Не попадитесь на крючок: анатомия фишинговой атаки

Опубликовано: 3 Апреля, 2023
Не попадитесь на крючок: анатомия фишинговой атаки

Почти каждый день я получаю электронное письмо или телефонный звонок от кого-то, кто либо стал жертвой фишинговой атаки, либо видит что-то неожиданное на своем компьютере и не совсем уверен, что с этим делать. Для ИТ-специалистов эта тенденция должна вызывать глубокое беспокойство. Даже если вы знаете, как избежать фишинговой атаки, есть вероятность, что по крайней мере некоторые из ваших пользователей этого не сделают. В таком случае я хотел бы воспользоваться возможностью, чтобы поговорить о том, как работают эти мошенники и как обнаружить мошеннические сообщения.

Какова концовка игры?

Существует бесчисленное множество разновидностей фишинговых атак с такими же разнообразными целями. Некоторые стремятся опустошить банковские счета. Некоторые мошенники хотят получить неотслеживаемые биткойны или подарочные карты iTunes. Другие мошенники хотят украсть личные данные, номера кредитных карт или кто знает что еще. Единственное, что объединяет большинство этих мошенничеств, заключается в том, что они начинаются с попытки заставить жертву щелкнуть что-то, чего она не должна делать. Я покажу вам несколько примеров через минуту. А пока я хочу поговорить о том, что происходит, когда пользователь, подвергшийся фишинговой атаке, нажимает на вредоносную ссылку.

Щелчок по плохой ссылке

Во многих случаях переход по вредоносной ссылке приводит к установке вредоносного ПО. Однако многие люди не осознают, что иногда вредоносная деятельность не наносит никакого вреда компьютеру жертвы, а нацелена на другие ресурсы, такие как банковские счета. Позвольте мне показать вам, как это работает.

Установка ловушки

Давайте представим на мгновение, что преступник хотел украсть учетные данные для входа в банковский счет и хотел, чтобы преступление оставалось незамеченным как можно дольше. Первым шагом при этом, даже до создания вредоносных ссылок, будет создание веб-ресурса, который мог бы собирать информацию об учетной записи. Вот как это работает.

Первое, что может сделать мошенник перед началом фишинговой атаки, — это зарегистрировать доменное имя, похожее на то, которое использует ресурс, который они хотят скомпрометировать. Для примера я собираюсь использовать Bank of America, но то, что я собираюсь показать вам, будет работать практически для любого онлайн-банка. Я ничего не имею против Банка Америки. Мне просто нужен был настоящий банк, чтобы показать вам, как работает этот конкретный эксплойт, и это был первый банк, который пришел мне на ум.

Поэтому, если преступник захочет перехватить логины Bank of America, первое, что он может сделать, — это зарегистрировать доменное имя, очень похожее на законное доменное имя. Например, вместо bankofamerica.com преступник может использовать bankoffamerica.com. Заметили лишнюю букву F в имени домена?

Если это звучит чисто теоретически, посмотрите на снимок экрана ниже. Кто-то действительно зарегистрировал это доменное имя. Я понятия не имею, кому принадлежит доменное имя, используется ли оно в незаконных целях или нет. Я не собираюсь пытаться посетить URL, чтобы узнать. Извиняюсь. Во многих случаях преступники регистрируют доменные имена, похожие на доменные имена, используемые их целями. В других случаях банк может сам зарегистрировать похожие доменные имена, просто чтобы преступники не смогли зарегистрировать эти доменные имена. Следовательно, вполне возможно, что bankoffamerica.com принадлежит Bank of America. Также возможно, что доменные имена используются третьей стороной в законных целях.

Следующее, что преступнику в этом примере необходимо сделать, — это убедить потенциальных жертв в том, что они действительно являются Bank of America. Это до смешного легко сделать, потому что многие люди не утруждают себя проверкой цифровых сертификатов. Если вы посмотрите на рисунок ниже, вы увидите настоящий сайт Bank of America. Вы также можете увидеть HTML-код, из которого состоит страница. Это не то же самое, что внутренний код, выполняющий аутентификацию при входе в систему, но злоумышленнику этот код не нужен.

Преступник может загрузить HTML-код, графику страницы и т. д. на свой веб-сервер и, по сути, разместить дубликат страницы входа в банк. Посмотрите на рисунок ниже. Ради экономии времени я не стал устанавливать веб-сервер, но, как видите, я сохранил все необходимое для воспроизведения веб-страницы на своем компьютере. URL-адрес указывает, что я обращаюсь к странице с локального диска.

Итак, теперь у нашего воображаемого преступника есть веб-сервер, настроенный на использование URL-адреса, похожего на Bank of America, и чья домашняя страница очень похожа на домашнюю страницу Bank of America, но эта страница еще ничего не делает. Чтобы фишинговая атака сработала, преступник должен сделать две вещи.

Во-первых, преступник должен изменить код на собственной копии экрана входа в Bank of America. Как правило, это означает добавление некоторого кода для захвата любых введенных учетных данных для входа и последующего сохранения этих учетных данных во внутренней базе данных. После захвата этой информации поддельная страница входа может даже незаметно перенаправить жертву на настоящую страницу входа в Bank of America, чтобы жертва не поняла, что ее учетные данные были скомпрометированы. Я не хочу поощрять преступную деятельность, поэтому не буду приводить код для завершения этого процесса, но разработать код достаточно просто.

Еще одна вещь, которую преступнику придется сделать, — это обманом заставить жертву посетить фальшивый сайт. Некоторые люди неизбежно делают опечатку и случайно попадают на поддельный сайт преступника, но вместо того, чтобы полагаться на случай, преступник обычно рассылает сообщения электронной почты большому количеству людей в надежде, что кто-то нажмет на ссылку в сообщении..

Элементы фишинговой атаки по электронной почте

Как упоминалось ранее, существует бесконечное множество сообщений о фишинговых атаках, но определенно есть на что обратить внимание. Давайте взглянем на некоторые реальные сообщения и явные признаки того, что эти сообщения могут быть не в самом разгаре. В этом разделе я не буду использовать в качестве примера Bank of America и расскажу о фишинговых сообщениях в более общем виде.

«Ваша учетная запись ожидает удаления»

Вот электронное письмо, из которого создается впечатление, что срок действия одного из моих доменов вот-вот истечет. Однако при ближайшем рассмотрении выясняется, что сообщение исходит не от регистратора домена, а от кого-то, кто пытается обманом заставить меня подписаться на услуги SEO. Отправитель пытается создать ощущение срочности, говоря, что моя учетная запись ожидает отмены, хотя у меня нет учетной записи у этого поставщика SEO.

Грамматические ошибки

Вот еще один. Похоже, что это от какой-то службы технической поддержки Office 365, хотя обратный адрес принадлежит студенту-социологу. Как и в предыдущем сообщении, это пытается создать ощущение срочности, говоря, что лимит моего почтового ящика исчерпан, и что очень скоро я не смогу им пользоваться.

Один большой недостаток заключается в том, что сообщение битком набито грамматическими ошибками. Обратите внимание, что в строке темы указано, что мой почтовый ящик «будет закрыт». Действительно? Рядом с чем? И, конечно же, это сообщение содержит сомнительную ссылку Verify Here. Как вы можете видеть на снимке экрана, при наведении курсора на ссылку отображается подозрительный URL-адрес, если не сказать больше.

Отсутствуют соответствующие детали

Вот еще один. Похоже, этот человек хочет, чтобы я был представителем его компании в Северной Америке. Есть только одна проблема… Они никогда не говорят, что это за компания, кто они, чем занимаются или почему они думают, что я должен быть их представителем. Однако я получил удовольствие от экологического заявления в конце сообщения. Так редко можно увидеть мошенника, который заботится. Вау, это может стать отличной новой карьерой для меня!

Консультация юриста

В другом электронном письме, в котором в качестве отправителя указана юридическая фирма, просто говорится: «Я думал, что вы оцените это письмо». Я могу только представить, что произойдет, если я нажму на ссылку. Кстати, вы заметите, что это сообщение не содержит ни одного из элементов, которые вы обычно ожидаете от сообщения от юридической фирмы, таких как подпись сообщения, уведомление о конфиденциальности или логотип.

давай серьезно

Хорошо, я признаю, что я, вероятно, слишком развлекался, просматривая эти фишинговые сообщения. Эти сообщения настолько очевидно мошеннические, что над ними трудно не смеяться. Но давайте посмотрим на некоторые, которые немного более убедительны.

Вот один, утверждающий, что он из Amazon Prime, и говорит мне, что я получил кредит в размере 100 долларов в качестве награды за то, что был постоянным клиентом. Проблема с этим сообщением, помимо того факта, что у меня нет учетной записи Amazon Prime, заключается в том, что URL-адрес не указывает на сайт Amazon. Неважно, что он не содержит графических элементов, которые обычно включаются в настоящие сообщения от Amazon.

Вот еще один. Это сообщение якобы от Tesco Bank. Мало того, что у меня нет учетной записи в Tesco Bank, так Outlook даже идентифицировал это сообщение как фишинговую атаку. Однако давайте на мгновение представим, что у меня есть учетная запись и что никаких предупреждений от Outlook не поступало. Давайте также сделаем вид, что логотип Tesco Bank отобразился правильно. Как определить, что это фишинговое сообщение?

В этом сообщении есть несколько вещей, которые выделяются, хотя это одно из наиболее убедительных фишинговых сообщений. Для начала в сообщении говорится, что моя учетная запись была ограничена, но не говорится, что это значит. Еще одним признаком того, что это сообщение не является законным, является то, что второй абзац начинается с фрагмента предложения, за которым следует очень запутанное предложение. Законный банк не будет отправлять сообщение с такой плохой грамматикой. Сообщение также подразумевает, что получатель может отменить ограничения (какими бы они ни были), просто щелкнув ссылку. Ни один банк так не делает. Если учетная запись заблокирована, учетная запись заблокирована по какой-то причине.

Настоящим доказательством того, что это сообщение является мошенническим, является то, что происходит, когда вы наводите курсор на ссылку. Несмотря на то, что ссылка утверждает, что ведет на www.tescobank.com, при наведении курсора на ссылку видно, что ссылка на самом деле ведет куда-то совсем в другое место.

Ссылки не по электронной почте

Еще одна вещь, на которую я хочу обратить внимание, это то, что хотя я говорил в основном о вредоносных ссылках в сообщениях электронной почты, фишинг не ограничивается электронной почтой. Возможно, распространенная фишинговая атака — это мошенничество с технической поддержкой, при котором всплывающее окно сообщает вам, что с вашим компьютером что-то не так и что вам нужно позвонить по номеру телефона службы поддержки. Существует бесчисленное множество вариантов этого сообщения, и некоторые из этих сообщений даже произносятся роботизированным голосом. Вот как выглядит одно из таких сообщений.

Одна из вещей, которая, кажется, заставляет людей попадаться на эту аферу, заключается в том, что предупреждение может появляться на законных веб-сайтах. Возможно, мошенники покупают рекламу на сайте, а затем загружают код для отображения предупреждений такого типа, а не рекламы. Исходя из моего собственного опыта, такие предупреждения никогда не бывают реальными. На самом деле становится очевидным, что сообщение ненастоящее, когда вы начинаете объективно анализировать его содержимое. Вот пример: в одной части сообщения жертве предлагается позвонить в Microsoft. Однако в двух других местах сообщение гласит: «Обратитесь к нашим сертифицированным специалистам по Windows». Действительно ли Microsoft, как создателю Windows, нужно сообщать людям, что ее сотрудники являются сертифицированными специалистами по Windows?

Когда вы получаете такое предупреждение (в Windows), лучше всего нажать Ctrl+Alt+Delete, а затем открыть Диспетчер задач. Когда откроется диспетчер задач, закройте браузер. В случае браузера Edge при следующем запуске браузера у вас будет возможность закрыть все открытые страницы и начать заново. Это избавит вас от надоедливых всплывающих окон браузера (при условии, что они не вызваны инфекцией на вашем ПК).

Мошенничество и смех

Я знаю, что рассмотрел много вопросов, но я искренне надеюсь, что дал вам некоторое представление о том, как работает фишинговая атака, и, возможно, помог вам немного посмеяться.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023