Целевой фишинг что это
Психология целевого фишинга
Целый ряд уязвимостей существует непосредственно в голове у человека. Давайте посмотрим, как можно их нейтрализовать.
Как правило, говоря об уязвимостях, мы подразумеваем разного рода ошибки программирования или недостатки информационных систем, возникшие на этапе их проектирования. Однако есть целый ряд других уязвимостей, существующих непосредственно в голове у человека.
И мы сейчас говорим не о недостаточной осведомленности или халатном отношении к кибербезопасности — как справляться с этими проблемами, более-менее понятно. Просто мозг пользователя иногда срабатывает не так, как хотелось бы экспертам по информационной безопасности, а так, как его вынуждают специалисты по социальной инженерии.
По сути, социальная инженерия — это сплав социологии и психологии. Совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату. Благодаря этому злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. И именно на этой «науке», по большому счету, базируется большая часть современных целевых атак.
Среди чувств, к которым обычно взывают мошенники, можно выделить четыре основных:
Однако их сложно назвать уязвимостями — все-таки это естественные для человека чувства. Это скорее каналы воздействия, через которые манипуляторы пытаются влиять на жертву. В идеале — так, чтобы мозг сработал автоматически, не применяя критическое мышление. Для этого у злоумышленников припасено немало трюков. Разумеется, против каждого человека различные приемы работают с разной эффективностью. Но мы решили рассказать о нескольких самых распространенных и объяснить, как именно их используют.
Подчинение авторитету
Это одно из так называемых когнитивных искажений — систематических отклонений в поведении, восприятии и мышлении. Его суть заключается в склонности людей беспрекословно подчиняться человеку, обладающему опытом или определенной властью, игнорируя свои собственные суждения о целесообразности действия.
На практике это может выглядит как фишинговое письмо, написанное от имени вашего начальника. Разумеется, если в таком письме потребуют станцевать лезгинку на камеру и разослать это видео десяти друзьям, то получатель задумается. Но вот если прямой руководитель просит подчиненного ознакомиться с содержащимися в письме материалами для нового проекта, то скорее всего получатель автоматически откроет вложенный файл.
Дефицит времени
Один из наиболее частых приемов в психологии манипуляций — создание ощущения дефицита времени. Часто для того, чтобы принять взвешенное, рациональное решение, требуется изучить информацию подробнее. А на это нужно время. Именно его и пытаются лишить жертву мошенники.
Как правило, манипуляторы в таких случаях взывают к чувству страха («В ваш аккаунт пытались зайти, если вход был произведен не вами, немедленно перейдите по ссылке…») или к жажде легкой наживы («Скидка доступна только первым десяти кликнувшим, не упусти свой шанс…»). Тогда появляется высокая вероятность поддаться чувствам и принять эмоциональное, а не рациональное решение.
Письма, пестрящие словами «срочно» и «важно», как раз из этой категории. Ключевые моменты в них любят выделять красным цветом для пущего устрашения или для демонстрации фантастического везения, которое вот-вот можно упустить.
Автоматизмы
Автоматизмы в психологии — это действия, реализуемые без непосредственного участия сознания. Автоматизмы бывают первичные (врожденные, никогда не осознававшиеся) и вторичные (прошедшие через сознание и переставшие осознаваться). А еще автоматизмы делятся на моторные, речевые и интеллектуальные.
Злоумышленники пытаются использовать автоматизмы, присылая письма, реакция на которые могла автоматизироваться. Сообщения типа «не получилось доставить сообщение, нажмите для повторной доставки», безумные рассылки с большой кнопкой «отписаться», фальшивые уведомления о новых комментариях в соцсетях. Реакция на письма классифицируется как вторичные моторные и интеллектуальные автоматизмы.
Неожиданное откровение
Это еще один, достаточно часто встречающийся вид манипуляций. Суть его заключается в том, что информация, которая следует после некоего признания, воспринимается гораздо менее критически, чем если бы она была подана независимо.
На практике это может выглядеть, как письмо типа: «У нас случилась утечка паролей, проверьте, нет ли вас в списке потерпевших».
Спирфишинг: разбираем методы атак и способы защиты от них
Фишинг (phishing) – вид интернет-мошенничества, использующий принципы социальной инженерии. Это письмо в электронной почте, звонок, SMS или сообщение в мессенджере или соц.сети, пытающееся обманом убедить пользователя передать свои конфиденциальные данные, скачать какой-то вредоносный файл или перевести деньги. Для этого отправитель представляется неким другим лицом, от которого подобная просьба вызывает меньше подозрений.
Целевой фишинг (spear phishing) – подвид фишинга, который нацелен на более узкий круг людей. Это может быть какая-то организация, группа ее сотрудников или отдельный человек, в зависимости от намерений атакующего. Получаемое сообщение в этом случае будет рассчитано именно на ограниченный круг лиц. В ходе такой атаки злоумышленник может попытаться:
Различия между фишингом и целевым фишингом
Рассмотрим ход атаки целевого фишинга на примере сообщения на электронной почте.
Сначала злоумышленник проводит большую предварительную работу по поиску информации о цели. Это может быть как адрес электронной почты и имена подрядчиков или коллег, так и увлечения цели, недавние покупки или другие вещи, которые можно узнать из социальных сетей – любая информация, которая поможет в теле письма сбить получателя с толку и заставить поверить в его правдивость.
Затем, вооружившись всеми полученными из доступных источников данными, атакующий составляет фишинговое письмо от лица кого-то, с кем знакома жертва (коллега, член семьи, друг, заказчик и т.п.). Отправляемое сообщение должно создать ощущение срочности и убедить получателя отправить личную информацию в ответе, ввести ее, перейдя по ссылке в письме, или же скачать ВПО из вложений к письму.
В некоторых случаях в идеальном для злоумышленника сценарии после того, как письмо “сработало”, на машину цели устанавливается бэкдор, позволяющий похитить необходимую информацию. Она собирается, шифруется и отправляется атакующему.
Технические средства защиты:
Какие бы технические меры защиты ни были предприняты, нежелательное письмо все равно может попасть в почтовый ящик. Поэтому стоит в письмах обращать внимание на вызывающие подозрение вещи:
Очевидно, недостаточно знать и следовать этим правилам. Необходимо также донести эту информацию до остальных людей в компании. Намного проще противостоять атаке, когда известно, что она может произойти. Важно обучать сотрудников и рассказать им о фишинговых атаках. Может быть также полезно проводить время от времени социотехническое тестирование, чтобы удостовериться, что информация была успешно усвоена.
Противостоять атакам социальной инженерии сложнее всего, поскольку конечным рубежом становится человек. Злоумышленнику тоже могут быть известны все технические способы защиты, поэтому он может изобрести способ их обойти. Однако осведомленность и выполнение несложных правил сильно снижает риск успешной атаки.
Хотите убедиться, что ваши системы надежно защищены? Или интересуетесь, как донести информацию до сотрудников? Обращайтесь, мы с радостью проведем социотехническое тестирование или поможем с обучением и расскажем о подобных атаках.
Фишинговые методы: сходства, различия и тенденции. Часть вторая: целевой фишинг
В первый части мы обсуждали массовый фишинг и объекты исследования этой статьи.
Автор: Иван Димов (Ivan Dimov)
В первый части мы обсуждали массовый фишинг и объекты исследования этой статьи.
Целевой фишинг – техника, при помощи которой злоумышленник, используя средства электронной коммуникации, выступает от имени председателя правления, директора, менеджера или другого лица, являющегося сотрудником фирмы или департамента правительства, где работает жертва. Другой вариант: злоумышленник представляет компанию, с которой у целевой фирмы/правительства сложились доверительные отношения, деловые взаимоотношения или обязательства.
К примеру, злоумышленником была послана повестка от имени ФБР с целью принуждения жертвы к установке дополнения для «осмотра» компьютера. На самом деле на компьютер был установлен вредонос. Цель этого подлога – получить доступ к компьютерной сети компании через компьютер жертвы для кражи конфиденциальной информации: коммерческой тайны, данные разведки, информации о сотрудниках, корпоративной интеллектуальной собственности и т. д. Злоумышленник может продать эту информацию на черном рынке или использовать ее с целью получения нематериальной выгоды. В будущем собранная информация, скорее всего, будет использована в ущерб жертве.
Как и при массовом фишинге целью адресного фишинга может служить простое получение конфиденциальной информации жертвы (например, информация о кредитных картах) посредством сообщений, посылаемых через средства электронной коммуникации от имени сотрудника, работающего в той же компании, что и жертва. Различия между массовым и целевым фишингом заключаются в том, что при целевом фишинге жертвами становятся сотрудники конкретной компании, в то время как при массовом фишинге жертвами становятся случайные пользователи, а злоумышленники хотят получить лишь персональную информацию о них.
Кроме того, при целевом фишинге злоумышленники часто маскируют сообщения как приходящие изнутри компании/предприятия, в которую они хотят проникнуть и где работает жертва, в то время как при массовом фишинге злоумышленник рассылает сообщения от имени популярного и/или всемирно известного бренда, к которому жертва может иметь, а может и не иметь вообще никого отношения (например, являться клиентом). При массовом фишинге у злоумышленника нет цели проникнуть в компьютерную сеть бренда, именем которого он представляется.
Одна из разновидностей целевого фишинга – сбор информации о высокопоставленных лицах: председателях правления, директорах или высокопоставленных правительственных чиновниках.
Целевой фишинг и сбор информации о высокопоставленных лицах
Расширения файлов во вложении и эксплоиты, эксплуатирующие уязвимость формата файла
Целевой фишинг еще именуется как «главная угроза вложений электронной почты». Основной способ обмана жертвы – маскировка вложения, содержащего вредоносную программу, под документ с популярным расширением (1). Также вредонос может быть замаскирован под картинку. Еще один способ: использование файла с достоверным расширением, внутри которого содержится эксплоит, эксплуатирующий уязвимость программы. При открытии вложения жертвой (2) злоумышленник получает доступ к ее машине. Подобные эксплоиты становятся все более популярными и, в целом, более эффективны, чем маскировка вложения под документ с популярным расширением.
(1) Первая схема (когда происходит маскировка вредоноса) не требует особых технических навыков. Расширение файла может быть скрыто или подделано при помощи многочисленных трюков.
Для обмана потенциальной жертвы вложение маскируется под безвредный документ, например, «Business plan, amended 2013_2014.pdf» или под любой другое популярное расширение файла или имя документа.
Во-вторых, фишер может присоединить к письму файл-ярлык, позволяющий этому ярлыку содержать настоящее замаскированное расширение файла, но видимый с любым именем и расширением, которое пожелает злоумышленник. Таким образом, ярлык может запускать команду и выполнять функцию исполняемого файла.
В-третьих, расширение файла можно замаскировать при помощи RTLO или RLO (Right-to-Left Override unicode, замена текста, написанного справа налево, текстом, написанным слева направо), когда символы в имени и расширении файла при чтении переставляются в обратном порядке, но в то же время тип файла остается прежним. К примеру, файл «Business plan, 2013_2014ann[RTLO]fdp.exe» будет выглядеть как «Business plan, 2013_2014 annexe.pdf».
И, наконец, отладочная программа легитимного приложения, представленного во вложении, может быть изменена для установки вредоносного исполняемого файла каждый раз, когда вы запускаете это приложение.
Способы маскировки вредоносных вложений не исчерпываются теми, которые описаны выше.
(2) Факт того, что фишеры предпочитают использовать эксплоиты, эксплуатирующие уязвимости формата файла, не случаен.
Прежде всего, подобные эксплоиты могут предоставлять доступ не только к процессу и приложению, уязвимость которого эксплуатируется, но и ко всей операционной системе. Уязвимости формата файла не только угроза безопасности для Windows, но и других операционных систем, таких как Android или Linux. К примеру, существует уязвимость для Adobe Reader версий v8.x и v9.x, которая позволяет запускать исполняемый файл вместе с открытием pdf-документа в Windows XP SP3. Конечно, уязвимости многочисленны, что дает фишерам огромную свободу действий.
Таким образом, вредонос может быть легко установлен без вашего ведома во время открытия файла.
Во-вторых, поскольку файл во вложении вполне нормальный, вы можете открыть его и увидеть содержимое (текст, картинки и т. д.). Это еще больше снижает шансы раскрытия замысла фишера, и, следовательно, снижаются шансы того, что вы сообщите о факте мошенничества, примите меры для устранения угрозы и предпримите меры предосторожности.
Если ничего этого не произошло, у фишера будет доступ к вашей системе неограниченное время.
Таким образом, вместо создания поддельных веб-сайтов и страниц, используемых при массовом фишинге, для получения конкретной информации об учетных записях или кредитной/дебетовой карты, в целевом фишинге и фишинге, направленном на получение данных о высокопоставленных лица, злоумышленники пытаются получить доступ к компьютеру. После этого они могут просматривать корпоративную и правительственную информацию и решать, какие данные имеют наибольшую ценность. Более того, завладев доступом к одному компьютеру, фишер может получить доступ ко всей информационной системе.
Как было отмечено выше, исполняемые файлы используются не так часто, как эксплоиты форматов файлов, поскольку подобные угрозы обнаружить значительно труднее. Шансы того, что фишинговое сообщение попадет под фильтр провайдера электронной почты, будут низки, поскольку трудно среагировать на угрозу, когда вложение выглядит как обычный файл.
Хотя первая схема (когда маскируется вложение) также используется фишерами (как правило, с очень низким уровнем компетенции) при простых фишинговых атаках (обычно при массовом фишинге).
Я рассказывал вам о способах маскировки расширений файлов и эксплуатации уязвимостей форматов файлов, поскольку на них приходится около 94% целевых фишинговых писем, в то время как ссылки используются в 6% случаях.
Индивидуализация электронных писем в целевом фишинге (посредством email-спуфинга)
Следует иметь ввиду, что указанный электронный адрес в вышеупомянутых полях (From, Return-Path и Reply-To) может отличаться от адреса настоящего отправителя, и существует множество способов реализации этой схемы.
Во-первых, фишеры могут использовать сетевой протокол Telnet для соединения с SMTP или ESMTP (Extended Simple Mail Transfer Protocol) веб-сайта, компании, организации и т. д. и отослать электронное письмо от имени другого отправителя. В данный момент этот метод используется нечасто, поскольку попадает под фильтры от спама, а также при его использовании приходится делать много телодвижений. Большинство провайдеров электронной почты предупредят вас о том, что сообщение может быть отправлено с другого электронного адреса или письмо может оказаться в папке «Спам» и т. д.
Однако, если подделанные электронные письма, «присланы» с адресов, с которыми вы уже контактировали, то вероятность попадания их в папку «Спам» снижается.
Ниже приводится практическая иллюстрация метода отправки электронного письма через Telnet:
Рисунок 1: Скриншот командной строки, на котором показан процесс отправки фальшивого письма через Telnet в связке с ESMTP
Все довольно просто, но весьма неэффективно. Так будет выглядеть письмо при открытии:
Рисунок 2: Скриншот, на котором продемонстрирован внешний вид фальшивого письма
Как вы можете видеть, данный метод больше не приносит фишерам хороших результатов. Однако, как было сказано выше, если фальшивое письмо придет от того, с кем вы уже контактировали, письмо может не попасть в папку «Спам».
На скриншоте ниже показан процесс получения адреса SMTP-сервера:
Рисунок 3: Скриншот командной строки; nskookup
Однако большинство STMP-серверов требуют аутентификацию, которую можно успешно выполнить вручную. Также, обычно, отправка письма происходит только если поля To и From содержат собственное доменное имя, к примеру, домен, указанный выше. Вы можете отправлять электронные письма с любым содержанием полей To и From без авторизации с сервера aspmx.l.google.com.
Однако этот метод может оказаться не только неэффективным, но и рискованным, поскольку ваш IP-адрес будет засвечен во время соединения. То есть вас легко могут поймать и передать в соответствующие органы. Именно поэтому фишеру необходимо скрывать свой IP-адрес и вообще любые данные, которые могут привести к нему полицию. К тому же, злоумышленника на некоторое время могут забанить на SMTP-сервере в случае злоупотребления его ресурсами.
Простой и более безопасный способ подделки электронных писем – использовать «законного» провайдера. Такие провайдеры широко доступны и являются райским садом для фишеров, спамеров и им подобных. В данном случае подделка электронных писем не требует наличия глубоких технических знаний. Фишер может использовать сервисы Zmail или бывший Pseudo Mailer, который позже стал известен как hoaxMail, а сейчас называется Fogmo.
На скриншоте ниже показан веб-интерфейс Fogmo:
Рисунок 4: Скриншот http://www.Fogmo.com, на котором показана часть интерфейса (после авторизации)
Необходимо заплатить небольшую сумму денег, чтобы удалить сообщение «The following message was sent using Fogmo» (Следующее сообщение было отправлено при помощи Fogmo) в теле письма. Если не удалить сообщение, то, конечно, все попытки фишинга обречены на провал.
В данной статье рассказано лишь о некоторых способах, используемых фишерами для подделки писем.
Индивидуализация электронных писем в целевом фишинге (на основе собранной информации)
Большая часть информации, используемая фишерами для индивидуализации электронных писем, получается из открытых источников.
Подобную информацию можно найти, к примеру, на веб-сайте компании. Здесь фишер может узнать ваше имя, адрес электронной почты, а также получить дополнительные сведения. После получения базовых сведений о вас и человеке, от имени которого собирается выступать фишер, злоумышленник может продолжить сбор информации из открытых источников, к примеру, используя инструменты наподобие Maltego (подобные утилиты относятся к классу инструментов для разведки по открытым источникам).
Если задача у фишера более сложная и важная (например, сбор информации о высокопоставленных лицах), злоумышленник может использовать всю общедоступную информацию для сбора данных, которые не доступны в открытых источниках. Фишер может узнать ваше расписание, планы на отпуск, над какими документами вы работаете, каковы ваши задачи и обязанности. Вся собранная по крупицам информация используется фишером при подготовке индивидуального электронного письма, чтобы у вас при переходе по ссылке или открытии вложения не возникло никаких сомнений в его подлинности.
К примеру, фишер может исследовать содержимое мусорного контейнера для получения служебных документов компании: проектов, планов, постановлений, протоколов заседаний и других документов. После этого злоумышленник отсылает вам фальшивое письмо от имени вашего коллеги, заявляя о том, что готовы «поправки» к документу и своем желании, чтобы вы ознакомились с обновленным документом. На самом деле документ содержит эксплоит формата файла, или документ сам по себе является вредоносным, или является формой вредоноса, гуляющего в «дикой природе».
Таким образом, пропускание всех без исключения документов через шредер должно являться обязательным правилом для всех сотрудников компании.
Пока что мы говорили о том, что вначале информация собирается из открытых источников одним из следующих способов:
Пример использования второго метода – получение информации из фотографий. При помощи инструментов наподобие exifdata.com можно узнать не только дату создания фотографии и платформу камеры, но и GPS-координаты (если устройство поддерживает эту функцию и включены соответствующие настройки; например, в iPhone подобная функция работает по умолчанию). Таким образом, фишер может выяснить ваше местонахождение в определенное время, по фотографиям, загруженным вами в Интернет. Более подробно о способах получения информации из фотографий рассказано в статье http://infosec.wpengine.com/reconnaissance-with-images/.
Пример использования третьего метода – социальная инженерия. Фишер может получить доступ к компьютеру, данным, учетным записям и т.д. еще одного сотрудника, что позволит злоумышленнику использовать более изощренные техники социальной инженерии, опираясь на уже собранную информацию о первой жертве. После этого фишер может использовать дополнительные способы для обмана других сотрудников и принуждения их к открытию вложений и переходу по ссылкам. Все это дает злоумышленнику доступ к новым рабочим местам и возможность получения ценных данных.
Также фишер может позвонить в службу поддержки и задать вопросы, либо, к примеру, выступить от имени достоверного лица для получения первичной информации о жертве.
Кроме того, если вы добавите фишера к себе в друзья в Facebook или сделаете эту информацию публичной, то позволите злоумышленнику свободно узнать адрес электронной почты, номер телефона, вкусы и предпочтения, информацию о семье и друзьях, которая может быть использовано в социальной инженерии.
Подводим итоги. Всегда ожидайте, что в письме будут указаны ваше имя и должность наряду со знакомым вам адресом в поле From. Более того, могут быть упомянуты «интимные» подробности, относящиеся к работе или личной жизни наряду с вложением, который, на первый взгляд, также имеет отношение к работе и присылается, как правило, вашими коллегами по работе.
Пример того, насколько эффективным может быть целевой фишинг и сбор информации о высокопоставленных лицах
В 2011 году компания Google приостановила деятельность китайских злоумышленников, занимающихся целевым фишингом, направленным на государственных служащих США и различных азиатских стран. Злоумышленники отправляли фальшивые электронные письма от имени знакомого или коллеги по работе. В некоторых из писем даже был текст, созданный вручную и вставленный в тело сообщения. Конечно, каждое письмо было заточено под конкретную жертву. Киберпреступники использовали не только вложения, но и ссылки с надписью «View Download», которые при открытии требовали от жертвы пройти аутентификацию в сервисе Gmail. После получения логина и пароля, фишеры изменяли настройки для пересылки им входящей почты.
Возможно, целью этих атак был сбор первичной информации для последующего ее использования в более изощренных техниках социальной инженерии. Утверждается, что этот фишинг берет свои корни из административного центра Цзинань (Китай). Данный регион является источником других кибератак, которые могут быть связаны между собой, поскольку были «похожи».
При целевом фишинге попадаются на удочку 2 жертвы на каждые 1000 человек, однако этот параметр может варьироваться в зависимости от используемых методов. К примеру, Аарон Фергюсон (Aaron Ferguson), желая доказать «эффект полковника» и эффективность целевого фишинга, разослал сообщения 500 кадетам от имени Полковника Роберта Мельвиля (Robert Melville) из военного училища Уэст-Пойнт. В письме призывалось открыть ссылку для подтверждения оценок, на которую кликнули около 80% кадетов. Все это говорит о том, что показатель успеха при целевом фишинге может варьироваться в широких пределах.
К тому же, от каждой отдельной кампании целевого фишинга злоумышленник ожидает 150000$, в то время как при массовом фишинге только 14000$ (в среднем).
Выводы из опроса более чем 330 IT-профессионалов в прошлом году показывают, что целевой фишинг часто является основной причиной проникновений в системы. 51% опрошенных специалистов заявляют о том, что их организации подвергались нападению фишеров в прошлом году. Из опроса сделан вывод о том, что чем больше организация, тем чаще она становится мишенью фишеров. И это вполне закономерно, поскольку, чем больше организация, тем больше жертв и ценной информации.