Метаморфозы фишинга в 2007 году – тенденции и события

Опубликовано: 10 Апреля, 2023

В течение 2007 года фишеры еще один год подряд демонстрировали свою настойчивость и креативность, пытаясь с помощью социальной инженерии как можно большего числа людей в сети поверить в то, что они являются теми, за кого себя выдают. Почему фишеры воспользовались эффектом масштаба в 2007 г., какие факторы способствовали тому, что период времени, который требуется фишерам для создания поддельного электронного письма, постоянно сокращается, и как получилось, что, несмотря на всю осведомленность общественности о проблеме, люди все еще падают жертва фишинга? Цель этой статьи — дать обзор ключевых факторов, способствовавших росту и развитию фишинга в течение года.

Состояние фишинга в 2007 г. – Стандартизация социальной инженерии

В последнем отчете, любезно предоставленном Anti Phishing Group, приводятся некоторые информативные средние значения времени, в течение которого фишинговый сайт остается в сети, что является ключевым фактором успеха фишинговой кампании. Например, в августовском отчете APG говорится, что среднее время пребывания в сети для сайта составляло 3,3 дня, а максимальное время в сети составляло 30 дней. Как вы можете себе представить, чем дольше фишинговая кампания остается в сети, тем выше вероятность того, что получатель попадет на полностью отвечающую фишинговую страницу и, таким образом, подвергнется фишингу. Между коллективным разумом интернет-сообщества по координации своевременного отключения вновь появляющихся фишинговых доменов есть поставщики, которые уже пытаются коммерциализировать процесс закрытия фишинговой кампании, нацеленной, в частности, на их бренд. Такая расстановка приоритетов действительно может быть оправдана с финансовой точки зрения после некоторых недавно опубликованных результатов опроса, в которых говорится, что клиенты бренда теряют доверие, если они получают фишинговое электронное письмо, притворяющееся от компании, что происходит так часто, что для отслеживания требуется индекс кражи. всей этой деятельности.

Поставщики средств защиты, сторонние исследовательские группы и проекты интернет-сообщества, такие как Phishtank, указывают на огромный рост числа циркулирующих фишинговых электронных писем, а также соответствующих им уникальных доменных имен. Это увеличение в основном связано со следующими ключевыми концепциями, которые я рассмотрю в этой статье, а именно: самодельные наборы для фишинга, доступность шаблонов фишинговых страниц для каждой финансовой и веб-компании, которая может подвергнуться фишингу, консолидация между фишерами, которые преуспели в социальной инженерии, и спамерами, которые преуспели в доставке сегментированных электронных писем для лучшей цели. Все это способствовало превращению фишинга из плохо управляемой операции с одной группой в процесс, ориентированный на эффективность, включающий многочисленные фермы доменов, каждая из которых включает бесчисленное количество поддоменов, нацеленных на разные бренды, благодаря комплекту Rock Phish. Несколько лет назад концепция панелей инструментов для защиты от фишинга начала привлекать некоторое внимание общественности, учитывая отсутствие встроенных в браузер подходов к защите, определяющих общие характеристики фишинговых сайтов, и текущая доступность защиты браузера от фишинговых атак, что ясно демонстрирует, насколько серьезна проблема. стал фишинг, особенно в отношении общей картины того, как он подрывает доверие к электронной коммерции. Давайте проиллюстрируем проблему и то, как она развивалась, а также обсудим ее наиболее важную динамику:

Ключевые концепции, способствующие увеличению числа фишинговых атак

Объединение со спамерами

Если вы думаете о консолидации, начните с рассмотрения продолжающегося конфликта между спамерами и авторами вредоносных программ, о котором я говорил в предыдущей статье, а именно, спамерам нужна инфраструктура для отправки всех электронных писем, которые они получают от мастеров ботнетов или используют на требование. Фишеры также нуждаются в тех же самых предпосылках, чтобы существовать, на самом деле эту вредоносную экосистему становится все труднее отслеживать, поскольку до сих пор неясно, кто вертикально интегрируется больше, чем другие, а именно, авторы вредоносного ПО рассылают спам для себя в поисках более высокой прибыли, являются ли они спамерами. также отправка фишинговых писем между вредоносными программами, и насколько реалистична ситуация, когда фишеры также рассылают банковские трояны на тот случай, если получатель не станет жертвой фишинговой аферы? Одно можно сказать наверняка — они находят новые и более эффективные способы совместной работы. Что фишер может хотеть от спамера, и являются ли эти стороны взаимоисключающими или почти одинаковыми?

Все дело в перспективе. Фишера может заинтересовать локализация сообщения на местном языке, сегментация сообщений электронной почты по странам, возможно, даже сбор данных на сайтах социальных сетей и общедоступных веб-сайтах, чтобы найти какую-то связь между электронным письмом и бренд, который вот-вот станет фишинговым. Проиллюстрируем это. Рассмотрим получателя, который не имеет абсолютно никаких деловых отношений с брендом, который сообщает ему об «инциденте безопасности, который требует проверки их учетных данных». Получатель не станет жертвой этого и воспримет это как фишинговое письмо. Учитывая, что фишеры не хотят, чтобы это произошло, они будут пользоваться преимуществами ноу-хау спамеров в форме сегментации баз данных электронной почты, которыми они в настоящее время обладают, для каждой страны, для каждого города, тем самым повышая шансы фишингового электронного письма, нацеленного на определенный адрес. Например, немецкий банк, пришедший в почтовый ящик местного гражданина.

Сделай сам (сделай сам) наборы для фишинга – генерация фишинговых писем с помощью метода Point'n'Click

Снижение входных барьеров для фишинговых атак аналогично снижению входных барьеров для вредоносных программ, а именно благодаря внедрению фишинговых наборов «сделай сам», цель которых — сэкономить значительное количество времени фишеру. поиск эффективного способа ввода данных для входа в систему в как можно большем количестве шаблонов фишинговых страниц. Вот что такое самодельные фишинговые наборы, и именно они превратились в товар в последней половине 2007 года, а один из наборов уже достиг стадии версии 2.0. Такие наборы позволяют практически каждому легко проникнуть в фишинговое пространство. Таким образом, они несут прямую ответственность за рост числа фишинговых атак. Новые версии с более продвинутыми функциями, такими как прямая загрузка фишинговой страницы на синдицированный набор URL-адресов, готовы последовать, учитывая успех первых двух версий.

Rock Phish Kit — фишинговая экономия за счет масштаба

Существует распространенное заблуждение относительно того, что такое Rock Phish. Это фишинговая банда, или какой-то самодельный фишинговый набор, где фишеры указывают и щелкают, чтобы придумать эти успешные фишинговые кампании, о которых вы, надеюсь, знаете? Ответ заключается в том, что Rock Phish Kit представляет собой простой скрипт с множеством переменных, в котором фишеры используют один домен для создания множества поддоменов разных компаний, каждая из которых отвечает отдельной фишинговой страницей, нацеленной на другой бренд.. Вот пример фермы доменов Rock Phish (Просмотреть изображение).

Следующий IP-адрес, 212.199.95.108, уже давно появляется на моем радаре, и поэтому он является прекрасным примером домена Rock Phish, а именно домена, в котором размещено несколько поддоменов, каждый из которых разрешается в уникальный фишинговый адрес. кампанию, предоставляющую уникальную и законно выглядящую фишинговую страницу. А вот как выглядят примеры фишинговых URL-адресов:

  • форма подтверждения пользователя-id91705.ebay.com. buhank.info
  • moneymanagerps.session-569906917.citizensbank.com. флорер.биз
  • webinfocus.id-40462.mandtbank.com. hobotid.hk
  • myonlineaccounts5.abbey.co.uk.refid83617.njexnz3. xz.cn
  • nfbconnect-18108.northforkbank.com. стек.кг
  • onlinetreasurymanager-id9038673.suntrust.com. утр.hk
  • бизнес-ebt.bbt.com. mio23.mobi
  • id-57546.citizensbankmoneymanagerps.com. gkiier.hk
  • securelogin-03788828.moneymanagerps.com. dfv92.com
  • Citizenbankmoneymanagerps.com.yrmat3. xz.cn

Мониторинг доменов Rock Phish всегда информативен, поскольку скрипт, который поддерживает сотни тысяч таких фишинговых кампаний, постепенно становится набором фишинговых инструментов по умолчанию в больших масштабах. Например, пару месяцев назад сообщение по умолчанию для каждого домена Rock Phish было «209 Хост заблокирован», но, поскольку найти такие домены стало относительно легко, фишеры недавно изменили его на «66.1 Хост заблокирован». Единственная слабость Rock Phish — это его «эффективный подход». При отключении IP-адреса, который поддерживает ферму доменов, все фишинговые кампании перестанут отвечать. Кроме того, такая централизация фишинговой кампании упрощает ее блокировку.

Вывод

Очень интересно следить за тем, сколько рекламных усилий финансовые учреждения вкладывают в предоставление услуг электронного банкинга и электронных транзакций, а с другой стороны, извлекают выгоду из того факта, что именно клиент подписал соглашение, в котором имплицитно говорится, что Банк не может нести ответственность за какие-либо мошеннические операции. Фишинг нельзя рассматривать как нечто отличное от спама. Это нежелательное сообщение, тогда как по сравнению со спамом фишинговое письмо может нанести гораздо более серьезный финансовый ущерб. Дело в том, что он не должен доходить до почтового ящика пользователя и не должен выходить из сети определенного зараженного хоста. Фишинг все еще находится на стадии 1.0. А именно, это push-подход к отправке электронных писем жертве, наряду с более продвинутыми подходами, такими как фарминг.

Более того, фишеры, как и спамеры, очень адаптивны, и самая последняя фишинговая кампания на MySpace свидетельствует об их заинтересованности в комбинировании различных тактик, чтобы не только установить больше визуального доверия с помощью опечаток, но и выяснить, как оставаться вне поля зрения поставщика. В кампании MySpace они не рассылали спамом фишинговые URL-адреса, а размещали их как внутренние спам-комментарии, чтобы ни один датчик поставщика никогда их не обнаружил. И, несмотря на логическую метаморфозу фишинга из хорошо сформулированного сообщения прямого маркетинга в его нынешнюю модель массовой коммуникации, повышение осведомленности с помощью технологического решения в виде встроенной защиты браузера на данный момент частично сдерживает ворота. Лучшее еще впереди.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023