Спірфішинг: методи атак і способи захисту від них

Фішинг (phishing) – вид інтернет-шахрайства, що використовує принципи соціальної інженерії. Це лист в електронній пошті, дзвінок, SMS або повідомлення в месенджері або соц. мережі, що намагається обманом переконати користувача передати свої конфіденційні дані, скачати якийсь шкідливий файл або перевести гроші. Для цього відправник представляється такою собі іншою особою, від якої подібне прохання викликає менше підозр.

Цільовий фішинг (spear phishing) – підвид фішингу, який націлений на більш вузьке коло людей. Це може бути якась організація, група її співробітників або окрема людина, в залежності від намірів атакуючого. Одержуване повідомлення в цьому випадку буде розраховано саме на обмежене коло осіб. В ході такої атаки зловмисник може спробувати:
* Роздобути конфіденційні дані (дані банківської картки з метою крадіжки грошей);
* Встановити ВПО на цільовий пристрій;
* Роздобути секрети і конфіденційні дані організації з метою шантажу або перепродажу конкурентам;
* Дістати військові дані.

Відмінності між фішингом і цільовим фішингом

1. Вибір мети. Фішинг працює за принципом “spray and pray” (пошир і чекай): заготовлене повідомлення розкидається великій кількості людей в надії, що хоч когось із них вдасться обдурити. Цільовий фішинг ж є таргетованою атакою. Його мішенню є певна компанія, певні її співробітники або конкретна людина, і тому повідомлення буде відправлено тільки їм.
2. Рівень навички зловмисника. Фішинг вимагає менших навичок і спочатку був розрахований на велику кількість невдач. Цільовий фішинг, як таргетована атака, більш складний і застосовує більш просунуті техніки, а також вимагає більшої попередньої підготовки.
3. Можливість виявлення. З попереднього пункту також випливає, що цільовий фішинг виявити складніше, ніж звичайний фішинг.
4. Мета атаки. В результаті будь-якої з двох атак зловмисник може прагнути отримати логіни, паролі або інші дані, але фішинг передбачає швидке отримання вигоди, наприклад, грошей. Атакуючому в цьому випадку навряд чи буде цікаво отримати десять обліківок від почт невідомих людей. При цільовому ж фішингу навіть якщо метою буде пароль від електронної пошти, це буде осмисленим кроком. Можливо, зловмисник знає, що в цій пошті зберігається цінна інформація, а можливо, що це лише етап багаторівневої атаки.

Хід атаки

Розглянемо хід атаки цільового фішингу на прикладі повідомлення на електронну пошту.

Спочатку зловмисник проводить велику попередню роботу з пошуку інформації про мету. Це може бути як адреса електронної пошти та імена підрядників або колег, так і захоплення цілі, недавні покупки або інші речі, які можна дізнатися з соціальних мереж – будь-яка інформація, яка допоможе в тілі листа збити одержувача з пантелику і змусити повірити в його правдивість.
Потім, озброївшись усіма отриманими з доступних джерел даними, атакуючий складає фішинговий лист від імені когось, з ким знайома жертва (колега, член сім’ї, друг, замовник і т.п.). Повідомлення, що відправляється, повинно створити відчуття терміновості і переконати одержувача відправити особисту інформацію у відповіді, ввести її, перейшовши за посиланням в листі, або ж завантажити ВПО з вкладень до листа.
У деяких випадках в ідеальному для зловмисника сценарії після того, як лист “спрацював”, на машину мети встановлюється бекдор, що дозволяє викрасти необхідну інформацію. Вона збирається, шифрується і відправляється атакуючому.

Способи захисту

Технічні засоби захисту:
1. Фільтр спам-повідомлень. Може бути встановлений на поштовому сервері. Деякі фішинг-листи можна ідентифікувати за їх змістом. Правда, якщо намагатися таким способом відсіяти всі небажані листи, висока ймовірність помилкових спрацьовувань, оскільки фішинг-листи (особливо при цільовому фішингу) мімікрують під цілком собі легітимні повідомлення.
2. Перевірка адрес відправників листів. Зазначений відправник в листі і дійсний відправник в заголовку можуть не збігатися. Фільтр може також перевіряти, наприклад, що домен відправника схожий на домен компанії, але написаний з помилкою.
3. Перевірка вкладень в листах на віруси і в пісочниці. Перш ніж адресат отримає лист, що містить виконавче вкладення, він перевіряється антивірусом або запускається в пісочниці.
4. Блокування листів, що містять посилання і виконувані файли у вкладеннях. Більш жорстка варіація попереднього пункту, але дійсно використовувана в деяких місцях і захищає від деяких векторів атак.

Які б технічні заходи захисту не були зроблені, небажаний лист все одно може потрапити в поштову скриньку. Тому варто в листах звертати увагу на викликаючі підозру речі:

1. Відправник.
– Це хтось, з ким ви зазвичай не спілкуєтеся.
– Ви не знайомі з відправником особисто і за нього не доручалися ніхто з тих, кому ви довіряєте.
– У вас немає ділових відносин з відправником, і ви раніше ніколи не спілкувалися.
– Лист від когось поза компанією і не відноситься до ваших робочих обов’язків.
– Відправник вам відомий, але лист написано в дуже невластивій цій людині манері.
– Домен відправника написаний з помилкою.

2. Одержувач.
– У числі одержувачів крім вас значаться інші люди, але вам не знайомий ніхто з них.

3. Посилання.
– При наведенні мишки на посилання в електронному листі, видно, що в дійсності посилання, за яким ви перейдете при натисканні, зовсім інше.
– Крім посилання в листі більше нічого немає.
– Посилання містить адресу, схожу на добре відомий сайт, але в ньому допущена помилка.

4. Дата отримання.
– Лист отримано в незвичайний час. Наприклад, воно стосується роботи, але відправлено пізно вночі, в неробочі години.

5. Тема листа.
– Тема листа ніяк не співвідноситься з текстом листа.
– Тема позначена, як відповідь на якийсь лист, який в дійсності ви ніколи не відправляли.

6. Вкладення.
– Відправник вклав в лист файл, який ви не очікували (зазвичай ви не отримуєте такий тип вкладень від цієї людини) або який не має ніякого відношення до тексту листа.
– Вкладення має потенційно небезпечне розширення. Єдиний безпечний тип файлів .txt.

7. Вміст листа.
– Відправник просить перейти за посиланням або відкрити вкладення для того, щоб уникнути якихось негативних наслідків або ж, навпаки, отримати щось цінне.
– Текст виглядає незвично або містить багато помилок.
– Відправник просить перейти по посилання або відкрити вкладення, які здаються дивними або нелогічними.
– Відправник просить вас відправити конфіденційні дані поштою або SMS.

Очевидно, недостатньо знати і дотримуватися цих правил. Необхідно також донести цю інформацію до інших людей в компанії. Набагато простіше протистояти атаці, коли відомо, що вона може відбутися. Важливо навчати співробітників і розповісти їм про фішингові атаки. Може бути також корисно проводити час від часу соціотехнічне тестування, щоб упевнитися, що інформація була успішно засвоєна.

Джерело: habr.com