Спрямований фішинг – сучасна загроза безпеки



Поширення атак спрямованого фішингу пов'язано з їх ефективністю і слабку можливості традиційних рішень з безпеки протистояти їм. У той час як звичайна фишинговая атака розсилається масово, атаки спрямованого фішингу (spear phishing) проводяться проти конкретних суб'єктів.

Spear phishing
В даний час зростає відсоткова частка цільових фішингових атак, організованих через розсилку листів електронною поштою, в яких можна виділити конкретну організацію або групу осіб, Цільові користувачі отримують ретельно розроблені фішингові повідомлення, що змушують людину вводити конфіденційні персональні дані – типу логіна і пароля, які дають доступ до корпоративних мереж або баз даних з найважливішою інформацією. Крім запитував облікових даних, цільові фішингові листи можуть містити шкідливе ПЗ.

Спрямований фішинг став найбільш поширеним типом таргетованої атаки з однієї простої причини: ця техніка по-справжньому працює, вводячи в оману навіть тих користувачів, які серйозно підходять до питань безпеки. Вона створює для хакерів опорний пункт для проникнення в корпоративну мережу. За даними дослідження Check Point, проведеного серед більш 10 тисяч організацій по всьому світу, в 84% з них за останні 12 місяців був викачаний хоча б один заражений документ. Це відбувається тому, що зловмисникові досить просто отримати уявлення про компанію або про конкретних її співробітників в мережі Інтернет, а потім написати такий лист, яке спонукає навіть самого пильного працівника відкрити шкідливе вкладення і тим самим ініціювати хакерську атаку.

Цілі атаки
Для визначення списку цілей зловмисники можуть скористатися кількома шляхами:
  • отримати список співробітників з сайту (рівень довіри інформації — дуже високий);
  • отримати список співробітників з допомогою соціотехнічних технік — дзвінок або звернення по пошті (рівень довіри інформації — дуже високий);
  • отримати ПІБ з метаданих документів, розміщених на сайті (рівень довіри інформації — високий);
  • linkedin (рівень довіри інформації — середній);
  • пропарсить соцмережі (рівень довіри інформації — низький).
Чим вище рівень довіри інформації, тим вище ймовірність того, що цей суб'єкт безпосередньо пов'язаний з зацікавленою організацією.

Після попереднього збору списку ймовірних співробітників організації проводиться збір даних про їх сфері діяльності, зонах відповідальності та горизонтальних зв'язках. Також проводиться пошук точки входу для проведення атаки на обраних суб'єктів. Після аналізу отриманої інформації можна складати сценарій атаки.

Психологія атаки
Націлена фишинговая атака завжди містить опрацьовані социотехнические методи і прийоми маніпулювання людською свідомістю.
З точки зору психології атака методами соціальної інженерії завжди йде в обхід аналітичних інструментів розуму. Вона діє переважно на рівні емоційної сфери, звично подавляемой у більшості людей, зайнятих розумовою працею. Саме тому прийоми соціальної інженерії часто завершуються успіхом навіть у тому випадку, коли інтелект атакуючого помітно нижче, ніж у жертви.

Високий IQ мало перешкоджає обману, оскільки методи СІ б'ють по шаблонам поведінки, глибинним страхам і виробленим під тиском мікросоціуму пристосувальних рефлексам. Щоб розвинутий блок критичного сприйняття жертви не заважав атаці, його просто перевантажують потоком даних, переводячи на аналіз другорядної інформації, або використовують фактор терміновості, щоб вимкнути зовсім і змусити діяти необдумано. Все це схоже на атаку ключових вузлів нейромережі.

Один з базових прийомів соціальної інженерії— створення дефіциту часу, певна подія, на яку жертва повинна негайно зреагувати. Термінові рішення складно приймати саме тому, що доводиться діяти в умовах браку достовірної інформації. У таких ситуаціях колись радитися і перевіряти всі повідомлені атакуючим дані, тому жертва починає діяти, керуючись сильними почуттями: бажанням допомогти, прагненням отримати визнання або скоріше звільнитися від несподіваної проблеми. Також часто вдається зіграти на прагненні легкої наживи, страху втратити гроші, роботу, результати праці або репутацію.

Жертві можуть сказати в лоб, що ситуація строкова, або дозволити їй самостійно прийти до такого висновку. Друге ефективніше, так як для людини це буде власна думка, яка не викликає сумнівів. Саме на неї він буде спиратися у своїх мінімальних міркуваннях, все більше переймаючись довірою до почутої легендою.

Приклад
Об'єкт атаки організація ТОВ «Ромашка». З сайту компанії отримані дані про керівника компанії, секретарі та системному адміністраторі. З допомогою телефонного дзвінка було з'ясовано ПІБ та email головного бухгалтера. З бази даних ОГРН/ЕГРЮЛ були отримані повні реквізити компанії.

Об'єктами атаки обрані головний бухгалтер та секретар, під яких були задіяні наступні сценарії атаки (вектор — електронна пошта):
Головний бухгалтер:
  • Від: нейтральний адресу, типу %surname%%birthyear%@mail.ru
  • Тема листа: FWD акт звірки
  • Текст листа: Добрий день, ПІБ. Згідно попередньої домовленості висилаю акт звірки.
  • Додаток: Акт звірки ТОВ Ромашка.xls
Секретар:
  • Від: info@msk.arbitr.ru (підроблений адреса)
  • Тема листа: Позовна заява про стягнення боргу
  • В Арбітражний суд Москви подано позовну заяву №23401-16 про стягнення боргу з ТОВ «Ромашка», ЕГРЮЛ: ХХХХХХХХХХХХ, ІПН: ХХХХХХХХХХХ, Юридична адреса: свідоцтво про реєстрацію: ХХХХХХ на підставі позовної заяви контрагента по стягненню заборгованості за надані послуги.
  • Позовні вимоги:
  • У відповідності зі ст. 395 ГК РФ за користування чужими коштами внаслідок їхнього неправомірного утримання, відхилення від їхнього повернення, іншої прострочення в їхній сплаті або безпідставного отримання або заощадження за рахунок іншої особи підлягають сплаті відсотки на суму цих коштів.
  • Додаток: судове рішення 23401-16.docx
Атакуючим засобом може послужити т. н. офісний бекдор. Системного адміністратора в момент атаки можна «позичити» атакою на мережевий периметр, DoS/DDoS атакою сайту і т. д.

Тренінг персоналу
У багатьох компаніях проводяться тренінги з підвищення обізнаності персоналу до социотехническим атак.

Технічні заходи захисту від фішингу, такі як фільтрація та аналіз поштового/веб трафіку, обмеження програмної середовища, заборона запуску вкладень — досить ефективні, але вони не можуть протистояти новим загрозам і, що більш важливо, не можуть протистояти людській дурості допитливості і ліні. Бували випадки, коли користувач, будучи не в змозі відкрити/запустити шкідливий вміст на робочому місці пересилав його на свій домашній комп'ютер і запускав, з усіма витікаючими… Тому, яку б грунтовної не була система технічного захисту — не варто забувати про такий важливий фактор як навчання користувача.

Періодичні інструктажі та інформаційні розсилки є важливою складовою навчання персоналу, але, як показує практика, їх ефективність значно нижче, ніж навчання співробітників на власних помилках, враховуючи фактор залученості в процес.

Найпростіша система, що дозволяє провести тестування і тренінг персоналу щодо виявлення фішингових атак виглядає наступним чином:
  • Підготовка сценарію і шаблонів листів;
  • Розсилка фішингових листів користувачам;
  • Перенаправлення відреагували користувачів на спеціалізовану сторінку з попередженням;
  • Статистичний облік ефективності атаки.

Скріншот «повідомляє» сторінки, згенерований фреймворком sptoolkit. В даний момент проект заморожений.

Для полегшення такого роду навчань» можна скористатися спеціалізованим фреймворком gophish. Існують і інші утиліти для полегшення завдання социоинженеру, наприклад setoolkit, але вони володіють надлишковим функціоналом і призначені скоріше для активної атаки. Також є кілька онлайн сервісів, але вони, в основному, англомовні і не підходять для використання серед російськомовних цілей фішингової компанії.

Gopgish — мультиплатформовий фреймворк з зручним веб-інтерфейсом і найпростішим розгортанням. Цей фреймворк розроблений на Golang і найімовірніше не запрацює на шаред-хостингу, майте це на увазі.

З його допомогою можна створити фішингову компанію для певної групи користувачів:





Для розсилки можна застосовувати різноманітні шаблони. Для оцінки ефективності розсилки використовується трекінг система:





На фішингової сторінці можна «збирати» введені користувачами дані:







Після проведення компанії можна оцінити її ефективність:





Заходи безпеки
В якості заходів захисту необхідно встановити контроль за поштовими вкладеннями і посиланнями, проводити тренінги з персоналом про наявність нових загроз, дотримуватися заходів обережності і повідомляти про всіх підозрілих випадках технічний персонал.

Статті по темі:
Фішинг в корпоративному середовищі
Приклади фішингових повідомлень електронної пошти

Цифрова безпека: що потрібно знати про фішинг
31 березня (четвер) пройде вебінар Теплиці соціальних технологій разом з Лукою Сафоновим, технічним директором компанії Pentestit. Мета вебінару – підвищити обізнаність користувачів про соціотехнічних методи атаки на користувачів Мережі.
Запрошуємо на вебінар слухачів, яким цікава тема цифровий безпеки і захисту від фішингу. Вебінар відбудеться 31 березня 2016 року, початок о 12-00, час московське. Участь у вебінарі безкоштовна.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.