Этот метод представляет собой сочетание социальной инженерии и компьютерных навыков, целью является качественная маскировка под какую-либо авторитетную организацию, чтобы заставить пользователя выполнить определенные действия. Фишинг можно использовать по-разному, рассмотрим различные подходы и способы защиты от них.
Введение
Сразу определимся, что основным вектором фишинг-атаки является вредоносный веб-сайт, грамотно (или нет) маскирующийся под легитимный. Такого рода маскировка осуществляется при помощи HTML, CSS и javascript, и результат, поверьте, может удивить вас — часто злоумышленникам удается создать точную копию популярного безобидного сайта. Следующим шагом будет попытка заставить пользователя посетить именно его сайт вместо настоящего. Это не так просто, как может казаться: есть несколько способов, о них поговорим чуть позже.
Также киберпреступникам стоит помнить о том, чтобы их сайт не был обнаружен властями или владельцами сайта, под который они пытаются замаскировать свой. Чтобы избежать обнаружения и охватить как можно большую аудиторию, фишеры используют в основном спам. Спам-письма часто отправляются с помощью бот-сети, поэтому маловероятно, что злоумышленники в таких случаях будут найдены властями. Часто спамеры располагают базами данных адресатов, им важно знать, клиентом какой организации является тот или иной пользователь, это позволит провести таргетированную атаку и сделать ее более эффективной.
Инструменты и тактика
В арсенале злоумышленников есть множество способов, которые позволяют обмануть пользователей и заставить их думать, что они посещают легитимный сайт. Обычно спам-письмо отправляется клиенту какой-либо организации, оно содержит гиперссылку, которая якобы ссылается на абсолютно безобидный сайт, например
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
.Однако гиперссылка указывает на IP-адрес вместо имени домена. Маловероятно, что обычный клиент обратит на это внимание, отсюда и возникает этот хакерский трюк. Когда пользователь нажимает на
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, его трафик перенаправляется на вредоносный веб-сайт, который идентичен оригиналу. Установка вредоносной программы
Установка вредоносной программы — еще один вариант для злоумышленника. Эта программа может присвоить безобидному домену вредоносный IP-адрес, изменив файл hosts. Либо же зловред может использовать уязвимость в браузере жертвы для того, чтобы пользователь подключился к вредоносному сайту.
Тем не менее, такой сценарий представляется маловероятным, так как если хакер установит вредоносную программу на компьютер жертвы, ему вовсе не требуется прибегать к фишингу. Он вполне может использовать ее в качестве кейлоггера и таким образом собрать все пароли и учетные данные жертвы.
Регистрация похожего домена
Еще есть вероятность, что злоумышленник зарегистрирует похожее на легитимное доменное имя в надежде, что пользователь ошибется при вводе этого адреса в строку браузера. Например, вредоносный веб-сайт может быть зарегистрирован на
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, учитывая, что подлинный сайт Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
. Если пользователь ошибется, то попадет на вредоносный сайт. Также киберпреступник может закодировать URL-адрес так, чтобы он казался идентичным настоящему.Атаки на организации
Очень распространенная процедура фишинга состоит из следующих этапов:
- Сканирование веб-серверов на уязвимости;
- Компрометация уязвимых серверов;
- Установка руткита;
- Загрузка фишингового сайта и массовых спам-инструментов.
С этого момента злоумышленник автоматизирует процедуру отправки спам-писем, которые кажутся вполне легитимными, приходящими с подлинного сервера. Этот метод обычно используется организованными группами киберпреступников, нацеленными на большое количество известных организаций, а не на отдельных лиц.
Перенаправление портов
Перенаправление портов — очень эффективный вариант для злоумышленников, которые не хотят устанавливать руткиты на взломанные веб-серверы. Используя уязвимость на сервере, можно установить инструмент перенаправления портов, который будет прозрачно перенаправлять весь трафик на вредоносный сервер в другой стране. Преступник начинает отправлять спам-письма, пользователи нажимают на ссылку — дело сделано.
Не попасться на фишинг — вопрос здравого смысла. Серьезная организация вроде банка никогда не будет отправлять вам электронное письмо с просьбой изменить пароль или поделиться своими учетными данными. И если у вас есть сомнения, лучше позвонить им по официальному номеру телефона. Никогда не нажимайте на ссылки в сомнительных письмах, и вы будете в безопасности. Если же есть непреодолимое желание перейти по ссылке, можно сделать это на виртуальной машине.