уязвимостей
Защита от фишинга
Фишинг — это атака, пытающаяся украсть ваши деньги или вашу учетную запись, заставляя вас раскрыть свои личные сведения, такие как номера кредитных карт, банковские реквизиты или пароли, на поддельных веб-сайтах. Киберпреступники обычно выдают себя за надежные компании, друзей или знакомых в поддельном сообщении, содержащем ссылку на фишинговый веб-сайт.
Выберите заголовки ниже для получения дополнительной информации
Узнайте, как распознать фишинговое сообщение
Фишинг является популярной формой киберпреступлений по причине своей эффективности. Киберпреступники успешно используют электронную почту, текстовые сообщения и прямые сообщения в социальных сетях или видеоиграх, чтобы заставить людей ответить своей личной информацией. Лучшая защита — это бдительность и знание того, на что следует обращать внимание.
Ниже приведены некоторые способы распознавания фишинговых электронных писем.
-
Срочный призыв к действию или угрозам. Подозревайте сообщения электронной почты и Сообщения Teams, в которые утверждается, что необходимо немедленно щелкнуть, позвонить или открыть вложение. Часто они утверждают, что вам нужно действовать немедленно, чтобы получить вознаграждение или избежать наказания. Создание ложного чувства срочности является распространенным трюком фишинговых атак и мошенничества. Они делают это для того, чтобы вы не слишком много думали об этом или консультировались с доверенным консультантом, который может вас предупредить.
Совет: Если вы увидите сообщение, призывающее вас к немедленным действиям, не торопитесь, подумайте и внимательно прочитайте его. Вы уверены, что оно настоящее? Не торопитесь, позаботьтесь о своей безопасности.
- В первый раз, нечастые отправители или отправители с пометкой [Внешний] — хотя это не редкость, когда кто-то впервые получает электронное письмо или сообщение Teams, особенно если он находится за пределами вашей организации, это может быть признаком фишинга. Замедлите и примите особую осторожность в это время. Когда вы получите сообщение электронной почты или сообщение Teams от кого-то, кого вы не знаете, или что Outlook или Teams определяет в качестве нового отправителя, уделите время, чтобы внимательно изучить его, используя некоторые из приведенных ниже мер.
- Орфография и неправильная грамматика . Профессиональные компании и организации обычно имеют редакционные и письменные сотрудники, чтобы убедиться, что клиенты получают высококачественное, профессиональное содержимое. Если сообщение электронной почты содержит явные орфографические или грамматические ошибки, речь может идти о мошенничестве. Иногда эти ошибки являются результатом неумелого перевода с иностранного языка, а иногда их преднамеренно допускают, чтобы обойти фильтры, блокирующие такие атаки.
- Универсальное обращение. Организация, предоставляющая вам услуги, в сообщениях электронной почты обращается к вам по имени. Если сообщение начинается с универсального обращения, такого как «Здравствуйте!», это тревожный знак того, что на самом деле это не ваш банк или интернет-магазин.
- Несовпадающие домены электронной почты – Если в электронном письме утверждается, что оно отправлено надежной компанией, например Microsoft или вашим банком, но оно отправляется с другого почтового домена, например Gmail.com или microsoftsupport.ru, вероятно, это мошенничество. Также обратите внимание на незаметные опечатки в правильном доменном имени. Например, micros0ft.com, где вторая буква «o» заменена нулем, или rnicrosoft.com, где «m» заменено на «r» и «n». Это распространённые уловки мошенников.
- Подозрительные ссылки или непредвиденные вложения. Если вы подозреваете, что сообщение электронной почты или сообщение в Teams является мошенничеством, не открывайте ссылки или вложения , которые вы видите. Вместо этого наведите указатель мыши на, но не щелкайте ссылку. Посмотрите на адрес, который отображается при наведении указателя мыши на ссылку. Спросите себя, соответствует ли этот адрес ссылке, введенной в сообщении. В следующем примере при наведении указателя мыши на ссылку отображается реальный веб-адрес в поле с желтым фоном. Строка чисел не похожа на веб-адрес компании.
Совет: На Android нажмите и удерживайте ссылку, чтобы открыть страницу свойств, на которой будет показано истинное место назначения ссылки. На iOS сделайте то, что Apple называет «легким длительным нажатием».
Киберпреступники также могут заставить вас посетить поддельные веб-сайты другими способами. Например, используя текстовое сообщение или телефонный звонок. Если вы чувствуете угрозу или давление, может быть время повесить трубку, найти номер телефона учреждения и перезвонить, когда ваша голова ясно. Опытные компьютерные преступники создают колл-центры, которые автоматически звонят или отправляют SMS потенциальным жертвам. В этих сообщениях часто содержаться запросы на ввод ПИН-кода или другой личной информации.
Вы администратор или ИТ-специалист?
В этом случае следует учитывать, что попытки фишинга могут быть нацелены на пользователей Teams. Примите меры. Дополнительные сведения о том, что с этим делать, см. здесь.
Если у вас есть подписка на Microsoft 365 с Расширенной защитой от угроз, вы можете включить Защиту от фишинга ATP, чтобы защитить пользователей. Подробнее
Фишинг
Фишинг – это совокупность методов, позволяющих обмануть пользователя и заставить его раскрыть свой пароль, номер кредитной карты и другую конфиденциальную информацию. Чаще всего злоумышленники выдают себя за представителей известных организаций в электронных письмах или телефонных звонках.
Все о фишинге
Что такое фишинг?
Фишинг (от англ. fishing – рыбная ловля) представляет собой противоправное действие, совершаемое с целью заставить то или иное лицо поделиться своей конфиденциальной информацией, например паролем или номером кредитной карты. Как и обычные рыбаки, использующие множество способов ловли рыбы, коварные мастера фишинга также применяют ряд методов, позволяющих «поймать на крючок» свою жертву, однако одна тактика фишинга является наиболее распространенной. Жертва получает электронное письмо или текстовое сообщение, отправитель которого выдает себя за определенное лицо или организацию, которым жертва доверяет, например за коллегу по работе, сотрудника банка или за представителя государственного учреждения. Когда ничего не подозревающий получатель открывает это электронное письмо или сообщение, то он обнаруживает пугающий текст, специально составленный таким образом, чтобы подавить здравый смысл и внушить страх. Текст требует от жертвы перейти на веб-сайт и немедленно выполнить определенные действия, чтобы избежать опасности или каких-либо серьезных последствий. Если пользователь «клюет на наживку» и переходит по ссылке, то он попадает на веб-сайт, имитирующий тот или иной законный интернет-ресурс. На этом веб-сайте пользователя просят «войти в систему», используя имя своей учетной записи и пароль. Если он оказывается достаточно доверчивым и соглашается, то введенные данные попадают напрямую к злоумышленникам, которые затем используют их для кражи конфиденциальной информации или денежных средств с банковских счетов; кроме того, они могут продавать полученные личные данные на черном рынке.
«Фишинг представляет собой простейший способ кибератаки, который, тем не менее, является одним из самых опасных и эффективных».
В отличие от других угроз, встречающихся на просторах Интернета, фишинг не требует наличия глубоких технических знаний. Адам Куява, директор Malwarebytes Labs, заметил: «Фишинг представляет собой простейший способ кибератаки, который, тем не менее, является одним из самых опасных и эффективных. Происходит это потому, что объектом атаки становится самый мощный, но одновременно и самый уязвимый компьютер в мире – человеческий разум». Фишинговые мошенники не пытаются воспользоваться техническими уязвимостями в операционной системе устройства, они прибегают к методам так называемой социальной инженерии. От Windows и iPhone до Mac и Android – ни одна операционная система не обладает полной защитой от фишинга, какими бы мощными ни были ее антивирусные средства. В действительности злоумышленники часто прибегают к фишингу, потому что не могут найти какие-либо технические уязвимости. Зачем тратить время на взлом многоуровневой защиты, когда можно обманным путем заставить пользователя добровольно раскрыть свои данные? В большинстве случаев самым слабым звеном в защите системы является не ошибка, затерянная глубоко в программном коде, а сам пользователь, который не обращает внимание на отправителя очередного электронного письма.
Последние новости о фишинге
История фишинга
Происхождение термина «фишинг» достаточно легко проследить. Фишинговая атака во многом похожа на обычную ловлю рыбы. Сначала нужно обзавестись приманкой, способной ввести жертву в заблуждение, а затем забросить удочку и ждать, пока «рыбка» начнет клевать. В английском языке сочетание слов «fishing» (рыбалка) и «phony» (обман) привело к тому, что букву «f» заменил диграф «ph», в результате термин, обозначающий вредоносные действия в Интернете, приобрел написание «phishing». Однако некоторые источники указывают, что его происхождение может быть несколько иным. В 1970-х годах сформировалась субкультура, представители которой использовали ряд низкотехнологичных методов для взлома телефонных сетей. Эти ранние хакеры получили название «phreaks» (фрикеры), представляющее собой комбинацию слов «phone» (телефон) и «freak» (мошенник). В то время количество компьютеров, объединенных в сеть, было небольшим, поэтому целью фрикинга было совершение бесплатных международных звонков или звонков на номера, не внесенные в телефонные книги.
«Фишинг представляет собой простейший способ кибератаки, который, тем не менее, является одним из самых опасных и эффективных».
Еще до того, как термин «фишинг» прочно вошел в обиход, методы фишинга были подробно описаны в докладе и презентации, которые подготовила в 1987 году компания Interex (International HP Users Group). Использование этого термина начинается в середине 1990-х годов, а его первое упоминание приписывается печально известному спамеру и хакеру Хану Си Смиту (Khan C Smith). Кроме того, в Интернете сохранился первый случай публичного упоминания термина «фишинг». Это произошло 2 января 1996 года в Usenet – в новостной группе AOHell. На тот момент компания America Online (AOL) являлась крупнейшим интернет-провайдером, ежедневно обслуживающим миллионы подключений. Разумеется, популярность компании AOL непременно сделала ее целью мошенников. Хакеры и распространители пиратских программ использовали ее ресурсы для обмена сообщениями, а также для совершения фишинговых атак на компьютеры законопослушных пользователей. Когда AOL приняла меры и закрыла группу AOHell, злоумышленники взяли на вооружение другие методы. Они отправляли пользователям сетей AOL сообщения, в которых представлялись сотрудниками AOL и просили пользователей проверить данные своих учетных записей или передать им свои платежные реквизиты. В итоге проблема стала настолько острой, что компания AOL начала добавлять предупреждения к каждому электронному письму, особым образом указывая, что ни один сотрудник AOL не станет просить сообщить ему пароль или платежные реквизиты пользователей.
«Социальные сети становятся основным объектом фишинговых атак».
С наступлением 2000-х годов фишинговые мошенники начали обращать свое внимание на уязвимости систем электронных платежей. Клиенты банков и платежных систем стали все чаще становиться жертвами фишинга, а в некоторых случаях – как показало последующее расследование – злоумышленникам даже удавалось не только точно идентифицировать своих жертв, но и узнавать, каким банком они пользовались. Социальные сети также стали одной из главных целей фишинга в силу своей привлекательности для мошенников: личная информация, публикуемая в социальных сетях, является отличным подспорьем для кражи идентификационных данных. Киберпреступники регистрировали десятки доменов, которые настолько изящно имитировали такие ресурсы, как eBay и PayPal, что многие не слишком внимательные пользователи просто не замечали подмены. Клиенты системы PayPal получали фишинговые электронные письма (содержащие ссылки на подставной веб-сайт) с просьбой обновить номер кредитной карты и другие персональные данные. В сентябре 2003 года о первой фишинговой атаке против банка сообщил журнал The Banker (принадлежащий компании The Financial Times Ltd.). В середине 2000-х годов на черном рынке можно было заказать «под ключ» вредоносное ПО для фишинга. В то же время хакеры начали координировать свои действия, чтобы организовывать все более изощренные фишинговые атаки. Трудно оценить даже приблизительные потери от успешных фишинговых атак: как сообщал в 2007 году отчет компании Gartner, за период с августа 2006 года по август 2007 года около 3,6 миллиона взрослых пользователей потеряли 3,2 миллиарда долларов.
«В 2013 году были похищены 110 миллионов записей кредитных карт и учетных данных, принадлежащих клиентам торговой сети Target».
В 2011 году фишинговые мошенники даже якобы нашли государственных спонсоров, когда китайские власти запустили предполагаемую фишинговую кампанию, которая была направлена против учетных записей Gmail, принадлежащих высокопоставленным чиновникам и военным в США и Южной Корее, а также китайским политическим активистам. Возможно, самой известной фишинговой атакой стал случай, когда в 2013 году были похищены 110 миллионов записей кредитных карт и учетных данных, принадлежащих клиентам торговой сети Target. Виной всему оказалась скомпрометированная учетная запись одного субподрядчика. Еще большую дурную славу получила фишинговая атака, предпринятая в первом квартале 2016 года хакерской группой Fancy Bear (деятельность которой связывают с российскими спецслужбами и военной разведкой). Эта атака была нацелена на адреса электронной почты Национального комитета Демократической партии США. В частности, Джон Подеста, руководитель агитационной кампании Хиллари Клинтон на президентских выборах 2016 года, заявил, что злоумышленники взломали его учетную запись Gmail и похитили переписку, поскольку он попался на старейшую мошенническую уловку: ему на электронную почту пришло фишинговое письмо с предупреждением, что пароль учетной записи был скомпрометирован (поэтому нужно «нажать здесь», чтобы сменить его). В 2017 году была предпринята массированная фишинговая атака на Google и Facebook, вынудившая бухгалтерские службы этих компаний перечислить в общей сложности более 100 миллионов долларов на заграничные банковские счета хакеров.
Типы фишинговых атак
Несмотря на многочисленные вариации, общей чертой всех фишинговых атак является использование подлога с целью присвоения тех или иных ценностей. Вот лишь некоторые основные категории:
Адресный фишинг
В то время как большинство фишинговых кампаний предполагают массовую рассылку электронных писем как можно большему количеству пользователей, адресный фишинг отличается направленным характером. Этим способом злоумышленники атакуют конкретное лицо или организацию, часто применяя специально подобранный контент, который, как им представляется, окажет на жертву наибольшее воздействие. Для осуществления подобной атаки необходимо провести тщательную подготовку, чтобы узнать имена, должности, адреса электронной почты и другую сопутствующую информацию. Хакеры переворачивают вверх дном весь Интернет, сопоставляя эту информацию со всеми доступными сведениями о должностных отношениях жертвы: их, например, интересуют имена коллег и круг их обязанностей в соответствующей организации. Заполучив все эти данные, злоумышленники составляют правдоподобное письмо. В частности, фишинговая атака может быть нацелена на сотрудника, чьи обязанности предполагают авторизацию платежей. Хакеры присылают ему письмо якобы от высокопоставленного должностного лица организации с указанием осуществить крупный платеж в пользу этого лица или в пользу поставщика компании (однако прилагаемая вредоносная ссылка ведет не к платежной системе, а на хакерский веб-сайт). Адресный фишинг представляет значительную опасность для бизнеса (и государства), поскольку он может привести к значительным убыткам. Согласно отчету, составленному в 2016 году по итогам изучения этой проблемы с участием ряда предприятий, на адресный фишинг приходилось 38 % кибератак, которым они подвергались в течение 2015 года. Что касается компаний в США, ставших жертвами адресного фишинга, то средняя величина ущерба составила 1,8 миллиона долларов на одну успешную атаку.
«Многословное фишинговое письмо от неизвестного лица, называющего себя нигерийским принцем, является одним из самых ранних и долгоживущих проявлений подобных атак».
Клоновый фишинг
Этот тип атаки предполагает, что злоумышленники копируют (клонируют) ранее доставленное законное сообщение, которое содержит ссылку или вложение. Затем мошенник меняет ссылки или прилагаемые файлы на вредоносные объекты, выдаваемые за настоящие. Ничего не подозревающие пользователи нажимают на ссылку или открывают вложение, чего часто бывает достаточно для хакеров, чтобы перехватить контроль над компьютером. После этого злоумышленники могут маскироваться под надежных отправителей и рассылать от имени жертвы аналогичные электронные письма другим пользователям в пределах этой же организации.
Обман 419/нигерийские письма
Многословное фишинговое письмо от неизвестного лица, называющего себя нигерийским принцем, является одним из самых ранних и долгоживущих проявлений подобных атак. Венди Замора, контент-директор Malwarebytes Labs, отметила: «Нередко фишинговая рассылка приходит от имени нигерийского принца, утверждающего, что он является сотрудником правительства или членом королевской семьи и ему срочно требуется помощь, чтобы перевести из Нигерии несколько миллионов долларов. Обычно такое электронное письмо помечается как срочное или личное, а его отправитель просит сообщить ему номер банковского счета, на который он мог бы перечислить деньги для хранения». Иногда классические нигерийские письма приобретают довольно занятное содержание. Например, в 2016 году британский веб-сайт Anorak сообщил, что его редакция получила электронное письмо от некоего доктора Бакаре Тунде, который представился менеджером проектов в области космонавтики, работающим в Нигерийском национальном агентстве по космическим исследованиям. Доктор Тунде утверждал, что его двоюродный брат, майор авиации Абака Тунде, вот уже более 25 лет находится на старой советской космической станции. Но всего за 3 миллиона долларов менеджеры корпорации Роскосмос согласились организовать рейс пилотируемого корабля и вернуть нигерийского космонавта на Землю. От получателя такого письма требовалось «всего лишь» сообщить данные своего банковского счета, чтобы нигерийские специалисты смогли перечислить необходимую сумму своим российским коллегам. В качестве вознаграждения доктор Тунде обещал заплатить 600 000 долларов. Случайным образом эта фишинговая атака также стала известна как «обман 419». Это число соответствует номеру статьи в уголовном кодексе Нигерии, которая предусматривает наказание за мошенничество.
Телефонный фишинг
Фишинговые атаки могут происходить с помощью обычного телефона – в этом случае они иногда обозначаются как голосовой фишинг или «вишинг»: мошенник звонит своей жертве и представляется сотрудником местного банка, полиции или налогового управления. Затем он запугивает жертву, сообщая о какой-либо проблеме и настаивая на том, что ее необходимо решить немедленно, а для этого нужно сообщить ему данные банковского счета или выплатить штраф. Обычно мошенники требуют перечислить деньги безналичным способом или с помощью предоплаченной карты, чтобы их нельзя было отследить. SMS-фишинг (или «смишинг») – это злобный брат-близнец вишинга, осуществляющий те же мошеннические действия, но только с помощью SMS-сообщений (иногда добавляя к ним вредоносные ссылки).
«В электронном письме получатель находит предложение, которое выглядит слишком выгодным, чтобы быть правдой».
Как распознать фишинговую атаку?
- Вы знаете отправителя сообщения, но это человек, с которым Вы не общаетесь. Даже если имя отправителя Вам известно, но он не относится к Вашим постоянным контактам, это уже должно вызывать подозрение – особенно в том случае, если содержимое письма никак не связано с Вашими обычными должностными обязанностями. Аналогичным образом стоит задуматься, если в поле «Копия» указаны вторичные получатели письма, которых Вы совсем не знаете, или группа сотрудников из других подразделений Вашей организации.
- Текст сообщения внушает страх. Будьте бдительны, если текст электронного письма носит угрожающий или тревожный характер и стремится создать атмосферу неотложной ситуации, призывая Вас срочно выполнить те или иные действия, например перейти по ссылке, прежде чем Ваша ученая запись будет заблокирована. Помните, что ответственные организации никогда не просят клиентов передать персональные данные через Интернет.
- Сообщение содержит неожиданные или необычные вложения. Такие вложения могут содержать вредоносное ПО, программы-вымогатели или другие интернет-угрозы.
- Сообщение содержит ссылки, которые выглядят странно. Даже если Ваше чутье не выявило описанные выше признаки, все равно не стоит слепо доверять встроенным в письмо гиперссылкам. Наведите курсор на ссылку, чтобы просмотреть ее настоящий URL-адрес. Присмотритесь, не закралось ли в гиперссылку едва заметное искаженное написание известного веб-сайта, – если да, то это явный признак подлога. Лучше вводить URL-адрес вручную, чем нажимать на встроенную в текст ссылку.
Вот пример фишинговой атаки, которая имитирует сообщение от платежной системы PayPal, содержащее просьбу нажать на кнопку «Confirm Now» (Подтвердить сейчас). Если навести курсор на эту кнопку, то браузер отобразит настоящий URL-адрес страницы перехода – он отмечен красным прямоугольником.
Вот изображение еще одного фишингового сообщения, маскирующегося под уведомление сервиса Amazon. Обратите внимание на угрозу закрыть учетную запись, если ответа не последует в течение 48 часов.
Переход по ссылке приводит Вас к этой форме, предлагающей сообщить те данные, которые откроют злоумышленникам путь к похищению Ваших ценностей.
Как защититься от фишинга?
Как говорилось выше, фишинг представляет собой угрозу, которая с одинаковой вероятностью может появиться на настольном компьютере, ноутбуке, планшетном компьютере или смартфоне. Большинство интернет-браузеров проверяют ссылки на предмет благонадежности, однако первой линией обороны от фишинга должна стать Ваша способность оценивать ситуацию. Научитесь распознавать признаки фишинга и придерживайтесь элементарных принципов безопасности, когда проверяете электронную почту, читаете записи в социальной сети Facebook или играете в онлайн-игру.
Наш коллега Адам Куява сформулировал несколько самых важных правил, которые помогут Вам не попасться на крючок мошенников:
- Не открывайте электронные письма от незнакомых отправителей.
- Нажимайте на ссылку внутри электронного письма только в том случае, если Вы точно знаете, куда она ведет.
- Получив письмо от сомнительного отправителя, перейдите по прилагаемой ссылке вручную – введите адрес законного веб-сайта в адресную строку браузера с помощью клавиатуры, так Вы обеспечите для себя еще один уровень безопасности.
- Проверяйте цифровые сертификаты веб-сайтов.
- Если Вас просят раскрыть конфиденциальные данные, убедитесь, что URL-адрес веб-страницы начинается с «HTTPS», а не просто с «HTTP». Буква «S» обозначает «secure» (безопасно), то есть подключение с таким адресом является защищенным. Вместе с тем, это не дает гарантии, что веб-сайт является законным, однако большинство законных веб-сайтов используют именно протокол HTTPS в силу его большей безопасности. При этом даже законные веб-сайты, использующие протокол HTTP, уязвимы перед атаками хакеров.
- Если Вы подозреваете, что полученное электронное письмо было отправлено мошенником, введите имя отправителя или отрывок текста письма в поисковую систему – и Вы увидите, связаны ли с этим письмом какие-либо фишинговые атаки.
- Наводите курсор мыши на ссылки, чтобы убедиться в их надежности.
Как и всегда, мы также рекомендуем использовать программу, способную противостоять вредоносному ПО. Большинство программных средств кибербезопасности способны обнаруживать маскирующиеся опасные ссылки и вложения, так что Ваша информация не попадет в руки злоумышленников, даже если Вы вовремя не почувствуете неладное.
Все premium-версии продуктов Malwarebytes предоставляют надежную защиту от фишинга. Они могут распознавать мошеннические сайты, не давая открыть их, даже если Вы уверены в их законности.
Так что оставайтесь бдительны, соблюдайте осторожность и следите за признаками возможной фишинговой атаки.
- Вредоносные программы
- Типы детектируемых объектов