Привет, Хабр! С вами Екатерина Косолапова. Я занимаюсь аналитикой в Positive Technologies и сегодня хочу поговорить с вами про фишинг, или даже так: про влюбленных в фишинг. Все-таки, День всех влюбленных 😊 Этот вид мошенничества никогда не устаревает, киберпреступники любят его до слез, и в 2023 году почти половина всех успешных атак на организации была проведена с его использованием. В ход идет все: электронная почта, СМС-сообщения, социальные сети и мессенджеры. Фишеры не гнушаются звонками из банка (потому что это работает!) и используют искусственный интеллект (про дипфейки, наверное, слышали).
Фишинговые атаки эффективны. Сами посудите: затрат мало, а куш, если грамотно нацелиться, можно сорвать большой. В этой статье мы с коллегами из отдела собрали пять популярных тем, которые используют фишеры нашего времени. И конечно, привели волнующие примеры — куда же без них! Говорить будем про организации и целевой фишинг. Мы уже поймали вас на крючок? Тогда держитесь!
Любимые подрядчики
В большинстве атак на организации фишеры выдают себя за контрагентов, присылая поддельные акты сверки, счета-фактуры, документы для продления договоров и другие данные, связанные со взаимодействием с подрядчиками. Популярность этой уловки объясняется тем, что она применима практически для всех организаций и предполагает наличие в сообщении ссылок или вложений. При этом в целевых атаках на медицинские и финансовые организации эта тема используется чаще других.
Например, в июне 2023 года итальянским компаниям были разосланы сообщения с запросом на выполнение задерживаемого платежа.
По ссылке в фишинговом письме загружался ZIP-файл, который содержал шпионское ПО. Кампания была направлена на несколько организаций из разных отраслей. Что и говорить — прием универсальный. Дополнительная информация о жертве для такой маскировки не требуется, что облегчает процесс подготовки атаки без потери качества.
От любимого IT-отдела
Фишеры очень любят использовать сообщения якобы от технической поддержки или IT-подразделения, потому что знают, как мы все любим звонить в техподержку. Выглядят подобные электронные письма привычно, так что злоумышленникам и выдумывать-то особо нечего.
В письмах от таких коллег обычно содержатся четкие указания с призывом выполнить определенные действия, и никто не осмелится ослушаться, что тоже играет на руку злоумышленникам. Чаще всего в таких письмах встречаются следующие темы: подтверждение учетной записи, обновление ПО или руководства по безопасности, информация о нарушении в работе почтовых служб, а также уведомления об истечении срока действия пароля. Адресат с базовым уровнем цифровой грамотности не всегда может самостоятельно определить подлинность такого послания, а риск блокировки или удаления доступов или данных создает ощущение срочности и подталкивает к необдуманным действиям.
Кроме того, для успеха таких кампаний не требуется подробная информация о жертве — достаточно учесть, какими информационными продуктами пользуются в стране атакуемой организации.
Интересно, что в компаниях, специализирующихся на IT-технологиях, сотрудники получают подобные сообщения гораздо чаще. Оно и понятно: большинство рабочих процессов здесь завязаны на информационных системах, с которыми взаимодействуют практически все, поэтому подделку сложнее выделить из общего потока.
Кстати, эта тематика часто используется в сценариях с телефонными звонками якобы от имени техподдержки или, наоборот, в случаях, когда нужно сымитировать звонок в службу техподдержки.
В декабре 2022 года группировка Muddled Libra отправляла сообщения‑приманки на мобильные телефоны целевых сотрудников, утверждая, что им необходимо обновить информацию об учетной записи или повторно войти в корпоративное приложение. Сообщения содержали ссылку на поддельный корпоративный домен, имитирующий знакомую страницу входа. После того как злоумышленники перехватывали учетные данные, необходимые для первоначального доступа, они выбирали один из двух путей — продолжить процесс аутентификации с контролируемого ими компьютера и немедленно запросить код многофакторной аутентификации (MFA) либо подождать и начать генерировать бесконечный поток запросов MFA, пока пользователь не устанет и примет один из них. Если техника не срабатывала, злоумышленник связывался со службой поддержки организации, выдавая себя за жертву, заявлял, что его телефон не работает или потерялся, и запрашивал регистрацию нового устройства с помощью аутентификации MFA.
С любовь от государства
В приманках от «госорганов» механизмами воздействия служат уважение к авторитету и страх перед последствиями, которые могут наступить, если оставить письмо без ответа. Для подготовки правдоподобных фишинговых сообщений такой тематики злоумышленникам нужна общая информация об атакуемой организации, например местонахождение, сфера деятельности. Текст рассылки может представлять собой приглашение на встречу или предложение совместно поработать над документами, срочное требование или запрос информации от госоргана, сообщение со сведениями государственной важности, рекомендацию министерства.
Такие письма в основном отправляются в рамках фишинговых кампаний, направленных на госсектор и оборонно-промышленные предприятия, поскольку они привычны для рядовых сотрудников, которые часто получают настоящие письма с похожим содержанием.
В феврале 2023 года наш PT ESC зафиксировал фишинговую рассылку, адресованную госучреждениям Таджикистана, в которой использовался документ-приманка «Повестка дня для технического консультативного совещания высокого уровня по сектору здравоохранения в Таджикистане». Вероятность того, что жертва среагирует на подобное сообщение, очень высока, так как оно сливается с общим потоком писем, а единый формальный стиль и продуманное содержание не вызывают сомнений.
Fake news
Актуальная новостная повестка — эффективный контекст для обмана сотрудников при помощи фишинга. В каждой десятой атаке за прошедший год злоумышленники обращались к самым злободневным темам, среди которых ядерная энергетика и оружие, протесты в Латинской Америке, обезьянья оспа и многое другое.
В июне 2023 года наш экспертный центр безопасности зафиксировал кибератаку на российские госучреждения и компании из других сфер, в том числе торговли и услуг. Хакерская группировка, которую мы назвали Cloud Atlas, использовала резонансную тему — частичную мобилизацию.
Жертва полагает, что получила список со множеством данных, который потребовалось поместить в архив для отправки, но при его открытии происходит заражение устройства. В связи с повышенным интересом к вопросу мобилизации подобные письма вызывают любопытство и вряд ли будут проигнорированы.
Фишинговые сообщения с актуальной новостной повесткой чаще других встречаются в атаках на оборонно-промышленные предприятия, научно-образовательные учреждения и СМИ.
В ходе вредоносной кампании против азербайджанских СМИ документом-приманкой служил самораспаковывающийся архив, замаскированный под PDF-файл и содержащий статью об Александре Лапшине (российско-израильском тревел-блогере, журналисте и правозащитнике). В 2021 году Европейский суд по правам человека постановил, что право Лапшина на жизнь было нарушено властями Азербайджана, и обязал Азербайджан выплатить ему компенсацию в размере 30 000 евро. Вероятно, этот инцидент был использован как приманка, поскольку дело Лапшина широко известно в Азербайджане.
Полагаем, скоро нас ждут фишинговые сообщения на тему мартовских выборов президента России, летних Олимпийских игр во Франции, а также ноябрьских выборов президента США.
А с какими необычными/смешными/несуразными фишинговыми сообщениями вы сталкивались в жизни?
Пишите в комментариях!
От любимого работодателя или от известного бренда
Сообщения от работодателя или от известного бренда воздействуют на получателя за счет авторитета отправителя. Фишеры охотно используют такие темы, как отпуск сотрудников, различные руководства, инструкции, рекомендации по работе, сметы расходов или заявления, предложения с корпоративными скидками, расчетные ведомости, уведомления о непрочитанных сообщениях в Zoom. Однако для создания максимально достоверного текста злоумышленник должен обладать дополнительными сведениями о жертве, включая внутренний распорядок компании, почтовые адреса, названия должностей и имена сотрудников.
Заметим, что эффективность атак с сообщениями якобы от работодателя снижается за счет того, что жертва может легко проверить легитимность полученного сообщения, например спросив у коллег, получали ли они такое письмо, или проверив адрес отправителя по справочнику сотрудников.
При разработке атак от имени известных брендов мастера фишинга следуют лучшим практикам маркетинговых подразделений известнейших компаний. Уходят в прошлое банальные массовые рассылки, успех которых связан с желанием получателей приобрести ходовые товары со скидкой или с невозможностью приобрести их легально (например, из-за санкций на многие категории товаров, ранее поставлявшихся в Россию). Современные хакеры учитывают охват аудитории, конверсию, интерес к тем или иным продуктам, таргетирование и персонализацию. В некоторых кампаниях жертвы получали рекламные сообщения от имени популярных брендов и затем многократно перенаправлялись через цепочку сайтов, на которых попутно собирались подробные данные о пользователе, его браузере, устройстве, user agent, IP-адресе. В зависимости от этих сведений жертва попадала на уникальную страницу с персонализированным предложением, от которого сложно было отказаться. На основе всех собранных параметров пользователя формировался токен для входа на фишинговый ресурс, что делало его практически не отслеживаемым, так как ссылка, пересланная из фишингового сообщения, у других пользователей уже не открывалась.
Подготовка фишингового сообщения — один из важнейших этапов атаки: если приманка будет неубедительной, затраты ресурсов окажутся бесполезными. Выбор темы сообщения-приманки определяется целью злоумышленников. При этом оно не должно выбиваться из общего потока писем, чтобы не возникло сомнений в его легитимности.
В этой статье приведены наиболее распространенные темы, но в фишинговых сообщениях используются не только они. Есть ряд признаков, которые должны вызывать подозрения у адресатов. Например, незнакомый отправитель, орфографические, синтаксические, стилистические ошибки в тексте письма или в названии бренда, требование срочного ответа, а также прямой или косвенный призыв выполнить подозрительные действия. Злоумышленники используют актуальные, хорошо продуманные приманки, поэтому следует оценивать сообщение по совокупности признаков и быть внимательными при работе с различными каналами коммуникаций. Не попадитесь на удочку!
Шесть эмоций, которые злоумышленники часто эксплуатируют в фишинговых сообщениях:
Страх (например, «Срочно погасите налоговую задолженность»).
Раздражение (например, при использовании техники «усталость от MFA», когда злоумышленники отправляют постоянный поток запросов многофакторной аутентификации, чтобы вызвать раздражение и спровоцировать пользователя принять один из них).
Невнимательность (например, в случае использования схожих по написанию символов в ссылках).
Любопытство (например, «Красивые девушки на OnlyFans»).
Жадность (например, «Скидки и купоны для маркетплейсов»).
Желание помочь (например, «Гуманитарная помощь жертвам землетрясения в Турции»).
Cрочность ответа и авторитет отправителя повышают эффективность фишинговых атак!
Екатерина Косолапова
Аналитик исследовательской группы департамента аналитики Positive Technologies
