11 типов фишинга и их примеры из реальной жизни

Сервис Sandbox компании «Ростелеком» — защита от ранее неизвестных киберугроз и сложных целевых атак в реальном времени. Быстрое подключение, поддержка 24/7. Узнать подробнее »»»

Какие инструменты используют мошенники для того чтобы завладеть личными данными людей?

Есть много способов:

  • Самые распространенные из них – это отправка сообщений по электронной почте или через социальные сети якобы от администрации, которая просит подтвердить логин и пароль.
  • Также часто мошенники создают сайты, которые могут быть аналогичны официальным сайтам каких-то популярных сервисов, для того чтобы при регистрации на этих сайтах завладеть личными данными. Не редко создаются даже целые интернет-магазины, при покупке в которых пользователи теряют деньги не получая товар.
  • Часто жертвой фишинга становятся доверчивые люди, которые жертвуют деньги якобы на благотворительность, например, при сборе средств больным детям, или на другие благие дела. Однако большая часть таких сборов – это обман.

Фишинг

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — это некий вид получения злоумышленником секретной информации, при котором правонарушитель, используя средства социальной инженерии, «разводит» клиента на открытие своих личных данных. Такими данными могут быть номер и код банковской карты, номер телефона, логин и пароль от какого-либо сервиса и т.д. В основном, такой вид «ловли» используют чтобы получить доступ к онлайн-банкингу или кошельку жертвы в той или иной платежной системе и вывести средства на посторонние счета.

Так как же работает фишинг?

На электронный адрес атакуемого приходит фишинг-письмо, которое, в первую очередь, влияет на эмоции получателя. Например, это может быть оповещение о большом выигрыше или же, наоборот, сообщение о взломе аккаунта с дальнейшим предложением перейти по фишинговой ссылке и ввести данные авторизации. Пользователь переходит на предоставленный ресурс и «отдает» свой логин и пароль в руки мошенника, который, со своей стороны, достаточно быстро оперирует полученной информацией.

Можно привести несколько конкретных примеров интернет-фишинга:

  1. Злоумышленники рассылают миллионы писем от имени известной компании на различные e-mail, с просьбой подтвердить логин и пароль. При переходе по предоставленному URL можно увидеть страницу авторизации абсолютно идентичную странице на настоящем ресурсе. Подвох, скорее всего, скрывается в самой ссылке на сайт – домен будет очень схож с реальным, но отличаться несколькими символами. Схожий вид сообщений можно встретить также и в различных социальных сетях. К примеру, несколько лет назад был популярен фишинг Вконтакте.
  2. Мошенники, используя недостатки в протоколе SMTP, отправляют письма с поддельной строкой «Mail From:». Посетитель, отвечая на подобное письмо, пересылает его в руки правонарушителя.
  3. Также стоит быть осторожными при участии в интернет-аукционах. Так как товары, выставленные на продажу даже через легальный ресурс, могут оплачиваться через сторонний веб-узел.
  4. Множество пользователей сталкиваются с фиктивными интернет-организациями, которые обращаются с просьбами о пожертвовании.
  5. Интернет-магазины с крайне «доступными» ценами, за брендовые товары также могут быть поддельными. В итоге есть вероятность заплатить за товар, который никогда не будет получен, так как его никогда не существовало.

Что такое интернет-фишинг?

Разберем подробнее, что же это такое. Фишинг (от англ. phishing – выуживание) – это вид интернет-мошенничества, который заключается в краже конфиденциальных данных пользователей. Проще говоря, злоумышленники «разводят» пользователей на то, чтобы они сами раскрыли свои личные данные, например, номера телефонов, номера и секретные коды банковских карт, логины и пароли электронной почты и аккаунтов в социальных сетях. Для этого пользователям предлагают некую услугу или возможность, которая завлекает их на такие действия. Например, пользователям социальной сети ВКонтакте предлагают узнать, кто заходил на их личную страницу (хотя на самом деле такой возможности сама социальная сеть не предоставляет), а клиентам интернет-магазинов предлагают товар с сумасшедшей скидкой.

Интерес злоумышленников может вызвать любая другая конфиденциальная информация. Мошенники «выуживают» данные пользователей под различными благовидными предлогами: проверка авторизации на сайте, необходимость «отписаться» от спама в электронной почте, оплата покупки по бросовой цене или с большой скидкой, необходимость установить новое приложение.

Британский эксперимент

Не так давно одна из британских компаний, специализирующаяся на защите от мошенничества в интернете, провела любопытный эксперимент. Посетителям кофейни предлагали бесплатный кофе взамен на лайк корпоративной страницы заведения в Facebook. Пока посетитель делал заказ, сотрудники анализировали профиль человека и узнавали о нём множество личной информации. Пока готовилось кофе, бариста успевал «вывалить» на ошарашенного человека информацию о его дне рождения, именах родителей, образовании, вероисповедании и прочему. И всё это благодаря всего-навсего одному лайку! Таким интерактивным способом компания акцентировала внимание граждан на необходимости защиты своих персональных данных.

В последние годы количество случаев фишинга идет на убыль. В 2013 году зафиксировано снижение доли массовой рассылки фишинговых писем. Это связано с тем, что крупные компании уделяют всё больше внимания защите конфиденциальных данных пользователей. Социальные сети и ресурсы электронной почты практикуют привязку аккаунта пользователя к IP или мобильному телефону. Интернет-банкинг также использует смс-оповещения. Однако расслабляться рано, поскольку электронная коммерция распространяется бешеными темпами, торговля в интернете процветает, социальные сети ежегодно привлекают миллионы новых пользователей, а уголовное право зачастую не поспевает за развитием информационных технологий. А значит, количество желающих заработать на человеческом доверии точно не уменьшится.

Кроме этого, снижение массовой рассылки фишинговых писем позволяет сделать другой, менее успокаивающий вывод: мошенники начали более адресно выбирать своих жертв.

Что такое фишинг и чем он опасен

Фишинг — это распространённый вид кибермошенничества, целью которого является компрометация учётных записей и перехват контроля над ними, кража данных кредитных карт или любой другой конфиденциальной информации.

Чаще всего злоумышленники используют электронную почту: например, рассылают письма от имени известной компании, заманивая пользователей на её фальшивый сайт под предлогом выгодной акции. Жертва не распознаёт подделку, вводит логин и пароль от своего аккаунта, и таким образом пользователь сам передаёт данные мошенникам.

Пострадать может каждый. Автоматизированные фишинговые рассылки чаще всего ориентированы на широкую аудиторию (сотни тысяч или даже миллионы адресов), но встречаются и атаки, направленные на конкретную цель. Чаще всего в качестве таких целей выступают топ‑менеджеры или другие сотрудники, у которых есть привилегированный доступ к корпоративным данным. Такую персонифицированную стратегию фишинга называют вейлингом (англ. whaling), что переводится как «ловля китов».

Последствия фишинговых атак бывают сокрушительными. Мошенники могут прочитать вашу личную переписку, разослать фишинговые сообщения вашему кругу контактов, снять деньги с банковских счетов и вообще действовать от вашего имени в широком смысле. Если вы управляете бизнесом, то рискуете ещё больше. Фишеры способны украсть корпоративные секреты, уничтожить важные файлы или слить данные ваших клиентов, что ударит по репутации компании.

Согласно отчёту Phishing Activity Trends Report Антифишинговой рабочей группы, только за последнюю четверть 2019 года специалисты по кибербезопасности обнаружили более 162 тысяч мошеннических сайтов и 132 тысяч email‑рассылок. За это время жертвами фишинга стали около тысячи компаний со всего мира. Остаётся только гадать, сколько атак не было обнаружено.

Иван Будылин

Важно чётко понимать самим и довести до сведения сотрудников, друзей и родственников несколько вещей. Первое: нам противостоит индустрия. Киберзлоумышленники — это больше не шутники‑энтузиасты, это опытные профессионалы, которые так или иначе хотят на вас заработать. Второе: любая информация имеет ценность, даже если кажется не важной. И ваша активность в соцсетях, и кличка вашей любимой кошечки — всё может быть использовано либо для непосредственной монетизации, либо как ступень атаки для получения доступа к более «дорогостоящим» данным. Третье: использование многофакторной аутентификации и средств беспарольного входа постепенно переходит из разряда настоятельных рекомендаций в разряд суровых требований изменившейся реальности.

Spear Phishing (спеарфишинг или целевой фишинг)

Вместо того чтобы использовать технику «spray and pray», как описано выше, спеарфишинг включает в себя отправку вредоносных электронных писем конкретным лицам внутри организации. Вместо того, чтобы рассылать массовые электронные письма тысячам получателей, этот метод нацелен на определенных сотрудников в специально выбранных компаниях. Такие типы писем часто более персонализированы, они заставляют жертву поверить в то, что у них есть отношения с отправителем.

Пример спеарфишинга

Armorblox сообщила о спеарфишинговой атаке в сентябре 2019 года против руководителя компании, названной одной из 50 лучших инновационных компаний в мире. Письмо содержало вложение, которое, по-видимому, было внутренним финансовым отчетом, для доступа к которому требовалось пройти авторизацию на поддельной странице входа в Microsoft Office 365. На поддельной странице входа в систему уже было заранее введено имя пользователя руководителя, что еще больше усиливало маскировку мошеннической веб-страницы.

WhoIS – проверка регистрации сайта

Ссылка:

WhoIS – это сервис, который позволяет узнать, в какой стране зарегистрирован домен, и кто является поставщиком услуг хостинга. Такой инструмент будет полезен тем пользователям, которые уже столкнулись с фактом мошенничества и хотят выйти на преступника.

Узнав, кто именно поддерживает сайт, вы сможете написать хостинг-провайдеру и получить информацию о человеке, который вас обманул. Конечно же, все данные будут предоставлены только при условии, если вы докажете, что были обмануты.

Как показывает практика, вполне реально выявить человека, заявить на него в полицию и добиться блокировки сайта.

Для начала использования ресурса перейдите на его главную страницу и в строке «Домен» введите адрес сайта. Нажмите «ОК» для подтверждения:

Рис.4 – сервис WhoIS

В новом окне будет показана сводка о домене. Вы узнаете, какая компания зарегистрировала доменное имя, дату создания сайта, имя владельца, город и статус работы.

Также, вы увидите номера телефонов, с помощью которых можно попытаться связаться с владельцем ресурса (если при регистрации он указал действительный номер).

Рис.5 – результаты поиска с WhoIS

Каким образом осуществляются фишинг-атаки?

Фишинг распространяется через интернет-мошенников посредством электронных писем или всплывающих сообщений, часто от имени представителя известного финансового учреждения. Большинство методов фишинга (известного также как бренд-спуфинг или кардинг) – сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций, с которыми Вы сотрудничаете (отделы кредитования, банки, государственные учреждения, платежные онлайн-системы).

Учтивые мошенники обращаются с просьбой сообщить обновленные данные, проверить или подтвердить информацию Вашего аккаунта, обычно мотивируя имеющимися проблемами. В письме часто содержится ссылка на фальшивый сайт, где пользователю предлагают ввести свои данные, которые сохраняются и используются в незаконных целях. Целью фишеров, как правило, являются представители различных компаний и клиенты банков, но в большей степени атакам подвергаются студенты и пенсионеры.

Разбор фишинговых сообщений

Данное письмо пришло сотруднику одной IT-компании:

, 09:45, «Твой кошмар — Info» <[email protected]>:

— анонимное

Мы анонимы. Мы легион. Мы не прощаем. Мы не забываем. Ожидайте нас.

Типичное письмо-вымогатель. Такой текст направлен на людей с расшатанной психикой или несформированной личностью. Достаточно грамотно составлено, однако имя жертвы нигде не встречается. Из чего можно сделать вывод, что злоумышленник его и вовсе не знает, а отправляет письма массово.

Упоминания о друзьях в соцсетях, о которых хакер якобы знает, нагоняют еще больший ужас на получателя. Эта уловка действенна, но с другой стороны, угадать что у пользователя есть аккаунт в соцсети, все равно что угадать, что у него есть соседи. А вот упоминание о списке контактов — это ошибка. Очень маленький процент пользователей хранит на компьютере что-то подобное, а о синхронизации и вообще не может быть и речи. Плюс неплохой русский язык для автопереводчика.

Все это делается на моменте эмоциональной нестабильности, для этого и дано 72 часа. Да, за это время жертва может немного успокоиться, но ожидание наказания всегда хуже самого наказания — и это еще один неплохой ход в пользу спамера.

Упоминание уязвимости роутера — тоже так себе затея, потому что если проверить данный факт, то модель может не совпасть, или подключение идет напрямую к компьютеру.

В итоге, если пройтись по всем маленьким недочетам и странностям, вырисовывается картина, что это вовсе и не про жертву. Но если ее охватят любые негативные эмоции — испуг или злоба — то по мере прочтения на детали уже никто обращать внимание не будет, и вероятно, злоумышленник получит свои деньги за несуществующие видеофайлы.

Следующее письмо было получено непосредственно автором. Пришло сразу 4 штуки с разницей во времени примерно 15 минут.

Рисунок 2. Фишинговое письмо

Жалостливая тематика больного ребенка и матери-одиночки, которым срочно нужны деньги для лекарств. Такие методы направлены на людей с активной жизненной позицией и личностей, обладающих «наивным состраданием» и излишней доверчивостью.

Рисунок 3. Заголовки письма

Отправлено было с почтового ящика на Яндексе, причем спамер не пользовался никакими специальными утилитами и сервисами. Заголовки чистые, как у обычного письма, отправленного через почтовую систему из браузера. Исключением является только один факт — отправлялось оно на один почтовый ящик, а пришло на другой.

Злоумышленник вбил адреса получателей (их было совсем немного) и отправил письма. Потрачено на данную акцию было не больше 15-20 минут, но и результат соответствующий.

И еще одно письмо:

Рисунок 4. Текст фишингового письма

Текст направлен на алчную сторону человека. Громкий заголовок о перечислении денежных средств не смутит жадного человека, что он и не заключал никакого договора с такой компанией.

Подпись письма, скорее всего, соответствует оригиналу. Сайт, номер телефона и название компании — все оригинальное. Правильная подача — все разбросано так, что особо и не бросается в глаза середина письма, главное получить деньги.

Если присмотреться: company website не соответствует действительности и не существует. Номер телефона тоже не упоминается в Google, что уже странно.

Рисунок 5. Заголовки фишингового письма

В заголовке письма в полях, связанных с прохождением письма, явно указывается сервер компании SendGrid (компания, предоставляющая услуги рассылки писем). Вряд ли оповещения о получении денег рассылаются массово через данный сервер для спама.

Обратный адрес хоть и соответствует действительности, но его можно легко заменить в поле «From» smtp-протокола, как и полностью заголовок письма.

В итоге: нереальные адреса, рассылка при помощи спам-серверов, номера телефонов, на которые невозможно дозвониться — все указывает на фишинг, и переходить по ссылкам в теле письма небезопасно.

Сайты, социальные сети и почта

Специалисты Cisco’s Talos Intelligence описали работу вредоносной программы DNSMessenger, которая использует протокол DNS для взаимодействия с управляющим центром. Первичное заражение происходит через фишинг с вложением в виде «защищенного» документа Microsoft Word, для просмотра которого жертве предлагают разрешить активное содержимое:

За вредоносную функциональность отвечает запускаемый Powershell-скрипт. Для обмена сообщениями используются TXT-записи DNS:

Создан конструктор вирусов-вымогателей «Филадельфия». За $400 долларов любой желающий получает обновляемую копию программы для создания собственных вредоносных программ.

Авторы даже сняли рекламный видео-ролик:

Исследователи опубликовали отчёт о другом конструкторе — Satan, с помощью которого можно создать собственную версию вымогателя:

Сайты, социальные сети и почта

Вымогатель может работать на базе макровируса для документа Word или файла CHM.

Телеграм может стать дополнительным вектором атаки на пользователя, если мошенники знают номер его телефона:

Если [мошенники] зарегистрируются в Телеграм, и ваш номер есть у них в списке контактов, они получат уведомление, что вы тоже пользуетесь Телеграм. Это позволит им напрямую связаться с вами и попытаться обмануть вас.

Сайты, социальные сети и почта

— Джон Бамбенек, Fidelis Cybersecurity.

[ad name=»Responbl»]

Сайты, социальные сети и почта

Согласно отчёту AT&T, более 50% компаний не заботятся об эффективной защите данных и не модернизируют свои стратегии безопасности более трех лет. Современные технологичные атаки, такие как целевой фишинг, могут стать существенной проблемой для таких компаний.

Click to rate this post! [Total: 23 Average: 3.3]

Сайты, социальные сети и почта
Инна Шелепова
Оцените автора
( Пока оценок нет )