Re: Враг по переписке

Все привыкли воспринимать фишинг, как что-то связанное с выманиванием пароля от Инстаграма или кражей денег через фейковый платежный шлюз. На самом деле фишинг – куда более широкое понятие и он продолжает эволюционировать.

В закладки
Аудио
Пример классического фишингового платежного шлюза с сайта-двойника провайдера "Акадо"​

Прочитав на прошлой неделе новость о том, что неизвестный хакер похитил у венчурного фонда миллион долларов, предназначавшихся для финансирования израильского стартапа, я решил поподробнее написать об эволюции фишинга, нацеленного на корпоративный сектор, тем более, что в последнее время подобные виды атак переживают свой расцвет.

Так как моя работа связана с выявлением киберугроз, в том числе и фишинга, (я работаю в проекте ETHIC компании «Инфосекьюрити»), у меня накопилось множество примеров самых разнообразных фишинговых схем, в том числе и таких, как описанная в статье по ссылке. Но обо всем по порядку.

Фишинг пришел в корпоративную среду достаточно давно. Причем все началось как раз с электронной почты. В последние лет 15 фишинговые письма активно использовались, например, для рассылки вредоносных программ, нацеленных на системы дистанционного банковского обслуживания. Схема проста: бухгалтер обнаруживает в почтовом ящике письмо, скажем, от налоговой, скачивает вложение, запускает вредоносную программу и… деньги со счетов фирмы улетают в неизвестном направлении.

Конечно, в случае, если компьютер, предназначенный для работы с ДБО не использовался бы для общения по электронной почте и выполнения задач, не связанных с дистанционным управлением банковским счетом (как по идее и должно быть), вероятность успешной атаки сводилась бы к минимуму, но все мы живем в мире, в котором пароли qwerty и 12345 остаются в числе самых популярных, так что подобный фишинг доставил немало головной боли малому и среднему бизнесу. К слову, популярность троянов для хищения денег через ДБО стала спадать, и они уступили свое место троянам-шифровальщикам, распространяемым через те же фишинговые письма.

Отдельным подвидом фишинговых рассылок являются рассылки, используемые в процессе осуществления целевых атак на организации. Здесь также обычно используется вредоносное п/о, только вот основная цель его – создание точки входа в информационную инфраструктуру компании.

Пример фишингового письма, использованного в процессе атаки на организацию​

Но не будем зацикливаться на вредоносных программах, ведь существует немало схем, использующих исключительно методы социальный инженерии.

Например, такая: злоумышленники регистрируют доменное имя, максимально созвучное с доменным именем какой-нибудь промышленной компании, создают полный клон ее сайта и начинают рассылать ее потенциальным клиентам (или постоянным, если удается добыть клиентскую базу) предложения приобрести продукцию на выгодных условиях. Сайт-клон в данном случае используется для притупления бдительности жертв, а также размещения прайс-листов и фейковой контактной информации. В случае, если жертва захочет поподробнее ознакомиться с номенклатурой продукции, на сайте можно будет найти все необходимые сведения и контакты «ответственных лиц», в роли которых, естественно, будут выступать мошенники.

​Фишинговый сайт компании Роснефть. Злоумышленники скопировали лишь англоязычную версию сайта и поменяли основной контактный телефон.

Иногда мошенники создают фейковые сайты даже для тех компаний, что не имеют собственных веб-ресурсов. Подобное часто происходит, например, с компаниями нефтегазовой отрасли: ежедневно в сети появляются фиктивные сайты нефтеналивных портов и крошечных региональных нефтебаз, каждый из которых пытается перещеголять другие своим масштабом. В англоязычном интернете присутствует даже специальный термин «russian oil scam», ведутся реестры фиктивных компаний с фишинговыми сайтами.

​Фейковый сайт Волжской нефтяной компании. На самом деле у данной организации нет своего интернет-ресурса, его заботливо создали мошенники, использовав один из распространенных шаблонов. На сайте есть даже предупреждение об опасности фишинга

Не думаю, что стоит подробно расписывать суть данного мошенничества: жертва заключает договор с фиктивной организацией и перечисляет деньги за товар на счет злоумышленников, ничего не получая взамен – просто и достаточно эффективно. С учетом того, что речь идет о поставках промышленной продукции, суммы контрактов бывают весьма значительными.

У данной мошеннической схемы есть один минус. Как только сайт-клон выявлен, его дни сочтены – доказать нелегитимность ресурса не составляет особого труда. Но мошенники прекрасно понимают это, как, впрочем, понимают и то, что для реализации подобной схемы вовсе необязательно иметь сайт – достаточно завести лишь почтовый сервер на созвучном домене, ведь основное взаимодействие с жертвами ведется через электронную переписку. К тому же нередки случаи, когда компании используют разные доменные имена для сайта и почтового сервера. Отсутствие фишингового сайта с одной стороны позволяет дольше оставаться в тени, а с другой – существенно затрудняет процесс блокировки такого доменного имени (но, к неудовольствию мошенников, отнюдь не делает эту блокировку невозможной), ведь теперь требуется доказывать факт осуществления фишинговых рассылок с использованием данного домена.

На иллюстрациях выше вы можете видеть зарождение фишингового сайта Петрозаводской нефтебезы. Весь процесс занял 3 дня.

Стоит отметить, что организации, сайты которых были скопированы злоумышленниками, далеко не всегда считают данную ситуацию проблемой: мол, жертвы не мы, а наши клиенты – им просто надо было быть осмотрительнее при выборе контрагента. Понятно, ведь деньги потеряли не они сами, но в то же время подобные инциденты влекут за собой явные репутационные риски и отток клиентов: вдруг конкуренты более внимательно следят за безопасностью своей клиентуры?

Но есть и другие риски, связанные с созданием фишинговых ресурсов и почтовых адресов. И тут мы переходим к ситуации, описанной в самом начале повествования – атаке по типу «человек посередине» (man in the middle, MITM).

Каковы особенности бизнес-переписки в XXI­ веке? Во первых, она по большей частью является электронной, во-вторых она имеет характер диалога: все мы отвечаем на письма кнопкой «ответить» или «ответить всем», сохраняя всю историю предыдущей переписки в каждом новом письме. Таким образом, получив одно письмо, можно изучить всю предысторию вопроса. Иногда это приводит к забавным ситуациям, а иногда позволяет злоумышленникам быстро вникнуть в суть дела и выработать план дальнейших действий. Неважно каким образом изначальная бизнес-переписка попадает в руки злоумышленников, вариантов может быть великое множество: начиная от действий инсайдера внутри одной из компаний, заканчивая компрометацией почтового ящика или отправкой одного из писем по ошибочному адресу. Итог один – мошенники получают информацию о готовящейся сделке и об ответственных лицах каждой из сторон, участвующих в переговорах. Далее все предельно просто – злоумышленники регистрируют доменные имена, схожие с почтовыми доменами каждой из компаний, создают необходимые почтовые ящики и общаются с каждым из контрагентов от лица представителя другой стороны. В условиях динамичной беседы в процессе подготовки к сделке обнаружить факт подмены адреса отправителя письма бывает весьма затруднительно, ведь головы участников процесса забиты совсем другими вещами.

За последний год мне приходилось неоднократно сталкиваться с примерами подобных атак. И пусть речь там шла не о миллионе долларов от венчурного фонда, но вот миллионы рублей там фигурировали постоянно. Причем речь шла как о внутрироссийских контрактах, так и о приобретении дорогостоящего промышленного оборудования за рубежом.

Каков вывод? Фишинг эволюционирует, но жертвами фишинга всегда становятся люди. И фишинг куда проще вовремя выявить, нежели потом пытаться вернуть украденные деньги. Следует тщательно проверять не только адреса сайтов, которые вы посещаете, но и адреса ваших почтовых корреспондентов на всем протяжении переписки.

Ну а организациям можно дать отдельный совет: если в сети появился домен, имитирующий домен вашей компании, не думайте, что вы в безопасности: быть может прямо сейчас кто-то ведет переписку не только от вашего лица с вашими клиентами, но и от имени ваших клиентов с вами?

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "Vitaliy Andreev", "author_type": "self", "tags": [], "comments": 26, "likes": 55, "favorites": 61, "is_advertisement": false, "subsite_label": "tech", "id": 130276, "is_wide": false, "is_ugc": true, "date": "Mon, 09 Dec 2019 10:03:50 +0300", "is_special": false }
0
{ "id": 130276, "author_id": 281804, "diff_limit": 1000, "urls": {"diff":"\/comments\/130276\/get","add":"\/comments\/130276\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/130276"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
26 комментариев
Популярные
По порядку
Написать комментарий...
5

Сейчас я вообще не понимаю, о каком фишинге может идти речь, когда чтобы оплатить интернет или еще что-то в этих интернетах купить мы попадаем на сайт переводов, где мы вводим вообще всю информацию с карты и почему-то должны доверять этому сайту, ведь иначе мы ничего не оплатим. Пользователям что, запоминать нужно, как должны выглядеть страница и адрес сайта оплаты каждого банка?

Ответить
–1

Да тут больше вопрос, как вообще можно было попасть на эту страницу...

Ответить
4

Это собственно и есть задача того, кто занимается фишингом, с этим вопросов у меня как раз нет. У меня скорее непонимание, как можно доверять всем этим платежным платформам.

Ответить
–1

Человеческая тупость безгранична

Ответить
6

Да камон, причем тут тупость? Я как-то хотел купить овервотч в официальном магазине близзард, меня перекинуло на сайт яндекс.денег. Не знаю, изменилось ли что-то сейчас, но тогда я просто охренел - причем здесь яндекс вообще? И ладно, если яндекс, вон сверху на скрине какой-то paykeeper. Кто это вообще? Почему я ему должен доверять всю инфу, включая, мать его, CVV2?

Ответить
1

А если бы перекинуло на сайт Сбера, втб, вы бы не удивились? По-моему куда страшнее когда сайт просит отдать данные карты ему, а не платежнаму агенту.

Ответить
2

По какой логике доверия меньше к Сберу, ВТБ или самому Близзард, чем к какому-то платежному агенту, тем более, если этот платежный агент известен полутора землекопам?

Ответить
2

Передайте привет Сергею Момонову)

Ответить
1

Ты хорошо разбираешься в теме. 
многомиллионные фейки раскрываешь. 
Не думал пару таких контрактов сам провернуть?  

Ответить
0

кек

Ответить
0

Ну а шо....

человек говорит, что умеет это делать

Ответить
0

Да давно уже там все схвачено

Ответить
2

Где?

Ответить
0

хоспаде... ну не просто левый чувак пишет который разбирается в теме и ему куда-то податься надо

Ответить
0

Это все понятно. Но ты ж не знаешь сколько на аферах он мог бы зарабатывать 

Ответить
0

я еще раз спрашиваю, почему решил что не зарабатывает)

Ответить
0

Если зарабатывает, то зачем он бы он тогда об этом писал?
деньги любят тишину 

Ответить
0

... ясенько

Ответить
1

Неплохой материал.

Ответить
1

Столько букв, а так ничего и не сказал

Ответить
0

что-то я не очень представляю как большие контракты заключаются без созвонов и предварительной утряски всех нюансов. разве тут мошенников не выявят?

Ответить
2

Выявляют, но ежедневно заключаются тысячи контрактов, так что для мошенников всегда есть возможности. На моей памяти, например, похожим образом обманули на 2 с лишним миллиона рублей компанию, которая приобретала в Германии промышленное оборудование. Мошенники вклинились в беседу тогда, когда все основные моменты сделки были обговорены. С платежными реквизитами также есть несколько схем, позволяющих притупить бдительность контрагента.

Ответить
1

Подмена реквизитов в бланках договоров, да такое в современном мире ещё есть... Все происходит из-за беспечности и некомпетентности

Ответить
0

Выманил окуня и плотву сегодня на ладожском

Ответить
–1

Уж сколько мусора в выдаче Гугла, который не совсем скам, а партнерки, но все же

Ответить
Обсуждаемое
Новости
Водитель фуры на полчаса перекрыл улицу в центре Москвы. Очевидцы сообщили о его требовании выдать зарплату
Роструд и Следственный комитет начали проверку компании, где он работает.
Наука
Проблемы окружающей среды в 21 веке и влияние человека на их появление
Данная статья призвана обратить внимание людей на глобальные проблемы окружающей среды и причины их появления. Земля – наш дом, но часто ли мы задумываемся о том, что происходит с ним и какое влияние на него оказываем мы – люди. В данной статье я затрону многие проблемы окружающей среды, вызванные самим человеком.
Новости
Число больных неизвестным коронавирусом в Китае превысило 800 человек. Власти закрыли 10 городов
Все города расположены в провинции Хубэй.
Популярное за три дня
Технологии
Google и Mozilla прислали Microsoft поздравительные торты в честь выпуска браузера Edge на Chromium
Просто милота от коллег по цеху.
Интернет и мемы
Так?
Новости
Александр Долгополов уехал из России. На комика написали заявление об оскорблении чувств верующих
«Чтобы быть спокойнее».

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]