9 января 2014

Рыбаки-коммерсанты: фишинг как денежное предприятие

Бизнес

Несколько недель назад эксперты «Лаборатории Касперского» обнародовали новое исследование, посвящённое эволюции фишинга на протяжении последних двух лет. Приведём оттуда одну важную цитату:

«В то же время природа фишинговых атак такова, что самые простые их разновидности можно осуществлять без каких-либо существенных инвестиций в инфраструктуру или глубокого технологического анализа. Эта ситуация привела к тому, что подобного рода атаки в определённом смысле «коммерциализировались», так что теперь фишинг — это почти целая индустрия, в которую входят как киберпреступники с профессиональными технологическими навыками, так и IT-дилетанты. И в целом эффективность фишинга, вкупе с его прибыльностью для преступников и простотой осуществления привела к устойчивому росту количества подобных инцидентов».

Коммерциализация предполагает, что на чёрном рынке предлагаются услуги по проведению фишинговых атак и целых кампаний, и что в Сети вращается большое количество готовых «решений».

В самом деле, до недавнего времени существовал проект под названием Simple Phishing Toolkit, который позволял с удивительной простотой расставлять все необходимые ловушки. В частности, с одного клика «клонировать» любую веб-страницу и генерировать фишинговые сообщения.

Другое дело, что SPT создавался и использовался в качестве обучающего инструмента для системных администраторов и персонала компаний; функция сохранения введённых обманутыми пользователями данных в нём отсутствовала. Так что сам по себе SPT был относительно безобидным явлением (проект к настоящему моменту закрыт).

А вот, например, Super Phisher или «старый добрый» Rock Phish Kit — это как раз «боевые» инструменты, которыми пользуются злоумышленники.

Наконец, никак нельзя обойти вниманием Metasploit, условно легитимный пакет для тестирования инфраструктуры на уязвимости, которым, однако, часто пользуются и злоумышленники, в том числе для проведения фишинга и спиэр-фишинга. И поскольку код Metasploit Framework открытый, то новый инструментарий, попадающий в него, моментально оказывается и в других тулкитах.

На чёрном рынке (в том числе на русскоязычных андерграундных площадках) активно предлагаются услуги по взлому почтовых ящиков на различных сервисах, например, Mail.ru, Yandex.ru, Rambler.ru, Gmail.com, Yahoo.com. Среди используемых инструментов — брутфорс, социальная инженерия, XSS и, естественно, фишинг. Цена за взлом одного ящика — от 2000 рублей, в зависимости от того, где располагается ящик.

fishes_1024

Одна из главных проблем с фишинговыми атаками вообще заключается в том, что их очень легко запускать и очень нелегко выявлять и блокировать без специальных технических средств. Вдобавок, фишинговые атаки становятся всё более продуманными и высокотехнологичными сами по себе. «Коммерческая» составляющая фишинга сегодня проявляется ещё и в том, что целями атак подобного рода всё чаще становятся не отдельные пользователи, а коммерческие компании, в отношении которых обыкновенно применяется специфическая и наиболее опасная разновидность фишинга — спиэр-фишинг.

Это целенаправленная атака на компанию, которой предшествует сбор информации о потенциальной мишени и её уязвимых местах. Делается это для того, чтобы придать достоверность «приманке» — фишинговому письму или личному сообщению в социальной сети.

Вот простой пример: например, сразу после рождественских и новогодних праздников сотрудники компании получают от кого-то из коллег или руководителей письмо с заголовком «Фотографии с новогоднего корпоратива 29.12», текстом, который должен так или иначе подтвердить источник письма, и ссылкой, ведущей на сайт с URL, похожим на адрес популярного фотохостинга или социальной сети. Дата совпадает: злоумышленники наблюдали за профилем одного или нескольких сотрудников компании в социальных сетях и успели удостовериться, что празднование состоялось именно 29-го, а не 30 или 31 декабря, а заодно и получить какую-нибудь дополнительную информацию, которая делает «приманку» ещё более достоверной.

Достаточно, чтобы один получатель письма перешёл по ссылке, а дальше вариантов много: поддельная страница социальной сети, требующая авторизации, заражённая эксплойтами веб-страница, а то и в самом деле фотографии (пусть и не с корпоратива) со зловредами в метаданных. В итоге, злоумышленники получают доступ к профилю в социальной сети одного или нескольких работников и пробуют использовать те же пароли на других ресурсах; при наихудшем сценарии через компьютер доверчивой жертвы заражена вся корпоративная сеть, злоумышленники хозяйничают в ней как хотят.

Как мы уже неоднократно подчёркивали, защититься от определённых разновидностей фишинга «вручную» очень сложно даже опытным пользователям. Слишком много факторов надо учитывать, а человеческое внимание, скажем так, не бесконечно (чем злоумышленники активно пользуются). Поэтому надёжная защита инфраструктуры предполагает обязательное наличие антифишинговых средств, которые «страхуют от излишней доверчивости».