Предупрежден — значит вооружен.

Всем привет, уважаемые читатели! Сегодняшняя статья будет посвящена такому важному вопросу, как безопасность в сети. В частности, я расскажу о таком распространенным виде мошенничества, как фишинг.

фишингТакие виды заработка в Интернете, как выполнение заданий на буксах и социальных сетях требуют посещения десятков и сотен веб-страниц, на которых может быть самый разный контент, в том числе и вредоносный. Причем хозяева сайта могут даже не подозревать о его наличии. Кроме того, пользователи сервисов для заработка каждый день получают огромное количество электронным писем, среди которых могут быть и представляющие опасность для ваших личных данных. Поэтому я решил рассказать о популярных видах мошенничества в сети, признаках писем-ловушек и доступных мерах по предотвращению фишинговых атак.

Что такое фишинг?

Рыбалка да не та

фишингФишинг (англ. phishing производное от fishing «рыбалка, выуживание») — это вид киберпреступлений, подразумевающий сбор конфиденциальных данных пользователей с использованием фальшивых электронных писем и веб-сайтов, имитирующих реальные бренды, организации и компании (популярные интернет-магазины, банки и даже госучреждения). «Выуженная» информация используется злоумышленниками для доступа к важным учетным записям и может привести к краже личных данных и финансовым потерям.

Первый «фишинговый» иск был подан в 2004 году против 17-летнего калифорнийского подростка, который создал веб-ресурс, имитирующий сайт компании «America Online». С помощью фальшивого веб-сайта он смог получить доступ данным о кредитных картах пользователей и вывести тысячи долларов с их счетов. Помимо фишинга по электронной почте и через веб-сайты, существуют и другие разновидности, например, «vishing» (голосовой фишинг), «smishing» (SMS-фишинг) и т.д. О них я расскажу чуть ниже.

к оглавлению ↑

Фишинг и социальная инженерия

фишингПожалуй, самый изощренный способ получения необходимой информации, использующий не технические средства, а методы психологии и социологии, влияя на поведенческие факторы потенциальных жертв. Отмечу, что социальная инженерия — не разновидность фишинга, скорее наоборот, фишинг — эта одна из техник социальной инженерии, практически всегда направленная на получение конфиденциальной информации незаконными методами. В целом же, методами социальной инженерии пользуются не только злоумышленники, но и спецслужбы, политики, бизнесмены и даже мы сами, когда хотим что-то получить.

Главное, что объединяет все методы социальной инженерии — введение жертвы в заблуждение, сыграв на его слабостях, эмоциях, рефлексах и особенностях характера (жадность и жажда наживы, лень, любовь, сочувствие и жалость, страх и неопытность и др.).
Кроме фишинга, к методам социальной инженерии можно отнести фрикинг, претекстинг, тейлгейтинг, квид про кво, метод обратной социальной инженерии, а также сбор информации из источников с открытым доступом и наблюдение за жертвой в общественных местах. к оглавлению ↑

Виды фишинг-атак

фишингРаньше виды фишинга можно было разделить на 3 группы: почтовые (email-фишинг), онлайновые (ложные веб-сайты) и комбинированные (сочетание первых двух). Сегодня классификация видов фишинговых атак приняла гораздо более сложный вид. Ведь по мере развития технологий, методы, используемые злоумышленниками тоже совершенствуются. Поэтому пользователи должны знать, как действуют мошенники, чтобы самим не стать их жертвой.

к оглавлению ↑

Email-спам

Что такое фишинг и как с ним бороться?Пожалуй, самый распространенный вид фишинга, заключающийся в отправке электронного письма с просьбой ввести личные данные миллионам пользователей. Впоследствии эти данные будут использоваться мошенниками в их незаконной деятельности. Большинство сообщений содержит требование ввести личные данные для обновления и проверки информации об учетной записи. Иногда пользователей просят заполнить форму для доступа к новой услуге по ссылке, указанной в электронном письме. О признаках писем-ловушек пойдет речь в следующей главе.

к оглавлению ↑

«Гарпунный» фишинг

Что такое фишинг и как с ним бороться?Это профессиональный вид фишинга. В отличие от предыдущего способа, рассчитанного на широкие массы, «гарпунный» фишинг нацелен на конкретных людей или определенные компании. Злоумышленники долго изучают свою цель (цели), причем их интересует более ценная информация, нежели данные о кредитных картах. Это позволяет провести точечную, персонализированную атаку, цель которой скомпрометировать организацию, подорвать ее авторитет и т.п.

Фишинг-атаку, нацеленную на высшее руководящее звено компании (учредители, гендиректора и т.п.) принято называть «охотой на китов» (whaling).

к оглавлению ↑

Захват сессии (хайджекинг)

Что такое фишинг и как с ним бороться?Хайджекинг подразумевает захват и просмотр пакетов пользователей, а также замена его на свои собственные во время интернет-сессий. В итоге, злоумышленник получает несанкционированный доступ к серверу.

к оглавлению ↑

Внедрение контента

Что такое фишинг и как с ним бороться?Внедрение контента — метод, при котором мошенник изменяет часть контента на странице надежного веб-сайта. Это делается для того, чтобы ввести пользователя в заблуждение и вынудить перейти на страницу за пределами «чистого» веб-сайта, где ему будет предложено ввести личную информацию.

к оглавлению ↑

«Человек посередине»

Что такое фишинг и как с ним бороться?Один из самых технически сложных видов фишинга, также именуемый MITM-атакой: хакер отслеживает детали транзакций между легальным сайтом и пользователем. Используя различные методы, злоумышленник разделяет исходное соединение на 2 новых: одно между пользователем и злоумышленником, а другое — между злоумышленником и сервером. В результате, хакер перехватывает всю информацию, передаваемую ничего не подозревающим юзером на сервер.

к оглавлению ↑

Фишинг с помощью поисковых систем

Что такое фишинг и как с ним бороться?Некоторые фишинговые атаки связаны с использованием поисковых систем: пользователь перенаправляется на сайты, предлагающие недорогие продукты или услуги. Пользователь пытается купить продукт и вводит данные своей кредитной карты, которые тут же передаются мошенникам. Есть много поддельных банковских сайтов, предлагающих кредитные карты или кредиты по низким ставкам, которые на самом деле являются фишинговыми.

к оглавлению ↑

Голосовой, или телефонный фишинг (vishing)

Что такое фишинг и как с ним бороться?Способ заключается в использовании злоумышленниками предварительно записанных голосовых сообщений, имитирующих телефонные звонки банков. Целью атаки является получение доступа к информации о банковских счетах, ПИН-кодах и т.п. То есть в ходе разговора вас просят ввести эти данные для доступа к выгодным услугам или обновления информации о банковском счете. Банки никогда не будут запрашивать такие данные по телефону.

Еще одним популярным видом телефонного мошенничества являются звонки от имени покупателей, заинтересованных в вашем товаре, информацию о продаже которого вы размещали на досках бесплатных объявлений (Авито, Юла и др.). В этом случае, злоумышленники просят предоставить им номер банковской карты и CVC-код, расположенный на ее обратной стороне, чтобы они могли перевести вам задаток за товар (мол, чтобы вы его не продали кому-нибудь другому).  Этого достаточно для получения доступа к вашему банковскому счету.

к оглавлению ↑

Управление ссылками

Что такое фишинг и как с ним бороться?Управление ссылками — это метод, при котором мошенник отправляет ссылку на фальшивый веб-сайт. Когда пользователь нажимает на ложную гиперссылку, открывается сайт злоумышленников вместо сайта, указанного в ссылке. Если навести курсор на ссылку, вы увидите реальный адрес, по которому будете перенаправлены.

к оглавлению ↑

Клавиатурные шпионы (keyloggers)

Что такое фишинг и как с ним бороться?Кейлоггеры относятся к вредоносным программам, используемым для перехвата данных, вводимых с клавиатуры. Полученная информация отправляется хакерам. Чтобы избежать утечки данных таким образом, многие сайты предлагают вводить конфиденциальную информацию при помощи виртуальной клавиатуры.

к оглавлению ↑

Смишинг (smishing)

Что такое фишинг и как с ним бороться?Атака в этом случае осуществляется через службу коротких сообщений (SMS), поэтому способ и получил название СМС-фишинг, или смишинг. В этом случае, в сообщение непонятного содержания включается ссылка, ведущая на вредоносный сайт, в надежде на то, что пользователь перейдет по ней, чтобы получить дополнительную информацию.

к оглавлению ↑

Трояны (trojan)

Что такое фишинг и как с ним бороться?Троянский конь — тип вредоносного ПО, предназначенный для введения пользователя в заблуждение действием, которое выглядит допустимым, но на самом деле предоставляет злоумышленникам несанкционированный доступ к учетной записи пользователя для сбора личных данных через локальный компьютер. Полученная информация передается киберпреступникам.

Одной из разновидностей троянского коня является дорожное яблоко. В этом случае, мошенник подбрасывает физический носитель (флешка, карта памяти, CD-диск и т.п.) с привлекающими внимание надписями («информация о зарплате», «налоговые отчеты» и т.п.) в местах общего доступа, чаще всего на территории целевой огранизации (столовые, парковки, рабочие места, туалеты и т.п.).

к оглавлению ↑

Вредоносное ПО (malware)

Что такое фишинг и как с ним бороться?Это опасные программы, предназначенные для доступа к компьютеру или мобильному устройству пользователя без его ведома. По сути, к вредоносному ПО можно отнести те же трояны, кейлоггеры, разнообразные вирусы, руткиты и еще много всего. Но мы выделим его в отдельную группу. На устройство юзера такие программы попадают через Интернет или электронные письма, к которым они обычно прикрепляются как вложенный файл. Признаки заражения вредоносной программой — медленная работа устройства и частые сбои в работе, всплывающие уведомления и спам.

Самое интересное: злоумышленники часто маскируют вредоносные программы под разного рода антивирусное ПО (scareware).
Выглядят они почти так же, как и настоящие антивирусы, но уведомления об угрозах безопасности, отображаемые ими служат одной единственной цели — завлечь вас на мошеннические сайты. к оглавлению ↑

Вредоносная реклама (malvertising)

Что такое фишинг и как с ним бороться?Не путайте с рекламным ПО, наполняющим страницы баннерами и тулбарами, которые чаще всего не наносят серьезного вреда (разве что достают своей назойливостью). В то время как вредоносная реклама содержит активные сценарии, предназначенные для загрузки вредоносных программ или принудительного размещения нежелательного содержимого на вашем компьютере. Эксплойты в Adobe PDF и Flash являются наиболее распространенными методами, используемыми злоумышленниками.

Схема работы метода довольно проста: мошенники получают несанкционированный доступ к базам клиентов сервисов по размещению рекламы в Интернете. После чего, выдавая себя за одного из таких рекламодателей, размещают свои рекламные объявления, содержащие вредоносный код. Юзер загружает страницу с такими объявлениями и в действие вступает код: в теневом режиме на его устройство загружается вредоносное ПО, которое тут же приступает к сбору личной информации.

Самое опасное в этом в виде фишинга это то, что для запуска кода не нужно даже кликать по рекламе, достаточно просто загрузить страницу.
к оглавлению ↑

Программы-вымогатели (ransomware)

Что такое фишинг и как с ним бороться?Еще их называют троянами-вымогателями или программами-шантажистами. Попав на компьютер или смартфон пользователя, такая программа запрещает доступ к устройству или файлам до тех пор, пока не будет выплачен «выкуп».

Выделяют 2 типа ransomware — шифровальщики и блокировщики. Первые шифруют файлы на устройстве так, чтобы их нельзя было открыть, а вторые — полностью блокируют доступ к устройству. Нежелательные программы попадают на ПК или телефон через вложения в электронных письмах, при переходе по сомнительным ссылкам или установке приложений из непроверенных источников. Вирусы-вымогатели держат в страхе пользователей почти всех операционных систем, но особенно много их для Windows и Android.

к оглавлению ↑

Поддельные сайты

Что такое фишинг и как с ним бороться?Поддельные веб-сайты, создаваемые хакерами, практические не отличимы от благонадежных. Цель создания такого веб-ресурса — заставить пользователей ввести личную информацию, которая затем может быть использована для завладения денежными средствами или запуска новых атак на жертву. Невнимательный посетитель вводит свои учетные данные для авторизации и они сразу же попадают к злоумышленникам. Так можно лишиться не только аккаунта в социальных сетях, но и доступа к своему банковскому счету.

к оглавлению ↑

Подмена домена

Что такое фишинг и как с ним бороться?Этот способ обычно дополняет другие методы. К примеру, он часто используется в «китобойном» фишинге: сотрудник получает письмо, якобы от высшего руководства или другого коллеги с просьбой отправить конфиденциальную информацию с домена очень похожего на оригинальный, но с малозаметными опечатками.

к оглавлению ↑

«Злой близнец»

Что такое фишинг и как с ним бороться?Злоумышленники используют специальные устройства, позволяющие создавать ложные точки доступа к сети Wi-Fi. Хакеры называют свои сети именами популярных компаний, предоставляющих бесплатный доступ к беспроводному Интернету в общественных местах (к примеру, МакДональдс). Все данные, передаваемые пользователями, подключившимися к такой сети, перехватываются мошенниками.

к оглавлению ↑

Мобильный фишинг

фишингМобильный фишинг я решил выделить в отдельную главу, поскольку он включает рассмотренные выше методы применительно к мобильным устройствам. Злоумышленники используют SMS, популярные приложения для социальных сетей и платформ обмена сообщениями, вроде WhatsApp, Facebook Messenger и Instagram в качестве инструментов для осуществления фишинг-атак.

к оглавлению ↑

Источники угрозы

Вот лишь некоторые риски, связанные с фишингом, которые возникают при использовании мобильных устройств:

  • Приложения — им не хватает встроенной безопасности. Бесплатные приложения обычно запрашивают доступ к функциям, который на самом деле им вовсе не нужны. Риск атаки многократно возрастает, когда приложение скачивается из неофициальных источников.
  • WiFi — отличный вариант для проведения атаки по методу «злого близнеца»: ваш смартфон «ловит» десятки вай-фай сетей, среди которых могут быть и мошеннические.
  • Bluetooth — может использоваться для распространения вирусов, а хакеры могут использовать его для взлома телефонов и получения доступа к вашим личным данным.
  • Человеческая ошибка — воры продают утерянные и украденные смартфоны покупателям, которые больше заинтересованы в хранящейся на них информации, нежели самом устройстве.
  • Смишинг — фишинг-атаки, осуществляемые посредством SMS и MMS, цель которой заставить жертву перейти по ссылке, указанной в сообщении.
к оглавлению ↑

Меры по предотвращению атак

Используйте эти рекомендации, чтобы помочь смягчить угрозу:

  • Всегда используйте надежные пароли
  • Шифруйте или блокируйте доступ к конфиденциальным данным
  • Не пренебрегайте встроенной защитой, используйте такие способы аутентификации, как отпечаток пальца или распознавание лица
  • Включить отслеживание устройства и удаленный доступ
  • Никогда не оставляйте свое устройство в общественных и других местах, где его легко украсть
  • Используйте только приложения, скачанные из официального репозитория и НИКОГДА не загружайте их через браузер
  • Следите за новыми приложениями от неизвестных разработчиков (особенно с плохими отзывами)
  • Регулярно обновляйте свои приложения. Если они больше не поддерживаются магазином приложений, просто удалите их!
  • Подумайте, прежде чем нажимать любые ссылки в текстовых сообщениях или электронных письмах на вашем мобильном устройстве
  • Никогда не делайте джейлбрейк на iOS и не получайте root-права на Android — это повышает уязвимость вашего смартфона к атакам хакеров
  • Всегда выключайте WiFi, когда вы им не пользуетесь или не нуждаетесь в нем
  • Не позволяйте вашему устройству автоматически подключаться к незнакомым сетям WiFi
  • Не отправляйте конфиденциальную информацию по WiFi, если вы не уверены в безопасности сети
  • По возможности отключайте автоматическое сопряжение Bluetooth и всегда выключайте Bluetooth, когда не пользуетесь им
  • НИКОГДА не включайте автозаполнение форм в браузере вашего устройства
к оглавлению ↑

Общие черты фишинговых писем

  1. Слишком хорошо, чтобы быть правдой    Выгодные и привлекательные предложения призваны незамедлительно привлечь ваше внимание. Например, частенько письма утверждают, что вы выиграли iPhone, крупненькую сумму или какой-нибудь другой щедрый приз. Ни в коем случае не нажимайте на подозрительные электронные письма!
  2. Чувство срочности. Любимая тактика киберпреступников — попытаться вынудить вас действовать быстро, сообщив, что супер-пупер выгодное предложение доступно в течение ограниченного промежутка времени. Нередко вам дается всего несколько минут на ответ. Когда сталкиваетесь с подобными письмами, лучше просто игнорировать их. Иногда могут приходить сообщения о том, что ваша учетная запись будет заблокирована, если вы немедленно не обновите свои личные данные. Большинство организаций (банков, например) дают достаточно времени обновление личных данных и они никогда не просят сделать это через Интернет. Банк никогда не будет запрашивать личную информацию по электронной почте или приостанавливать действие вашей учетной записи, если вы не обновите свои личные данные в течение определенного периода времени. 
    В случае сомнений, посетите официальный сайт компании напрямую, а не по ссылке в письме.
  3. Гиперссылки. Ссылка может оказаться не такой, какой кажется на первый взгляд. При наведении курсора на ссылку отображается фактический URL-адрес, на который вы будете перенаправлены кликнув по ней. Он полностью отличаться от оригинала или представлять собой интерпретацию официального сайта с некоторым ошибками. Например, www.tinkof.ru (вместо tinkoff.ru)  или www.gazpronbank.ru (вместо gazprombank.ru), так что, будьте внимательны!
  4. Вложения. Если вы видите в письме вложение, которого там быть не должно или его наличие лишено всякого смысла, не открывайте его! Прикрепленные файлы могут содержать вирусы-вымогатели, скрипты и прочий вредоносный код. Единственный тип файла, на который всегда безопасно нажимать — это .txt.
    Будьте аккуратны с прикрепленными архивами, особенно если они просят ввести пароль: такие архивы не сканируются почтовыми сервисами, а значит отлично подходят для распространения различных вирусов и программ-вымогателей.
  5. Необычный отправитель. К письмам от пользователей, которых вы не знаете или отдаленно напоминающих ваших знакомых тоже надо относиться настороженно. Часто злоумышленники создают учетные записи, напоминающие профили популярных брендов, компаний, представляясь сотрудниками банка, техподдержки и т.п.
    Если вы получили письмо от компании или сервиса, услугами которых никогда не пользовались — это признак вредоносного письма.
к оглавлению ↑

Предотвращение фишинговых атак

Хотя кибер-мошенники и постоянно придумывают все новые способы обмана, есть несколько рекомендаций, которые помогут вам, чтобы защитить себя и свой бизнес:

  • Для защиты от вредоносных писем можно использовать спам-фильтры. Как правило, чтобы определить, является ли письмо спамом фильтры оценивают источник сообщения, программное обеспечение, использованное для его отправки, а также внешний вид. Спам-фильтры не гарантируют 100%-ную защищенность, нередко блокируя электронные письма из легальных источников.
  • Браузер необходимо настроить так, чтобы предотвратить открытие мошеннических сайтов. Большинство браузеров хранит список опасных сайтов? и при попытке доступа к такому веб-ресурсу переход будет автоматически блокироваться либо на экране отобразится соответствующее предупреждение. Свободно должны открываться только надежные сайты. Существуют и сторонние инструменты для защиты от вредоносных сообщений. Сегодня практически все антивирусные программы предлагают средства защиты, которые интегрируются в браузер и отслеживают подозрительные веб-ресурсы.
  • Часто установив антивирусное ПО и пользуясь навороченными почтовыми сервисами, пользователи теряют бдительность, полностью доверившись автоматике. И допускают ошибки…Например, вводят свои логины-пароли на сомнительных веб-ресурсах. Один из способов обеспечения безопасности в этом случае — регулярно менять пароли и никогда не использовать один и тот же пароль для нескольких учетных записей. Для веб-сайтов также полезно будет использовать систему CAPTCHA для дополнительной безопасности.
  • Одним из эффективных способов борьбы с фишингом, как ни странно, является обучение сотрудников. Они должны уметь распознавать вредоносные письма и предпринимать соответствующие меры при их получении.
  • Необходимо пересмотреть свои привычки. Это касается и предотвращения фишинговых атак. Прежде чем вводить какие-либо данные на сторонних веб-ресурсах, перепроверьте достоверность указанной информации на официальном сайте.
  • Если в письме есть ссылка, сначала наведите курсор на гиперссылку. Защищенные веб-сайты с действующим сертификатом Secure Socket Layer (SSL) начинаются с «https». SSL -сертификаты служат, главным образом, для защиты транзакций и предотвращения несанкционированного доступа к конфиденциальной информации. Правда, наличие защищенного соединения еще не является гарантией защиты от вредоносных атак — злоумышленники умудряются создавать вредоносные сайты с ложными SSL-сертификатами.
  • Поддерживайте систему в актуальном состоянии. Каж