Re: Враг по переписке

Все привыкли воспринимать фишинг, как что-то связанное с выманиванием пароля от Инстаграма или кражей денег через фейковый платежный шлюз. На самом деле фишинг – куда более широкое понятие и он продолжает эволюционировать.

В закладки
Аудио
Пример классического фишингового платежного шлюза с сайта-двойника провайдера "Акадо"​

Прочитав на прошлой неделе новость о том, что неизвестный хакер похитил у венчурного фонда миллион долларов, предназначавшихся для финансирования израильского стартапа, я решил поподробнее написать об эволюции фишинга, нацеленного на корпоративный сектор, тем более, что в последнее время подобные виды атак переживают свой расцвет.

Так как моя работа связана с выявлением киберугроз, в том числе и фишинга, (я работаю в проекте ETHIC компании «Инфосекьюрити»), у меня накопилось множество примеров самых разнообразных фишинговых схем, в том числе и таких, как описанная в статье по ссылке. Но обо всем по порядку.

Фишинг пришел в корпоративную среду достаточно давно. Причем все началось как раз с электронной почты. В последние лет 15 фишинговые письма активно использовались, например, для рассылки вредоносных программ, нацеленных на системы дистанционного банковского обслуживания. Схема проста: бухгалтер обнаруживает в почтовом ящике письмо, скажем, от налоговой, скачивает вложение, запускает вредоносную программу и… деньги со счетов фирмы улетают в неизвестном направлении.

Конечно, в случае, если компьютер, предназначенный для работы с ДБО не использовался бы для общения по электронной почте и выполнения задач, не связанных с дистанционным управлением банковским счетом (как по идее и должно быть), вероятность успешной атаки сводилась бы к минимуму, но все мы живем в мире, в котором пароли qwerty и 12345 остаются в числе самых популярных, так что подобный фишинг доставил немало головной боли малому и среднему бизнесу. К слову, популярность троянов для хищения денег через ДБО стала спадать, и они уступили свое место троянам-шифровальщикам, распространяемым через те же фишинговые письма.

Отдельным подвидом фишинговых рассылок являются рассылки, используемые в процессе осуществления целевых атак на организации. Здесь также обычно используется вредоносное п/о, только вот основная цель его – создание точки входа в информационную инфраструктуру компании.

Пример фишингового письма, использованного в процессе атаки на организацию​

Но не будем зацикливаться на вредоносных программах, ведь существует немало схем, использующих исключительно методы социальный инженерии.

Например, такая: злоумышленники регистрируют доменное имя, максимально созвучное с доменным именем какой-нибудь промышленной компании, создают полный клон ее сайта и начинают рассылать ее потенциальным клиентам (или постоянным, если удается добыть клиентскую базу) предложения приобрести продукцию на выгодных условиях. Сайт-клон в данном случае используется для притупления бдительности жертв, а также размещения прайс-листов и фейковой контактной информации. В случае, если жертва захочет поподробнее ознакомиться с номенклатурой продукции, на сайте можно будет найти все необходимые сведения и контакты «ответственных лиц», в роли которых, естественно, будут выступать мошенники.

​Фишинговый сайт компании Роснефть. Злоумышленники скопировали лишь англоязычную версию сайта и поменяли основной контактный телефон.

Иногда мошенники создают фейковые сайты даже для тех компаний, что не имеют собственных веб-ресурсов. Подобное часто происходит, например, с компаниями нефтегазовой отрасли: ежедневно в сети появляются фиктивные сайты нефтеналивных портов и крошечных региональных нефтебаз, каждый из которых пытается перещеголять другие своим масштабом. В англоязычном интернете присутствует даже специальный термин «russian oil scam», ведутся реестры фиктивных компаний с фишинговыми сайтами.

​Фейковый сайт Волжской нефтяной компании. На самом деле у данной организации нет своего интернет-ресурса, его заботливо создали мошенники, использовав один из распространенных шаблонов. На сайте есть даже предупреждение об опасности фишинга

Не думаю, что стоит подробно расписывать суть данного мошенничества: жертва заключает договор с фиктивной организацией и перечисляет деньги за товар на счет злоумышленников, ничего не получая взамен – просто и достаточно эффективно. С учетом того, что речь идет о поставках промышленной продукции, суммы контрактов бывают весьма значительными.

У данной мошеннической схемы есть один минус. Как только сайт-клон выявлен, его дни сочтены – доказать нелегитимность ресурса не составляет особого труда. Но мошенники прекрасно понимают это, как, впрочем, понимают и то, что для реализации подобной схемы вовсе необязательно иметь сайт – достаточно завести лишь почтовый сервер на созвучном домене, ведь основное взаимодействие с жертвами ведется через электронную переписку. К тому же нередки случаи, когда компании используют разные доменные имена для сайта и почтового сервера. Отсутствие фишингового сайта с одной стороны позволяет дольше оставаться в тени, а с другой – существенно затрудняет процесс блокировки такого доменного имени (но, к неудовольствию мошенников, отнюдь не делает эту блокировку невозможной), ведь теперь требуется доказывать факт осуществления фишинговых рассылок с использованием данного домена.

На иллюстрациях выше вы можете видеть зарождение фишингового сайта Петрозаводской нефтебезы. Весь процесс занял 3 дня.

Стоит отметить, что организации, сайты которых были скопированы злоумышленниками, далеко не всегда считают данную ситуацию проблемой: мол, жертвы не мы, а наши клиенты – им просто надо было быть осмотрительнее при выборе контрагента. Понятно, ведь деньги потеряли не они сами, но в то же время подобные инциденты влекут за собой явные репутационные риски и отток клиентов: вдруг конкуренты более внимательно следят за безопасностью своей клиентуры?

Но есть и другие риски, связанные с созданием фишинговых ресурсов и почтовых адресов. И тут мы переходим к ситуации, описанной в самом начале повествования – атаке по типу «человек посередине» (man in the middle, MITM).

Каковы особенности бизнес-переписки в XXI­ веке? Во первых, она по большей частью является электронной, во-вторых она имеет характер диалога: все мы отвечаем на письма кнопкой «ответить» или «ответить всем», сохраняя всю историю предыдущей переписки в каждом новом письме. Таким образом, получив одно письмо, можно изучить всю предысторию вопроса. Иногда это приводит к забавным ситуациям, а иногда позволяет злоумышленникам быстро вникнуть в суть дела и выработать план дальнейших действий. Неважно каким образом изначальная бизнес-переписка попадает в руки злоумышленников, вариантов может быть великое множество: начиная от действий инсайдера внутри одной из компаний, заканчивая компрометацией почтового ящика или отправкой одного из писем по ошибочному адресу. Итог один – мошенники получают информацию о готовящейся сделке и об ответственных лицах каждой из сторон, участвующих в переговорах. Далее все предельно просто – злоумышленники регистрируют доменные имена, схожие с почтовыми доменами каждой из компаний, создают необходимые почтовые ящики и общаются с каждым из контрагентов от лица представителя другой стороны. В условиях динамичной беседы в процессе подготовки к сделке обнаружить факт подмены адреса отправителя письма бывает весьма затруднительно, ведь головы участников процесса забиты совсем другими вещами.

За последний год мне приходилось неоднократно сталкиваться с примерами подобных атак. И пусть речь там шла не о миллионе долларов от венчурного фонда, но вот миллионы рублей там фигурировали постоянно. Причем речь шла как о внутрироссийских контрактах, так и о приобретении дорогостоящего промышленного оборудования за рубежом.

Каков вывод? Фишинг эволюционирует, но жертвами фишинга всегда становятся люди. И фишинг куда проще вовремя выявить, нежели потом пытаться вернуть украденные деньги. Следует тщательно проверять не только адреса сайтов, которые вы посещаете, но и адреса ваших почтовых корреспондентов на всем протяжении переписки.

Ну а организациям можно дать отдельный совет: если в сети появился домен, имитирующий домен вашей компании, не думайте, что вы в безопасности: быть может прямо сейчас кто-то ведет переписку не только от вашего лица с вашими клиентами, но и от имени ваших клиентов с вами?

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "Vitaliy Andreev", "author_type": "self", "tags": [], "comments": 26, "likes": 55, "favorites": 59, "is_advertisement": false, "subsite_label": "tech", "id": 130276, "is_wide": false, "is_ugc": true, "date": "Mon, 09 Dec 2019 10:03:50 +0300", "is_special": false }
Создать объявление на TJ
Карьера
Вакансии в ИТ на начало апреля
От Tilda Publishing, «Яндекса», «Тинькофф» и других компаний.
0
26 комментариев
Популярные
По порядку
Написать комментарий...

Двойной Кирилл

32
Ответить

Тайный глобус

5

Сейчас я вообще не понимаю, о каком фишинге может идти речь, когда чтобы оплатить интернет или еще что-то в этих интернетах купить мы попадаем на сайт переводов, где мы вводим вообще всю информацию с карты и почему-то должны доверять этому сайту, ведь иначе мы ничего не оплатим. Пользователям что, запоминать нужно, как должны выглядеть страница и адрес сайта оплаты каждого банка?

Ответить
–1

Да тут больше вопрос, как вообще можно было попасть на эту страницу...

Ответить

Тайный глобус

Kyler
4

Это собственно и есть задача того, кто занимается фишингом, с этим вопросов у меня как раз нет. У меня скорее непонимание, как можно доверять всем этим платежным платформам.

Ответить
–1

Человеческая тупость безгранична

Ответить

Тайный глобус

Kyler
6

Да камон, причем тут тупость? Я как-то хотел купить овервотч в официальном магазине близзард, меня перекинуло на сайт яндекс.денег. Не знаю, изменилось ли что-то сейчас, но тогда я просто охренел - причем здесь яндекс вообще? И ладно, если яндекс, вон сверху на скрине какой-то paykeeper. Кто это вообще? Почему я ему должен доверять всю инфу, включая, мать его, CVV2?

Ответить
1

А если бы перекинуло на сайт Сбера, втб, вы бы не удивились? По-моему куда страшнее когда сайт просит отдать данные карты ему, а не платежнаму агенту.

Ответить

Тайный глобус

Alexand…
2

По какой логике доверия меньше к Сберу, ВТБ или самому Близзард, чем к какому-то платежному агенту, тем более, если этот платежный агент известен полутора землекопам?

Ответить

Серьезный каякер

2

Передайте привет Сергею Момонову)

Ответить
1

Ты хорошо разбираешься в теме. 
многомиллионные фейки раскрываешь. 
Не думал пару таких контрактов сам провернуть?  

Ответить

Серьезный каякер

Tim
0

кек

Ответить
0

Ну а шо....

человек говорит, что умеет это делать

Ответить

Серьезный каякер

Tim
0

Да давно уже там все схвачено

Ответить
2

Где?

Ответить

Серьезный каякер

Tim
0

хоспаде... ну не просто левый чувак пишет который разбирается в теме и ему куда-то податься надо

Ответить
0

Это все понятно. Но ты ж не знаешь сколько на аферах он мог бы зарабатывать 

Ответить

Серьезный каякер

Tim
0

я еще раз спрашиваю, почему решил что не зарабатывает)

Ответить
0

Если зарабатывает, то зачем он бы он тогда об этом писал?
деньги любят тишину 

Ответить

Серьезный каякер

Tim
0

... ясенько

Ответить
1

Неплохой материал.

Ответить
1

Столько букв, а так ничего и не сказал

Ответить
0

что-то я не очень представляю как большие контракты заключаются без созвонов и предварительной утряски всех нюансов. разве тут мошенников не выявят?

Ответить
2

Выявляют, но ежедневно заключаются тысячи контрактов, так что для мошенников всегда есть возможности. На моей памяти, например, похожим образом обманули на 2 с лишним миллиона рублей компанию, которая приобретала в Германии промышленное оборудование. Мошенники вклинились в беседу тогда, когда все основные моменты сделки были обговорены. С платежными реквизитами также есть несколько схем, позволяющих притупить бдительность контрагента.

Ответить
1

Подмена реквизитов в бланках договоров, да такое в современном мире ещё есть... Все происходит из-за беспечности и некомпетентности

Ответить
0

Выманил окуня и плотву сегодня на ладожском

Ответить
–1

Уж сколько мусора в выдаче Гугла, который не совсем скам, а партнерки, но все же

Ответить
Обсуждаемое
Интернет
Мнение Елизаветы Песковой о карантине. С картинками
В целом с мнением девушки согласен, тоже заказал себе велодорожку, поставлю на кухне вместо холодильника, который скоро всё равно будет не нужен. На следующей неделе собираюсь отправиться отдыхать на яхте в тихом океане, заодно изолируюсь от TJ. А чем занимаетесь вы? Пишите в комментариях, ставьте дизлайки, черти.
Новости
Бывший депутат Госдумы назвал «мародёрством» просьбы о поддержке от граждан и бизнеса
«Сейчас для всех нас очень сложное время».
Новости
Житель посёлка под Рязанью расстрелял пятерых соседей. По одной из версий — за шум под окнами
Стрелок попытался скрыться, но был задержан.
Популярное за три дня
Животные
Новости
Получены первые результаты испытания вакцины от коронавируса
Американские ученые доложили об успешном испытании вакцины от SARS-CoV-2 на мышах. После введения в их организме появились антитела в количестве, достаточном для нейтрализации вируса.
Животные
Главное сохранять спокойствие
#котики_от_ноунейма

Прямой эфир