- Сообщения
- 50
- Реакции
- 103
Приветствую, кибер-самураи!
Сегодняшняя статья будет посвящена тому, как избежать ловушек фишинга и не позволить злоумышленникам завладеть вашими данными, деньгами и прочим.
Разберём два типа атак: таргетированную и массовую. В первом случае атакующий нацелен именно на вас. Обычно такая атака осуществляется после предварительной подготовки. Используется базовый OSINT для разведки, после чего составляется письмо или сообщение, которое отправляется вам в личные сообщения. Часто письмо формируется так, чтобы заставить вас быстро перейти по ссылке, скачать файл, срочно занять деньги и так далее — всё зависит от креативности злоумышленника.
Второй вариант — это массовая рассылка. Она может также основываться на личных данных. Например, на почту приходит сообщение о том, что "всем жильцам дома номер пять необходимо срочно сменить пароли от Wi-Fi". Такие рассылки могут охватывать сотни человек, и рассчитывают на то, что кто-то обязательно клюнет.
Я приведу пример защиты от атаки на основе собственного кейса, когда я поднял сервер с фишинговой страницей, используя GoPhish. Сначала данные были собраны с помощью Harvester, после чего началась подготовка к атаке. Были подготовлены фишинговые письма с документом Word. В документе был встроен макрос, который позволял подключиться к машине жертвы и загрузить на неё stage трояна. Понять, открыла ли жертва документ, было легко — в него встраивалось "битое" изображение, которое пыталось подгрузиться, подключаясь к серверу GoPhish. Как только на сервер приходил сигнал, становилось понятно, что жертва открыла документ, то есть письмо было прочитано.
Итак, почему же атака удалась? Во-первых, потому что письмо было составлено так, что человек чувствовал давление времени. Подобный текст — первый признак того, что вас пытаются принудить к какому-то решению. Если на вас давят эмоции, будьте готовы — вас пытаются обмануть. Следующий момент — это SSL-сертификаты. Когда вам присылают ссылку на фишинговый сайт, вполне возможно, что вы увидите такой значок:
Это означает, что у сайта нет SSL-сертификата. Однако современный фишинг давно использует SSL-сертификаты на своих сайтах, иначе их было бы слишком легко раскрыть. Следующее, на что стоит обратить внимание, — это доменное имя. Возьмём, к примеру, доменное имя rutor.com и предположим, что это оригинальное название сайта, на котором у вас есть аккаунт. Злоумышленник может отправить вам похожую ссылку, например, rutor.online, rutor.kz, rutor.ru и так далее. Домен будет очень похожим, и вы вполне можете пропустить этот момент, зайдя на фишинговый сайт.
Попав на такую страницу, вы, скорее всего, увидите поле для логина. Часто на таких страницах стоит простейший кейлоггер, и как только вы введёте свои данные, вас перекинет на реальный сайт, и будет казаться, что вы как обычно вошли в свой аккаунт. На самом деле ваши данные уже отправлены на сервер злоумышленника. Избежать этого в теории можно с помощью двухфакторной аутентификации (2FA), но и тут не всё так просто. У Google есть шестизначный код, который приходит в приложение. Если фишинговая страница сделана грамотно, злоумышленник сможет перехватить введённый вами код двухфакторной аутентификации, чтобы он не ушёл на реальный сервер, и использовать его сам для входа. Расписывать нюансы, как это делать, я, конечно, не стану — мы здесь не о том, как атаковать, а о том, как защищаться.
Частой ошибкой является нажатие на гиперссылку. Покажу на примере Telegram, так как приложение отображает ссылку на весь экран, прежде чем даст возможность по ней перейти.
Вот как она выглядит в сообщении:
А вот куда ведёт ссылка на самом деле:
Если Telegram показывает ссылку на весь экран, то сообщения в почте, на форумах и т.п. отображают реальную ссылку в нижнем левом углу (в зависимости от браузера). Обращайте на это внимание, иначе риск попасть в лапы злоумышленника резко возрастает.
Напоследок разберу ещё один реальный кейс с попыткой фишинговой атаки на меня. Это произошло в начале моей работы на RuTOR, когда я только проходил админскую стажировку. Всё шло как обычно, пока мне не написал главный администратор телеграм-чата форума. Завязался разговор, который начался с обсуждения темы кардинга и его раздела на форуме, но вскоре перешёл в совершенно иное русло. В какой-то момент мой собеседник начинает спрашивать, не могу ли я занять 100 долларов до завтра. Как ты понимаешь, это был не настоящий главный администратор чата. Вот на какие моменты стоит обратить внимание:
1. Человек готовился к этой атаке. Он сидел в чатах, общался с админами с фейковых аккаунтов, чтобы понять их манеру речи.
2. Он начал атаку в тот момент, когда главный администратор действительно мог быть в сети.
3. Юзернейм был скопирован, чтобы максимально мимикрировать под реальный аккаунт.
4. Использовалась та же аватарка, аккаунт выглядел один в один как реальный.
Из этого следует, что всегда нужно проверять пользователя, с которым вы переписываетесь. Любые просьбы занять деньги, давление на жалость и т.п. — всё это вполне заслуженно может вызывать у вас подозрения. Напоследок скажу о самой редкой, но всё же существующей теме скама. С вами общаются очень долго, кидают в личные сообщения картинки, ссылки на видео и т.п., и в какой-то момент одна из таких ссылок ведёт вас на вредоносный сайт.
Сегодняшняя статья будет посвящена тому, как избежать ловушек фишинга и не позволить злоумышленникам завладеть вашими данными, деньгами и прочим.
Разберём два типа атак: таргетированную и массовую. В первом случае атакующий нацелен именно на вас. Обычно такая атака осуществляется после предварительной подготовки. Используется базовый OSINT для разведки, после чего составляется письмо или сообщение, которое отправляется вам в личные сообщения. Часто письмо формируется так, чтобы заставить вас быстро перейти по ссылке, скачать файл, срочно занять деньги и так далее — всё зависит от креативности злоумышленника.
Второй вариант — это массовая рассылка. Она может также основываться на личных данных. Например, на почту приходит сообщение о том, что "всем жильцам дома номер пять необходимо срочно сменить пароли от Wi-Fi". Такие рассылки могут охватывать сотни человек, и рассчитывают на то, что кто-то обязательно клюнет.
Я приведу пример защиты от атаки на основе собственного кейса, когда я поднял сервер с фишинговой страницей, используя GoPhish. Сначала данные были собраны с помощью Harvester, после чего началась подготовка к атаке. Были подготовлены фишинговые письма с документом Word. В документе был встроен макрос, который позволял подключиться к машине жертвы и загрузить на неё stage трояна. Понять, открыла ли жертва документ, было легко — в него встраивалось "битое" изображение, которое пыталось подгрузиться, подключаясь к серверу GoPhish. Как только на сервер приходил сигнал, становилось понятно, что жертва открыла документ, то есть письмо было прочитано.
Итак, почему же атака удалась? Во-первых, потому что письмо было составлено так, что человек чувствовал давление времени. Подобный текст — первый признак того, что вас пытаются принудить к какому-то решению. Если на вас давят эмоции, будьте готовы — вас пытаются обмануть. Следующий момент — это SSL-сертификаты. Когда вам присылают ссылку на фишинговый сайт, вполне возможно, что вы увидите такой значок:
Это означает, что у сайта нет SSL-сертификата. Однако современный фишинг давно использует SSL-сертификаты на своих сайтах, иначе их было бы слишком легко раскрыть. Следующее, на что стоит обратить внимание, — это доменное имя. Возьмём, к примеру, доменное имя rutor.com и предположим, что это оригинальное название сайта, на котором у вас есть аккаунт. Злоумышленник может отправить вам похожую ссылку, например, rutor.online, rutor.kz, rutor.ru и так далее. Домен будет очень похожим, и вы вполне можете пропустить этот момент, зайдя на фишинговый сайт.
Попав на такую страницу, вы, скорее всего, увидите поле для логина. Часто на таких страницах стоит простейший кейлоггер, и как только вы введёте свои данные, вас перекинет на реальный сайт, и будет казаться, что вы как обычно вошли в свой аккаунт. На самом деле ваши данные уже отправлены на сервер злоумышленника. Избежать этого в теории можно с помощью двухфакторной аутентификации (2FA), но и тут не всё так просто. У Google есть шестизначный код, который приходит в приложение. Если фишинговая страница сделана грамотно, злоумышленник сможет перехватить введённый вами код двухфакторной аутентификации, чтобы он не ушёл на реальный сервер, и использовать его сам для входа. Расписывать нюансы, как это делать, я, конечно, не стану — мы здесь не о том, как атаковать, а о том, как защищаться.
Частой ошибкой является нажатие на гиперссылку. Покажу на примере Telegram, так как приложение отображает ссылку на весь экран, прежде чем даст возможность по ней перейти.
Вот как она выглядит в сообщении:
А вот куда ведёт ссылка на самом деле:
Если Telegram показывает ссылку на весь экран, то сообщения в почте, на форумах и т.п. отображают реальную ссылку в нижнем левом углу (в зависимости от браузера). Обращайте на это внимание, иначе риск попасть в лапы злоумышленника резко возрастает.
Напоследок разберу ещё один реальный кейс с попыткой фишинговой атаки на меня. Это произошло в начале моей работы на RuTOR, когда я только проходил админскую стажировку. Всё шло как обычно, пока мне не написал главный администратор телеграм-чата форума. Завязался разговор, который начался с обсуждения темы кардинга и его раздела на форуме, но вскоре перешёл в совершенно иное русло. В какой-то момент мой собеседник начинает спрашивать, не могу ли я занять 100 долларов до завтра. Как ты понимаешь, это был не настоящий главный администратор чата. Вот на какие моменты стоит обратить внимание:
1. Человек готовился к этой атаке. Он сидел в чатах, общался с админами с фейковых аккаунтов, чтобы понять их манеру речи.
2. Он начал атаку в тот момент, когда главный администратор действительно мог быть в сети.
3. Юзернейм был скопирован, чтобы максимально мимикрировать под реальный аккаунт.
4. Использовалась та же аватарка, аккаунт выглядел один в один как реальный.
Из этого следует, что всегда нужно проверять пользователя, с которым вы переписываетесь. Любые просьбы занять деньги, давление на жалость и т.п. — всё это вполне заслуженно может вызывать у вас подозрения. Напоследок скажу о самой редкой, но всё же существующей теме скама. С вами общаются очень долго, кидают в личные сообщения картинки, ссылки на видео и т.п., и в какой-то момент одна из таких ссылок ведёт вас на вредоносный сайт.
