Материал обновлен в январе 2022 года. 31 марта 2016 года команда Теплицы провела вебинар на тему цифровой безопасности. Приглашенный эксперт рассказал о социотехнических методах атаки на пользователей сети (фишинг) и дал рекомендации по защите персональных данных.
О спикере: Лука Сафонов — технический директор компании цифровой безопасности Pentestit. Эксперт информационной безопасности, имеющий обширный практический опыт тестирования на проникновение информационных систем государственного, финансового и e-commerce секторов.
Содержание:
Что такое фишинг
Фишинг — сетевое мошенничество. С помощью спама, вредоносных веб-сайтов, почтовых и мгновенных сообщений злоумышленники выманивают у пользователей конфиденциальную информацию. Например, номера банковских счетов или кредитных карт. Затем эту информацию фишеры используют в своих целях.
Мошенники «выуживают», ловят вашу информацию — отсюда и аналогия фишинга с рыбалкой (от англ. fishing). Фишинг может быть опасен, поэтому всем нам надо понимать, что это, как действует и как зищитить себя.
В первую очередь фишинг направлен на корпоративный сектор. Ведь цель злоумышленников — получить материальную выгоду, а в корпоративном секторе больше денег.
Однако часто с фишингом сталкиваются и рядовые интернет-пользователи. На них стараются заработать за счет массовости — так называемой фишинговой «ковровой бомбардировки». Например, взламывают Skype пользователя и пишут всем его контактам с просьбой одолжить денег. Причем в этом случае просят немного, чтобы каждый точно обладал такими деньгами и мог их перевести. Но в итоге выходит крупная сумма.
Фишинг также может быть совмещен с другими атаками, в том числе вирусными.
Как действуют фишеры
Основной метод фишеров — использование мошеннических сайтов и поддельных электронных писем. Обманным путем они собирают данные, которые позволяют им получить доступ к ваших социальным сетям, электронной почте и другим ресурсам. Для этой цели злоумышленники отправляют вам ссылки на сайты, которые очень похожи на проверенные интернет-ресурсы (банков, почтовых клиентов или соцсетей) и перехватывают вводимую вами информацию.
Для того чтобы фишинг был более эффективным, мошенники используют приемы социальной инженерии. Например, рефлексы и известные паттерны поведения. Так, один из базовых приемов — создание дефицита времени, некого события, на которое жертва должна среагировать немедленно.
Фишеры воздействуют на три чувства, которые присущи всем людям:
- страх (перед вами угроза: вы что-то не сделаете и из-за этого что-то потеряете),
- любопытство (вам должно быть интересно открыть письмо и узнать то, о чем говорят цепляющие слова в заголовке),
- жажда наживы (вам обещают вознаграждение).
На все перечисленное порой ведутся и опытные интернет-пользователи. Получается, на 100% от фишинга не застрахован никто.
Каковы признаки и примеры фишинга
Лука Сафонов специально создал несколько почтовых ящиков и заказал их взлом. Разберем признаки фишинговой атаки на этих примерах.
«Прекращение предоставления услуг»
С целью ввести пользователя в заблуждение ему сообщают, что его почтовый ящик будет заблокирован в связи с поступившей на него жалобой. Подпись — «Администрация mail.ru», в конце подписи — логотип, сообщение отмечено как важное. В теле письма — кликабельная ссылка «опровергнуть жалобу». Если нажать на нее, открывается страница, где уже введена почта и надо только ввести пароль. Таким образом злоумышленники и захватят эти данные.
Как понять, что это мошенническая письмо? Обратите внимание на url-адрес. Фишинговые ссылки ведут на поддельный домен: в этом случае — mailpochta.cgiapp.ru вместо mail.ru.
Копии сайта почтового клиента могут выглядеть правдоподобно. Они делаются не вручную, а с помощью специальных инструментов — например, Social-Engineer Toolkit.
«Документы»
Письмо с безобидным названием, на аватаре отправителя — фото симпатичной девушки, внутри — вложение. В таких случается также может имитироваться пересылка для обхода спам-фильтра.
Открываем вложение, и нас будто выкидывает из почты: «Соединение было прервано. Введите логин и пароль». По инерции многие в этом случае вводят эти данные, и таким образом злоумышленники перехватывают их. Здесь опять подозрительный домен — e.mail.ru-cgi.be.
«Приоставновление аккаунта»
Для продолжения работы предлагают увеличить объем почтового ящика. Переходим по ссылке — отражена почта (в идеале должен отражаться также аватар), но снова странный url-адрес.
В этом случае мы видим манипулирование сознанием пользователя. Во-первых, его пугают, что он больше не сможет пользоваться своим почтовым ящиком и потеряет все его содержимое. Во-вторых, предлагают бепслатно увеличить объем ящика. Но для этого вновь нужно ввести пароль (его и перехватят мошенники).
«Нарушение пользовательского соглашения»
Письмо якобы от команды Mail.ru. Поясняют, что профиль будет заблокирован, для достоверности ниже добавлены технические подробности.
В этом случае стоит обратить внимание на детали. Компания Mail.ru на тот момент переехала, а в подписи указан старый адрес. Там же нет логотипа компании. А сам почтовый адрес выглядит странно — внтури него есть пробелы.
Проверяйте актуальность информации и логотипа, однообразие письма. Часто мошенники используют устаревшие логотипы или логотипы в разных цветовых гаммах в одном письме.
«Ваше сообщение не доставлено»
«Письмо, отправленное на ваш почтовый ящик, доставлено не было. Для просмотра сообщения перейдите по ссылке».
В этом случае люди, ожидающие какое-нибудь важное письмо, часто нажимают на ссылку. После этого их перенаправляет на страницу «Подтвердите свой аккаунт», где надо снова ввести свой логин и пароль.
Как обезопасить себя
Какая есть защита от фишинга? В первую очердь Лука Сафонов советует установить двухфакторную аутентификацию. Таким образом вам надо будет подтверждать все действия с помощью СМС-сообщений либо специального приложения для смартфона. А значит, вы пресечете действия мошенников от вашего лица.
Получая сомнительное письмо, следуйте нескольким рекомендациям:
- выдержите паузу и подумайте, если вас заставляют срочно сделать что-то здесь и сейчас;
- посмотрите, от кого пришло сообщение. Если это ваш знакомый, свяжитесь с ним по другому каналу связи: позвоните или напишите в соцсети;
- проверьте адрес и внешние признаки. Помните: письма от техподдержки формируются по определнным гайдлайнам и согласно брендбуку организации;
- включите «режим адекватной паранойи» и перепроверьте содержимое письма. Если сомневаетесь, попросите о помощи того, кто разбирается в фишинге и интернет-технологиях.
Если уже перешли по сомнительной ссылке и ваши данные перехватили:
- смените пароль,
- перешлите фишинговое письмо в техподдержку вашего почтового клиента, чтобы мошеннический почтовый адрес заблокировали.
Презентация
Скачать презентацию в формате PDF.