Злоумышленники, рассылающие «нигерийские» письма, стараются реагировать на происходящие в мире события, будь то землетрясение в Мексике или наводнение в Сочи, беспорядки в США или пандемия COVID-19 – такие катаклизмы не остаются без их внимания. Они рассылают сообщения от имени людей, чьи родственники погибли во время катастроф, и просят оказать помощь в получении оставленного ими наследства[118].
Фишеры постоянно совершенствуют свои приемы. Появилось понятие «фарминг». Оно также означает кражу персональных данных пользователей, но не через почту, а непосредственно через официальные сайты. Злоумышленники перехватывают и модифицируют DNS-запросы и меняют адреса оригинальных сайтов на поддельные, и пользователи перенаправляются на сайты хакеров. Такой способ еще более опасен, так как пользователь практически не способен обнаружить подделку.
Также мошенники берут на вооружение и технологии, разрабатываемые с целью повышения уровня безопасности. Так, протокол HTTPS, призванный гарантировать подлинность посещаемого ресурса, в последнее время используется и кибермошенниками. Согласно отчету[119] компании Purplesec, уже в 2019 г. 50 % всех фишинговых сайтов были размещены на доменах HTTPS. В 2016 г. таких сайтов было менее 3 %, а в 2015-м – менее 1 %[120]. Для использования протокола HTTPS злоумышленники приобретают в недобросовестных центрах SSL-сертификаты, необходимые для полного копирования легальных ресурсов, размещенных на «безопасных» HTTPS-доменах. Примечательно, что такие фишинговые копии и без SSL-сертификатов отлично привлекают жертв, но мошенники идут на этот дополнительный шаг, чтобы ловушка точно сработала.
Многие пользователи думают, что протокол HTTPS автоматически гарантирует подлинность ресурса, но это не так. Этот протокол, как и SSL-сертификат, оповещает лишь о шифровании канала связи между браузером и сайтом, который может быть как подлинным, так и поддельным. Поэтому в любом случае важно проверять доменное имя[121].
Для мелких мошенников целевой фишинг слишком сложен, их задача – охватить как можно больше пользователей; самые легковерные из них откликнутся на вредоносные письма. Письма со ссылками на незнакомые сайты, как правило, сразу настораживают внимательных пользователей, и они не поддаются на обман. Максимум, на что способны мелкие фишеры, – захватывать и подставлять в письма имя и фамилию, используя для этого автоматические способы извлечения персональных данных из открытых источников (социальных сетей, профилей типа «Мой мир» и т. п.) и взломанных или утекших баз данных, где имена соседствуют с адресами электронной почты.
Другое дело – целевой фишинг, осуществляемый людьми с серьезными намерениями; об этом речь пойдет далее.
Один из самых опасных видов фишинга – целевой: атака ведется с целью получить данные конкретного человека или определенной компании. Целевой фишинг намного опаснее, поскольку, как правило, совершается специально подготовленными людьми, предварительно собравшими некоторую информацию о жертве, чтобы их предложения выглядели как можно более убедительными. Качественное целевое фишинговое письмо крайне трудно отличить от настоящего, так как в нем указываются такие данные, как имя и фамилия человека; учитываются сведения из его биографии, родственные связи, его привычки, слабые места и другая информация. В большинстве своем при целевом фишинге, как, впрочем, и любом другом, злоумышленники преследуют одну из двух целей (или обе): украсть деньги или ценную информацию (с помощью которой опять же получить деньги или устранить жертву).
В октябре 2017 г. экспертами «Лаборатории Касперского» была выявлена целевая BEC-атака[122], направленная на финансовые учреждения, прежде всего российские банки. Атакующие использовали очень эффективный метод – получили доступ к внутренней банковской сети и долгое время изучали ее инфраструктуру. Проникновение в сети происходило посредством целевого фишинга – с помощью содержащих вредоносные вложения электронных писем с принадлежащих сотрудникам реально существующих электронных адресов (они были элементами ранее зараженной сети), что существенно повысило шансы на заражение. Во вложении находился файл формата CHM (справочный файл компании Microsoft) – по сути, сжатый в единый документ набор HTML-страниц, допускающий выполнение JavaScript-сценариев для перехода на внешние URL-адреса. В случае открытия файла запускался скрипт, скачивающий файлы для загрузки и запуска троянской программы Silence, отвечающей в числе прочего за запись находящегося на экране изображения[123]. Таким образом злоумышленники могли следить за сотрудниками банка и выбирать тех, кто обладает ценной информацией, а далее, досконально изучив принципы работы информационных систем банка, переводить финансовые средства на свои счета[124]. Обычно целенаправленно атакуют крупные компании, банковские или государственные структуры, а также известных людей. В компаниях целями злоумышленников чаще всего становятся бухгалтеры и специалисты по набору персонала и связям с общественностью, а также топ-менеджеры и прочие сотрудники, вынужденные открывать множество документов из сторонних источников. Например, бухгалтерам и менеджменту компаний, участвующих в серых и черных финансовых схемах, рассылаются письма от имени руководства с требованием срочно и тайно перевести некий платеж на определенный счет. В них используются ранее похищенные данные реальных сотрудников, поэтому такие письма выглядят убедительно. В других случаях жертву вначале втягивают в некую серую схему, а затем шантажируют угрозами обратиться в полицию или к руководству. Мошенники могут представляться сотрудниками органов охраны правопорядка или налоговой службы и так же шантажировать адресата.
В случае шпионажа в зоне риска находятся сотрудники, имеющие доступ к техническим системам и сведениям: системные администраторы и ИТ-специалисты. Причем список сотрудников с именами и фамилиями, а зачастую и с должностями довольно легко составить даже по открытым данным: многие из служащих указывают место работы в профилях в социальных сетях; нередко сослуживцы даже объединяются в группы. Корпоративные адреса, как правило, не гуглятся, но раздобыть парочку вполне реально, для этого злоумышленники отправляют сообщения на публичный адрес или общаются по телефону с ресепшена, применяя методы социальной инженерии. Далее – дело техники. Обычно системные администраторы придумывают адреса электронной почты по шаблону: допустим, фамилияИО@компания.com. Сопоставив паттерн со списком имен и фамилий, полученным ранее, злоумышленники составляют список адресов корпоративной электронной почты с именами сотрудников.
Изредка встречаются даже обращения с угрозами от имени киллера, нанятого родственниками или конкурентами. Здесь от злоумышленников требуется идеальное знание потенциальной жертвы и ее контактов (в чем отлично помогают социальные сети). В этом случае адресату предлагается заплатить киллеру, чтобы тот не выполнял работу либо к тому же устранил заказчиков.
Рядовые пользователи редко становятся жертвами целевого фишинга, так как для него требуется много ресурсов (в том числе и финансовых) и времени, а выгода в таком случае сомнительна.
Как злоумышленники проникают в информационные системы
О семи шагах злоумышленника при проникновении в информационную систему вкратце рассказала компания Lockheed Martin в документе «Убийственная цепочка[125],[126]»:
1. Разведка. Исследование, идентификация и выбор жертвы, зачастую с использованием открытой информации, которую можно получить в социальных сетях, на новостных сайтах, на конференциях и т. п.
2. Вооружение. Оснащение вредоносным содержанием (эксплойтом[127] с бэкдором[128]) файла (например, PDF или Office), который должен быть открыт жертвой.
3. Доставка. Доставка жертве вредоносного контента посредством электронной почты, веб-ссылки, USB-устройств и т. п.
4. Заражение. Запуск вредоносного кода с использованием обнаруженных на компьютере жертвы уязвимостей.
5. Установка. Внедрение вредоносного кода в компьютер жертвы для обеспечения связи с оператором.
6. Управление. Организация канала для удаленного выполнения команд на компьютере жертвы.
7. Захват. Сбор и кража данных, шифрование файлов, перехват управления, подмена данных и выполнение других задач, стоящих перед нарушителем.
В других случаях помощь злоумышленникам может оказывать специально нанятый или подготовленный инсайдер[129], в том числе и «злая горничная».
Опасность фишинговых сообщений в ближайшее время вряд ли исчезнет; напротив, скорее их доля в почтовом трафике возрастет – в том числе из-за распространения фишинговых наборов. Они представляют собой набор готовых фишинговых сайтов, для использования которых злоумышленнику нужно лишь разместить их на сервере (хостинговой компании) и подставить свои данные. Стоимость таких наборов, продающихся в интернете, от 20 до 300 долларов[130]. Примечательно, что такие наборы в основном применяют скрипт-кидди – злоумышленники без квалификации (они используют их сами или являются работниками, нанятыми другими злоумышленниками (см. рис. 3.3 – в данном примере ведется набор спамеров для фишинга в сети «ВКонтакте»).