Руслан Рахметов, Security Vision
В прошлой статье мы рассказали о том, что такое фишинг, и перечислили основные его типы. Сегодня настало время поговорить о ряде практических методов и техник, которые применяют злоумышленники в рамках фишинговых и социоинженерных атак, а также о трендах в фишинге и мерах противодействия.
1) Претекстинг (англ. Pretexting) - это техника создания искусственной ситуации или предлога (англ. Pretext), в которой злоумышленник выманивает информацию у жертвы или заставляет её выполнить некоторые действия (перейти по ссылке, ввести пароль, открыть файл). Разновидностью претекстинга также является техника реверсивной социальной инженерии (Reverse social engineering), в которой жертва сама инициирует контакт (диалог или переписку) с атакующими - например, пользователь видит баннер с информацией о том, что именно его ПК заражен опасным вирусом (для создания иллюзии достоверности информацию о браузере и устройстве пользователя можно получить методом Fingerprinting), поэтому сам пишет в чат «техподдержки», перейдя по ссылке из этого баннера. Другой пример - гражданину приходит СМС с предупреждением якобы о том, что его аккаунт на Госуслугах взломан, и для восстановления доступа нужно позвонить в «техподдержку» (разумеется, указанный в СМС номер технической поддержки Госуслуг принадлежит мошенникам, а при подозрении на взлом аккаунта на Госуслугах следует лично обращаться в ближайший МФЦ).
2) Бэйтинг (англ. Baiting, приманка) - это техника заманивания жертвы и побуждения к выполнению действий, выгодных атакующим. Например, жертва может кликнуть по баннеру, обещающему бесплатную загрузку свежего сериала, или открыть полученный по почте файл с интригующим названием «Зарплатные ведомости», или подобрать на улице "потерянную" флешку и подключить её к рабочему ПК - во всех этих случаях последствием будет вирусное заражение устройства.
3) Атака ClickFix: на фишинговом сайте отображается CAPTCHA, при нажатии на которую в буфер обмена устройства жертвы помещается набор команд, а в тексте сообщения жертве предлагается открыть окно выполнения команд (для ОС Windows и Linux) и вставить скопированный текст туда - таким образом, пользователь сам запускает вредоносную команду из буфера обмена.
4) Атаки на Chromium-браузеры: по аналогии с атакой ClickFix, злоумышленники могут предложить пользователю открыть страницу в якобы «безопасном/совместимом режиме браузера» путём запуска Chromium-браузера с флагом "--auto-select-desktop-capture-source" (это запустит демонстрацию экрана барузером) или с флагом "--auto-accept-camera-and-microphone-capture" (это активирует камеру и микрофон устройства). Еще одна техника - это открытие веб-страницы в режиме Application Mode, что позволит открыть сайт в режиме отдельного приложения, в котором будет скрыта адресная строка, что усложнит выявление фишингового домена при вводе учетных данных.
5) Демонстрация экрана, инструменты удаленного администрирования: пользователя можно убедить скачать и запустить легальное ПО для удаленного администрирования и демонстрации экрана якобы для устранения компьютерной проблемы «специалистами техподдержки» - а в это время злоумышленники либо заражают ноутбук ВПО, либо отправляют запрос на восстановление доступа к веб-сервису и видят текст СМС-сообщения на экране смартфона. Аналогичным образом мошенники получают доступ и к порталу Госуслуг жертвы.
6) Использование трекеров: в email-сообщения и вложения могут встраиваться веб-маячки (также называются web beacons, tracking pixels, spy pixels) в виде невидимых микроскопических изображений, которые загружаются с серверов злоумышленников, а также используются аналитическими и маркетинговыми фирмами. В зависимости от программы, с помощью которой пользователь просматривает email-сообщение (почтовый клиент или браузер), подобные веб-маячки могут передавать атакующим IP-адрес открывшего письмо пользователя, версию почтового клиента, а также все сведения о браузере, которые можно получить методом Fingerprinting. Если пользователь открыл вложение со встроенным маячком (например, офисный документ), то атакующие получат данные о версии ОС и офисного пакета. Для противодействия таким методам сбора информации некоторые почтовые клиенты по умолчанию не загружают внешнее содержимое в письмах, а офисный пакет MS Office открывает полученные из интернет документы в защищенном режиме (достоверность файлов в среде Microsoft определяется за счет технологии простановки MOTW-меток, для которой есть различные способы обхода и уязвимости - например, при открытии документов из присланных архивов с помощью некоторых программ-архиваторов). Еще один способ атаки связан с особенностями NTLM-аутентификации, при которой рабочая станция при открытии ссылки на изображение со схемой file:// автоматически передаст удаленному ресурсу логин и Net-NTLMv2-хэш от пароля, а методом защиты будет установка Windows-политики «Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности: Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам» в режим блокировки («Запретить всё»).
7) Обход мультифакторной аутентификации: как мы уже рассказывали, атакующие используют ряд техник для обхода систем мультифакторной аутентификации на базе push-уведомлений и одноразовых кодов. В случае push-уведомлений злоумышленники могут применять методы социальной инженерии (например, позвонить пользователю от имени техподдержки и попросить подтвердить якобы «служебный» вход в аккаунт). В случае с одноразовыми кодами, сгенерированными в приложении или полученными в СМС, атакующие используют фишинговые сайты, на которых пользователь вводит и логин, и пароль, и одноразовый код. На подобных фишинговых сайтах может быть настроен реверс-прокси (например, на базе Nginx), который пересылает все полученные от пользователя данные (логин, пароль, код) настоящему веб-сайту, получает от веб-сайта сессионную cookie или JWT-токен, которые затем злоумышленники используют для несанкционированного входа на сайт. Пользователь, тем временем, находится на странице фишингового ресурса, но видит в окне веб-браузера содержимое знакомого ему веб-сайта (включая все свои файлы, почту и т.д.), которое проксируется сервером злоумышленников для того, чтобы не вызывать лишних подозрений о подлинности ресурса у сотрудника - подобную атаку можно реализовать, например, через свободно распространяемую утилиту Evilginx.
8) Взлом одного из участников переписки и встраивание в email-цепочку: по аналогии с BEC-атакой, о которой мы рассказывали в прошлый раз, злоумышленники всё чаще применяют технику взлома email-аккаунта одного из участников переписки с дальнейшей отправкой «ответных» (с цитированием) фишинговых сообщений от его имени, что повышает доверие к таким письмам. Аналогично поступают мошенники и при взломе аккаунтов в мессенджерах - пишут сообщения «в ответ» на старые переписки, а также ищут голосовые и видео-сообщения и далее создают дипфейк-записи для друзей или родственников (например, «Попал в беду, срочно переведи деньги»).
9) Применение ИИ для почтового фишинга: если раньше атакующим при реализации Spearphishing-атак приходилось тщательно создавать фишинговое сообщение вручную, выверяя грамматику и стилистику, то современные ИИ-технологии позволяют поставить Spearphishing на поток не только для точечных взломов крупных компаний, но и для фишинга на бытовом уровне против обычных пользователей. Технологии генеративного ИИ позволяют выполнить качественный перевод текста на любой язык, создать сообщение в официальном или неформальном стиле, скопировать характерные стилистические особенности автора (если его аккаунт был ранее скомпрометирован и используется для дальнейшей рассылки фишинга по списку контактов). ИИ позволяет вести мошенническую переписку одновременно с разными потенциальными жертвами, вступать с ними в длительный диалог, постепенно склонять к выполнению необходимых атакующим действий.
10) Применение ИИ для голосового фишинга: ИИ позволяют не только качественно воспроизводить голос и изображение того, кем представляется мошенник, но и вести диалог с жертвами при реализации массовых Vishing-атак. Например, для автоматизации ручного «труда» мошенников в нелегальных Call-центрах, массово звонить пользователям могут ИИ-боты, работающие по аналогии с голосовыми помощниками в легальных сервисах. Еще одна мошенническая схема заключается в отсеве бдительных граждан за счет необходимости выполнения инициативных действий при разговоре с ИИ-ботом: например, если пользователю позвонил такой бот и сообщил легенду о «блокировке карты», то жертве предлагается или ввести тональную команду (например, нажать "1"), или ответить «Да» якобы для соединения с оператором - это позволит отсеять внимательных пользователей и передать звонок «живому» мошеннику только от тех, кто уже поверил в скам-легенду.
Мошенники непрерывно совершенствуют методы обмана и использования похищенных в результате фишинга учетных данных, задействуя, например, такие техники и инструменты:
1) Инфостилеры: ВПО, оснащенное функционалом кражи учетных данных, в том числе сохраненных в браузерах, по-прежнему пользуется популярностью у злоумышленников - в результате, инфостилеры, программы-шпионы (spyware) и кейлоггеры передают атакующим куки-файлы, токены, пары «логин-пароль».
2) Действия хактивистов: политически мотивированные злоумышленники выкладывают в свободный доступ большие дампы скомпрометированных учетных записей, полученных в результате массового фишинга, взлома веб-сервисов и парсинга логов вирусов-инфостилеров. Другие киберпреступники ищут среди выложенных в паблик аккаунтов валидные данные и проводят дальнейшие атаки с их помощью.
3) «Фишинг как услуга» (англ. Phishing-as-a-Service): распространенный среди атакующих подход, который подразумевает аренду нелегальной почтовой серверной инфраструктуры и фишинг-китов (готовых наборов для проведения фишинга, включающих в себя шаблоны email и фишинговых веб-страниц) для проведения мошеннических кампаний.
4) Брокеры первоначального доступа (англ. Initial Access Broker) - это торговые площадки злоумышленников, специализирующихся на краже учетных записей для различных сервисов (в основном, корпоративных) и на дальнейшей их продаже в Даркнете, где покупателями могут выступать другие киберпреступники, например, вымогательские кибергруппировки или кибершпионы, которые затем беспрепятственно получают несанкционированный удаленный доступ к инфраструктуре интересующей их компании.
5) Мошеннические схемы "Contagious Interview" («Вредоносное собеседование») и WageMole («Зарплатный крот»): две относительно новые мошеннические схемы, которые используются либо для заражения устройств кандидатов на фейковые вакансии путём отправки им вирусов под видом технических тестов и инструментов для удаленной работы (схема Contagious Interview), либо для удаленного трудоустройства в крупные компании в целях кибершпионажа с использованием сгенерированного ИИ фейкового профиля ИТ-специалиста (схема WageMole).
Для защиты систем электронной почты от спама и фишинга существует ряд решений, таких как:
· Средства обеспечения безопасности электронной почты (SEG, Secure Email Gateway) - решения для фильтрации спама, фишинговых сообщений, ВПО, утечек данных, выполнения дополнительных проверок подлинности email-сообщений (SPF, DKIM, DMARC), в которых для выявления признаков фишинга и спама могут использоваться технологии ИИ и машинного зрения (в целях распознавания изображений, под которые маскируют фишинговый текст);
· Системы изолированного выполнения программ («песочница», sandbox) - решения для создания изолированной контролируемой среды для проверки файлов, полученных по email, на наличие вирусов;
· Анти-спам фильтры - базовые решения для выявления и блокирования спама, которые встраиваются в серверы обработки электронной почты и в почтовые клиенты.
Несмотря на наличие подобных защитных решений, злоумышленники находят всё новые способы их обхода, например:
1) Полиморфный фишинг: каждое отдельное сообщение в рамках фишинговой рассылки немного отличается друг от друга, что не позволяет быстро выявить и заблокировать все фишинговые сообщения в рамках этой email-рассылки, а также усложняет отслеживание всей вредоносной кампании и снижает эффективность блок-листов на SEG и почтовых серверах.
2) Техника "HTML Smuggling" (буквально «Контрабанда HTML»): подтехника для обфускации вредоносных файлов, в которой JavaScript, размещенный на веб-странице (пользователь открывает html-вложение или переходит по ссылке), запускает скачивание двоичного объекта (JS blob), содержимое которого декодируется браузером на локальном ПК и затем сохраняется на диске, а пользователю предлагает его открыть. Вредоносный файл может быть сохранен под видом запароленного архива, а пароль будет указан на той же фишинговой веб-странице. Атакующие также используют особенности SVG-файлов, которые могут отображать HTML и исполнять JavaScript при загрузке изображения с дальнейшим локальным формированием вредоносного объекта, а также эксплуатируют особенности схемы blob URI.
3) Использование легитимной почтовой инфраструктуры для фишинговых рассылок: для того, чтобы снизить уровень обнаружения фишинга, злоумышленники рассылают вредоносные сообщения с ранее взломанных email-аккаунтов, а также создают фишинговые домены, маскирующиеся под легальные сервисы, на которых корректно настраивают технологии SPF, DKIM, DMARC, что также снижает уровень обнаружения рассылаемого фишинга. Кроме того, атакующие используют в целях фишинга ряд популярных платформ для организации маркетинговых и иных легальных рассылок - с неисчерпывающим списком таких сервисов можно ознакомиться на странице проекта Living Off Trusted Sites (LOTS), применив фильтр Phishing.
4) Техника перезаписи URL (URL Rewriting): различные SEG-решения и «песочницы» обычно проверяют безопасность URL-ссылки в момент получения email, и если на момент обработки защитным решением ссылка не определена как вредоносная, то она передаётся пользователю. Однако, атака будет успешной, если в период между проверкой защитным решением и кликом целевого пользователя по ссылке содержимое веб-страницы, куда она ведет, будет перезаписано - например, в течение нескольких ночных часов вместо безвредного сайта-визитки по тому же адресу появится форма ввода учетных данных, имитирующая корпоративный сервис. Еще одна особенность связана с тем, что решения для защиты электронной почты после анализа безвредной на момент проверки URL-ссылки перезаписывают её – т.е. заменяют на редирект-ссылку самого защитного решения, что вызывает доверие к такой ссылке со стороны пользователей. Соответственно, атакующему потребуется скомпрометировать сначала один аккаунт, защищенный корпоративным решением с использованием подобной системы перезаписи URL, и переслать самому себе ссылку, которая на момент проверки будет безвредной, а затем получить перезаписанную «безопасную» редирект-ссылку и распространять по корпоративной адресной книге уже её - после изменения контента веб-страницы на вредоносный защитное решение уже не сможет это выявить, а редирект-ссылка будет проходить все фильтры в пределах компании и не будет вызывать подозрений у корпоративных получателей.
5) Использование технологии AMP: атакующие применяют устаревшую технологию AMP (Accelerated Mobile Pages) для сокрытия вредоносного URL за AMP-ссылкой от легитимного провайдера (Google, TikTok и т.д.).
6) Использование сервисов сокращения URL: атакующие применяют сервисы сокращения URL (TinyURL, Bitly, ShortUrl и т.д.) для маскирования вредоносных ссылок.
7) Цепочки редиректов (Redirect Chain): злоумышленники используют HTTP-код "302 Found" для незаметного редиректа пользователей на другой сайт, причем подобных редиректов может быть много. Некоторые СЗИ не поддерживают проверку множественных редиректов, что позволяет атакующим обходить такие меры защиты.
8) Использование CAPTCHA: в целях сокрытия контента вредоносного сайта от сервисов проверки содержимого URL, «песочниц» и SEG, атакующие устанавливают капчу, которую такие СЗИ не смогут пройти, но пользователи-жертвы воспримут необходимость пройти CAPTCHA-проверку как обыденность.
9) Геофэнсинг (Geofencing): в целях защиты от проверки фишингового сайта различными СЗИ, роботами поисковых систем и интернет-анализаторами, злоумышленники разрешают доступ к своему фишинговому сайту только из определенных гео-зон, в которых находятся атакуемые пользователи, а также применяют технологии фильтрации по IP-адресам (разрешают подключение только с IP-диапазона атакуемой компании), по HTTP-заголовку User-Agent, по поддерживаемому браузером языку, типу ОС и т.д. Это позволяет отфильтровать жертв целевой фишинговой рассылки от случайных пользователей и предотвратить попадание вредоносного сайта в блок-листы по результатам анализа различными защитными решениями.
10) Использование графических изображений: идея использования изображений вместо текста для обхода текстовых анти-спам и анти-фишинг фильтров не нова, и для выявления подозрительного текста на изображениях успешно используются технологии машинного зрения. Однако всё чаще атакующие встраивают в фишинговые сообщения QR-коды, реализуя атаку методом Quishing (QR phishing), и комбинируют её с другими техниками, такими как URL Rewriting и цепочки редиректов.
11) Обход песочниц с использованием архивов с паролем: злоумышленники ищут способы доставки вредоносного содержимого в архивах с паролем, который может передаваться в виде изображения, пересылаться в последующих email-сообщениях или указываться на веб-странице, с которой пользователю предлагают скачать вредоносный архив.
12) Обход песочниц с использованием нестандартных типов содержимого: злоумышленники могут пересылать вредоносные архивы по частям, использовать большие уровни вложенности в архивах, а также пересылать вредоносный контент в форматах .iso (образ диска) или .vhd (виртуальный жесткий диск). Кроме того, атакующие могут пересылать файлы или архивы большого размера в надежде, что их обработка либо не будет выполнена СЗИ в силу ресурсных ограничений или из-за настроек соответствующей политики на СЗИ, либо пользователю будет доставлен большой файл вообще без проверки, поскольку его обработка займет слишком продолжительное время и на СЗИ сработает режим Fail-Open по тайм-ауту.
Проблема фишинга ненова, и уже давно разработаны и применяются технологии SPF, DKIM, DMARC, которые позволяют отсечь часть несложного фишинга. Тем не менее, специалисты уже освещали ряд проблем и двусмысленностей, которые возникают при обработке email даже при использовании этих защитных технологий (доклад на BlackHat USA 2020, исследование, утилита от авторов исследования, обсуждение на Хабре):
· Существует неопределенность в логике проверки email-заголовков (например, SPF проверяет заголовок HELO, а DMARC проверяет заголовок MAIL FROM);
· Спецсимволы в email-заголовках позволяют обманывать логику проверки SPF/DKIM/DMARC;
· Почтовый сервер (MTA, англ. Mail Transfer/Delivery Agent - агент пересылки/доставки почты, например, сервер Dovecot или Postfix) должен проверять соответствие заголовка "From:" и имени аутентифицированного пользователя, но на практике проверка поля "From:" затруднена из-за возможности намеренного использования сложного, но допустимого синтаксиса (RFC 2047 позволяет использовать не-ascii символы, а RFC 5322 допускает экранирование спецсимволов в заголовках сообщений);
· В соответствии с RFC 5322, сообщения с множественными заголовками "From:" не должны приниматься, но на практике принимающие почтовые сервера зачастую пропускают такие сообщения без проблем;
· Почтовый клиент (например, MS Outlook - Mail User Agent, MUA) отображает пользователю в поле «Отправитель» содержимое заголовка "From:" (которое может быть произвольным), а не содержимое заголовка "MAIL FROM" (подлинность которого проверяется почтовым сервисом);
· Почтовый клиент отображает пользователю в поле "отправитель" содержимое заголовков "Sender:" или "Resent-From:" в случае, если заголовок "From:" отсутствует или создан с намеренными ошибками.
В результате, даже если входящее email-сообщение успешно прошло все проверки SPF/DKIM/DMARC, это не гарантирует того, что почтовый клиент пользователя верно отображает адрес фактического отправителя письма в поле «От кого» — значит, пользователь ошибётся при определении автора сообщения и перейдет по фишинговой ссылке.
Тем не менее, несмотря на определенный скепсис, одним из эффективных способов борьбы с фишингом остаётся обучение пользователей, при проведении которого следует учитывать некоторые психологические особенности целевой аудитории - опыт работы с ПК, возраст, импульсивность, любопытство и другие характеристики.
.jpg)
