Фишинг учетной записи что это
Фишинг: что это такое и его виды
Что такое фишинг в интернете
Для начала стоит разобраться, что такое фишинг в интернете вообще. Данное явление представляет собой вид интернет-мошенничества с целью запроса и получения доступа к личным данным пользователя (пароль, логин, банковские карты и др.). В интернете самым популярным методом такого мошенничества является рассылка писем по электронной почте от лица известных компаний.
Они, в свою очередь, содержат ссылки на ненастоящие сайты, выглядящие как оригинальные. Обычно, здесь предлагают ввести персональные данные пользователя (в зависимости от того, что нужно мошеннику). После ввода возникает ошибка или выбрасывает с сайта на другой ресурс. Первым делом, следует беспокоиться тем, кто задумывается о создании интернет-магазина, чтобы защитить его от киберпреступлений.
Что такое фут фишинг
Что такое фишинг в сети
Теперь более подробно поговорим, что такое фишинг в сети. На сегодняшний момент это широко распространённый вид кибепреступлений. Происходит похищение аккаунтов, конфиденциальной информации, банковских данных. В особенности, если пользователь занимается франшизой и широко продвигает эту деятельность. К сожалению, в УК РФ прописана ответственность только за крупно масштабные преступления.
Мошенник осуществляет фишинг самыми разными способами. Но его цель задеть человека эмоционально и заставить выполнять свои требования. Зачастую, это хороший психолог, который может манипулировать Вами через запугивание, невнимательность, потребность в везении или любопытство.
Что такое фишинг с фейка
Многие пытаются разобраться, что такое фишинг с фейка и как это работает. Это всё тот же вид мошенничества. Неизвестный пользователь присылает Вам сообщение с просьбой перейти на фейковую страницу. Она может выглядеть как оригинал с качественно написанными СЕО текстами, которые пишут профессионалы. К несчастью, распознать такое редко удаётся.
При вводе своих данных, они переходят к мошеннику. И что же он с ними делает? Он может использовать их против Вас. Войти с помощью них в другие социальные сети, делать спам рассылки. Также, если у Вас имеется электронный кошелёк, то деньги могут перейти к нему.
Что такое фишинг с аккаунта
Если рассуждать о том, что такое фишинг с аккаунта, то логично, что тут так же замешаны персональные данные из социальных сетей. Допустим, что Вам написал знакомый человек по поводу недостатка у него средств. Конечно, нет подозрений, что человек может быть в плохом положении. Но так бывает не всегда. Обычно через сообщение можно понять, правда это или обман.
Это может быть и стиль письма, и поведение человека. То есть, мы говорим о том, что аккаунт этого пользователя уже взломан и используется против него. И с помощью этого ловит других пользователей с целью извлечения выгоды.
Защита от фишинга: что это такое
Чтобы Вы никогда не попадали в подобные ситуации, важно знать про защиту от фишинга и что это такое. Это обычные правила безопасного поведения в сети интернет. Приведём самые важные из них:
Данная статья будет очень полезна всем пользователям, так как напоминает о безопасном пользовании интернетом. Фишинг сейчас достаточно частое явление, которое нужно подавлять. Иначе, это приведёт к настоящему неприкрытому воровству в социальных сетях.
Фишинг: ловись рыбка большая и маленькая
Фишинг (phishing, от fishing — рыбалка, выуживание) — вид интернет-мошенничества, при котором злоумышленник любым доступным способом пытается получить конфиденциальные данные пользователя: логин/пароль, ФИО, номер телефона, паспортные данные и тд. Помимо стандартного фишинга существует и его разновидность — вишинг (от англ. Voice phishing). Используя вишинг, злоумышленники с помощью голосовых видов коммуникации и социальной инженерии пытаются получить данные банковских карт пользователей или любую другую конфиденциальную информацию. Вишинг тоже является довольно популярным методом получения конфиденциальных данных, но сегодня мы говорим про классический вариант.
Чем опасен фишинг
Основная опасность фишинговых атак заключается в ее направленности на человека, и полностью защититься от нее невозможно. Разумеется, можно и нужно проводить в компаниях регулярные семинары или обучение для повышения уровня осведомленности сотрудников в области информационной безопасности. Но и техники проведения фишинга не стоят на месте и постоянно развиваются. Еще одна опасность проведения фишинга заключается в получении доступа к конфиденциальным данным пользователей. Если это логины и пароли, то пользователь наверняка потеряет доступ к учетной записи. Если это данные банковских карт, то злоумышленники будут пытаться украсть с них денежные средства. В остальных случаях персональные данные с большой долей вероятности будут проданы (рекламным компаниям, даркнет и т.д.), опубликованы в открытом доступе или использованы для проведения атак.
Пример фишинга
Наша компания регулярно сталкивается с фишинговыми атаками. Ранее мы уже писали о том, как хакеры пытались провести фишинговую атаку через нашу корпоративную почту. И вот недавно случился новый эпизод. На корпоративную почту мы получили довольно странное письмо. В письме говорилось о том, что из-за некорректной настройки сервиса IMAP и POP входящие сообщения на корпоративную электронную почту задерживались. Для устранения этой проблемы необходимо перейти по ссылке с подозрительным доменом и ввести логин/пароль от учетной записи.
Прикрепленная ссылка в сообщении — не редкость, но если в ней указан странный домен, то это первый признак того, что дело явно нечисто. Перейдем по ссылке и посмотрим что в ней.
Как выглядит веб-интерфейс у Roundcube
Оформление потенциально фишинговой страницы выглядит, как наспех выполненная поделка — это второй признак, что нас хотят обмануть. Хотя стоит отметить, что обычно злоумышленники полностью копируют реальный сайт и в целом более основательно подходят к этому вопросу. Но вполне возможно сайт так может выглядеть из-за того, что подгрузка различных элементов происходит со множества других адресов, которые мы не стали разрешать в корпоративной среде.
Если внимательно изучить заголовки письма, то можно заметить, что в отправителе указан pentestit.ru, а в Return-Path, который обычно скрыт и означает адрес доставки уведомлений об ошибках, указан домен, принадлежащий некоторой медицинской организации.
Эта информация позволяет определить, что письмо является фишинговым, а злоумышленник постарался запутать пользователя, скрыв не только отправителя, но и обратный адрес пересылки.
Возвращаемся на фишинговую страницу и изучим ее. При обращении через curl в ответе видим закодированное содержимое страницы.
После декодирования еще раз смотрим содержимое и очищаем его от всего лишнего. Например, в начале идет много закомментированного кода, который в целом нам не особо интересен.
Теперь, после очистки кода, с ним можно работать. Если спустимся ниже, то увидим код проверки ввода логина и пароля после нажатия кнопки «Sign In». Если поля будут пустые, то будет выводиться предупреждение:
Если поля заполнены, то по нажатию кнопки данные из этих полей будут отправляться на сайт злоумышленника в формате JSON по указанному адресу:
Отправка данных злоумышленнику
После отправки данных жертва будет перенаправлена на домен компании, указанный после символа @ с помощью строчки:
Домен для подстановки извлекается из переменной my_slice, за инициализацию которой отвечает фрагмент кода ниже:
Отдельно хочется обратить внимание, что злоумышленник скорее всего не очень опытный и где-то взял шаблон кода, который просто немного переписал под себя. На это указывает огромное количество закомментированного кода и несколько вставок new injection в функциональной части.
Как определить фишинг?
Существует несколько признаков, по котором можно понять, что перед вами фишинговое письмо, сайт и т.д.:
Домен. При фишинге домен сайта, где пользователь должен ввести свои данные, максимально похож на оригинальный. Но если внимательно посмотреть на него, то можно заметить различия. Например, домены pentestit.ru и penteslit.ru будут практически неотличимы друг от друга и неопытный пользователь может не заметить подмену, на что и рассчитывают злоумышленники. Также не лишним будет проверить дату регистрации домена, например, на сайте 2ip.ru. В нашем случае злоумышленники не пытались сымитировать домен компании, что говорит о массовой рассылке;
Содержимое письма. Как правило, и тема письма, и его содержимое составлены таким образом, чтобы оказать психологическое воздействие на получателя. Побуждают жертву как можно скорее и без лишних вопросов перейти по ссылке, чтобы оплатить штраф, продлить действие домена, забрать выигрыш, удалить какие-то компрометирующие материалы и т.д. Также стоит обращать внимание на заголовок Return-Path, который предназначен для обратной пересылки, чем могут пользоваться злоумышленники. В нашем случае в письме указано, что необходимо пройти авторизацию на сервисе для устранения проблем, иначе почта будет удалена в течение 4 дней, а обратный адрес ведет к почтовому адресу медицинской компании;
Внешний вид. Если письмо написано со множеством грамматических ошибок или используется устаревший логотип компании, от имени которой отправлено письмо, то с большой долей вероятности письмо фишинговое. Также стоит обратить внимание на то, как к получателю обращается отправитель письма. Если приветствие начинается с обезличенного обращения, например, Dear Friend или указывается email-адрес получателя, то скорее всего письмо фишинговое и злоумышленники используют массовую рассылку. И снова попадание, в нашем случае обращение было не персонализированным. Вероятно, скрипт подставлял в шаблон письма адрес электронной почты.
Вывод
Фишинг и по сей день остается одним из самых распространенных видов атак т.к. «взломать» пользователя намного проще компьютера. Для предотвращения подобных ситуаций достаточно всегда проверять все, что получаете и не переходить по подозрительным ссылкам. А чтобы углубиться в изучение практической ИБ и узнать не только об актуальных методах фишинга и противодействия ему, но и о методах поиска и эксплуатации уязвимостей, специализированном инструментарии и дистрибутивах для проведения пентестов и многом другом приглашаем в Корпоративные лаборатории Pentestit — программу практической подготовки в области информационной безопасности. Здесь можно получить не только теоретическую подготовку, но и попробовать на практике, как действуют этичные хакеры.
Что такое фишинг: как не стать жертвой хакеров
Что такое фишинговая атака?
Фишинг (англ. phishing, от phone phreaking — «взлом телефонных автоматов» и fishing — «рыбная ловля») — это вид интернет-мошенничества, используемого чтобы получить идентификационные данные пользователей. Он применяется для кражи паролей, номеров карт, банковских счетов и другой конфиденциальной информации.
Как правило, фишинговая атака представляет собой выдачу фейковых сайтов, имитирующих интернет-страницы популярных компаний: соцсетей, интернет-магазинов, стриминговых сервисов и т.д. Хакеры рассчитывают на то, что пользователь не заметит подделки и укажет на странице личные данные: реквизиты карты, логин и пароль, номер телефона. Если человек сделает это, мошенники получат его данные.
Основная проблема, связанная с фишингом, заключается в том, что не существует ПО, которое защитило бы людей и компании: сайты-фейки трудно отличить от оригиналов. Все зависит от потенциальной жертвы — насколько она будет внимательна, распознает ли фейк. Все решает человеческий фактор: уязвимы даже крупнейшие технологические компании.
Последствия фишинговой атаки могут быть масштабными. Яркий пример — взлом кинокомпании Sony Pictures Entertainment в 2014 году. Хакерская группа Guardians of Peace изучила профили сотрудников компании в LinkedIn и разослала им письма с файлами, в которых содержался вирус. Попав на корпоративные компьютеры киностудии, он позволил злоумышленникам месяцами вести слежку и удаленно управлять устройствами. Вскоре хакеры опубликовали в Сети несколько еще не выпущенных фильмов студии: «Ярость», «Энни», «Уильям Тернер», «Все еще Элис» и другие. Кроме того, злоумышленники похитили личные данные 3803 сотрудников Sony Pictures Entertainment и членов их семей, содержимое внутренней электронной почты, информацию о заработной плате и копии неизданных фильмов.
Киберпреступники похитили более 100 Тб данных. Это один из крупнейших взломов корпоративных устройств компании на территории США.
Насколько популярен фишинг среди хакеров?
Количество фишинговых атак растет из года в год. По данным отчета Hi-Tech Trends 2020/2021, предоставленного РБК Трендам международной компанией в сфере кибербезопасности Group-IB, в 2020 году число выявленных и заблокированных фишинговых ресурсов выросло по сравнению с 2019-м более чем вдвое — на 118%. И это давняя тенденция. В 2019 году Group-IB заблокировал 14 093 фишинговых страницы, а годом ранее их было найдено всего 4 494.
Чаще всего хакеры подделывают следующие ресурсы:
Киберпреступники действуют исходя из спроса пользователей на интернет-продукты. В 2020 году практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты, так как интерес к ним угас. В 2017-18 годах именно они были популярны у фишеров.
«Начиная с февраля 2020 года, мы видели, как тема COVID-19 активно эксплуатировалась во вредоносных кампаниях — в частности, в фишинговых атаках для компрометации электронной почты сотрудников компаний из США, Новой Зеландии, России и стран Азиатско-Тихоокеанского региона», — рассказал РБК Трендам представитель пресс-службы Group IB.
В 2020 году государства вводили различные льготы и компенсации, а банки позволяли заемщикам отсрочить выплату кредитов. В России получить консультацию по выплатам от государства и отправить заявку на их получение можно на сайте Госуслуг или в онлайн-банках. Мошенники создают страницы-копии этих сайтов, и невнимательные пользователи отправляют им данные.
Какие цели у фишинга?
Фишинговые атаки используют, чтобы украсть ценные данные: реквизиты банковских карт, логин и пароль для входа в аккаунт на каком-либо сайте. Хакеры даже могут шантажировать жертв и требовать деньги в обмен на то, что не станут публиковать данные в Сети.
Фишинговая атака — это также один из способов получить доступ к чужому Apple ID. По мнению экспертов Group IB, кража Apple ID — самый распространенный вид атаки на iOS. Если атака проходит успешно, мошенник получает доступ к облачному хранилищу iCloud и резервным копиям устройств. Если их восстановить на своем устройстве, можно получить доступ к сохраненным файлам. Именно таким образом в Сеть часто утекают интимные фото звезд.
Механика следующая: хакеры рассылают письма с предупреждением о скором снятии денег со счета пользователя в связи с платной подпиской на какое-нибудь приложение. Чтобы жертва действовала быстрее, срок списания устанавливается максимально близким, а сумма внушительная, чтобы человеку было жалко ее потерять.
Для отказа от подписки прикрепляется ссылка на фишинговый сайт, визуально он не отличается от официального ресурса Apple. Там жертва вводит логин и пароль от Apple ID, хакер получает их и авторизуется в аккаунте.
После авторизации хакер может управлять подписками жертвы и восстанавливать резервные копии устройств с ценными файлами. На сайте Apple есть руководство, как распознать фишинговую атаку.
Самые распространенные типы фишинга
По способу распространения сайты-подделки делят на два типа
Это письма или сообщения, отправленные якобы от имени реальной организации или компании — банка, регулятора, госучреждений. Внутри они содержат замаскированную под документ таблицу или картинку, вредоносную программу, ссылку на созданный преступниками сайт, требование перевести деньги на указанный счет или по номеру телефона. Жертва переходит по ссылке и указывает нужные данные, не замечая обмана.
Весной 2020 года москвичам приходили СМС-сообщения о «штрафах» за нарушения режима самоизоляции. Оплатить «штраф» требовали в течение 24 часов по указанному номеру, в противном случае получателю угрожали уголовным делом.
Тогда же в Казахстане рассылали письма от имени местного министра здравоохранения. Злоумышленники сообщали о возможности бесплатно получить защитные средства в рамках госпомощи. Получателям необходимо было лишь заполнить приложенную анкету и отправить по обратному адресу. Во вложении письма находились документы, при запуске которых на компьютер попадала вредоносная программа из семейства Loki PWS, предназначенная для кражи логинов и паролей с зараженного компьютера.
Интернет-мошенники часто активизируются накануне событий, связанных с массовым ажиотажем: это старт продаж новых моделей iPhone, онлайн-распродажи вроде «Черной пятницы», праздники, спортивные мероприятия. В общем, когда пользователи в спешке совершают спонтанные интернет-покупки, могут необдуманно принять решение и не заметить подвох.
В 2020 году накануне «Черной пятницы» эксперты Group-IB обнаружили более 400 сайтов, копирующих маркетплейс AliExpress, и еще 200 сайтов-клонов интернет-магазинов. Мошенники часто используют похожие имена ресурсов чтобы ввести пользователей в заблуждение.
«Опасность подобных сайтов состоит в том, что здесь могут продавать подделки, контрафактный или низкокачественный товар, похищать данные банковских карт покупателей или заражать гаджеты пользователей вирусами», — поделился с РБК Трендами представитель пресс-службы Group IB.
По методу сбора данных также выделяют два типа фишинга
Мошенники используют тот же интерфейс, что у оригинала, и похожие домены, чтобы ввести пользователей в заблуждение. В адресе может быть изменен один знак. Чаще всего, меняют буквы, выглядящие одинаково. Например, строчная L и заглавная I. Aliexpress.com и AIiexpress.com — разные домены, хотя визуально не отличаются.
Как правило, это архив формата.rar. При открытии он заражает устройство вирусом, а тот начинает шпионить за жертвой — собирать данные и отправлять на устройства злоумышленникам.
Кто может стать жертвой фишинга?
Group IB отмечает, что жертвами фишинговых атак могут быть не только обычные пользователи, но и предприниматели, которые в поисках товара зашли на созданные злоумышленниками сайты-клоны производителей.
Также жертвами могут стать бухгалтеры и финансисты, работающие с системами ДБО (дистанционного банковского обслуживания). Их атакуют через популярные профильные ресурсы, которые подделывают или заражают вредоносными программами.
В июне 2017 года у одной из столичных компаний похитили со счета деньги. Group-IB провела экспертизу жесткого диска и обнаружила признаки фишинговой атаки. В тот день сотрудник фирмы открыл браузер Internet Explorer и вбил запрос «НДФЛ с доходов, получаемых с иностранных компаний, когда платить». Одна из ссылок вела на сайт www.glavbukh.ru, с него был загружен вирус. Схема следующая: пользователь заходил на взломанный легальный ресурс, с которого его в скрытом режиме перенаправляли на сервер с набором эксплойтов (программ, ищущих уязвимости в браузере). Они загружали на устройство банковский троян Buhtrap. Преступники получили удаленный доступ к счету и вывели деньги.
Как часто происходят фишинговые атаки в России?
В России ежедневно рассылают до 1 млн сообщений с фейковыми сайтами. Их получают частные лица и организации.
Фишинг применяется для получения доступа к инфраструктуре компаний, далее в ход идут другие способы взлома. По данным разработчика решений по предотвращению и расследованию киберпреступлений Group-IB, около 70% всех целенаправленных атак на российские компании и организации начинаются именно с фишинга. Получив с его помощью доступ хотя бы к одному корпоративному компьютеру, преступник сможет закрепиться в сети организации и получить контроль над всей ее инфраструктурой. Если подобная атака прошла успешно, то последствия для компании могут быть глобальными — утечка конфиденциальных данных, взлом банковских счетов и подобное. Фишинговые атаки активно используют как кибершпионы — прогосударственные хакерские группы — так и киберпреступники.
Одни из самых известных русскоязычных фишеров — группировка Silence. Она стала известна в 2018 году, когда хакеров заподозрили в рассылке вредоносных писем банкам от лица Банка России. В сообщении они предлагали адресатам ознакомиться с новым постановлением. Получателями рассылки, по данным Group-IB, оказались как минимум 52 банка в России и пять банков за рубежом. Хакеры, состоящие в группировке, заражают компьютеры вирусом-шпионом Silence.Downloader aka TrueBot.
В январе 2019 года Silence устроила еще одну масштабную фишинговую атаку, в числе жертв вновь оказались сотрудники российских банков. Рассылку получили более 80 тыс. человек. Письмо приходило под видом приглашения на Международный Форум iFin-2019 или сообщения от «клиента» с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентского счета его организации. Внутри содержался архив с вредоносным вложением. Как только его открывали, на компьютер попадал вирус-шпион. Сколько получателей удалось взломать, неизвестно.
Летом 2020 года неизвестной группой хакеров была организована крупная фишинговая атака с помощью подделки сайта ФНС. Сотрудникам всех атакуемых компаний (нефтяных, горнодобывающих, операторов связи и так далее) приходило одинаковое письмо. В адресе отправителя была указана почта info@nalog.ru, полностью имитирующая оригинальный домен ФНС. На деле же письма рассылались с публичных почтовых сервисов, а технические заголовки были подделаны. Автор письма просил явиться в «Главное управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае невыполнения отправитель обещал применить санкции, предусмотренные УК РФ. Целевое действие жертвы — загрузка прикрепленных файлов. Если она это делала, взломщики получали удаленный доступ к данным ее компьютера.
Самые известные фишинговые атаки
Пожалуй, самая известная фишинговая атака была организована в 2016 году на предвыборный штаб Хиллари Клинтон. Она состояла из двух этапов. В марте 2016 года руководитель избирательного штаба Демократической партии США Джон Подеста получил письмо с фишинговой ссылкой. В письме рекомендовали сменить пароль от аккаунта Google в целях безопасности. Подеста последовал инструкции, и, сам не зная того, предоставил хакерам данные для авторизации в его почтовом ящике.
В апреле 2016 года киберпреступники создали почту-подделку Подесты и разослали сотрудникам Демократической партии США письма с файлом hillaryclinton-favorable-rating.xlsx. Ссылка вела на хакерский сайт. С его помощью мошенники заражали компьютеры демократов и крали с них данные. Так письма попали в руки основателя сайта WikiLeaks Джулиана Ассанжа. Летом 2016 года портал опубликовал письма, свидетельствовавшие о том, что сотрудники Национального комитета демократов США готовили заговор против бывшего кандидата в президенты Берни Сандерса. После этого глава комитета Дебби Вассерман Шульц ушла в отставку. А в октябре 2016 года WikiLeaks обнародовал компрометирующую переписку членов демократической партии США по вопросам ядерной энергетики, публикаций в СМИ, а также внешнеполитической деятельности Хиллари Клинтон.
Частая цель хакеров — облачные хранилища смартфонов. Именно так в 2014 году в Сеть утекли интимные фото актрисы Дженнифер Лоуренс, Кейт Аптон, Рианны и десятка других знаменитостей. Спустя два года американский хакер Райан Коллинз сознался в преступлении — тогда он получил доступ к 50 аккаунтам iCloud и 72 аккаунтам GMail. Это стало возможно с помощью фишинговых сайтов, где жертвы сами указывали данные для авторизации. Коллинз был приговорен к 18 месяцам тюремного заключения.