Предисловие
Хотя многие крупные финансовые организации и интернет-компании предприняли некоторые шаги для повышения осведомленности своих клиентов, большинство организаций сделали на сегодняшний день очень мало для активной борьбы с фишерами и для профилактики фишинга.
Первым шагом в профилактике фишинга является образование. Именно поэтому подготовлена данная книга, имеющая образовательный характер.
Хотя фишинг может показаться проблемой специалистов в области IT и информационной безопасности, он также серьезно влияет на маркетологов. Когда ваша компания становится жертвой фишинг-атаки, это наносит ущерб бренду и потенциально может повлиять на ваш SEO-рейтинг или коэффициент конверсии. Кроме того, как владельцы корпоративных социальных сетей, блогов и паролей электронной почты, маркетологи также должны знать о методах фишинга — для собственной защиты.
В эпоху большой важности лояльности клиентов защита их от фишинг-атак может стать ключевым, решающим фактором в ее завоевании (большая проблема маркетологов). Поэтому знания, касающиеся фишинга, весьма важны для маркетологов, владельцев любого бизнеса и его менеджеров.
Знания, касающиеся информационной безопасности, cстановятся все более актуальными в условиях, когда все чаще маркетинговые компании становятся конкурентами IT-компаний.
В книге приведены примеры, приведены рекомендации. Она имеет выраженный практический характер.
I Фишинг: основные понятия и типы
Фишинг (или Phishing) не следует путать с рыбалкой
1.1 Общее понятие фишинга. Фишинг как обманный метод социальной инженерии
Общее понятие фишинга
Фишинг представляет собой разновидность мошенничества, когда мошенник пытается обманным путем добиться получения конфиденциальной информации, скажем такой, как имя пользователя, его пароль и данные кредитной карты. Мошенник в данном случае маскируется под заслуживающего доверия, обращающегося с помощью электронного сообщения объекта.
Фишинг — это метод, с помощью которого личная информация получается от пользователя через фиктивные веб-сайты, электронную почту или другие сообщения. Данная информация используется в основном в незаконных целях.
Осуществление фишинга происходит, когда используется поддельная электронная почта либо применяются поддельные мгновенные сообщения. Фишинговые мошенники зачастую провоцируют пользователей на ввод личной информации на незаконном (поддельном, мошенническом) веб-сайте, по восприятию и внешнему виду соответствующем сайту законному.
Слово фишинг (phishing) — это, по сути, неологизм из области рыбной ловли. Термин происходит от слова «рыболовство», и он используется для рассмотрения фишинга в рамках информационного аспекта.
Примером фишинга может служить письмо, являющееся фишинговым, замаскированным под официальное письмо от якобы банка (банка не реального, а вымышленного).
Отправители-мошенники пытаются обманным путем заставить получателей раскрывать свою конфиденциальную информацию, «подтверждая» ее на веб-сайтах фишеров.
Фишинг рассматривается в качестве вида интернет-мошенничества, построенного на принципах социальной инженерии. С его помощью злоумышленники получают доступ к критически важным данным людей (к примеру, паспортным), служебной информации закрытого типа, учетным банковским реквизитам, секретным записям. Делается это ради использования полученной информации для кражи денег.
В основном фишеры-мошенники перенаправляют пользователей-жертв на поддельные сетевые ресурсы, сильно походящие на настоящие, законные.
Фишинг как обманный метод социальной инженерии
Фишинг причисляется к методам социальной инженерии, которые используются специально, чтобы обмануть пользователей, а после — получить от них финансовую выгоду. Пользователи часто заманиваются с помощью сообщений якобы от ресурсов (платформ), которым они доверяют. Это могут быть (якобы) веб — сайты социальные, сайты банковские, сайты платежных систем, сайты разных IT-направлений, а также сайты аукционов.
Хотя URL-адрес поддельного веб-сайта выглядит как законный, его гиперссылка указывает на веб-страницу фишера.
1.2 Понятие фишинга как аферы 21-го века и маркетингового. Попытки справиться с фишинговыми инцидентами
Понятие фишинга как аферы 21-го века и маркетингового
На протяжении веков кража личных данных была в центре внимания преступников. Получив доступ к чужим персональным данным и выдав себя за человека, которому эти данные принадлежат, преступник может действовать в анонимном порядке.
В современном мире 21-го века кража личных данных особенно проста. Спрятанный в гуще нежелательной электронной почты, обходящий многие из лучших на сегодняшний день антиспам-фильтров, новый вектор атаки находится в ожидании кражи личной конфиденциальной информации.
Профессиональные преступники, которые изначально были охвачены злонамеренным хобби и использовали многие из самых популярных интернет-коммуникационных каналов, теперь используют поддельные сообщения, чтобы заманить своих жертв в ловушки, специально предназначенные для кражи их «электронных личностей».
На «электронной улице» мошенничество называют фишингом; фишинг — процесс обмана или социального принуждения клиентов конкретной организации к передаче их конфиденциальной информации для злонамеренного использования. На основе массовой рассылки, такой как спам, или с помощью использования ботов для автоматического нацеливания на жертв, фишеры-мошенники нацеливаются на интересующий их онлайн-бизнес, они маскируются под данный бизнес и нацелены на его клиентскую базу. Размер компании при этом не имеет значения, поскольку качество личной информации, полученной в результате атаки, само по себе является ценным для преступников.
Фишинг-мошенничество увеличивается с каждым месяцем. В настоящее время фишинговая атака нацелена на аудиторию, размер которой варьируется в широких пределах — от массовых рассылок (до миллионов адресов электронной почты по всему миру) до целевых групп клиентов, перечисленных на небольших по размерам розничных веб-сайтах с кликами, имеющих пробелы в области безопасности.
Используя множество векторов атак (начиная от атак по принципу «человек посередине» и с применением регистраторов ключей, и заканчивая полной имитацией корпоративного веб-сайта), фишер может легко обмануть клиентов, добившись от них предоставления личных данных, финансовых данных и паролей.
Хотя спам был (и остается) раздражающим, отвлекающим и обременительным для всех его получателей, фишинг уже продемонстрировал потенциальную возможность причинить намного больший вред в виде серьезных потерь данных и прямых потерь из-за мошеннических переводов валюты.
Согласно недавнему исследованию Gartner, 57 миллионов пользователей Интернета в США зафиксировали получение электронной почты, связанное с фишинг-мошенничеством, и около 1,7 миллиона из них, предположительно, уступили убедительным атакам, и были обмануты в плане разглашения личной информации. Исследования, проведенные рабочей группой по борьбе с фишингом (APWG), пришли к выводу, что фишеры, вероятно, преуспевают с 5 процентами всех получателей сообщений [4].
Разные эксперты привносят собственные дополнения или совместные улучшения основных протоколов доставки сообщений, таких как SMTP (SMTP происходит от английского Simple Mail Transfer Protocol и является простым протоколом передачи почты — это широко используемый сетевой протокол, предназначенный для передачи электронной почты в сетях).
.Поэтому организации могут подумать, что им нужно всего лишь дождаться появления сторонних исправлений, прежде чем найти решение для преодоления фишинга.
Хотя сбои безопасности в SMTP действительно являются популярным вектором эксплойтов (подвидов вредоносных программ) для фишеров, существует все больше и больше каналов связи, доступных для доставки вредоносных сообщений.
Если с помощью фишинга мошенниками в итоге будет получено достаточно денег, ими станут использоваться и другие способы доставки сообщений — даже если дыры в SMTP в конечном счете будут закрыты (хотя это вряд ли произойдет в течение следующих 3—5 лет).
Хотя многие крупные финансовые организации и интернет-компании предприняли некоторые шаги для повышения осведомленности своих клиентов, большинство организаций сделали на сегодняшний день очень мало для активной борьбы с фишерами.
Принимая практический подход к своей безопасности, организации обнаруживают, что есть много доступных им инструментов и методов, предназначенных для борьбы с фишингом.
С учетом высокого уровня фактора страха, связанного с возможной фишинг-атакой, организации, занимающие активную позицию в плане защиты личной информации своих клиентов, вероятнее всего, выиграют от более высокого уровня доверия клиентов.
В эпоху большой важности лояльности клиентов защита от фишинг-атак может стать ключевым, решающим фактором в ее завоевании.
Попытки справиться с фишинговыми инцидентами
Попытки справиться с фишинговыми инцидентами включают меры законодательного характера, обучение пользователей, информирование общественности и технические меры безопасности (последние связаны с фишинговыми атаками, причем для их реализации часто используются слабые места в области текущей сетевой безопасности).
При использовании антиспамовых и антифишинговых технологий всегда проверяются характеристики электронных писем.
Фильтры помогают защитить интернет-пользователей от получения мошеннических электронных писем, а также снижают вероятность того, что большое количество людей будут обмануты и произойдет с помощью незаконных действий мошенников кража данных.
1.3 Основные зловредные действия фишеров. Методика «человек в середине»
Основные зловредные действия фишеров
Фишеры создают подлинно выглядящие сайты ради повышения доверия пользователей. Затем используются специальные и общие электронные письма, чтобы побудить пользователей посетить сайт мошеннического провайдера.
Вы можете получить сообщение, предупреждающее вас, как пользователя, о предполагаемой атаке. Для аутентификации и активации системы безопасности ожидается, что вы введете свои личные данные. Они часто перехватываются вредоносными программами, такими, например, как программа «троянский конь». На злокачественном веб-сайте вредоносное ПО будет автоматически устанавливаться при посещении сайта для контроля и мониторинга последующих действий пользователя.
Частой целью фишеров является получение имен пользователей и паролей для онлайн-банкинга или информации о кредитных картах, это им необходимо для реализации злоупотреблений и краж.
Методика «человек в середине»
По данной методике злоумышленник получает доступ к серверу пользователя и затем перенаправляет пользователя на фальшивый веб-сайт. Это самый распространенный тип фишинга, его использование мошенниками является очень востребованным, так как человек не видит изменений на локальном компьютере.
1.4 Методы маскировки атак
Есть ряд способов замаскировать фишинговые атаки. Они рассмотрены ниже.
Элекронная почта
Фишинг через электронные письма осуществляется путем написания электронных писем в формате HTML. Пользователь связан с поддельными невидимыми адресами, хотя в тексте ссылки отображен исходный веб-сайт. Кроме того, обычно фальсифицируется адрес электронной почты отправителя, чтобы была обеспечена большая похожесть на оригинал.
SMS
Через SMS отправляется информация о необходимости подтверждения постоянного контракта. Чтобы отказаться от этого контракта, указывается ссылка, на которую пользователь должен щелкнуть. Благодаря этому щелканью затем запускается вредоносное ПО.
Поддельные сайты
Поддельные сайты обычно характеризуются тем, что фальшивые имена и обозначения похожи на имена и обозначения законной компании. Это означает, что поддельный веб-сайт трудно идентифицировать как мошеннический.
Имитация исходного домена обычно выполняется путем указания умлаутов (ä is ae) или использования идентичных букв в URL (I в верхнем регистре i, l в нижнем регистре L). Пользователь думает, что он посещает подлинный веб-сайт, но на самом деле он направляется на сайт поддельный.
1.5 Последствия фишинговой атаки. Защита от фишинга
Последствия фишинговой атаки
Успешная фишинговая атака может иметь разрушительные последствия. С одной стороны, со счета соответствующего лица может быть снята денежная сумма. Кроме того, на имя пользователя могут быть заключены контракты. Другая возможность для фишера заключается в том, что идентификатор пользователя может использоваться для осуществления преступной деятельности.
Защита от фишинга
Поскольку в сообщениях электронной почты обычно используются HTML (или сценарии), вы можете отключить его для защиты от фишинговых атак. Кроме того, некоторые антивирусные программы могут обнаруживать фишинговые письма, поэтому специалисты рекомендуют использовать именно их.
Финансовые учреждения все чаще используют SSL-сертификаты расширенной проверки. Это позволяет открывать дополнительное поле в адресной строке, поочередно указывая владельца домена и орган сертификации.
Адресная строка иногда отображается в зеленым цвете в целях направления на нее взгляда пользователя, чтобы последний убедился в ее правильности.
Другие программы также могут распознавать фишинговые сообщения на основе типичных критериев.
Другим средством защиты онлайн-банкинга является защищенный подписью процесс HBCI со смарт-картой. Этот тип транзакций онлайн-банкинга обходится без ввода TAN. Метод iTAN также может быть применен. Однако он неэффективен против атак типа «человек посередине».
Основные правила защиты от фишинга описаны ниже.
Главным правилом защиты от фишинга является непременная проверка URL-адреса, по которому вам рекомендуется перейти, на наличие несущественных несовпадений в написании.
Еще одно правило — обеспечение использования только безопасных https-соединений. Если в адресе веб- сайта вы заметили отсутствие всего лишь одной буквы «s», задумайтесь: «Почему?» Будьте внимательны.
Третье правило — подозрительное отношение к письмам, содержащим ссылки либо вложения. Они, между прочим, иной раз приходят даже со знакомых получателям адресов, ведь электронные ящики мошенники иной раз успешно взламывают. Поэтому если вы неожиданно получили показавшееся вам подозрительным письмо, свяжитесь с его отправителем с помощью какого-нибудь альтернативного способа, и спросите, он ли вам его послал.
Четвертое правило касается случая, когда вы не уверены в законности ресурса, но вам все же надо его посетить. Наберите адрес вручную либо воспользуйтесь ранее сохраненной закладкой. Однако помните, что это не способно уберечь вас от фарминга (скрытного перенаправления на ложный IP-адрес).
Пятое правило состоит в неиспользовании для доступа к онлайн-банкингу и иным финансовым сервисам открытых Wi-Fi сетей, так как они зачастую создаются злоумышленниками. Кроме того, к незащищенным соединениям вполне могут подключиться хакеры.
Шестое правило состоит в необходимости подключения на всех аккаунтах, где это возможно, двухфакторной аутентификации. Благодаря данной мере вы спасете положение в случае, если взломщики узнают основной пароль.
1.6 Актуальность для SEO. Фишинг и антифишинг в мире маркетинга по электронной почте
Актуальность для SEO
Обычно все сайты с подозрением на фишинг исключаются из процесса индексирования поисковой системой, так как поисковики не желают подвергаться риску.
Для операторов веб-сайтов существует риск неумышленной ссылки на вредоносные фишинговые сайты. Поэтому желательно регулярно проверять свой веб-сайт на наличие внутренних исходящих ссылок. Если вы ссылаетесь на свой веб-сайт, может случиться так, что поисковая система свяжет его со спам-сайтами, и ваш сайт окажется исключенным из индексирования.
Фишинг и антифишинг в мире маркетинга по электронной почте
Что такое фишинг и антифишинг в мире маркетинга по электронной почте? Знаете ли вы, что фишинг и антифишинг означают для маркетологов?
Фишинг — это вид мошенничества, при котором злоумышленники рассылают по электронной почте выглядящие законно сообщения, пытаясь добыть от получателей личную и/или финансовую информацию. Фишинг — это не что иное, как форма кражи данных (например, идентификационной информации или банковской информации), и это одна из угроз, с которыми сталкиваются пользователи Интернета.
Фишинговое сообщение идентифицировать бывает очень легко, так как в нем запрашивается личная или финансовая/банковская информация, или в нем содержится ссылка на мошеннический веб-сайт, запрашивающий такую информацию.
Существует много поставщиков услуг электронной почты, предлагающих функцию защиты от фишинга в рамках своих технологий фильтрации нежелательной почты с целью предотвращения незаконных рассылок. По сути, провайдеры электронной почты стремятся проанализировать все входящие электронные письма, чтобы обнаружить мошеннические ссылки или поддельные домены, которые были созданы для кражи пользовательских данных.
Как работает фишинговая электронная почта и что такое фишинговая афера?
Обычно рассылаемые фишерами электронные письма содержат ссылку, ведущую на фальшивый веб-сайт банка или другого учреждения. Хотя веб-сайт является фальшивым, он может выглядеть весьма реалистично. Люди, создающие такие сайты, очень умны. В основном они используют логотипы банков и изображения, чтобы к сайту проявлялось доверие, а получатели не догадывались о существующей опасности.
Эти фишинговые сайты часто побуждают пользователей заполнять различные поля личной информацией, такой как: полное имя, пароль, банковские реквизиты, почтовый индекс и т. д. Любые данные, введенные пользователями на этих сайтах, способны помочь «похитителям данных» украсть вашу личную и другую информацию, а после использовать ее в незаконных целях.,
Антиспамовые и антифишинговые технологии призваны обеспечивать проверку электронных писем, чтобы уберечь пользователей от злонамеренных нападений.
Фильтры помогают защитить интернет-пользователей от получения мошеннических электронных писем, а также снижают вероятность того, что большое количество людей будет обмануто и пострадает от незаконными действий, от кражи данных.
II Типы фишинга
2.1 Фишинг с копьем или фишинговая атака. Клонирование фишинга
Фишинг с копьем или фишинговая атака
Фишинговые активности, направленные на отдельных лиц или компании, известны как фишинговые атаки или как «фишинг с копьем».
В отличие от массового фишинга, злоумышленники-«специалисты» по данному фишингу собирают и используют личную информацию конкретных людей либо компаний в своих целях, чтобы увеличить вероятность своего успеха.
Группа угроз-4127 («Необычный медведь») в 2016 году использовала фишинговую тактику для нацеливания на учетные записи электронной почты, связанные с президентской кампанией Хиллари Клинтон. Эта группа атаковала более 1800 учетных записей Google и создала домен account-google.com, чтобы угрожать целевым пользователям.
Клонирование фишинга
Клонирование фишинга является одним из типов фишинг-атаки. При данной атаке законное и ранее доставленное электронное письмо, содержащее вложение либо ссылку, имеет свое содержимое и адрес (адреса) получателя (получателей). Оно используется фишером, создающим почти идентичное или клонированное электронное письмо.
Реальное (законное) вложение (или ссылку) в сообщении электронной почты фишер заменяет вредоносной версией, а после он версию отправляет с поддельного адреса электронной почты, который, как кажется, исходит от исходного отправителя. Он может обеспечить повторную отправку оригинала или обновленную версию оригинала. Как правило, для этого нужно, чтобы почта отправителя была предварительно взломана, и чтобы не злонамеренная, законная электронная почта оказалась доступной третьей стороне (фишеру).
2.2 Китобойный промысел. Использование изображения вместо текста
Китобойный промысел
Термин « китобойный промысел» относится к фишинговым атакам, направленным конкретно на руководителей высшего звена и других важных субъектов. В этих случаях фишером контент создается специально для того, чтобы ориентироваться на менеджера высшего эшелона или человека, роль которого в компании является значимой.
Содержание электронного письма, связанного с «китобойным промыслом», может иметь характер, касающийся исполнительной проблемы. Это, скажем, может быть жалоба клиента или же повестка в суд.
Использование изображения вместо текста
Фишерами иной раз вместо текста используются изображения. Делается это для того, чтобы для антифишинговых фильтров оказалось проблематичнее обнаружение того текстового материала, который обычно используется в фишинговых письмах. В ответ более сложные антифишинговые фильтры восстанавливают скрытый текст в изображениях благодаря оптическому распознаванию текста.
Социальная инженерия
Фишеры иной раз неожиданно предлагают пользователям, чтобы они нажимали на различные материалы социального либо технического свойства. К примеру, вредоносное вложение может маскироваться под доброкачественный связанный Google-Документ.
Иногда пользователи понимают, что их хотят одурачить. Оскорбленные и возмущенные они нередко автоматически щелкают на ссылку и заражаются.
2.3 Управление ссылками. Скрытое перенаправление
Управление ссылками
Большинство фишеров использует какую-либо форму технического обмана, предназначенную для создания ссылки в электронном письме (и на поддельном веб-сайте, на который она ведет), как кажется, принадлежащую неподдельной, реальной организации. Использование неправильных URL-адресов или поддоменов является распространенной уловкой фишеров-мошенников.
Рассмотрим пример:
С помощью URL-адреса http://www.yourbank.example.com/ создается впечатление, что данный URL-адрес приведет вас к примеру, размещенному на веб-сайте вашего банка. Однако фактически этот URL-адрес указывает на раздел «ваш банк», а не на пример (то есть, налицо наличие фишинга).
Еще одна распространенная хитрость — сделать отображаемый текст ссылкой (текст между тегами <A>), предложить надежное место назначения, когда ссылка ведет не на законный веб-сайт, а на преступный сайт фишера.
Многие почтовые клиенты и веб-браузеры для настольных компьютеров при наведении на них указателя мыши показывают целевой URL-адрес ссылки в строке состояния. Это поведение, однако, может в некоторых случаях быть спровоцировано фишером. Эквивалентные мобильные приложения обычно не имеют функции предварительного просмотра.
Многоязычные доменные имена (IDN) могут быть использованы фишерами с помощью IDN-подмены или омограф-атаки, чтобы обеспечивать создание веб — адресов, визуально идентичных адресам законных сайтов. Таким образом создаются вредоносные версии адресов и соответствующих сайтов.
Фишеры в ряде случаев практикуют использование перенаправителей открытых URL-адресов, размещая их на веб-сайтах доверенных организаций. Делается это в целях маскировки вредоносных URL-адресов с помощью доверенных доменов.
Даже цифровые сертификаты не решают эту проблему, поскольку для фишеров вполне реально приобретение действующих сертификатов и последующего изменения их содержимого, чтобы подделать подлинные веб-сайты или разместить свой фиш-сайт без SSL-сертификата (SSL — от английского Secure Sockets Layer — уровень защищенных сокетов, SSL является криптографическим протоколом, предусматривающим менее опасную связь).
Скрытое перенаправление
Скрытое перенаправление является тонким методом проведения фишинговых атак, при котором ссылки кажутся легитимными, но фактически они перенаправляют жертву на сайт злоумышленника. Ошибка обычно маскируется под всплывающим окном входа в систему в зависимости от домена уязвимого сайта.
Фишер с помощью рассматриваемого метода также может влиять на OAuth 2.0 и OpenID на основе известных параметров эксплойта. Это используется часто — благодаря уязвимости открытого перенаправления и XSS на сторонних веб-сайтах приложений. Пользователи также могут быть скрыто перенаправлены на фишинговые веб-сайты с помощью вредоносных расширений браузера.
Обычные попытки фишинга обнаружить довольно не сложно, поскольку URL-адрес вредоносной страницы чаще всего отличается от реальной ссылки на реальный, законный сайт. Но для скрытого перенаправления злоумышленник может использовать настоящий веб-сайт, повредив данный сайт с помощью всплывающего диалогового окна со злонамеренным входом. Это делает скрытое перенаправление отличным от других методов, и более коварным.
Рассмотрим пример:
Предположим, что жертва щелкает на вредоносную фишинговую ссылку, начинающуюся на Facebook. Всплывающее окно на Facebook спрашивает, хочет ли потенциальная жертва авторизовать приложение. Если жертва решит авторизовать приложение, злоумышленнику будет отправлен токен, и личная конфиденциальная информация жертвы может быть раскрыта. Данная информация может включать адрес электронной почты, дату рождения пользователя, его контакты и историю работы. Если токен обладает большей привилегией, злоумышленник может получить более конфиденциальную информацию, включая адрес почтового ящика, время присутствия в Интернете и список виртуальных друзей пользователя.
Хуже всего то, что злоумышленник-фишер может иметь шанс управления (и контроля) учетной записью пользователя. Даже если потенциальная жертва не примет решение об авторизации приложения, она все равно будет перенаправлена на веб-сайт, контролируемый злоумышленником-фишером. Это может поставить потенциальную жертву под реальную угрозу.
Рассматриваемая уязвимость была обнаружена доктором математики Ван Цзином (в прошлом являвшимся студентом школы физико-математических наук в технологическом университете Наньян в Сингапуре).
Скрытое перенаправление является заметной угрозой безопасности, оно заслуживает значительного внимания.
2.4 Подделка сайтов. Голосовой фишинг
Подделка сайтов
Некоторые фишинговые мошенники используют команды JavaScript, чтобы изменить адресную строку сайта, к которому они ведут. Это можно сделать, поместив изображение допустимого URL-адреса поверх адресной строки, или закрыв исходную панель и открыв новую с допустимым URL-адресом.
Злоумышленник также потенциально может использовать против жертвы недостатки в собственных сценариях доверенного сайта. Эти типы атак (известные как межсайтовый скриптинг) особенно проблематичны, поскольку они направляют пользователя на вход в систему на собственной веб-странице банка или службы, где все, начиная с веб-адреса и заканчивая сертификатами безопасности, выглядит корректно. На самом деле, ссылка на сайт создана для проведения атаки, что делает ее очень трудно обнаруживаемой без специальных знаний. Такой недостаток был использован в 2006 году против PayPal.
Бесплатный фрагмент закончился.
Купите книгу, чтобы продолжить чтение.