Руслан Рахметов, Security Vision
Классическая кибербезопасность долгое время выстраивалась на базе принципа эшелонированной защиты по аналогии со средневековыми крепостями, в которых для того, чтобы добраться до королевских сокровищ, атакующим нужно было сначала преодолеть ров с водой, земляной вал, высокие стены и, наконец, вскрыть дверь в сокровищницу. Но вся многоуровневая система обороны замка окажется бесполезной, если какой-то его житель случайно или со злым умыслом сам откроет главные ворота замка и запустит врагов внутрь. В ближайших двух статьях мы обсудим фишинг – популярный способ совершения кибератак, при котором ничего не подозревающий пользователь, кликнув по, казалось бы, безобидной ссылке из входящего e-mail, может стать невольным соучастником кибернападения. Сегодня – первая часть рассказа про фишинг, поехали!
В одной из предыдущих статей мы рассказывали о социальной инженерии – одном из наиболее эффективных и простых векторов кибератак, который применяют киберпреступники и мошенники против компаний и частных лиц. Способами реализации социальной инженерии становятся различные формы фишинга (англ. phishing, искаженное fishing – в переводе означает хакерскую рыбалку, «выуживание» данных у жертвы):
1) Почтовый фишинг (E-mail phishing): наиболее распространенный тип фишинга, при котором на электронную почту приходит сообщение, содержащее ссылку на некий интернет-сайт или вложение. Руководствуясь методами социальной инженерии, злоумышленники манипулируют социальными установками, когнитивными искажениями и иными особенностями человеческой психики – для этого в тексте фишингового письма могут быть угрозы, срочная просьба, пробуждение интереса у жертвы. Отправителем же будет указан якобы руководитель, коллега, работник государственного/банковского учреждения или технической поддержки – всё опять же для того, чтобы вызвать у жертвы чувства страха, доверия, интереса.
Если пользователь откроет приложенный к фишинговому письму файл (например, «срочный запрос из налоговой»), то за этим последует вирусное заражение – при этом для правдоподобности какой-то малозначимый документ всё же может быть показан жертве.
Если же пользователь перейдет по ссылке из фишингового письма, то возможны разные варианты:
· жертва фишинга окажется на поддельной веб-странице, где будет форма для ввода логина и пароля (которые сразу же «утекут» хакерам);
· браузер пользователя будет атакован эксплойт-китом (набор эксплойтов для разных версий различных браузеров, атака методом Drive-by), что может привести к вирусному заражению всего устройства;
· на веб-сайте с помощью браузера пользователя будет выполнена веб-атака (например, XSS или CSRF);
· браузер пользователя автоматически скачает файл, который, в соответствии с «инструкцией» на фишинговой веб-странице, нужно будет открыть, что приведет к вирусному заражению.
Почтовый фишинг имеет ряд разновидностей:
1.1) Целевой фишинг (Spearphishing): тщательно спланированная атака с предварительно проведенной разведкой о компании и должности, круге общения и интересах сотрудника-жертвы, покупкой домена (мимикрирующего по написанию под легитимный), созданием качественного фишингового веб-сайта, тщательной проработкой темы и текста письма с использованием актуальной повестки и контекста. Например, целевым фишингом будет e-mail-сообщение якобы из налоговой инспекции, в которой действительно обслуживается организация, накануне закрытия налогового периода, с использованием в подписи ФИО и должности настоящего налогового инспектора.
1.2) Фишинг-атака «на кита» (Whaling phishing): целевая атака на топ-менеджера компании или высшего должностного лица, которая отличается отличной продуманностью и вниманием к мелочам. Например, это может быть поддельное e-mail-сообщение операционному директору якобы от собственника компании-партнера с просьбой предоставить внутреннюю информацию (например, план совместных продаж). Еще один пример: подделка сообщения от исполнительного директора, в котором он даёт указание бухгалтеру-казначею произвести перевод денежных средств по указанным реквизитам в срочном порядке; такое e-mail-сообщение может быть усилено последующим телефонным звонком якобы от исполнительного директора с применением дипфейка.
1.3) Компрометация деловой переписки (BEC, Business Email Compromise): данная атака осуществляется либо за счет взлома существующего ящика электронной почты работника компании с «вклиниванием» в переписку и созданием «ответов» на какие-то настоящие старые письма, либо создаётся тщательно выверенный фейковый почтовый аккаунт, с которого отправляются сообщение работнику компании. Результатом атаки чаще всего является перевод денег на счета атакующих (например, за счет подделки счета на оплату с указанием подложных реквизитов) или получение атакующими конфиденциальных данных и документов.
В соответствии с классификацией MITRE ATT&CK, фишинг может использоваться в трёх тактиках:
- Разведка: фишинг используется для сбора данных, необходимых при подготовке к атаке – например, учетных данных (логинов, паролей, кодов MFA, cookie-файлов, токенов доступа и т.д.) и полезной информации (например, данных о конфигурации систем или СЗИ);
- Первичное проникновение: фишинг используется для заражения устройств пользователей в атакуемой инфраструктуре – например, устанавливаются бэкдоры, различные RAT-трояны (Remote Access Trojan, вирусы-трояны удаленного доступа), специальным образом перенастроенные программы для несанкционированного удаленного доступа (AmmyyAdmin, TeamViewer, AnyDesk и т.д.);
- Горизонтальное перемещение: внутренний целевой фишинг (Internal Spearphishing) используется после компрометации устройства или email-аккаунта в атакованной инфраструктуре для развития атаки, отправки сообщений коллегам или компаниям-партнерам – за счет большего доверия коллегам в «безопасной» рабочей среде такой дальнейший фишинг будет успешным.
Несмотря на неплохую осведомленность пользователей о наличии фишинговой угрозы, по данным отчета Verizon по расследованию утечек данных (2025 Data Breach Investigations Report), фишинг уверенно удерживает третье место по популярности векторов первичного проникновения атакующих. Кроме того, злоумышленники зачастую эксплуатируют привычку работников проверять личную почту на рабочем ПК – отправив фишинговое сообщение человеку в рабочее время, атакующие получают шанс заразить инфраструктуру всей компании.
2) Smishing (SMS phishing, фишинг через СМС и через приложения для обмена сообщениями): атакующие зачастую пытаются скомпрометировать личное или рабочее мобильное устройство жертвы путем отправки фишинговых сообщений через СМС или через различные мобильные приложения (WhatsApp, Telegram, Signal, FaceTime и т. д.). Фишинг через СМС пользовался популярностью в 2010-х годах и был удобен атакующим за счет возможности подделать номер отправителя СМС-сообщения: специальные сервисы и маркетинговые системы позволяют указать произвольное сочетание букв и цифр в поле отправителя, что даёт возможность указать произвольный номер телефона и имитировать сообщение от знакомого. Кроме того, некоторые модели смартфонов по умолчанию отображают предпросмотр ссылок и открывают присланные файлы из SMS/MMS-сообщений, что упрощает задачу злоумышленникам. Однако, контроль сотовых операторов за чистотой SMS/MMS-трафика снизило продуктивность данной техники для атакующих. Чаще всего сейчас злоумышленники присылают фишинговые сообщения через различные мобильные приложения, которые благодаря шифрованию трафика снижают эффективность сетевых СЗИ, а из-за развитого функционала позволяют хакерам находить новые уязвимости и вектора атак. В приложениях можно установить произвольную аватарку и указать любое имя пользователя – этим часто пользуются кибермошенники при звонках якобы от «начальника» или «из банка».
По аналогии с почтовым фишингом, технику Smishing можно использовать для разведки (выманивания учетных данных и информации), для первичного проникновения (например, если атакованный смартфон подключен к Wi-Fi-сети компании), а также для горизонтального перемещения – т.е. развития атаки: например, «угнав» Телеграм-аккаунт, мошенники могут проанализировать переписку пользователя, из отправленных голосовых и видео-сообщений с помощью технологии дипфейк создать поддельную «историю» о сложной жизненной ситуации и просьбе к друзьям о материальной помощи по указанным реквизитам.
3) Vishing (Voice phishing, голосовой фишинг): атакующие используют телефонные звонки через сотовую сеть и VoIP, а также через мессенджеры для выманивания информации или побуждения к каким-либо действиям. Технологии подмены номера и создания голосовых и видео-дипфейков позволяют мошенникам выдать себя за любую персону. Технику Vishing можно применять для разведки, а также для горизонтального перемещения – позвонив в офис компании и «попав не туда», злоумышленник может любезно попросить сотрудника перевести вызов жертве атаки, которая при ответе на входящий звонок увидит на экране стационарного телефона добавочный номер своего коллеги, а не исходный внешний номер мошенника.
4) Quishing (QR phishing, квишинг): данные атаки предполагают рассылку фишинговых сообщений с QR-кодами, ведущими на мошеннические или вредоносные сайты. QR-код может содержать в себе текст (максимум 4296 цифробуквенных символов) и двоичный код (2953 байт), при этом чаще всего QR-код содержит ссылки с указанием различных протоколов или URI-схем. Злоумышленники используют QR-коды для атак методом quishing: жертвы получают фишинговые e-mail-сообщения, в которых вместо обычных текстовых фишинговых ссылок содержатся QR-коды, ведущие на вредоносные или мошеннические ресурсы. Для того, чтобы обойти почтовые защитные решения, которые выявляют изображения с QR-кодами, атакующие могут применять метод отрисовки QR-кодов с помощью специальных unicode-символов. Кроме того, размещение или переклейка QR-кодов в общественных местах или на интернет-ресурсах также может применяться атакующими для направления пользователей на мошеннические ресурсы или для реализации атак типа QRLJacking.
Существуют и другие типы веб-атак, в которых применяются методы социальной инженерии:
5) Атака через «водопой» (Watering hole attack): хакеры взламывают популярные у своей целевой аудитории сайты (например, веб-ресурсы для бухгалтеров, юристов или кадровиков) и размещают на них формы для ввода учетных данных (якобы для участия в профильной конференции), ВПО (под видом обновления браузера), вредоносные JavaScript, эксплойт-киты для браузеров.
6) Отравление поисковой выдачи (SEO Poisoning): атакующие повышают рейтинг вредоносного сайта в выдаче поисковой системы, что позволяет отображать мошеннический ресурс на видном месте в результатах поиска по ключевым словам. В результате, ищущие легитимное ПО или онлайн-магазин пользователи по невнимательности попадают на вредоносный сайт, доверяя рейтингу сайта в поисковике.
7) Malvertising («вредоносная реклама»): атакующие покупают контекстную рекламу, что позволяет отображать мошеннический ресурс на видном месте в поисковике или на популярных сайтах. В результате, ищущие легитимное ПО или онлайн-магазин пользователи по невнимательности попадают на вредоносный сайт, доверяя рекламе. Кроме того, атакующие могут взломать рекламную сеть целиком и заменить все безвредные легитимные объявления на вредоносные – например, призывающие пользователя «обновить плагин для браузера». Аналогичным образом даже на популярных сайтах могут появиться объявления о том, что устройство пользователя заражено и скоро выйдет из строя, поэтому нужно срочно связаться с «оператором технической поддержки» (мошенническая схема «Фейковая техподдержка»).
8) Typosquatting («захват опечаток») или URL hijacking («угон URL»): атакующие регистрируют домены, которые похожи по написанию с легитимными веб-ресурсами, и размещают на них вредоносный контент. Злоумышленники рассчитывают, что определенный процент интернет-пользователей сделает опечатку при вводе домена в адресной строке браузера и попадёт на такой вредоносный сайт.
9) Pharming (от сочетания слов phishing и farming): перенаправление пользователей на вредоносные сайты за счет изменения настроек DNS-преобразования (например, путем изменения служебного файла hosts, подмены DNS-сервера, отравления кэша DNS-записей).
10) Clickjacking («угон кликов»): злоумышленники создают на сайте невидимые элементы таким образом, что пользователь случайно нажимает на вредоносные ссылки или не видит адрес сайта, который отображает форму ввода данных. Например, таким образом можно подделать форму ввода логина/пароля или добиться случайного нажатия пользователем кнопки «Перевести деньги».
11) Cryptojacking («угон крипты»): злоумышленники размещают на сайте JavaScript-код, который майнит криптовалюту с использованием браузера пользователя, пока он находится на зараженном сайте.
12) Open redirect («открытое перенаправление»): легитимный веб-сайт может содержать уязвимость, благодаря которой злоумышленники смогут создавать ссылки вида https://www[.]goodsite[.]com/url?q=https://www[.]badsite[.]com, которые будут перенаправлять пользователей на вредоносный сайт. В результате, системы проверки URL увидят только легитимный домен и не заблокируют подобную ссылку.
13) Фишинг через социальные сети (Angler phishing, «фишинг рыболова»): жертвы пишут сообщения с описанием проблемы или с просьбой о помощи в группах банков, телеком-операторов или ритейлеров, но с ними на контакт выходят мошенники, прочитавшие сообщение и выдающие себя за представителя компании. В результате, пользователь может установить вредоносное приложения «для решения технической проблемы», перевести деньги или сообщить свои персональные данные мошеннику. Социальными сетями активно пользуются и мошенники для сбора первичной информации о жертве: например, создаётся профиль миловидной девушки, которая посылает запросы на добавление в друзья всем мужчинам-сотрудникам различных ИТ-компаний – завязавшаяся переписка может привести к тому, что потерявший бдительность молодой ИТ-специалист с офисного ПК перейдет по ссылке, которую пришлет новая знакомая в рабочее время.
14) Фишинг через атаки типа Man-in-the-Middle: различные атаки типа «человек посередине» могут также привести к фишингу – например, с помощью Sniffing и Wiretapping атак можно реализовать подмену трафика к легитимным веб-сайтам, внедрять в их страницы различные вредоносные скрипты и похищать учетные данные в поддельных формах ввода.
Вторую часть статьи читайте по ссылке.
