Фишинговые письма что это такое
Не дайте себя обмануть — 7 признаков фишинговых писем
Фишинг (phishing) — это вид мошенничества, который направлен на выуживание у вас (от созвучия с fishing — «рыбалка») паролей, логинов и важных, например, платежных, данных.
Для того, чтобы получить ваши данные, мошенники используют письма. Задача письма — обхитрить вас и вынудить перейти по вредоносной ссылке, отправить данные через поддельную форму или прямо сообщить их.
Так как многие люди сейчас переходят на удаленную работу, руководителям было бы полезно проинструктировать сотрудников, на какие письма нельзя реагировать и как не слить данные свои и компании. По статистике 1 из 10 фишинговых писем срабатывает, а практически каждой крупной утечке данных предшествует фишинговая атака.
К примеру, адрес почтового сервера вашей компании — @компания.ру. Почтовый адрес директора — игорьиванович@компания.ру. Мошенники незначительно меняют имя домена, рассчитывая на вашу невнимательность. Если вам вдруг приходит письмо от «игорьиванович@компания1.ру» — то это уже другой Игорь Иванович, вам он не нужен.
Многие компании используют инструменты, которые умеют автоматически блокировать письма с незнакомых доменов. Для примера, DLP-система Falcongaze SecureTower может пропускать письма только с адресов @компания.ру, блокируя все остальные. Или наоборот, она будет пропускать все письма за исключением нескольких заранее заданных адресов.
Часто мошенники в фишинговых письмах используют обращения вроде «Дорогой клиент!» или «Уважаемый сотрудник!». Рассылки у них чаще всего массовые, да и имена адресатов не всегда известны. Но в последнее время участились случаи именных фишинговых атак. Имена для них могут браться из слитых баз данных различных сервисов, которыми вы пользуетесь.
Еще одна черта помимо безличного обращения — текст, похожий на машинный перевод. «Дорогой друг! Наш компания хотел бы предупредить Вас о взломанном аккаунте».
Помните легендарные кроссовки Abibas? Их дело живет. Мошенники, опять же рассчитывая на вашу невнимательность или незнание, делают ссылки с именами известных компаний или брендов с небольшим изменением: aplle.com или qoogle.com (не переходите по этим адресам!).
Чтобы реже встречать в ящиках спам и фишинговые письма, люди пользуются спам-фильтрами. Они срабатывают на слова, характерные для такого рода корреспонденции. Для того, чтобы обойти фильтры, мошенники сознательно изменяют слова и пишут с ошибками. Допустим: «отправьтепароль». Или так: «отправте пароль». К сожалению, во втором случае не для всех очевидно, что не так.
Вам может прийти письмо от банка с предупреждением о взломе аккаунта. Чтобы поменять логин и пароль нужно срочно перейти по ссылке в письме и ввести старые логин и пароль. Такое письмо однозначно фишинговое. Ни один банк, сервис, доставка, служба — никто, кто не хочет вас обмануть, не станет спрашивать ваши пароль и логин. Они нужны только для входа в личный кабинет.
Мошенникам важно, чтобы вы не начали думать. Из-за этого они часто используют срочность. В письме будет какое-нибудь «последнее предупреждение», «срочная проверка», «скорая блокировка» или «внезапный выигрыш». И действие от вас будет требоваться немедленно, прямо сейчас.
Вам пришло письмо от банка, в котором говорится, что ваш пароль взломан, и вам срочно нужно перейти по ссылке, чтобы сменить его. Если вы наведете курсор на ссылку (НЕ НАЖИМАЯ!), то внизу слева в браузере увидите адрес, на который реально ведет ссылка. Если настоящий адрес банка выглядит так: https://имябанка.ру/сброспароля, то фишинговая ссылка будет представлять собой что-то вроде: https://имя.банка.ру. или https://имябанка.левыйадрес.ру.
Наверное, не все уже помнят трогательные письма от Бакаре Тунде — брата первого нигерийского астронавта, которого не забрали с орбиты и который уже 30 лет смотрит на нас оттуда и ждет, когда отзывчивый гражданин поможет перевести деньги Роскосмосу, чтобы космонавта спустили обратно в Африку. Естественно, с финансовым участием гражданина.
Астронавт — не единственный персонаж. Были также принцы, принцессы, дети беглых политиков. Одного такого принца Forbesв 2006 году поставил в список самых богатых вымышленных персонажей с состоянием в 2,8 миллиарда долларов. Так что ему уже, наверное, хватит. Будьте бдительны и не кормите мошенников!
Что такое фишинг: как не стать жертвой хакеров
Что такое фишинговая атака?
Фишинг (англ. phishing, от phone phreaking — «взлом телефонных автоматов» и fishing — «рыбная ловля») — это вид интернет-мошенничества, используемого чтобы получить идентификационные данные пользователей. Он применяется для кражи паролей, номеров карт, банковских счетов и другой конфиденциальной информации.
Как правило, фишинговая атака представляет собой выдачу фейковых сайтов, имитирующих интернет-страницы популярных компаний: соцсетей, интернет-магазинов, стриминговых сервисов и т.д. Хакеры рассчитывают на то, что пользователь не заметит подделки и укажет на странице личные данные: реквизиты карты, логин и пароль, номер телефона. Если человек сделает это, мошенники получат его данные.
Основная проблема, связанная с фишингом, заключается в том, что не существует ПО, которое защитило бы людей и компании: сайты-фейки трудно отличить от оригиналов. Все зависит от потенциальной жертвы — насколько она будет внимательна, распознает ли фейк. Все решает человеческий фактор: уязвимы даже крупнейшие технологические компании.
Последствия фишинговой атаки могут быть масштабными. Яркий пример — взлом кинокомпании Sony Pictures Entertainment в 2014 году. Хакерская группа Guardians of Peace изучила профили сотрудников компании в LinkedIn и разослала им письма с файлами, в которых содержался вирус. Попав на корпоративные компьютеры киностудии, он позволил злоумышленникам месяцами вести слежку и удаленно управлять устройствами. Вскоре хакеры опубликовали в Сети несколько еще не выпущенных фильмов студии: «Ярость», «Энни», «Уильям Тернер», «Все еще Элис» и другие. Кроме того, злоумышленники похитили личные данные 3803 сотрудников Sony Pictures Entertainment и членов их семей, содержимое внутренней электронной почты, информацию о заработной плате и копии неизданных фильмов.
Киберпреступники похитили более 100 Тб данных. Это один из крупнейших взломов корпоративных устройств компании на территории США.
Насколько популярен фишинг среди хакеров?
Количество фишинговых атак растет из года в год. По данным отчета Hi-Tech Trends 2020/2021, предоставленного РБК Трендам международной компанией в сфере кибербезопасности Group-IB, в 2020 году число выявленных и заблокированных фишинговых ресурсов выросло по сравнению с 2019-м более чем вдвое — на 118%. И это давняя тенденция. В 2019 году Group-IB заблокировал 14 093 фишинговых страницы, а годом ранее их было найдено всего 4 494.
Чаще всего хакеры подделывают следующие ресурсы:
Киберпреступники действуют исходя из спроса пользователей на интернет-продукты. В 2020 году практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты, так как интерес к ним угас. В 2017-18 годах именно они были популярны у фишеров.
«Начиная с февраля 2020 года, мы видели, как тема COVID-19 активно эксплуатировалась во вредоносных кампаниях — в частности, в фишинговых атаках для компрометации электронной почты сотрудников компаний из США, Новой Зеландии, России и стран Азиатско-Тихоокеанского региона», — рассказал РБК Трендам представитель пресс-службы Group IB.
В 2020 году государства вводили различные льготы и компенсации, а банки позволяли заемщикам отсрочить выплату кредитов. В России получить консультацию по выплатам от государства и отправить заявку на их получение можно на сайте Госуслуг или в онлайн-банках. Мошенники создают страницы-копии этих сайтов, и невнимательные пользователи отправляют им данные.
Какие цели у фишинга?
Фишинговые атаки используют, чтобы украсть ценные данные: реквизиты банковских карт, логин и пароль для входа в аккаунт на каком-либо сайте. Хакеры даже могут шантажировать жертв и требовать деньги в обмен на то, что не станут публиковать данные в Сети.
Фишинговая атака — это также один из способов получить доступ к чужому Apple ID. По мнению экспертов Group IB, кража Apple ID — самый распространенный вид атаки на iOS. Если атака проходит успешно, мошенник получает доступ к облачному хранилищу iCloud и резервным копиям устройств. Если их восстановить на своем устройстве, можно получить доступ к сохраненным файлам. Именно таким образом в Сеть часто утекают интимные фото звезд.
Механика следующая: хакеры рассылают письма с предупреждением о скором снятии денег со счета пользователя в связи с платной подпиской на какое-нибудь приложение. Чтобы жертва действовала быстрее, срок списания устанавливается максимально близким, а сумма внушительная, чтобы человеку было жалко ее потерять.
Для отказа от подписки прикрепляется ссылка на фишинговый сайт, визуально он не отличается от официального ресурса Apple. Там жертва вводит логин и пароль от Apple ID, хакер получает их и авторизуется в аккаунте.
После авторизации хакер может управлять подписками жертвы и восстанавливать резервные копии устройств с ценными файлами. На сайте Apple есть руководство, как распознать фишинговую атаку.
Самые распространенные типы фишинга
По способу распространения сайты-подделки делят на два типа
Это письма или сообщения, отправленные якобы от имени реальной организации или компании — банка, регулятора, госучреждений. Внутри они содержат замаскированную под документ таблицу или картинку, вредоносную программу, ссылку на созданный преступниками сайт, требование перевести деньги на указанный счет или по номеру телефона. Жертва переходит по ссылке и указывает нужные данные, не замечая обмана.
Весной 2020 года москвичам приходили СМС-сообщения о «штрафах» за нарушения режима самоизоляции. Оплатить «штраф» требовали в течение 24 часов по указанному номеру, в противном случае получателю угрожали уголовным делом.
Тогда же в Казахстане рассылали письма от имени местного министра здравоохранения. Злоумышленники сообщали о возможности бесплатно получить защитные средства в рамках госпомощи. Получателям необходимо было лишь заполнить приложенную анкету и отправить по обратному адресу. Во вложении письма находились документы, при запуске которых на компьютер попадала вредоносная программа из семейства Loki PWS, предназначенная для кражи логинов и паролей с зараженного компьютера.
Интернет-мошенники часто активизируются накануне событий, связанных с массовым ажиотажем: это старт продаж новых моделей iPhone, онлайн-распродажи вроде «Черной пятницы», праздники, спортивные мероприятия. В общем, когда пользователи в спешке совершают спонтанные интернет-покупки, могут необдуманно принять решение и не заметить подвох.
В 2020 году накануне «Черной пятницы» эксперты Group-IB обнаружили более 400 сайтов, копирующих маркетплейс AliExpress, и еще 200 сайтов-клонов интернет-магазинов. Мошенники часто используют похожие имена ресурсов чтобы ввести пользователей в заблуждение.
«Опасность подобных сайтов состоит в том, что здесь могут продавать подделки, контрафактный или низкокачественный товар, похищать данные банковских карт покупателей или заражать гаджеты пользователей вирусами», — поделился с РБК Трендами представитель пресс-службы Group IB.
По методу сбора данных также выделяют два типа фишинга
Мошенники используют тот же интерфейс, что у оригинала, и похожие домены, чтобы ввести пользователей в заблуждение. В адресе может быть изменен один знак. Чаще всего, меняют буквы, выглядящие одинаково. Например, строчная L и заглавная I. Aliexpress.com и AIiexpress.com — разные домены, хотя визуально не отличаются.
Как правило, это архив формата.rar. При открытии он заражает устройство вирусом, а тот начинает шпионить за жертвой — собирать данные и отправлять на устройства злоумышленникам.
Кто может стать жертвой фишинга?
Group IB отмечает, что жертвами фишинговых атак могут быть не только обычные пользователи, но и предприниматели, которые в поисках товара зашли на созданные злоумышленниками сайты-клоны производителей.
Также жертвами могут стать бухгалтеры и финансисты, работающие с системами ДБО (дистанционного банковского обслуживания). Их атакуют через популярные профильные ресурсы, которые подделывают или заражают вредоносными программами.
В июне 2017 года у одной из столичных компаний похитили со счета деньги. Group-IB провела экспертизу жесткого диска и обнаружила признаки фишинговой атаки. В тот день сотрудник фирмы открыл браузер Internet Explorer и вбил запрос «НДФЛ с доходов, получаемых с иностранных компаний, когда платить». Одна из ссылок вела на сайт www.glavbukh.ru, с него был загружен вирус. Схема следующая: пользователь заходил на взломанный легальный ресурс, с которого его в скрытом режиме перенаправляли на сервер с набором эксплойтов (программ, ищущих уязвимости в браузере). Они загружали на устройство банковский троян Buhtrap. Преступники получили удаленный доступ к счету и вывели деньги.
Как часто происходят фишинговые атаки в России?
В России ежедневно рассылают до 1 млн сообщений с фейковыми сайтами. Их получают частные лица и организации.
Фишинг применяется для получения доступа к инфраструктуре компаний, далее в ход идут другие способы взлома. По данным разработчика решений по предотвращению и расследованию киберпреступлений Group-IB, около 70% всех целенаправленных атак на российские компании и организации начинаются именно с фишинга. Получив с его помощью доступ хотя бы к одному корпоративному компьютеру, преступник сможет закрепиться в сети организации и получить контроль над всей ее инфраструктурой. Если подобная атака прошла успешно, то последствия для компании могут быть глобальными — утечка конфиденциальных данных, взлом банковских счетов и подобное. Фишинговые атаки активно используют как кибершпионы — прогосударственные хакерские группы — так и киберпреступники.
Одни из самых известных русскоязычных фишеров — группировка Silence. Она стала известна в 2018 году, когда хакеров заподозрили в рассылке вредоносных писем банкам от лица Банка России. В сообщении они предлагали адресатам ознакомиться с новым постановлением. Получателями рассылки, по данным Group-IB, оказались как минимум 52 банка в России и пять банков за рубежом. Хакеры, состоящие в группировке, заражают компьютеры вирусом-шпионом Silence.Downloader aka TrueBot.
В январе 2019 года Silence устроила еще одну масштабную фишинговую атаку, в числе жертв вновь оказались сотрудники российских банков. Рассылку получили более 80 тыс. человек. Письмо приходило под видом приглашения на Международный Форум iFin-2019 или сообщения от «клиента» с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентского счета его организации. Внутри содержался архив с вредоносным вложением. Как только его открывали, на компьютер попадал вирус-шпион. Сколько получателей удалось взломать, неизвестно.
Летом 2020 года неизвестной группой хакеров была организована крупная фишинговая атака с помощью подделки сайта ФНС. Сотрудникам всех атакуемых компаний (нефтяных, горнодобывающих, операторов связи и так далее) приходило одинаковое письмо. В адресе отправителя была указана почта info@nalog.ru, полностью имитирующая оригинальный домен ФНС. На деле же письма рассылались с публичных почтовых сервисов, а технические заголовки были подделаны. Автор письма просил явиться в «Главное управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае невыполнения отправитель обещал применить санкции, предусмотренные УК РФ. Целевое действие жертвы — загрузка прикрепленных файлов. Если она это делала, взломщики получали удаленный доступ к данным ее компьютера.
Самые известные фишинговые атаки
Пожалуй, самая известная фишинговая атака была организована в 2016 году на предвыборный штаб Хиллари Клинтон. Она состояла из двух этапов. В марте 2016 года руководитель избирательного штаба Демократической партии США Джон Подеста получил письмо с фишинговой ссылкой. В письме рекомендовали сменить пароль от аккаунта Google в целях безопасности. Подеста последовал инструкции, и, сам не зная того, предоставил хакерам данные для авторизации в его почтовом ящике.
В апреле 2016 года киберпреступники создали почту-подделку Подесты и разослали сотрудникам Демократической партии США письма с файлом hillaryclinton-favorable-rating.xlsx. Ссылка вела на хакерский сайт. С его помощью мошенники заражали компьютеры демократов и крали с них данные. Так письма попали в руки основателя сайта WikiLeaks Джулиана Ассанжа. Летом 2016 года портал опубликовал письма, свидетельствовавшие о том, что сотрудники Национального комитета демократов США готовили заговор против бывшего кандидата в президенты Берни Сандерса. После этого глава комитета Дебби Вассерман Шульц ушла в отставку. А в октябре 2016 года WikiLeaks обнародовал компрометирующую переписку членов демократической партии США по вопросам ядерной энергетики, публикаций в СМИ, а также внешнеполитической деятельности Хиллари Клинтон.
Частая цель хакеров — облачные хранилища смартфонов. Именно так в 2014 году в Сеть утекли интимные фото актрисы Дженнифер Лоуренс, Кейт Аптон, Рианны и десятка других знаменитостей. Спустя два года американский хакер Райан Коллинз сознался в преступлении — тогда он получил доступ к 50 аккаунтам iCloud и 72 аккаунтам GMail. Это стало возможно с помощью фишинговых сайтов, где жертвы сами указывали данные для авторизации. Коллинз был приговорен к 18 месяцам тюремного заключения.
Примеры фишинговых сообщений электронной почты
Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к cоциальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.
Внимание, под катом много изображений.
К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, как и обещал, постараюсь описать основные приемы.
При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.
Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.
Gmail — документы
Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:
Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
(в коде страницы установлен сниффер, который логгирует все заходы на страницу —
)
s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097
Gmail — недоставленное сообщение
Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?
Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097
Gmail — срочно сменить пароль
Пользователь, какие-то нехорошие личности взломали твой пароль!
Gmail — ваша почта будет заблокирована
Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:
Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:
Gmail — спам
Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:
Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21
Gmail — черный список
Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:
Gmail — пора увеличить объем
Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:
Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/
Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.
Gmail — рабочие моменты
Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:
Первая форма, на которой стоит новый логотип.
Mail.ru — рабочие моменты
Похож на способ указанный выше, прислали какие-то документы, вариаций может быть довольно много:
Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен — большинство рядовых пользователей введет свой пароль «на автомате»:
Mail.ru — сообщение не доставлено
Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:
А там уже знакомая нам форма:
Mail.ru — увеличить объем ящика
Еще один лидер моего хит-парада правдоподобности:
При переходе попадаем на форму увеличения объема ящика:
Еще один тип такого письма:
По ссылке видим форму:
Похож на способ указанный выше, но фишинговый домен уже не работает:
Mail.ru — уведомление о безопасности
Вашу почту кто-то взломал, срочно бегите менять пароль:
Yandex — уведомление о безопасности
Не подтвердите аккаунт — заблокируем почту:
По ссылке форма, с уже подставленным именем учетной записи:
Yandex — реактивация почтового ящика
Опять необходимо выполнить какие-то действия:
Добавлено много «правдоподобных» деталей:
Рассылка вредоносных файлов/криптолокеров
Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:
Письмо, содержащее инструкции для «подтверждения» доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):
Письмо из арбитражного суда, содержащее ссылку на криптолокер:
Письмо из Сбербанка о выданном кредите (со ссылкой на криптолокер):