В то время, как специалисты по безопасности сосредоточены на выявлении и исправлении уязвимостей в программном обеспечении, самым слабым звеном безопасности обычно являются конечные пользователи.
Фишинг - это метод социальной инженерии, позволяющий обманным путем получать информацию, маскируя сообщение под надежными источниками; эта информация затем может быть использована для доступа к устройствам или сетям. Spearphishing - это целенаправленная фишинговая атака, которая основывается на использовании личной информации, чтобы кибератака выглядела более надежной.
В чем разница между фишингом и Spearphishing?
Фишинг - это метод социальной инженерии, позволяющий обманным путем получать информацию, которую затем можно использовать для доступа к устройствам или сетям. Этот тип атаки использует технологию, чтобы скрыть связь или веб-страницы от надежного источника. По сути, фишинговые атаки для достижения своих целей полагаются на уловки доверия, а не только на технологические уловки.
В отличие от этого, Spearphishing - это фишинговая атака, нацеленная на конкретного человека или компанию. Эти атаки обычно основаны на индивидуальных методах и ресурсах, таких как попытка клонировать интерфейс входа в систему для корпоративных интрасетей, а также использование заранее собранной личной информации (возможно, из-за предшествующего нарушения кибербезопасности). Spearphishing атаки, проводимые против руководителей высшего звена, называются китобойными.
Формула китобойного промысла также поменялась на атаку под названием «Мошенничество с генеральным директором», в которой фишинговые электронные письма маскируются под сообщения от генерального директора. Данные социально спроектированные атаки разрушительны, потому что в поддельных электронных письмах есть все признаки того, что они реальны, а жертвы добровольно передают деньги. Думая, что запрос по электронной почте приходит от генерального директора, жертва охотно отправляет деньги. Малые и средние предприятия особенно уязвимы, так как у них короткие очереди коммуникаций, с меньшим количеством задержек, между финансовым персоналом и генеральным директором.
Какие существуют виды фишинговых атак?
Злоумышленники обычно используют различные методы фишинга в своих атаках.
Обманчивая ссылка
Наиболее часто используемая и наиболее надежная стратегия для злоумышленников заключается в том, чтобы скрыть вредоносную ссылку, указывающую на законный или доверенный источник. Эти типы фишинговых атак могут принимать любое количество форм, таких как использование URL-адресов с ошибками, создание поддоменов для вредоносного веб-сайта или использование схожих до степени смешения доменов.
Для примеров этих трех стратегий рассмотрим следующее: Буква I очень близка к букве L на стандартных клавиатурах QWERTY, что делает "googie" вероятным заменителем "google". Для поддоменов злоумышленник, управляющий доменом example.com, может создать субдомены для этого домена (например, «www.paypal.example.com»), для которых начало этого URL-адреса выглядит законным. Для схожих до степени смешения доменов домен «accounts-google.com» был зарегистрирован как клон «accounts.google.com» в результате фишинг-атаки во время президентских выборов 2016 года в США.
Международные доменные имена (IDN) также могут быть использованы для создания схожих доменных имен, позволяя использовать символы не ASCII. Визуальное сходство между символами в разных сценариях, называемых гомоглифами, может быть использовано для создания доменных имен визуально неразличимыми, заставляя пользователей поверить, что один домен на самом деле является другим.
Клонирование сайтов, подделка и скрытое перенаправление
Сайты, уязвимые для атак с использованием межсайтовых сценариев (XSS), могут использоваться злоумышленниками для внедрения своего собственного контента на фактический сайт атакованной службы. XSS может использоваться для сбора данных, введенных на скомпрометированном веб-сайте (включая поля имени пользователя и пароля), чтобы злоумышленники могли использовать их позднее.
Некоторые фишинговые атаки используют XSS для создания всплывающих окон, которые происходят с уязвимого веб-сайта, но загружают страницу, контролируемую злоумышленниками; часто этот тип скрытого перенаправления загружает форму входа в систему для сбора учетных данных. В результате распространенности такого типа атак большинство браузеров теперь отображают адресную строку во всплывающих окнах.
Голосовой и текстовый фишинг
Злоумышленники также используют телефонные звонки и текстовые сообщения для сбора информации об учетной записи, при этом тексты, отправляемые банковским клиентам, утверждающие, что доступ к их счету отключен, побуждают пользователей набирать номер телефона или использовать веб-сайт, созданный злоумышленниками, с которого может быть получена информация об учетной записи.
Почему я должен беспокоиться о фишинге?
По сути, фишинг влияет на всех. Злоумышленники обычно атакуют интернет сеть, используя фишинговые атаки, надеясь поймать любую произвольную жертву для получения доступа к личной банковской информации или порту входа в корпоративную сеть, из которой злоумышленники могут получить конфиденциальную информацию. Даже при наличии политик, обеспечивающих сегментированный доступ к информации, это может поставить под угрозу информацию о сотрудниках и клиентах.
Решения для мониторинга безопасности предназначены в первую очередь для предупреждения пользователей или ИТ-специалистов о существовании вируса, основанного на данных, таких как хеши известных полезных нагрузок или программные поведения вирусов. Эта модель программного обеспечения безопасности плохо адаптируется к фишинговым атакам, которые в значительной степени опираются на методы социальной инженерии, чтобы убедить пользователей немедленно предпринять действия, не анализируя ситуацию. В связи с этим лучшая защита от фишинга - это обучение конечных пользователей безопасности.
Фильтры были разработаны с целью выявления фишинговых атак в электронных письмах, хотя некоторые фишинговые электронные письма используют изображения текста вместо письменного текста, чтобы обойти эти почтовые фильтры. Аналогично, фишинговые сайты часто используют методы обфускации кода, чтобы программное обеспечение безопасности не обнаруживало вредоносную активность. Часто фишинговые атаки основаны на кодировании AES-256 или Base64 внутри JavaScript или пользовательских стратегиях кодирования, что затрудняет анализ исходного кода. (Использование обфускации кода не может быть помечено как злонамеренное намерение)
В 2019 году исследователи из Proofpoint раскрыли фишинговый инструментарий, который запутывает данные с помощью шифра замещения, использующий собственный шрифт для декодирования. Этот инструментарий использует настроенную версию шрифта Arial с транспонированными отдельными буквами; при загрузке фишинговой страницы содержимое выглядит нормально. Когда пользователь или программа пытается прочитать исходный текст, текст на странице выглядит беспорядочным.
Как я могу защитить свою организацию от фишинговых атак?
Существует множество стратегий для защиты от фишинг-атак, но для более надежной защиты нужно использовать несколько стратегий.
Поскольку фишинговые атаки являются, в основном, технологическим средством использования социальной инженерии, обучение пользователей – это наиболее важная стратегия для вашей организации. Обучение пользователей распознавать идентифицирующие характеристики фишинговых писем и проведение имитированных попыток фишинга для оценки эффективности этого обучения сделают даже больше для обеспечения целостности безопасности, чем программные решения.
Аналогичным образом, разработка политики защиты сотрудников от непреднамеренного перевода средств или предоставления доступа к данным в нелегальных целях также важна.
Для технологических решений изменение поведения по умолчанию в почтовых клиентах, таких как Microsoft Outlook, может повысить безопасность. Сторонние инструменты сканирования могут снизить эффективность фишинговых атак или предотвратить попадание их в почтовые ящики пользователей.
Современные браузеры также включают службы фильтрации безопасного просмотра, которые по умолчанию включены, для обнаружения фишинговых атак, предотвращая попадание пользователей в жертву.
