21 января 2016

Whaling: что это такое и чем отличается от фишинга

Бизнес

В конце декабря по всем медийным площадкам, имеющим отношение к кибербезопасности, разошёлся термин «уэйлинг» (whaling — англ. «китобойный промысел»). Термин этот не так уж нов, однако встречается не столь часто, как «фишинг» (phishing). В русскоязычных публикациях этот термин вообще большая редкость, хотя в словарь Multitran он-таки попал. На самом деле, как многие из вас уже, наверное, догадались, «уэйлинг» является специфическим видом фишинга. Вот только насколько специфическим?

Причина упомянутого выше участившегося упоминания проста. Эксперты по безопасности из фирмы Mimecast опросили в декабре несколько сотен ИТ-специалистов и выявили, что бизнес захлестнула отчётливая волна «уэйлинга» — особая фишинговая атака, специально направленная на руководителей высокого и высшего звеньев. «Фишинг по-крупному», так сказать.

Конечно, китовые — совсем не «рыбы», но в данном случае это не имеет большого значения. Разница между фишингом и киберуэйлингом почти такая же, как между рыбной ловлей и китовым промыслом в реальном мире: одна большая цель вместо потенциально большого числа мелких, «гарпун» вместо трала и т.д.

Фишинг по-крупному

Мишенями «киберуэйлинга» являются, как нетрудно догадаться, «киты» — руководители, предпочтительно высшего уровня, такие как гендиректора, финдиректора и другие лица, ответственные за принятие решений по самым важным вопросам, люди, распоряжающиеся корпоративными данными и финансами.

Шансы на то, что они попадутся на крючок обычного спамерского фишингового письма, не велики, и в большинстве случаев их ловят на «нечто особенное».

main

Гарпуны

Обычно фишинговые письма рассылаются в спаме в надежде, что, по крайней мере, несколько потенциальных жертв попадутся. В случае же киберуэйлинга создаётся узконаправленное, тщательно выверенное спиэрфишинговое письмо, которое мишень воспримет как правдоподобное и заслуживающее доверия.

Разумеется, составление такого письма даётся не без труда. Вероятность сомнений и оговорок у жертвы должна быть сведена к абсолютному минимуму. Так что регалии — звания, должности и т.п. — наряду с прочими, вероятно, подробностями личного характера как об отправителе, так и о получателе должны быть указаны в уэйлинговом письме надлежащим образом.

Эти данные добываются, где только возможно, чаще всего из открытых и полуоткрытых источников, таких как учётные записи социальных сетей — Facebook, LinkedIn, Twitter и т.д.

В большинстве случаев уэйлинг подразумевает, по большей части, социальную инженерию, нежели технические уловки. Если присутствует некий общий корпоративный (не личный) аспект — судебные повестки, письма из налоговых органов и т.п., то велика вероятность того, что лицо, ответственное за принятие решений, угодит в ловушку..

В своём письме злоумышленники могут попросить дополнительно загрузить программное обеспечение, чтобы открыть полный текст «повестки». На самом деле это будет какой-нибудь шпионский кейлоггер, а не некий таинственный плагин для Adobe Acrobat. И хотя весьма маловероятно, что официальные документы рассылают в каких-то экзотических форматах, люди порой ведутся на этот обман.

В 2008 году была одна широко освещавшаяся в прессе фишинговая или, скорее, уэйлинговая кампания, когда буквально тысячи высокопоставленных руководителей по всей территории США получили официальные повестки якобы от окружного суда Соединенных Штатов в Сан-Диего. Каждое сообщение содержало имя руководителя, название компании и номер телефона и предписывало получателю предстать перед большим жюри по гражданскому делу. При этом вместо копии повестки жертвам подсовывали кейлоггер.

Фишинг по-крупному, разница небольшая

В общем, уэйлинг — всё-таки разновидность фишинга, и хотя он больше относится к социальной инженерии, стандартные меры противодействия фишингу остаются эффективными и в этом случае. Притом, что ничто не может сравниться со способностью человека отличить подлог от легитимной переписки, применение технических средств и технологий безопасности тоже пригодится, позволяя быстро и достоверно установить, содержит ли сообщение что-либо вредоносное, и ведёт ли предложенная ссылка в безопасное для посещения место.

Будьте осмотрительны!