Các chương trình lừa đảo. Các chương trình lừa đảo (lừa đảo) đánh cắp mật khẩu của bạn. Yếu tố kỹ thuật xã hội
Lừa đảo hoặc gian lận nhằm đánh cắp dữ liệu bằng cách sao chép hình ảnh bên ngoài của các tài nguyên phổ biến, vừa mới xuất hiện trong thế giới di động. Trong bài viết này, chúng tôi sẽ phân tích cấu trúc của các cuộc tấn công như vậy và tìm hiểu chính xác cách tin tặc xâm phạm thành công tiền của người dùng điện thoại Android.
Thống kê lừa đảo trên nền tảng di động.
Điện thoại thông minh và máy tính bảng đã xâm nhập vào cuộc sống của chúng ta nhanh đến mức hành vi của các nhân vật trong các bộ phim cách đây 5 năm dường như đã lỗi thời. Đương nhiên, cùng với những thói quen hữu ích và không quá hữu ích, người dùng cũng có thêm những kẻ thù mới trên Internet.
Theo thống kê, 85% tất cả các thiết bị di động đều cài đặt một phiên bản Android và không có gì đáng ngạc nhiên khi hầu hết các cuộc tấn công và phần mềm độc hại đều nhắm cụ thể vào hệ điều hành yêu thích của chúng ta. Tất nhiên, tình hình không tệ như Windows mười năm trước, nhưng xu hướng này thật đáng sợ.
Tháng 1 năm ngoái, chúng tôi đã xem xét việc tạo một trình khóa mật mã cho Android - một chương trình mã hóa dữ liệu người dùng dễ dàng như thế nào. Và một lát sau, vào tháng 4 năm 2016, Kaspersky Lab đã xác nhận nỗi lo ngại của chúng tôi: công ty đã thông báo về sự xuất hiện của Trojan khóa Fusob, tấn công điện thoại thông minh của người dùng từ hơn một trăm quốc gia.
Sự đa dạng của lừa đảo
Bắt chước phần mềm độc hại như một thứ gì đó hữu ích là một xu hướng khá cũ. Khoảng mười đến mười lăm năm trước, đã có sự bùng nổ về mức độ phổ biến của các trang web rất giống với cổng chính thức của ngân hàng hoặc hệ thống thanh toán. Những tài nguyên lừa đảo như vậy đã cố gắng đánh cắp tài khoản người dùng hoặc thậm chí tốt hơn là thông tin thẻ tín dụng.
Nhưng làn sóng trộm cắp đó đã bỏ qua các nước CIS. Đơn giản là chúng tôi không có gì để lấy đi: Pavel Durov chưa viết gì cả, và thẻ nhựa chưa phổ biến. Giờ đây, đối với những kẻ lừa đảo, tình hình đã trở nên thực sự “ngon lành”: mua sắm trực tuyến, ngân hàng di động, tất cả các loại mạng xã hội - hiện có rất nhiều thứ thông qua điện thoại di động được kết nối Internet.
Chưa có câu chuyện nào về dịch lừa đảo nhưng đã có những dấu hiệu cảnh báo khó chịu. Lướt Internet từ thiết bị di động đã trở nên kém an toàn hơn nhiều: đầu tiên, các quản trị viên web đã điều chỉnh quảng cáo cho phù hợp với nội dung di động, và sau đó là những kẻ vô đạo đức đã bắt kịp. Gần đây, vào đầu tháng 12 năm 2016, một cửa sổ xuất hiện trên một tài nguyên thể thao phổ biến với đề xuất “cập nhật WhatsApp lỗi thời” - một cách tự nhiên, các nhà phát triển ứng dụng nhắn tin không liên quan gì đến quảng cáo như vậy.
Cơm. 2. Chương trình liên kết lan truyền trên nguồn tài nguyên lớn Những thông báo như vậy được tạo ở phía máy chủ và trông khá vụng về. Nhưng một khi đã vào bên trong thiết bị, kẻ tấn công có thể thực hiện một cuộc tấn công tinh vi và hiệu quả hơn. Chúng ta hãy tìm hiểu xem việc thay thế một ứng dụng đang hoạt động bằng "tương tự" độc hại của nó trong Android khó đến mức nào.
Trên thế giới vẫn không có gì phổ biến hơn tiền, vì vậy, đáng để cố gắng truy cập vào ví của người dùng. Cách ghi nợ bằng cách gửi SMS đến các số ngắn, chúng tôi đã nói, hôm nay chúng ta sẽ nhận được thẻ ngân hàng.
Gần như Google Market
Để lừa đảo, bạn không cần triển khai chức năng chính xác của Google Market - việc viết một ứng dụng mở rộng khả năng của nó sẽ dễ dàng hơn mà không cần thay đổi mã nguồn. Bạn muốn biết tin tặc làm điều này như thế nào? Đi thôi nào!
Sự lựa chọn
Sẽ là sai lầm nếu cố gắng giả mạo một ứng dụng mà chủ sở hữu thiết bị hoàn toàn không sử dụng. Giống như một hành vi xâm nhập thông thường, trước tiên kẻ lừa đảo phải đánh giá môi trường mà hắn đã xâm nhập. Sự đa dạng của các nhà cung cấp sản xuất thiết bị di động đã dẫn đến những thay đổi lớn trong chính hệ điều hành. Và mặc dù theo các nhà tiếp thị, chúng đều chạy trên cùng một nền tảng Android, nhưng bộ ứng dụng đang chạy có thể hoàn toàn khác nhau. Android có API tích hợp để lấy danh sách các quy trình đang chạy - đây là dịch vụ hệ thống ACTIVITY_SERVICE.
Trình quản lý hoạt động am = (ActivityManager ) getSystemService ( Ngữ cảnh . ACTIVITY_SERVICE ) ; Danh sách< ActivityManager .RunningAppProcessInfo >runAppProcessInfo = am .getRunningAppProcesses () ; |
Vì lý do bảo mật, mỗi năm Google ngày càng hạn chế khả năng các ứng dụng tương tác với nhau. Điều này không được nêu rõ ràng trong tài liệu, nhưng đối với các phiên bản Android 4.0 trở lên, lệnh gọi như vậy sẽ trả về danh sách chỉ từ một ứng dụng - của riêng bạn. Tất cả đều không bị mất - Android dựa trên nhân Linux, có nghĩa là chúng ta có bảng điều khiển. Bạn có thể truy cập thủ công bằng tiện ích adb có trong Android Studio.
Kết quả của công việc được cho là tương tự như đầu ra được tạo ra bởi lệnh Linux cùng tên - một bảng có nhiều giá trị được phân tách bằng các tab.
media_rw1730 1176 7668 1876 1 20 0 0 0 fg inotify_re b75c3c46 S/system/bin/sdcard (u: 0, s: 3) u0 _ a151798 1202 1298044 30520 0 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .google .android .googlequicksearchbox : trình tương tác (u : 3 , s : 1 ) u0 _ a351811 1202 1272580 37692 1 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .android .inputmethod .latin (u : 9 , s : 1 ) u0 _ a81871 1202 1428180 77468 0 20 0 0 0 fg SyS_epoll_ b72f9d35 S com .google .android .gms .persistent (u: 168, s: 163) |
Trên thực tế, đầu ra này chứa thông tin đủ để lừa đảo: tên của quy trình, mã định danh của nó, mức độ ưu tiên thực thi, v.v. Bạn có thể khởi chạy tiện ích không chỉ theo cách thủ công mà còn từ ứng dụng - để truy cập shell, API tiêu chuẩn có lớp Shell.
Danh sách< String >stdout = Shell .SH .run ("hộp công cụ ps -p -P -x -c" ); |
Người dùng Linux thường phải viết các tập lệnh một dòng nên việc phân tích cú pháp đầu ra như vậy không phải là vấn đề đối với họ. Nhưng các nhà phát triển OOP tinh tế hơn và có lẽ sẽ không muốn làm điều này.
Hiện đã có một dự án trên GitHub triển khai các chức năng cần thiết. Nó được tạo ra bởi một Jared Rummler nào đó, chúng tôi sẽ cảm ơn anh ấy vì điều đó. Xử lý kết quả thực thi hộp công cụ được tạo dưới dạng thư viện có thể kết nối trực tiếp thông qua Gradle.
Tất cả thông tin về các tiến trình đang chạy được gói gọn trong một đối tượng của lớp AndroidAppProcess. Nếu bạn nhìn vào mã nguồn của thư viện, không có gì thừa ở đó - chỉ phân tích cú pháp đầu ra của bảng điều khiển. Thông tin về một ứng dụng cụ thể sẽ phải được tìm kiếm trực tiếp.
for (AndroidAppProcess pr : quy trình ) ( if (pr .getPackageName() .equals(ps_name) ) ( // làm gì đó |
Xin lưu ý: bắt đầu từ Android 7.0, Google đã đưa ra các hạn chế về quyền truy cập vào thông tin về quy trình của các ứng dụng khác. Bây giờ nó không thể lấy được ngay cả khi sử dụng lệnh ps và đọc trực tiếp hệ thống tệp /proc. Tuy nhiên, hầu hết người dùng sẽ không sớm chuyển sang Android 7+ - nếu có.
Ứng dụng đang hoạt động
Theo quy luật, các hoạt động lừa đảo thành công đều được chuẩn bị kỹ lưỡng - những kẻ lừa đảo biết cách chọn thời điểm để người dùng không có chút nghi ngờ gian lận nào. Do đó, điện thoại không nên chỉ yêu cầu bạn nhập chi tiết thẻ ngân hàng của bạn - điều này sẽ rất đáng ngờ. Các tin nhắn lừa đảo xuất hiện dưới một số lý do, chẳng hạn như các bản cập nhật giả có trả phí cho 1C hoặc các tài nguyên ngân hàng hư cấu tại các địa chỉ có cách viết tương tự như địa chỉ hợp pháp.
Ở đây bạn có thể tận dụng khả năng đa nhiệm của Android - hàng tá ứng dụng có thể hoạt động đồng thời trong hệ điều hành, thay thế lẫn nhau. Một người dùng thiếu kinh nghiệm thậm chí có thể không hiểu (hoặc thậm chí nghĩ về) ứng dụng mà anh ta hiện đang làm việc. Đầu ra của ps cung cấp thông tin về ứng dụng nào hiện đang tương tác tích cực với người dùng - nghĩa là người dùng có thể nhìn thấy.
u0_a65. . . bg SyS_epoll_ b7366d35 S com .localhost .app .noizybanner (u: 248, s: 84) u0_a64. . . fg SyS_epoll_ b7366d35 S com .localhost .app .fragments (u: 7, s: 11) |
Tham số này nằm ở cột thứ 11 - giá trị ở đây có thể là bg (nền, ẩn) hoặc fg (tiền cảnh, hiển thị). Hệ điều hành giám sát độc lập các trạng thái ứng dụng như vậy, vì vậy nhiệm vụ của nhà phát triển là thỉnh thoảng chỉ gọi ps.
Dựa trên thư viện, có được một phương pháp đơn giản để xác định trạng thái của ứng dụng mong muốn.
Boolean riêng isProccessForeground(Chuỗi ps_name) Danh sách< AndroidAppProcess >quy trình = AndroidProcesses.getRunningForegroundApps(getApplicationContext()); . . . |
Chúng tôi có cơ hội chỉ chọn ngay các quy trình hiển thị bằng phương pháp cùng tên. Nhưng nó không phải lúc nào cũng hoạt động chính xác và thậm chí còn hiển thị các ứng dụng mà người dùng hiện không nhìn thấy được. Trong tình huống này, bạn cần kiểm tra giá trị của phương thức nền trước, giá trị này sẽ đúng nếu bất kỳ Hoạt động nào hiển thị cho người dùng.
cho (AndroidAppProcess pr: quy trình) if (pr .getPackageName () .equals (ps_name ) && (pr .foreground == true ) ) ( Log .e( "ps", " " + pr . getPackageName() + " foreground " + pr . foreground ) ; trả về đúng ; . . . |
Bây giờ có thể tìm thấy thời điểm thích hợp để tấn công - việc gọi phương thức này sẽ cho biết liệu người dùng hiện có đang làm việc trong một ứng dụng cụ thể hay không. Ngay sau khi phương thức trả về true, bạn có thể khởi chạy bất kỳ Hoạt động nào, hoạt động này sẽ được hiển thị ngay lập tức cho người dùng. Đây là bản chất của cuộc tấn công - hiển thị cho người dùng một cửa sổ lừa đảo dưới vỏ bọc thông báo từ một ứng dụng đáng tin cậy.
// Kiểm tra xem Google Market có mở không if (isProccessForeground("com.android.vending") ) ( Ý định i = Ý định mới(); i.setClass(getApplicationContext(), FakeGUI.class); startActivity(i); |
Nói chung, một cuộc tấn công lừa đảo đã được xây dựng. Để vận hành nó, bạn cần thiết lập giám sát định kỳ ứng dụng nạn nhân, đồng thời vẽ cửa sổ GUI để nhập dữ liệu thẻ ngân hàng.
Dịch vụ
Việc theo dõi trạng thái của ứng dụng không khó; bạn chỉ cần khởi động lại phương thức isProccessForeground trong những khoảng thời gian nhất định - điều này có thể được triển khai trong thành phần Hoạt động hoặc Dịch vụ. Nhưng sẽ không thể giữ cùng một phiên bản Hoạt động chạy trong thời gian dài; sớm hay muộn nó sẽ bị hệ thống dỡ bỏ. Ngoài ra, nó quá dễ gây chú ý cho người dùng.
Trong Android, cũng như trong các hệ điều hành “lớn”, có các dịch vụ - thành phần cho phép bạn thực hiện một số công việc thường ngày một cách vô hình đối với người dùng. Thông thường, việc này là tải xuống dữ liệu hoặc nhận các bản cập nhật, nhưng nó cũng có tác dụng đối với lừa đảo.
Các dịch vụ có thể khác nhau: cái gọi là dịch vụ nền trước sẽ luôn hoạt động trong hệ thống và chỉ dừng khi điện thoại tắt. Trước đây chúng ta đã thảo luận chi tiết về hoạt động của dịch vụ nên hôm nay tôi sẽ nói ngắn gọn. Dịch vụ tiền cảnhđược kế thừa từ lớp Dịch vụ và phải có biểu tượng sẽ hiển thị trong bảng thông báo của thiết bị.
notificationCompat .Builder mBuilder = mới notificationCompat .Builder (cái này) SetSmallIcon(R.mipmap.ic_launcher) |
Chúng ta không được quên rằng đây trước hết là trách nhiệm cá nhân của chúng ta.
10. Lừa đảo từ những năm 90
Có vẻ như fax đã lỗi thời và bị lãng quên vào những năm 90. Tuy nhiên, không có gì ngạc nhiên khi thư fax là một công cụ lừa đảo rất phổ biến. Năm ngoái đã có một số cuộc tấn công lừa đảo lớn được tổ chức theo cách này: những kẻ lừa đảo gửi một email trong đó, thay mặt cho một số cơ quan chính phủ, chúng yêu cầu gửi fax dữ liệu cập nhật, chẳng hạn như tờ khai thuế đã điền đầy đủ và chuyển một số thông tin cá nhân. Nhiều công ty vẫn còn có máy fax trong văn phòng mặc dù họ hầu như không bao giờ sử dụng chúng. Kiểu tấn công này là bất thường và thậm chí kỳ lạ trong thời đại chúng ta, vì vậy người nhận thư không nghi ngờ thậm chí sẽ không nghi ngờ rằng đây là một trò lừa. Tiêu đề thư của công ty - có, đóng dấu và chữ ký - có.
Khi truyền dữ liệu qua số fax mà không ai trả lời, về phía kẻ lừa đảo, tài liệu sẽ được quét và chuyển tiếp dưới dạng điện tử tới email của hắn. Vì vậy, việc ngăn chặn loại lừa đảo này là vô cùng khó khăn. Bạn chỉ có thể dựa vào sự chú ý của riêng bạn.
9. Trình ghi bàn phím .NET
Cuộc tấn công này dựa trên việc gửi các email được cho là chính thức từ các ngân hàng hoặc các tổ chức lớn khác có kho lưu trữ đính kèm có chứa ứng dụng .NET Keylogger. Đây là phần mềm đơn giản ghi lại nhiều thao tác khác nhau của người dùng - các thao tác gõ phím trên bàn phím máy tính hoặc phím chuột. Rất thuận tiện cho việc đánh cắp dữ liệu tài khoản. Bạn chỉ cần nhấn vào các phím và chương trình sẽ ghi lại hành động của bạn và gửi chúng cho những kẻ tấn công. Do đó, chúng tôi nhắc bạn một lần nữa - hãy nhớ sử dụng phần mềm chống vi-rút hiện đại nhất và đừng quên cập nhật phần mềm này để ngăn kẻ tấn công lấy được tất cả mật khẩu của bạn.
8. Tin nhắn từ luật sư/luật sư
Kế hoạch ở đây rất đơn giản và có lẽ không có người nào không nhận được những lá thư như vậy. Hãy xem xét một trường hợp thực tế. Một lá thư được gửi đến từ một quý ông đáng kính tên là Eric, người đại diện cho quyền lợi của người thân đã qua đời của “bạn” đến từ một đất nước rất xa, chẳng hạn như từ Cộng hòa Togolese (một bang ở Tây Phi, nằm giữa Ghana và Benin). Thật đáng sợ khi tưởng tượng người thân của bạn lại đến đó như thế nào, nhưng bất cứ điều gì cũng có thể xảy ra. Để xác nhận tính hợp pháp của thông tin của mình, ông Eric này thậm chí còn gửi ảnh của bản thân và gia đình cũng như bản scan các tài liệu chứng minh danh tính và tài khoản được mở đứng tên người thừa kế.
Đổi lại, anh ta yêu cầu gửi dữ liệu của bạn, cả hộ chiếu và ngân hàng. Mọi thư từ đều kèm theo những câu nói rằng chỉ còn rất ít thời gian (không biết anh ấy đang vội đi đâu, người thân của anh ấy đã qua đời rồi). Ngay từ đầu, bạn có thể hiểu rằng đây là một kẻ lừa đảo thông thường, bởi vì, thật không may, phép màu không tồn tại và pho mát miễn phí chỉ có trong một cái bẫy chuột, đó chính là nội dung của bức thư này.
Bạn có thể tìm thấy rất nhiều câu chuyện tương tự trên Internet trên các trang web chuyên biệt.
Thích đọc sách. Hãy cẩn thận.
7. Phần mềm tống tiền
Các chương trình như vậy, như trong trường hợp .NET Keylogger, được đính kèm với email lừa đảo và được gửi qua email. Cá nhân người dùng cài đặt ứng dụng này với những lý do hoàn toàn khác do những kẻ lừa đảo phát minh ra. Ransomware khóa máy tính của bạn theo cách mà bạn chỉ có thể mở khóa bằng cách mua một khóa đặc biệt (không thực sự như vậy) nếu không nó sẽ xóa tất cả dữ liệu trên ổ cứng của bạn. Kể từ khi Bitcoin trở nên đặc biệt phổ biến đối với người dùng Internet vào năm 2014, những kẻ tấn công cũng yêu cầu thanh toán bằng loại tiền cụ thể này. Sau khi phân tích ví điện tử của ransomware, người ta phát hiện ra rằng chúng có thể thu về hơn 130 triệu USD từ nạn nhân.
Hầu hết các phần mềm chống vi-rút hiện đại sẽ giúp đối phó với căn bệnh này.
6. Các tệp PDF độc hại
Cuộc tấn công này cho phép kẻ tấn công cảm nhận được toàn bộ sức mạnh của mình đối với nạn nhân. Thông thường, các tệp PDF độc hại được gửi qua email và được trình bày dưới dạng tài liệu rất quan trọng mà bạn nhất định phải đọc. Một tệp PDF đang mở sẽ chèn mã độc khai thác lỗ hổng trong chương trình xem. Để làm phức tạp việc phân tích, những kẻ lừa đảo sử dụng Zlib, một thư viện đa nền tảng miễn phí, để nén dữ liệu thành nhiều lớp và các tên biến khó theo dõi. Mục đích của cuộc tấn công có thể là giành quyền kiểm soát hệ thống (tăng đặc quyền) hoặc phá vỡ chức năng của nó (tấn công DoS).
5. Hoàn thuế GTGT
Thông thường, khi trở về từ nước ngoài, khách du lịch có cơ hội lấy lại số tiền đã chi để nộp thuế khi mua một sản phẩm cụ thể (hoàn thuế VAT). Việc này có thể được thực hiện ngay tại sân bay, tại các tổ chức đặc biệt hoặc ngân hàng. Nhưng ít người muốn dành thời gian quý báu của mình cho việc này. Và ở đây những kẻ lừa đảo đã đến giải cứu và sẵn sàng giúp bạn hoàn thuế mà không cần rời khỏi nhà. Hấp dẫn phải không? Tất cả những gì bạn cần là cho biết dữ liệu cá nhân của bạn (số hộ chiếu, TIN, địa chỉ, v.v.) trong thư phản hồi. Như bạn có thể đoán, sẽ không có ai trả lại tiền cũng như tính bảo mật của dữ liệu của bạn.
4. Trình bảo vệ màn hình chính trị
Những email lừa đảo thô sơ nhưng rất phổ biến này do môi trường chính trị đã trở nên hữu ích vào nửa cuối năm ngoái. Mọi thứ đều cổ điển - một kho lưu trữ lồng nhau với các tệp bị nhiễm ẩn dưới vỏ bọc của trình bảo vệ màn hình “Glory to Ukraine”. Phần mềm độc hại thì rõ ràng, nhưng lừa đảo là gì? Trên thực tế, đây chỉ đơn giản là một thông báo về việc nhận fax, có thể xem được bằng cách nhấp vào liên kết và do đó, làm mất tính bảo mật của dữ liệu cá nhân. Giá tốt cho sự tò mò.
3. Zeus và giáo dục
Khoảng cuối tháng 10 năm ngoái, người dùng bắt đầu nhận được email lừa đảo từ miền “edu” bị tấn công. Những bức thư như vậy chứa Trojan Zeus trong kho lưu trữ cùng với thông tin về các khoản thanh toán được thực hiện, trên thực tế thông tin này hoàn toàn không tồn tại. Những kẻ lừa đảo nghĩ rằng miền “edu”, được tạo riêng cho các tổ chức giáo dục, đơn giản là sẽ không khiến nạn nhân nghi ngờ vì nó được coi là an toàn và uy tín nhất. Sự mong đợi của họ đã được đáp ứng. Phương pháp phát tán phần mềm độc hại và đánh cắp dữ liệu này đã được chứng minh là rất hiệu quả.
2. Dropbox
Sự phổ biến ngày càng tăng của các dịch vụ đám mây như Dropbox đã thúc đẩy những kẻ lừa đảo tạo ra một phương pháp mới để đưa phần mềm vi-rút vào máy tính của chúng ta. Kẻ lừa đảo gửi email có hóa đơn từ Dropbox. Liên kết đến dịch vụ hoàn toàn sạch sẽ, chỉ dẫn đến một tệp zip chứa tệp loại SCR (tập lệnh bị nhiễm) chứ không dẫn đến tài khoản. Dropbox nhanh chóng phản hồi và tạo ra sự bảo vệ cho người dùng, nhưng tin tặc đã tìm ra cách vượt qua bộ lọc thư rác do công ty phát triển. Việc sử dụng Dropbox phổ biến đến mức không ai nghĩ rằng việc chặn dịch vụ này là nguy hiểm tiềm tàng, vì vậy việc ngăn chặn loại vi-rút và Trojan lây lan này là vô cùng khó khăn.
1. Phần mềm độc hại không được nêu tên hoặc kẻ độc hại
Những email lừa đảo phổ biến nhất năm 2014 thoạt nhìn có vẻ vô hại. Những bức thư như vậy đi kèm với các liên kết đến cơ sở lưu trữ tệp của bên thứ ba. Nội dung rất đơn giản - một liên kết đến tài khoản. Chỉ bằng cách tải nó xuống máy tính của mình, người dùng đã khởi chạy chương trình Dyre vào hệ thống, một Trojan truy cập từ xa nhằm mục đích lấy thông tin ngân hàng và dữ liệu cá nhân của người dùng. Sự lây lan của Dyre lan rộng đến mức Nhóm phản ứng bảo mật Internet phải làm việc chăm chỉ để loại bỏ vi-rút và giúp người dùng tránh mắc phải nó.
Thưởng
Những kẻ lừa đảo ngày càng tìm ra những cách tinh vi hơn để sử dụng lừa đảo. Vụ án này không lọt vào Top 10 năm 2014 nhưng gây ấn tượng bởi sự đơn giản và phản bội. Mục tiêu của cuộc tấn công là giành quyền kiểm soát tài khoản email.
0. Thư từ một cộng đồng nổi tiếng với thông điệp cá nhân
Tất cả những câu chuyện trong bài đều là sự thật và câu chuyện này đã xảy ra trực tiếp với một đồng nghiệp của chúng tôi. Đây là những gì cô ấy nói:
“Bạn nhận được thông báo qua email từ một trang web nổi tiếng về tin nhắn mới. Cá nhân tôi đã nhận được một lá thư như vậy từ một trang web giả dạng Habrahabr. Nó nói rằng một người dùng cộng đồng như vậy đã để lại cho tôi một tin nhắn, có thể đọc được bằng cách nhấp vào liên kết. Quy trình chuẩn tuyệt đối. Khi bạn nhấp vào liên kết, một cửa sổ tương tự như cửa sổ xuất hiện khi đăng nhập vào một trang web thông qua mạng xã hội sẽ xuất hiện và bạn được yêu cầu cho phép truy cập vào hộp thư đến email của mình. Vì mọi thứ đều có vẻ chuẩn mực nên bàn tay sẽ tự tìm đến chữ “Cho phép”. Nhưng bạn cần phải kiềm chế sự bốc đồng của mình - việc mất hộp thư điện tử trong thời đại chúng ta thực sự là một bi kịch. Ngay sau sự cố này, tôi đã thay đổi mật khẩu của mình để đề phòng.”
Hãy nhớ rằng việc bảo vệ email cần có một số biện pháp phòng ngừa. Hãy cẩn thận và cảnh giác! Sử dụng
Các chương trình lừa đảo (lừa đảo) đánh cắp mật khẩu của bạn01:37
Các chương trình lừa đảo (lừa đảo) đánh cắp mật khẩu của bạn
07:37
Gần đây, số trường hợp mật khẩu bị đánh cắp từ người dùng hệ thống ngày càng gia tăng. Điều này là do sự lan truyền của các chương trình sai lệch: “uCoz - Administrator”, “Ucoz Agent”, có lẽ một số chương trình tương tự khác. Sự xuất hiện của giao diện của họ có thể được nhìn thấy trong các hình ảnh trong tin nhắn này.
Như bạn có thể dễ dàng thấy, cửa sổ của những “chương trình” này yêu cầu bạn nhập mật khẩu, một câu trả lời bí mật. Tôi buộc phải nhắc bạn một lần nữa rằng bạn không nên nhập dữ liệu đó vào bất cứ đâu. Ngày nay không có chương trình, tiện ích, tiện ích bổ sung, v.v. mà chúng tôi đã phát hành hoặc sản phẩm thực từ các nhà phát triển bên thứ ba. Và ngay cả khi họ làm vậy, chắc chắn họ sẽ không yêu cầu tất cả mật khẩu có thể có của bạn và chắc chắn họ sẽ không bao giờ yêu cầu câu trả lời bí mật của bạn.
Trước khi cài đặt, chưa nói đến việc nhập bất kỳ dữ liệu mật khẩu nào vào một chương trình cụ thể, bạn cần đảm bảo về nguồn của nó. Để phòng ngừa, bạn nên tìm thông tin về sản phẩm trên trang web chính thức của công ty và tất nhiên, trang web đó sẽ không nằm trên các tên miền của bên thứ ba, chẳng hạn như http://uagent.nm.ru/, http: //nucoz.tk/, v.v. P. Tệp cũng phải được tải xuống từ trang web chính thức chứ không phải từ bộ trao đổi tệp hoặc máy chủ của bên thứ ba.
Tất nhiên, logic này không chỉ áp dụng cho các chương trình liên quan đến yukoz mà còn cho bất kỳ chương trình nào khác. Thông thường, đây là cách mật khẩu truy cập dịch vụ email, trò chơi trực tuyến và hệ thống thanh toán bị đánh cắp.
Ngược lại, chúng tôi đang chiến đấu chống lại những hiện tượng như vậy, nhưng chỉ có bạn mới có thể thực sự bảo vệ chính mình. Tôi cũng khuyên bạn nên đọc tài liệu về lừa đảo nếu bạn chưa từng đọc trước đây và các tài liệu khác về vấn đề bảo mật.
Nếu mật khẩu của bạn bị đánh cắp, bạn nên liên hệ với dịch vụ xử lý khiếu nại của chúng tôi.
Chọn chủ đề “Trộm cắp mật khẩu” ở phần phản hồi. Trước khi viết, bạn nên bình tĩnh nội tâm. Hãy nhắc nhở bản thân rằng chính bạn là người đã đánh mất mật khẩu bằng cách này hay cách khác, cả hệ thống và người đọc nó đều không phải chịu trách nhiệm về điều này, điều đó có nghĩa là bạn cần loại bỏ những cảm xúc không cần thiết. Hãy kiên nhẫn, quá trình tố tụng sẽ mất một thời gian và về cơ bản hãy nêu rõ vấn đề của bạn. Đừng quên cho biết bạn đang nói đến tài khoản nào và bất kỳ bằng chứng nào xuất hiện trong đầu bạn rằng bạn là chủ sở hữu của tài khoản. Rất có thể, bạn sẽ được hỏi một số câu hỏi cần được trả lời.
Lừa đảo là một mối đe dọa rất phổ biến. Một email có liên kết đến một trang web độc hại hoặc tệp đính kèm độc hại sẽ không làm ai ngạc nhiên và sự phát triển của ransomware chỉ đổ thêm dầu vào lửa.
Các biện pháp chống lừa đảo kỹ thuật, chẳng hạn như lọc và phân tích lưu lượng email/web, hạn chế môi trường phần mềm, cấm khởi chạy tệp đính kèm, rất hiệu quả, nhưng chúng không thể chống lại các mối đe dọa mới và quan trọng hơn là không thể chống lại sự ngu ngốc của con người vì tò mò và sự lười biếng. Đã có trường hợp người dùng không thể mở/chạy nội dung độc hại tại nơi làm việc của mình, đã gửi nội dung đó về máy tính ở nhà và khởi chạy, gây ra mọi hậu quả...
Do đó, cho dù chúng ta có xây dựng hệ thống bảo vệ kỹ thuật kỹ lưỡng đến đâu, chúng ta cũng không nên quên mắt xích chính trong toàn bộ chuỗi - người dùng và quá trình đào tạo của anh ta.
Các cuộc họp giao ban và bản tin định kỳ là một phần quan trọng trong quá trình đào tạo nhân viên, nhưng, như thực tế cho thấy, hiệu quả của chúng thấp hơn nhiều so với việc đào tạo nhân viên khỏi những sai lầm của chính họ.
Hệ thống sẽ làm gì:
- Gửi email lừa đảo cho người dùng;
- Khi nhấp vào liên kết trong nội dung thư, hãy thông báo cho người dùng về lỗi của anh ta - hướng anh ta đến một trang web có trang đào tạo;
- Giữ số liệu thống kê về người dùng không chú ý.
Gửi thư
Tên lời chào của người dùng được lấy từ tên hộp thư của họ. Bức thư được thực hiện có mục đích theo cách mà người dùng có cơ hội coi nó là đáng ngờ. Sau vài buổi đào tạo, độ phức tạp của các chữ cái có thể tăng lên.
Một liên kết dẫn đến một trang lừa đảo như http://phishingsite-327.com/p/ [email được bảo vệ] khác nhau tùy thuộc vào tên người dùng. Bằng cách này, chúng tôi truyền thông tin người dùng đến trang web và có thể tiến hành báo cáo.
Tạo một trang hướng dẫn
Nhiệm vụ của chúng tôi không phải là buộc tội người dùng vi phạm mà là giải thích cho anh ta mối đe dọa của các cuộc tấn công lừa đảo là gì, chỉ cho anh ta thấy anh ta đã mắc sai lầm ở đâu và đưa ra hướng dẫn đơn giản để hành động trong tương lai. Do đó, trang thông tin chứa phân tích chi tiết về hành động của nó:
Trang đào tạo được lưu trữ trên máy chủ Web của tổ chức và bao gồm mã PHP để duy trì số liệu thống kê.
Trên máy chủ DNS cục bộ của tổ chức, chúng tôi thiết lập bản ghi CNAME cho máy chủ web của mình để liên kết trông giống liên kết độc hại hơn, ví dụ: http://phishingsite-327.com/
Nếu chúng tôi muốn kiểm soát việc một liên kết độc hại được mở từ những nơi không phải nơi làm việc (ví dụ: khi một nhân viên chuyển tiếp một lá thư đến email cá nhân của anh ấy), thì chúng tôi sẽ phải sử dụng một địa chỉ thực trên Internet. Hoặc theo dõi việc một bức thư được gửi đến một địa chỉ bên ngoài thông qua các công cụ quản trị và bảo mật có sẵn.
Theo thời gian, chúng tôi phân tích báo cáo với danh sách người dùng đã nhấp vào liên kết lừa đảo. Trong trường hợp của chúng tôi, tập lệnh PHP lưu thông tin về thời gian, địa chỉ email và địa chỉ IP của nút mà từ đó trang web được truy cập vào tệp csv.
Báo cáo giúp đánh giá mức độ đào tạo nhân viên và xác định các mắt xích yếu kém. Và khi tiến hành kiểm tra định kỳ (hàng tháng/hàng quý), bạn có thể:
- Xây dựng đường cong chuẩn bị của nhân viên đối với các cuộc tấn công lừa đảo và sử dụng nó như một trong những chỉ số định lượng về an ninh cơ sở hạ tầng;
- Xác định những người dùng thường xuyên mắc lỗi tương tự để áp dụng các biện pháp giáo dục khác cho họ.
Kinh nghiệm thực hiện
- Đào tạo nhân lực CNTT
Trước khi gửi thư, nhân viên CNTT cần được cảnh báo và giải thích cách phản hồi các yêu cầu của người dùng về một bức thư lạ. Nhưng trước đó, bạn nên tự mình kiểm tra chúng. Trong trường hợp nhân viên CNTT thiếu chú ý, bạn không nên giới hạn bản thân trong các khuyến nghị, vì trong tương lai sự sơ suất như vậy có thể gây ra hậu quả cực kỳ tai hại cho cơ sở hạ tầng. - Chuẩn bị tài liệu hướng dẫn
Lãnh đạo của tổ chức cần được thông báo về kế hoạch thử nghiệm. Hoặc thậm chí chính thức hóa việc thử nghiệm như một hành động nội bộ. Người dùng, tùy theo vị trí và phẩm chất cá nhân của mình, khi nhận ra rằng mình đã vi phạm các yêu cầu bảo mật thông tin, rằng mình “bị lừa”, có thể phản ứng rất khó lường. Các lập luận ủng hộ dịch vụ bảo mật thông tin dưới dạng tài liệu và hỗ trợ quản lý sẽ không thừa. - Lựa chọn mục tiêu
Khi gửi thư hàng loạt đến toàn bộ nhân viên, việc truyền miệng sẽ làm hỏng đáng kể tính khách quan của đánh giá cuối cùng. Tốt hơn hết bạn nên tiến hành kiểm tra theo từng phần, không quên thay đổi nội dung của bức thư.
Hiệu quả của biện pháp này là rất cao và việc tiến hành đào tạo thường xuyên có thể làm tăng đáng kể khả năng sẵn sàng và cảnh giác của nhân viên.
Alexey Komarov
Các mối đe dọa xuất hiện cùng với sự xuất hiện của lừa đảo đòi hỏi phải thực hiện các biện pháp bảo vệ đầy đủ. Bài viết này sẽ thảo luận về cả các phương pháp chống lừa đảo vốn đã phổ biến và các phương pháp hiệu quả mới. Sự phân chia này rất tùy tiện: chúng tôi sẽ bao gồm các phương pháp chống lừa đảo phổ biến (bao gồm cả của chính những kẻ tấn công) như những phương pháp truyền thống và phân tích tính hiệu quả của chúng trong phần đầu tiên của bài viết này. Theo báo cáo của APWG, 47.324 trang web lừa đảo đã được xác định trong nửa đầu năm 2008. Báo cáo tương tự cũng cho thấy tổn thất trung bình của người dùng và công ty do trang web lừa đảo gây ra - số tiền thiệt hại lên tới ít nhất 300 USD mỗi giờ. Những phép nhân đơn giản cho phép chúng ta kết luận rằng loại hình kinh doanh đen này mang lại lợi nhuận cao.
Lừa đảo hiện đại
Từ "lừa đảo" có nguồn gốc từ các từ tiếng Anh mật khẩu - mật khẩu và ёshing - câu cá, câu cá. Mục đích của kiểu gian lận Internet này là đánh lừa người dùng vào một trang web giả mạo để sau đó đánh cắp thông tin cá nhân của họ hoặc, chẳng hạn như lây nhiễm Trojan vào máy tính của người dùng được chuyển hướng đến trang web giả mạo. Một máy tính bị nhiễm có thể được sử dụng tích cực trong mạng botnet để gửi thư rác, tổ chức các cuộc tấn công DDOS, đồng thời thu thập dữ liệu người dùng và gửi cho kẻ tấn công. Phạm vi ứng dụng của thông tin “trích xuất” từ người dùng khá rộng.
Cơ chế lừa đảo
Mục tiêu chính của cuộc tấn công lừa đảo là nhắm vào mắt xích yếu nhất của bất kỳ hệ thống bảo mật hiện đại nào - con người. Không phải lúc nào khách hàng của ngân hàng cũng biết chính xác địa chỉ nào là chính xác: mybank.account. com hoặc tài khoản.mybank. com? Những kẻ tấn công cũng có thể lợi dụng thực tế là trong một số phông chữ, chữ i thường và chữ L viết hoa trông giống nhau (I = l). Những phương pháp như vậy cho phép bạn đánh lừa một người bằng cách sử dụng một liên kết trong email trông giống như liên kết thật và thậm chí việc di chuột qua liên kết đó (để xem địa chỉ thực) cũng không giúp ích được gì. Những kẻ tấn công cũng có các phương tiện khác trong kho vũ khí của chúng: từ việc thay thế một địa chỉ thực trong cơ sở dữ liệu địa chỉ IP cục bộ bằng một địa chỉ giả (ví dụ: trong Windows XP, để làm điều này, bạn chỉ cần chỉnh sửa tệp máy chủ) cho đến pharming. Một kiểu lừa đảo khác là thay thế một trang Web cục bộ, “nhanh chóng”. Một Trojan đặc biệt đã lây nhiễm vào máy tính của người dùng có thể thêm các trường bổ sung vào trang web được trình duyệt hiển thị không có trên trang gốc. Ví dụ: số thẻ tín dụng. Tất nhiên, để thực hiện thành công cuộc tấn công như vậy, bạn cần biết ngân hàng hoặc hệ thống thanh toán mà nạn nhân sử dụng. Đây là lý do tại sao cơ sở dữ liệu chuyên đề về địa chỉ email rất phổ biến và là một mặt hàng có tính thanh khoản cao trên thị trường chợ đen. Không muốn chịu thêm chi phí, những kẻ lừa đảo chỉ cần hướng các cuộc tấn công của chúng vào các dịch vụ phổ biến nhất - đấu giá, hệ thống thanh toán, ngân hàng lớn - với hy vọng rằng người nhận ngẫu nhiên email spam có tài khoản ở đó. Thật không may, hy vọng của những kẻ tấn công thường chính đáng.
Các phương pháp truyền thống để chống lại các cuộc tấn công lừa đảo
Thiết kế trang web độc đáo Bản chất của phương pháp này là: một khách hàng, chẳng hạn như ngân hàng, khi ký kết thỏa thuận, sẽ chọn một trong những hình ảnh được đề xuất. Trong tương lai, khi vào trang web của ngân hàng, hình ảnh này sẽ hiển thị cho anh ta. Nếu người dùng không nhìn thấy hoặc nhìn thấy thứ khác thì phải rời khỏi trang web giả mạo và báo ngay cho cơ quan bảo mật. Người ta cho rằng những kẻ tấn công không có mặt khi hợp đồng được ký kết sẽ không thể đoán được hình ảnh chính xác và đánh lừa khách hàng. Tuy nhiên, trên thực tế, phương pháp này không đứng vững trước những lời chỉ trích. Đầu tiên, để hiển thị cho người dùng hình ảnh của anh ta, trước tiên anh ta phải được xác định, chẳng hạn như thông tin đăng nhập mà anh ta đã nhập trên trang đầu tiên của trang web ngân hàng. Không khó để kẻ tấn công chuẩn bị một trang web giả mạo để tìm ra thông tin này và để người dùng mô phỏng lỗi giao tiếp. Bây giờ tất cả những gì bạn phải làm là vào máy chủ thực, nhập thông tin đăng nhập bị đánh cắp và xem hình ảnh chính xác.
Một lựa chọn khác là đưa ra cảnh báo giả cho khách hàng về việc hình ảnh của họ hết hạn và yêu cầu họ chọn một hình ảnh mới...
Mật khẩu một lần
Mật khẩu cổ điển có thể tái sử dụng: người dùng nhập cùng một mật khẩu mỗi lần họ thực hiện quy trình xác thực, đôi khi không thay đổi mật khẩu đó trong nhiều năm. Sau khi bị kẻ tấn công chặn, mật khẩu này có thể được sử dụng nhiều lần mà chủ sở hữu không hề hay biết.
Không giống như mật khẩu cổ điển, mật khẩu một lần chỉ được sử dụng một lần, nghĩa là với mỗi yêu cầu truy cập, người dùng sẽ nhập mật khẩu mới. Đặc biệt, với mục đích này, thẻ nhựa đặc biệt có lớp bảo vệ được sử dụng. Mỗi lần khách hàng của ngân hàng xóa một dải khác và nhập mật khẩu một lần được yêu cầu. Tổng cộng, khoảng 100 mật khẩu có thể được đặt trên một thẻ có kích thước tiêu chuẩn, khi sử dụng nhiều các dịch vụ ngân hàng điện thoại, cần phải thay thế phương tiện này thường xuyên. Tiện lợi hơn nhưng cũng đắt tiền là các thiết bị đặc biệt - trình tạo mật khẩu một lần. Về cơ bản, hai loại thế hệ được phân biệt: theo thời gian, khi mật khẩu một lần hiện tại được hiển thị trên màn hình và thay đổi định kỳ (ví dụ: hai phút một lần); theo sự kiện, khi một giá trị mới được tạo ra mỗi lần người dùng nhấn nút thiết bị.
Mặc dù an toàn hơn xác thực bằng mật khẩu cổ điển nhưng phương pháp này vẫn mang lại cho kẻ tấn công một số cơ hội thành công nhất định. Ví dụ: xác thực bằng mật khẩu một lần không an toàn trước các cuộc tấn công trung gian. Bản chất của nó là “can thiệp” vào việc trao đổi thông tin giữa người dùng và máy chủ, khi kẻ tấn công “tự giới thiệu” với người dùng là máy chủ và ngược lại. Tất cả thông tin từ người dùng sẽ được chuyển đến máy chủ, bao gồm cả mật khẩu một lần mà anh ta đã nhập nhưng thay mặt cho kẻ tấn công. Máy chủ, sau khi nhận được mật khẩu chính xác, sẽ cho phép truy cập vào thông tin nhạy cảm. Không gây nghi ngờ, kẻ tấn công có thể cho phép người dùng làm việc, chẳng hạn như bằng tài khoản của anh ta, gửi cho anh ta tất cả thông tin từ máy chủ và quay lại, nhưng khi người dùng kết thúc phiên làm việc của mình, đừng ngắt kết nối với máy chủ, nhưng thực hiện các giao dịch cần thiết được cho là thay mặt cho người dùng.
Để tránh lãng phí thời gian chờ phiên người dùng kết thúc, kẻ tấn công có thể chỉ cần giả mạo lỗi giao tiếp và ngăn người dùng hợp pháp truy cập vào tài khoản của họ. Tùy thuộc vào phương thức tạo được sử dụng, mật khẩu một lần bị chặn sẽ có hiệu lực trong một thời gian ngắn hoặc chỉ trong phiên liên lạc đầu tiên, nhưng trong mọi trường hợp, điều này tạo cơ hội cho kẻ tấn công đánh cắp thành công dữ liệu hoặc tiền của người dùng.
Trong thực tế, xác thực bằng mật khẩu một lần hiếm khi được sử dụng; để tăng tính bảo mật, hãy thiết lập kết nối an toàn trước khi xác thực được sử dụng, ví dụ: sử dụng giao thức SSL.
Xác thực một chiều
Sử dụng giao thức kết nối an toàn SSL (Lớp cổng bảo mật) đảm bảo trao đổi dữ liệu an toàn giữa máy chủ Web và người dùng. Mặc dù thực tế là giao thức cho phép bạn xác thực không chỉ máy chủ mà còn cả người dùng, nhưng trên thực tế, xác thực một chiều thường được sử dụng nhiều nhất. Để thiết lập kết nối SSL, máy chủ phải có chứng chỉ kỹ thuật số được sử dụng để xác thực. Chứng chỉ thường được cấp và chứng nhận bởi bên thứ ba đáng tin cậy, đó là cơ quan chứng nhận (CA) hoặc cơ quan chứng nhận (theo thuật ngữ phương Tây). Vai trò của CA là xác nhận tính xác thực của các trang Web của nhiều công ty khác nhau, cho phép người dùng, bằng cách “tin tưởng” một cơ quan chứng nhận duy nhất, có thể tự động xác minh tính xác thực của những trang web mà chủ sở hữu đã truy cập vào cùng một CA.
Danh sách các cơ quan chứng nhận đáng tin cậy thường được lưu trữ trong sổ đăng ký hệ điều hành hoặc cài đặt trình duyệt. Chính những danh sách này đã bị kẻ tấn công tấn công. Thật vậy, bằng cách cấp chứng chỉ từ cơ quan chứng nhận giả mạo cho một trang web lừa đảo và thêm CA này vào những trang đáng tin cậy, bạn có thể thực hiện thành công một cuộc tấn công mà không làm người dùng nghi ngờ.
Tất nhiên, phương pháp này sẽ yêu cầu nhiều hành động hơn từ kẻ lừa đảo và do đó, tốn kém, nhưng thật không may, người dùng thường tự đánh cắp dữ liệu của họ, không muốn hiểu sự phức tạp và tính năng của việc sử dụng chứng chỉ kỹ thuật số. Do thói quen hoặc không đủ năng lực, chúng ta thường bấm vào nút “Có” mà không để ý nhiều đến thông báo trên trình duyệt về việc thiếu tin tưởng vào tổ chức cấp chứng chỉ.
Nhân tiện, một số công cụ kiểm soát lưu lượng SSL sử dụng một phương pháp rất giống nhau. Thực tế là các trường hợp gần đây đã trở nên thường xuyên hơn khi các trang web bị nhiễm chương trình Trojan và chính Trojan sử dụng giao thức SSL để vượt qua các hệ thống lọc lưu lượng truy cập cổng - xét cho cùng, cả công cụ chống vi-rút và hệ thống bảo vệ rò rỉ dữ liệu đều không thể kiểm tra được. điều kiện thông tin được mã hóa. Việc kết hợp trong trao đổi giữa máy chủ Web và máy tính của người dùng cho phép các giải pháp như vậy thay thế chứng chỉ của máy chủ Web bằng một chứng chỉ được cấp, chẳng hạn như do CA công ty cấp và không có những thay đổi rõ ràng trong trải nghiệm của người dùng, quét lưu lượng truy cập của người dùng khi sử dụng SSL giao thức.
Lọc URL
Trong môi trường doanh nghiệp, tính năng lọc trang web được sử dụng để hạn chế việc nhân viên lạm dụng Internet và để bảo vệ khỏi các cuộc tấn công lừa đảo. Trong nhiều công cụ bảo vệ chống vi-rút, phương pháp chống lại các trang web giả mạo này thường là phương pháp duy nhất.
