Практический разбор фишинга

Практический разбор фишинга

В последнее время спам и фишинг все чаще используются для введения пользователя в заблуждение. С помощью этих методов злоумышленники часто распространяют программы-вымогатели и крадут учетные данные жертв. Для защиты от подобных атак как с технической, так и психологической стороны, необходимо понимать, как работают мошенники, а для этого детально разберем в статье «вредоносные» письма и сайты.

 

 

 

 

  1. Введение
  2. Спам, фишинг и социальная инженерия
  3. Разбор фишинговых сообщений
  4. Разбираем фишинговые сайты
  5. Выводы

 

Введение

Очень часто на корпоративные и личные почтовые ящики приходят фишинговые письма. Название атаки одно (фишинг), но реализаций у данной техники множество. Обычно в корпоративную среду доставляются зловреды: вирусы, трояны, кейлоггеры, бэкдоры или шифровальщики. Цели у этих мероприятий разные.

В отношении же личной почты, о чем и пойдет речь дальше, практически любые уловки направлены на получение экономической выгоды. Спамеры используют фишинговые сайты, угрозы, просьбы о помощи и любые другие средства социальной инженерии, лишь бы получить перевод или данные банковской карты.

Тема уже давно не новая, и, казалось бы, маловероятно, что кто-то купится на такую уловку, однако только спрос рождает предложение — раз это еще используется, значит, работает.

 

Спам, фишинг и социальная инженерия

Хоть это уже и не совсем актуально, большинство людей, используя эти термины в разговоре, не всегда применяют данные понятия по назначению. Например, брутфорс и атака по словарю — метод один и тот же, но подходы разные.

Поэтому немного терминологии:

Спам — это любые рассылки сообщений, и не обязательно от злоумышленника. Любые нежелательные рекламные письма, на получение которых получатель не давал согласия. Они происходят массово и нецеленаправленно.

Фишинг — это кампании, нацеленные на получение выгоды от жертвы (аутентификационных данных, денег). Часто это понятие пересекается со спамом в сумме с социальной инженерией, но спам и фишинг существуют параллельно друг с другом. Например, создание поддельного сайта с перехватом учетных данных или cookie-сессий.

Социальная инженерия (СИ) — это некие психологические техники, которые используют хакеры. Они используется для убеждения жертвы в чем-либо или чтобы предвидеть ее действия. Профессиональные социальные инженеры практически «взламывают» людей, а обычным хакерам достаточно знать основные точки давления. Подробнее об этом мы писали здесь.

Как правило, для хорошей кампании необходимо использовать все три понятия. В данных техниках одно без другого не будет иметь положительного результата.

Приведенные техники описаны только для ознакомления. Ни автор, ни редакция не несут ответственности за вред, нанесенный описанными способами.

Техника устаревшая, 2014-2015 годов (до ввода двухфакторной аутентификации), в реальных примерах уже почти не встречается.

Есть множество хакерских форумов, где можно заказать, к примеру, взлом страницы социальной сети. Реальный взлом аккаунта vk.com посредствам фишинга выглядит так:

  1. Арендуется VDS и доменное имя 4 уровня типа www.vk.com.tg. На web-сервере vds размещаются темплейты, в точности похожие по оформлению на сайт-оригинал, с содержимым, что от лица пользователя/жертвы очень много спама, и ему необходимо пройти валидацию.
  2. Создается группа от лица администрации, которая оповещает пользователя о блокировке аккаунта, и просит пройти по ссылке, и доказать, что он не робот, введя логин/пароль.
  3. Введенные данные перехватываются злоумышленником посредством встроенного скрипта.

 

Рисунок 1. Код фишинговой валидации vk.com

 Код фишинговой валидации vk.com

 

Это реальный пример грамотного фишинга, в котором используется социальная инженерия и спам. Он направлен на одну жертву, поэтому все должно выглядеть правдоподобно. Внушается доверие от автора сообщения (это же администрация, ей можно доверять), и теряется бдительность, а дальше — дело техники.

 

Разбор фишинговых сообщений

Данное письмо пришло сотруднику одной IT-компании:

06.06.2019, 09:45, "Твой кошмар - Info" <rafaelengel@jpwyvx.ty-poyman.info>:

Привет.

Я думаю, вы не будете счастливы, потому
что у меня для вас очень плохие новости.

Всего несколько месяцев назад (04/03/2019) я
взломал вашу операционную систему и
полностью контролировал ваше устройство.
Я имплантировал в ваше устройство
небольшое приложение, которое отправляет
мне ваш текущий IP-адрес и позволяет мне
подключаться к вашему устройству, как
удаленный рабочий стол. Даже если вы
измените свой пароль, это не поможет.

Как я заразил тебя?
Маршрутизатор, который вы использовали
для подключения к Интернету, имел дыру в
безопасности.
Вы можете прочитать об этой проблеме,
выполнив поиск CVE-2018-10562.
Я взломал ваш роутер и вставил в него свой
код, и когда вы попытались подключиться к
Интернету, моя программа заразила ваше
устройство.

Позже я сделал полную копию вашего
жесткого диска (у меня есть все ваши
списки контактов электронной почты,
список сайтов, которые вы посетили,
номера телефонов, пароли и т. Д.)

Некоторое время спустя, когда я искал
вашу историю просмотра веб-страниц, и я
был шокирован увиденным !!
Сайты для взрослых, которые вы посещаете
... вы знаете, что я имею в виду ...

Я просто хочу сказать - ваши фантазии
сместились далеко от обычного курса!…

Последние 2 месяца я шпионил за вами через
камеру вашего устройства ... особенно,
когда вы посещали эти сайты, чтобы
повеселиться ...
Эти ролики ясно показывают, что вам
весело, и контент для взрослых, который вы
смотрели ... это довольно неприятно, и я бы
очень волновался на вашем месте.

Я получил 4 видео:
Info_esia_pro_1557645653.mp4 (41.0 MB)
Info_esia_pro_1557627975.mp4 (76.4 MB)
Info_esia_pro_1557617028.mp4 (41.5 MB)
Info_esia_pro_1558066450.mp4 (29.0 MB)

Вы можете убедиться, что временные метки
соответствуют моментам, когда вы
наслаждались ...

Теперь, потому что мне совсем не нравится
то, что я видел (это довольно безумно и
безобразно), я прошу вас отправить мне
пожертвование через сеть Биткойн.

150 000 российских рублей - это справедливая
цена (учитывая ваши извращения).

Если вы хотите, чтобы я забыл обо всем
этом деле, удалите файлы и отключите
противное приложение, которое шпионит за
вами, отправьте мне платеж Bitcoin в течение
72 часов. Да, я даю вам только 72 часа.

Вот мой кошелек:

=======================================
Отправьте ровно 0.293514 BTC на мой адрес:

34bcuAhu7x8u19MCJVD7AHVjJZcLj1yjyK

(скопируйте и вставьте - он чувствителен к
регистру)
=======================================
0.293514 BTC = 150 000 руб.

Если вы не отправите мне Биткойн, я обещаю
вам - я отправлю эти 4 файла вместе с вами
во все ваши списки контактов, партнеров и
друзей в социальных сетях.

У меня все еще есть доступ к вашему
устройству, и я знаю, когда вы читаете это
сообщение. Когда вы открыли его, время
начало тикать. У вас есть только 72 часа!

Я из Индии, и никто не поможет вам, если вы
сообщите об этом письме. Прежде чем они
найдут меня, ваша жизнь будет разрушена!
Если вы не будете сотрудничать со мной - я
немедленно опубликую этот уродливый
материал.

Вот почему я советую вам - отправьте мне
биткойн и давайте забудем обо всей
ситуации. Я знаю, ты можешь себе это
позволить.

Если вы не знаете, как отправить биткойн,
зайдите в Google и поищите, как это сделать.
Есть много вариантов, таких как CoinBase.

Вот мой адрес снова:

=======================================
Отправить точно:

0.293514 BTC

на мой адрес:

34bcuAhu7x8u19MCJVD7AHVjJZcLj1yjyK

=======================================

Не забудьте отправить точную сумму, как
указано выше! Таким образом, я буду знать,
что это от вас.

Не сердись на меня. Это просто моя работа,
и вы не единственный, кого я поймал.

Злитесь на свои фантазии - если бы вы не
посещали эти сайты для взрослых, у вас не
было бы проблем ... но сейчас ...

Я жду твоего биткойна.

Помните, время идет ...

--
анонимное

Мы анонимы. Мы легион.
Мы не прощаем. Мы не забываем.
Ожидайте нас.

Типичное письмо-вымогатель. Такой текст направлен на людей с расшатанной психикой или несформированной личностью. Достаточно грамотно составлено, однако имя жертвы нигде не встречается. Из чего можно сделать вывод, что злоумышленник его и вовсе не знает, а отправляет письма массово.

Упоминания о друзьях в соцсетях, о которых хакер якобы знает, нагоняют еще больший ужас на получателя. Эта уловка действенна, но с другой стороны, угадать что у пользователя есть аккаунт в соцсети, все равно что угадать, что у него есть соседи. А вот упоминание о списке контактов — это ошибка. Очень маленький процент пользователей хранит на компьютере что-то подобное, а о синхронизации и вообще не может быть и речи. Плюс неплохой русский язык для автопереводчика.

Все это делается на моменте эмоциональной нестабильности, для этого и дано 72 часа. Да, за это время жертва может немного успокоиться, но ожидание наказания всегда хуже самого наказания — и это еще один неплохой ход в пользу спамера.

Упоминание уязвимости роутера — тоже так себе затея, потому что если проверить данный факт, то модель может не совпасть, или подключение идет напрямую к компьютеру.

В итоге, если пройтись по всем маленьким недочетам и странностям, вырисовывается картина, что это вовсе и не про жертву. Но если ее охватят любые негативные эмоции — испуг или злоба — то по мере прочтения на детали уже никто обращать внимание не будет, и вероятно, злоумышленник получит свои деньги за несуществующие видеофайлы.

Следующее письмо было получено непосредственно автором. Пришло сразу 4 штуки с разницей во времени примерно 15 минут.

 

Рисунок 2. Фишинговое письмо

 Фишинговое письмо

 

Жалостливая тематика больного ребенка и матери-одиночки, которым срочно нужны деньги для лекарств. Такие методы направлены на людей с активной жизненной позицией и личностей, обладающих «наивным состраданием» и излишней доверчивостью. Автор письма не скрывает, что это спам-рассылка, и просит помочь, называя номер карты для перевода денег.

В данном письме нет ни контактов, ни фото больного мальчика, ни имен (кроме Миши). Зато номер карты для перевода денег указать не забыли. Данное письмо приведено как образец неудачной спам-кампании.

 

Рисунок 3. Заголовки письма

 Заголовки письма

 

Отправлено было с почтового ящика на Яндексе, причем спамер не пользовался никакими специальными утилитами и сервисами. Заголовки чистые, как у обычного письма, отправленного через почтовую систему из браузера. Исключением является только один факт — отправлялось оно на один почтовый ящик, а пришло на другой.

Злоумышленник вбил адреса получателей (их было совсем немного) и отправил письма. Потрачено на данную акцию было не больше 15-20 минут, но и результат соответствующий.

И еще одно письмо:

 

Рисунок 4. Текст фишингового письма

 Текст фишингового письма

 

Текст направлен на алчную сторону человека. Громкий заголовок о перечислении денежных средств не смутит жадного человека, что он и не заключал никакого договора с такой компанией.

Подпись письма, скорее всего, соответствует оригиналу. Сайт, номер телефона и название компании — все оригинальное. Правильная подача — все разбросано так, что особо и не бросается в глаза середина письма, главное получить деньги.

Если присмотреться: company website не соответствует действительности и не существует. Номер телефона тоже не упоминается в Google, что уже странно.

 

Рисунок 5. Заголовки фишингового письма

Заголовки фишингового письма 

 

В заголовке письма в полях, связанных с прохождением письма, явно указывается сервер компании SendGrid (компания, предоставляющая услуги рассылки писем). Вряд ли оповещения о получении денег рассылаются массово через данный сервер для спама.

Обратный адрес хоть и соответствует действительности, но его можно легко заменить в поле «From» smtp-протокола, как и полностью заголовок письма.

В итоге: нереальные адреса, рассылка при помощи спам-серверов, номера телефонов, на которые невозможно дозвониться — все указывает на фишинг, и переходить по ссылкам в теле письма небезопасно.

 

Разбираем фишинговые сайты

В последнем письме приведена ссылка https://is.gd/SwnIQn, на котором якобы можно получить обещанные денежные средства. Как и предполагалось, происходит редирект на другой адрес https://is.gd/s2miuH, где речи о переводе нет, а требуется пройти некий опрос, который и принесет деньги, причем уже за 100 000 рублей.

 

Рисунок 6. Главная страница фишингового сайта

 Главная страница фишингового сайта

 

Создатели утверждают, что при прохождении опроса необходимо ввести данные карты для того, чтобы выполнить тестовое списание денег в размере 160 рублей, которые они обязательно вернут с заслуженной суммой.

 

Рисунок 7. Фейковая платежная система

 Фейковая платежная система

 

Фейковая платежная система, ради которой вся кампания и построена. Пользователь вводит данные банковской карты, и они утекают кардерам на действия, которые на сленге называются «вбив» или «обнал».

Система стара как мир — каждый хочет быть индивидуальным и получить легких денег, на эту уловку социальной инженерии и рассчитан данный фишинг. Платежная система скопирована с настоящей и вызывает подозрение, лишь если внимательно посмотреть на URL — https://globalpay4.top/select/internal-account/235?label=donors.

Если перейти лишь на https://globalpay4.top, то получим пустую страницу с надписью «top secret!».

Доменное имя имеет IP 185.254.188.69, и это не web-хостинг. Это выделенный сервер.

 

Рисунок 8. Информация об IP-адресе

 Информация об IP-адресе

 

Если учитывать фишинговую кампанию сайта в сумме с письмом, то очень много логических несовпадений: выплата по договору, а на сайте необходимо пройти опрос, подозрительный URL, чтобы получить деньги — сначала их надо отдать. Все эти неувязки должны наталкивать на мысли об обмане.

 

Выводы

Организуя фишинговые кампании, злоумышленники используют социальную инженерию как средство психологической атаки. Обычно это самые сильные аспекты человеческих качеств: злость, страх, сострадание и жалость. В случае грамотной манипуляции хакер выводит жертву на эмоции, при которых уже незаметны мелкие расхождения и неувязки. Однако дьявол кроется в деталях.

Для выявления и разоблачения фишинга необходимо находиться в состоянии эмоционального покоя, испытывать положительные эмоции, за исключением эйфории.

Под обязательную проверку попадают все контакты, которые указаны в письме. Если в теле письма есть неверные уточнения или утверждения, есть сомнения по поводу отправителя, в полях указаны сторонние адреса — это все является доказательством фишинга.

При переходе по ссылкам лучше открывать их в режиме инкогнито. Если в момент перехода на сайт браузер затребовал разрешения к камере, микрофону или включить Adode Flash, то делать этого не стоит, так как javascript локальный язык, и выполняется он на стороне клиента, а в коде может быть что угодно. Также необходимо обращать внимание на доменные имена и редиректы между сайтами. Вряд ли get-запросы со спецзнаками используют реальные фирмы.

Если следовать этим рекомендациям, то фишинг можно определить с очень высокой вероятностью.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru