Что мы можем узнать из того, как киберпреступники проводят фишинговые кампании

Как киберпреступники проводят фишинговые кампании

Умные и компетентные ИТ-менеджеры отвечают за защиту сайтов, серверов, других сетевых устройств. Они используют современные инструменты и методы. Однако обучение конечных пользователей, представителей службы поддержки, секретарей и других работников по вопросам защиты и безопасности оставляет желать лучшего.

Как показывают многочисленные отчеты, фишинг часто является наиболее распространенной возможностью для киберпреступников получить доступ к целевой системе. В этой статье мы рассмотрим конкретные методы и инструменты, используемые в фишинге, чтобы помочь вашей компании лучше понять угрозу и бороться с ней..

Давайте начнем с самого начала, точнее с определения того, что такое фишинг. Фишинг - это вид мошенничества, целью которого является получение доступа к конфиденциальным данным пользователя, например, именам пользователей, паролям и PIN-номерам..

Какие методы используют мошенники? Самые популярные методы:

  • Отправка поддельных писем с вредоносными ссылками или вложениями;
  • Создание поддельных сайтов;
  • Поддельные личные сообщения в социальных сетях и других средствах связи;
  • «Разбрасывающие» флешки (физический уровень)

Давайте подробнее рассмотрим процесс создания веб-ресурсов для фишинга. Этот процесс является одним из наиболее часто используемых и является неотъемлемым элементом других кибератак..

В этой статье рассматривается порядок действий в фишинговой кампании, а также вспомогательные инструменты.

Смотрите также: 50+ фишинг-статистики и фактов за 2017-2018

Выбор домена

Сначала хакеры регистрируют домен, где будет размещаться их вредоносный веб-сервис \ ресурс..

  • Общие методы включают замену визуально похожих символов: -> L
  • Замена персонажа с помощью Punycode
  • Регистрация любого случайного доменного имени, но с использованием субдомена с целевым именем, которое будет отображаться в начале, например, admin.bankofindia.com.sample.com. Это очень эффективно для мобильных клиентов, где адресная строка в большинстве случаев обрезается из-за размера экрана.
  • Зарегистрируйте точно такой же домен в другой зоне, например, bankofindia.io.
  • Использование чего-то «оригинального», такого как bankofindia-blog.io.
  • Использование специального программного обеспечения, которое реализует некоторые из описанных методов, например, EvilURL и DomainFuzz.

Сотрудники компании должны быть проинструктированы всегда двойная проверка на несоответствия в домене как в адресной строке браузера, так и после символа @ в адресах электронной почты.

После выбора имени сайта хакеры связывают его с IP-адресом и настраивают дополнительные функции.

Хакерам свойственно использовать популярные хостинговые сервисы, которые предоставляют доступ к панели администратора, где все можно настроить за пару кликов. Например, они могут арендовать VPS в DigitalOcean за 5 долларов в месяц.

Следующие шаги настройки SPF, DKIM, DMARC:

  • SPF (Sender Policy Framework) - это текстовая запись DNS, которая показывает список серверов, которым разрешено отправлять почту для определенного домена..
  • 2) Вместо этого следует рассматривать DKIM (Идентифицированную Почту DomainKeys) как метод проверки достоверности содержимого сообщений, что означает, что они не изменились с момента, когда сообщение покинуло исходный почтовый сервер. Этот дополнительный уровень доверия достигается путем реализации стандартного процесса подписания открытого / закрытого ключа.
  • 3) DMARC (Аутентификация, отчетность и соответствие сообщений на основе доменов) расширяет возможности SPF и DKIM, устанавливая четкую политику, которая должна использоваться в отношении обоих вышеупомянутых инструментов, и позволяет задать адрес, который можно использовать для отправки отчетов о статистике почтовых сообщений. собранные получателями против конкретного домена.

Далее, если планируется отправка фишинговых сообщений по электронной почте, необходимо добавить учетные записи электронной почты, связанные с доменом. Фактические обязанности по отправке могут быть делегированы сторонним службам, которые могут помочь в некоторых случаях. Например, мошенники используют законные сервисы, такие как SendGrid, Mandrill, GMail for Business.

Следующим шагом является выдача SSL-сертификата для фишингового домена. Это позволяет хакеру включить HTTPS на своем поддельном веб-сайте, что может заставить жертв больше доверять ему. В прошлом HTTPS обычно указывал на законный веб-сайт, но это уже не всегда так, и персонал компании должен знать об этом.

Let's Encrypt прекрасно работает для этого. Для этого существует множество сценариев развертывания в зависимости от используемого веб-сервера..

Чтобы включить HTTPS на вашем веб-сайте, хакеру необходимо получить сертификат (тип файла) от центра сертификации (ЦС). Давайте зашифруем это CA. Чтобы получить сертификат для домена вашего сайта от Let's Encrypt, им просто нужно продемонстрировать контроль над доменом. Плюс множество хостинг-провайдеров предлагают бесплатную встроенную поддержку Let’s Encrypt.

Создание поддельных копий законных веб-страниц

Фишинг основан на поддельных веб-страницах, которые выглядят идентично законным веб-страницам, чтобы обманным путем заставить жертву ввести личную информацию, такую ​​как пароль. Первый вариант - скопировать аутентичный сайт либо вручную через браузер, либо используя GNU Wget. Необходимо изменить ссылки, скопировать стили и изображения, посмотреть, какие запросы отправляются, когда пользователи пытаются аутентифицироваться на странице, и создать сценарий, который будет копировать отправленные на него данные..

В конце концов, некоторые делают необязательный редирект на исходную страницу. В интернете много примеров таких скриптов.

В свете этого сотрудники компании должны знать, что фишинговые сайты могут выглядеть абсолютно идентично подлинному сайту они подражают, поэтому внешний вид не является хорошим способом оценить, является ли сайт законным или нет.

Второй вариант - использовать Social-Engineer Toolkit. В общем, это не лучший вариант, так как в нем задействован собственный веб-сервер. На тему фишинговых фреймворков, еще пара включает: Gophish и King Phisher

Отправка фишинговых писем

Фишинг-мошенники должны собирать много адресов электронной почты. Откуда? Есть много вариантов:

  • С целевого сайта. Программное обеспечение и услуги включают в себя: бесплатный онлайн-экстрактор электронной почты, электронный почтовый ящик Hippo Extractor, почтовый граббер.
  • Из данных DNS и WHOIS, используя такой сервис, как MxToolbox, DNSdumpster.com
  • Простая перебор.
  • Из социальных сетей, таких как LinkedIn, Facebook.
  • Специализированные базы данных электронной почты: Hunter, Toofr.
  • Из популярных поисковых систем.
  • Из всех видов утечек баз данных (иногда адреса электронной почты идут вместе с действительным паролем): Snusbase, We Leak Info.
  • Специальное программное обеспечение OSINT, например Maltego.

Тема OSINT (интеллектуальные ресурсы с открытым исходным кодом) выходит за рамки данной статьи, но я дам вам несколько ссылок, где вы можете узнать больше о доступных сервисах, подходах и инструментах: OSINT Framework, Awesome OSINT Хорошо OSINT может сильно помочь в целевых фишинговых атаках, но затраты на рабочую силу довольно высоки и редко используются при атаках низкого уровня.

Сотрудники компании следует предположить, что все их адреса электронной почты общедоступны и любой, включая мошенников, может нацелиться на них.

Создание фишинговых писем

После того, как адреса электронной почты собраны, настало время провести тестовую кампанию по электронной почте. Мошенники обычно делают это, используя отдельный домен. Тестовые кампании помогают понять, как выглядит типичное сообщение электронной почты компании, как выглядят подписи, общий формат сообщения, его заголовки, любые средства защиты от спама, используемый почтовый клиент и другие вещи..

Большинство компаний используют свой собственный дизайн подписи, который включает полное имя сотрудника, должность, контактные данные и т. Д. Хакеры просто копируют его, обращая внимание на структуру, визуальный дизайн (цвет, шрифт) и т. Д..

Любая электронная почта содержит заголовки, которые могут помочь понять, используется ли система фильтрации, или предоставить подробную информацию о конкретных почтовых клиентах или веб-интерфейсах..

Говоря о фильтрах спама, перед отправкой новых писем мошенники проверяют свои сообщения с помощью SpamAssassin в отдельной системе. SpamAssassin предоставляет «Оценка» - субъективную оценку вероятности того, что конкретное письмо является спамом. Эта оценка дает возможность вносить изменения перед отправкой реальных писем, чтобы убедиться, что они не попадают в спам-фильтры..

Для Сюжетная линия из электронной почты, простые и общие используются:

  • Пожалуйста, подпишите документы
  • Опрос
  • График работы на праздники

Если письмо имеет формат HTML и имеются ссылки на сторонние ресурсы (стили, изображения), некоторые почтовые клиенты по умолчанию блокируют такое содержимое, хотя оно может быть разблокировано пользователем. Хакеры используют приемы социальной инженерии, чтобы заставить пользователей кликать. Например, сообщение может побуждать пользователей просматривать инфографику или купон.

Сотрудники компании должны быть проинструктированы следить за этими распространенными уловками и никогда не нажимайте на ссылки или вложения в нежелательных письмах.

Иногда мошенники указывают несколько получателей (заголовок Cc) в пределах одной компании. Иногда они используют Fwd или ре в теме - все это добавляет доверия.

Смотрите также: Обычные фишинговые мошенничества

Вложения электронной почты

Как только текст готов, настало время перейти к приложениям. Хакеры могут быть заинтересованы не только в том, чтобы жертвы открывали электронные письма. Они также могут захотеть проникнуть на устройство получателя с помощью вредоносных программ, и вложения электронной почты являются основным способом сделать это..

Что обычно посылают мошенники? В принципе, Документы Microsoft Office, а иногда и архивы. Отправка типичных исполняемых расширений (.exe) почти на 100 процентов обязательно будет остановлена ​​спам-фильтром. Странно, но компании фильтруют практически все потенциально опасные расширения файлов во вложениях, но разрешить просмотр RAR, ZIP и других архивов.

В случае офисных документов используются следующие параметры:

  • Все виды эксплойтов для публичных уязвимостей;
  • Макросы;
  • Динамический обмен данными;
  • OLE;
  • Менее распространенные форматы файлов, такие как HTA. Иногда можно найти эксплойты или уязвимости.

Если хакеры заинтересованы только в регистрации попытки открыть файл, у них есть несколько способов сделать это:

  • Доступ к внешнему источнику (иногда с возможностью утечки полезных данных)
  • Подписание документа цифровым сертификатом
  • Мониторинг контакта с серверами CRL или Timestamp.

Опять таки, персонал никогда не должен нажимать на вложения в нежелательных электронных письмах и особенно остерегайтесь документов Microsoft Office и сжатых файлов.

Социальные сети

Для социальных сетей и других средств коммуникации этот подход не сильно отличается от обычного фишинга электронной почты. Форумы Darknet содержат дампы с копиями личной переписки и чатов. Они направлены на формирование доверительных отношений с жертвой, что приводит к отправке им вредоносной ссылки или файла.

Сотрудники компании должны знать, что они могут быть направлены через социальные сети, а также по электронной почте.

Физическая среда

Хакеры могут оставить флеш-накопители USB или другие физические носители, чтобы заманить жертву, чтобы вставить их в свои личные устройства. Тактика варьируется в широких пределах, но обычно в той или иной форме есть возможность взаимодействовать с сотрудниками. В большинстве случаев мошенники используют Rubber Ducky или его дешевые копии с AliExpress.

Компания ИТ-персонал должен установить политику, запрещающую использование личных USB-устройств в офисе.

Влияние фишинга

Вещи, как правило, выходят из-под контроля, если пользователь попадает на крючок мошенников, особенно если целью является сотрудник компании. Получив конфиденциальные учетные данные, злоумышленник может украсть интеллектуальную собственность и другие фирменные корпоративные материалы. Кроме того, они могут нанести ущерб репутации компании, раскрывая некоторые внутренние коммуникации, что в конечном итоге подорвет доверие клиентов к бренду. В некоторых случаях хакеры начинают шантажировать организации. В довершение всего, в некоторых сценариях организации могут столкнуться с прямыми расходами, поскольку им приходится платить штрафы за нарушение правил, таких как HIPAA, и покрывать компенсации персоналу или клиентам за неспособность защитить их личность..

Обычные пользователи рискуют потерять свои деньги из-за фишинга, если преступники получат доступ к своему банковскому счету. Успешная атака может также поддержать попытки вымогательства, когда преступники требуют выкуп за то, что не раскрыли некоторую неловкую информацию о жертве. Установка вредоносного ПО на компьютеры получателей является еще одним возможным вектором активности злоумышленников..

В конце концов, фишинговые атаки всегда приводят к неблагоприятным последствиям как для корпоративных, так и для домашних пользователей. Чтобы оставаться в безопасности, обязательно обратите внимание на красные флаги, перечисленные выше, и относитесь к подозрительным электронным письмам с некоторой разумной паранойей. Дополнительные советы по предотвращению фишинга можно найти в нашем руководстве здесь..

Смотрите также: Что такое фишинг с копьем?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 57 = 67

Adblock
detector