Фишинг

Материал из «Знание.Вики»
Пример фишингового письма

Фи́шинг (англ. phishing от fishing — «рыбная ловля, выуживание»[1]) — вид киберпреступления, целью которого является получение доступа к конфиденциальным данным пользователей, таким как логины, пароли, номера банковских карт и другие личные данные[2]. Доступ достигается путём массовой рассылки поддельных электронных писем, сообщений в социальные сети или SMS, которые имитируют сообщения от известных компаний, банков или сервисов.

Фишинг относится к разновидности социальной инженерии, основанной на психологическом воздействии на пользователя. Злоумышленники отправляют письма с просьбой «подтвердить учетную запись» или «обновить данные». В таких письмах обычно содержится ссылка на поддельный сайт, где пользователь вводит свои данные, которые затем перехватываются злоумышленниками.

Использование сочетания «ph» вместо «f» в написании слова также имеет свою историческую подоплеку. Одни из первых хакеров назывались phreaks Фрикинг (англ. phreaking) —исследование, эксперименты и анализ телекоммуникационных систем. Фрики и хакеры всегда находились в тесной связи, и написание «ph» в термине «фишинг» было выбрано для ассоциации с этими подпольными группами[3].

История

Первые случаи фишинга были обнаружены в середине 1990-х годов, когда интернет начал активно развиваться, а электронная почта стала популярным средством коммуникации. Термин «фишинг» впервые был официально зафиксирован 2 января 1996 года. Это упоминание появилось в новостной группе alt.online-service.America-Online сети Usenet[3].

Фишинг в America Online

Первый фишинг был направлен на пользователей сервиса AOL (America Online). AOL был ведущим провайдером интернет-услуг, миллионы пользователей ежедневно подключались к этой платформе. С самого начала хакеры и распространители пиратского программного обеспечения использовали сервис для общения между собой. Это сообщество получило название warez. Именно его участники стали первыми, кто начал осуществлять фишинговые атаки[4].

Первые фишинговые атаки заключались в использовании алгоритмов для генерации случайных номеров кредитных карт. Сгенерированные номера карт использовались для создания учетных записей AOL, которые затем применялись для рассылки спама и других целей. В 1995 году AOL внедрили меры безопасности, которые предотвратили использование сгенерированных номеров кредитных карт[3].

Позднее киберпреступники начали использовать фишинг как способ получения доступа к чужим учетным записям. Хакеры маскировались под сотрудников AOL и просили пользователей предоставить свои учетные данные под предлогом «проверки учетной записи» или «подтверждения личности». Когда жертва раскрывала свой пароль, атакующие получали полный доступ к её аккаунту, который затем использовался для мошеннических операций и рассылки спама. Проблема достигла таких масштабов, что администрация AOL стала добавлять в официальные уведомления предупреждение: «Никто из представителей компании не будет запрашивать ваш пароль или платёжную информацию». К 1997 году AOL существенно усилила свои меры по борьбе с фишингом, внедрив систему быстрого отключения подозрительных аккаунтов, что привело к постепенному снижению уровня фишинговых атак на платформе[4].

Эволюция фишинга

В 2001 году злоумышленники переключили свое внимание на онлайн-платежные системы. Хотя первая атака на E-Gold в июне 2001 года не была успешной, она положила начало новой эре. К концу 2003 года хакеры зарегистрировали десятки доменов, которые на первый взгляд выглядели как официальные сайты eBay и PayPal. С помощью червей они рассылали поддельные письма клиентам PayPal, перенаправляя их на фальшивые сайты, где требовали обновить данные кредитных карт и другую личную информацию.

К началу 2004 года киберпреступники добились значительных успехов, атакуя банковские сайты и их клиентов. Для сбора конфиденциальной информации активно использовались всплывающие окна. С мая 2004 года по май 2005 года около 1,2 миллиона пользователей в США пострадали от фишинга, а общий ущерб составил примерно 929 миллионов долларов[3].

Типы фишинга

Почтовый фишинг

Фишинговые атаки при помощи спам-рассылок работают по принципу «spray and pray». Злоумышленники маскируются под легитимную компанию и рассылают массовые письма на все доступные им электронные адреса. Пользователь получает сообщение о проблеме с его учетной записью, которую нужно срочно решить. Киберпреступники рассчитывают, что жертва, находясь в стрессовой ситуации, не станет задавать лишних вопросов и выполнит указания из письма, например, перейдет по ссылке и авторизуется. Однако, введя свои учетные данные, пользователь фактически передает их в руки хакеров. Большинство таких атак являются массовыми и не имеют конкретной цели, рассылаются большими объёмами широкой аудитории[5]. Цели злоумышленников могут различаться: от банковских организаций до поставщиков облачных сервисов, почтовых служб и потоковых платформ. Украденные данные или доступ могут использоваться для кражи денег, установки вредоносного программного обеспечения (ПО) или проведения целевых фишинговых атак (spear phishing) на других сотрудников внутри той же организации. Также скомпрометированные аккаунты стриминговых сервисов могут быть выставлены на продажу в даркнете[6].

В декабре 2020 года произошла фишинговая атака на американского провайдера медицинских услуг Elara Caring. Инцидент начался с несанкционированного вторжения в систему, осуществленного через учетные записи двух сотрудников компании. В результате злоумышленник получил доступ к их электронной почте, где содержались конфиденциальные данные более чем 100 000 пожилых пациентов. Украденная информация включала полные имена, даты рождения, финансовые и банковские реквизиты, номера социального страхования, водительские удостоверения и данные медицинского страхования. Несанкционированный доступ продолжался около недели, пока специалисты Elara Caring не смогли обнаружить угрозу и полностью ликвидировать утечку[5].

Целевой фишинг (Spear Phishing)

Метод направлен на конкретных сотрудников внутри организации. В отличие от массового фишинга, который рассылается широкой аудитории без учета индивидуальных особенностей, spear phishing тщательно планируется и адаптируется под конкретную цель. Собрав информацию о потенциальной жертве из различных источников, злоумышленники отправляют персонализированное деловое письмо, маскируясь под партнера или клиента. Цель заключается в том, чтобы убедить жертву в существовании ранее установленных деловых отношений[5].

Примером целевого фишинга стала атака на руководителя одной из 50 самых инновационных компаний мира Armorblox в сентябре 2019 года. Письмо содержало вложение, якобы представлявшее собой внутренний финансовый отчет. Для доступа к документу требовалось авторизоваться на поддельной странице входа в Microsoft Office 365. На этой фальшивой странице уже было предзаполнено имя пользователя руководителя, что делало мошеннический сайт еще более правдоподобным[5].

Whaling

Whaling (англ. whale — кит) — вид целевого фишинга, направленный на высокопоставленных лиц в организации, таких как руководители, топ-менеджеры или другие ключевые сотрудники. Этот метод считается более изощренным и персонализированным по сравнению с обычным фишингом, так как злоумышленники тщательно готовятся к атаке, собирая информацию о жертве и организации. Целью whaling является получение доступа к конфиденциальным данным, финансовым ресурсам или критически важным системам компании.

В ноябре 2020 года компания Tessian зафиксировала whaling-атаку на одного из соучредителей австралийского хедж-фонда Levitas Capital. Преступники отправили электронное письмо, которое имитировало легитимное сообщение от платформы Zoom. Ссылка в письме была поддельной и привела к внедрению вредоносного программного обеспечения в корпоративную сеть компании. Эта атака едва не завершилась переводом 8,7 миллионов долларов США на счета злоумышленников. В конечном итоге мошенникам удалось похитить лишь 800 тысяч долларов, однако последствия для компании оказались катастрофическими. Репутационный ущерб стал причиной потери крупнейшего клиента, что вынудило хедж-фонд прекратить свою деятельность[7].

Smishing

Вид кибератаки, который использует SMS-сообщения для обмана жертв и получения их конфиденциальной информации. Название происходит от сочетания слов SMS (служба коротких сообщений) и phishing (фишинг). Основная цель злоумышленников, как и при других типах фишинга, — получить доступ к конфиденциальной информации жертвы, обычно это пароли от интернет-банков или данные банковских карт. Для этого преступники отправляют SMS с сообщениями о вымышленных проблемах: например, о якобы застрявшей посылке, неоплаченном счёте или заблокированном аккаунте. Чтобы «решить» эту проблему, получателю предлагается перейти по ссылке. После клика возможны два основных сценария:

  1. Заражение вредоносным ПО : пользователь попадает на страницу, где его побуждают скачать приложение, которое маскируется под легитимный сервис. На самом деле это вредоносное программное обеспечение, которое запрашивает ввод важной информации.
  2. Переход на фальшивый сайт : жертву перенаправляют на поддельный ресурс, внешне похожий на официальный сайт какой-либо компании. Здесь также требуют ввести личные данные.

Выбор метода зависит от предпочтений конкретной группы злоумышленников: одни специализируются на создании вредоносного ПО, другие — на разработке убедительных поддельных сайтов[8].

В сентябре 2020 года компания Tripwire обнародовала информацию о смишинг-атаке, где в качестве прикрытия была использована американская почтовая служба United States Post Office (USPS). Мошенники отправляли SMS-уведомления, сообщая получателям о необходимости перейти по указанной ссылке для получения важных сведений о предстоящей доставке USPS. Однако вредоносная ссылка направляла пользователей на фальшивые веб-страницы, созданные с целью кражи учётных данных аккаунта Google у посетителей[5].

Голосовой фишинг (Vishing)

Vishing представляет собой вид мошенничества, при котором используется телефон. Обычно жертва получает звонок с голосовым сообщением, которое маскируется под уведомление от финансовой организации. Например, сообщение может попросить получателя перезвонить по определённому номеру и ввести информацию о своём счёте или ПИН-код для проверки безопасности или по другим официальным причинам. Однако указанный номер сразу перенаправляет вызов злоумышленнику через голосовую IP-связь.

В 2019 году была совершена сложная афера с использованием vishing, где преступники звонили людям, представляясь технической поддержкой Apple, и предлагали номер для звонка, чтобы «устранить проблему безопасности». Подобно старым аферам с техподдержкой Windows, эта схема строилась на страхе пользователей перед взломом их устройств.

Прогресс в области искусственного интеллекта делает vishing более коварным методом атаки, поскольку ИИ становится всё лучше в создании реалистичных дубликатов голосов с помощью аудио-дипфейков[7].

Business Email Compromise (BEC)

Этот вид кибератаки направлен на организации через компрометацию корпоративных электронных почтовых аккаунтов. В отличие от массового фишинга, BEC является целевой атакой, где злоумышленники сосредотачиваются на конкретных лицах, обычно из финансовых или управленческих отделов компаний. Атакующие получают доступ к электронной почте руководителя. Это может быть достигнуто с помощью целевого фишинга или эксплуатации существующих уязвимостей в системе безопасности. После этого они наблюдают за активностью почты некоторое время, чтобы изучить внутренние процессы компании. Сама атака происходит, когда отправляется поддельное письмо, которое выглядит так, будто оно пришло с аккаунта руководителя и адресовано человеку, который обычно с ним общается. Имитируя финансовых руководителей или главных исполнительных директоров, киберпреступники пытаются обмануть сотрудников для выполнения переводов денег на указанные счета, которые на самом деле принадлежат мошенникам.[7].

В результате такой атаки сотрудник финансового отдела компании FACC получил фальшивое сообщение, якобы отправленное генеральным директором. В письме указывалось на необходимость финансирования нового проекта, что побудило бухгалтера перечислить 61 миллионов долларов на подконтрольные злоумышленникам зарубежные счета, не подозревая о мошенничестве[9].

Клон-фишинг

Этот метод фишинга заключается в создании вредоносной копии ранее полученного письма от доверенного отправителя. Письмо отправляется с адреса, похожего на оригинальный, а содержание выглядит точно так же, как предыдущее сообщение. Единственное отличие заключается в том, что вложение или ссылка в письме заменены на вредоносные. В тексте может упоминаться, что в предыдущем сообщении были допущены ошибки или указаны неправильные ссылки, что служит поводом для повторной отправки[7].

Один из экспертов в области информационной безопасности продемонстрировал, как ссылка из электронного письма может перенаправить пользователя на поддельный сайт. На первый взгляд, адрес в строке браузера кажется правильным, но на самом деле он содержит символы, которые искусно имитируют легитимное доменное имя, чтобы обмануть пользователя[10].

Evil Twin

«Злой двойник» (Evil Twin) создает фальшивую точку доступа Wi-Fi, копирующую параметры реальной беспроводной сети. Когда пользователь подключается к этой поддельной сети, атакующие получают возможность перехватывать его данные — от сетевого трафика до конфиденциальной информации для входа в систему. Все данные, введённые при этом, напрямую передаются создателю поддельной сети. Как только злоумышленник получает пароль для доступа к настоящей сети, он может не только войти в неё, но и взять её под свой контроль, отслеживать незашифрованный трафик, а также находить способы для кражи конфиденциальной информации и данных[11].

Такие атаки получили название «злой двойник» из-за того, что хакеры способны настолько точно воспроизвести характеристики легитимной Wi-Fi-сети, что отличить поддельную сеть от настоящей становится практически невозможно. Опасность данного метода заключается в том, что выявить подобную угрозу крайне сложно, так как внешние признаки поддельной сети полностью соответствуют оригиналу[12].

В сентябре 2020 года Evil Twin был использован для атаки на Министерство Внутренних дел США. Хакеры получили доступ к внутренней сети министерства. Расследование показало, что инфраструктура беспроводной сети министерства не была достаточно защищена, а политика безопасности сети не включала строгих мер аутентификации пользователей, регулярных проверок безопасности или постоянного мониторинга для выявления и предотвращения распространённых типов атак[9].

Фишинг в социальных сетях

Социальные сети предоставляют злоумышленникам идеальную среду для осуществления атак, так как миллиарды людей активно используют их для общения, работы и развлечений. Киберпреступники используют различные техники для проведения фишинговых атак в социальных сетях:

  1. Преступники создают фальшивые страницы популярных брендов, служб поддержки или известных персон, чтобы собрать данные пользователей. Например, они могут сделать поддельный профиль банка или компании и предложить "проверить" ваши данные для получения бонуса[13].
  2. Мошенники часто используют конкурсы или розыгрыши с ценными призами. Для участия требуется заполнить форму с личной информацией, которая затем используется в незаконных целях[14].
  3. Злоумышленники взламывают аккаунты пользователей и отправляют сообщения от их имени, содержащие вредоносные ссылки. Эти ссылки могут привести на фишинговые сайты или загрузить вредоносное ПО на устройство жертвы.
  4. Поддельные рекламные объявления могут выглядеть как легитимные предложения, но при клике на них пользователь попадает на фишинговый сайт.
  5. Некоторые фишинговые атаки осуществляются через сторонние приложения, предлагаемые в социальных сетях. После установки такие приложения могут запросить доступ к личным данным пользователя.

Фарминг (Pharming)

Название которой образовано от слияния слов phishing (фишинг) и farming (сельское хозяйство). Этот метод мошенничества схож с фишингом, но вместо того чтобы обманывать пользователей через поддельные ссылки или письма, злоумышленники перенаправляют трафик с легитимных сайтов на поддельные, чтобы завладеть конфиденциальной информацией пользователей.

Основной принцип фарминга основан на преобразовании URL-адреса веб-сайта (например, www.google.com) в IP-адрес, которое выполняется с помощью DNS-серверов (серверов доменных имён). Преступники используют два основных способа для осуществления фарминговых атак:

  1. Фарминг на основе вредоносного ПО: Злоумышленник отправляет пользователю по электронной почте или через другие каналы вредоносный код, который загружается на компьютер. Этот код изменяет файл hosts на устройстве пользователя, что приводит к автоматическому перенаправлению на поддельные сайты даже при вводе правильного URL-адреса. Таким образом, пользователь, думая, что он находится на легитимном сайте, может передать свои данные мошенникам.
  2. Отравление кеша DNS: Более сложный метод заключается в изменении базы данных DNS-серверов, которые отвечают за преобразование URL-адресов в IP-адреса. При таком виде атаки изменения вносятся непосредственно в DNS-кэш, что приводит к массовому перенаправлению множества пользователей с настоящих сайтов на фальшивые. Это позволяет злоумышленникам получить доступ к данным большого количества людей одновременно. Хотя этот метод требует большего уровня технической подготовки и чаще всего направлен на уязвимые серверы, его последствия могут быть масштабными, так как поврежденная запись может распространяться между различными DNS-серверами и провайдерами[15].

Примечания

  1. Mark Liberman. Phishing. itre.cis.upenn.edu (2004). Дата обращения: 8 февраля 2025.
  2. Что такое «фишинг». Энциклопедия «Касперского». Дата обращения: 8 февраля 2025.
  3. 3,0 3,1 3,2 3,3 History of Phishing. Phishing.org. Дата обращения: 8 февраля 2025.
  4. 4,0 4,1 Stutz, Michael. AOL: A Cracker's Paradise?. Wired (29 января 1998). Дата обращения: 8 февраля 2025.
  5. 5,0 5,1 5,2 5,3 5,4 11 типов фишинга. Часть 1 // Сайт. — 2021. — 16 апреля.
  6. Тренды фишинговых атак на организации в 2022–2023 годах // Positive Technologies : Сайт. — 2024. — 14 февраля.
  7. 7,0 7,1 7,2 7,3 Rashid, Fahmida; Leyden, John. 9 types of phishing attacks and how to identify them // CSO : Сайт. — 2024. — 1 октября.
  8. Ferapontov, Alexey. Чем смишинг отличается от фишинга и как от него защититься // Kaspersky daily : Сайт. — 2021. — 23 апреля.
  9. 9,0 9,1 11 типов фишинга. Часть 2 // Сайт. — 2021. — 22 апреля.
  10. Вепрев С.Б., Нестерович С.А. Методы фишинговых атак на электронную почту и способы защиты от них. — 2021.
  11. О.А. Кунавина, К.С. Забара. Технология перехвата и анализа трафика в беспроводных сетях // Сборник материалов VII Всероссийской молодежной научно-практической конференции с международным участием (г. Уфа, 24 – 25 мая 2024 г.) : сборник. — 2024. — С. 88.
  12. Что такое атака Evil Twin («злой двойник»)? // Securitylab.ru : Сайт. — 2021. — 15 декабря.
  13. Эстетика безопасности: как «Золотое Яблоко» противостоит мошенникам с F.A.C.C.T. Digital Risk Protection // F.A.C.C.T. : Сайт. — 2024. — 4 декабря.
  14. Подноготная угона: Специалисты F.A.C.C.T. разобрали работу веб-панелей по созданию сайтов для кражи аккаунтов в мессенджерах // F.A.C.C.T. : Сайт. — 2024. — 12 ноября.
  15. Что такое фарминг и как от него защититься // Kaspersky : Сайт.