Re: Враг по переписке

Все привыкли воспринимать фишинг, как что-то связанное с выманиванием пароля от Инстаграма или кражей денег через фейковый платежный шлюз. На самом деле фишинг – куда более широкое понятие и он продолжает эволюционировать.

В закладки
Аудио
Пример классического фишингового платежного шлюза с сайта-двойника провайдера "Акадо"​

Прочитав на прошлой неделе новость о том, что неизвестный хакер похитил у венчурного фонда миллион долларов, предназначавшихся для финансирования израильского стартапа, я решил поподробнее написать об эволюции фишинга, нацеленного на корпоративный сектор, тем более, что в последнее время подобные виды атак переживают свой расцвет.

Так как моя работа связана с выявлением киберугроз, в том числе и фишинга, (я работаю в проекте ETHIC компании «Инфосекьюрити»), у меня накопилось множество примеров самых разнообразных фишинговых схем, в том числе и таких, как описанная в статье по ссылке. Но обо всем по порядку.

Фишинг пришел в корпоративную среду достаточно давно. Причем все началось как раз с электронной почты. В последние лет 15 фишинговые письма активно использовались, например, для рассылки вредоносных программ, нацеленных на системы дистанционного банковского обслуживания. Схема проста: бухгалтер обнаруживает в почтовом ящике письмо, скажем, от налоговой, скачивает вложение, запускает вредоносную программу и… деньги со счетов фирмы улетают в неизвестном направлении.

Конечно, в случае, если компьютер, предназначенный для работы с ДБО не использовался бы для общения по электронной почте и выполнения задач, не связанных с дистанционным управлением банковским счетом (как по идее и должно быть), вероятность успешной атаки сводилась бы к минимуму, но все мы живем в мире, в котором пароли qwerty и 12345 остаются в числе самых популярных, так что подобный фишинг доставил немало головной боли малому и среднему бизнесу. К слову, популярность троянов для хищения денег через ДБО стала спадать, и они уступили свое место троянам-шифровальщикам, распространяемым через те же фишинговые письма.

Отдельным подвидом фишинговых рассылок являются рассылки, используемые в процессе осуществления целевых атак на организации. Здесь также обычно используется вредоносное п/о, только вот основная цель его – создание точки входа в информационную инфраструктуру компании.

Пример фишингового письма, использованного в процессе атаки на организацию​

Но не будем зацикливаться на вредоносных программах, ведь существует немало схем, использующих исключительно методы социальный инженерии.

Например, такая: злоумышленники регистрируют доменное имя, максимально созвучное с доменным именем какой-нибудь промышленной компании, создают полный клон ее сайта и начинают рассылать ее потенциальным клиентам (или постоянным, если удается добыть клиентскую базу) предложения приобрести продукцию на выгодных условиях. Сайт-клон в данном случае используется для притупления бдительности жертв, а также размещения прайс-листов и фейковой контактной информации. В случае, если жертва захочет поподробнее ознакомиться с номенклатурой продукции, на сайте можно будет найти все необходимые сведения и контакты «ответственных лиц», в роли которых, естественно, будут выступать мошенники.

​Фишинговый сайт компании Роснефть. Злоумышленники скопировали лишь англоязычную версию сайта и поменяли основной контактный телефон.

Иногда мошенники создают фейковые сайты даже для тех компаний, что не имеют собственных веб-ресурсов. Подобное часто происходит, например, с компаниями нефтегазовой отрасли: ежедневно в сети появляются фиктивные сайты нефтеналивных портов и крошечных региональных нефтебаз, каждый из которых пытается перещеголять другие своим масштабом. В англоязычном интернете присутствует даже специальный термин «russian oil scam», ведутся реестры фиктивных компаний с фишинговыми сайтами.

​Фейковый сайт Волжской нефтяной компании. На самом деле у данной организации нет своего интернет-ресурса, его заботливо создали мошенники, использовав один из распространенных шаблонов. На сайте есть даже предупреждение об опасности фишинга

Не думаю, что стоит подробно расписывать суть данного мошенничества: жертва заключает договор с фиктивной организацией и перечисляет деньги за товар на счет злоумышленников, ничего не получая взамен – просто и достаточно эффективно. С учетом того, что речь идет о поставках промышленной продукции, суммы контрактов бывают весьма значительными.

У данной мошеннической схемы есть один минус. Как только сайт-клон выявлен, его дни сочтены – доказать нелегитимность ресурса не составляет особого труда. Но мошенники прекрасно понимают это, как, впрочем, понимают и то, что для реализации подобной схемы вовсе необязательно иметь сайт – достаточно завести лишь почтовый сервер на созвучном домене, ведь основное взаимодействие с жертвами ведется через электронную переписку. К тому же нередки случаи, когда компании используют разные доменные имена для сайта и почтового сервера. Отсутствие фишингового сайта с одной стороны позволяет дольше оставаться в тени, а с другой – существенно затрудняет процесс блокировки такого доменного имени (но, к неудовольствию мошенников, отнюдь не делает эту блокировку невозможной), ведь теперь требуется доказывать факт осуществления фишинговых рассылок с использованием данного домена.

На иллюстрациях выше вы можете видеть зарождение фишингового сайта Петрозаводской нефтебезы. Весь процесс занял 3 дня.

Стоит отметить, что организации, сайты которых были скопированы злоумышленниками, далеко не всегда считают данную ситуацию проблемой: мол, жертвы не мы, а наши клиенты – им просто надо было быть осмотрительнее при выборе контрагента. Понятно, ведь деньги потеряли не они сами, но в то же время подобные инциденты влекут за собой явные репутационные риски и отток клиентов: вдруг конкуренты более внимательно следят за безопасностью своей клиентуры?

Но есть и другие риски, связанные с созданием фишинговых ресурсов и почтовых адресов. И тут мы переходим к ситуации, описанной в самом начале повествования – атаке по типу «человек посередине» (man in the middle, MITM).

Каковы особенности бизнес-переписки в XXI­ веке? Во первых, она по большей частью является электронной, во-вторых она имеет характер диалога: все мы отвечаем на письма кнопкой «ответить» или «ответить всем», сохраняя всю историю предыдущей переписки в каждом новом письме. Таким образом, получив одно письмо, можно изучить всю предысторию вопроса. Иногда это приводит к забавным ситуациям, а иногда позволяет злоумышленникам быстро вникнуть в суть дела и выработать план дальнейших действий. Неважно каким образом изначальная бизнес-переписка попадает в руки злоумышленников, вариантов может быть великое множество: начиная от действий инсайдера внутри одной из компаний, заканчивая компрометацией почтового ящика или отправкой одного из писем по ошибочному адресу. Итог один – мошенники получают информацию о готовящейся сделке и об ответственных лицах каждой из сторон, участвующих в переговорах. Далее все предельно просто – злоумышленники регистрируют доменные имена, схожие с почтовыми доменами каждой из компаний, создают необходимые почтовые ящики и общаются с каждым из контрагентов от лица представителя другой стороны. В условиях динамичной беседы в процессе подготовки к сделке обнаружить факт подмены адреса отправителя письма бывает весьма затруднительно, ведь головы участников процесса забиты совсем другими вещами.

За последний год мне приходилось неоднократно сталкиваться с примерами подобных атак. И пусть речь там шла не о миллионе долларов от венчурного фонда, но вот миллионы рублей там фигурировали постоянно. Причем речь шла как о внутрироссийских контрактах, так и о приобретении дорогостоящего промышленного оборудования за рубежом.

Каков вывод? Фишинг эволюционирует, но жертвами фишинга всегда становятся люди. И фишинг куда проще вовремя выявить, нежели потом пытаться вернуть украденные деньги. Следует тщательно проверять не только адреса сайтов, которые вы посещаете, но и адреса ваших почтовых корреспондентов на всем протяжении переписки.

Ну а организациям можно дать отдельный совет: если в сети появился домен, имитирующий домен вашей компании, не думайте, что вы в безопасности: быть может прямо сейчас кто-то ведет переписку не только от вашего лица с вашими клиентами, но и от имени ваших клиентов с вами?

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "Vitaliy Andreev", "author_type": "self", "tags": [], "comments": 26, "likes": 55, "favorites": 59, "is_advertisement": false, "subsite_label": "tech", "id": 130276, "is_wide": false, "is_ugc": true, "date": "Mon, 09 Dec 2019 10:03:50 +0300", "is_special": false }
0
26 комментариев
Популярные
По порядку
Написать комментарий...

Подземный Петя

32
Ответить

Бюджетный щит

5

Сейчас я вообще не понимаю, о каком фишинге может идти речь, когда чтобы оплатить интернет или еще что-то в этих интернетах купить мы попадаем на сайт переводов, где мы вводим вообще всю информацию с карты и почему-то должны доверять этому сайту, ведь иначе мы ничего не оплатим. Пользователям что, запоминать нужно, как должны выглядеть страница и адрес сайта оплаты каждого банка?

Ответить
–1

Да тут больше вопрос, как вообще можно было попасть на эту страницу...

Ответить

Бюджетный щит

Kyler
4

Это собственно и есть задача того, кто занимается фишингом, с этим вопросов у меня как раз нет. У меня скорее непонимание, как можно доверять всем этим платежным платформам.

Ответить
–1

Человеческая тупость безгранична

Ответить

Бюджетный щит

Kyler
6

Да камон, причем тут тупость? Я как-то хотел купить овервотч в официальном магазине близзард, меня перекинуло на сайт яндекс.денег. Не знаю, изменилось ли что-то сейчас, но тогда я просто охренел - причем здесь яндекс вообще? И ладно, если яндекс, вон сверху на скрине какой-то paykeeper. Кто это вообще? Почему я ему должен доверять всю инфу, включая, мать его, CVV2?

Ответить
1

А если бы перекинуло на сайт Сбера, втб, вы бы не удивились? По-моему куда страшнее когда сайт просит отдать данные карты ему, а не платежнаму агенту.

Ответить

Бюджетный щит

Alexand…
2

По какой логике доверия меньше к Сберу, ВТБ или самому Близзард, чем к какому-то платежному агенту, тем более, если этот платежный агент известен полутора землекопам?

Ответить

Огромный вентилятор

2

Передайте привет Сергею Момонову)

Ответить
1

Ты хорошо разбираешься в теме. 
многомиллионные фейки раскрываешь. 
Не думал пару таких контрактов сам провернуть?  

Ответить

Огромный вентилятор

Tim
0

кек

Ответить
0

Ну а шо....

человек говорит, что умеет это делать

Ответить

Огромный вентилятор

Tim
0

Да давно уже там все схвачено

Ответить
2

Где?

Ответить

Огромный

Tim
0

хоспаде... ну не просто левый чувак пишет который разбирается в теме и ему куда-то податься надо

Ответить
0

Это все понятно. Но ты ж не знаешь сколько на аферах он мог бы зарабатывать 

Ответить

Огромный

Tim
0

я еще раз спрашиваю, почему решил что не зарабатывает)

Ответить
0

Если зарабатывает, то зачем он бы он тогда об этом писал?
деньги любят тишину 

Ответить

Огромный

Tim
0

... ясенько

Ответить
1

Неплохой материал.

Ответить
1

Столько букв, а так ничего и не сказал

Ответить
0

что-то я не очень представляю как большие контракты заключаются без созвонов и предварительной утряски всех нюансов. разве тут мошенников не выявят?

Ответить
2

Выявляют, но ежедневно заключаются тысячи контрактов, так что для мошенников всегда есть возможности. На моей памяти, например, похожим образом обманули на 2 с лишним миллиона рублей компанию, которая приобретала в Германии промышленное оборудование. Мошенники вклинились в беседу тогда, когда все основные моменты сделки были обговорены. С платежными реквизитами также есть несколько схем, позволяющих притупить бдительность контрагента.

Ответить
1

Подмена реквизитов в бланках договоров, да такое в современном мире ещё есть... Все происходит из-за беспечности и некомпетентности

Ответить
0

Выманил окуня и плотву сегодня на ладожском

Ответить
–1

Уж сколько мусора в выдаче Гугла, который не совсем скам, а партнерки, но все же

Ответить
Обсуждаемое
Новости
Студент ВШЭ попросил не поздравлять его с 23 февраля. Вуз потребовал объяснительную от него
Студент написал во «ВКонтакте», что учится в Военном учебном центре, «но только чтобы сбросить с себя оковы призывного рабства».
Гость TJ
Гость TJ: Дарья Козлова, которая работает с крупнейшим в России телескопом в горах Северного Кавказа
Общение в комментариях в 18:00 по Москве.
Новости
Россия полностью закроет границы
Ограничения начнут действовать 30 марта.
Популярное за три дня
Новости
«Необходимо избежать ошибок других стран»: экономисты призвали ввести в России жёсткий карантин вместо нерабочей недели
Они напомнили, что «эта ошибка уже была допущена в Италии».
Интернет
Пожилая женщина с инвалидностью, которая просила пользователей не унывать и писать ей, записала видео с благодарностью
После того, как пользователи соцсетей поддержали женщину, её первый ролик набрал более 100 тысяч просмотров.
Животные

Прямой эфир