Mit tanulhatunk arról, hogy a számítógépes bűnözők milyen adathalász kampányokat vezetnek

Hogyan működnek a számítógépes bűnözők az adathalász kampányok?

Az ügyes és hozzáértő informatikai vezetők felelnek a webhelyek, szerverek és más hálózati eszközök védelméért. Modern eszközöket és technikákat használnak. A végfelhasználók, az ügyvédek, a titkárok és más dolgozók védelmére és biztonságára vonatkozó képzése azonban sok vágyat hagy.

Amint számos jelentés azt mutatja, az adathalászat a számítógépes bűnözők számára a leggyakoribb lehetőség a célrendszerhez való hozzáféréshez. Ebben a cikkben az adathalászathoz használt speciális technikákra és eszközökre fogunk belevetni, hogy segítsük vállalkozását a fenyegetés jobb megértésében és leküzdésében.

Kezdjük az elejétől, vagy inkább annak meghatározásáról, hogy mi az adathalászat. Az adathalászat egy csalás, amelynek célja a bizalmas felhasználói adatokhoz való hozzáférés, például: felhasználónevek, jelszavak és PIN-kódok.

Milyen módszereket használnak a csalók? A legnépszerűbb módszerek a;

  • Hamis e-mailek küldése rosszindulatú linkekkel vagy mellékletekkel;
  • Hamis webhelyek készítése;
  • Hamis személyes üzenetek a közösségi hálózatokon és más kommunikációs eszközökön;
  • „Szóró” flash meghajtók (fizikai szint)

Vessünk közelebbről az adathalászathoz szükséges webes erőforrások létrehozásának folyamatát. Ez a folyamat az egyik leggyakrabban használt módszer, és szerves része a többi számítógépes támadásnak.

Ez a cikk az adathalász kampány műveleteinek sorrendjéről, valamint a kiegészítő eszközökről szól.

Lásd még: 50+ adathalász statisztika és tények a 2017-2018-as időszakra

A domain kiválasztása

Először a hackerek regisztrálnak egy domaint, ahol a rosszindulatú webszolgáltatás \ erőforrása tárolódik.

  • Az általános technikák között szerepel a vizuálisan hasonló karakterek cseréje: i -> l
  • Karaktercsere Punycode segítségével
  • Bármely véletlenszerű domain név regisztrálása, de egy aldomain használata olyan célnévvel, amely az elején látható lesz, például az admin.bankofindia.com.sample.com. Nagyon hatékony a mobil ügyfelek számára, ahol a címsort a képernyő mérete miatt a legtöbb esetben levágják.
  • Pontosan ugyanazt a domaint regisztrálja egy másik zónában, például a bankofindia.io.
  • Valami „eredeti”, például a bankofindia-blog.io használatával.
  • Speciális szoftver, amely megvalósítja a leírt módszerek egy részét, például az EvilURL és a DomainFuzz.

A társaság munkatársait arra kell utasítani, hogy mindig kétszer ellenőrizze a következetlenségeket a domainben mind a böngésző URL-sávjában, mind a @ szimbólum után az e-mail címekben.

A webhelynév kiválasztása után a hackerek azt egy IP-címhez kötik és konfigurálják a kiegészítő szolgáltatásokat.

Gyakran előfordul, hogy a hackerek olyan népszerű hostolási szolgáltatásokat használnak, amelyek hozzáférést biztosítanak az adminisztrációs panelhez, ahol mindent pár kattintással konfigurálhatnak. Például havi 5 USD-ért bérelhetnek VPS-t a DigitalOcean-en.

A következő lépések az SPF, DKIM, DMARC konfigurálása:

  • Az SPF (Sender Policy Framework) egy DNS szövegbejegyzés, amely azon kiszolgálók listáját mutatja, amelyeknek engedélyezni kell egy adott domain leveleinek küldését.
  • 2) A DKIM-t (DomainKeys Identified Mail) inkább módszernek kell tekinteni annak ellenőrzésére, hogy az üzenetek tartalma megbízható-e, vagyis nem változtak meg attól a pillanattól kezdve, amikor az üzenet elhagyta az eredeti levelezőszervert. Ezt a további bizalmi szintet a szokásos nyilvános / magánkulcs-aláírási folyamat végrehajtásával érik el.
  • 3) A DMARC (tartományalapú üzenet-hitelesítés, jelentéskészítés és megfelelőség) felhatalmazza az SPF-t és a DKIM-et egyértelmű házirend meghatározásával, amelyet mindkét fentebb említett eszköznél alkalmazni kell, és lehetővé teszi egy olyan cím beállítását, amely felhasználható az e-mail üzenetek statisztikájáról szóló jelentések küldésére. a vevők összegyűjtötték az adott domainhez viszonyítva.

Ezután, ha a terv adathalász üzenetek küldése e-mailben, hozzá kell adnia a domainhez társított e-mail fiókokat. A tényleges küldési feladatok átruházhatók harmadik fél szolgáltatásainak, amelyek bizonyos esetekben segíthetnek. Például a csalók olyan legitim szolgáltatásokat használnak, mint a SendGrid, a Mandrill, a GMail for Business.

A következő lépés egy SSL-tanúsítvány kiadása az adathalász domainhez. Ez lehetővé teszi a hacker számára, hogy hamis webhelyén engedélyezze a HTTPS-t, ami arra készteti az áldozatokat, hogy jobban bízzanak benne. A múltban a HTTPS rendszerint egy legitim webhelyre utalt, de ez már nem mindig áll fenn, és a társaság munkatársait tudatni kell ezzel a tudattal..

Ehhez a Let’s Encrypt tökéletesen működik. A használt webszervertől függően nagyon sok telepítési szkript található rá.

A HTTPS engedélyezéséhez a webhelyen a hackernek tanúsítványt (fájl típusát) kell beszereznie a hitelesítésszolgáltatótól (CA). A Legyen titkosítás CA. Annak érdekében, hogy igazolást nyújtsanak webhelye domainjéhez a Let’s Encryptnél, csak be kell mutatniuk a domain feletti ellenőrzést. Ezen felül rengeteg tárhelyszolgáltató ingyenes beépített támogatást kínál a Let’s Encrypt számára.

Legális weboldalak hamis másolatainak készítése

Az adathalászat olyan hamis weblapokra támaszkodik, amelyek azonosak a legitim weboldalakkal, hogy megtévesszék az áldozatokat a személyes információk, például egy jelszó megadásával. Az első lehetőség az, hogy a hiteles webhelyet manuálisan másolja át a böngészőn keresztül vagy a GNU Wget használatával. Meg kell változtatni a linkeket, másolni a stílusokat és a képeket, meg kell vizsgálni, hogy milyen kérések kerülnek elküldésre, amikor a felhasználók megkísérelik hitelesíteni az oldalt, és el kell készíteni egy szkriptet, amely lemásolja az elküldött adatokat..

Végül néhány választható módon átirányítja az eredeti oldalt. Az internetről számos példa található az ilyen szkriptekre.

Ennek fényében a vállalati alkalmazottakat tudatosítani kell erre az adathalász webhelyek tökéletesen azonosak lehetnek az eredeti webhellyel másolnak, tehát a megjelenés nem jó módszer annak eldöntésére, hogy egy webhely jogszerű-e vagy sem.

A második lehetőség a Social-Engineer Toolkit használata. Általánosságban ez nem a legjobb megoldás, mivel magában foglalja a saját webszervert. Az adathalász keretekkel kapcsolatban még néhány: Gophish és Phisher király

Adathalász e-mailek küldése

Az adathalász csalóknak sok e-mail címet kell gyűjteniük. Honnan? Sok lehetőség van:

  • A céloldalról. A szoftverek és szolgáltatások között szerepel: Ingyenes online e-mail kivonat, Email Hippo Email Extractor, Email Grabber.
  • DNS- és WHOIS-adatokból, olyan szolgáltatás felhasználásával, mint az MxToolbox, a DNSdumpster.com
  • Egyszerű brutális erő.
  • A közösségi hálózatokon, mint például a LinkedIn, a Facebook.
  • Specializált e-mail adatbázisok: Hunter, Toofr.
  • A népszerű keresőmotorokból.
  • Mindenféle kiszivárgott adatbázisból (néha az e-mail címek érvényes jelszóval együtt jelennek meg): Snusbase, We Leak Info.
  • Speciális OSINT szoftver, például Maltego.

Az OSINT (nyílt forráskódú intelligencia) témája e cikk hatókörén kívül esik, de néhány linket adok neked, ahol többet megtudhat a rendelkezésre álló szolgáltatásokról, megközelítésekről és eszközökről: OSINT Framework, félelmetes OSINT Good OSINT nagyban segíthet a célzott adathalász támadásokban, de a munkabérek meglehetősen magasak, és ritkán használják alacsony szintű támadások esetén.

A cég alkalmazottai azt kell feltételeznie, hogy minden e-mail címük nyilvánosan elérhető és bárki, beleértve a csalókat is, megcélozhatja őket.

Adathalász e-mailek létrehozása

Miután összegyűjtötték az e-mail címeket, ideje elindítani egy teszt e-mail kampányt. A Crooks általában külön domain használatával csinálja. A teszt kampányok segítenek megérteni, hogy néz ki egy tipikus vállalati e-mail, hogyan néznek ki az aláírások, az üzenet általános formátuma, a címsorok, a spam elleni eszközök, a használt levelező kliens és egyéb dolgok.

A legtöbb vállalat saját aláírási formatervét használja, amely magában foglalja a munkavállaló teljes nevét, beosztását, elérhetőségeit stb. A hackerek csak másolják, figyelemmel a szerkezetre, a vizuális kialakításra (szín, betűtípus) stb..

Az e-mailek fejléceket tartalmaznak, amelyek segítenek megérteni a szűrőrendszer használatát, vagy részleteket adhatnak az egyes e-mail kliensekről vagy webes felületekről.

A spamszűrőkről szólva, mielőtt bármilyen új e-mailt küldene, a csalók tesztelik üzeneteiket a SpamAssassin segítségével egy külön rendszeren. A SpamAssassin „Pontszámot” ad - egy adott e-mail spamnek valószínűségének szubjektív értékelését. Ez a pontszám lehetőséget ad arra, hogy a tényleges e-mailek elküldése előtt szerkesztést végezzen annak biztosítása érdekében, hogy ne kerüljenek be a spamszűrőkbe.

Ami a tantárgy az e-mailek közül az egyszerű és a közönséges:

  • Kérjük, írja alá a dokumentumokat
  • Felmérés
  • Üdülési ütemterv

Ha a levél HTML formátumban van, és vannak hivatkozások harmadik féltől származó forrásokra (stílusok, képek), akkor néhány e-mail kliens alapértelmezés szerint blokkolja az ilyen tartalmat, bár a felhasználó kinyithatja. A hackerek társadalmi mérnöki trükköket használnak arra, hogy a felhasználó kattintást készítsen. Például egy üzenet arra ösztönözheti a felhasználókat, hogy tekintsék meg infográfia vagy kupont.

A társaság személyzetét fel kell utasítani, hogy tartsa szem elõtt ezeket a közös trükköket és Soha ne kattintson a linkekre vagy a mellékletekre kéretlen e-mailekben.

Időnként a csalók több címzettet is megadnak (a másolat fejlécét) ugyanazon vállalaton belül. Néha használják Fwd vagy Újra a tárgysorban - mindez növeli a bizalmat.

Lásd még: Közös adathalász csalások

E-mail mellékletek

Miután a szöveg elkészült, ideje folytatni a mellékleteket. A hackereket nemcsak az érdekli, hogy az áldozatok nyitott e-maileket kapjanak. Lehetséges, hogy rosszindulatú szoftverekkel is áthatolnak a címzett eszközein, és az e-mail csatolmányok ennek fő előnye.

Mit küldnek a csalók általában? Alapvetően, Microsoft Office dokumentumok és néha archívumok. A tipikus végrehajtható kiterjesztések (.exe) küldése szinte 100% -ban biztos, hogy egy spamszűrő leállítja. Furcsa, de a vállalatok szinte az összes potenciálisan veszélyes fájlkiterjesztést a mellékletekben szűrik, de engedje át a RAR, ZIP és más archívumokat.

Irodai dokumentumok esetén a következő lehetőségeket kell használni:

  • Mindenféle kizsákmányolás a nyilvános sebezhetőség érdekében;
  • makrók;
  • Dinamikus adatcsere;
  • OLE;
  • Kevésbé általános fájlformátumok, mint például a HTA. Időnként lehetséges kihasználások vagy sebezhetőségek megtalálása.

Ha a hackerek csak egy fájl megnyitásának kísérletét akarják regisztrálni, akkor néhány módszerük van erre:

  • Külső forrás elérése (néha hasznos adatok kiszivárgásának lehetőségével)
  • A dokumentum aláírása digitális tanúsítvánnyal
  • A kapcsolat figyelése a CRL vagy az Timestamp szerverekkel.

Újra, a személyzet soha nem kattintson a mellékletekre kéretlen e-mailekben különös figyelmet kell fordítania a Microsoft Office dokumentumaira és a tömörített fájlokra.

Közösségi hálózatok

A közösségi hálózatok és más kommunikációs eszközök esetében a megközelítés nem különbözik nagyban az általános e-mail adathalásztól. A Darknet fórumok dumpeket tartalmaznak a személyes levelek és a csevegések másolataival. Ezek célja az áldozattal való megbízható kapcsolat kialakítása, amely rosszindulatú link vagy fájl elküldéséhez vezet.

A vállalati személyzetnek tisztában kell lennie azzal, hogy társadalmi média és e-mail útján is megcélozhatja őket.

Fizikai közegek

A hackerek hagyhatják az USB flash meghajtókat vagy más fizikai adathordozókat fekve, hogy az áldozatokat rávegyék arra, hogy személyes eszközükbe helyezzék őket. A taktika nagyban változik, de általában valamilyen formában lehetőség van arra, hogy kölcsönhatásba lépjen az alkalmazottakkal. A legtöbb esetben a csalók Rubber Ducky-t vagy annak az AliExpress olcsó másolatait használják.

Vállalat Az informatikai személyzetnek olyan irányelvet kell kidolgoznia, amely megtiltja a személyes USB-eszközök használatát az irodában.

Az adathalász hatásai

A dolgok hajlamosak kiesni, ha egy felhasználó véletlenül rákapaszkodik a horogra, különösen, ha a cél a cég alkalmazottja. Az érzékeny hozzáférési hitelesítő adatok megszerzése után az ellenfél eltulajdoníthatja a szellemi tulajdont és más védett vállalati anyagokat. Ezenkívül károsíthatják a vállalat hírnevét, ha néhány belső kommunikációt közzétesznek - ez végső soron alááshatja az ügyfelek bizalmát a márka iránt. Egyes esetekben a hackerek elkezdenek zsarolni szervezeteket. Ráadásul bizonyos esetekben a szervezetek közvetlen költségekkel is szembesülhetnek azzal, hogy pénzbírságot kell fizetniük a HIPAA, például a HIPAA előírások megsértéséért, és fedezniük kell a személyzet vagy az ügyfelek személyi identitásuk megóvásának kompenzációját..

A rendszeres felhasználók kockázatát veszítik az adathalászat miatt, ha a bűnözők hozzáférnek bankszámlájukhoz. A sikeres támadás a zsarolási kísérleteket is elősegítheti, ahol az elkövetők váltságdíjat kérnek azért, hogy az áldozattal kapcsolatban nem találnak zavaró információkat. A rosszindulatú programok telepítése a fogadó számítógépekre egy másik lehetséges vektorja a rosszindulatú tényezők tevékenységének.

A nap végén az adathalász támadások mindig negatív következményekkel járnak mind a vállalati, mind az otthoni felhasználók számára. A biztonság fenntartása érdekében vigyázzon a fent felsorolt ​​vörös zászlókra, és kezelje a gyanús e-maileket egy kissé ésszerű paranoiaval. További tippeket az adathalászat elkerülésére az itt található útmutatónkban talál.

Lásd még: Mi a lándzsás adathalász??

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 3 = 12

Adblock
detector