Все привыкли воспринимать фишинг, как что-то связанное с выманиванием пароля от Инстаграма или кражей денег через фейковый платежный шлюз. На самом деле фишинг – куда более широкое понятие и он продолжает эволюционировать.
Прочитав на прошлой неделе новость о том, что неизвестный хакер похитил у венчурного фонда миллион долларов, предназначавшихся для финансирования израильского стартапа, я решил поподробнее написать об эволюции фишинга, нацеленного на корпоративный сектор, тем более, что в последнее время подобные виды атак переживают свой расцвет.
Так как моя работа связана с выявлением киберугроз, в том числе и фишинга, (я работаю в проекте ETHIC компании «Инфосекьюрити»), у меня накопилось множество примеров самых разнообразных фишинговых схем, в том числе и таких, как описанная в статье по ссылке. Но обо всем по порядку.
Фишинг пришел в корпоративную среду достаточно давно. Причем все началось как раз с электронной почты. В последние лет 15 фишинговые письма активно использовались, например, для рассылки вредоносных программ, нацеленных на системы дистанционного банковского обслуживания. Схема проста: бухгалтер обнаруживает в почтовом ящике письмо, скажем, от налоговой, скачивает вложение, запускает вредоносную программу и… деньги со счетов фирмы улетают в неизвестном направлении.
Конечно, в случае, если компьютер, предназначенный для работы с ДБО не использовался бы для общения по электронной почте и выполнения задач, не связанных с дистанционным управлением банковским счетом (как по идее и должно быть), вероятность успешной атаки сводилась бы к минимуму, но все мы живем в мире, в котором пароли qwerty и 12345 остаются в числе самых популярных, так что подобный фишинг доставил немало головной боли малому и среднему бизнесу. К слову, популярность троянов для хищения денег через ДБО стала спадать, и они уступили свое место троянам-шифровальщикам, распространяемым через те же фишинговые письма.
Отдельным подвидом фишинговых рассылок являются рассылки, используемые в процессе осуществления целевых атак на организации. Здесь также обычно используется вредоносное п/о, только вот основная цель его – создание точки входа в информационную инфраструктуру компании.
Но не будем зацикливаться на вредоносных программах, ведь существует немало схем, использующих исключительно методы социальный инженерии.
Например, такая: злоумышленники регистрируют доменное имя, максимально созвучное с доменным именем какой-нибудь промышленной компании, создают полный клон ее сайта и начинают рассылать ее потенциальным клиентам (или постоянным, если удается добыть клиентскую базу) предложения приобрести продукцию на выгодных условиях. Сайт-клон в данном случае используется для притупления бдительности жертв, а также размещения прайс-листов и фейковой контактной информации. В случае, если жертва захочет поподробнее ознакомиться с номенклатурой продукции, на сайте можно будет найти все необходимые сведения и контакты «ответственных лиц», в роли которых, естественно, будут выступать мошенники.
Иногда мошенники создают фейковые сайты даже для тех компаний, что не имеют собственных веб-ресурсов. Подобное часто происходит, например, с компаниями нефтегазовой отрасли: ежедневно в сети появляются фиктивные сайты нефтеналивных портов и крошечных региональных нефтебаз, каждый из которых пытается перещеголять другие своим масштабом. В англоязычном интернете присутствует даже специальный термин «russian oil scam», ведутся реестры фиктивных компаний с фишинговыми сайтами.
Не думаю, что стоит подробно расписывать суть данного мошенничества: жертва заключает договор с фиктивной организацией и перечисляет деньги за товар на счет злоумышленников, ничего не получая взамен – просто и достаточно эффективно. С учетом того, что речь идет о поставках промышленной продукции, суммы контрактов бывают весьма значительными.
У данной мошеннической схемы есть один минус. Как только сайт-клон выявлен, его дни сочтены – доказать нелегитимность ресурса не составляет особого труда. Но мошенники прекрасно понимают это, как, впрочем, понимают и то, что для реализации подобной схемы вовсе необязательно иметь сайт – достаточно завести лишь почтовый сервер на созвучном домене, ведь основное взаимодействие с жертвами ведется через электронную переписку. К тому же нередки случаи, когда компании используют разные доменные имена для сайта и почтового сервера. Отсутствие фишингового сайта с одной стороны позволяет дольше оставаться в тени, а с другой – существенно затрудняет процесс блокировки такого доменного имени (но, к неудовольствию мошенников, отнюдь не делает эту блокировку невозможной), ведь теперь требуется доказывать факт осуществления фишинговых рассылок с использованием данного домена.
На иллюстрациях выше вы можете видеть зарождение фишингового сайта Петрозаводской нефтебезы. Весь процесс занял 3 дня.
Стоит отметить, что организации, сайты которых были скопированы злоумышленниками, далеко не всегда считают данную ситуацию проблемой: мол, жертвы не мы, а наши клиенты – им просто надо было быть осмотрительнее при выборе контрагента. Понятно, ведь деньги потеряли не они сами, но в то же время подобные инциденты влекут за собой явные репутационные риски и отток клиентов: вдруг конкуренты более внимательно следят за безопасностью своей клиентуры?
Но есть и другие риски, связанные с созданием фишинговых ресурсов и почтовых адресов. И тут мы переходим к ситуации, описанной в самом начале повествования – атаке по типу «человек посередине» (man in the middle, MITM).
Каковы особенности бизнес-переписки в XXI веке? Во первых, она по большей частью является электронной, во-вторых она имеет характер диалога: все мы отвечаем на письма кнопкой «ответить» или «ответить всем», сохраняя всю историю предыдущей переписки в каждом новом письме. Таким образом, получив одно письмо, можно изучить всю предысторию вопроса. Иногда это приводит к забавным ситуациям, а иногда позволяет злоумышленникам быстро вникнуть в суть дела и выработать план дальнейших действий. Неважно каким образом изначальная бизнес-переписка попадает в руки злоумышленников, вариантов может быть великое множество: начиная от действий инсайдера внутри одной из компаний, заканчивая компрометацией почтового ящика или отправкой одного из писем по ошибочному адресу. Итог один – мошенники получают информацию о готовящейся сделке и об ответственных лицах каждой из сторон, участвующих в переговорах. Далее все предельно просто – злоумышленники регистрируют доменные имена, схожие с почтовыми доменами каждой из компаний, создают необходимые почтовые ящики и общаются с каждым из контрагентов от лица представителя другой стороны. В условиях динамичной беседы в процессе подготовки к сделке обнаружить факт подмены адреса отправителя письма бывает весьма затруднительно, ведь головы участников процесса забиты совсем другими вещами.
За последний год мне приходилось неоднократно сталкиваться с примерами подобных атак. И пусть речь там шла не о миллионе долларов от венчурного фонда, но вот миллионы рублей там фигурировали постоянно. Причем речь шла как о внутрироссийских контрактах, так и о приобретении дорогостоящего промышленного оборудования за рубежом.
Каков вывод? Фишинг эволюционирует, но жертвами фишинга всегда становятся люди. И фишинг куда проще вовремя выявить, нежели потом пытаться вернуть украденные деньги. Следует тщательно проверять не только адреса сайтов, которые вы посещаете, но и адреса ваших почтовых корреспондентов на всем протяжении переписки.
Ну а организациям можно дать отдельный совет: если в сети появился домен, имитирующий домен вашей компании, не думайте, что вы в безопасности: быть может прямо сейчас кто-то ведет переписку не только от вашего лица с вашими клиентами, но и от имени ваших клиентов с вами?
