Какво можем да научим от това как киберпрестъпниците провеждат фишинг кампании

Как киберпрестъпниците управляват фишинг кампании

Умните и компетентни ИТ мениджъри са отговорни за защитата на уебсайтове, сървъри и други мрежови устройства. Те използват съвременни инструменти и техники. Въпреки това, обучението за защита и сигурност на крайните потребители, служителите за поддръжка, секретари и други работници, оставя много да се желае.

Както показват многобройните доклади, фишингът често е най-често срещаният вариант за киберпрестъпниците да получат достъп до целевата система. В тази статия ще се потопим в специфични техники и инструменти, използвани при фишинг, за да помогнем на вашата компания да разбере по-добре и да се бори със заплахата.

Нека започнем от самото начало, или по-скоро с дефиницията какво е фишинг. Фишингът е вид измама, чиято цел е да получи достъп до поверителни потребителски данни, например: потребителски имена, пароли и ПИН номера.

Какви методи използват мошениците? Най-популярните методи са;

  • Изпращане на фалшиви имейли със злонамерени връзки или прикачени файлове;
  • Създаване на фалшиви уебсайтове;
  • Фалшиви лични съобщения в социалните мрежи и други средства за комуникация;
  • „Разсейващи” флаш устройства (физическо ниво)

Нека разгледаме по-подробно процеса на създаване на уеб ресурси за фишинг. Този процес е един от най-често използваните и е неразделен елемент от други кибератаки.

Тази статия разглежда реда на действията във фишинг кампания, както и спомагателните инструменти.

Вижте също: 50+ фишинг статистика и факти за 2017-2018

Избор на домейна

Първо, хакерите регистрират домейн, в който ще се хоства тяхната злонамерена уеб услуга \ ресурс.

  • Общите техники включват подмяна на визуално сходни знаци: i -> л
  • Подмяна на символи с помощта на Punycode
  • Регистриране на произволно име на домейн, но с помощта на поддомейн с целево име, което ще бъде видимо в началото, като admin.bankofindia.com.sample.com. Той е много ефективен за мобилни клиенти, където адресната лента в повечето случаи се изрязва поради размера на екрана.
  • Регистрирайте точно същия домейн в друга зона, например, bankofindia.io.
  • Използване на нещо „оригинално“ като bankofindia-blog.io.
  • Използване на специален софтуер, който реализира някои от описаните методи, например EvilURL и DomainFuzz.

Персоналът на компанията трябва да бъде инструктиран винаги двойна проверка за несъответствия в домейна както в URL лентата на браузъра си, така и след символа @ в имейл адресите.

След като изберат името на сайта, хакерите го свързват към IP адрес и конфигурират допълнителни функции.

Обичайно е хакерите да използват популярни хостинг услуги, които дават достъп до административния панел, където всичко може да бъде конфигурирано с няколко щраквания. Например, те могат да наемат VPS в DigitalOcean за 5 USD на месец.

Следващите стъпки са конфигуриране на SPF, DKIM, DMARC:

  • SPF (Sender Policy Framework) е запис на DNS текст, който показва списък на сървърите, на които трябва да бъде разрешено да изпращат поща за определен домейн.
  • 2) DKIM (DomainKeys Identified Mail) трябва да се счита за метод за проверка дали съдържанието на съобщенията е надеждно, което означава, че те не са променени от момента, в който съобщението напусне първоначалния пощенски сървър. Този допълнителен слой на доверие се постига чрез прилагане на стандартния процес на подписване на публичен / частен ключ.
  • 3) DMARC (Удостоверяване на съобщения, докладване и съответствие) на базата на домейн дава право на SPF и DKIM, като посочва ясна политика, която трябва да се използва както по-горе посочените инструменти, така и позволява да се определи адрес, който може да се използва за изпращане на отчети за статистическите данни за пощенските съобщения събрани от приемници срещу конкретния домейн.

На следващо място, ако планът е да изпращате фишинг съобщения чрез имейл, е необходимо да добавите имейл акаунти, свързани с домейна. Реалните задължения за изпращане могат да бъдат делегирани на услуги на трети страни, което може да помогне в някои случаи. Например мошениците използват законни услуги като SendGrid, Mandrill, GMail for Business.

Следващата стъпка е да издадете SSL сертификат за фишинг домейна. Това позволява на хакера да активира HTTPS на фалшивия си уебсайт, което може да накара жертвите да му се доверят повече. В миналото HTTPS обикновено беше показателен за легитимен уебсайт, но това вече не винаги е така и служителите на компанията трябва да знаят това.

Нека Encrypt работи отлично за това. Има много скриптове за разполагане за него, в зависимост от използвания уеб сървър.

За да активирате HTTPS на вашия уебсайт, хакерът трябва да получи сертификат (тип файл) от сертифициращия орган (CA). Да шифроваме е CA. За да получите сертификат за домейна на уебсайта си от Let’s Encrypt, те просто трябва да демонстрират контрол над домейна. Плюс много хостинг доставчици предлагат безплатна вградена поддръжка за Let’s Encrypt.

Създаване на фалшиви копия на законни уеб страници

Фишингът разчита на фалшиви уеб страници, които изглеждат идентични на законните уеб страници, за да подмамят жертвите да въвеждат лична информация, като парола. Първата опция е да копирате автентичния сайт или ръчно през браузъра, или с помощта на GNU Wget. Необходимо е да промените връзките, да копирате стиловете и изображенията, да видите какви заявки се изпращат, когато потребителите се опитват да се удостоверят на страницата, и да направят скрипт, който ще копира изпратените към него данни.

В крайна сметка някои правят по избор пренасочване към оригиналната страница. В интернет има много примери за такива скриптове.

В светлината на това служителите на компанията трябва да бъдат запознати с това Фишинг уебсайтовете могат да изглеждат напълно идентични с автентичните те се представят, така че появата не е добър начин да се прецени дали сайтът е легитимен или не.

Вторият вариант е да използвате инструментариума Social-Engineer. Като цяло това не е най-добрият вариант, тъй като включва собствен уеб сървър. По темата за фишинг рамките, още няколко включват: Gophish и King Phisher

Изпращане на фишинг имейли

Фишинг измамниците трябва да събират много имейл адреси. От къде? Има много опции:

  • От целевия уебсайт. Софтуерът и услугите включват: Безплатен онлайн извличащ имейл, Изпращане на имейл Hippo, Изграждане на имейл.
  • От DNS и WHOIS данни, използвайки услуга като MxToolbox, DNSdumpster.com
  • Проста груба сила.
  • От социални мрежи като LinkedIn, Facebook.
  • Специализирани бази данни за електронна поща: Hunter, Toofr.
  • От популярните търсачки.
  • От всички видове изтичащи бази данни (понякога имейл адресите отиват заедно с валидна парола): Snusbase, We Leak Info.
  • Специален софтуер за OSINT, например Maltego.

Темата за OSINT (с отворен код) е извън обхвата на тази статия, но ще ви дам няколко връзки, където можете да научите повече за услугите, подходите и наличните инструменти: OSINT Framework, Awesome OSINT Good OSINT може значително да помогне при насочени фишинг атаки, но разходите за труд са доста високи и рядко се използват при атаки с ниско ниво.

Персонал на фирмата трябва да приемем, че всичките им имейл адреси са публично достъпни и всеки, включително измамници, може да ги насочи.

Създаване на фишинг имейли

След като имейл адресите бъдат събрани, е време да се проведе тестова имейл кампания. Мошениците обикновено го правят, като използват отделен домейн. Тестовите кампании помагат да разберете как изглежда типично имейл съобщение на компанията, как изглежда подписите, общия формат на съобщението, неговите заглавия, всякакви антиспам инструменти, използвания пощенски клиент и други неща.

Повечето компании използват собствен дизайн на подпис, който включва пълното име, длъжност, данни за контакт на служителя и т.н. Хакерите просто го копират, като обръщат внимание на структурата, визуалния дизайн (цвят, шрифт) и т.н..

Всеки имейл съдържа заглавки, които могат да помогнат да разберете дали се използва система за филтриране или да предоставите подробности за конкретни имейл клиенти или уеб интерфейси.

Говорейки за филтри за спам, преди да изпращат нови имейли, мошениците тестват своите съобщения със SpamAssassin в отделна система. SpamAssassin предоставя „Резултат“ - субективна оценка на вероятността конкретен имейл да е спам. Този резултат е възможност за редактиране, преди да изпращате действителни имейли, за да сте сигурни, че те не попадат в спам филтри.

Колкото до тема линия от имейла се използват прости и общи:

  • Моля, подпишете документи
  • Изследване
  • Работен график за празници

Ако писмото е в HTML формат и има връзки към ресурси на трети страни (стилове, изображения), тогава някои имейл клиенти ще блокират такова съдържание по подразбиране, въпреки че то може да бъде отключено от потребителя. Хакерите използват трикове за социално инженерство, за да накарат потребителите да кликват. Например, съобщение може да насърчи потребителите да гледат инфографика или талон.

Персоналът на компанията трябва да бъде инструктиран да следи за тези общи трикове и никога не кликвайте върху връзки или прикачени файлове в непоискани имейли.

Понякога мошеници посочват множество получатели (заглавката на Cc) в рамките на една и съща компания. Понякога те използват Fwd или ре в темата - всичко това добавя доверие.

Вижте също: Чести измами с фишинг

Прикачени файлове по имейл

След като текстът е готов, е време да пристъпите към прикачените файлове. Хакерите може да не се интересуват само от това да накарат жертви да отварят имейли. Те могат също така да искат да проникнат в устройството на получателя със злонамерен софтуер, а прикачените имейли са главен път за това.

Какво обикновено изпращат мошениците? в основата си, Microsoft Office документи, а понякога и архиви. Изпращането на типични изпълними разширения (.exe) е почти 100 процента сигурно, че ще бъде спряно от филтър за спам. Странно е, но компаниите филтрират почти всички потенциално опасни разширения на файлове в прикачени файлове, но позволете RAR, ZIP и други архиви да преминат през.

В случай на офис документи се използват следните опции:

  • Всякакви подвизи за обществени уязвимости;
  • макроси;
  • Динамичен обмен на данни;
  • OLE;
  • По-малко разпространени файлови формати, като HTA. Понякога е възможно да се намерят подвизи или уязвими места.

Ако хакерите са заинтересовани само да регистрират опит за отваряне на файл, те имат няколко метода за това:

  • Достъп до външен източник (понякога с възможност за изтичане на полезни данни)
  • Подписване на документа с цифров сертификат
  • Наблюдение на контакта със сървърите на CRL или Timestamp.

Отново, персоналът никога не трябва да кликва върху прикачени файлове в непоискани имейли и бъдете особено внимателни към документите на Microsoft Office и компресираните файлове.

Социални мрежи

За социалните мрежи и други средства за комуникация подходът не се различава много от общия имейл фишинг. Форумите на Darknet съдържат демппове с копия на лична кореспонденция и чатове. Те са насочени към формиране на надеждни отношения с жертва, което води до изпращане на злонамерена връзка или файл.

Персоналът на компанията трябва да е наясно, че те могат да бъдат насочени чрез социални медии, както и по имейл.

Физическа среда

Хакерите може да оставят USB флаш дискове или други физически носители да лежат наоколо, за да примамят жертвите да ги вмъкват в личните си устройства. Тактиките варират значително, но обикновено под една или друга форма има възможност за взаимодействие със служителите. В повечето случаи мошениците използват Rubber Ducky или неговите евтини реплики от AliExpress.

Търговско дружество ИТ персоналът трябва да определи политика, която да забранява използването на лични USB устройства в офиса.

Влиянието на фишинга

Нещата са склонни да излязат от употреба, ако някой случайно се качи на куката на мошениците, особено ако целта е служител на компанията. След като получи чувствителни данни за достъп, противникът може да открадне интелектуална собственост и други собствени корпоративни материали. Освен това, те могат да навредят на репутацията на компанията, като разкрият някои вътрешни комуникации - в крайна сметка това ще подкопае доверието на клиентите към марката. В някои случаи хакерите започват да изнудват организации. В допълнение към това, в някои сценарии организациите могат допълнително да се сблъскат с преки разходи, като трябва да платят глоби за нарушаване на разпоредби като HIPAA и да покрият компенсации на персонала или клиентите за неспазване на тяхната идентичност.

Редовните потребители рискуват да загубят парите си от фишинг, ако престъпниците получат достъп до банковата си сметка. Успешната атака може да подкрепи и опити за изнудване, когато извършителите изискват откуп за неразгласяване на някаква неудобна информация за жертвата. Инсталирането на злонамерен софтуер на компютрите на получателите е друг възможен вектор на дейността на злоупотребите.

В крайна сметка фишинг атаките винаги водят до неблагоприятни последици както за корпоративните, така и за домашните потребители. За да сте в безопасност, не забравяйте да внимавате за червените флагове, изброени по-горе, и се отнасяйте към подозрителни имейли с малко разумна параноя. Повече съвети за избягване на фишинг можете да намерите в нашето ръководство тук.

Вижте също: Какво е фишинг на копия?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

28 + = 31

Adblock
detector