Как работает фишинг

Фишинг: объясняем тактику и инструменты

Фишинг: объясняем тактику и инструменты

Фишинг (метод сетевого мошенничества) является одним из наиболее эффективных методов, используемых киберпреступниками для кражи ваших учетных данных. Этот метод представляет собой сочетание социальной инженерии и компьютерных навыков, целью является качественная маскировка под какую-либо авторитетную организацию, чтобы заставить пользователя выполнить определенные действия. Фишинг можно использовать по-разному, рассмотрим различные подходы и способы защиты от них.

 

 

  1. Введение
  2. Инструменты и тактика
  3. Установка вредоносной программы
  4. Регистрация похожего домена
  5. Атаки на организации
  6. Перенаправление портов
  7. Выводы

Введение

Сразу определимся, что основным вектором фишинг-атаки является вредоносный веб-сайт, грамотно (или нет) маскирующийся под легитимный. Такого рода маскировка осуществляется при помощи HTML, CSS и javascript, и результат, поверьте, может удивить вас — часто злоумышленникам удается создать точную копию популярного безобидного сайта. Следующим шагом будет попытка заставить пользователя посетить именно его сайт вместо настоящего. Это не так просто, как может казаться: есть несколько способов, о них поговорим чуть позже.

Также киберпреступникам стоит помнить о том, чтобы их сайт не был обнаружен властями или владельцами сайта, под который они пытаются замаскировать свой. Чтобы избежать обнаружения и охватить как можно большую аудиторию, фишеры используют в основном спам. Спам-письма часто отправляются с помощью бот-сети, поэтому маловероятно, что злоумышленники в таких случаях будут найдены властями. Часто спамеры располагают базами данных адресатов, им важно знать, клиентом какой организации является тот или иной пользователь, это позволит провести таргетированную атаку и сделать ее более эффективной.

Инструменты и тактика

В арсенале злоумышленников есть множество способов, которые позволяют обмануть пользователей и заставить их думать, что они посещают легитимный сайт. Обычно спам-письмо отправляется клиенту какой-либо организации, оно содержит гиперссылку, которая якобы ссылается на абсолютно безобидный сайт, например www.innocentwebsite.com.

Однако гиперссылка указывает на IP-адрес вместо имени домена. Маловероятно, что обычный клиент обратит на это внимание, отсюда и возникает этот хакерский трюк. Когда пользователь нажимает на www.innocentwebsite.com, его трафик перенаправляется на вредоносный веб-сайт, который идентичен оригиналу.

Установка вредоносной программы

Установка вредоносной программы — еще один вариант для злоумышленника. Эта программа может присвоить безобидному домену вредоносный IP-адрес, изменив файл hosts. Либо же зловред может использовать уязвимость в браузере жертвы для того, чтобы пользователь подключился к вредоносному сайту.

Тем не менее, такой сценарий представляется маловероятным, так как если хакер установит вредоносную программу на компьютер жертвы, ему вовсе не требуется прибегать к фишингу. Он вполне может использовать ее в качестве кейлоггера и таким образом собрать все пароли и учетные данные жертвы.

Регистрация похожего домена 

Еще есть вероятность, что злоумышленник зарегистрирует похожее на легитимное доменное имя в надежде, что пользователь ошибется при вводе этого адреса в строку браузера. Например, вредоносный веб-сайт может быть зарегистрирован на www.inn0centwebsite.com, учитывая, что подлинный сайт  www.innocentwebsite.com. Если пользователь ошибется, то попадет на вредоносный сайт. Также киберпреступник может закодировать URL-адрес так, чтобы он казался идентичным настоящему.

Атаки на организации

Очень распространенная процедура фишинга состоит из следующих этапов:

  1. Сканирование веб-серверов на уязвимости.
  2. Компрометация уязвимых серверов.
  3. Установка руткита.
  4. Загрузка фишингового сайта и массовых спам-инструментов.

С этого момента злоумышленник автоматизирует процедуру отправки спам-писем, которые кажутся вполне легитимными, приходящими с подлинного сервера. Этот метод обычно используется организованными группами киберпреступников, нацеленными на большое количество известных организаций, а не на отдельных лиц.

Перенаправление портов

Перенаправление портов — очень эффективный вариант для злоумышленников, которые не хотят устанавливать руткиты на взломанные веб-серверы. Используя уязвимость на сервере, можно установить инструмент перенаправления портов, который будет прозрачно перенаправлять весь трафик на вредоносный сервер в другой стране. Преступник начинает отправлять спам-письма, пользователи нажимают на ссылку — дело сделано.

Выводы

Не попасться на фишинг — вопрос здравого смысла. Серьезная организация вроде банка никогда не будет отправлять вам электронное письмо с просьбой изменить пароль или поделиться своими учетными данными. И если у вас есть сомнения, лучше позвонить им по официальному номеру телефона. Никогда не нажимайте на ссылки в сомнительных письмах, и вы будете в безопасности. Если же есть непреодолимое желание перейти по ссылке, можно сделать это на виртуальной машине.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru