Фишингът е опит за измама, умишлена заблуда, с цел споделяне на данни за достъп до банкови сметки, онлайн разплащателни процесори, акаунти на доставчици на лицензирани услуги или софтуер, акаунти в онлайн магазини, лични профили, акаунти в социални медии и всякаква друга чувствителна информация.
Ако опитът за измама успее и потребителят предостави доброволно исканата информация за достъп, престъпниците влизат в съответния акаунт и последиците от моментното невнимание или непредпазливост на жертвата се установяват след време като открадната самоличност, източени пари от банкова сметка, изпращане на спам от пощенски акаунти или от профили в социални мрежи и всякакви подобни негативни сценарии.
Съставни елементи на (предполагаема) фишинг схема
Фишингът, във всичките си форми, е опит за заблуда и не е ограничен до средствата за комуникация. В статията ще се спрем само на фишинг съобщенията, изпращани по електронна поща.
Измамникът знае, че много малко потребители ще клъвнат на неговата стръв, затова се нуждае от база данни с хиляди имейл адреси, към които да изпрати фишинг съобщението.
Той решава каква организация ще атакува и прави точно копие на официалния сайт с оригиналната графика (на практика клонира сайта) на сървър, до който има достъп. Променя оригиналните скриптове за обработване на получените данни от жертвите на измамата и ги записва по някакъв начин – в един файл, в отделни файлове, в база данни …
Създава най-важната част от измамата – съобщението с линка към страницата, която съдържа формуляра за приемане на данните.
Изискват се познания за да се изпратят няколко хиляди имейла без да се задейства автоматична защита или да се предизвика намесата на администратор. В някои случаи се наемат VPS с ниски параметри и цена, и се изпращат писма докато IP адресът на SMTP сървъра попадне в черните списъци на големите имейл доставчици.
Описваме тези действия, следвайки пътя единствено на фактическата логика и нашия опит в разкриване и прекратяване на опити за фишинг от сървърите ни, за да Ви покажем, че фишингът е обмислена престъпна дейност, насочена срещу Вашите самоличност, финанси, пароли, социални контакти, лично пространство … срещу Вас.
Как работи фишингът?
Измамникът изпраща предварително подготвеното съобщение към имейл адресите от базата данни, в което лесно може да се открият следните или подобни общи елементи:
- съдържа в адреса имена на авторитетни организации – най-често на банки, доставчици на софтуер или услуги, социални сайтове и т.н.;
- съдържа плашеща информация в темата на писмото за някакъв проблем – спрян, блокиран, прекратяване, предстои изтриване … Страхът е най-често използваната емоция за атака, но може да бъде и всяка друга, която предизвиква силно желание и може да мотивира извършване на необмислени действия;
- предизвиква спешност и паника – веднага, незабавно, спешно, наложително … ;
- посочва лесно решение на проблема – получателят трябва само да кликне бутона или линка в писмото и да попълни коректните данни във формуляра на уеб страницата.
Защо фишингът понякога успява?
Предизвикват силна емоционална реакция
Фишинг измамите работят, защото целят да предизвикат силна емоция в съзнанието на жертвите, които са склонни да бъдат по-наивни, когато са под напрежение, отколкото трезво да размислят дали не са цел на фишинг измама.
Например получавате съобщение за изключително изгодна оферта за разпродажба на телефони от името на популярен сайт за онлайн търговия – поради ограниченото количество продуктът ще се достави само на тези, които първи се регистрират като кликнат линка в писмото. Онези, които силно желаят този телефон бързат да се регистрират и … предоставят данните за достъп до профила си.
Съдържа елементи на доверие
Някои фишинг съобщения са написани според най-добрите образци на корпоративния етикет:
Моля, следвайте инструкциите на посочената страница, за да актуализирате информацията във вашия акаунт.
Кратко, точно, ясно, не буди никакво съмнение, че идва от авторитетен източник. Кликаме линка в писмото – отваря се познатата страница на организацията. Никакви очевидни поводи за съмнение.
Движещата сила на фишинга е комбинацията от силна емоция и доверие, които мотивират сляпо следване на инструкциите и действат като упойка срещу рационален (поставящ под съмнение) подход към същата ситуация.
Обърнете внимание, че фишингът не атакува технологии, приложения, протоколи … Фишингът разчита на слабости в човешкия характер и затова донякъде успешно му се приписва роднинство със социалното инженерство.
Какво е социално инженерство?
Социалното инженерство е опит да се използва чрез манипулация (измама) човешката психология за разкриване на информация, предприемане на неподходящи действия или получаване на достъп до системи или данни. Социалните инженери се възползват от естествените тенденции и емоционални реакции на потенциалната жертва.
Например, вместо да търси уязвимост на софтуера, социалният инженер ще се представи като лице за IT поддръжка в разговор със служител, и ще се опита да подмами служителя да разкрие данните си за достъп до същия софтуер.
Не е трудно да открием приликите между социалното инженерство и фишинга:
- някой друг инициира контакта – изпращане на мейл, телефонно обаждане…;
- той ни представя себе си;
- той ни информира за проблем;
- той има нужда от нашето съдействие за решаването на проблема.
Различни видове фишинг
CEO Fraud – киберпрестъпникът изпраща имейл до служител от по-ниско ниво, като се преструва, че е изпълнителен директор на компанията (CEO) или мениджър от висок ранг. Целта на тези имейли често е да заблудят жертвата да преведе средства към фалшива банкова сметка.
Clone phishing – повторно изпращане на легитимни съобщения, получени вече от жертвата, но с манипулирани линкове. Измамникът използва извинението, че повторно изпраща оригиналното съобщение поради проблем с връзката или прикачения файл в предишния имейл, за да примами крайните потребители да кликнат върху тях.
Unicode Domain Phishing – техниката позволява при регистриране на IDN домейни да се миксират Unicode и ASCII символи. Например, всички IDN домейни в списъка по-долу се визуализират като apple.com тъй като отделни латински букви от apple.com (a,p,e,c,o) в регистрацията са заменени от графично съответстващи букви на кирилица: xn--pple-43d.com, xn--aple-g6d.com, xn--aple-h6d.com, xn--appl-y4d.com, xn--pl-6kcw7c.com (може да проверите в Punycode converter). Дори такъв домейн може да получи DV SSL сертификат тъй като филтрите на CA издателите не разпознават Unicode символи.
Evil twin phishing – нападателят създава дублираща мрежа Wi-Fi hotspot, също като оригиналната, и когато се свържат крайните потребители, подслушва мрежовия трафик, за да открадне имена на акаунти, пароли, докато потребителят е свързан с компрометираната мрежа. Атаката е известна като схемата Starbucks, защото най-често се прилага в кафенета.
Smishing (SMS phishing) – версия на фишинг атака, при която злонамерените хакери се опитват да откраднат Вашата лична информация през мобилното Ви устройство чрез текстово съобщение. Злонамереното лице ще се свърже с Вас чрез текстово съобщение, представяйки се за доверен източник, например служител на Вашата банка, и ще Ви помоли да кликнете връзката в съобщението за да потвърдите нещо, която ще Ви отведе до … компрометирана уеб страница.
Spear phishing (spear=копие) – прецизно обмислени атаки, предназначени за конкретни лица или групи. Киберпрестъпниците използват тактики от социалното инженерство, за да персонализират имейлите с лична информация за техните жертви и да увеличат степента на доверие и успеваемост при получаване на лична информация или следване на посочени действия.
Vishing (voice+phishing) – в телефонно обаждане измамникът, ползвайки лична информация, събрана от социални мрежи или по друг начин, прилага тактики от социалното инженерство и се опитва да заблуди отсрещната страна да предостави информация или финанси.
Whaling (whale=кит, лов на кит) – прецизно насочена атака към ръководители на високо ниво като главни изпълнителни директори, финансови директори и ръководители. Целта е чрез тактики на социалното инженерство на база лична информация от интернет и платформи за социални медии, лицето да бъде измамено да разкрие чувствителна информация и корпоративни данни.
Предпазване от фишинг атаки – бъдете подозрителни
Тъй като фишинг атаката е насочена срещу емоционалното състояние на жертвата и имейл съобщението се стреми да предизвика едновременно силна емоция и доверие с цел предприемане на необмислени действия, главните методи за предпазване от фишинг атаки са в изграждане на правилна емоционална нагласа.
- бъдете подозрителни към цялата интернет информация – всеки може да публикува всичко;
- бъдете подозрителни към всеки онлайн контакт – ‘случайният‘ контакт със социален инженер винаги е преднамерен;
- бъдете подозрителни към всяко онлайн предложение;
- бъдете подозрителни, когато непознат иска от Вас поверителна информация с всякакви мотиви и под всякаква форма;
- бъдете сигурни, че всяко предложение в имейл за споделяне на лични и поверителни данни, е опит за измама.
Разпознаване на фишинг имейли
Обръщайте внимание на следните елементи от писмото:
- Имейл адрес на подателя – полето
От:
(From:
) не гарантира, че писмото е изпратено от посочения имейл адрес, както ще се уверите по-късно в статията. Адресът accounts@accounts.google.domain.com няма нищо общо с accounts@google.com; - Съдържание на полето
Тема:
(Subject:
) – предупреждения от типа: Профилът е блокиран, Открито е ново влизане в акаунта, Открита е подозрителна дейност, Актуализирайте данните за логване, Файловете ще бъдат изтрити…; - Поздрав в писмото – ако имейлът претендира да е изпратен от компания, в която имате реален профил, много вероятно е поздравът да съдържа Вашето име или фамилия. Липса на поздрав или формален поздрав, липса на име на служител, длъжност, адрес на компанията и unsubscribe линк в подписа на съобщението трябва да алармира Вашето внимание;
- Правописни и граматически грешки, грешно използване на термини от Вашата индустрия;
- Чувство за спешност – трябва да задейства ярко червен фишинг флаг;
- Пренасочващи линкове – ако писмото е от Google, линковете в него не трябва да водят към страница на Yahoo 🙂
- Звучи твърде добре, за да е истина – каква е реалната вероятност супер богат нигерийски принц да се обърне точно към Вас за помощ относно получаването на огромно наследство?
Вижте още: 🔗 Фишинг – на лов, но не за риба, а за Вашите лични данни | Blog
Фишинг URL адреси в прикачени файлове
Отдавна отминаха времената, когато в имейл съобщенията се прикачваха изпълними файлове, за да се атакуват по един или друг начин компютри с Windows OS.
Разработчиците от компаниите на софтуер за защита предупреждават за нови методи на атаки чрез прикачени файлове.
Например, имейлът информира потребителя, че е получил фактура или важен документ, който се нуждае от преглед и одобрение. И в този документ (Word, XLS, PDF) се поставя фишинг URL адрес към страници, съдържащи формуляр за въвеждане на данни или към уеб страници, съдържащи вреден софтуер.
Софтуерът за защита на мейл сървъра следи за списък с типове изпълними файлове и пропуска писмото с прикачения файл, в който е скрит фишинг URL адрес.
Фишинг препратки (линкове)
Фишинг връзката е URL адрес, който насочва потребителя към фишинг страница, която копира дизайна на популярни сайтове. Фишинг препратките са скрити зад текст (anchor, котва) с призиви за действие като „Вход„, „Преглед тук„, „Кликнете тук„, „Визуализация на документа„, „Актуализиране настройките на акаунта„…
Задържането на курсора на мишката върху текста на връзката разкрива фишинг URL в статус лентата на браузъра и опитните имейл потребители проверяват връзките по този начин.
За да избегнат разкриването, измамниците маскират URL адреса, като използват подобни техники:
- Съкращаване на URL адреси – съкращаването скрива URL адресите, като създава псевдоними (кратки версии), които не приличат на оригиналния адрес. Използвайки популярни и безплатни инструменти като
https://tinyurl.com/
иhttps://bitly.com/
, измамниците съкращават фишинг URL адресите, за да заблудят както потребителите, търсещи подозрителни URL адреси, така и имейл филтрите, търсещи популярни фишинг адреси. - URL пренасочвания – използват се чисти, легитимни URL адреси във фишинг имейли, които след това пренасочват към фишинг страници, след като имейлите са преминали сканирането на филтрите и са били доставени успешно.
- Представяне на текст като изображение – популярен похват в имейлите за изнудване, където съдържанието на писмото изглежда като текст, но всъщност е изображение-линк, което функционира като връзка към фишинг страница.
- Смесване на полезни и фишинг връзки – включването на голям брой връзки в съдържанието на писмото приспива вниманието на потребителите и често след отваряне на една полезна връзка, следващите връзки се кликат автоматично с понижено внимание.
- Използване на календарни събития и празници – изпращат се традиционни на вид съобщения с поздравления и промоции, в които се скриват фишинг линкове.
Вижте още: 🔗 Фишинг имейли с призив за изтегляне на очаквани файлове | Blog
Проверка на изходния код на фишинг писмо
Дотук в статията предоставихме много, но само теоретична информация по същността на фишинга, но в практиката ние получаваме едно или няколко фишинг писма между стотици легитимни такива (може би в края на работния ден, когато и умората е фактор) и трябва да имаме бърз и сигурен начин да проверим всяко съмнително писмо.
В следващите редове ще Ви покажем как изпратихме фишинг писмо от поща в google.com (!), как да отворите изходния код на писмото и къде да потърсите и откриете измамата.
Относно изпращането на писмото само ще кажем, че ползвахме скрипт, който позволява манипулиране на хедърите. Въведохме произволно име на поща в google.com, дори и да съществува такава поща, ние нямаме реален достъп до нея и няма абсолютно никакъв начин да изпратим писмо от accounts@google.com:
$subject = 'Достъп до потребителски акаунт';
$from = 'accounts@google.com';
$headers .= 'From: '.$from."\r\n".
'Reply-To: '.$from."\r\n" .
Но може да изглежда, че сме изпратили:
„Измамата“ е в ход и писмото е в пощата на жертвата. Обърнете внимание, че линкът сочи към страница на yahoo.com, докато писмото уж е изпратено от поща в google.com.
Във фишинг писмата винаги има несъответствие между домейна на подателя и домейна в линка на уеб страницата от съобщението.
Сега ние влизаме в ролята на жертвата и решаваме да проверим изходния код на писмото защото съдържанието ни препоръча спешно да кликнем линка и да потвърдим данните си за достъп, като ги въведем във формуляра, а това са едни от сигурните белези за фишинг имейл.
Ползваме имейл акаунт в Thunderbird и за да видим изходния код на писмото кликаме бутона More с етикет More actions, след което в падащото меню кликаме линка View Source.
С клавишната комбинация Ctrl+F
отваряме поле за търсене в долния ляв ъгъл на екрана и въвеждаме термина return (регистъра малки-главни букви няма значение) за да открием акаунта, който е изпратил съобщението:
Return-Path:
Оказва се, че фишинг писмото, уж изпратено от пощата accounts@google.com, всъщност е изпратено от съвсем друг домейн host.server.net, който няма нищо общо с google.com:
cpanelusername@host.server.net
Ето как изглежда Return-Path в изходния код на легитимно писмо, изпратено от analytics-noreply@google.com:
Return-Path: <34ZJCXREKCAIcpcn0vkeu-pqtgrn0iqqing.eqokxrkumqxiockn.eqo@scoutcamp.bounces.google.com>
Някой внимателен читател може би иска да попита: след като манипулирахте хедъра From:
защо не манипулирахте и хедъра Return-Path:
?
Опитахме да го манипулираме:
'Return-Path: '.$from."\r\n" .
Но нека видим какво казва официалната документация Request for Comments (RFC) относно Return-Path:
RFC 822
Полето „Reply-To“ се добавя от инициатора и служи за насочване на отговорите, докато полето „Return-Path“ се използва за идентифициране на път обратно към инициатора.
RFC 5336
Основната цел на „Return-path“ е да посочи адреса, до който трябва да се изпращат недоставените съобщения…
RFC 2821
Когато SMTP сървърът извършва „окончателната доставка“ на съобщение, той вмъква ред „return-path“ в началото на данните за съобщението. Това използване на „return-path“ е необходимо; мейл системите ТРЯБВА да го поддържат. Редът „return-path“ запазва информацията в от командата MAIL.
RFC 5321
SMTP сървърите, извършващи окончателна доставка, МОЖЕ да премахнат полета за заглавие (header fields) „Return-path„, преди да добавят свои собствени.
Накратко: Return-path посочва инициатора, истинския подател на съобщението, към когото трябва да се върне писмото при неуспешно доставяне. Дори и да има ръчно въведен хедър Return-path, SMTP сървърът го изтрива и поставя свой ред Return-path.
Изходният код на имейл съобщението съдържа много информация – имена на сървъри и IP адреси, протоколи, информация от спам филтри …
Местоположение на изходния код (хедъри) в най-използваните мейл клиенти
В статията Какво са мейл хедърите и каква информация се съдържа в тях? показваме къде се намират и кои са най-често срещаните мейл хедъри.
Ето как да видите мейл хедърите на писмото в:
- Mozilla Thunderbird | Help
- АБВ, gmail и други мейл услуги | Help
- Roundcube | Help
- Outlook (webmail, ms office) | Help
- Mac Mail | Help
Как да действаме при получаване на фишинг имейл?
Фишингът е престъпление. Като съобщаваме за всеки подозрителен контакт с подходящите организации, може да съдействаме за ограничаването на тези незаконни практики.
Когато получите съмнителен имейл и установите със сигурност, че това е опит за фишинг, може да изпратите информация до няколко институции, които могат да попречат на масовото разпространение на измамата.
Google Safe Browsing – може да изпратите пренасочващия URL адрес от съобщението на https://safebrowsing.google.com/safebrowsing/report_phish/ – достъпът до фишинг сайта ще бъде блокиран в Chrome, Firefox, Android, iPhone, Google и други доставчици.
Microsoft също имат интерфейс Report Unsafe Site, в който може да изпратите URL адреса на фишинг сайта – https://www.microsoft.com/en-us/wdsi/support/report-unsafe-site-guest, което ще доведе до блокиране на достъпа в Edge, Office 365 и Internet Explorer.
Anti-Phishing Working Group (APWG) – работната група за борба с фишинга е международен консорциум, който обединява предприятия, засегнати от фишинг атаки, компании за сигурност, правоприлагащи агенции, правителствени агенции, търговска асоциация, регионални международни договорни организации и комуникационни компании. Може да изпратите URL адреса на фишинг сайта, копие от имейла и изходния код на имейл адрес reportphishing@apwg.org
.
Cybersecurity and Infrastructure Security Agency (CISA) – агенцията за киберсигурността и инфраструктурата работи за изграждането на по-сигурна и устойчива инфраструктура, като предоставя широки знания и практики за сигурност на заинтересованите страни. Може да изпратите URL адреса на фишинг сайта, копие от имейла и изходния код на имейл адрес phishing-report@us-cert.gov
.