21 Января, 2019

Типы фишинговых атак и способы их выявления

Владимир Безмалый

Сегодня кажется, что каждое нарушение данных и все онлайн-атаки включают в себя какую-то фишинговую попытку кражи паролей, запуска мошеннических транзакций или обмана кого-то для загрузки вредоносного программного обеспечения. По данным PhishMe, в начале 2016 года 93% фишинговых писем доставлялись с помощью вымогателей .

Предприятия регулярно напоминают пользователям, что следует остерегаться фишинговых атак , но многие пользователи не знают, как их распознать. Одной из причин этого является тот факт, что эти атаки могут принимать различные формы. «Фишинговые атаки бывают разных форм и размеров, нацеленные на конкретных людей в организации, которые имеют доступ к конфиденциальным данным», — говорит Шалаб Мохан из Area 1 Security .

Пользователи, как правило, плохо распознают мошенников. Согласно отчету Verizon о кибербезопасности , злоумышленник, отправивший 10 фишинговых писем, имеет 90-процентную вероятность того, что один человек попадется на него. Поначалу это кажется абсурдным, но это разумно, если рассматривать его в контексте пользователей вне технологического пузыря, таких как пользователи в сфере производства и образования. Добавьте к этому тот факт, что не все фишинговые мошенники работают одинаково — некоторые из них являются обычными электронными рассылками, а другие тщательно продуманы для нацеливания на определенный тип людей — и становится все труднее научить пользователей узнавать, когда сообщение, кажется, немного странным.

Давайте рассмотрим различные типы фишинговых атак и способы их распознавания.

Что такое фишинг? Масс-маркет электронные письма

Наиболее распространенной формой фишинга является общий тип массовой рассылки, когда кто-то отправляет электронное письмо, притворяясь кем-то другим, и пытается обмануть получателя, делая что-то, обычно входя на веб-сайт или загружая вредоносное ПО. Атаки часто основаны на подделке электронной почты, когда заголовок электронной почты — поле «от» — подделывается, чтобы сообщение выглядело так, как если бы оно было отправлено доверенным отправителем.

Однако фишинговые атаки не всегда выглядят как электронное письмо с уведомлением о доставке UPS, предупреждающее сообщение от PayPal об истечении срока действия паролей или электронное письмо Office 365 о квотах хранилища. Некоторые атаки предназначены специально для организаций и частных лиц, а другие используют другие методы, кроме электронной почты.

Что такое направленный фишинг (spearphishing)? Стремление к определенным целям

Фишинговые атаки получили свое название из-за того, что мошенники ловят случайных жертв, используя поддельную или мошенническую электронную почту в качестве приманки. Используя направленные фишинговые атаки, злоумышленники специально нацелены на жертв и организации с высокой ценностью. Вместо того, чтобы пытаться получить банковские учетные данные для 1000 потребителей, злоумышленнику может оказаться более выгодным ориентироваться на несколько предприятий.

Направленные фишинг-атаки чрезвычайно успешны, потому что злоумышленники тратят много времени на сбор информации, специфичной для получателя, например, на ссылку на конференцию, которую получатель мог только что посетить, или отправку вредоносного вложения, где имя файла ссылается на тему, интересующую получателя.

В недавней фишинговой кампании группа 74 (также известная как Sofact, APT28, Fancy Bear) нацелилась на профессионалов в области кибербезопасности, написав электронное письмо, притворяющееся связанным с конференцией Cyber Conflict U.S. conference, и событиями, организованными United States Military Academy Army Cyber Institute, the NATO Cooperative Cyber Military Academy, и NATO Cooperative Cyber Defence Centre of Excellence. Хотя CyCon — это настоящая конференция, вложение являлось документом, содержащим вредоносный макрос Visual Basic для приложений (VBA), который загружал и выполнял разведывательное вредоносное ПО, называемое Seduploader.

Что такое whaling? Идем за большой рыбой

Фишинговая атака, специально предназначенная для руководителей предприятия, называется whaling, поскольку жертва считается очень ценной, а украденная информация будет гораздо более ценной, чем та, что может предложить обычный сотрудник. Учетные данные, принадлежащие генеральному директору, откроют куда больше, чем сотрудник начального уровня. Цель состоит в краже данных, информации о сотрудниках и денежных средств.

Whailing также требует дополнительных исследований, потому что злоумышленнику необходимо знать, с кем общается предполагаемая жертва, и какие обсуждения они проводят. Примерами могут служить ссылки на жалобы клиентов, судебные повестки или другая информация. Злоумышленники обычно начинают с социальной инженерии, чтобы собрать информацию о жертве и компании, прежде чем создавать фишинговое сообщение, которое будет использоваться при подобной атаке.

Что такое компрометация деловой электронной почты (business email compromise — BEC)? Притворяться генеральным директором

Помимо массовых распространенных фишинговых кампаний, преступники нацелены на ключевых лиц в отделах финансов и бухгалтерии с помощью мошеннических действий с использованием электронной почты (BEC) и мошенничества с электронной почтой генерального директора. Выдавая себя за финансовых чиновников и генеральных директоров, эти преступники пытаются обмануть жертв, заставляя их переводить деньги на несанкционированные счета.

Как правило, злоумышленники скомпрометируют учетную запись электронной почты руководителя или финансового директора, используя различные методы. Злоумышленник скрывается и отслеживает действия электронной почты руководителя в течение определенного периода времени, чтобы узнать о процессах и процедурах в компании. Фактическая атака принимает форму ложного электронного письма, которое выглядит так, как будто оно пришло из скомпрометированного аккаунта руководителя, отправленного тому, кто является постоянным получателем. Письмо кажется важным и срочным, и оно требует, чтобы получатель отправил банковский перевод на внешний или незнакомый банковский счет. Деньги в конечном итоге попадают на банковский счет злоумышленника.

Согласно Центру жалоб на интернет-преступления ФБР, мошеннические действия BEC принесли более 4,5 млрд. долларов США фактических и попыток потерь, и они представляют собой серьезную глобальную проблему.

Что такое фишинг-клонирование? Копии так же эффективны

Фишинг-клонирование требует от злоумышленника создания почти идентичной копии законного сообщения, чтобы обмануть жертву и заставить ее думать, что это реальное сообщение. Письмо отправляется с адреса, похожего на законного отправителя, и тело сообщения выглядит так же, как и предыдущее сообщение. Разница лишь в том, что вложение или ссылка в сообщении были заменены вредоносными. Злоумышленник может сказать что-то вроде повторной отправки оригинала или обновленной версии, чтобы объяснить, почему жертва снова получала «такое же» сообщение.

Эта атака основана на ранее замеченном законном сообщении, что повышает вероятность того, что пользователи попадут в атаку. Злоумышленник, который уже заразил одного пользователя, может использовать эту технику против другого человека, который также получил клонированное сообщение. В другом варианте злоумышленник может создать клонированный веб-сайт с поддельным доменом, чтобы обмануть жертву.

Что такое Vishing? Фишинг по телефону

Vishing означает «голосовой фишинг» и подразумевает использование телефона. Как правило, жертва получает звонок с голосовым сообщением, замаскированным под сообщение от финансового учреждения. Например, сообщение может попросить получателя позвонить по номеру и ввести данные своей учетной записи или PIN-код в целях безопасности или в других официальных целях. Тем не менее, телефонный номер звонит прямо злоумышленнику через службу передачи голоса по IP.

В последнее время преступники стали звонить жертвам, притворяясь технической поддержкой Apple и предоставляя пользователям номер для звонка, чтобы решить «проблему безопасности». Подобно старой мошенничеству технической поддержки Windows, эти мошенники используют в своих интересах опасения пользователей по поводу взлома их устройств.

Что такое snowshoeing? Распространение вредоносных сообщений

Snowshoeing, или спам «наезд», требуют, чтобы злоумышленники распространяли сообщения через несколько доменов и IP-адресов. Каждый IP-адрес отправляет небольшой объем сообщений, поэтому технологии фильтрации спама на основе репутации или объема не могут сразу распознавать и блокировать вредоносные сообщения. Некоторые сообщения попадают в почтовые ящики до того, как фильтры научатся их блокировать.

Кампании Hailstorm работают так же, как и snowshoeing, за исключением того, что сообщения рассылаются в течение очень короткого промежутка времени. Некоторые атаки заканчиваются так же, антиспамовые инструменты захватывают и обновляют фильтры, чтобы блокировать будущие сообщения, но злоумышленники уже перешли к следующей кампании.

Научитесь распознавать различные виды фишинга

Пользователи плохо разбираются в последствиях фишинг-атаки. Достаточно опытный пользователь может оценить риск щелчка по ссылке в электронном письме, поскольку это может привести к загрузке вредоносного ПО или последующим мошенническим сообщениям, требующим денег. Только наиболее опытные пользователи могут оценить потенциальный ущерб от кражи учетных данных и взлома аккаунта. Этот пробел в оценке риска затрудняет понимание пользователями серьезности распознавания вредоносных сообщений. «Несмотря на продолжающиеся инвестиции, фишинговые электронные письма продолжают обходить технологии периметра для ежедневного доступа к почтовым ящикам сотрудников», — сказал Рохит Белани, соучредитель и генеральный директор PhishMe.

Организациям необходимо рассмотреть существующие внутренние кампании по повышению осведомленности и убедиться, что сотрудникам предоставлены инструменты для распознавания различных типов атак. Организациям также необходимо усилить защиту, потому что некоторые традиционные инструменты защиты электронной почты, такие как спам-фильтры, не обеспечивают достаточной защиты от некоторых типов фишинга. Например, спам-фильтры бесполезны против атак BEC.

Оригинал