[перевод статьи] 7 базовых правил защиты от фишинга

Common Features of Phishing Emails

  1. Too Good To Be True — Lucrative offers and eye-catching or attention-grabbing statements are designed to attract people’s attention immediately. For instance, many claim that you have won an iPhone, a lottery, or some other lavish prize. Just don’t click on any suspicious emails. Remember that if it seems to good to be true, it probably is!
  2. Sense of Urgency — A favorite tactic amongst cybercriminals is to ask you to act fast because the super deals are only for a limited time. Some of them will even tell you that you have only a few minutes to respond. When you come across these kinds of emails, it’s best to just ignore them. Sometimes, they will tell you that your account will be suspended unless you update your personal details immediately. Most reliable organizations give ample time before they terminate an account and they never ask patrons to update personal details over the Internet. When in doubt, visit the source directly rather than clicking a link in an email.
  3. Hyperlinks — A link may not be all it appears to be. Hovering over a link shows you the actual URL where you will be directed upon clicking on it. It could be completely different or it could be a popular website with a misspelling, for instance www.bankofarnerica.com — the ‘m’ is actually an ‘r’ and an ‘n’, so look carefully.
  4. Attachments — If you see an attachment in an email you weren’t expecting or that doesn’t make sense, don’t open it! They often contain payloads like ransomware or other viruses. The only file type that is always safe to click on is a .txt file.
  5. Unusual Sender — Whether it looks like it’s from someone you don’t know or someone you do know, if anything seems out of the ordinary, unexpected, out of character or just suspicious in general don’t click on it!

Методы получения конфиденциальных данных при фишинге

Чтобы получить секретную информацию пользователя мошенники используют такие уловки:

  • предлагают нереалистично выгодные предложения — бесплатные товары и существенные денежные вознаграждения;
  • угрожают блокировкой банковских карточек либо телефонного номера, представляясь в личных сообщениях сотрудниками мобильного оператора, финансовых и налоговых учреждений;
  • обещают предоставить нужную информацию, например, фильм или книгу в обмен на номер телефона либо паспортные данные; 
  • находят технические уязвимости на сайтах, например, незащищенный протокол http, позволяющий завладеть конфиденциальными сведениями.

Техника фишинга

Социальная инженерия

Основная статья: Социальная инженерия

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию

Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.

Веб-ссылки


Пример фишингового письма от платёжной системы Яндекс.Деньги, где внешне подлинная веб-ссылка ведёт на фишинговый сайт

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля. Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer, а Mozilla Firefox и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге <a> значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

Обход фильтров

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга.

Веб-сайты

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки. Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL.

Злоумышленник может использовать уязвимости в скриптах подлинного сайта. Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё (от веб-адреса до сертификатов) выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году.

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах.

Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные.

Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем».

Как это работает?

Популярные схемы обмана по телефону

Мошенники присылают СМС, стремясь запугать человека. Несколько лет назад были популярны рассылки в духе «мама, я сбил на машине человека, пришли денег». Но вскоре даже самые доверчивые пенсионеры перестали реагировать на такие «разводки».

Теперь преступники чаще выдают себя за сотрудников банка. Например, присылают сообщение: «С вашей карты совершена покупка на сумму 10 000 рублей. Если вы не проводили эту операцию, свяжитесь со службой безопасности по телефону…».

Также сообщения могут имитировать подтверждение операций по переводу средств или сообщение о блокировке.

Никогда не отвечайте на эти сообщения и не перезванивайте! Если чего-то опасаетесь, позвоните в колл-центр своего банка по номеру, указанному на банковской карточке.

Пример фишингового сообщения от лица банка. В коротком номере нули замены на букву «О».

Мошенники звонят и пытаются выманить данные карточки в личном разговоре. Опять же, они могут выдавать себя за ваших близких, представляться сотрудниками сотовой компании, государственного учреждения или банка.

Звонок может начинаться с дежурной фразы: «Здравствуйте, как к вам можно обращаться?» И это уже выдает мошенников с головой — и банк, и сотовый оператор прекрасно знают ваше имя и им известно, как вас называть. Даже если к вам обращаются по имени, будьте внимательны — узнать имя и телефон не так трудно.

Далее в ход идут стандартные угрозы (блокировка карты, отмена операции) или обещания (мэрия предоставляет вам бесплатную путевку).

Главное в телефонном разговоре: Никогда не называйте данные своей банковской карты и коды подтверждения из СМС. Если вам звонят «из банка», вешайте трубку и перезванивайте в банк, чтобы уточнить информацию и пожаловаться на подозрительных людей.

Популярные схемы обмана в интернете

«Письма счастья». Злоумышленники присылают многообещающее, интригующее или угрожающее сообщение. Их главная задача — заставить получателя нажать на ссылку и попасть на вредоносный сайт. Эти рассылки могут имитировать сообщения от популярных сайтов или официальных органов.

Не открывайте письма и сообщения в соцсетях от незнакомых адресатов. Не скачивайте файлы. Не нажимайте на ссылки. Не вступайте в переписку.

Пример фишингового письма со ссылкой на мошеннический сайт. Скриншот: Wikimedia.

На сайтах объявлений мошенники особо активны. Если человек пытается продать какую-то вещь, ему наверняка позвонит «заинтересованный клиент» и пообещает перевести деньги на карточку. А для этого попросит назвать номер карты и код, написанный на обороте. Либо после получения номера карточки попросит озвучить код подтверждения, пришедший на телефон.

Никогда и никому не называйте код с обратной стороны карты, PIN-коды и СМС-коды подтверждения. Если кто-то хочет получить от вас эти данные — перед вами мошенник.

Фишинговые сайты — это сайты-клоны, поддельные страницы платежных сервисов и онлайн-магазинов. Если ввести там информацию своей карты, преступники снимут с нее деньги.

Пример сайта-клона. Скриншот drweb.ru

Пользуйтесь антивирусом — зараженный компьютер может перенаправлять вас на мошеннический сайт, когда вы набираете в строке браузера правильный адрес. Пользуйтесь проверенными сайтами и сверяйте адреса — не допущена ли опечатка? Убедитесь, что адрес платежного шлюза начинается с https — то есть данные передаются по защищенному протоколу.

Depositphotos

Не доверяй и проверяй

Сегодня речь пойдет о втором подходе по предотвращению фишинговых атак, а именно об автоматизированном обучении персонала с целью повышения общего уровня защищенности корпоративных и личных данных. Почему же это может быть так опасно?

Социальная инженерия — психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации (применительно к ИБ).

Схема типового сценария развертывания фишинговой атаки

Давайте обратимся к занимательной блок-схеме, кратко отображающей путь по продвижению фишинговой кампании. В ней есть различные этапы:

  1. Сбор первичных данных.

    В 21 веке трудно найти человека, который не зарегистрирован ни в одной социальной сети или на различных тематических форумах. Естественно, многие из нас оставляют развернутую информацию о себе: место текущей работы, группа для коллег, телефон, почта и т.д. Добавьте к этому персонализированную информацию об интересах человека и вы получите данные для формирования фишингового шаблона. Даже если людей с такой информацией найти не удалось, всегда есть сайт компании, откуда можно подобрать всю интересующую нас информацию (доменную почту, контакты, связи).

  2. Запуск кампании.

    После того как будет подготовлен “плацдарм”, с помощью бесплатных или платных инструментов вы можете запустить свою собственную таргетированную фишинг-кампанию. В ходе работы рассылки у вас будет копиться статистика: доставленная почта, открытая почта, переход по ссылкам, ввод учетных данных и т.д.

Лучшая защита от фишинга в Интернете

Обучение

Как мы будем учить? А учить мы будем, устраивая социальный пентест своей компании. Можно пойти несколькими способами.

Пентест на заказ

Побродив по просторам интернета можно достаточно легко найти несколько компаний, которые с радостью выпустят вашими социальными пентестерами:

Например, www.infosec.ru — phishman.ru — http://www.antiphish.ru

Можно пойти этим путем, но нужно понимать, что бюджет данного мероприятия будет зависеть от размеров организации и составлять несколько сотен тысяч рублей в минимальном варианте. По желанию заказчика, представители пентесторов даже могут провести полноценный социальный поиск и добыть адреса почты сами, а могут работать и уже с готовыми данными. Обучение по результатам пениста будет стоить отдельных денег. Из интересного в интернете мы нашли еще пару SaS сервисов:

• phishme.com
• infosecinstitute.com/phishsim

Стоить подобные сервисы будут около 20$ в год за почтовый адрес, но нужно учитывать, что готовые базы шаблонов, которые содержатся в них, будут англоязычными (хотя можно всегда загрузить свои шаблоны) + все международные сервисы (видимо для того, чтобы избежать юридических претензий) в обязательном порядке пишут маленькими буквами внизу письма, что это проверка на фишинг, что, по моему мнению, несколько снижает чистоту эксперимента.

Игровые варианты

Одной из лучших методик обучения является игровая. К примеру, недавно так поступил Сбербанк. Метод, без сомнения, эффективный, но содержит пару недостатков. К сожалению, данный метод действует по факту один раз, а учитывая развитие средств и возможностей, фишингу обучаться нужно на регулярной основе. Но что самое главное, игру нужно делать самому и под себя. В открытом доступе готовых решений найти не удалось.

GoPhish

Теперь давайте я расскажу о решении, которое в конечном счете выбрали для себя мы: GoPhish — OpenSource фреймворк для фишинга

GoPhish, пожалуй, незаслуженно обойден вниманием на Хабре. Поиском удалось найти всего одну статью по данному продукту, а продукт стоит того

Установка GoPhish

Продукт написан на Go и в скомпилированном виде представляет собой один бинарник. Установка проста и не вызывает проблем, есть хороший и простой мануал. Вся процедура установки сводится к генерации ssl сертификат и созданию простого и понятно config.json файла.

Если отметить флажок «Add tracking image», в письмо будет добавлена «следящая картинка» размером 1х1 пиксель. Картинка используется для отслеживания факта открытия письма пользователем. В тексте письма можно использовать следующие ссылочные значения:

Значение Описание
«.`FirstName` Имя
«.`LastName` Фамилия
«.`Position` Должность
«.`From` Отправитель
«.`TrackingURL` url для отслеживания
«.`Tracker` Картинка для отслеживания
«.`URL` url страницы перехода

Далее создаем «фишинговые» страницы (вкладка «Landing Pages»), HTML -код страницы нужно ввести в соответствующее окно интерфейса. Поскольку мы не собираемся заниматься реальным фишингом среди своих сотрудников, а хотим их обучать, в качестве фишинговый страницы мы использовали страницу с обучающим материалом, рассказывающим сотрудникам, что такое фишинг и как не попасться на его удочку. (Шаблон страницы выложим во второй части статьи).

Можно также создавать страницы с полями ввода. Причем есть опции, которые сохраняют в том числи и пароли, введенные пользователями, но лучше пользоваться этим очень аккуратно. Теперь создаем профили отправки (вкладка «Sending Profiles»), т.е. по сути некие почтовые данные от имени кого, сотрудник получит письмо и какой почтовый сервер мы будем использовать для рассылки. На последнем шаге создаем кампанию (вкладка Campaigns). «Компания» объединяет все ранее описанное. После ввода всех параметров нужно нажать кнопку «Launch campaign», и компания запустится автоматически.

За результатами компании можно следить на вкладке «Dashboard».

Защита от фишинга

1. Все современные браузеры обладают возможностью информирования пользователей о подозрительном сайте. Называется эта функция — «Антифишинг». Поэтому всегда поддерживайте версию своего браузера в актуальном состоянии, постоянно устанавливая последние обновления. Также, в браузеры уже бывает встроен дополнительный механизм защиты от фишинга, как это сделано в Яндекс браузере.
2. Любой современный антивирус обладает функцией предупреждения и блокировки перехода на сомнительный портал. Пользуйтесь самыми последними антивирусными решениями.
3. Борьба почтовых служб с помощью специальных спам-фильтров, которыми обрабатывается электронное письмо перед тем как попасть к пользователю.

На самом деле существует много разных способов, благодаря которым можно защититься от фишинга, но самое проверенное — быть внимательным к тому где и что вы вводите. Не переходите по странным и не проверенным ссылкам. Если это письма из банка, то лучшим способом проверить информацию будет уточняющий звонок в сам банк

Обязательно обращайте внимание на адресную строку и адрес, на котором вы в данный момент находитесь, ведь адрес http://facebook.sait.com — только похож на адрес социальной сети, но на самом деле он является фишинговой составляющей сайта sait.com

Если же вы все таки ввели свой логин и пароль на ресурсе злоумышленников и только потом заметили, что это обман, то в кратчайшие сроки зайдите на настоящий сайт и измените те данные, которые вы вводили — пароль, по возможности логин, секретные вопросы для восстановления данных. Также, обязательно сообщите о том что произошло в службу поддержки ресурса. Обычно порталы делают массовую рассылку о попытке взлома пользовательских аккаунтов и о том, что пользователи могут получить письмо с мошеннической ссылкой.

Не забудьте поделиться ссылкой на статью ⇒

Что такое логин, пароль и учетная запись (аккаунт)

В этом уроке я постараюсь донести до вас определение и значение трех понятий, таких как логин, пароль и учетная запись или аккаунт.

Что такое драйвер? Зачем нужны драйвера?

В этом небольшом уроке я расскажу вам что такое драйвер и зачем он нужен.

Что такое файл hosts

В этом уроке будем разбираться что такое файл hosts, где он находится, как его изменить и какой он должен быть в нормальном состоянии.

IP адрес компьютера

В этом уроке постараюсь донести до вас что такое ip адрес компьютера и как его узнать.

Из этого урока вы узнаете что такое капча — captcha

Из этого урока вы узнаете что такое капча (captcha).

Типы и схемы фишинговых атак

Как защититься от фишинга?

Вот несколько советов, которые помогут вам защититься от фишинга:

1. Ни один сайт не будет требовать от вас пароля или логина. Во-первых, логин им должен быть известен. Во-вторых, неужели авторам сайтов нужен ваш пароль? Нет, конечно. Они могут менять данные или выполнять какие-либо действия и без этого. К примеру, если произошел взлом, то они самостоятельно меняют пароли и высылают их пользователям с пометкой «Это случайно сгенерированный пароль, после входа в сайт, обязательно поменяйте его».

2. Ссылки и файлы можно открывать только от проверенных источников. Кто бы это ни был, файлы необходимо повторно проверять антивирусом, ссылки лучше открывать через браузеры, где у вас не сохранено никаких паролей и данных.

Примечание: Советую к прочтению зачем могут быть нужны несколько браузеров.

4. Установите антивирус. Многие антивирусы уже давно умеют сканировать браузеры, поэтому их настоятельно рекомендуется устанавливать.

5. Используйте одноразовую почту для тестов. Если вы хотите изучить возможности какого-либо сервиса (особенно малоизвестного), то лучшим решением будет воспользоваться одноразовой почтой

Тут важно помнить, что создать реальный аккаунт вы всегда успеете

6. Внимательно изучайте информацию в письме (адрес отправителя, адреса ссылок и прочее). Суть в том, что имея пример исходного письма, очень легко сделать аналогичное (это как скопировать файл — проще некуда). Поэтому всегда проверяйте адрес отправителя, корректные ли адреса в ссылках и любую возможную информацию. К примеру, помните, что любой сайт, где вы зарегистрированы, знает ваш логин, поэтому общих фраз вроде «Уважаемый пользователь» не должно присутствовать, либо после этой фразы должно идти указание вашего логина или имени.

7. Наводите курсор мыши на ссылки и проверяйте адреса. Дело в том, что реальная ссылка и ее название могут отличаться. Однако, если навести курсор мышки на ссылку, то внизу в браузере отобразится реальный адрес ссылки. Это поможет вам проверить, совпадает ли адрес сайта с адресом в ссылке.

8. Всегда помните про здравую логику. Креативность фишинга может быть разной, поэтому здравая логика всегда будет полезной. Например, если вам пишут с сайта, о котором вы даже не слышали, то вряд ли стоит открывать подобные адреса. Или если вам пишут о каких-то случайно отправленных документах, к которым вы не имеете никакого отношения, то переходить по ссылкам не стоит (абстрактный пример — мало кто будет отправлять договора на поставку станков для дерева человеку, который в жизни не видел подобных станков).

Настоятельно советую к прочтению Мошенничество в интернете или памятка на непредвиденный случай.

Теперь, вы знаете что такое фишинг, каким он бывает и как вы можете защититься.

  • Что такое руткиты и в чем их особенность?
  • Что такое MAC адрес?

Письма счастья. С чего всё начиналось

С учётом того, что из года в год количество жертв интернет-мошенников неуклонно растёт, изучение информации общего характера (что такое фишинговая атака, как не стать очередной жертвой кибер-преступников) критически необходимо для любого пользователя глобальной сети.

В недалёком прошлом излюбленной мошеннической схемой были так называемые «письма счастья», своего рода уведомления от известных пользователю организаций (например, банковских учреждений или провайдеров сети) на электронную почту с настоятельным требованием в срочном порядке сверить персональные данные под любым предлогом. Иногда настойчивые просьбы сопровождались угрозами: «если в течение суток не будут отправлены копии соответствующих документов (или логин с паролем), Ваш банковский счёт будет заблокирован, кредит/страховка аннулирована», и тому подобные варианты текста.

Многие респонденты в силу простой человеческой доверчивости или привычки получать подобные бланки с ультимативными требованиями в реальной жизни (от коммунальных предприятий, финансовых и фискальных учреждений), без задержки отвечали на такие электронные письма, тем самым попадаясь на удочку злоумышленников. Последствия таких действий, как правило, не заставляли себя долго ждать, и совсем вскоре пользователь пожинал горький урожай собственного легкомыслия.

Это был самый простой пример фишинга. Мошенник обрабатывает потенциальную жертву методами социальной инженерии (психологические приёмы и техники), играя на её чувстве неопределённости и страха. Вместо того чтобы разобраться, жертва выполняет требования мошенника, высылая ему запрашиваемые данные. Сейчас люди понемногу умнеют и не покупаются на письма счастья, но и преступники не месте не стояли, а разработали новую технологию выуживания конфиденциальных данных – с помощью фишинговых сайтов.

Методы противодействия фишингу

Как распознать фишинговое сообщение?

Кто под прицелом фишинга в Интернете?

Ради того, чтобы добраться до ваших личных данных, киберпреступники применяют разные хитрые уловки. Это и поп-апы на сайтах, и загрузочные страницы, и целые фишинговые сайты, внешне неотличимые от оригинала, и привычный спам по электронной почте, и именные сообщения от различных организаций.

Целью фишинговых атак являются:

  • частные лица;
  • предприятия и организации.

Чаще всего фишеры атакуют сервисы электронных платежей, аукционные площадки и банки, поскольку наибольший интерес для них представляет та информация, которая дает доступ к деньгам. Не менее часто крадут регистрационные данные почтовых ящиков, чтобы затем рассылать вирусы или формировать зомби-сети.

У физических лиц, пользующихся услугами банков, провайдеров, почтовых служб, веб-кошельков и социальных сетей, мошенники стремятся украсть:

  • Ф. И. О., никнейм на сайте, фактический адрес;
  • логин и пароль от социальной сети или почтового ящика;
  • сведения с банковской карты (номер, CCV-код и PIN-код);
  • номера телефона и банковского счета;
  • номер в системе социального страхования.

Завладев этими данными, мошенники получают возможность красть деньги с банковской карты, использовать её как подставной счет, брать кредит на чужое имя.

Обналичить счет – не такая простая задача, поскольку лицо, занимающееся обналичкой, рискует быть пойманным, как и вся преступная группа, организующая подобное мошенничество. Поэтому некоторые фишеры не используют сами конфиденциальные данные, украденные у людей, а перепродают их другим преступникам, у которых сложились собственные схемы вывода денежных средств с карт и счетов.

Рекомендуемые статьи по данной теме:

  • Белая раскрутка сайта без перехода на темную сторону
  • Страница захвата и ее необходимость для развития бизнеса
  • Продвижение сайта в Интернете для чайников

Когда жертвами интернет-фишинга становятся компании, то сначала фишеры получают регистрационные данные кого-либо из работников, а затем, зайдя через его учетную запись, осуществляют полномасштабную атаку на организацию.

Иногда разрабатываются фишинговые сайты, максимально схожие по дизайну с оригиналом, чтобы пользователь ничего не заподозрил, и даже URL-адрес делают правдоподобным. Он выглядит как адрес реального сайта, но с небольшой опечаткой, либо как его субдомен.

«Гарпунный» фишинг

«Охота на китов»

Добычу конфиденциальных данных руководителей и прочих важных людей называют «Охотой на китов». Фишерам потребуется немного больше времени и усилий, чтобы определить личностные особенности жертвы, выбрать подходящие средства и удачный момент для кражи регистрационной информации.

Вас также может заинтересовать: Как привлечь клиентов через интернет: самые эффективные способы

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий