Ce putem afla de la modul în care cybercriminalii derulează campanii de phishing

Modul în care cybercriminalii derulează campanii de phishing

Managerii IT inteligenți și competenți sunt responsabili pentru protecția site-urilor web, a serverelor și a altor dispozitive de rețea. Ei folosesc instrumente și tehnici moderne. Cu toate acestea, pregătirea pentru protecție și securitate a utilizatorilor finali, reprezentanți de asistență, secretari și alți lucrători, lasă mult de dorit.

După cum arată numeroase rapoarte, phishingul este adesea cea mai comună opțiune pentru cibernetici pentru a avea acces la sistemul țintă. În acest articol, ne vom arunca în tehnici și instrumente specifice utilizate în phishing pentru a vă ajuta compania să înțeleagă și să combată mai bine amenințarea.

Să începem de la început sau, mai degrabă, cu definiția ce înseamnă phishing. Phishingul este un tip de fraudă, al cărui scop este de a obține acces la datele confidențiale ale utilizatorilor, de exemplu: nume de utilizator, parole și numere PIN.

Ce metode folosesc escrocii? Cele mai populare metode sunt;

  • Trimiterea de e-mailuri false cu link-uri sau atașamente dăunătoare;
  • Crearea de site-uri web false;
  • Mesaje personale false în rețelele sociale și alte mijloace de comunicare;
  • Unități flash „Scattering” (nivel fizic)

Să aruncăm o privire mai atentă la procesul de creare a resurselor web pentru phishing. Acest proces este unul dintre cele mai des utilizate și este un element integrant al altor atacuri cibernetice.

Acest articol tratează ordinea acțiunilor într-o campanie de phishing, precum și instrumente auxiliare.

Vezi si: 50+ statistici și fapte de tip phishing pentru 2017-2018

Alegerea domeniului

În primul rând, hackerii înregistrează un domeniu în care serviciul lor web rău-găzduit va fi găzduit.

  • Tehnicile comune includ înlocuirea caracterelor similare vizual: i -> L
  • Înlocuirea caracterelor folosind Punycode
  • Înregistrarea oricărui nume de domeniu aleatoriu, dar folosind un subdomeniu cu un nume țintă, care va fi vizibil la început, precum admin.bankofindia.com.sample.com. Este foarte eficient pentru clienții mobili, unde bara de adrese în majoritatea cazurilor este tăiată din cauza dimensiunii ecranului.
  • Înregistrați exact același domeniu într-o altă zonă, de exemplu, bankofindia.io.
  • Folosind ceva „original” precum bankofindia-blog.io.
  • Folosind un software special care implementează unele dintre metodele descrise, de exemplu, EvilURL și DomainFuzz.

Personalul companiei trebuie să fie instruit întotdeauna verificați dublu dacă există neconcordanțe în domeniu atât în ​​bara URL a browserului lor, cât și după simbolul @ din adresele de e-mail.

După ce au selectat numele site-ului, hackerii îl leagă la o adresă IP și configurează funcții suplimentare.

Este obișnuit ca hackerii să utilizeze servicii populare de găzduire care oferă acces la panoul de administrare unde totul poate fi configurat în câteva clicuri. De exemplu, pot închiria un VPS la DigitalOcean pentru 5 USD pe lună.

Pașii următori sunt configurarea SPF, DKIM, DMARC:

  • SPF (Sender Policy Framework) este o intrare de text DNS care prezintă o listă de servere care ar trebui să fie autorizate să trimită poștă pentru un anumit domeniu.
  • 2) DKIM (MailKeys Identified Mail) ar trebui în schimb să fie considerată o metodă de verificare a conținutului mesajelor de încredere, ceea ce înseamnă că nu au fost schimbate din momentul în care mesajul a părăsit serverul de poștă inițial. Acest nivel suplimentar de încredere este realizat printr-o implementare a procesului standard de semnare a cheilor publice / private.
  • 3) DMARC (autentificarea, raportarea și conformarea mesajelor bazate pe domenii) împuternicește SPF și DKIM afirmând o politică clară care trebuie folosită atât pentru instrumentele menționate mai sus, cât și pentru a seta o adresă care poate fi utilizată pentru a trimite rapoarte despre statisticile mesajelor poștale. adunate de către receptoare împotriva domeniului specific.

În continuare, dacă planul este de a trimite mesaje de phishing folosind e-mail, este necesar să adăugați conturi de e-mail asociate domeniului. Sarcinile efective de trimitere pot fi delegate unor servicii terțe, ceea ce poate ajuta în unele cazuri. De exemplu, escrocii folosesc servicii legitime precum SendGrid, Mandrill, GMail pentru afaceri.

Următorul pas este emiterea unui certificat SSL pentru domeniul phishing. Acest lucru permite hackerului să activeze HTTPS pe site-ul lor fals, ceea ce poate face victimele să aibă încredere în el. În trecut, HTTPS era de obicei indicativ al unui site web legitim, dar acesta nu mai este întotdeauna cazul, iar personalul companiei ar trebui să fie informat despre acest lucru.

Let’s Encrypt funcționează perfect pentru asta. Există o mulțime de scripturi de implementare pentru acesta, în funcție de serverul web utilizat.

Pentru a activa HTTPS pe site-ul dvs. web, hackerul trebuie să obțină un certificat (un tip de fișier) de la Autoritatea de certificare (CA). Vă rugăm să criptăm este o CA. Pentru a obține un certificat pentru domeniul site-ului dvs. web de la Let’s Encrypt, trebuie doar să demonstreze controlul asupra domeniului. În plus, mulți furnizori de găzduire oferă asistență integrată gratuită pentru criptarea Let’s.

Crearea de copii false ale paginilor web legitime

Phishing se bazează pe pagini web false care arată identic cu paginile web legitime pentru a păcăli victimele să introducă informații private, cum ar fi o parolă. Prima opțiune este să copiați site-ul autentic fie manual prin browser, fie folosind GNU Wget. Este necesar să schimbați linkurile, să copiați stiluri și imagini, să vedeți ce solicitări sunt trimise atunci când utilizatorii încearcă să se autentifice pe pagină și să creeze un script care să copieze datele trimise acesteia.

La final, unii fac o redirecționare opțională către pagina inițială. Există multe exemple de astfel de scripturi pe internet.

Având în vedere acest lucru, personalul companiei ar trebui să fie conștient de faptul că Site-urile phishing pot arăta perfect identice cu site-ul autentic ei au un aspect important, deci aspectul nu este un bun mod de a judeca dacă un site este legitim sau nu.

A doua opțiune este să folosiți Setul de instrumente Social-Engineer. În general, aceasta nu este cea mai bună opțiune, deoarece implică propriul său server web. Pe tema cadrelor de phishing, mai multe cuprind: Gophish și King Phisher

Trimiterea de e-mailuri de tip phishing

Escrocii de phishing trebuie să colecteze o mulțime de adrese de e-mail. De unde? Există multe opțiuni:

  • De pe site-ul țintă. Software-ul și serviciile includ: Extractor de e-mail online gratuit, Extractor de e-mail prin email Hippo, Grabber de e-mail.
  • Din datele DNS și WHOIS, folosind un serviciu precum MxToolbox, DNSdumpster.com
  • Forță brută simplă.
  • Din rețelele de socializare precum LinkedIn, Facebook.
  • Baze de date de e-mail specializate: Hunter, Toofr.
  • De la motoarele de căutare populare.
  • De la tot felul de baze de date scurse (uneori, adresele de e-mail merg împreună cu o parolă validă): Snusbase, We Leak Info.
  • Software special OSINT, de exemplu Maltego.

Subiectul unui articol OSINT (informații open-source) este dincolo de domeniul de aplicare al acestui articol, dar vă voi oferi câteva link-uri unde puteți afla mai multe despre serviciile, abordările și instrumentele disponibile: OSINT Framework, Awesome OSINT Good OSINT poate ajuta foarte mult în atacuri de phishing țintite, dar costurile forței de muncă sunt destul de mari și rareori sunt utilizate în atacuri la nivel scăzut.

Personalul companiei ar trebui să presupună că toate adresele lor de e-mail sunt disponibile publicului și oricine, inclusiv escroci, îi poate viza.

Crearea de e-mailuri de tip phishing

Odată colectate adresele de e-mail, este timpul să desfășurați o campanie de testare prin e-mail. Crooks o fac de obicei folosind un domeniu separat. Campaniile de testare vă ajută să înțelegeți cum arată un mesaj tipic de e-mail al companiei, cum arată semnăturile, formatul general al mesajului, rubricile acestuia, orice instrumente antispam, clientul de e-mail utilizat și alte lucruri.

Majoritatea companiilor folosesc propriul design de semnătură care include numele complet, poziția, datele de contact, etc. Hackerii pur și simplu îl copiază, acordând atenție structurii, designului vizual (culoare, font), etc..

Orice e-mail conține anteturi care vă pot ajuta să înțelegeți dacă este utilizat un sistem de filtrare sau pentru a furniza detalii despre clienți de e-mail sau interfețe web specifice.

Vorbind despre filtrele de spam, înainte de a trimite noi e-mailuri, escrocii își testează mesajele cu SpamAssassin pe un sistem separat. SpamAssassin oferă un „Scor” - o evaluare subiectivă a probabilității ca un e-mail specific să fie spam. Acest scor este o oportunitate de a efectua modificări înainte de a trimite e-mailuri reale pentru a vă asigura că nu vor fi prinși în filtrele de spam.

cât despre linia de subiect a e-mailului, se folosesc cele simple și comune:

  • Vă rugăm să semnați documente
  • Studiu
  • Program de lucru pentru sărbători

Dacă litera este în format HTML și există legături către resurse terțe (stiluri, imagini), atunci unii clienți de e-mail vor bloca un astfel de conținut în mod implicit, deși acesta poate fi deblocat de utilizator. Hackerii folosesc trucuri de inginerie socială pentru a face clic pe utilizatori. De exemplu, un mesaj poate încuraja utilizatorii să vadă un infografic sau un cupon.

Personalul companiei trebuie să fie instruit să păstreze ochii cu privire la aceste trucuri comune și nu faceți niciodată clic pe linkuri sau atașamente în e-mailuri nesolicitate.

Uneori escrocii specifică mai mulți destinatari (antetul Cc) în cadrul aceleiași companii. Uneori folosesc FWD sau Re în linia subiectului - toate acestea adaugă încredere.

Vezi si: Froduri frecvente de phishing

Fișiere atașate prin e-mail

Odată ce textul este gata, este timpul să mergeți la fișierele atașate. Este posibil ca hackerii să nu fie interesați doar de obținerea de e-mailuri de către victime. De asemenea, pot dori să penetreze dispozitivul destinatarului cu malware, iar atașările de e-mail sunt o cale principală pentru a face acest lucru.

Ce trimit de obicei escrocii? Pe scurt, Documente Microsoft Office și, uneori, arhive. Trimiterea extensiilor executabile tipice (.exe) este aproape sigur că este oprită de un filtru de spam. Este ciudat, dar companiile filtrează aproape toate extensiile de fișiere potențial periculoase în atașamente, dar permiteți parcurgerii RAR, ZIP și a altor arhive.

În cazul documentelor de birou, sunt utilizate următoarele opțiuni:

  • Tot felul de exploatări pentru vulnerabilitățile publice;
  • macrocomenzi;
  • Schimb dinamic de date;
  • OLE;
  • Formate de fișiere mai puțin obișnuite, cum ar fi HTA. Uneori, este posibil să găsiți exploitări sau vulnerabilități.

Dacă hackerii sunt interesați doar să înregistreze o încercare de a deschide un fișier, au câteva metode pentru a face acest lucru:

  • Accesarea unei surse externe (uneori cu posibilitatea de a scăpa date utile)
  • Semnarea documentului cu un certificat digital
  • Monitorizarea contactului cu serverele CRL sau Timestamp.

Din nou, personalul nu ar trebui să facă niciodată clic pe atașamente în e-mailuri nesolicitate și fiți deosebit de atenți la documentele Microsoft Office și fișierele comprimate.

Retele sociale

Pentru rețelele sociale și alte mijloace de comunicare, abordarea nu este cu mult diferită de phishing-ul general. Forumurile Darknet conțin depozitele cu copii ale corespondenței personale și chat-urilor. Acestea au drept scop formarea unei relații de încredere cu o victimă care duce la trimiterea acestora a unui link sau a unui fișier rău intenționat.

Personalul companiei trebuie să fie conștient de faptul că pot fi vizați prin intermediul social media, precum și prin e-mail.

Medii fizice

Hackerii ar putea lăsa unități flash USB sau alte suporturi fizice aflate în preajmă pentru a atrage victimele să le insereze în dispozitivele personale. Tactica variază mult, dar de obicei, într-o formă sau alta, există posibilitatea de a interacționa cu angajații. În cele mai multe cazuri, escrocii folosesc Rubber Ducky sau replicile sale ieftine de la AliExpress.

Companie Personalul IT ar trebui să stabilească o politică care să nu permită utilizarea dispozitivelor USB personale în birou.

Impactul phishingului

Lucrurile tind să iasă din mână, dacă se întâmplă ca un utilizator să intre în cârlig, mai ales dacă ținta este un angajat al companiei. După ce a obținut credențiale de acces sensibil, adversarul poate fura proprietatea intelectuală și alte materiale corporative proprii. Mai mult, ei pot deteriora reputația companiei prin dezvăluirea unor comunicări interne - în cele din urmă, acest lucru va submina încrederea clienților pentru marcă. În unele cazuri, hackerii încep să șantajeze organizațiile. Pentru a rezista, în anumite scenarii, organizațiile pot face față costurilor directe, prin faptul că trebuie să plătească amenzi pentru încălcarea reglementărilor precum HIPAA și să acopere compensații pentru personal sau clienți pentru că nu au protejat identitatea lor.

Utilizatorii obișnuiți riscă să își piardă banii din cauza phishing-ului dacă infractorii au acces la contul lor bancar. Un atac reușit poate propune, de asemenea, tentative de extorcare, în cazul în care făptuitorii cer răscumpărare pentru a nu dezvălui informații jenante despre victimă. Instalarea programelor malware pe computerele destinatarilor este un alt vector posibil al activității maleficilor.

La sfârșitul zilei, atacurile de tip phishing au ca rezultat întotdeauna consecințe adverse atât pentru utilizatorii corporativi, cât și pentru utilizatorii casnici. Pentru a rămâne în siguranță, nu uitați să căutați steagurile roșii enumerate mai sus și să tratați e-mailurile suspecte cu un pic de paranoia rezonabilă. Mai multe sfaturi despre evitarea phishingului găsiți în ghidul nostru aici.

Vezi si: Ce este phishing suliță?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

72 − = 71

Adblock
detector