Прежде всего, разберемся с терминологией.
Есть фишинговые сайты, которые используют элементы бренда известных компаний, либо полностью подделывают их страницы, завлекая посетителей для того, чтобы вытащить из них деньги, либо украсть их данные авторизации, либо для чего-то еще.
Есть фишинговая рассылка — это именно электронные письма, содержащие какую-либо информацию и, опять же, подделанные под какую-то компанию или человека. Если фишинговая рассылка сфабрикована под известного получателю человека — это называется имперсонацией. У нее существуют разные подходы: ФИО отправителя в поле «От кого» похоже на имя знакомого человека, используется его подпись, имперсонированный или похожий на бренд организации домен отправителя (это называется «киберсквоттинг», или «тайпсквоттинг»), здесь часто используется пуникод, то есть не Unicode-символы, например sberbank.ru и sberbаnk.ru. Казалось бы, написание одинаковое, но в одном месте поставлена русская буква «a», а в другом — английская, или сделано еще проще: похожие по написанию — sbarbank вместо sberbank, — и если не приглядываться, разницу не заметишь. Есть и более сложные способы — скажем, фишинг через реального отправителя, когда взламывают почтовый ящик партнера либо клиента и пишут от его имени.
Сама по себе фишинговая рассылка бывает трех видов
Whaling — это рассылка, направленная на топов какой-либо отрасли/организаций, например финансовой сферы.
Spear-phishing, или таргетированный фишинг, — это рассылка, специально предназначенная для конкретного человека, группы людей, компании, отрасли. Очень похожа на Whaling, но в таргетированном фишинге обычно целевая аудитория ограничена одной или несколькими компаниями.
Нетаргетированный (email phishing) — это просто веерная рассылка для большой группы получателей с каким-то общим сообщением/побуждением.
На самом деле этих категорий гораздо больше. Есть еще Smishing — фишинг по СМС, Vishing — фишинг и звонки по телефону, и так далее. Просто они не столь популярны и не относятся к тому фишингу, про который все говорят и пишут.
Вообще все, описанное выше: сообщения, угрозы и сайты — всё это является методами социальной инженерии — это такие методы, применяемые злоумышленниками, которые основаны на психологии и социологии, поскольку основная задача злоумышленников состоит в том, чтобы заставить получателей/посетителей довериться злоумышленнику и сделать то, что он просит.
Постоянно появляются новые виды социальных инженерных атак, и это все по своей сути базируется на НЛП или других психологических техниках. Социальные инженеры — люди, которые сочиняют такие письма и очень хорошо понимают как думают разные категории людей, изучают их и создают соответствующие письма.
Вот основные признаки того, что сообщение является фишинговым:
запрос конфиденциальной или личной информации;
создает ощущение срочности, сообщает об угрозах потери доступа/средств/привилегий или деактивации аккаунта, невозможность продления подписки без ;
любое сообщение, в котором используется замысловатая история для открытия банковских счетов и отправки денег (для любых целей);
запросы на логин и пароль.
Однако помимо прямых требований предоставить информацию либо отправить деньги, фишинг также является основным методом злоумышленников для проникновения в сеть компаний, заражения ее, выполнения так называемого первичного проникновения, которое впоследствии развивается в мощную атаку и компрометацию крупнейших компаний. Почему так происходит? Потому что человек самое слабое звено. У вас может быть любая суперсовременная система защиты, но если люди не обучены основам киберграмотности, если с ними не проводят постоянные учения и тренинги, то всю систему защиты могут легко обойти, используя человеческие слабости.
Осторожно с вложениями и ссылками!
Фишинговые письма, направленные на проникновение и первичное заражение, обычно содержат вложения или ссылки.
Вложения являются вредоносными файлами, которые заражают компьютер и дают злоумышленникам удаленный доступ в сеть компании, либо пересылают информацию с компьютера получателя письма, либо шифруют его — вариантов много.
Конечно, существуют различные системы защиты от этого, начиная с антиспам/антифишинг систем, почтовых антивирусов, сетевых песочниц для поведенческого анализа вложений и заканчивая антивирусами и EDR-агентами рабочих мест пользователей.
Однако злоумышленники тоже не дремлют и используют различные способы обхода систем защиты — запароленные архивы, multichannel-атаки (когда часть вредоносного кода поступает по разным источникам, по почте и по мессенджеру), ссылки на ресурсы, эмулирующие внутрикорпоративные порталы. И таких способов довольно много — именно поэтому полагаться только на технические средства защиты нельзя.
Когда мы говорим про вложения, это могут быть как обычные офисные документы, содержащие важную для получателя информацию и дополнительные макросы, которые выполняются, подкачивают свой код из интернета, закрепляются в системе, повышают свои привилегии и распространяются дальше по сети, открывая доступ злоумышленников к инфраструктуре, так и вирусы-шифровальщики в виде обычных картинок, видеофайлов или файлов от «системного администратора», например «новый ярлык для запуска 1С».
Существует более изощренная атака — Drive-by download, когда в письме находится просто ссылка, при посещении которой компьютер пользователя заражается из-за какой-то ошибки в браузере или плагине, то есть пользователь ничего не скачивал, не запускал на странице — он просто перешел по ссылке, а его компьютер после этого уже заражен.
Есть несколько способов ручного анализа писем, которые зачастую позволяют выяснить, являются письма легитимными или фишинговыми, в основном это помогает с нетаргетированным фишингом, однако в любом случае полезно:
При получении электронного письма пользователи редко осведомлены о возможности просмотреть подробную маршрутную информацию сообщения или, зная об этом, пренебрегают ею.
Анализ заголовков может быть полезен всякий раз, когда вам кажется, что сообщение является подозрительным.
Анализ заголовков писем
Для того чтобы лучше понимать, как мы будем отличать фальшивые письма от валидных, рассмотрим основные компоненты легитимного письма. Оно состоит из заголовка, основной части и, как правило, вложения.
Заголовок отражает тип контента, данные отправителя и получателя, время и дату получения, а также адрес почтового сервера и почты, с которой пришло сообщение.
По мере того, как электронное письмо направляется от источника к месту назначения, каждый сервер добавляет свои записи заголовка в верхнюю часть тела электронного письма. Таким образом, если мы посмотрим на источник сообщения, это будет самый первый заголовок Received: снизу вверх. Помимо подлинного отправителя, эта запись укажет на серверы, через которые письмо проходило и которые его обработали, прежде чем попасть в ваш почтовый ящик. Этот параметр — хороший помощник в определении легитимности источника.
—————————————————–
Received: from User (85-250-54-29.bb.netvision.net.il[85.250.54.29])
(authenticated bits=0)by mail.shako.com.tw (8.14.3/8.14.3/4.90) with ESMTP id r0HNXZSI028539; Fri, 18 Jan 2013 07:33:38 +0800
—————————————————–
Часть by определяет первый сервер, через который прошло письмо после источника:
—————————————————–mail.shako.com.tw
(8.14.3/8.14.3/4.90).
———————————————————
Вы можете выделить из этой записи имя домена – mail.shako.com.tw и, воспользовавшись, сервисами whois или network-tools, посмотреть информацию о географическом положении почтового сервера, чтобы сравнить с телом сообщения.
Также рассмотрим несколько других полезных полей:
Return-Path: этот заголовок еще называют bounce address, он содержит адрес, на который будут отправлена («отражена») недоставленная почта. Обращайте внимание, совпадает ли адрес этого заголовка с адресом в From:. Как правило, в массовых рассылках, спаме и фишинговых письмах эти адреса отличаются.
Reply-to: в это поле отправитель сам прописывает адрес, который говорит клиенту электронной почты, куда следует отправить ответное сообщение. Поэтому если мы посмотрим внимательно и сравним с адресом отправителя, то увидим, что они с большей вероятностью будут отличаться, как обычно и бывает в случае поддельных писем. Это один из способов детектировать фишинг-атаку.
Received-SPF: Sender Policy Framework (SPF), работает вместе с DMARC (Domain-based Message Authentication, Reporting and Conformance) для предотвращения вредоносных программ и фишинговых атак. Чтобы использовать SPF, владелец домена должен указать все IP-адреса, которым разрешается отправка почты от имени домена в записи DNS TXT. Если эта запись DNS настроена, серверы электронной почты получателя ищут IP-адрес при получении сообщения, чтобы убедиться, что он соответствует авторизованным IP-адресам домена электронной почты. Если есть совпадение, в поле Received-SPF отображается статус PASS. Если совпадений нет, в поле отображается статус FAIL. Этот статус желательно просмотреть, если письмо кажется подозрительным и содержит вложения, ссылки и т. д.
DKIM-Signature: DKIM (Domain Keys Identified Mail, email с доменными ключами), в этом заголовке находится открытый ключ, который в случае легитимного письма будет совпадать с закрытым ключом сервера-отправителя. Если параметр заголовка Authentication-Results:
показывает dkim = pass, то можно быть спокойным — сообщение не было изменено при пересылке.
Если значение поля DKIM — none-электронное письмо не подписано.
Анализ заголовков зачастую выполняется почтовым сервером автоматически, однако поскольку типов почтовых серверов огромное количество, то и отбрасывать все подозрительные сообщения почтовый сервер не будет, поскольку это может быть легитимное письмо, просто с неверными настройками, поэтому лучше лишний раз самостоятельно проверить такие письма.
Be safe!
О компании
RuSIEM – российская компания, занимающаяся созданием решений в области мониторинга и управления событиями информационной безопасности на основе анализа данных в реальном времени. Компания работает на российском ИТ-рынке с 2014 года и является резидентом Сколково.
Среди решений компании – программный комплекс обеспечения информационной безопасности (ИБ), позволяющий собирать и анализировать информацию о событиях ИБ, получаемую из разнородных источников. Работа RuSIEM позволяет увидеть максимально полную картину активности сетевой инфраструктуры и событий информационной безопасности.
RuSIEM разрабатывает SIEM-систему (Security Information and Event Management) – решение для обнаружения и предотвращения угроз, благодаря анализу событий с сетевых устройств, решений безопасности, рабочих станций, серверов и приложений.
RuSIEM – коммерческая версия системы класса SIEM (Security information and event management), включающая корреляцию в режиме реального времени, визуализацию данных и поиск по ним, долгосрочное хранение сырых и нормализованных событий, инцидент менеджмент и отчеты;
RuSIEM Analytics – модуль для коммерческой версии системы RuSIEM, дополняющий возможностями ML (Machine learning), DL (data learning), по визуализации данных, управление активами и множеством других, способствующих обнаружению угроз и аномалий, решающих различные кейсы с помощью современных методик;
RvSIEM free – решение класса LM (Log Management), которое позволяет собрать, нормализовать события, строить отчеты, долгосрочно хранить, визуализировать данные. RvSIEM free – ограниченная по возможностям коммерческая версия RuSIEM.
Смотреть все статьи по теме “Информационная безопасность”