Начало > Помощен център > Други > Какво е фишинг (phishing)?

Какво е фишинг (phishing)?

Помощен център

Какво е фишинг (phishing)?

Фишингът е опит за измамa, умишлена заблуда, с цел споделяне на данни за достъп до банкови сметки, онлайн разплащателни процесори, акаунти на доставчици на лицензирани услуги или софтуер, акаунти в онлайн магазини, лични профили, акаунти в социални медии и всякаква друга чувствителна информация.

Ако опитът за измама успее и потребителят предостави доброволно исканата информация за достъп, престъпниците влизат в съответния акаунт и последиците от моментното невнимание, небрежност или непредпазливост на жертвата се установяват след време като открадната самоличност, източени пари от банкова сметка, изпращане на спам от пощенски акаунти или от профили в социални мрежи и всякакви подобни негативни сценарии.

Съставни елементи на (предполагаема) фишинг схема

Фишингът, във всичките си форми, е опит за заблуда и не е ограничен до средствата за комуникация. В статията ще се спрем само на фишинг съобщенията, изпращани по електронна поща.

Измамникът знае, че много малко потребители ще клъвнат на неговата стръв, затова се нуждае от база данни с хиляди имейл адреси, към които да изпрати фишинг съобщението.

Той решава каква организация ще атакува и прави точно копие на официалния сайт с оригиналната графика (на практика клонира сайта) на сървър, до който има достъп. Променя оригиналните скриптове за обработване на получените данни от жертвите на измамата и ги записва по някакъв начин - в един файл, в отделни файлове, в база данни ...

Създава най-важната част от измамата - съобщението с линка към страницата, която съдържа формуляра за приемане на данните.

Изискват се познания за да се изпратят няколко хиляди имейла без да се задейства автоматична защита или да се предизвика намесата на администратор. В някои случаи се наемат VPS с ниски параметри и цена, и се изпращат писма докато IP адреса на SMTP сървъра попадне в черните списъци на големите имейл доставчици.

Описваме тези действия, следвайки пътя единствено на фактическата логика и нашия опит в разкриване и прекратяване на опити за фишинг от сървърите ни, за да ви покажем, че фишингът е обмислена престъпна дейност, насочена срещу вашите самоличност, финанси, пароли, социални контакти, лично пространство ... срещу вас.

Как работи фишингът?

Измамникът изпраща предварително подготвеното съобщение към базата данни с имейл адреси, в което лесно може да се открият следните или подобни общи елементи:

  • съдържа в адреса имена на авторитетни организации - най-често на банки, доставчици на софтуер или услуги, социални сайтове и т.н.;
  • съдържа плашеща информация в темата на писмото за някакъв проблем - спрян, блокиран, прекратяване, предстои изтриване ... Страхът е най-често използваната емоция за атака, но може да бъде и всяка друга, която предизвиква силно желание и може да мотивира извършване на необмислени действия;
  • предизвиква спешност и паника - веднага, незабавно, спешно, наложително ... ;
  • посочва лесно решение на проблема - получателя трябва само да кликне бутона или линка в писмото и да попълни коректните данни във формуляра на уеб страницата;

Защо фишингът понякога успява?

Предизвикват силна емоционална реакция

Фишинг измамите работят, защото целят да предизвикват силна емоция в съзнанието на жертвите, които са склонни да бъдат по-наивни, когато са под напрежение, отколкото трезво да размислят дали не са цел на фишинг измама.

Например получавате съобщение за изключително изгодна оферта за разпродажба на телефони от името на популярен сайт за онлайн търговия - поради ограниченото количество продукта ще се достави само на тези, които първи се регистрират като кликнат линка в писмото. Онези, които силно желаят този телефон бързат да се регистрират и ... предоставят данните за достъп до профила си.

Съдържа елементи на доверие

Някои фишинг съобщения са написани според най-добрите образци на корпоративния етикет:

Моля, следвайте инструкциите на посочената страница за да актуализирате информацията във вашия акаунт. 

Кратко, точно, ясно, не буди никакво съмнение, че идва от авторитетен източник. Кликаме линка в писмото - отваря се познатата страница на организацията. Никакви очевидни поводи за съмнение.

Движещата сила на фишинга е комбинацията от силна емоция и доверие, които мотивират сляпо следване на инструкциите и действат като упойка срещу рационален (поставящ под съмнение) подход към същата ситуация.

Обърнете внимание, че фишингът не атакува технологии, приложения, протоколи ... Фишингът разчита на слабости в човешкия характер и затова донякъде успешно му се приписва роднинство със социалното инженерство.

Какво е социално инженерство?

Социалното инженерство е опит да се използва чрез манипулация (измама) човешката психология за разкриване на информация, предприемане на неподходящи действия или получаване на достъп до системи или данни. Социалните инженери се възползват от естествените тенденции и емоционални реакции на потенциалната жертва.

Например, вместо да търси уязвимост на софтуера, социалният инженер ще се представи като лице за IT поддръжка в разговор със служител, и ще се опита да подмами служителя да разкрие данните си за достъп до същия софтуер.

Не е трудно да открием приликите между социалното инженерство и фишинга:

  • някой друг инициира контакта - изпращане на мейл, телефонно обаждане...;
  • той ни представя себе си;
  • той ни информира за проблем;
  • той има нужда от нашето съдействие за решаването на проблема;

Различни видове фишинг

CEO Fraud - киберпрестъпникът изпраща имейл до служител от по-ниско ниво, като се преструва, че е изпълнителен директор на компанията (CEO) или мениджър от висок ранг. Целта на тези имейли често е да заблудят жертвата да преведе средства към фалшива банкова сметка.

Clone phishing - повторно изпращане на легитимни съобщения, получени вече от жертвата, но с манипулирани линкове. Измамникът използва извинението, че повторно изпраща оригиналното съобщение поради проблем с връзката или прикачения файл в предишния имейл, за да примами крайните потребители да кликнат върху тях.

Unicode Domain Phishing - техниката позволява при регистриране на IDN домейни да се миксират Unicode и ASCII символи. Например, всички IDN домейни в списъка по-долу се визуализират като аpple.com тъй като отделни латински букви от apple.com (а,р,е,с,о) в регистрацията са заменени от графично съответстващи букви на кирилица: xn--pple-43d.com, xn--aple-g6d.com, xn--aple-h6d.com, xn--appl-y4d.com, xn--pl-6kcw7c.com (може да проверите в Punycode converter). Дори такъв домейн може да получи DV SSL сертификат тъй като филтрите на CA издателите не разпознават Unicode символи.

Evil twin phishing - нападателят създава дублираща мрежа Wi-Fi hotspot, също като оригиналната, и когато се свържат крайните потребители, подслушва мрежовия трафик за да открадне имена на акаунти, пароли, докато потребителят е свързан с компрометираната мрежа. Атаката е известна като схемата Starbucks, защото най-често се прилага в кафенета.

Smishing (SMS phishing) - версия на фишинг атака, при която хакерите се опитват да откраднат вашата лична информация през мобилното ви устройство чрез текстово съобщение. Хакер ще се свърже с вас чрез текстово съобщение, представяйки се за доверен източник, например служител на вашата банка, и ще ви помоли да кликнете връзката в съобщението за да потвърдите нещо, която ще ви отведе до ... компрометирана уеб страница.

Spear phishing (spear=копие) - прецизно обмислени атаки, предназначени за конкретни лица или групи. Хакерите използват тактики от социалното инженерство, за да персонализират имейлите с лична информация за техните жертви и да увеличат степента на доверие и успеваемост при получаване на лична информация или следване на посочени действия.

Vishing (voice+phishing) - в телефонно обаждане измамникът, ползвайки лична информация, събрана от социални мрежи или по друг начин, прилага тактики от социалното инженерство и се опитва да заблуди отсрещната страна да предостави информация или финанси.

Whaling (whale=кит, лов на кит) - прецизно насочена атака към ръководители на високо ниво като главни изпълнителни директори, финансови директори и ръководители. Целта е чрез тактики на социалното инженерство на база лична информация от интернет и платформи за социални медии, лицето да бъде измамено да разкрие чувствителна информация и корпоративни данни.

Предпазване от фишинг атаки - бъдете подозрителни

Тъй като фишинг атаката е насочена срещу емоционалното състояние на жертвата и имейл съобщението се стреми да предизвика едновременно силна емоция и доверие с цел предприемане на необмислени действия, главните методи за предпазване от фишинг атаки са в изграждане на правилна емоционална нагласа.

  • бъдете подозрителни към цялата интернет информация - всеки може да публикува всичко;
  • бъдете подозрителни към всеки онлайн контакт - 'случайният' контакт със социален инженер винаги е преднамерен;
  • бъдете подозрителни към всяко онлайн предложение;
  • бъдете подозрителни когато непознат иска от вас поверителна информация с всякакви мотиви и под всякаква форма;
  • бъдете сигурни, че всяко предложение в имейл за споделяне на лични и поверителни данни, е опит за измама;

Разпознаване на фишинг имейли

Обръщайте внимание на следните елементи от писмото:

  • Имейл адрес на подателя - полето От: (From:) не гарантира, че писмото е изпратено от посочения имейл адрес, както ще се уверите по-късно в статията. Адресът accounts@accounts.google.domain.com няма нищо общо с accounts@google.com;
  • Поздрав в писмото - ако имейла претендира да е изпратен от компания, в която имате реален профил, много вероятно е поздрава да съдържа вашето име или фамилия. Липса на поздрав или формален поздрав, липса на име на служител, длъжност, адрес на компанията и unsubscribe линк в подписа на съобщението трябва да алармира вашето внимание;
  • Правописни и граматически грешки, грешно използване на термини от вашата индустрия;
  • Чувство за спешност - трябва да задейства ярко червен фишинг флаг;
  • Пренасочващи линкове - ако писмото е от Google, линковете в него не трябва да водят към страница на Yahoo :)
  • Звучи твърде добре, за да е истина - каква е реалната вероятност супер богат нигерийски принц да се обърне към вас за помощ?

Проверка на изходния код на фишинг писмо

Дотук в статията предоставихме много, но само теоретична информация по същността на фишинга, но в практиката ние получаваме едно или няколко фишинг писма между стотици лигитимни такива (може би в края на работния ден, когато и умората е фактор) и трябва да имаме бърз и сигурен начин да проверим всяко съмнително писмо.

В следващите редове ще ви покажем как изпратихме фишинг писмо от поща в google.com (!), как да отворите изходния код на писмото и къде да потърсите и откриете измамата.

Относно изпращането на писмото само ще кажем, че ползвахме скрипт, който позволява манипулиране на хедърите. Въведохме произволно име на поща в google.com, дори и да съществува такава поща, ние нямаме реален достъп до нея и няма абсолютно никакъв начин да изпратим писмо от accounts@google.com:

$subject = 'Достъп до потребителски акаунт';
$from = 'accounts@google.com';
$headers .= 'From: '.$from."\r\n".
    'Reply-To: '.$from."\r\n" .

Но може да изглежда, че сме изпратили:

Фишинг писмо в Thunderbird

"Измамата" е в ход и писмото е в пощата на жертвата. Обърнете внимание, че линкът сочи към страница на yahoo.com, докато писмото уж е изпратено от поща в google.com.

Във фишинг писмата винаги има несъответствие между домейна на подателя и домейна в линка на уеб страницата от съобщението.

Сега ние влизаме в ролята на жертвата и решаваме да проверим изходния код на писмото защото съдържанието ни препоръча спешно да кликнем линка и да потвърдим данните си за достъп като ги въведем във формуляра, а това са едни от сигурните белези за фишинг имейл.

Ползваме имейл акаунт в Thunderbird и за да видим изходния код на писмото кликаме бутона More с етикет More actions, след което в падащото меню кликаме линка View Source.

С клавишната комбинация Ctrl+F отваряме поле за търсене в долния ляв ъгъл на екрана и въвеждаме термина return (регистъра малки-главни букви няма значение) за да открием акаунта, който е изпратил съобщението:

Return-Path:

Оказва се, че фишинг писмото, уж изпратено от пощата accounts@google.com, всъщност е изпратено от съвсем друг домейн host.server.net, който няма нищо общо с google.com:

cpanelusername@host.server.net

Ето как изглежда Return-Path в изходния код на легитимно писмо, изпратено от analytics-noreply@google.com:

Return-Path: <34ZJCXREKCAIcpcn0vkeu-pqtgrn0iqqing.eqokxrkumqxiockn.eqo@scoutcamp.bounces.google.com>

Някой внимателен читател може би иска да попита: след като манипулирахте хедъра From: защо не манипулирахте и хедъра Return-Path:?

Опитахме да го манипулираме:

'Return-Path: '.$from."\r\n" .

Но нека видим какво казва официалната документация Request for Comments (RFC) относно Return-Path:

RFC 822

Полето "Reply-To" се добавя от инициатора и служи за насочване на отговорите, докато полето "Return-Path" се използва за идентифициране на път обратно към инициатора.

RFC 5336

Основната цел на "Return-path" е да посочи адреса, до който трябва да се изпращат недоставените съобщения...

RFC 2821

Когато SMTP сървърът извършва "окончателната доставка" на съобщение, той вмъква ред "return-path" в началото на данните за съобщението. Това използване на "return-path" е необходимо; мейл системите ТРЯБВА да го поддържат. Редът "return-path" запазва информацията в от командата MAIL.

RFC 5321

SMTP сървърите, извършващи окончателна доставка, МОЖЕ да премахнат полета за заглавие (header fields) "Return-path", преди да добавят свои собствени.

Накратко: Return-path посочва инициатора, истинския подател на съобщението, към който трябва да се върне писмото при неуспешно доставяне. Дори и да има ръчно въведен хедър Return-path, SMTP сървъра го изтрива и поставя свой ред Return-path.

Изходния код на имейл съобщение съдържа много информация - имена на сървъри и IP адреси, протоколи, информация от спам филтри ... Ако сте клиент на ICN.Bg и се чувствате несигурни в разчитането на тази информация, ви препоръчаме да изпратите копие от изходния код до колегите от Техническа поддръжка за съдействие. И в никакъв случай да не кликате линковете в писмото.

Местоположение на изходния код (хедъри) в най-използваните мейл клиенти

Публикуваме начините, по които може да се достигне до изходния код на имейл съобщение в някои от най-използваните мейл клиенти:

Google Mail (GMail) Webmail - отваряме писмото, кликаме иконата със символ три вертикални точки и етикет More, и в падащото меню кликаме линка Show original.

Хедъри в gmail show original

Yahoo! Mail Webmail - в панела на писмото кликаме иконата със символ три хоризонтални точки и етикет More, в менюто кликаме линка View raw message.

Хедъри в Yahoo Mail View raw message

MS Outlook 2016 - кликаме два пъти върху писмото за да се отвори в нов прозорец. След това кликаме малкото квадратче срещу етикета Tags, както е показано на изображението. В полето Internet headers може да разгледаме или да копираме в текстов файл хедърите на съобщението.

Хедъри в Outlook 2016 Internet headers

Thunderbird - кликаме бутона More с етикет More actions и в менюто кликаме линка View Source.

Хедъри в Thunderbird View Source

RoundCube Webmail - кликаме бутона More с етикет More actions... и в менюто кликаме линка Show Source.

Хедъри в RoundCube Webmail Show Source

Pronto Webmail - отваряме писмо и в панела Compose кликаме иконата със символ три хоризонтални точки и етикет More, в менюто кликаме линка Undecoded Message.

Хедъри в Pronto Webmail Undecoded Message

Macmail OSX - отваряме Mail, в главното меню кликаме последователно линковете View > Message > All Headers.

Хедъри в Macmail All Headers

Как да действаме при получаване на фишинг имейл?

Фишингът е престъпление. Като съобщаваме за всеки подозрителен контакт с подходящите организации, може да съдействаме за ограничаването на тези незаконни практики.

Когато получите съмнителен имейл и установите със сигурност, че това е опит за фишинг, може да изпратите информация до няколко институции, които могат да попречат на масовото разпространение на измамата.

Google Safe Browsing - може да изпратите пренасочващия URL адрес от съобщението на http://www.google.com/safebrowsing/report_phish/ - достъпът до фишинг сайта ще бъде блокиран в Chrome, Firefox, Android, iPhone, Google и други доставчици.

Мicrosoft също имат интерфейс Report Unsafe Site, в който може да изпратите URL адреса на фишинг сайта - https://www.microsoft.com/en-us/wdsi/support/report-unsafe-site-guest, което ще доведе до блокиране на достъпа в Edge, Office 365 и Internet Explorer.

Anti-Phishing Working Group (APWG) - работната група за борба с фишинга е международен консорциум, който обединява предприятия, засегнати от фишинг атаки, компании за сигурност, правоприлагащи агенции, правителствени агенции, търговска асоциация, регионални международни договорни организации и комуникационни компании. Може да изпратите URL адреса на фишинг сайта, копие от имейла и изходния код на имейл адрес reportphishing@apwg.org.

Cybersecurity and Infrastructure Security Agency(CISA) - агенцията за киберсигурността и инфраструктурата работи за изграждането на по-сигурна и устойчива инфраструктура като предоставя широки знания и практики за сигурност на заинтересованите страни. Може да изпратите URL адреса на фишинг сайта, копие от имейла и изходния код на имейл адрес phishing-report@us-cert.gov.

Важно: за да копирате URL адреса във фишинг писмо не кликайте линка в писмото, а отворете изходния код на съобщението и потърсете http. Браузъра ще ви покаже всички линкове в писмото, копирайте ги от този текстов файл и ги поставете (paste) във файл или формуляр.