Фишинг - попытка получения конфиденциальной информации

фишинг - это мошенническая попытка получения конфиденциальной информации, такой как имена пользователей, пароли и данные кредитной карты, путем маскировки себя как объекта, заслуживающего доверия в электронном сообщении . [ Как правило , осуществляется по электронной почте подмены или мгновенного обмена сообщениями , фишинг часто направляет пользователям вводить личную информацию на веб - сайте фальшивой , которая соответствует внешний вид и легитимного сайта.

Фишинг является примером методов социальной инженерии , используемых для обмана пользователей. Пользователи часто заманиваются сообщениями, предполагаемыми от доверенных лиц, таких как социальные веб-сайты , сайты аукционов , банки, процессоры онлайн-платежей или ИТ-администраторы.

Попытки справиться с фишинговыми инцидентами включают законодательство , обучение пользователей, информирование общественности и технические меры безопасности (последние связаны с фишинговыми атаками, часто использующими слабые места в текущей безопасности в сети).

Типы фишинга

Фишинг с копьем

Фишинговые попытки, направленные на отдельных лиц или компании, известны как фишинговые атаки .В отличие от массового фишинга, злоумышленники по фишинговому фишингу часто собирают и используют личную информацию о своей цели, чтобы увеличить вероятность успеха.

Первое исследование социального фишинга, типа фишинг-атаки, использующей информацию о дружбе из социальных сетей, дало более 70% успеха в экспериментах.

Группа угроз-4127 («Необычный медведь») использовала фишинговую тактику для нацеливания на учетные записи электронной почты, связанные с президентской кампанией Хиллари Клинтон в 2016 году. Они атаковали более 1800 учетных записей Google и внедрили домен accounts-google.com, чтобы угрожать целевым пользователям.

Китобойный промысел

Термин « китобойный промысел» относится к фишинговым атакам, направленным конкретно на руководителей высшего звена и другие важные объекты. [16] В этих случаях контент будет создан для того, чтобы ориентироваться на высшего менеджера и роль человека в компании. Содержание электронного письма, связанного с китобойным промыслом, может быть исполнительной проблемой, такой как повестка в суд или жалоба клиента.

Catphishing / Catfishing

Catphishing (пишется с «ph») является типом онлайн-обмана, который включает в себя знакомство с кем-то, чтобы получить доступ к информации и / или ресурсам, обычно под контролем знака, или иным образом получить контроль над поведением цели.

Catfishing (пишется с «f»), похожее, но отличное понятие, вовлекает человека, создающего присутствие в социальной сети как марионетка носка или вымышленного человека, чтобы вызвать кого-то в (обычно) романтические отношения. Это обычно начинается онлайн, с надеждой или обещанием того, что оно перерастет в настоящий роман. Это никогда не объект преступника; в общем, он ищет доступ к деньгам или ресурсам знака, или чтобы получить подарки или другое вознаграждение от жертвы. Иногда это может быть формой корыстного привлечения внимания.

Клонирование фишинга

Клонирование фишинга - это тип фишинг-атаки, при котором законное и ранее доставленное электронное письмо, содержащее вложение или ссылку, получило свое содержимое и адрес (а) получателя и использовалось для создания почти идентичного или клонированного электронного письма. Вложение или ссылка в сообщении электронной почты заменяется вредоносной версией, а затем отправляется с поддельного адреса электронной почты, который, как представляется, исходит от исходного отправителя. Он может претендовать на повторную отправку оригинала или обновленную версию оригинала. Обычно для этого требуется, чтобы отправитель или получатель были предварительно взломаны, чтобы злонамеренная третья сторона получила законную электронную почту.

Управление ссылками

Большинство методов фишинга используют некоторую форму технического обмана, предназначенную для создания ссылки в электронном письме (и на поддельном веб-сайте, на который он ведет), как представляется, принадлежат к поддельной организации . [21] Неправильные URL-адреса или использование поддоменов являются распространенными уловками фишеров. В следующем примере URL-адреса создаетсяhttp://www.yourbank.example.com/ впечатление, что URL-адрес приведет вас к разделу примера на веб- сайте вашего банка ; фактически этот URL-адрес указывает на раздел « ваш банк » (т. е. фишинг) примера веб-сайта. Еще одна распространенная хитрость - сделать отображаемый текст ссылкой (текст между тегами ) предложить надежное место назначения, когда ссылка действительно ведет на сайт фишера. Многие почтовые клиенты и веб-браузеры для настольных компьютеров будут показывать целевой URL-адрес ссылки в строке состояния при наведении на нее указателя мыши . Это поведение, однако, может в некоторых случаях быть переопределено фишером. Эквивалентные мобильные приложения обычно не имеют этой функции предварительного просмотра.

Многоязычные доменные имена (IDN) могут быть использованы с помощью IDN подмены или омограф атаки , для создания вебов - адресов визуально идентичных законного сайт, которые приводят вместо вредоносной версии. Фишеры воспользовались аналогичным риском, используя перенаправители открытых URL-адресов на веб-сайтах доверенных организаций для маскировки вредоносных URL-адресов с помощью доверенного домена. Даже цифровые сертификаты не решают эту проблему, потому что фишер вполне может приобрести действительный сертификат и впоследствии изменить его содержимое, чтобы подделать подлинный веб-сайт или разместить фиш-сайт без SSL на все.

Фильтр уклонения

Фишеры иногда используют изображения вместо текста, чтобы антифишинговым фильтрам было сложнее обнаружить текст, обычно используемый в фишинговых письмах. [29] В ответ более сложные антифишинговые фильтры способны восстанавливать скрытый текст в изображениях с помощью оптического распознавания текста .

Подделка сайтов

Некоторые фишинговые мошенники используют команды JavaScript , чтобы изменить адресную строку сайта, к которому они ведут. Это можно сделать, поместив изображение допустимого URL-адреса поверх адресной строки, или закрыв исходную панель и открыв новую с допустимым URL-адресом.

Злоумышленник также может потенциально использовать недостатки в собственных сценариях доверенного сайта против жертвы. Эти типы атак (известные как межсайтовый скриптинг ) особенно проблематичны, поскольку они направляют пользователя на вход в систему на собственной веб-странице своего банка или службы, где все от веб-адреса до сертификатов безопасности выглядит корректно. На самом деле, ссылка на сайт создана для проведения атаки, что делает ее очень трудно обнаружить без специальных знаний. Такой недостаток был использован в 2006 году против PayPal .

Чтобы избежать методов антифишинга, которые сканируют веб-сайты на предмет текста, связанного с фишингом, фишеры иногда используют веб-сайты на основе Flash (метод, известный как флешинг). Они очень похожи на настоящий веб-сайт, но скрывают текст в мультимедийном объекте.

Скрытое перенаправление

Скрытое перенаправление - это тонкий метод проведения фишинговых атак, при котором ссылки кажутся легитимными, но фактически перенаправляют жертву на сайт злоумышленника. Недостаток обычно маскируется под всплывающим окном входа в систему на основе домена уязвимого сайта. Он также может влиять на OAuth 2.0 и OpenID на основе известных параметров эксплойта. Это часто использует уязвимости открытого перенаправления и XSS на сторонних веб-сайтах приложений. [37] Пользователи также могут быть скрытно перенаправлены на фишинговые веб-сайты с помощью вредоносных расширений браузера.

Обычные попытки фишинга легко обнаружить, поскольку URL-адрес вредоносной страницы обычно отличается от реальной ссылки на сайт. Для скрытого перенаправления злоумышленник может вместо этого использовать настоящий веб-сайт, повредив сайт с помощью всплывающего диалогового окна со злонамеренным входом. Это делает скрытое перенаправление отличным от других.

Например, предположим, что жертва щелкает вредоносную фишинговую ссылку, начинающуюся с Facebook . Всплывающее окно из Facebook спросит, хочет ли жертва авторизовать приложение. Если жертва решит авторизовать приложение, злоумышленнику будет отправлен «токен», и личная конфиденциальная информация жертвы может быть раскрыта. Эта информация может включать адрес электронной почты, дату рождения, контакты и историю работы. Если «токен» обладает большей привилегией, злоумышленник может получить более конфиденциальную информацию, включая почтовый ящик, присутствие в Интернете и список друзей. Хуже того, злоумышленник может контролировать и управлять учетной записью пользователя . Даже если жертва не решит авторизовать приложение, он все равно будет перенаправлен на веб-сайт, контролируемый злоумышленником. Это может потенциально поставить под угрозу жертву.

Эта уязвимость была обнаружена доктором математики Ван Цзином. студент факультета физико-математических наук в технологическом университете Наньян в Сингапуре. Скрытое перенаправление является заметным недостатком безопасности, хотя и не представляет собой угрозы для Интернета, заслуживающей значительного внимания.

Социальная инженерия

Пользователям можно рекомендовать нажимать на неожиданные материалы различного типа по различным техническим и социальным причинам. Например, вредоносное вложение может маскироваться под доброкачественный связанный Документ Google .

В противном случае пользователи могут быть оскорблены фальшивой новостью , щелкнуть ссылку и заразиться.

Голосовой фишинг

Не все фишинговые атаки требуют фейкового сайта. Сообщения, которые, как утверждают, были из банка, говорили пользователям, чтобы они набирали телефонный номер относительно проблем с их банковскими счетами. После набора телефонного номера (принадлежащего фишеру и предоставленного службой голосовой связи по IP ) пользователю предлагалось ввести номера своей учетной записи и PIN-код. Vishing (голосовой фишинг) иногда использует поддельные данные идентификатора вызывающего абонента, чтобы создать впечатление, что звонки поступают из доверенной организации.

Фишинг в сеансе

Фишинг в сеансе - это форма потенциальной фишинг- атаки, которая основывается на том, что один сеанс просмотра веб-страниц может обнаружить присутствие другого сеанса (например, посещение веб- сайта онлайн-банкинга ) в том же веб-браузере , а затем запустить всплывающее окно. окно, которое притворяется открытым из целевого сеанса. Это всплывающее окно, которое пользователь теперь считает частью целевого сеанса, затем используется для кражи пользовательских данных так же, как и при других фишинговых атаках.

Преимущество фишинга во время сеанса для злоумышленника заключается в том, что ему не нужно каким-либо образом подвергать риску целевой веб-сайт, полагаясь вместо этого на комбинацию утечки данных в веб-браузере, способность веб-браузеров запускать активный контент, способность современных веб-браузеров поддерживать более одного сеанса одновременно и социальная инженерия пользователя.

Техника, которая использовала уязвимость в обработке Javascript основных браузеров, была найдена Амитом Кляйном, техническим директором поставщика безопасности Trusteer, Ltd. Последующие обновления безопасности для браузеров, возможно, сделали эту технику невозможной.

Другие техники

• Еще одна успешная атака - перенаправление клиента на законный веб-сайт банка, а затем размещение всплывающего окна с запросом учетных данных в верхней части страницы таким образом, что многие пользователи считают, что банк запрашивает эту конфиденциальную информацию.
• Tabnabbing использует преимущества просмотра вкладок, с несколькими открытыми вкладками. Этот метод автоматически перенаправляет пользователя на уязвимый сайт. Этот метод работает в противоположность большинству методов фишинга, поскольку он не ведет пользователя непосредственно на мошеннический сайт, а загружает поддельную страницу в одну из открытых вкладок браузера.

Методы противодействия фишингу