Фишинг и маркетинг

Маргарита Акулич

Хотя многие крупные финансовые организации и интернет-компании предприняли некоторые шаги для повышения осведомленности своих клиентов, большинство организаций сделали на сегодняшний день очень мало для активной борьбы с фишерами и для профилактики фишинга.Первым шагом в профилактике фишинга является образование. Именно поэтому подготовлена данная книга.Хотя фишинг может показаться проблемой специалистов в области ИТ и информационной безопасности, он также серьезно влияет на маркетологов.

II Типы фишинга

2.1 Фишинг с копьем или фишинговая атака. Клонирование фишинга

Фишинг с копьем или фишинговая атака

Фишинговые активности, направленные на отдельных лиц или компании, известны как фишинговые атаки или как «фишинг с копьем».

В отличие от массового фишинга, злоумышленники-«специалисты» по данному фишингу собирают и используют личную информацию конкретных людей либо компаний в своих целях, чтобы увеличить вероятность своего успеха.

Группа угроз-4127 («Необычный медведь») в 2016 году использовала фишинговую тактику для нацеливания на учетные записи электронной почты, связанные с президентской кампанией Хиллари Клинтон. Эта группа атаковала более 1800 учетных записей Google и создала домен account-google.com, чтобы угрожать целевым пользователям.

Клонирование фишинга

Клонирование фишинга является одним из типов фишинг-атаки. При данной атаке законное и ранее доставленное электронное письмо, содержащее вложение либо ссылку, имеет свое содержимое и адрес (адреса) получателя (получателей). Оно используется фишером, создающим почти идентичное или клонированное электронное письмо.

Реальное (законное) вложение (или ссылку) в сообщении электронной почты фишер заменяет вредоносной версией, а после он версию отправляет с поддельного адреса электронной почты, который, как кажется, исходит от исходного отправителя. Он может обеспечить повторную отправку оригинала или обновленную версию оригинала. Как правило, для этого нужно, чтобы почта отправителя была предварительно взломана, и чтобы не злонамеренная, законная электронная почта оказалась доступной третьей стороне (фишеру).

2.2 Китобойный промысел. Использование изображения вместо текста

Китобойный промысел

Термин « китобойный промысел» относится к фишинговым атакам, направленным конкретно на руководителей высшего звена и других важных субъектов. В этих случаях фишером контент создается специально для того, чтобы ориентироваться на менеджера высшего эшелона или человека, роль которого в компании является значимой.

Содержание электронного письма, связанного с «китобойным промыслом», может иметь характер, касающийся исполнительной проблемы. Это, скажем, может быть жалоба клиента или же повестка в суд.

Использование изображения вместо текста

Фишерами иной раз вместо текста используются изображения. Делается это для того, чтобы для антифишинговых фильтров оказалось проблематичнее обнаружение того текстового материала, который обычно используется в фишинговых письмах. В ответ более сложные антифишинговые фильтры восстанавливают скрытый текст в изображениях благодаря оптическому распознаванию текста.

Социальная инженерия

Фишеры иной раз неожиданно предлагают пользователям, чтобы они нажимали на различные материалы социального либо технического свойства. К примеру, вредоносное вложение может маскироваться под доброкачественный связанный Google-Документ.

Иногда пользователи понимают, что их хотят одурачить. Оскорбленные и возмущенные они нередко автоматически щелкают на ссылку и заражаются.

2.3 Управление ссылками. Скрытое перенаправление

Управление ссылками

Большинство фишеров использует какую-либо форму технического обмана, предназначенную для создания ссылки в электронном письме (и на поддельном веб-сайте, на который она ведет), как кажется, принадлежащую неподдельной, реальной организации. Использование неправильных URL-адресов или поддоменов является распространенной уловкой фишеров-мошенников.

Рассмотрим пример:

С помощью URL-адреса http://www.yourbank.example.com/ создается впечатление, что данный URL-адрес приведет вас к примеру, размещенному на веб-сайте вашего банка. Однако фактически этот URL-адрес указывает на раздел «ваш банк», а не на пример (то есть, налицо наличие фишинга).

Еще одна распространенная хитрость — сделать отображаемый текст ссылкой (текст между тегами <A>), предложить надежное место назначения, когда ссылка ведет не на законный веб-сайт, а на преступный сайт фишера.

Многие почтовые клиенты и веб-браузеры для настольных компьютеров при наведении на них указателя мыши показывают целевой URL-адрес ссылки в строке состояния. Это поведение, однако, может в некоторых случаях быть спровоцировано фишером. Эквивалентные мобильные приложения обычно не имеют функции предварительного просмотра.

Многоязычные доменные имена (IDN) могут быть использованы фишерами с помощью IDN-подмены или омограф-атаки, чтобы обеспечивать создание веб — адресов, визуально идентичных адресам законных сайтов. Таким образом создаются вредоносные версии адресов и соответствующих сайтов.

Фишеры в ряде случаев практикуют использование перенаправителей открытых URL-адресов, размещая их на веб-сайтах доверенных организаций. Делается это в целях маскировки вредоносных URL-адресов с помощью доверенных доменов.

Даже цифровые сертификаты не решают эту проблему, поскольку для фишеров вполне реально приобретение действующих сертификатов и последующего изменения их содержимого, чтобы подделать подлинные веб-сайты или разместить свой фиш-сайт без SSL-сертификата (SSL — от английского Secure Sockets Layer — уровень защищенных сокетов, SSL является криптографическим протоколом, предусматривающим менее опасную связь).

Скрытое перенаправление

Скрытое перенаправление является тонким методом проведения фишинговых атак, при котором ссылки кажутся легитимными, но фактически они перенаправляют жертву на сайт злоумышленника. Ошибка обычно маскируется под всплывающим окном входа в систему в зависимости от домена уязвимого сайта.

Фишер с помощью рассматриваемого метода также может влиять на OAuth 2.0 и OpenID на основе известных параметров эксплойта. Это используется часто — благодаря уязвимости открытого перенаправления и XSS на сторонних веб-сайтах приложений. Пользователи также могут быть скрыто перенаправлены на фишинговые веб-сайты с помощью вредоносных расширений браузера.

Обычные попытки фишинга обнаружить довольно не сложно, поскольку URL-адрес вредоносной страницы чаще всего отличается от реальной ссылки на реальный, законный сайт. Но для скрытого перенаправления злоумышленник может использовать настоящий веб-сайт, повредив данный сайт с помощью всплывающего диалогового окна со злонамеренным входом. Это делает скрытое перенаправление отличным от других методов, и более коварным.

Рассмотрим пример:

Предположим, что жертва щелкает на вредоносную фишинговую ссылку, начинающуюся на Facebook. Всплывающее окно на Facebook спрашивает, хочет ли потенциальная жертва авторизовать приложение. Если жертва решит авторизовать приложение, злоумышленнику будет отправлен токен, и личная конфиденциальная информация жертвы может быть раскрыта. Данная информация может включать адрес электронной почты, дату рождения пользователя, его контакты и историю работы. Если токен обладает большей привилегией, злоумышленник может получить более конфиденциальную информацию, включая адрес почтового ящика, время присутствия в Интернете и список виртуальных друзей пользователя.

Хуже всего то, что злоумышленник-фишер может иметь шанс управления (и контроля) учетной записью пользователя. Даже если потенциальная жертва не примет решение об авторизации приложения, она все равно будет перенаправлена на веб-сайт, контролируемый злоумышленником-фишером. Это может поставить потенциальную жертву под реальную угрозу.

Рассматриваемая уязвимость была обнаружена доктором математики Ван Цзином (в прошлом являвшимся студентом школы физико-математических наук в технологическом университете Наньян в Сингапуре).

Скрытое перенаправление является заметной угрозой безопасности, оно заслуживает значительного внимания.

2.4 Подделка сайтов. Голосовой фишинг

Подделка сайтов

Некоторые фишинговые мошенники используют команды JavaScript, чтобы изменить адресную строку сайта, к которому они ведут. Это можно сделать, поместив изображение допустимого URL-адреса поверх адресной строки, или закрыв исходную панель и открыв новую с допустимым URL-адресом.

Злоумышленник также потенциально может использовать против жертвы недостатки в собственных сценариях доверенного сайта. Эти типы атак (известные как межсайтовый скриптинг) особенно проблематичны, поскольку они направляют пользователя на вход в систему на собственной веб-странице банка или службы, где все, начиная с веб-адреса и заканчивая сертификатами безопасности, выглядит корректно. На самом деле, ссылка на сайт создана для проведения атаки, что делает ее очень трудно обнаруживаемой без специальных знаний. Такой недостаток был использован в 2006 году против PayPal.

Чтобы избежать методов фишинга, предусматривающих сканирование веб-сайтов на предмет текста, связанного с фишингом, фишеры иногда используют веб-сайты, созданные на основе Flash. Они очень похожи на настоящие веб-сайты, но скрывают в мультимедийном объекте текст.

Голосовой фишинг

Не все фишинговые атаки требуют наличия фейкового веб-сайта. Сообщения, которые, как утверждают злоумышленники, — из банка. В них пользователям сообщается, чтобы они набирали телефонный номер по поводу наличия проблем с их банковскими счетами.

После набора пользователем телефонного номера (принадлежащего фишеру и предоставленного службой голосовой связи по IP) пользователю предлагается обеспечить введение номера своей учетной записи и PIN-кода.

Voice phishing (то есть голосовой фишинг) иногда предусматривает использование фальшивых данных об идентификаторе вызывающего абонента, чтобы создать впечатление, что звонки поступают из доверенной организации.

2.5 Tabnabbing. Другие методы

При использовании метода Tabnabbing («вкладка вкладок») используются преимущества просмотра вкладок с рядом открытых вкладок. При этом методе предусматривается автоматическое перенаправление пользователя на мошеннический сайт. Метод работает противоположно большинству методов фишинга, поскольку пользователь при его использовании не ведется непосредственно на мошеннический сайт, а загружается поддельная страница в одну из открытых вкладок браузера.

Tabnabbing — это компьютерная эксплуатация и фишинговая атака, убеждающая пользователей отправлять свои регистрационные данные и пароли на популярные веб-сайты. Фишинговые сайты выдаются при этом за сайты законные.

Название рассматриваемой атаки было введено в начале 2010 года Азой Раскиной, являющейся экспертом по дизайну и исследователем проблем в области безопасности. При реализации атаки используется доверие пользователей и их невнимание к деталям в отношении вкладок, а также возможность браузеров перемещаться по источнику страницы в неактивных вкладках после загрузки страницы в течение длительного времени.

Tabnabbing отличается от большинства фишинговых атак тем, что пользователь не помнит, что определенная вкладка была получена на базе ссылки, не связанной со страницей входа, поскольку поддельная страница входа загружается в одну из долгоживущих открытых вкладок в браузере.

Атака заставляет браузер перейти к законной странице после того, как страница оставлена без присмотра в течение некоторого времени. Пользователь через некоторое время возвращается, и видит страницу входа в систему. Он может быть склонен полагать, что страница является законной, и вводит свой логин, пароль и другие данные, которые будут использоваться в ненадлежащих целях.

Конец ознакомительного фрагмента.