Мы неоднократно поднимали тему фишинга в наших статьях, рассказывая о самых изощренных методах мошенниках. Атаки принимают разные формы и чаще всего приходят по электронной почте. Сегодня мы расскажем о 5 из 11 формах фишинга, приведем примеры и дадим советы по безопасности.
Начнем с самого распространенного типа фишинга, использующего принцип «spray and pray». Суть метода проста, злоумышленники выдают себя за легитимную компанию и отправляют массовую рассылку на все имеющиеся у них адреса электронных почт.
Обычно атака имеет элемент срочности, пользователь получает письмо о проблема с личным счетом, в которые необходимо вмешаться лично. Кибер-преступники надеются создать стрессовую ситуацию, в которой жертва без лишних вопросов выполнит все пункты письма, например, переход по ссылке с дальнейшей авторизацией. Но введя свои регистрационные данные, жертва передаст свою информацию в руки хакеров.
Пример почтового фишинга
The Daily Swig сообщила о фишинговой атаке, произошедшей в декабре 2020 года на американского поставщика медицинских услуг Elara Caring, которая произошла после несанкционированного компьютерного вторжения, нацеленного на двух его сотрудников. Злоумышленник получил доступ к электронной почте сотрудников, в результате чего были раскрыты личные данные более 100 000 пожилых пациентов, включая имена, даты рождения, финансовую и банковскую информацию, номера социального страхования, номера водительских прав и страховую информацию. Злоумышленник имел несанкционированный доступ в течение целой недели, прежде чем Elara Caring смогла полностью остановить утечку данных.
Данный метод не приносит большой конверсии, в последнее время встречается все меньше и меньше таких писем. И злоумышленников можно понять: кибер-грамотность пользователей растет с каждым годом. На первые места выходят персонализированные атаки, а не массовые рассылки.
Метод нацелен на конкретных людей внутри организации. Получив данные из разных каналов о потенциальной жертве, злоумышленники отправляют персонализированное деловое письмо, от лица партнера или клиента. Жертва должна поверить в то, что между ним и отправителем были или взаимоотношения.
Пример
Armorblox сообщила о атаке в сентябре 2019 года против руководителя компании, признанной одной из 50 лучших инновационных компаний в мире. Письмо содержало вложение, которое, по-видимому, было внутренним финансовым отчетом, для доступа к которому требовалось пройти авторизацию на поддельной странице входа в Microsoft Office 365. На поддельной странице входа в систему уже было заранее введено имя пользователя руководителя, что еще больше усиливало маскировку мошеннической веб-страницы
Метод похож на целевую атаку, с небольшим отличием: вместо атаки на рядового сотрудника, злоумышленники целятся на ТОП менеджеров и руководителей отделов. Такие пользователи имеют больший доступ и возможности. Часто эти письма пытаются оказать психологическое давление, например, передавая информацию о поданном на компанию судебном иске. В письмо так же содержится ссылка для ознакомления с подробной информацией.
Пример атаки
В ноябре 2020 года Tessian сообщил о уэйлинг-атаке на соучредителя австралийского хедж-фонда Levitas Capital. Соучредитель получил электронное письмо, содержащее поддельную ссылку в Zoom, которая внедрила вредоносное ПО в корпоративную сеть хедж-фонда и почти привела к уводу 8,7 миллиона долларов США на счета мошенников. В конечном счете злоумышленник смог заполучить только лишь 800 000 долларов США, однако последовавший за этим репутационный ущерб привел к потере крупнейшего клиента хедж-фонда, что вынудило его закрыться навсегда.
Метод использует SMS рассылку, а не электронную почту. Принцип действия такой же, как и при осуществлении фишинговых атак (с текстом и ссылкой). Ссылка может быть замаскирована под код купона (скидка 20% на следующий заказ) или предложение выиграть что-то ценное.
Пример Smishing-а
В сентябре 2020 года Tripwire сообщила о смишинг-кампании, в рамках которой в качестве маскировки использовалась американская почтовая служба United States Post Office (USPS). Злоумышленники рассылали SMS-сообщения, информирующие получателей о необходимости перейти по ссылке для просмотра важной информации о предстоящей доставке USPS. Вредоносная ссылка фактически приводила жертв на различные веб-страницы, предназначенные для кражи учетных данных посетителей аккаунта Google.
Голосовые атаки производятся с помощью телефонного звонка. Атака передает автоматическое голосовое сообщение якобы от банка или гос. учреждения. Злоумышленники заявляют, что вы задолжали крупную сумму или имеете неоплаченный штраф. Обговариваются сроки обязательного платежа и санкции в случае его отсрочки. Система потребует подтвердить свою личность, путем озвучивания данных банковской карты, прежде чем вы сможете получить дополнительную информацию.
Пример голосовой атаки
Не так давно на граждан РФ обрушились звонки от служб безопасности одного известного банка. По не подтвержденной информации, более 35 тысяч человек пострадали от действий мошенников. Огромную роль в предотвращении атак сыграли массовые обсуждения между людьми – мы просто перестали верить словам «специалистам банка».
Пример из-за рубежа
В сентябре 2020 года медицинская организация Spectrum Health System сообщила о вишинг-атаке, в рамках которой пациенты получали телефонные звонки от лиц, маскирующихся под ее сотрудников. Злоумышленники намеревались извлечь персональные данные пациентов и членов Spectrum Health, включая идентификационные номера членов и другие личные медицинские данные, связанные с их учетными записями. Spectrum Health сообщила, что злоумышленники использовали такие меры, как лесть или даже угрозы, чтобы заставить жертв передать свои данные, деньги или доступ к их личным устройствам.
О других видах фишинга мы расскажем во второй части статьи.
© 2007-2024 ООО «Олоф». Все права защищены. Все цены указаны в рублях (р)
