Спирфишинг: разбираем методы атак и способы защиты от них
Фишинг (phishing) – вид интернет-мошенничества, использующий принципы социальной инженерии. Это письмо в электронной почте, звонок, SMS или сообщение в мессенджере или соц.сети, пытающееся обманом убедить пользователя передать свои конфиденциальные данные, скачать какой-то вредоносный файл или перевести деньги. Для этого отправитель представляется неким другим лицом, от которого подобная просьба вызывает меньше подозрений.
Целевой фишинг (spear phishing) – подвид фишинга, который нацелен на более узкий круг людей. Это может быть какая-то организация, группа ее сотрудников или отдельный человек, в зависимости от намерений атакующего. Получаемое сообщение в этом случае будет рассчитано именно на ограниченный круг лиц. В ходе такой атаки злоумышленник может попытаться:
- заполучить конфиденциальные данные (данные банковской карты в целях кражи денег);
- установить ВПО на целевое устройство;
- заполучить секреты и конфиденциальные данные организации в целях шантажа или перепродажи конкурентам;
- заполучить военные данные.
Различия между фишингом и целевым фишингом
- Выбор цели. Фишинг работает по принципу “spray and pray” (распространи и жди): заготовленное сообщение раскидывается большому количеству людей в надежде, что хоть кого-то из них удастся одурачить. Целевой фишинг же является таргетированной атакой. Его мишенью является определенная компания, определенные ее сотрудники или конкретный человек, и потому сообщение будет отправлено только им.
- Уровень навыка злоумышленника. Фишинг требует меньших навыков и изначально рассчитан на большое количество неудач. Целевой фишинг, как таргетированная атака, более сложный и применяет более продвинутые техники, а также требует большей предварительной подготовки.
- Возможность обнаружения. Из предыдущего пункта также вытекает, что целевой фишинг обнаружить сложнее, чем обычный фишинг.
- Цель атаки. В результате любой из двух атак злоумышленник может стремиться получить логины, пароли или другие данные, но фишинг подразумевает быстрое получение выгоды, например, денег. Атакующему в этом случае вряд ли будет интересно получить десять учеток от почт неизвестных людей. При целевом же фишинге даже если целью будет пароль от электронной почты, это будет осмысленным шагом. Возможно, злоумышленник знает, что в этой почте хранится ценная информация, а возможно, что это лишь этап многоуровневой атаки.
Ход атаки
Рассмотрим ход атаки целевого фишинга на примере сообщения на электронной почте.
Сначала злоумышленник проводит большую предварительную работу по поиску информации о цели. Это может быть как адрес электронной почты и имена подрядчиков или коллег, так и увлечения цели, недавние покупки или другие вещи, которые можно узнать из социальных сетей – любая информация, которая поможет в теле письма сбить получателя с толку и заставить поверить в его правдивость.
Затем, вооружившись всеми полученными из доступных источников данными, атакующий составляет фишинговое письмо от лица кого-то, с кем знакома жертва (коллега, член семьи, друг, заказчик и т.п.). Отправляемое сообщение должно создать ощущение срочности и убедить получателя отправить личную информацию в ответе, ввести ее, перейдя по ссылке в письме, или же скачать ВПО из вложений к письму.
В некоторых случаях в идеальном для злоумышленника сценарии после того, как письмо “сработало”, на машину цели устанавливается бэкдор, позволяющий похитить необходимую информацию. Она собирается, шифруется и отправляется атакующему.
Способы защиты
Технические средства защиты:
- Фильтр спам-сообщений. Может быть установлен на почтовом сервере. Некоторые фишинг-письма можно идентифицировать по их содержанию. Правда, если пытаться таким способом отсеять все нежелательные письма, высока вероятность ложных срабатываний, поскольку фишинг-письма (особенно при целевом фишинге) мимикрируют под вполне себе легитимные сообщения.
- Проверка адресов отправителей письма. Указанный отправитель в письме и действительный отправитель в заголовке могут не совпадать. Фильтр может также проверять, например, что домен отправителя похож на домен компании, но написан с ошибкой.
- Проверка вложений в письмах на вирусы и в песочнице. Прежде чем адресат получит письмо, содержащее исполняемое вложение, оно проверяется антивирусом или запускается в песочнице.
- Блокировка писем, содержащих ссылки и исполняемые файлы во вложениях. Более жесткая вариация предыдущего пункта, но действительно используемая в некоторых местах и защищающая от некоторых векторов атак.
Какие бы технические меры защиты ни были предприняты, нежелательное письмо все равно может попасть в почтовый ящик. Поэтому стоит в письмах обращать внимание на вызывающие подозрение вещи:
-
Отправитель.
- Это кто-то, с кем вы обычно не общаетесь.
- Вы не знакомы с отправителем лично и за него не поручался никто из тех, кому вы доверяете.
- У вас нет деловых отношений с отправителем, и вы прежде никогда не общались.
- Письмо от кого-то вне компании и не относится к вашим рабочим обязанностям.
- Отправитель вам известен, но письмо написано в очень несвойственной этому человеку манере.
- Домен отправителя написан с ошибкой (например, sbrebank.ru).
-
Получатель.
- В числе получателей кроме вас значатся другие люди, но вам не знаком никто из них.
-
Ссылки.
- При наведении мышки на ссылку, указанную в письме, видно, что в действительности ссылка, по которой вы перейдете при нажатии, совершенно другая.
- Кроме ссылки в письме больше ничего нет.
- Ссылка содержит адрес, похожий на хорошо известный сайт, но в нем допущена ошибка.
-
Дата получения.
- Письмо получено в необычное время. Например, оно касается работы, но отправлено глубокой ночью, в нерабочие часы.
-
Тема письма.
- Тема письма никак не соотносится с текстом письма.
- Тема помечена, как ответ на некое письмо, которое в действительности вы никогда не отправляли.
-
Вложения.
- Отправитель вложил в письмо файл, который вы не ожидали (обычно вы не получаете такой тип вложений от этого человека) или который не имеет никакого отношения к тексту письма.
- Вложение имеет потенциально опасное расширение. Единственным безопасным типом файла является .txt.
-
Содержимое письма.
- Отправитель просит перейти по ссылке или открыть вложение для того, чтобы избежать каких-то негативных последствий или же, напротив, получить что-то ценное.
- Текст выглядит необычно или содержит много ошибок.
- Отправитель просит перейти по ссылке или открыть вложение, которые кажутся странными или нелогичными.
- Отправитель просит вас отправить конфиденциальные данные по почте или в SMS.
Очевидно, недостаточно знать и следовать этим правилам. Необходимо также донести эту информацию до остальных людей в компании. Намного проще противостоять атаке, когда известно, что она может произойти. Важно обучать сотрудников и рассказать им о фишинговых атаках. Может быть также полезно проводить время от времени социотехническое тестирование, чтобы удостовериться, что информация была успешно усвоена.
Итог
Противостоять атакам социальной инженерии сложнее всего, поскольку конечным рубежом становится человек. Злоумышленнику тоже могут быть известны все технические способы защиты, поэтому он может изобрести способ их обойти. Однако осведомленность и выполнение несложных правил сильно снижает риск успешной атаки.
Хотите убедиться, что ваши системы надежно защищены? Или интересуетесь, как донести информацию до сотрудников? Обращайтесь, мы с радостью проведем социотехническое тестирование или поможем с обучением и расскажем о подобных атаках.