Фішинг
Фішинг – це сукупність методів, що дозволяють обдурити користувача та змусити його розкрити свій пароль, номер кредитної картки та іншу конфіденційну інформацію. Найчастіше зловмисники видають себе за представників відомих організацій в електронних листах чи телефонних дзвінках.
Все про фішинг
Що таке фішинг?
Фішинг (від англ. fishing – риболовля) являє собою протиправну дію, що вчиняється з метою змусити ту чи іншу особу поділитися своєю конфіденційною інформацією, наприклад паролем або номером кредитної картки. Як і звичайні рибалки, що використовують безліч способів лову риби, підступні майстри фішингу також застосовують ряд методів, що дозволяють «зловити на гачок» свою жертву, однак одна тактика фішингу є найпоширенішою. Жертва отримує електронний лист або текстове повідомлення, відправник якого видає себе за певну особу чи організацію, яким жертва довіряє, наприклад, за колегу по роботі, співробітника банку або за представника державної установи. Коли нічого не підозрюючи одержувач відкриває цей електронний лист або повідомлення, то він виявляє лякаючий текст, спеціально складений таким чином, щоб придушити здоровий глузд і навіяти страх. Текст вимагає від жертви перейти на веб-сайт і негайно виконати певні дії, щоб уникнути небезпеки або серйозних наслідків.
Якщо користувач «клює на наживку» і переходить за посиланням, він потрапляє на веб-сайт, що імітує той чи інший законний інтернет-ресурс. На цьому веб-сайті користувача просять “увійти в систему”, використовуючи ім’я свого облікового запису та пароль. Якщо він виявляється довірливим і погоджується, то введені дані потрапляють безпосередньо до зловмисників, які потім використовують їх для крадіжки конфіденційної інформації або коштів з банківських рахунків; крім того, вони можуть продавати отримані особисті дані на чорному ринку.
«Фішинг є найпростішим способом кібератаки, який, тим не менш, є одним із найнебезпечніших і найефективніших».
На відміну від інших загроз, що зустрічаються на просторах Інтернету, фішинг не потребує глибоких технічних знань. Адам Куява, директор Malwarebytes Labs, зауважив: «Фішинг є найпростішим способом кібератаки, який, проте, є одним із найнебезпечніших і найефективніших. Відбувається це тому, що об’єктом атаки стає найпотужніший, але водночас і найвразливіший комп’ютер у світі – людський розум». Фішингові шахраї не намагаються скористатися технічними вразливостями в операційній системі пристрою, вони вдаються до методів так званої соціальної інженерії. Від Windows і iPhone до Mac і Android – жодна операційна система не має повного захисту від фішингу, хоч би якими потужними були її антивірусні засоби. Насправді зловмисники часто вдаються до фішингу, тому що не можуть знайти будь-які технічні вразливості. Навіщо витрачати час на зламування багаторівневого захисту, коли можна обманним шляхом змусити користувача добровільно розкрити свої дані? У більшості випадків найслабшою ланкою у захисті системи є не помилка, загублена глибоко в програмному коді, а сам користувач, який не звертає уваги на відправника чергового електронного листа.
Історія фішингу
Походження терміна «фішинг» досить просто простежити. Фішингова атака багато в чому схожа на звичайний лов риби. Спочатку потрібно обзавестися приманкою, здатною ввести жертву в оману, а потім закинути вудку і чекати, доки «рибка» почне клювати. В англійській мові поєднання слів “fishing” (рибалка) і “phony” (обман) призвело до того, що букву “f” замінив диграф “ph”, в результаті термін, що позначає шкідливі дії в Інтернеті, набув написання “phishing”. Однак деякі джерела вказують, що його походження може бути дещо іншим.
У 1970-х роках сформувалася субкультура, представники якої використовували низку низькотехнологічних методів для зламування телефонних мереж. Ці ранні хакери отримали назву «phreaks» (фрикери), що є комбінацією слів «phone» (телефон) і «freak» (шахрай). У той час кількість комп’ютерів, об’єднаних у мережу, була невеликою, тому метою фрикінгу було здійснення безкоштовних міжнародних дзвінків або дзвінків на номери, які не внесені до телефонних книг.
«Фішинг є найпростішим способом кібератаки, який, тим не менш, є одним із найнебезпечніших і найефективніших».
Ще до того, як термін «фішинг» міцно узвичаївся, методи фішингу були докладно описані в доповіді та презентації, які підготувала в 1987 році компанія Interex (International HP Users Group).
Використання цього терміну починається в середині 1990-х років, а його перша згадка приписується сумнозвісному спамеру і хакеру Хану Сі Сміту (Khan C Smith). Крім того, в Інтернеті зберігся перший випадок публічної згадки терміна “фішинг”. Це сталося 2 січня 1996 року в Usenet – у групі новин AOHell. На той момент компанія America Online (AOL) була найбільшим інтернет-провайдером, який щодня обслуговує мільйони підключень.
Зрозуміло, популярність компанії AOL неодмінно зробила її метою шахраїв. Хакери та розповсюджувачі піратських програм використовували її ресурси для обміну повідомленнями, а також для фішингових атак на комп’ютери законослухняних користувачів. Коли AOL вжила заходів та закрила групу AOHell, зловмисники взяли на озброєння інші методи. Вони надсилали користувачам мереж AOL повідомлення, де представлялися співробітниками AOL і просили користувачів перевірити дані своїх облікових записів чи передати їм свої платіжні реквізити. У результаті проблема стала настільки гострою, що компанія AOL почала додавати попередження до кожного електронного листа, особливо вказуючи, що жоден співробітник AOL не проситиме повідомити йому пароль або платіжні реквізити користувачів.
“Соціальні мережі стають основним об’єктом фішингових атак”.
З настанням 2000-х років фішингові шахраї почали звертати увагу на вразливості систем електронних платежів. Клієнти банків і платіжних систем стали дедалі частіше ставати жертвами фішингу, а деяких випадках – як показало подальше розслідування – зловмисникам навіть вдавалося як ідентифікувати своїх жертв, а й дізнаватися, яким банком вони користувалися. Соціальні мережі також стали однією з головних цілей фішингу через свою привабливість для шахраїв: особиста інформація, що публікується в соціальних мережах, є чудовою підмогою для крадіжки ідентифікаційних даних.
Кіберзлочинці реєстрували десятки доменів, які настільки витончено імітували такі ресурси, як eBay і PayPal, що багато не надто уважних користувачів просто не помічали підміни. Клієнти системи PayPal отримували фішингові електронні листи (що містять посилання на підставний веб-сайт) із проханням оновити номер кредитної картки та інші персональні дані. У вересні 2003 року про першу фішингову атаку проти банку повідомив журнал The Banker (що належить компанії The Financial Times Ltd.).
У середині 2000-х років на чорному ринку можна було замовити «під ключ» шкідливе програмне забезпечення для фішингу. У той же час, хакери почали координувати свої дії, щоб організовувати все більш витончені фішингові атаки. Важко оцінити навіть приблизні втрати від успішних фішингових атак: як повідомляв у 2007 році звіт компанії Gartner , за період із серпня 2006 року до серпня 2007 року близько 3,6 мільйона дорослих користувачів втратили 3,2 мільярда доларів.
«У 2013 році було викрадено 110 мільйонів записів кредитних карток та облікових даних, що належать клієнтам торгової мережі Target».
У 2011 році шахраї фішингу навіть нібито знайшли державних спонсорів, коли китайська влада запустила передбачувану фішингову кампанію , яка була спрямована проти облікових записів Gmail, що належать високопосадовцям і військовим у США і Південній Кореї, а також китайським політичним активістам.
Можливо, найвідомішою фішинговою атакою став випадок, коли у 2013 році було викрадено 110 мільйонів записів кредитних карток та облікових даних, що належать клієнтам торгової мережі Target. Виною всьому виявився скомпрометований обліковий запис одного субпідрядника.
Ще більшу погану славу здобула фішингова атака, зроблена в першому кварталі 2016 року хакерською групою Fancy Bear (діяльність якої пов’язують із російськими спецслужбами та військовою розвідкою). Ця атака була спрямована на адреси електронної пошти Національного комітету Демократичної партії США. Зокрема, Джон Подеста, керівник агітаційної кампанії Хілларі Клінтон на президентських виборах 2016 року, заявив, що зловмисники зламали його обліковий запис Gmail і викрали листування, оскільки він попався на найстаріший шахрайський прийом: йому на електронну пошту надійшов фішинговий лист. облікового запису було скомпрометовано (тому потрібно «натиснути тут», щоб змінити його).
У 2017 році було здійснено масовану фішингову атаку на Google і Facebook, що змусила бухгалтерські служби цих компаній перерахувати загалом понад 100 мільйонів доларів на закордонні банківські рахунки хакерів.
Типи фішингових атак
Незважаючи на численні варіації, загальною рисою всіх атак фішингу є використання підробки з метою присвоєння тих чи інших цінностей. Ось лише деякі основні категорії:
Адресний фішинг
У той час як більшість фішингових кампаній припускають масове розсилання електронних листів якомога більшою кількістю користувачів, адресний фішинг відрізняється спрямованим характером. Цим способом зловмисники атакують конкретну особу або організацію, часто застосовуючи спеціально підібраний контент, який, як їм видається, вплине на жертву найбільше. Для здійснення подібної атаки необхідно провести ретельну підготовку, щоб дізнатися про імена, посади, адреси електронної пошти та іншу супутню інформацію. Хакери перевертають вгору дном весь Інтернет, зіставляючи цю інформацію з усіма доступними відомостями про посадові відносини жертви: їх, наприклад, цікавлять імена колег та коло їхніх обов’язків у відповідній організації. Здобувши всі ці дані, зловмисники становлять правдоподібний лист.
Зокрема, фішингова атака може бути націлена на співробітника, обов’язки якого припускають авторизацію платежів. Хакери надсилають йому лист нібито від високопосадовця організації із зазначенням здійснити великий платіж на користь цієї особи або на користь постачальника компанії (проте зловмисне посилання, що додається, веде не до платіжної системи, а на хакерський веб-сайт).
Адресний фішинг становить значну небезпеку для бізнесу ( і держави ), оскільки він може призвести до значних збитків. Згідно зі звітом, складеним у 2016 році за підсумками вивчення цієї проблеми за участю низки підприємств, на адресний фішинг припадало 38% кібератак, яких вони піддавали протягом 2015 року. Щодо компаній у США, які стали жертвами адресного фішингу, то середня величина збитків склала 1,8 мільйона доларів на одну успішну атаку.
«Багатослівне фішингове лист від невідомої особи, яка називає себе нігерійським принцем, є одним із найраніших і довгоживущих проявів подібних атак».
Клоновий фішинг
Цей тип атаки передбачає, що зловмисники копіюють (клонують) раніше доставлене законне повідомлення, яке містить посилання чи вкладення. Потім шахрай змінює посилання або файли, що додаються, на шкідливі об’єкти, що видаються за справжні. Користувачі, які нічого не підозрюють, натискають на посилання або відкривають вкладення, чого часто буває достатньо для хакерів, щоб перехопити контроль над комп’ютером. Після цього зловмисники можуть маскуватися під надійних відправників та розсилати від імені жертви аналогічні електронні листи іншим користувачам у межах цієї організації.
Обман 419/нігерійські листи
Багатослівний фішинговий лист від невідомої особи, яка називає себе нігерійським принцом, є одним із найраніших і довгоживущих проявів подібних атак. Венді Замора, контент-директор Malwarebytes Labs, зазначила: «Нерідко фішингове розсилання приходить від імені нігерійського принца, який стверджує, що він є співробітником уряду або членом королівської родини і йому терміново потрібна допомога, щоб перевести з Нігерії кілька мільйонів доларів. Зазвичай такий електронний лист позначається як терміновий або особистий, а його відправник просить повідомити номер банківського рахунку, на який він міг би перерахувати гроші для зберігання».
Іноді класичні нігерійські листи набувають досить цікавого змісту. Наприклад, у 2016 році британський веб-сайт Anorak повідомив, що його редакція отримала електронний лист від якогось доктора Бакаре Тунде, який представився менеджером проектів у галузі космонавтики, який працює в Нігерійському національному агентстві з космічних досліджень. Доктор Тунде стверджував, що його двоюрідний брат, майор авіації Абака Тунде, ось уже понад 25 років перебуває на старій радянській космічній станції. Але всього за 3 мільйони доларів менеджери корпорації Роскосмос погодилися організувати рейс пілотованого корабля та повернути нігерійського космонавта на Землю. Від одержувача такого листа потрібно «лише» повідомити дані свого банківського рахунку, щоб нігерійські фахівці змогли перерахувати необхідну суму своїм російським колегам.
Випадковим чином ця фішингова атака також стала відома як « обман 419 ». Це число відповідає номеру статті у кримінальному кодексі Нігерії, яка передбачає покарання за шахрайство.
Телефонний фішинг
Фішингові атаки можуть відбуватися за допомогою звичайного телефону – у цьому випадку вони іноді позначаються як голосовий фішинг або ” вішинг “: шахрай дзвонить своїй жертві і представляється співробітником місцевого банку, поліції або податкового управління. Потім він залякує жертву, повідомляючи про будь-яку проблему і наполягаючи на тому, що її необхідно вирішити негайно, а для цього потрібно повідомити дані банківського рахунку або виплатити штраф. Зазвичай шахраї вимагають перерахувати гроші у безготівковий спосіб або за допомогою передплаченої картки, щоб їх не можна було відстежити.
SMS-фішинг (або «змішинг») – це злісний брат-близнюк вишинга, що здійснює ті ж шахрайські дії, але тільки за допомогою SMS-повідомлень (іноді додаючи до них шкідливі посилання).
«В електронному листі одержувач знаходить пропозицію, яка виглядає надто вигідною, щоб бути правдою».
Як розпізнати фішингову атаку?
Розпізнати фішингову атаку не завжди легко, але Вам допоможуть кілька простих порад, трохи дисципліни та здоровий глузд. Звертайте увагу на все, що здається дивним та незвичайним. Запитайте себе, чи контекст повідомлення не є підозрілим. Довіряйте своїй інтуїції та не давайте себе залякати. Фішингові атаки часто використовують страх, щоб придушити Вашу здатність мислити холоднокровно.
Ось ще кілька ознак фішингу:
В електронному листі одержувач знаходить пропозицію, яка виглядає надто вигідною, щоб бути правдою. У ньому може повідомлятись, що Ви виграли в лотерею, отримали дорогий приз або якийсь унікальний предмет.
- Ви знаєте відправника повідомлення, але це людина, з якою Ви не спілкуєтесь. Навіть якщо ім’я відправника Вам відоме, але він не відноситься до Ваших постійних контактів, це вже має викликати підозру – особливо в тому випадку, якщо вміст листа ніяк не пов’язаний із Вашими звичайними посадовими обов’язками. Аналогічно варто задуматися, якщо в полі «Копія» вказано вторинні одержувачі листа, яких Ви зовсім не знаєте, або група співробітників з інших підрозділів Вашої організації.
- Текст повідомлення вселяє страх. Будьте пильні, якщо текст електронного листа носить загрозливий або тривожний характер і прагне створити атмосферу невідкладної ситуації, закликаючи Вас терміново виконати ті чи інші дії, наприклад, перейти за посиланням, перш ніж Ваш вчений запис буде заблокований. Помнете, що відповідальні організації ніколи не просять клієнтів передати персональні дані через Інтернет.
- Повідомлення містить несподівані або незвичайні вкладення. Такі вкладення можуть містити шкідливе програмне забезпечення, програми-вимагачі або інші інтернет-загрози.
- Повідомлення містить посилання, що виглядають дивно. Навіть якщо Ваше чуття не виявило описані вище ознаки, все одно не варто сліпо довіряти гіперпосиланням вбудованим у лист. Наведіть курсор на посилання, щоб переглянути його URL-адресу. Придивіться, чи не закралося в гіперпосилання ледь помітне спотворене написання відомого веб-сайту, якщо так, то це явна ознака підробки. Краще вводити URL-адресу вручну, ніж натискати на вбудоване в текст посилання.
Ось приклад фішингової атаки, яка імітує повідомлення від платіжної системи PayPal, що містить прохання натиснути кнопку «Confirm Now» (Підтвердити зараз). Якщо навести курсор на цю кнопку, то браузер відобразить справжню URL-адресу сторінки переходу – вона позначена червоним прямокутником.
Ось зображення ще одного фішингового повідомлення, що маскується під повідомлення сервісу Amazon. Зверніть увагу на загрозу закрити обліковий запис, якщо відповідь не з’явиться протягом 48 годин.
Перехід за посиланням призводить до цієї форми, що пропонує повідомити ті дані, які відкриють зловмисникам шлях до викрадення Ваших цінностей.
Як захиститись від фішингу?
Як говорилося вище, фішинг є загрозою, яка з однаковою ймовірністю може з’явитися на настільному комп’ютері, ноутбуці, планшетному комп’ютері або смартфоні. Більшість інтернет-браузерів перевіряють посилання на благонадійність, проте першою лінією оборони від фішингу має стати Ваша здатність оцінювати ситуацію. Навчіться розпізнавати ознаки фішингу та дотримуйтесь елементарних принципів безпеки, коли перевіряєте електронну пошту, читаєте записи у соціальній мережі Facebook або граєте в онлайн-гру.
Наш колега Адам Куява сформулював кілька найважливіших правил, які допоможуть Вам не потрапити на гачок шахраїв:
- Не відкривайте листи від незнайомих відправників.
- Натискайте на посилання всередині електронного листа лише в тому випадку, якщо ви точно знаєте, куди воно веде.
- Отримавши лист від сумнівного відправника, перейдіть за посиланням вручну – введіть адресу законного веб-сайту в адресний рядок браузера за допомогою клавіатури, так Ви забезпечите для себе ще один рівень безпеки.
- Перевірте цифрові сертифікати веб-сайтів.
- Якщо вас просять розкрити конфіденційні дані, переконайтеся, що URL-адреса веб-сторінки починається з «HTTPS», а не просто з «HTTP». Літера “S” означає “secure” (безпечно), тобто підключення з такою адресою є захищеним. Разом з тим це не дає гарантії, що веб-сайт є законним, проте більшість законних веб-сайтів використовують саме протокол HTTPS через його більшу безпеку. При цьому навіть законні веб-сайти, що використовують протокол HTTP, уразливі перед хакерськими атаками.
- Якщо Ви підозрюєте, що отриманий електронний лист був відправлений шахраєм, введіть ім’я відправника або уривок тексту листа в пошукову систему – і Ви побачите, чи пов’язані з цим листом фішингові атаки.
- Наведіть курсор на посилання, щоб переконатися в їх надійності.
Як завжди, ми також рекомендуємо використовувати програму, здатну протистояти шкідливому ПЗ. Більшість програмних засобів кібербезпеки здатні виявляти небезпечні посилання, що маскуються, і вкладення, так що Ваша інформація не потрапить до рук зловмисників, навіть якщо Ви вчасно не відчуєте недобре.
Такі фішингові атаки насправді призвели мене до того, що тепер я перевіряю кожне листа, впевнено перевіряю всі посилання та відхилюю будь-які сумніви з проханнями поділитися конфіденційними даними. Це все може бути небезпечно!