Programe de phishing. Programele de phishing (frauduloase) vă fură parolele. Factorul de inginerie socială
Phishingul, sau frauda care vizează furtul de date prin copierea imaginilor externe ale resurselor populare, tocmai a apărut în lumea mobilă. În acest articol, vom analiza anatomia unor astfel de atacuri și vom afla exact cum intră cu succes hackerii în banii utilizatorilor de telefoane Android.
Statistici de phishing pe platformele mobile.
Smartphone-urile și tabletele au pătruns în viața noastră atât de repede încât comportamentul personajelor din filme în urmă cu cinci ani pare deja anacronic. Desigur, alături de obiceiuri utile și nu atât de utile, utilizatorul a dobândit și noi dușmani de internet.
Conform statisticilor, 85% din toate dispozitivele mobile au o singură versiune de Android instalată și nu este surprinzător că majoritatea atacurilor și malware-ului vizează în mod special sistemul nostru de operare preferat. Desigur, situația nu este la fel de rea ca cu Windows acum zece ani, dar tendința este înfricoșătoare.
În ianuarie anul trecut, ne-am uitat la cât de ușor este să creezi un cryptolocker pentru Android - un program care criptează datele utilizatorilor. Și puțin mai târziu, în aprilie 2016, Kaspersky Lab ne-a confirmat temerile: compania a anunțat apariția troianului de vestiar Fusob, care a atacat smartphone-urile utilizatorilor din peste o sută de țări.
Varietatea de phishing
Mimarea malware-ului ca ceva util este o tendință destul de veche. În urmă cu aproximativ zece până la cincisprezece ani, a avut loc un boom în popularitatea site-urilor care erau foarte asemănătoare cu portalurile oficiale ale băncilor sau sistemelor de plată. Astfel de resurse de phishing au încercat să fure conturi de utilizator, sau chiar mai bine, informații despre cardul de credit.
Dar acel val de furturi a ocolit țările CSI. Pur și simplu nu aveam nimic de luat de la noi: Pavel Durov nu scrisese încă nimic, iar cardurile de plastic nu erau populare. Acum, pentru escroci, situația a devenit cu adevărat „gustoasă”: cumpărături online, servicii bancare mobile, tot felul de rețele sociale - multe sunt acum disponibile printr-un telefon mobil conectat la internet.
Nu au existat încă povești despre epidemiile de phishing, dar există deja semne de avertizare neplăcute. Navigarea pe internet de pe dispozitive mobile a devenit mult mai puțin sigură: mai întâi, webmasterii au adaptat publicitatea pentru conținutul mobil, iar apoi oamenii fără scrupule au ajuns din urmă. Destul de recent, la începutul lui decembrie 2016, a apărut o fereastră pe o resursă sportivă populară cu o propunere de „actualizare WhatsApp învechit” - desigur, dezvoltatorii de mesagerie nu au nimic de-a face cu o astfel de publicitate.
Orez. 2. Program viral de afiliere pe o resursă mare Astfel de mesaje sunt generate pe partea de server și arată destul de stângaci. Dar odată în interiorul dispozitivului, un atacator poate efectua un atac mai elegant și mai eficient. Să ne dăm seama cât de dificil este să înlocuiești o aplicație funcțională cu „analogic” rău intenționat în Android.
Încă nu există nimic mai universal în lume decât banii, așa că merită să încercați să obțineți acces la portofelul utilizatorului. Cum se debitează banii prin trimiterea de SMS-uri către numere scurte, am spus deja, astăzi vom ajunge la un card bancar.
Aproape Google Market
Pentru phishing, nu trebuie să implementați funcționalitatea exactă a Google Market - este mai ușor să scrieți o aplicație care își extinde capacitățile fără a modifica codul sursă. Ești interesat să știi cum fac hackerii asta? Atunci să mergem!
Alegere
Ar fi greșit să încercați să falsificați o aplicație pe care proprietarul dispozitivului nu o folosește deloc. Ca și în cazul unei intruziuni normale, fraudatorul trebuie să evalueze mai întâi mediul în care a intrat. Diversitatea furnizorilor care produc dispozitive mobile a dus la schimbări majore în sistemul de operare în sine. Și deși, potrivit marketerilor, toate rulează pe aceeași platformă Android, setul de aplicații care rulează poate fi complet diferit. Android are un API încorporat pentru a obține o listă de procese care rulează - acesta este serviciul de sistem ACTIVITY_SERVICE.
ActivityManager am = (ActivityManager ) getSystemService ( Context . ACTIVITY_SERVICE ) ; Listă< ActivityManager .RunningAppProcessInfo >runningAppProcessInfo = sunt .getRunningAppProcesses () ; |
Din motive de securitate, în fiecare an Google limitează din ce în ce mai mult capacitatea aplicațiilor de a interacționa între ele. Acest lucru nu este menționat în mod explicit în documentație, dar pentru versiunile Android 4.0 și ulterioare, un astfel de apel va returna o listă dintr-o singură aplicație - a ta. Nu totul este pierdut - Android se bazează pe nucleul Linux, ceea ce înseamnă că avem o consolă. Puteți ajunge la el manual folosind utilitarul adb inclus în Android Studio.
Rezultatul muncii este de așteptat similar cu rezultatul produs de comanda Linux cu același nume - un tabel cu multe valori separate prin file.
media_rw1730 1176 7668 1876 1 20 0 0 0 fg inotify_re b75c3c46 S/system/bin/sdcard (u: 0, s: 3) u0 _ a151798 1202 1298044 30520 0 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .google .android .googlequicksearchbox : interactor (u : 3 , s : 1 ) u0 _ a351811 1202 1272580 37692 1 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .android .inputmethod .latin (u : 9 , s : 1 ) u0 _ a81871 1202 1428180 77468 0 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .google .android .gms .persistent (u: 168, s: 163) |
De fapt, această ieșire conține informații suficiente pentru phishing: numele procesului, identificatorul acestuia, prioritatea de execuție și așa mai departe. Puteți lansa utilitarul nu numai manual, ci și din aplicație - pentru a accesa shell, API-ul standard are clasa Shell.
Listă< String >stdout = Shell .SH .run ("cutie de instrumente ps -p -P -x -c" ); |
Utilizatorii Linux trebuie adesea să scrie scripturi cu o singură linie, astfel încât analizarea unei astfel de rezultate nu este o problemă pentru ei. Dar dezvoltatorii OOP sunt mai delicati și probabil că nu vor dori să facă asta.
Există deja un proiect pe GitHub care implementează funcționalitatea necesară. A fost creat de un anume Jared Rummler, pentru care îi vom mulțumi. Prelucrarea rezultatului execuției casetei de instrumente este creată sub forma unei biblioteci care poate fi conectată direct prin Gradle.
Toate informațiile despre rularea proceselor sunt împachetate într-un obiect din clasa AndroidAppProcess. Dacă te uiți la codul sursă al bibliotecii, nu este nimic de prisos acolo - doar analiza ieșirii consolei. Informațiile despre o anumită aplicație vor trebui extrase prin căutare directă.
pentru (AndroidAppProcess pr: procese) ( if (pr .getPackageName() .equals(ps_name) ) ( //fa ceva |
Vă rugăm să rețineți: începând cu Android 7.0, Google a introdus restricții privind accesul la informații despre procesele altor aplicații. Acum nu poate fi obținut nici măcar folosind comanda ps și citind direct sistemul de fișiere /proc. Cu toate acestea, majoritatea utilizatorilor nu vor trece la Android 7+ foarte curând - dacă nu vor deloc.
Aplicații active
Operațiunile de phishing de succes, de regulă, sunt bine pregătite - escrocii știu să aleagă momentul, astfel încât utilizatorul să nu aibă nici cea mai mică suspiciune de fraudă. Prin urmare, telefonul nu ar trebui să vă ceară pur și simplu să introduceți detaliile cardului dvs. bancar - acest lucru va fi foarte suspect. Mesajele de phishing apar sub un anumit pretext, de exemplu, pseudo-actualizări plătite pentru 1C sau resurse bancare fictive la adrese similare ca ortografie cu cele legale.
Multitasking Android poate juca în mâinile tale aici - o duzină de aplicații pot funcționa simultan în sistemul de operare, înlocuindu-se unele pe altele. Este posibil ca un utilizator fără experiență să nu înțeleagă (sau măcar să nu se gândească) la ce aplicație lucrează în prezent. Ieșirea ps oferă informații despre aplicațiile care interacționează în mod activ cu utilizatorul - adică vizibile pentru acesta.
u0_a65. . . bg SyS_epoll_ b7366d35 S com .localhost .app .noizybanner (u: 248, s: 84) u0_a64. . . fg SyS_epoll_ b7366d35 S com .localhost .app .fragments (u: 7, s: 11) |
Acest parametru se află în coloana a 11-a - valoarea de aici poate fi bg (fundal, ascuns) sau fg (prim-plan, vizibil). Sistemul de operare monitorizează în mod independent astfel de stări ale aplicației, astfel încât sarcina dezvoltatorului este să apeleze ps numai din când în când.
Pe baza bibliotecii se obtine o metoda simpla care determina starea aplicatiei dorite.
boolean privat isProccessForeground(String ps_name) Listă< AndroidAppProcess >procese = AndroidProcesses.getRunningForegroundApps(getApplicationContext()); . . . |
Avem posibilitatea de a selecta imediat numai procesele vizibile folosind metoda cu același nume. Dar nu funcționează întotdeauna corect și chiar afișează aplicații care sunt momentan invizibile pentru utilizator. În această situație, trebuie să verificați valoarea metodei din prim-plan, care va fi adevărată dacă orice activitate este vizibilă pentru utilizator.
pentru (AndroidAppProcess pr: procese) if (pr .getPackageName () .equals (ps_name ) && (pr .foreground == true ) ) ( Log .e ( "ps", " " + pr . getPackageName () + " foreground " + pr . foreground ) ; returnează adevărat; . . . |
Acum este posibil să găsiți un moment oportun pentru un atac - apelarea acestei metode va arăta dacă utilizatorul lucrează în prezent într-o anumită aplicație. De îndată ce metoda revine adevărată, puteți lansa orice activitate, care va fi afișată imediat utilizatorului. Aceasta este esența atacului - pentru a arăta utilizatorului o fereastră de phishing sub masca unei notificări de la o aplicație de încredere.
// Verificați dacă Google Market este deschis if (isProccessForeground("com.android.vending")) ( Intenție i = new Intent(); i.setClass(getApplicationContext(), FakeGUI.class); startActivity(i); |
În general, un atac de phishing a fost deja creat. Pentru a-l utiliza, trebuie să configurați monitorizarea periodică a aplicației pentru victimă și, de asemenea, să desenați o fereastră GUI pentru introducerea datelor cardului bancar.
Servicii
Monitorizarea stării aplicației nu este dificilă, trebuie doar să reporniți metoda isProccessForeground la anumite intervale - aceasta poate fi implementată în componenta Activitate sau Serviciu. Dar nu va fi posibilă menținerea aceleiași instanțe de activitate pentru o perioadă lungă de timp, mai devreme sau mai târziu, va fi descărcată de sistem. În plus, este prea vizibil pentru utilizator.
În Android, ca și în sistemele de operare „mari”, există servicii - componente care vă permit să efectuați unele lucrări de rutină în mod invizibil pentru utilizator. De obicei, aceasta este descărcarea de date sau primirea de actualizări, dar va funcționa și pentru phishing.
Serviciile pot fi diferite: așa-numitul serviciu de prim-plan va funcționa întotdeauna în sistem și se va opri numai când telefonul este oprit. Am discutat deja despre funcționarea serviciilor în detaliu înainte, așa că astăzi voi fi pe scurt. Serviciu de prim plan este moștenit din clasa Service și trebuie să aibă o pictogramă care va fi prezentă în panoul de notificare al dispozitivului.
NotificationCompat .Builder mBuilder = nou NotificationCompat .Builder (acest ) SetSmallIcon(R.mipmap.ic_launcher) |
Nu trebuie să uităm că aceasta este în primul rând responsabilitatea noastră personală.
10. Phishing din anii 90
Poate părea că faxurile sunt ceva depășit și uitat în anii '90. Dar, nu este surprinzător, scrisorile de fax sunt un instrument foarte popular pentru phishing. Anul trecut au fost mai multe atacuri mari de phishing organizate în acest fel: escrocii trimit un e-mail în care, în numele unei agenții guvernamentale, cer să trimită prin fax date actualizate, să zicem, o declarație fiscală completată și să transfere câteva informații personale. Multe companii au încă aparate de fax în birourile lor, deși aproape niciodată nu le folosesc. Acest tip de atac este neobișnuit și chiar exotic în vremea noastră, așa că destinatarul nebănuit al scrisorii nici măcar nu se va îndoi că acesta este un truc. Antet de companie – da, sigiliu și semnătură – da.
Atunci când transmiteți date printr-un număr de fax la care nimeni nu va răspunde vreodată, documentul este scanat și redirecționat în formă electronică pe adresa sa de e-mail din partea fraudatorului. Prin urmare, este extrem de dificil să opriți acest tip de înșelăciune. Te poți baza doar pe propria ta atenție.
9. .NET Keylogger
Acest atac se bazează pe trimiterea de e-mailuri presupuse oficiale de la bănci sau alte organizații mari cu o arhivă atașată care conține o aplicație .NET Keylogger. Acesta este un software simplu care înregistrează diverse acțiuni ale utilizatorului - apăsări de taste pe tastatura computerului sau tastele mouse-ului. Foarte convenabil pentru a fura datele contului. Doar atingeți tastele, iar programul vă înregistrează acțiunile și le trimite atacatorilor. Prin urmare, vă reamintim încă o dată - asigurați-vă că utilizați cel mai modern software antivirus și nu uitați să îl actualizați pentru a preveni atacatorii să vă obțină toate parolele.
8. Mesaje de la un avocat/avocat
Schema de aici este foarte simplă și probabil că nu există oameni care să nu primească astfel de scrisori. Să luăm în considerare un caz real. Sosește o scrisoare de la un domn respectat pe nume Eric, care reprezintă interesele rudei „voastre” decedate dintr-o țară foarte îndepărtată, de exemplu, din Republica Togoleză (un stat din Africa de Vest, situat între Ghana și Benin). Este înfricoșător să-ți imaginezi cum au ajuns rudele tale acolo, dar orice se poate întâmpla. Pentru a confirma legalitatea informațiilor sale, acest domn Eric trimite chiar și fotografii cu el și familia sa, precum și scanări ale documentelor care dovedesc identitatea sa și un cont deschis pe numele moștenitorului.
În schimb, el cere să-ți trimită datele, atât pașaport, cât și banca. Toată corespondența este însoțită de fraze că a mai rămas foarte puțin timp (mă întreb unde este atât de grăbit, ruda lui a murit deja). De la bun început, puteți înțelege deja că acesta este un escroc obișnuit, pentru că, din păcate, miracolele nu există, iar brânza gratuită este doar într-o capcană de șoareci, ceea ce este această scrisoare.
Puteți găsi o mulțime de povești similare pe internet pe site-uri specializate.
Bucură-te de lectură. Atenție.
7. Ransomware
Astfel de programe, ca în cazul .NET Keylogger, sunt atașate e-mailurilor de phishing și sunt trimise prin e-mail. Utilizatorul instalează personal această aplicație sub cu totul alte pretexte inventate de escroci. Ransomware-ul vă blochează computerul în așa fel încât să îl puteți debloca doar achiziționând o cheie specială (nu chiar), sau va șterge toate datele de pe hard disk. Deoarece Bitcoin-urile au devenit deosebit de populare printre utilizatorii de internet în 2014, atacatorii au cerut și să facă plăți în această monedă specială. După ce au analizat portofelele electronice ale ransomware-ului, s-a descoperit că acestea au putut colecta peste 130 de milioane de dolari de la victime.
Majoritatea antivirusurilor moderne vor ajuta la combaterea acestei boli.
6. PDF-uri rău intenționate
Acest atac îi permite atacatorului să simtă puterea sa completă asupra victimei. De obicei, fișierele PDF rău intenționate sunt trimise prin e-mail și sunt prezentate ca documente foarte importante pe care trebuie neapărat să le citiți. Un fișier PDF deschis injectează cod rău intenționat care exploatează vulnerabilitățile din programul de vizualizare. Pentru a complica analiza, escrocii folosesc Zlib, o bibliotecă gratuită pe mai multe platforme, pentru a comprima datele în mai multe straturi și nume de variabile greu de urmărit. Scopul atacului poate fi fie de a prelua controlul asupra sistemului (creșterea privilegiilor), fie de a perturba funcționarea acestuia (atac DoS).
5. rambursare TVA
Adesea, la întoarcerea din străinătate, călătorii profită de ocazie pentru a recupera banii cheltuiți pentru plata taxelor la achiziționarea unui anumit produs (rambursare TVA). Acest lucru se poate face imediat la aeroport, în organizații speciale sau bănci. Dar puțini oameni vor să-și petreacă timpul prețios în asta. Și aici escrocii vin în ajutor și sunt gata să vă ajute cu bucurie să vă returnați taxele fără a părăsi casa. Tentant, nu-i așa? Tot ce aveți nevoie este să indicați datele dumneavoastră personale (numerele pașaportului, TIN, adrese etc.) în scrisoarea de răspuns. După cum ați putea ghici, nimeni nu vă va returna banii, precum și confidențialitatea datelor dvs.
4. Screensaver politic
Aceste e-mailuri de phishing primitive, dar foarte populare din cauza climatului politic, au fost utile în a doua jumătate a anului trecut. Totul este clasic - o arhivă imbricată cu fișiere infectate care se ascund sub pretextul unui screensaver „Glorie Ucrainei”. Programele malware sunt clare, dar ce este phishing-ul? De fapt, aceasta este pur și simplu o notificare a primirii unui fax, care poate fi vizualizată făcând clic pe link și, prin urmare, pierderea confidențialității datelor personale. Un preț bun pentru curiozitate.
3. Zeus și educația
Pe la sfârșitul lunii octombrie a anului trecut, utilizatorii au început să primească e-mailuri de phishing de la domeniul piratat „edu”. Astfel de scrisori conțineau troianul ZeuS în arhivă cu informații despre plățile efectuate, care de fapt nu existau deloc. Escrocii au crezut că domeniul „edu”, creat special pentru instituțiile de învățământ, pur și simplu nu va părea suspect pentru victime, deoarece era considerat cel mai sigur și mai prestigios. Aşteptările lor au fost îndeplinite. Această metodă de răspândire a programelor malware și de furt de date s-a dovedit a fi foarte eficientă.
2. Dropbox
Popularitatea tot mai mare a serviciilor cloud, cum ar fi Dropbox, i-a determinat pe escroci să creeze o nouă metodă de livrare a software-ului antivirus pe computerele noastre. Escrocii trimit e-mailuri cu o factură de la Dropbox. Link-ul către serviciu este absolut curat, doar că duce la un fișier zip care conține un fișier de tip SCR (script infectat), și nu la conturi. Dropbox a răspuns rapid și a creat protecție pentru utilizatori, dar hackerii au găsit o modalitate de a ocoli filtrul de spam dezvoltat de companie. Utilizarea Dropbox este atât de răspândită încât nimeni nu s-ar gândi nici măcar la blocarea acestui serviciu ca fiind potențial periculos, așa că este extrem de dificil să opriți acest tip de răspândire a virușilor și troienilor.
1. El-Cine-Nu-Trebuie-Fie-Numit sau Dyre Malware
Cele mai populare e-mailuri de phishing din 2014 păreau inofensive la prima vedere. Astfel de scrisori au venit cu link-uri către facilități de stocare a fișierelor terțe. Conținutul era simplu - un link către cont. Numai prin descărcarea acestuia pe computerul său, utilizatorul a lansat în sistem programul Dyre, un troian de acces la distanță care avea ca scop obținerea de informații bancare și date personale ale utilizatorului. Răspândirea lui Dyre a fost atât de răspândită încât echipa de răspuns pentru securitatea internetului a trebuit să lucreze cu sârguință pentru a scăpa de virus și pentru a ajuta utilizatorii să evite să se îndrăgească de el.
Primă
Escrocii găsesc modalități din ce în ce mai sofisticate de a folosi phishing. Acest caz nu a fost inclus în Top 10 din 2014, dar a fost izbitor prin simplitate și trădare. Scopul atacului a fost de a obține controlul asupra contului de e-mail.
0. Scrisori de la o comunitate populară cu un mesaj personal
Toate poveștile din articol sunt reale, iar aceasta i s-a întâmplat direct unuia dintre colegii noștri. Iată ce a spus ea:
„Primiți o notificare prin e-mail de la un site web binecunoscut despre un mesaj nou. Personal, am primit o astfel de scrisoare de la un site prevestit ca Habrahabr. Se spune că un astfel de utilizator al comunității mi-a lăsat un mesaj, care poate fi citit urmărind linkul. Procedura absolut standard. Când faceți clic pe link, apare o fereastră similară cu cele care apar atunci când vă conectați la un site prin intermediul rețelelor sociale și vi se cere să permiteți accesul la căsuța dvs. de e-mail. Deoarece totul pare standard, mâna însăși ajunge la cuvântul „Permite”. Dar trebuie să vă rețineți impulsurile - pierderea căsuței de e-mail în vremea noastră este o adevărată tragedie. Imediat după acest incident, mi-am schimbat parola pentru orice eventualitate.”
Rețineți că protecția e-mailului necesită anumite măsuri de precauție. Fii atent și vigilent! Utilizare
Programele de phishing (frauduloase) vă fură parolele01:37
Programele de phishing (frauduloase) vă fură parolele
07:37
În ultimul timp, s-a înregistrat o creștere a cazurilor de furare de parole de la utilizatorii sistemului. Acest lucru se datorează răspândirii de programe false: „uCoz - Administrator”, „Ucoz Agent”, poate alte unele similare. Aspectul interfețelor lor poate fi văzut în imaginile din acest mesaj.
După cum puteți vedea cu ușurință, ferestrele acestor „programe” vă cer să introduceți o parolă, un răspuns secret. Sunt nevoit să vă reamintesc încă o dată că nu trebuie să introduceți nicăieri astfel de date. Astăzi nu există programe, utilitare, suplimente etc. pe care le-am lansat sau produse reale de la dezvoltatori terți. Și chiar și atunci când o fac, cu siguranță nu vă vor cere toate parolele posibile și, cu siguranță, nu vă vor cere niciodată răspunsul secret.
Înainte de instalare, să nu mai vorbim de introducerea oricăror date de parolă într-un anumit program, trebuie să vă asigurați de sursele acestuia. Ca măsură de precauție, ar trebui să găsiți informații despre produs pe site-ul web oficial al companiei și, desigur, un astfel de site nu va fi localizat pe domenii terțe, cum ar fi http://uagent.nm.ru/, http: //nucoz.tk/, etc. P. Fișierul trebuie descărcat și de pe site-ul oficial, și nu de la schimbători de fișiere sau servere terțe.
Această logică, desigur, se aplică nu numai programelor legate de yukoz, ci și oricăror altora. Cel mai adesea, așa sunt furate parolele pentru accesarea serviciilor de e-mail, a jocurilor online și a sistemelor de plată.
Noi, la rândul nostru, luptăm împotriva unor astfel de fenomene, dar numai tu te poți proteja cu adevărat. De asemenea, vă recomand să citiți materialul despre phishing, dacă nu ați mai făcut acest lucru și alte materiale despre probleme de securitate.
Dacă parola v-a fost furată, trebuie să contactați serviciul nostru de tratare a reclamațiilor.
Selectați subiectul „Furt de parolă” în formularul de feedback. Înainte de a scrie, ar trebui să te calmezi pe plan intern. Amintiți-vă că dvs. ați pierdut parola într-un fel sau altul și nici sistemul și nici persoana care o va citi nu este de vină pentru acest lucru, ceea ce înseamnă că trebuie să renunțați la emoțiile inutile. Aveți răbdare, procedurile vor dura ceva timp și, în esență, vă vor spune problema. Nu uitați să indicați despre ce cont vorbiți și orice dovadă care vă vine în minte că sunteți proprietarul contului. Cel mai probabil, vi se vor pune o serie de întrebări la care va trebui să li se răspundă.
Phishingul este o amenințare foarte comună. Un e-mail cu un link către un site rău intenționat sau un atașament rău intenționat nu va surprinde pe nimeni, iar dezvoltarea de ransomware nu a făcut decât să aducă combustibil incendiului.
Măsurile tehnice anti-phishing, precum filtrarea și analiza traficului de e-mail/web, limitarea mediului software, interzicerea lansării de atașamente, sunt foarte eficiente, dar nu pot contracara noile amenințări și, mai important, nu pot contracara prostia umană a curiozității și lene. Au existat cazuri când un utilizator, neputând deschide/rula conținut rău intenționat la locul său de muncă, l-a trimis pe computerul său de acasă și l-a lansat, cu toate consecințele...
Prin urmare, indiferent cât de amănunțit este un sistem de protecție tehnică pe care îl construim, nu ar trebui să uităm de veriga principală a întregului lanț - utilizatorul și pregătirea acestuia.
Briefing-urile periodice și buletinele informative sunt o componentă importantă a pregătirii personalului, dar, așa cum arată practica, eficiența lor este mult mai mică decât instruirea angajaților din propriile greșeli.
Ce va face sistemul:
- Trimiteți e-mailuri de phishing către utilizatori;
- Când faceți clic pe linkul din corpul scrisorii, notificați utilizatorul despre eroarea sa - direcționați-l către un site web cu o pagină de instruire;
- Păstrați statistici despre utilizatorii neatenți.
Trimiterea scrisorilor
Numele de întâmpinare al utilizatorului este preluat din numele căsuței poștale. Scrisoarea este făcută intenționat în așa fel încât utilizatorul să aibă ocazia să o considere suspectă. După mai multe sesiuni de antrenament, complexitatea literelor poate fi crescută.
Un link care duce la un site de phishing, cum ar fi http://phishingsite-327.com/p/ [email protected] variază în funcție de numele de utilizator. În acest fel, transmitem informații despre utilizator către site și putem efectua raportări.
Crearea unei pagini de tutorial
Sarcina noastră nu este să acuzăm utilizatorul că a încălcat, ci să-i explicăm care este amenințarea atacurilor de tip phishing, să-i arătăm unde a făcut greșeli și să-i oferim îndrumări simple pentru acțiune în viitor. Prin urmare, pagina de informații conține o analiză detaliată a acțiunilor sale:
Pagina de instruire este găzduită pe serverul web al organizației și include cod PHP pentru menținerea statisticilor.
Pe serverele DNS locale ale organizației, am configurat o înregistrare CNAME pentru serverul nostru web, astfel încât linkul să arate mai mult ca unul rău intenționat, de exemplu: http://phishingsite-327.com/
Dacă dorim să controlăm faptul că un link rău intenționat este deschis din non-locuri de muncă (de exemplu, atunci când un angajat trimite o scrisoare către e-mailul personal), atunci va trebui să folosim o adresă reală pe Internet. Sau monitorizați faptul că o scrisoare este trimisă la o adresă externă prin instrumentele de securitate și administrare disponibile.
De-a lungul timpului, analizăm raportul cu lista utilizatorilor care au urmat linkul de phishing. În cazul nostru, scriptul PHP salvează informații despre ora, adresa de e-mail și adresa IP a nodului de pe care a fost accesat site-ul într-un fișier csv.
Raportul ajută la evaluarea nivelului de pregătire a personalului și la identificarea legăturilor slabe. Și atunci când efectuați verificări periodice (lunare/trimestriale), puteți:
- Construiți o curbă de pregătire a personalului pentru atacurile de phishing și utilizați-o ca unul dintre indicatorii cantitativi ai securității infrastructurii;
- Identificați utilizatorii care fac în mod regulat aceleași greșeli pentru a le aplica și alte măsuri educaționale.
Experienta de implementare
- instruirea personalului IT
Înainte de a trimite corespondența, personalul IT ar trebui să fie avertizat și explicat cum să răspundă la solicitările utilizatorilor cu privire la o scrisoare ciudată. Dar înainte de asta, ar trebui să le testați singur. În cazul neatenției personalului IT, nu trebuie să vă limitați la recomandări, deoarece pe viitor o astfel de neglijență poate fi extrem de dezastruoasă pentru infrastructură. - Întocmirea manualului
Conducerea organizației ar trebui să fie informată cu privire la testarea planificată. Sau chiar oficializați testarea ca act intern. Utilizatorul, în funcție de poziția și calitățile sale personale, atunci când își dă seama că a încălcat cerințele de securitate a informațiilor, că „a fost indus în eroare”, poate reacționa foarte imprevizibil. Argumentele în favoarea serviciului de securitate a informațiilor sub formă de documente și suport de management nu vor fi de prisos. - Selectarea țintei
Atunci când este trimis e-mail în masă tuturor angajaților, cuvântul în gură va strica în mod semnificativ obiectivitatea evaluării finale. Este mai bine să efectuați testarea în părți, fără a uita să schimbați textul scrisorii.
Eficacitatea unei astfel de măsuri este foarte mare, iar efectuarea de formare în mod regulat poate crește semnificativ pregătirea și vigilența personalului.
Alexei Komarov
Amenințările apărute odată cu apariția phishingului au necesitat implementarea unor măsuri de protecție adecvate. Acest articol va discuta atât metodele deja răspândite de combatere a phishing-ului, cât și noi metode eficiente. Această împărțire este foarte arbitrară: vom clasifica drept metode tradiționale binecunoscute (inclusiv atacatorilor înșiși) metode de combatere a phishingului și vom analiza eficacitatea acestora în prima parte a acestui articol. Conform raportului APWG, în prima jumătate a anului 2008 au fost identificate 47.324 de site-uri de phishing. Același raport arată, de asemenea, pierderile medii ale utilizatorilor și companiilor ca urmare a unui site de phishing - acestea se ridică la cel puțin 300 USD pe oră. Înmulțirile simple ne permit să concluzionam că acest tip de afaceri negre este foarte profitabilă.
Phishingul modern
Cuvântul „phishing” este derivat din cuvintele englezești parolă - parolă și ёshing - pescuit, pescuit. Scopul acestui tip de fraudă pe internet este de a înșela utilizatorul într-un site fals pentru a-i fura ulterior informațiile personale sau, de exemplu, a infecta computerul utilizatorului redirecționat către site-ul fals cu un troian. Un computer infectat poate fi utilizat în mod activ în rețelele botnet pentru a trimite spam, a organiza atacuri DDOS și, de asemenea, pentru a colecta date despre utilizatori și a le trimite unui atacator. Gama de aplicații ale informațiilor „extrase” de la utilizator este destul de largă.
Mecanisme de phishing
Principalul vector al unui atac de tip phishing vizează cea mai slabă verigă a oricărui sistem de securitate modern - persoana. Clientul băncii nu știe întotdeauna exact care adresă este corectă: mybank.account. com sau cont.mybank. com? Atacatorii pot exploata, de asemenea, faptul că, în unele fonturi, literele mici și L mari arată la fel (I = l). Astfel de metode vă permit să înșelați o persoană folosind un link dintr-un e-mail care arată ca unul real și chiar trecerea mouse-ului peste un astfel de link (pentru a vedea adresa reală) nu ajută. Atacatorii au și alte mijloace în arsenalul lor: de la înlocuirea banală a unei adrese reale în baza de date locală de adrese IP cu una falsă (în Windows XP, de exemplu, pentru asta trebuie doar să editați fișierul hosts) la pharming. Un alt tip de fraudă este înlocuirea unei pagini Web la nivel local, „din mers”. Un troian special care a infectat computerul unui utilizator poate adăuga câmpuri suplimentare pe site-ul afișat de browser care nu se află pe pagina originală. De exemplu, un număr de card de credit. Desigur, pentru a realiza cu succes un astfel de atac, trebuie să cunoașteți banca sau sistemul de plată folosit de victimă. Acesta este motivul pentru care bazele de date tematice ale adreselor de e-mail sunt foarte populare și sunt o marfă lichidă pe piața neagră. Nedorind să suporte costuri suplimentare, phishingii își direcționează pur și simplu atacurile către cele mai populare servicii - licitații, sisteme de plată, bănci mari - în speranța că destinatarul aleatoriu al e-mailului de spam are un cont acolo. Din păcate, speranțele atacatorilor sunt adesea justificate.
Metode tradiționale de combatere a atacurilor de tip phishing
Design unic de site web Esența acestei metode este aceasta: un client, de exemplu, al unei bănci, la încheierea unui acord, selectează una dintre imaginile propuse. În viitor, la intrarea pe site-ul băncii, i se va afișa această imagine. Dacă utilizatorul nu îl vede sau vede altceva, trebuie să părăsească site-ul fals și să îl raporteze imediat serviciului de securitate. Se presupune că atacatorii care nu erau prezenți la semnarea contractului nu vor putea a priori să ghicească imaginea corectă și să înșele clientul. Cu toate acestea, în practică, această metodă nu rezistă criticilor. În primul rând, pentru a arăta utilizatorului poza sa, acesta trebuie mai întâi identificat, de exemplu, prin login-ul pe care l-a introdus pe prima pagină a site-ului băncii. Nu este dificil pentru un atacator să pregătească un site web fals pentru a afla aceste informații și pentru utilizator să emuleze o eroare de comunicare. Acum tot ce trebuie să faceți este să mergeți la serverul real, să introduceți datele de conectare furate și să aruncați o privire la imaginea corectă.
O altă opțiune este de a oferi clientului un avertisment fals cu privire la expirarea imaginii sale și de a-i cere să aleagă una nouă...
Parole unice
Parolele clasice sunt reutilizabile: utilizatorul introduce aceeași parolă de fiecare dată când trece prin procedura de autentificare, uneori fără să o schimbe ani de zile. Odată interceptată de un atacator, această parolă poate fi folosită în mod repetat fără știrea proprietarului.
Spre deosebire de cea clasică, o parolă unică este folosită o singură dată, adică la fiecare cerere de acces utilizatorul introduce o nouă parolă. În acest scop, se folosesc în special carduri speciale din plastic cu un strat protector. De fiecare dată când clientul băncii șterge o altă bandă și introduce parola unică necesară. În total, aproximativ 100 de parole încap pe un card de dimensiune standard, care, cu utilizarea intensivă a serviciilor de telebanking, necesită înlocuirea regulată a mediului. Mai convenabile, dar și costisitoare, sunt dispozitivele speciale - generatoarele de parole unice. Practic, se disting două tipuri de generare: după timp, când parola unică curentă este afișată pe ecran și se modifică periodic (de exemplu, o dată la două minute); după eveniment, când se generează o nouă valoare de fiecare dată când utilizatorul apasă un buton al dispozitivului.
Deși este mai sigură decât autentificarea clasică prin parolă, această metodă lasă totuși atacatorului anumite șanse de succes. De exemplu, autentificarea folosind parole unice nu este sigură împotriva atacurilor de tip man-in-the-middle. Esența sa este de a „interveni” în schimbul de informații dintre utilizator și server, atunci când atacatorul „se prezintă” utilizatorului ca server și invers. Toate informațiile de la utilizator sunt transferate pe server, inclusiv parola unică pe care a introdus-o, dar în numele atacatorului. Serverul, după ce a primit parola corectă, permite accesul la informații sensibile. Fără a trezi suspiciuni, un atacator poate permite utilizatorului să lucreze, de exemplu, cu contul său, trimițându-i toate informațiile de pe server și înapoi, dar când utilizatorul își încheie sesiunea de lucru, nu întrerupe conexiunea cu serverul, ci efectua tranzacțiile necesare presupus în numele utilizatorului.
Pentru a evita pierderea timpului în așteptarea încheierii unei sesiuni de utilizator, un atacator poate pur și simplu falsifica o eroare de comunicare și poate împiedica un utilizator legitim să-și acceseze contul. În funcție de metoda de generare utilizată, parola unică interceptată va fi valabilă fie pentru o perioadă scurtă de timp, fie doar pentru prima sesiune de comunicare, dar, în orice caz, aceasta oferă atacatorului posibilitatea de a fura cu succes datele sau banii utilizatorului.
În practică, autentificarea folosind parole unice este rar folosită pentru a crește securitatea, stabilind o conexiune sigură înainte de a fi utilizată autentificarea, de exemplu, folosind protocolul SSL;
Autentificare unidirecțională
Utilizarea protocolului de conexiune securizată SSL (Secure Sockets Layer) asigură schimbul securizat de date între serverul Web și utilizatori. În ciuda faptului că protocolul vă permite să autentificați nu numai serverul, ci și utilizatorul, în practică este folosită cel mai des doar autentificarea unidirecțională. Pentru a stabili o conexiune SSL, serverul trebuie să aibă un certificat digital utilizat pentru autentificare. Un certificat este de obicei emis și certificat de o terță parte de încredere, care este o autoritate de certificare (CA) sau o autoritate de certificare (în terminologia occidentală). Rolul CA este de a confirma autenticitatea site-urilor Web ale diferitelor companii, permițând utilizatorilor, prin „încredere” într-o singură autoritate de certificare, să poată verifica automat autenticitatea acelor site-uri ai căror proprietari au accesat aceeași CA.
Lista autorităților de certificare de încredere este de obicei stocată în registrul sistemului de operare sau în setările browserului. Aceste liste sunt supuse atacului unui atacator. Într-adevăr, emitând un certificat de la o autoritate de certificare falsă către un site de phishing și adăugând acest CA celor de încredere, puteți efectua cu succes un atac fără a trezi vreo suspiciune din partea utilizatorului.
Desigur, această metodă va necesita mai multe acțiuni din partea phisherului și, în consecință, costuri, dar utilizatorii, din păcate, adesea ajută la furtul lor de date, nedorind să înțeleagă complexitățile și caracteristicile utilizării certificatelor digitale. Din cauza obișnuinței sau a incompetenței, de multe ori facem clic pe butonul „Da” fără să acordăm prea multă atenție mesajelor din browser despre lipsa de încredere în organizația care a emis certificatul.
Apropo, unele instrumente de control al traficului SSL folosesc o metodă foarte similară. Cert este că recent cazurile au devenit mai frecvente când site-urile infectate cu programe troiene și troienii înșiși folosesc protocolul SSL pentru a ocoli sistemele de filtrare a traficului gateway - la urma urmei, nici motorul antivirus și nici sistemul de protecție împotriva scurgerilor de date nu pot verifica. condiția informațiilor criptate. Punerea în schimbul dintre serverul Web și computerul utilizatorului permite unor astfel de soluții să înlocuiască certificatul serverului Web cu unul emis, de exemplu, de o CA corporativă și, fără modificări vizibile în experiența utilizatorului, să scaneze traficul utilizatorului atunci când folosește SSL protocol.
filtrare URL
Într-un mediu corporativ, filtrarea site-urilor este utilizată pentru a limita utilizarea abuzivă a Internetului de către angajați și ca protecție împotriva atacurilor de tip phishing. În multe instrumente de protecție antivirus, această metodă de combatere a site-urilor false este în general singura.
