Фишинг – это форма кибератаки, которая использует электронную почту в качестве оружия. Цель атаки – обмануть пользователя, чтобы он поверил, что сообщение содержит команду, которую нужно обязательно выполнить, например, оплатить счет или подтвердить оплату.
Обычно такое письмо содержит документ в приложении – это заставляет жертву загрузить файл. Конечно, это не настоящее сообщение, как и приложенный файл – при нажатии на него (или на ссылку в теле письма) запускается процесс заражения системы.
Чаще всего злоумышленник имитирует сообщение от какой-то организации, такой как банк или поставщик телекоммуникационных услуг. Это один из старейших типов атаки – первая зафиксирована уже в 90-х годах. С того периода фишинг прошел долгую и опасную эволюцию.
Обратите внимание на то, что английское слово «phish» ассоциируется с «fish» (рыба). В этом есть определенная аналогия, поскольку фишинговый e-mail – это крючок, на который ловят жертву. В упомянутых 90-х годах хакеры использовали этот метод, чтобы получить логины и пароли пользователей AOL. В свою очередь, префикс «ph» происходит от «phone freaking» (это метод нарушения безопасности телефонных сетей, чаще всего для получения бесплатного или более дешевого соединения).
Наиболее известные фишинг-атаки в истории:
- одна из самых громких случилась в 2016 году; хакеры захватили аккаунт Gmail главы президентской кампании Хиллари Клинтон
- знаменитый скандал с раскрытием фото произошел, главным образом, из-за проблем с механизмами безопасности серверов Apple iCloud, но это было бы невозможно без серии успешных фишинговых атак
- в 2016 году сотрудники Университета Канзаса ответили на поддельные сообщения электронной почты, что привело к краже информации о номерах счетов, направлении денежных переводов, выплатам на счета хакеров
Что такое набор для фишинга?
Наличие наборов для создания фишинга, то есть phishing kit, позволяет даже посредственному киберпреступнику провести вредоносную атаку. Такой набор включает в себя ресурсы и инструменты, необходимые для создания поддельного сайта, который достаточно установить только на сервер. После этого достаточно только отправить письма потенциальным жертвам – колоссальные списки рассылки доступны в дарквебе. На страницах Phishtank и OpenPhish вы можете найти список известных наборов этого типа. В настоящее время насчитывается около 3200.
Типы фишинга
Как правило, фишинговые кампании делятся на два типа:
- фишинг с целью получения важных данных – в теле письма содержится информация, призванная заставить жертву ввести свой логин и/или пароль для сайта, услуги, банковского счета и т.д. Чаще всего оно стилизовано под настоящее сообщение, однако, когда мы проверяем подлинность отправителя, отображается странный адрес, не имеющие ничего общего с обычными адресами банка; если указать какие-либо данные, преступник немедленно их использует.
- загрузка вредоносных программ – в приложении находится файл, чаще всего замаскированный под архив или документ MS Office. На самом деле, это вредоносный код для установки на машину жертвы: чаще всего – вымогатель. Как сообщают статистики, 93% атак происходит именно через поддельные вложения электронной почты.
Когда злоумышленник создает сообщение для определенного получателя, оно называется spear phishing (копьё фишинга). Такой получатель идентифицируется с помощью социальной сети. Например, получив информации с LinkedIn о том, где работает человек, можно создать электронное письмо, которое выглядит так, как будто оно было отправлено из бухгалтерии его компании.
Китобойный промысел или кит фишинг – это фишинг, нацеленный на «большую рыбу», т.е. руководителей и менеджеров высокого уровня. Многие из них часто используют для переписки личные учетные записи электронной почты, которые не так хорошо защищены, как корпоративная почта. Сбор информации в количестве, достаточном для мошенничества может занять много времени, но взамен даст конкретные преимущества.
В 2008 году киберпреступники начали массированную атаку на высокопоставленных корпоративных сотрудников, выдав себя за ФБР. В отправленных вложениях был кейлоггер – он был установлен на 2000 машин.
Фишинг: как его избежать
Лучший способ избежать фишинга, с большой осторожностью относится к сообщениям электронной почты – особенно тем, которые касаются важных дел.
Как показывают статистические данные, в случае социальных сетей преступники выступают под видом: новое индивидуальное сообщение, приглашением в друзья, запрос на вход в сеть, смена пароля, информация об отметке на чьём-то фото.
Кроме того, популярные темы фишинговых писем – это:
- информация о неудачной попытке доставки
- подтверждение удаления учетной записи электронной почты
- ваш заказ№. xxx (название магазина или без)
- требуется действие
Что делать? Прежде всего, проверить, с какого домена пришло письмо. Если сообщение касается счета в банке, а отправитель в адресе xx@gmail.com или другой адрес, безусловно, это подделка. Другое дело, стиль контента – если есть опечатки или сообщение выглядит как переведенное с помощью электронного переводчика, почти на 100% это попытка мошенничества.
Если все выглядит нормально, а в тексте ссылка – наведите на неё курсор мыши и посмотрите, на какой адрес она ведёт (чуть более сложный вариант – использовать консоль разработчика, открываемую в браузере через сочетание клавиш Ctrl + Shift + I).
Если отправитель и содержание не вызывают подозрений, но информация является неожиданной – например, это касается изменения логина и пароля – обратитесь в службу поддержки соответствующего сервиса/банка. Ни в коем случае не указывайте в подозрительных письмах своих персональных данных!
Помните, что при загрузке вредоносного файла, антивирус должен заблокировать его загрузку, однако, если вы указываете пароль для личного кабинета – это за пределами его возможностей.