Фишинг и целевой фишинг: советы по защите

Светлана Макина

Фишинг

Одним из самых популярных видов кибератак в 2020 году остается фишинг. Рассылая электронные письма от имени известных брендов, киберпреступники обманывают пользователей, убеждая их сообщать пароли учетных записей, финансовую информацию и другие ценные данные. В свете последних событий популярность набирают рассылки на тему коронавируса.

Для защиты от фишинговых атак компаниям рекомендуется использовать инструменты фильтрации электронной почты. При этом необходимо помнить, что главной причиной проблем, вызванных фишингом, до сих пор остаются ошибки сотрудников.

«Даже если ваша организация установила новейший инструмент защиты, от этого не будет пользы, если сотрудники останутся неосведомленными», — говорит представитель компании Generali Global Assistance Пейг Шаффер (Paige Schaffer), советуя проводить для сотрудников «тестирования» в виде ложных фишинговых атак.

Фишинг с оповещениями в Google Calendar

Исследователи из Лаборатории Касперского обнаружили активно распространяющуюся фишинговую аферу. Они обнаружили, как злоумышленники используют оповещения Календаря Google для кражи данных пользователей. Они подробно изложили свои выводы в своем блоге.

Как выяснилось, злоумышленники специально нацелились на пользователей Gmail в мае и начали рассылать им фейковые уведомления Календаря Google. Оповещения приходят на почту пользователей и попадают в спам. Как говорится в сообщении в блоге,

Электронные письма использовали общую функцию по умолчанию для людей, использующих Gmail на своем смартфоне: автоматическое добавление и уведомление о приглашениях календаря.

Проще говоря, мошенники отправляют незапрашиваемое приглашение в календарь целевым пользователям с фишинг-ссылкой. По достижении пользователей, в частности, пользователей смартфонов, всплывающее уведомление появляется на экране, заставляя пользователя нажать на вредоносную ссылку.

После нажатия на ссылку пользователь перенаправляется на веб-сайт с анкетой для получения призовых денег. Продолжая заполнять анкету, пользователь должен ввести данные платежной карты и личную информацию, чтобы “зафиксировать платеж”.

Для получения приза пользователю предлагается “фиксирующий” платеж, для которого необходимо ввести данные своей кредитной карты и добавить некоторую личную информацию, включая имя, номер телефона и адрес.

Однако реальный приз достается мошенникам в виде информации о пользователях, а не пользователям, получающим какие-либо призовые деньги.

HTTPS — не гарантия безопасного сайта

В ходе исследования также оказалось, что в начале 2018 года больше трети фишинговых веб-сайтов имели сертификаты SSL и работали по протоколу HTTPS. При этом всего два года назад доля таких сайтов не превышала 5%. Мошенники стали использовать протокол HTTPS минимум по двум причинам.

  • Во-первых, количество сайтов с сертификатами SSL увеличилось в принципе, поэтому потенциальных площадок для атаки фишеров стало больше. По данным Let’s Encrypt, две трети веб-сайтов, загруженных Firefox в конце 2017 года, использовали HTTPS (для сравнения: 45% в конце 2016 года).
  • Во-вторых, фишеры считают, что отображение в адресной строке букв «HTTPS» делает сайт в глазах пользователя более надежным, заставляя его позабыть даже о самых простых мерах информационной безопасности. Хотя на самом деле мошеннику ничего не мешает получить сертификат SSL, выполнив формальные требования доверенного центра сертификации, о чем доверчивый пользователь, конечно же, не догадывается.

Какие существуют типы фишинговых атак?

Обычно злоумышленники используют следующие методы фишинга в своих атаках.

Обманные веб-ссылки. Наиболее часто используемая стратегия состоит в том, что мошенники маскируют вредоносные веб-ссылку как указание на легитимное или доверенный источник. Эти типы фишинговых атак могут принимать любое количество форм, например, применение мошеннических URL-адресов, создание поддомена для вредоносного веб-сайта или эксплуатация очень похожих доменов с применением разной литерации.

Читайте также:  Все способы, как почистить планшет от ненужных файлов

Как пример рассмотрим следующее: латинская буква I очень близка к L на стандартных клавиатурах QWERTY, что делает «googie» очень похожим на «google». В случае субдоменов злоумышленник, который, например, контролирует доменное имя может создать субдомены для него — «». В период президентских выборов в США 2016 года для проведения фишинг-атаки на базе схожих доменов злоумышленники использовали сайт «» как клона сайта «».

Интернациональные доменные имена (IDN) также могут использоваться для создания запутанно похожих доменных имен, позволяя использовать не-ASCII символы. Визуальные сходства между символами в различных сценариях, которые называются гомоглифами, применяют для создания доменных имен, что визуально невозможно дифференцировать. Это побуждает пользователей принимать один домен за другой.

Клонирование веб-сайтов, подделка и перенаправления. Веб-сайты, уязвимые к атакам типа межсайтовый скриптинг (XSS), используются злоумышленниками для записи собственного контента на другой веб-сайт. XSS-атака может применяться для перехвата данных, введенных на скомпрометированном сайте (с именем пользователя и паролем), которые злоумышленники используют позже.

Некоторые фишинговые атаки используют XSS для создания всплывающих окон, которые происходят с уязвимого веб-сайта, но притом загружают страницу, контролируемую злоумышленниками. Часто такой тип скрытого перенаправления открывает форму для входа с целью сбора регистрационных данных. Из-за распространения этого типа атаки большинство браузеров теперь показывают адресную строку во всплывающих окнах.

Голосовой и текстовый фишинг. Для получения информации об учетной записи злоумышленники используют телефонные звонки и текстовые сообщения. Сначала они отправляют клиентам банков сообщения, где утверждают, что их учетная запись заблокирована. Это побуждает пользователей позвонить на указанный номер телефона или зайти на веб-сайт, контролируемый мошенниками, и оставить конфиденциальную информацию.

Почему надо беспокоиться по поводу фишинга?

Вообще, фишинг опасен для всех. Как правило, злоумышленники охватывают широкий круг людей во время фишинговых атак, надеясь поймать любую жертву и получить доступ к ее личной банковской информации или хотя бы узнать пароли входа в корпоративную сеть.

Читайте также:  Включаем отладку по usb на Android устройстве

К сожалению, против фишинговых атак не существует надежных средств! Ведь почти все подобные атаки в значительной мере полагаются на социальную инженерию, с целью убедить пользователей немедленно принять меры и, тем самым, блокируя возможность и желание детального анализа ситуации. Поэтому лучшей защитой от фишинга является обучение конечных пользователей правилам безопасности.

Кроме того, производители защитных решений разработали специальные фильтры с целью выявления фишинговых атак в электронных письмах. Впрочем, в некоторых сообщениях мошенники используют изображение текста вместо обычного текстового формата, чтобы избежать этих фильтров в почте. Кроме того, фишинговые веб-сайты часто полагаются на методы запутывания кода, чтобы предотвратить детектированию злонамеренной активности со стороны систем защиты. Обычно фишинговые атаки применяют шифрование на базе алгоритмов AES-256 или Base64 в JavaScript, или же другие методики, усложняющие анализ базового исходного кода.

Кстати, недавно исследователи Proofpoint раскрыли фишинговый инструментарий, который запутывает получателя письма при помощи шифра замещения, который опирается на специальный шрифт. Этот инструментарий использует необычную версию шрифта Arial с отдельными транспонованими буквами; при загрузке фишинговой страницы контент выглядит нормально. Но когда пользователь или программа пытаются прочитать исходный текст на странице, он показывается смешанным.