Фишинговые методы: сходства, различия и тенденции. Часть первая: массовый фишинг

Фишинговые методы: сходства, различия и тенденции. Часть первая: массовый фишинг

Термин «фишинг» (phishing) происходит от английского слова «fishing» (ловить рыбу, рыбачить), поскольку механизм атаки напоминает рыбалку. Злоумышленник, выступающий от имени банка или другого известного сервиса (например, PayPal или Facebook), требует от вас ввести конфиденциальные данные якобы с целью их проверки и обновления информации об ученой записи.

Автор: Иван Димов (Ivan Dimov)

Введение

Термин «фишинг» (phishing) происходит от английского слова «fishing» (ловить рыбу, рыбачить), поскольку механизм атаки напоминает рыбалку. Злоумышленник, выступающий от имени банка или другого известного сервиса (например, PayPal или Facebook), требует от вас ввести конфиденциальные данные якобы с целью их проверки и обновления информации об ученой записи. Другой вариант: злоумышленник сообщает, что от имени вашей учетной записи была замечена подозрительная активность, и вы должны «доказать», что являетесь владельцем аккаунта. Таким образом, атакующий закидывает «приманку» в огромное море Интернет-пользователей, получает личную информацию, добровольно (в большинстве случаев) переданную пользователем, и использует ее в злонамеренных целях: будь то кража личных данных, мошенничество с кредитными картами и т. д. Перед вхождением в обиход термина «фишинг» использовался символ <><, по своей структуре напоминающий рыбу. Позже символ <>< упоминался не только при краже информации об учетных записях и кредитных картах, но и других мошеннических действиях.

Комбинация букв «ph» в слове «phishing», скорее всего, добавлена для связи фишеров андерграунд-сообществом фрикеров, состоящим из хакеров первой волны. Фрикеры – это не только те, кто изучают и исследуют телекоммуникационные системы, но и те, кто использует полученные знания в мошеннических, злонамеренных и других незаконных деяниях.

Существует два вида атак, связанных с фишингом. В первом типе атак происходит отправка фишингового сообщения с целью получения конфиденциальной информации. (1) Злоумышленник может передать сообщение через электронную почту или программу для мгновенного обмена сообщениями. Также для получения информации атакующий может использовать вредоносную программу (например, кейлоггер или троян), либо поисковые системы для поиска телефонного номера и развода жертвы по телефону. Во втором типе атак используются техники так называемого целенаправленного фишинга (2). Типичные примеры целенаправленного фишинга: получение информации о высокопоставленных лицах (whaling), создание клонов email-сообщений (clone phishing) или принуждение жертвы к совершению переводов на фальшивый банковский счет (reverse-phishing). В этой статье основное внимание будет уделено методам целевого фишинга.

Объекты исследования этой статьи

У всех фишеров одна единственная цель – сбор персональной и конфиденциальной информации и использование ее для получения материальной выгоды. Хотя фишеры стараются собирать различные типы информации в зависимости от способа атаки, реализуемой ими. К примеру, при простейшей форме фишинга злоумышленники в основном стремятся получить информацию о кредитной/дебетовой карт. В случае целевого фишинга (и охоте на высокопоставленных лиц) целью злоумышленников могут быть секретные правительственные документы, объекты интеллектуальной собственности фирмы, список клиентов или сотрудников; злоумышленник может быть членом конкурирующей компании или правительства или быть нанятым ими. Затем полученная информация может либо использоваться в злонамеренных целях, либо быть продана на черном рынке.

Подобные промежуточные цели рассматриваются в настоящем документе наряду с другими вещами: тип и качество информации, которую злоумышленник должен получить для реализации атаки, как получается подобная информация, предпочтительный метод реализации определенной техники, типы жертв, искомые различными техниками, а также различные требования, которые необходимы для реализации атак, чтобы действия фишера были «успешны» (например, фарминг).

Все вышеупомянутые понятия являются объектами исследования, показывающие, в чем сходство и различие фишинговых техник.

Также показаны текущие тенденции в области фишинга с объяснением, почему определенная техника и метод становится более или менее популярной.

Массовый фишинг

Наиболее распространенная форма фишинга из упоминаемых выше – массовый фишинг, поскольку в данном виде атаки отсутствую конкретные цели и используется мошеннический метод социальной инженерии против множества людей. Таким образом, при данном виде фишинга нет необходимости в сборе информации, так как атакующий маскирует свое сообщение будто бы посылаемое от представителя популярного/всемирно известного бренда.

Фактически, лишь малая часть этих людей будет клиентом банка, авиакомпании, Интернет-магазина или пользоваться социальными сетями или любой другой службой, от имени которой рассылаются письма. Однако небольшая часть все же откроет присланное сообщение, проследует по ссылке или откроет вложение.

К примеру, люди, не пользующиеся платежной системой PayPal проигнорируют фишинговое сообщение, когда злоумышленник выдает себя за сотрудника PayPal. Предположительно открываются 3% фишинговых сообщений, в то время как 8 человек из 100 тысяч передают конфиденциальную информацию фишерам или устанавливают вредоносную программу, которая позволяют злоумышленнику получить доступ к этой информации.

В случае с массовым фишингом технологии по созданию черных списков в антивирусах и браузерах отчасти эффективны и могут снизить шансы мошенничества в будущем, однако, в случае изощренного целенаправленного фишинга подобные методы не особо пригодны, поскольку целевые атаки заточены под конкретную жертву, и обнаружить их намного труднее. Именно поэтому, считается, что массовый фишинг остался в прошлом, а целевой фишинг, как говорят многие, становится все более популярен. Об этом виде фишинга мы поговорим во второй части данной статьи.

Упомянутые выше антифишинговые черные списки предотвращают лишь небольшой процент угроз в первый час. В первой половине 2012 года среднее время жизни фишингового веб-сайта было примерно 23 часа 10 минут, однако это не означает, что злоумышленники оставили свои попытки. Просто происходит смена веб-сайта или подделывается другой поставщик услуг.

23 часа вполне достаточно для рассылки множества сообщений и обмана людей. К примеру, при массовой фишинговой атаке от имени Nacha, ассоциации по электронным платежам, рассылалось 167 миллионов в день. В течение нескольких лет, злоумышленники, использующие массовый фишинг, приспособились к медленно обновляющимся черным списком при помощи утилит наподобие «Bouncer» (которые добавляют уникальный ID к каждому письму, отсылаемому жертве) и других инструментов и методов, так, чтобы увеличить время жизни фишинговых методов и, соответственно, получить больше прибыли. Предположительно, себестоимость фишинговой кампании составляет около 2000 долларов, а прибыль – 14000 долларов.

В настоящее время массовый фишинг имеет тенденцию представлять популярные и всемирно известные веб-сайты и бренды для увеличения шансов на успех. Эта тенденция неуклонно растет. В следующей таблице представлены 10 самых популярных брендов, используемых фишерами в январе 2012 года.

10 брендов, пользующихся наибольшей популярностью у фишеров (по убыванию популярности)

Имя бренда

Сфера деятельности

1

Paypal

Электронные платежи

2

Facebook

Социальная сеть

3

TAM Airlines

Бразильские авиалинии

4

Santander

Группа банков

5

MasterCard

Международная корпорация, предоставляющая финансовые услуги

6

Cielo

Бразильский оператор кредитных карт

7

AOL

Разрабатывает, выращивает и инвестирует в бренды и веб-сайты (а также электронную коммерцию)

8

Posteitaliane

Подконтрольная государству итальянская почтовая служба; также предоставляет финансовые услуги и т. д.

9

Bradesco

Компания в Бразилии, представляющая банковские и финансовые сервисы

10

JPMorganChase

Международная банковская корпорация

Как видно из таблицы, в январе 2012 большой популярностью у фишеров пользовались бразильские компании. В общем, только одним объединением APGW в январе 2012 года было обнаружено 53225 уникальных веб-сайтов и получено 25444 отчетов о фишинговых электронных письмах. Только в первом квартале 2012 года около 400 различных брендов использовали фишеры в своих атаках.

Некоторые бренды, пользующиеся наибольшей популярностью у фишеров, меняются каждый месяц и, таким образом, не факт, что статистика по предыдущему месяцу будет такой же в следующем месяце, хотя частота использования некоторых брендов относительно статична. Если веб-сайт популярен, всемирно известен и может принести злоумышленнику материальную выгоду, весьма вероятно, что этот веб-сайт будет использоваться для фишинга (например, PayPal). Статистика показывает, что количество брендов, используемых фишерами, постепенно снижается, и увеличивается количество попыток от имени популярных и всемирно известных брендов.

Как правило, на 20 самых часто используемых брендов приходится 50% фишинговых писем (во второй половине 2011 года на 20 самых часто используемых брендов приходилось 78% всех фишинговых писем).

В январе 2013 года произошло снижение массовой доли фишинговых писем (1 фишинговое письмо на 508,6 писем) по сравнению с декабрем 2012 года (1 фишинговое письмо на 377,4 писем). На основе этого можно утверждать, что в 2013 будет продолжаться снижение доли массового фишинга из-за того, что злоумышленники сосредоточатся на использовании техник целевого фишинга (или даже на получении данных о высокопоставленных лицах), так как писем требуется меньше, и они являются адресными. К тому же, от совершения подобных атак фишеры получают больший процент прибыли на единицу инвестиций.

В большинстве случаев цель массового фишинга – получение быстрой прибыли. Фишеры стремятся получить либо информацию о вашей кредитной/дебетовой карты, счета в банке или любой другой финансовой организации в Интернете, а затем украсть ваши деньги, либо получить конфиденциальные данные. Кража конфиденциальных данных еще более серьезная угроза, поскольку злоумышленник, используя их, может взять кредит и испортить вашу кредитную историю, украсть деньги с банковского счета, использовать сервисы от вашего имени (телефон, Интернет и т.п.), открыть новый банковский счет, используя вашу персональную информацию для создания поддельных чеков и использовать их при получения займов (например, для покупки автомобиля). Также фишер может от вашего имени оплачивать билеты, счета и многое другое. Таким образом, последствия от массового фишинга могут быть весьма и весьма печальными.

Для кражи информации о банковском счете или конфиденциальных данных, фишер может собрать следующую информацию:

  1. Имя и Имя пользователя.
  2. Адрес и номер телефона.
  3. Пароль/пинкод.
  4. Номер дебетовой/кредитной карты.
  5. CVC/CVV.
  6. Номер социального страхования.
  7. Номер банковского счета.

Сообщения, рассылаемые при массовом фишинге, обычно не содержат вашего имени, а начинаются примерно так: «Дорогой Клиент», «Дорогой Пользователь», «Дорогой Партнер» или похожее обращение.

Не следует ожидать индивидуального электронного сообщения и вообще ничего, что относится к вашей персоне. Ваш банковский счет также не будет указан, поскольку злоумышленники рассылают подобные письма в больших количествах и, скорее всего, не обладают подобной информацией.

Большинство киберпреступлений трудны в подготовке и реализации, однако массовый фишинг не относится к их числу. Человек с относительно низким уровнем технических знаний может легко реализовать подобную атаку и получить прибыль. Плюс к этому, затраты на одиночную кампанию массового фишинга обычно составляют около 2000 долларов и доступны даже начинающим.

Кажется, популярность массового фишинга начинает спадать, поскольку более изощренные виды фишинга (например, целевой фишинг) более успешны и, соответственно, приносят злоумышленнику больше прибыли. Также кампании массового фишинга очень быстро отлавливаются и заносятся в черный список (их срок жизни обычно менее дня). Еще один фактор: люди становятся более подкованными по вопросам киберпреступлений.

Иногда принуждение жертвы к немедленным действиям не является столь необходимым для реализации кампании по массовому фишингу, хотя этот метод используется наиболее часто, поскольку основан на страхе жертвы, вследствие чего пользователь принимает поспешные и необдуманные решения. Злоумышленники могут не принуждать жертву к немедленным действиям, как в большинстве случаев (например, заявляя о том, что учетная запись будет удалена, если вы не откроете ссылку или не заполните форму; или ваша учетная запись заморожена, и вам необходимо выполнить вышеупомянутые действия, чтобы решить эту проблему). К примеру, жертве могут сообщить о «выигрыше» или попросить помощи, от которых она получит огромную выгоду.

Например, массовая рассылка от имени компании Brazil TAM Airlines извещала потенциальных жертв о выигрыше 10000 миль (которые можно было бы, если бы они были реальными, бесплатно использовать для путешествий на расстояние в 10000 миль) и содержала промо-код, который необходимо ввести по ссылке, указанной в письме. Ссылка ведет на поддельный веб-сайт авиалиний, где необходимо ввести имя пользователь и пароль «перед» получением приза. Когда злоумышленники получают логин и пароль, то использую эту информацию для покупки билетов и других вещей.

Кроме того, на смену техническим знаниям вполне может прийти креативность и фантазия злоумышленников. Это подтверждают печально известные нигерийские мошенники, орудующие с 80-х годов, некоторые из которых трансформировались в фишеров. Как правило, в нигерийских письмах создается ощущение «удачливости и счастливого случая» вместо принуждения жертвы к немедленным действиям.

В большинстве случаев будет использоваться одна из двух вышеупомянутых схем, хотя также фишер может выступать от имени солидной организации, которая собирает мнения, отзывы, рекомендации или нечто похожее, не относящееся к двум ранее упомянутым схемам. Однако в этом случае злоумышленник все равно обманом стремится получить конфиденциальные данные.

Что же касается первых двух методов, то при проведении массового фишинга стали широко использоваться наборы различных инструментов: заготовки страниц и электронных сообщений под популярные и/или всемирно известные бренды, скрипты на разных языках, необходимые для обработки данных, веб-хостинг, списки прокси-серверов и серверов для рассылки писем.

Некоторые службы веб-хостинга заявляют о невозможности своего отключения государственными органами.

Подобные наборы утилит используются многими фишерами и в особенности фишерами, которые занимаются массовыми рассылками, поскольку они не требуют большой технической компетенции и даже новички, используя их, получают прибыль.

Отсюда следует, что исследование этих инструментов может дать ценные сведения о тактиках, реализуемых при массовом фишинге для обмана случайных Интернет-пользователей.

Наиболее распространенный способ рассылки фишинговых сообщений через электронную почту, однако также могут использоваться программы по обмену мгновенными сообщениями. Более того, фишер может использовать обычный телефон (хотя все-таки злоумышленники склонны использовать Интернет-программы для голосовых коммуникаций для звонков на телефонные номера косвенным методом, например, через Skype). Такой способ обмана называется «вишинг» (vishing).

В следующей части мы поговорим о целевом фишинге, фишинге против высокопоставленных лиц (whaling), а также reverse-фишинге, вишинге и clone-фишинге.

Ссылки:

  1. Phishing.org, ‘History of Phishing’. Available at: http://www.phishing.org/history-of-phishing/ (Accessed 2/15/2013)
  2. Wikipedia, ‘Phishing’. Available at: http://en.wikipedia.org/wiki/Phishing (Accessed 2/16/2013)
  3. Jeff Orloff, ‘Phishing: A Look Inside the Statistics’, September 5 2012. Available at: http://www.allspammedup.com/2012/09/phishing-a-look-inside-the-statistics/ (Accessed 2/16/2013)
  4. Mike Lennon, ‘Phishing Sites: Lifespan Decreases, Population Grows at Record Speed, Says APGW’, October 25 2012. Available at: http://www.securityweek.com/phishing-sites-lifespan-decreases-population-grows-record-speed-says-apwg (Accessed 2/16/2013)
  5. Zhannalight325, ‘Email Spam and Phishing Trends 2011-2012′, 2012. Available at: http://visual.ly/email-spam-and-phishing-trends-2011-2012 (Accessed 2/16/2013)
    Note: the statistics presented in reference 5 were extracted from symanteccloud.com and phishtank.com
  6. APWG, ‘APWG Phishing Attach Trends Reports’. Available at: http://www.apwg.org/resources/apwg-reports/ (Accessed 2/16/2013)
  7. David Waterson, ‘Shortcomings of anti-phishing blacklisting’, February 4 2013. Available at: http://dwaterson.com/2013/02/04/shortcomings-of-anti-phishing-blacklisting/ (Accessed 2/16/2013)
  8. Symantec.cloud, ‘Symantec Intelligence Report: January 2013′. Available at: http://www.symanteccloud.com/mlireport/SYMCINT_2013_01_January.pdf (Accessed 2/16/2013)
  9. National Science Foundation, ‘Identity Theft’. Available at: http://www.nsf.gov/oig/identitytheft.pdf (Accessed 2/16/2013)
  10. Net-Security, ‘Mass phishing emails a thing of the past’, December 04 2012. Available at: http://www.net-security.org/secworld.php?id=14058 (Accessed 2/21/2013)
  11. Avi Turiel, ‘Phishing attack targets frequent flyers of Brazilian airline TAM’, April 09 2012. Available at: http://blog.commtouch.com/cafe/malware/phishing-attack-targets-frequent-flyers-of-brazilian-airline-tam/ (Accessed 2/21/2013)
  12. Jason Milletary, ‘Technical Trends in Phishing Attacks’, 2005. Available at: http://goo.gl/74YQs (Accessed 2/21/2013)
  13. Microsoft support, ‘Identify fraudulent e-mail and phishing schemes’. Available at: http://office.microsoft.com/en-us/outlook-help/identify-fraudulent-e-mail-and-phishing-schemes-HA001140002.aspx (Accessed 2/21/2013)

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться