Что является возможным индикатором фишингового сообщения
Перейти к содержимому

Что является возможным индикатором фишингового сообщения

  • автор:

Анатомия таргетированной атаки

Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

Veniamin Levtsov

  • 16 декабря 2016
  • С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя все новые решения, одновременно усложняя IT-инфраструктуру. Теперь в ситуации, когда в компании зависает почтовый сервер, с конечных рабочих мест стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, бизнес-процессы просто останавливаются.

    Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации, от имевших место инцидентов, убеждений конкретных сотрудников, и зачастую формируется «снизу», от отдельных подсистем ИБ к общей картине. В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где ИБ-специалисты могут:

    • проверять файлы при помощи систем безопасности конечных точек;
    • фильтровать почтовый и веб-трафик при помощи шлюзовых решений;
    • отслеживать целостность и неизменность файлов и системных настроек;
    • контролировать поведение пользователей и реагировать на отклонения от обычной модели трафика;
    • сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
    • внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
    • инвестировать в SOC для сбора и корреляции логов и событий от упомянутых выше подсистем;
    • заказывать тесты на проникновение и иные сервисы для оценки уровня защищенности;
    • приводить систему в соответствие с требованиями стандартов и проводить сертификации;
    • учить персонал основам компьютерной гигиены и решать еще бесконечное множество подобных задач.

    Но, несмотря на все это, количество успешных, то есть достигающих своей цели, атак на IT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?

    Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.

    Понятие целевой атаки

    Самое время дать определение, точно, по нашему мнению, отражающее понятие целевой, или таргетированной, атаки. Целевая атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

    Во-первых, это именно процесс — деятельность во времени, некая операция, а не просто разовое техническое действие. Проведя анализ подобных атак, эксперты «Лаборатории Касперского» отмечают, что их длительность составляет от 100 дней и больше.

    Во-вторых, процесс предназначен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели, по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.

    В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием, по сути своей — бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать «входными воротами» в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате ее компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.

    В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие — отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

    В настоящее время все большее распространение получает термин APT — Advanced Persistent Threat. Давайте разберемся и с его определением. APT — это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей «нулевого дня», других компонентов, специально разработанных для реализации данной атаки. Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против других организаций. Целевая, или таргетированная, атака — это процесс, деятельность. APT — техническое средство, позволяющее реализовать атаку.

    Можно смело утверждать, что активное распространение целевых атак обусловлено в том числе и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах и вредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для «мирных» целей утилиты — ниже мы вернемся к этому вопросу.

    Стадии целевой атаки

    В этом материале нам хочется озвучить основные этапы таргетированной атаки, заглянуть внутрь, показать скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через четыре фазы.

    anatomy_of_targeted_attack_img1

    Рис. 1: Фазы целевой атаки

    На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

    1. Подготовка. Основная задача первой фазы — найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.
    2. Проникновение — активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня, для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки и после определения принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.
    3. Распространение — фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.
    4. Достижение цели — ключевая фаза целевой атаки, в зависимости от выбранной стратегии в ней может применяться:
    • Хищение закрытой информации
    • Умышленное изменение закрытой информации
    • Манипуляции с бизнес-процессами компании

    На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя «точку возврата», позволяющую им вернуться в будущем.

    Первая фаза целевой атаки — подготовка.

    Выявление цели

    Целью для атаки может стать любая организация. А начинается все с заказа или общей разведки или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.

    Сбор информации

    По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует для защиты информации, о внутреннем регламенте и так далее. Поэтому процесс сбора информации о жертве называется «Разведка». Основная задача разведки — сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.

    Способы проведения разведки:

    Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрутер в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средств защиты до информации о частной жизни других сотрудников.

    Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании, владеющих информацией, либо входят в круг доверия путем дружеского общения в общественных местах.

    В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации — их выбрасывают на помойку без правильного уничтожения, а среди мусора могут быть найдены отчеты и внутренняя информация, или, например, сайты компаний могут содержать реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.

    В результате этой работы организаторы атаки могут получить достаточно полную информацию о жертве, включая:

    • имена сотрудников, email, телефон;
    • график работы подразделений компании;
    • внутреннюю информацию о процессах в компании;
    • информацию о бизнес-партнерах.

    Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации.

    На первый взгляд приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко входить в доверие, оперируя полученной информацией.

    • Социальная инженерия
    • Телефонные звонки от имени внутренних сотрудников.
    • Социальные сети.

    Используя социальную инженерию, можно добиться значительного успеха в получении закрытой информации компании: например, в случае телефонного звонка злоумышленник может представиться работником информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь киберпреступникам выработать правильную стратегию общения с будущей жертвой.

    Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:

    • Описание этапов атаки: проникновение, развитие, достижение целей.
    • Методы социальной инженерии, используемые уязвимости, обход стандартных средств безопасности.
    • Этапы развития атаки с учетом возможных внештатных ситуаций.
    • Закрепление внутри, повышение привилегий, контроль над ключевыми ресурсами.
    • Извлечение данных, удаление следов, деструктивные действия.

    Создание стенда

    Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда с идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.

    Разработка набора инструментов

    Перед киберпреступниками встает непростой выбор: им важно выбрать между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различных инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который значительно выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.

    Рассмотрим набор инструментов в деталях. Как правило, Toolset состоит из трех основных компонентов:

    1. Командный центр, или Command and Control Center (C&C)

    Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в Интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с «хозяевами», может меняться динамически вместе с вредоносными модулями.

    1. Инструменты проникновения решают задачу «открытия двери» атакуемого удаленного хоста:
    • Эксплойт (Exploit) — вредоносный код, использующий уязвимости в программном обеспечении.
    • Валидатор — вредоносный код применяется в случаях первичного инфицирования, способен собрать информацию о хосте, передать ее С&C для дальнейшего принятия решения о развитии атаки либо полной ее отмене на конкретной машине.
    • Загрузчик (Downloader) модуля доставки Dropper. Загрузчик крайне часто используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях.
    • Модуль доставкиDropper.

    Вредоносная программа (как правило, троян), задачей которой является доставка основного вируса Payload на зараженную машину жертвы, предназначена для:

    • Закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки машины.
    • Inject в легитимный процесс для закачки и активации вируса Payload по шифрованному каналу либо извлечение и запуск зашифрованной копии вируса Payload с диска.

    Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.

    Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных дополнительных модулей, каждый из которых будет выполнять свою функцию:

    • Клавиатурный шпион.
    • Запись экрана.
    • Удаленный доступ.
    • Модуль распространения внутри инфраструктуры.
    • Взаимодействие с C&C и обновление.
    • Шифрование.
    • Очистка следов активности, самоуничтожение.
    • Чтение локальной почты.
    • Поиск информации на диске.

    Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.

    Подводя итог, важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка, высокую сложность их обнаружения и колоссальный урон от их действий, который может быть обнаружен спустя длительный срок. По статистике «Лаборатории Касперского», в среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности, это означает, что хакеры не только достигли своих целей, но и контролировали ситуацию на протяжении более чем полугода. Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий за информационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.

    Потери в результате крупного инцидента составляют в среднем по миру $551 тыс. для корпорации: в эту сумму входят упущенные для бизнеса возможности и время простоя систем, а также расходы на профессиональные сервисы для ликвидации последствий. Таковы данные, полученные в ходе исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в 2015 году. В исследовании приняли участие более 5500 IT-специалистов из 26 стран мира, включая Россию.

    Основные риски в секторах индустрии

    anatomy_of_targeted_attack_img2

    Что же представляет собой таргетированная атака?

    Таргетированная атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, управляемый киберпреступником в режиме реального времени. Процесс всегда строится под жертву, являясь некой продуманной операцией, а не просто разовым техническим действием, он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом). Такая операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием. Деятельность группы часто похожа на многоходовую войсковую операцию, она следует четко подготовленной стратегии, обычно состоящей из четырех фаз.

    Продолжая аналогию, можно сказать, что происходит вооруженная схватка между людьми: одни нападают, другие отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

    И статистика здесь в этом противостоянии неутешительна: по данным проведенного «Лабораторией Касперского» опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.

    Используя накопленную за последние годы экспертизу «Лаборатории Касперского» в расследовании целевых атак, в продолжении нашего цикла статей мы опишем детальное развитие атаки, следуя четырем ее вышеописанным фазам с реальными примерами, рассмотрим функциональное применение инструментов в комбинации с различными техниками социальной инженерии.

    1. Подготовка

    Основные задачи начальной фазы атаки, подтверждающие ее определение как целевой:

    • Поиск и определение цели с последующим сбором детальной информации по выявлению слабых мест.
    • Анализ собранной информации, разработка стратегии по достижению результата, дополняется созданием инструментов.

    2. Проникновение

    По совокупности применяемых техник фаза «Проникновение» является для киберпреступников одной из самых сложных в исполнении и реализации.

    Большинство инженеров информационной безопасности затруднялись с ответом, когда их просили перечислить применяемые средства и методы проникновения в инфраструктуру. Давайте сформулируем ответ вместе. Для этого вначале приведем наименование основных технических средств с описанием их основных функций:

    Вредоносный код, использующий уязвимости в программном обеспечении. Основной инструмент проникновения, средствами доставки которого являются электронная почта, компрометированные веб-сайты и USB-устройства.

    Проникнув благодаря уязвимости на целевой корпоративный компьютер, эксплойт запускает средство доставки, тип которого зависит от дизайна атаки: это могут быть валидатор, загрузчик или dropper.

    Сборщик информации с зараженного хоста, выполняет фильтрацию информации об учетных записях пользователей, установленном программном обеспечении, активных процессах и средствах защиты. Передает шифрованные данные в центр управления. В зависимости от полученной информации хакеры принимают решение о дальнейшем развитии атаки, выбрав соответствующую команду:

    • Загрузка Dropper — приступить к выполнению целевой атаки.
    • Самоуничтожение — в случаях, когда компьютер и данные на нем не представляют ценности для целевой атаки.
    • Ожидание — решение откладывается, режим «сна».

    Обладая минимальным размером и функционалом, валидатор не несет в себе уникальной информации о целевой атаке и ее организаторах. В случае если он перехватывается средствами защиты, это не создает для киберпреступников угрозы утечки методов и средств, планируемых к применению.

    Благодаря таким качествам может применяться в случаях, когда:

    • Риск обнаружения стандартными средствами защиты велик, для исключения возможной утечки применяемых техник в целевой атаке.
    • Целевая почтовая рассылка.

    Средства доставки: электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства.

    Инструмент загрузки используется в целях быстрого заражения с применением техники фишинга через вложения в письмах либо с фишинговых веб-сайтов. При запуске выкачивает основной модуль Payload либо Dropper в зависимости от целей и планов киберпреступников.

    Это троянская программа, которая осуществляет доставку основного вредоносного модуля Payload на целевую машину с последующим закреплением внутри операционной системы, как правило, это скрытая автозагрузка.

    • Определяет активные процессы в операционной системе, выбирая наиболее выгодный с точки зрения привилегий, и инжектирует собственный код в код активного процесса непосредственно в оперативной памяти, что позволяет ему получить все уровни доступа к ресурсам операционной системы, не вызывая подозрений у средств защиты.
    • Загружает тело основного модуля Payload.
    • Выполняет частичную дешифрацию и запуск основного модуля.

    Средствами доставки могут являться электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства, а также основные описанные ранее загрузчики (эксплойт, валидатор).

    Основной модуль в целевой атаке может обладать самым различным вооружением, которое зависит от поставленной цели и задачи.

    Тело модуля содержит многоуровневое шифрование, призванное защитить разработки и технологии киберпреступников и детектирование атаки. При первом запуске Dropper дешифрует только ту часть кода, которая содержит техники проверки, призванные обеспечить гарантированный запуск модуля в подходящей для него среде и не допустить запуска, если среда не удовлетворяет требованиям. Среди не подходящих для модуля условий можно назвать:

    • Поведенческий анализ в песочнице (Sandbox).
    • Эмуляторные техники в случаях, когда антиэмуляторные механизмы не срабатывают.
    • Наличие отладчика и любого другого средства работы вирусного аналитика.
    • Наличие средств мониторинга системы и сетевого трафика.
    • Наличие неизвестного антивируса, не попадающего под используемые техники обхода.

    У вас может возникнуть ложное ощущение, что все перечисленные средства применяются в каждой целевой атаке, но это не так. В случае гипотетической атаки на компанию «А» хакеры будут использовать конкретный набор инструментов. Он может состоять из одного Dropper с основным модулем Payload. Весь перечень инструментов, приведенный выше, лишь демонстрирует разнообразие технологий в арсенале киберпреступников.

    Перейдем к применяемым техникам обхода стандартных средств защиты, таких как: Firewall, IPS, Blacklisting/Whitelisting, контроль приложений и антивирус.

    Обход стандартных средств защиты

    На сегодняшний день стандартные решения информационной безопасности обладают большим количеством функций, обеспечивающих высокий уровень по контролю и фильтрации данных. Этот факт сильно усложняет работу киберпреступников и вынуждает их изобретать и использовать различные техники, позволяющие обмануть либо обойти защитные механизмы.

    Опишем наиболее известные из них:

    Запутывание кода на уровне алгоритма при помощи специальных компиляторов для усложнения его анализа антивирусом.

    Многоуровневое шифрование применяется для сокрытия части кода от детектирующих механизмов. Часто обфускация применяется с частичным многоуровневым шифрованием кода.

    Техника по динамическому внедрению собственного кода в чужой процесс. Позволяет использовать все привилегии легитимного процесса в своих целях, не обращая на себя внимание установленных средств защиты. Данный метод позволяет обойти различные системы контроля безопасности, в том числе контроля приложений. Инжектирование применяется на уровне Windows API:

    • Определение дескриптора нужного процесса.
    • Создание нового потока в виртуальном пространстве процесса.
    • Mimikatz

    Инструмент перехвата паролей открытых сессий в Windows, реализующий функционал Windows Credential Editor. Способен извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Из практики «Лаборатории Касперского» каждая целевая атака строится на повышении прав доступа и реализуется под правами суперпользователя.

    Это средство используется для обхода защиты, закрепления во взломанной системе и сокрытия следов присутствия. Для Unix-среды пакет утилит (который включает также сканер, сниффер, кейлоггер) содержит и троянские программы, которые заменяют собой основные утилиты Unix. Для Windows пакет перехватывает и модифицирует низкоуровневые API-функции, позволяя маскировать свое присутствие в системе (скрывая процессы, файлы на диске, ключи в реестре). Многие руткиты устанавливают в системы свои драйверы и службы (они также являются «невидимыми»). Руткит также может быть использован как средство доставки, способный выгрузить все необходимое хакеру после заражения машины.

    Антивирусный эмулятор проверяет исполняемый файл в изолированной среде, анализируя логику его работы. Обнаружение вредоносного кода происходит сигнатурным либо эвристическим методом. Хакеры используют различные практики по изменению алгоритма кода, не позволяя эмулятору определить логику выполнения зловредной программы.

    Такой метод детектирования применяется песочницей в целях обнаружения угроз нулевого дня. Так как время проверки песочницей ограничено ее функциональными возможностями, хакеры используют замедлитель, и исполняемый код «засыпает» на некоторое время, чтобы предотвратить обнаружение.

    Важно отметить факт присутствия уязвимостей в различном программном обеспечении, в первую очередь от известных производителей. Зачастую эксплуатирующий персонал не отслеживает бюллетени безопасности производителей и не устраняет проблемы своевременно, оставляя хакерам шанс на проникновение.

    Эксплуатация уязвимостей

    Само определение уязвимости говорит о потенциальном недостатке в программном обеспечении. Такое случается вследствие просчетов проектирования либо допущенных ошибок разработчиками ПО, ведь программы пишут люди. Этот недостаток может быть использован киберпреступником в собственных целях. Уязвимость эксплуатируется через внедрение кода в уже запущенную ОС или программу — таким образом изменяется штатная логика работы ПО, что позволяет злоумышленникам выполнять недекларированные функции, зачастую с правами администратора.

    Уязвимости программного обеспечения можно разделить на два типа:

    • Известные — имеющие стандартно классифицированное CVE (Common Vulnerabilities and Exposures) описание и готовые исправления в обновлениях разработчика. CVE — открытая база известных уязвимостей.
    • Неизвестные, или уязвимости нулевого дня, не устраненные и еще не обнаруженные разработчиками и исследователями угрозы. Такого рода угрозы являются неплохим заработком для черных исследователей, зарабатывающих на продаже выявленных уязвимостей на хакерских рынках.

    Приведем несколько примеров эксплуатации уязвимости в процессе проникновения в инфраструктуру:

    Переполнение буфера (buffer overflow) — может вызывать аварийное завершение или зависание программы (отказ в обслуживании). Отдельные виды переполнений позволяют злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, под которой эта программа запущена. Например, пользователь с правами администратора на своем компьютере может получить письмо с вложенным PDF-документом, в который будет вшит эксплойт. При открытии или предварительном просмотре приложенного документа запустится процесс переполнения буфера, что позволит злоумышленнику получить права локального администратора на этом компьютере.

    • USB-устройства в сочетании с уязвимостью и методом социальной инженерии

    Пример заражения через подключенные USB-устройства чрезвычайно прост в реализации. Например, известны случаи, когда в офисе компании (на парковке, у входа, в лифте) были разбросаны инфицированные USB-флешки с документом под заманчивым для простого сотрудника наименованием (годовой отчет, финансовый план), в который был вшит эксплойт.

    Второй пример еще более простой: злоумышленник приходит на собеседование в целевую компанию и просит секретаря распечатать резюме, которое он якобы забыл, с его флеш-карты.

    Абсолютно все современные компании используют специализированные средства контроля электронной почты. Наличие таких сервисов, как антиспам и антивирус, является обязательным условием для работы корпоративной почты. Многие пользователи привыкли доверять входящей корреспонденции, прошедшей, как они предполагают, профессиональную проверку специализированными средствами контроля безопасности. К сожалению, это не относится к социальной инженерии, когда хакеры целенаправленно готовят письма для обхода фильтров и антивируса.

    Так, секретарь может получить электронное письмо с вложением якобы от своего руководства либо партнера (киберпреступники могут подделать адрес отправителя или просто сделать его похожим на нужный email, видоизменив один символ). При открытии или предварительном просмотре документа произойдет инфицирование любым из описанных выше инструментов с вытекающими последствиями развития атаки.

    Разновидности использования почты как точки входа:

    • Подделка/имитация адреса отправителя.
    • Опасное вложение (различные документы и изображения с вшитым эксплойтом).
    • Ссылка на HTML-страницу с заранее размещенным инструментом проникновения.

    По данным исследования «Лаборатории Касперского», среди российских компаний ключевыми рисками внутри по-прежнему остаются уязвимости в ПО (их отметили 48% от общего числа опрошенных компаний), а также незнание правил IT-безопасности сотрудниками, приводящее к утечкам данных (отметили 37% респондентов). Исходя из этого мы приравниваем методы социальной инженерии к угрозам не меньшим по важности, чем программные.

    Комбинированные техники

    Каждые организаторы целевой атаки используют комбинированный подход, включающий различные технические средства для реализации проникновения. Очевидный пример — когда хакер делал рассылку по электронным адресам сотрудников компании, предварительно войдя в контакт с ними в социальной сети под вымышленным именем и собрав данные о них. Это комбинация методов социальной инженерии с фишингом.

    Когда мы говорим о комбинировании инструментов, то уместно провести аналогию со швейцарским ножом, который объединяет несколько лезвий, отверток и так далее, что придает ему высокую универсальность. Эксплойт, сформированный аналогично швейцарскому ножу, может содержать большой набор уязвимостей и применять их последовательно. При этом часть инструментов по проникновению может сочетаться с легальным ПО, что позволяет минимизировать обнаружение атаки, так как доверенные программы внесены в «белые списки» систем безопасности. Для наглядности приведем несколько примеров таких программ:

    • Продукты удаленного администрирования, RDP, VNC.
    • Программы переключения языков клавиатуры, имеющие возможность легитимно использовать логирование клавиатуры.
    • Сетевые сканеры и т.д.

    Инвентаризация сети

    После выполнения автоматических уклонений от обнаружения и системных тестов на соответствие операционной среде Payload активирует основные функциональные модули, устанавливая закрытое шифрованное соединение с командными центрами и сигнализируя о своем активном статусе. На этой стадии киберпреступники приступают к консольной работе, используя терминал подконтрольной машины. Им очень важно быстро сориентироваться внутри, чтобы сохранить свое присутствие и закрепиться в сети. Первоочередным по важности является поднятие уровня доступа до привилегированного, после чего сразу же начинается изучение топологии сети. Для выполнения этой задачи обычно применяют свободно распространяемое ПО, например Netscan.

    Приведем примеры проникновения из реальных атак.

    Распространение

    Опираясь на собранные данные по топологии сети, злоумышленники проводят ручной отбор ключевых рабочих станций и серверов. Выбранные машины киберпреступники берут под свой контроль и используют под новые задачи. На этом шаге хакеры уже имеют административные права, и все их действия по отношению к системам безопасности абсолютно легальны. Используя стандартные средства удаленного доступа, они выбирают наиболее удобные с точки зрения их задач сервера и рабочие станции.

    Шаг 1. Закрепление внутри инфраструктуры

    Под закреплением понимается комплекс мероприятий, направленных на организацию гарантированного доступа в инфраструктуру жертвы. Дело в том, что первичной точкой проникновения являются, как правило, компьютеры сотрудников с фиксированным рабочим графиком, а это означает, что время доступа в инфраструктуру для злоумышленников будет ограниченным.

    Лучше всего этапы закрепления проиллюстрируют примеры из реальных кибератак, расследованных экспертами «Лаборатории Касперского».

    В этой кампании киберпреступники использовали подписанный компанией Foxconn сертификат (Foxconn — известный производитель оборудования). Хакеры создали клон библиотеки DLL, которая присутствовала на компьютере жертвы и после модификации стала выполнять роль загрузчика Payload. Это позволяло загружать вредоносный модуль при включении компьютера и выгружать его при выключении. Тем самым злоумышленники не оставляли следов на жестких дисках зараженных машин, но при этом сохраняли свое присутствие внутри, распространяя такой метод внутри инфраструктуры. Для основной точки входа использовался главный контроллер домена компании.

    Закрепление происходило методом копирования Payload в системную папку %system32%com с именем svchost.exe, при этом файлу назначались следующие атрибуты: системный, скрытый, только для чтения. Для автозапуска использовался специально созданный сервис со схожим системным именем, отличающийся одной точкой.

    Шаг 2. Распространение

    Значимым аспектом является наличие постоянных активных точек входа, обычно для этого используются сервера с малым временем простоя, хорошо подходящие для выполнения одного из правил целевой атаки «Persistent». На таком уровне для заражения достаточно подключиться к выбранной машине удаленным RDP-клиентом и запустить вредоносный модуль, предварительно скопировав его одним кликом мыши.

    Шаг 3. Обновление

    Случается, когда определенная функция отсутствует в арсенале уже задействованного в атаке основного модуля (например, такой функцией может являться запись звука с внешнего микрофона). Возможность обновить модуль заранее предусмотрена разработчиком атаки и может быть при необходимости активирована.

    Шаг 4. Поиск ключевой информации и методов достижения целей

    Выполнение этапа может сильно варьироваться по времени, ведь информация может быть разной. Если целью киберпреступников является, например, финансовая информация, сконцентрированная в одной системе, то это сильно упрощает им задачу. Но если целью является шпионаж и долгосрочный сбор разрозненных данных, то и количество устройств, хранящих нужную хакерам информацию, существенно возрастает, что влияет на сроки обнаружения целей и на продолжительность этапа.

    Приведем пример из Carbanak:

    Ключевой информацией для киберпреступников являлась работа кассиров-операционистов банка, которые совершали платежные операции. Дело в том, что киберпреступники не обладали опытом работы с платежными системами. Помимо вычисления и распространения на машины кассиров-операционистов ими был применен метод записи экранов их работы в целях обучения. Это заняло довольно продолжительное время и увеличило по срокам подготовительный этап.

    Достижение целей

    Шаг 1. Выполнение вредоносных действий

    В завершающей фазе мы подходим к ключевой точке целевой атаки. На этом этапе киберпреступники уже могут выполнить любое действие, направленное против атакуемой компании. Перечислим основные типы угроз.

    Пример 1. Хищение ключевой информации

    Чаще всего компании сталкиваются с хищением информации. В коммерции это целый бизнес, основанный на конкуренции и больших деньгах. В государственных структурах это шпионаж, реже получение информации, содержащей конфиденциальные данные, для последующей перепродажи. В финансовом секторе это информация о платежных и биллинговых системах, счетах крупных клиентов и другая финансовая информация для проведения незаконных транзакций.

    Само хищение происходит максимально незаметно для систем мониторинга компании, маскируя сетевую активность под работу известного интернет-сервиса с наименованием домена, сильно напоминающим реальное название. Обычно это выглядит как активная шифрованная сессия, где веб-адрес часто похож на популярные сетевые ресурсы (например, почтовые сервисы, поисковики или новостные сайты).

    Пример 2. Изменение данных

    Целевая атака Metel, от которой пострадали сотни финансовых организаций: киберпреступники, используя контроль над платежной системой, изменяли доступный кредит на балансе кредитной карты, тем самым позволяя сообщнику несколько раз обналичивать средства с одной и той же карты.

    А в случае киберограбления Carbanak хакеры, изучив работу операционистов, действовали от имени сотрудников, используя онлайн-банкинг для перевода средств на подконтрольные киберпреступникам счета. Также они удаленно управляли конкретными банкоматами, отправляя команды на выдачу наличных средств, в то время как сообщник даже не вставлял в банкомат никаких карточек.

    При этом если смотреть со стороны самих компаний, то статистика «Лаборатории Касперского» говорит о том, что в организациях наиболее серьезными последствиями киберинцидентов признаются потеря доступа к критически важной для бизнеса информации (59% российских компаний отметили этот фактор), репутационный ущерб (50%) и потеря важных деловых контактов или бизнес-возможностей (34%).

    Пример 3. Манипуляции с бизнес-процессами и шантаж

    Наглядный пример произошел с компанией Sony Pictures, которая подверглась таргетированной атаке в 2014 году. В результате были похищены тысячи файлов и документов, финансовые данные, а также к киберпреступникам в руки попали фильмы, готовящиеся к прокату. В компании рассказали, что большинство ее компьютеров вышли из строя, а на экранах рабочих станций отображалась фраза «Мы завладели вашими секретами». Все данные на жестких дисках рабочих компьютеров были стерты, киберпреступники грозились опубликовать информацию, если компания не подчинится их требованиям.

    Уничтожение данных — другой, нечасто встречающийся пример развития целевой атаки. В августе 2012 года порядка 30 тысяч персональных компьютеров, принадлежащих крупнейшей в мире нефтедобывающей компании Saudi Aramco, были выведены из строя. Киберпреступники преследовали две цели: первая — хищение закрытой информации, вторая — полная остановка бизнес-процессов компании. В результате атаки компания была вынуждена почти на месяц прекратить свою операционную деятельность, отключив филиалы от сети Интернет.

    Шаг 2. Сокрытие следов

    На протяжении всей целевой атаки киберпреступники стараются маскировать свое присутствие под легитимный процесс, в крайних случаях, когда это невозможно, хакеры вручную очищают журналы событий. Как правило, большая часть активности протекает под административным доступом, не вызывая подозрения.

    Шаг 3. Точка возврата

    На финальном этапе атаки многие киберпреступники стараются оставить внутри средство, позволяющее им в случае необходимости вернуться обратно в инфраструктуру. Таким средством обычно является управляемый загрузчик, способный по команде закачать исполняемый модуль.

    В завершение еще раз подчеркнем три основных отличия целевой атаки:

    • Адресность
    • Скрытность
    • Результативность

    APT (Advanced persistent threat) — комбинации утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня и других компонентов, специально разработанных для реализации атаки.

    Целенаправленная, или таргетированная, атака — это процесс. Процесс всегда строится под жертву, являясь продуманной операцией, а не просто разовым техническим действием. Он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом).

    По данным проведенного «Лабораторией Касперского» опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.

    Следует отметить несколько важных особенностей, отличающих целенаправленную атаку от обычного заражения:

    • Адресность
    • Скрытность
    • Продолжительность
    • Использование разнородных инструментов и методов
    • Изменчивость вектора атаки, ее инструментария по мере развития
    • Наличие центра управления атакой — преступной группы, в составе которой есть и профессиональные IT-эксперты

    Возникает вопрос о возможных способах противодействия такой операции. Ниже мы предложим комплексный подход, который призван помочь в решении этой непростой задачи.

    Важно отметить, что здесь мы не будем касаться регламентов и политик безопасности, предполагая, что они разработаны и применяются на практике. Очевидно, что, если в организации отсутствуют основы, регламентирующие функционирование системы ИБ, эффект от внедрения подхода, описанного ниже, будет незначительным.

    anatomy_of_targeted_attack_img5

    Стратегия противодействия целевым атакам

    Комплексная стратегия включает четыре важных элемента системы защиты, которые описаны далее. Мы приводим их в порядке, которому по нашему опыту на практике следуют компании по мере роста зрелости их систем.

    А. Предотвращение. Целью является недопущение начала и развития атаки.

    Б. Обнаружение. Исходя из предположения, что в сети развивается атака, ставится цель обнаружения ее следов, распознавания признаков, связи всех деталей в единую картину.

    В. Реагирование. В случае подтверждения факта атаки определяются последствия и шаги по их устранению.

    Г. Прогнозирование. Цель — реализация проактивных мер, позволяющих существенно затруднить злоумышленникам подготовку и проведение атаки.

    Предотвращение таргетированной атаки

    Главная цель — не допустить запуск каких-то неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер — хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию или запуск какого-то процесса в инфраструктуре, и обучение.

    Технические средства

    Речь идет о таких классических средствах, как защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений. Поскольку при атаке зачастую активно используются элементы распространенного зловредного ПО, «классика» может оказать посильную помощь. Основными технологиями детектирования для решений, относящихся к превентивной группе, являются сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки (black & whitelisting) приложений.

    Увы, в реальности злоумышленники зачастую собирают специальный стенд, повторяющий контуры системы защиты атакуемого предприятия, — воспроизводится вероятная конфигурация межсетевого экрана, устанавливается аналогичная версия антивируса и т.д. В результате ничто не мешает им проводить тесты и модифицировать инструменты атаки, пока они не смогут преодолеть установленные системы. Однако хорошо сбалансированная система защиты, использующая решения от различных производителей, регулярно обновляемая, проходящая health-check хотя бы раз в год, остается важным участком обороны, в ряде случаев позволяющим остановить саму попытку атаки.

    Приведем несколько примеров, позволяющих хоть отчасти усложнить жизнь атакующим:

    • Таргетированная атака Carbanak, направленная на финансовые учреждения, кумулятивный приблизительный ущерб от которой составил $1 млрд. Многие из пораженных банков не имели сегментации внутренней сети, сеть управления банкоматами была доступна из корпоративной сети, чем воспользовались киберпреступники.

    Использование сетевых экранов для сегментации сети и межсегментного контроля взаимодействия позволит обеспечить профилактику распространения целевой атаки внутри инфраструктуры компании.

    • Таргетированная атака Hellsing, направленная на шпионаж в правительственных структурах, использовала в своем развитии целенаправленный фишинг — распространение писем с вложением, в котором находился запароленный архив. Это позволяло надежно обходить традиционные средства защиты, основанные на проверке вложений. Внутри архива содержались PDF-файлы с вложенным бэкдором.

    Наличие проактивного антиспам-фильтра в сочетании с файловым антивирусом позволит определить попытку обхода стандартных средств контроля (антивирус), тем самым усложнит организацию целевой вредоносной рассылки.

    Важно отметить, что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа. Антивирус хоть и относится к превентивной группе, но обладает рядом подобных технологий, относящихся к категории machine learning, или самостоятельного обучения. Одной из таких технологий в составе продуктов «Лаборатории Касперского» является технология Automatic Exploit Prevention (AEP) по защите от эксплуатации уязвимостей в приложениях. Технология основывается на глубоком анализе процесса работы ПО, относящегося к группе риска (повышенного внимания хакеров), а также окружения операционной системы в целом. Технология анализа поведения выявит попытку эксплуатации уязвимости, так как она проанализирует непосредственный процесс работы.

    Наряду с применением классических блокирующих средств защиты важно осуществлять контроль уязвимостей в приложениях, включающий процесс поиска, ранжирования и патч-менеджмента как реального, так и виртуального. В целом приведенный набор средств и технологий значительно усложняет задачу киберпреступникам, но в случае с таргетированной атакой его недостаточно.

    Обучение в целях повышения грамотности в области ИБ

    Важно подчеркнуть, что человеческий фактор и уязвимости в ПО являются главными составляющими успеха в реализации таргетированной атаки. Обычный персонал компании является ключом доступа киберпреступников для входа в инфраструктуру. Минимизация пробелов в знаниях по информационной безопасности позволит сотрудникам распознавать применяемые к ним методы социальной инженерии и правильно реагировать на них. Персонал обязан знать, как социальная инженерия управляет действиями человека без применения технических средств и для чего используются целенаправленный обман или иные действия, способные ввести сотрудника в заблуждение.

    Из проведенного в 2015 году «Лабораторией Касперского» исследования видно, что ключевыми рисками внутри компании по-прежнему остаются уязвимости в ПО (48% от общего числа опрошенных компаний) и незнание сотрудниками правил IT-безопасности, приводящее к случайным утечкам данных (37% от общего числа опрошенных компаний). Эти две проблемы чаще других приводят к потере конфиденциальных данных.

    Для того чтобы приносить реальную пользу в отражении атак, такое обучение «кибергигиене» должно охватывать важнейшие области знаний, представление о которых должен иметь даже рядовой сотрудник. Мы выделяем следующие сферы для развития осведомленности:

    • назначение антивируса и контроля приложений;
    • уведомления систем безопасности — как на них реагировать;
    • понимание проблемы утечки данных;
    • риски при использовании мобильных устройств;
    • угрозы при работе с электронной почтой и Интернетом;
    • социальные сети и риски работы в них;
    • методы социальной инженерии;
    • развитие бдительности;
    • политика ИБ и как ее можно нарушить.

    Итак, эффективное сочетание классических превентивных решений защиты с обученным основам кибербезопасности персоналом усложняет задачу атакующему. Но что делать, если атаке удалось «зацепиться» в сети и начать развитие? Увы, практически всегда организации в какой-то момент понимают, что предотвратить и исключить атаку полностью почти невозможно.

    Детектирование

    Следующим важнейшим элементом системы защиты становится детектирование атаки. Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий:

    • Тренинги и иные способы повышения экспертизы. Специалисты ИБ имеют достаточно глубокие представления о природе и особенностях таргетированных атак, постоянно повышают уровень своих знаний, в чем организация их всячески должна поддерживать.
    • SIEM как автоматизация обработки событий безопасности.
    • Внешние источники информации об угрозах, или ThreatIntelligence. Поставки актуальной информации об угрозах в виде фидов (потоков данных), списков IoC, отчетов.
    • Системы с динамическим анализом исполнения. Специализированные средства выявления признаков таргетированной атаки.
    • Сервисы по выявлению атак с проведением регулярных проверок.

    Обеспечение экспертизы

    Первым условием является профессиональное обучение расследованию целевых атак — специализированный курс, позволяющий офицерам безопасности компании эффективно выполнять подобные задачи, использовать нужные инструменты, выставлять приоритеты и собирать улики, проводить аналитическую работу.

    Курс затрагивает следующие аспекты:

    • что такое инциденты информационной безопасности и их категоризация;
    • как проводить сбор свидетельств инцидента;
    • изучение прикладной науки — «криминалистика компьютерных преступлений (Digital Forensics)»;
    • как правильно применять специализированные инструменты.

    По окончании обучения офицер безопасности будет иметь четкое представление о своих действиях в случае расследования инцидента, связанного с таргетированной атакой.

    Автоматизация обработки событий безопасности

    Развитие информационной безопасности подтолкнуло компании к автоматизации процесса сбора, нормализации, хранения и обработки событий, получаемых из журналов различных IT-систем. Это, в свою очередь, повлияло на появление нового класса систем по консолидации и хранению журналов событий — менеджмент событий. Данные логов направляются в единую систему SIEM (Security Information and event management) — по управлению событиями информационной безопасности, которая призвана решать следующие задачи:

    • сбор, объединение, хранение событий, получаемых от различных источников;
    • оперативное обнаружение нарушений политик ИБ;
    • автоматическое оповещение и управление инцидентами;
    • формирование базы знаний по инцидентам;
    • предоставление отчетности для аналитиков.

    За последние 15 лет SIEM получила широкое распространение на рынке ИБ, несмотря на ряд недостатков. Решение представляет собой мощнейший корреляционный механизм, требующий постоянной доводки (настройки), описаний правил срабатывания на те или иные события. Эффективность детектирования сильно зависит от правил, разрабатываемых инженером.

    Недостатком SIEM является обязательное наличие обслуживающего высококвалифицированного персонала. Недостаточно просто устанавливать обновления и создавать новые правила, важно быть информированным о распространении новых угроз и их векторов атаки, включая детали зависимостей для создания правил детектирования. Найти специалиста, отвечающего совокупным требованиям, практически невозможно.

    Очевидно, что результат детекта системой SIEM может быть выше, если в нее на регулярной основе поступает структурированная информация об объектах, которые могут быть вовлечены в таргетированную атаку: например, о действующих командных центрах ботнетов или фишинговых сайтах.

    Приведем пример детектирования атаки внутри инфраструктуры с помощью SIEM:

    • Учетная запись сотрудника Иванова была использована на его рабочей машине в рабочие часы. В то же время пропускная система не имела записей о приходе сотрудника на работу (карточка не активирована), следовательно, коррелятор, сопоставив оба события, создаст инцидент ИБ.
    • Три неправильные попытки входа в день с определенного хоста на протяжении определенного периода.
    • Множественные RDP-соединения с рабочей машины, где ранее удаленный доступ не использовался.
    • Всплеск сетевого трафика между различными узлами в нерабочие часы.

    Threat Intelligence — данные об актуальных угрозах ИБ

    Понимание текущего ландшафта угроз и оперативные данные об актуальных атаках и вредоносных активностях позволяют компании укрепить защиту корпоративных информационных систем. Хотелось бы отметить три источника оперативных данных об угрозах:

    • потоки данных (Threat Data Feeds);
    • отчеты, содержащие детали конкретных целевых атак или механизмов, задействованных для их реализации;
    • мониторинг активности ботнет-сетей.

    Потоки данных (Threat Data Feeds)

    За создание такой информации отвечают крупные компании, работающие в сфере информационной безопасности и имеющие в своем арсенале круглосуточную службу по выявлению и анализу угроз. Такие службы, как правило, состоят из аналитиков безопасности и автоматизированных комплексов детектирования, включающих в себя множество новейших технологий. Например, «Лаборатория Касперского» детектирует и описывает свыше 315 тысяч уникальных угроз в день, большая часть которых попадает в поток данных.

    Ввиду непрерывности процесса описания новых угроз лучшим способом распространения экспертной информации является подписка, которая оформляется в виде сервиса. Она позволяет компании оперативно получать новые порции информации об угрозах в формате JSON (JavaScript Object Notation — простой формат обмена данными). В процессе доставки JSON-пакеты данных легко трансформируются в любой необходимый вид, под конкретное решение, благодаря использованию парсера (программы для считывания и обработки текстовых данных).

    Фактически поток данных (data feeds), состоящий из JSON-файлов, пополняет локальную экспертную базу компании с высокой эффективностью: с частотой передачи пакетов раз в 10 минут. И эти данные сразу же применяются в имеющихся средствах защиты, например SIEM.

    Поток данных является неотъемлемой частью любого SOC (Security operational center, ситуационный центр управления безопасностью).

    Что может содержать в себе поток данных:

    • набор URL-адресов, соответствующих наиболее зловредным ссылкам и веб-сайтам;
    • IP-репутацию — градацию IP-адресов по уровню безопасности;
    • набор файловых хэшей, охватывающий вредоносные программы;
    • активность ботнет-сетей (вредоносные объекты, командные центры).

    Комбинация из потока данных и SIEM позволяет существенно повысить качество работы решения в части детектирования, фактически наделяя коррелятор экспертными знаниями о самых последних атаках и угрозах, распространяющихся по миру. Тем самым достигается снижение количества ложных срабатываний и придается мощнейший импульс детектирующим способностям системы.

    Приведем наглядный пример, на базе обнаруженного командного центра ботнет-сети, ниже вы видите строки, содержащиеся в полученном JSON-пакете:

    • уникальный идентификатор записи — «id»: «143348»;
    • ссылка на домен центра управления «mask»: «botnetccurl.com»;
    • тип записи (применяется для сопоставления правил в корреляторе) «type»: «1»;
    • первый раз, когда был замечен, «first_seen»: «08.04.2014 16:45»;
    • последний раз, когда был замечен, «last_seen»: «12.02.2015 13:56»;
    • популярность (насколько распространен, наивысшая популярность — 5) «popularity: «5»;
    • наименование угрозы «threat»: «CnC.Win32.ZBot».

    После того как информация из полученного JSON-пакета при помощи парсера будет добавлена в SIEM, любое обращение на домен «botnetccurl.com» из корпоративной сети будет расцениваться как инцидент и попытка связи с командным центром. Что тем самым позволит обнаружить возможные инфицированные машины внутри компании.

    Отчеты об APT

    Помимо потоков данных на рынке существует возможность получать детализированные отчеты.

    Детализированные отчеты в основном предоставляют те же компании, которые предлагают подписку на потоки данных. Это производители решений ИБ и целый ряд консалтинговых компаний с собственным SoC и командой аналитиков.

    APT-отчет содержит, как правило, подробное описание таргетированных атак, обнаруженных экспертной группой. Как и в случае с потоком данных, отчеты предоставляются обычно в виде подписки, являются глубоко детализированными и состоят из нескольких типов файлов:

    • IOC — индикатор компрометации, описание вредоносных объектов;
    • YARA — набор детектирующих правил;
    • детальный отчет, содержащий анализ (фазы развития) атаки.

    Отчет служит инструментом для офицера безопасности, предоставляя глубокое понимание угрозы и возможность для проактивных действий, направленных на предупреждение конкретной угрозы.

    Например, подобные публичные отчеты можно найти на www.securelist.ru.

    Анализ активности ботнет-сетей

    В последние годы мы наблюдаем экспоненциальный рост количества ботнет-сетей. Помимо стандартных путей распространения malware (PC), драйвером бурного роста выступили решения класса «Интернет вещей» (Internet of Things, IoT), производители которых практически не уделяют внимания безопасности. Для киберпреступников IoT является лакомым куском, так как в большинстве своем эти решения имеют стабильное высокоскоростное подключение к Интернету и обладают достаточным запасом производительности.

    Почему стоит обращать внимание на активность ботнет-сетей в разрезе профилактики таргетированной атаки?

    Дело в том, что атаки, организованные ботнет-сетями, часто применяют для целенаправленного фишинга (рассылки поддельных почтовых писем с прикрепленным загрузчиком).

    Так же через ботнет-сети часто осуществляют DDoS-атаки, которые служат средством отвлечения внимания от чего-то более значимого, в том числе развития таргетированной атаки. Такие атаки получили название Smokescreen – дымовая завеса.

    Приведем реальные примеры таргетированных атак с использованием DDoS для отвлечения внимания:

    • В 2011 году, кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoS-атакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации.
    • В 2015 году, таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберприступники применили масштабную DDoS-атаку на внешние веб-ресурсы компании, тем самым отвлекли внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему.

    Из проведенного в 2015 году «Лабораторией Касперского» исследования, 26% опрошенных компаний, подвергшихся DDoS-атакам, сообщили об утечке закрытой информации, что подтверждает применение DDoS-атаки как инструмента для отвлечения внимания.

    Усложняет ситуацию и рост DDoS-атак в мире, обусловленный широкой монетизацией подобных услуг. Воспользоваться ботнет-сетями сегодня может любой желающий.

    Мониторинг ботнет-сетей

    Производители решений ИБ и различные консалтинговые компании предлагают услугу, предоставляющую экспертную информацию по планируемым атакам, доступную в двух вариантах:

    1. В составе потока данных (data feed), предоставляя комплексную информацию по всем известным ботнет-сетям со всего мира.
    2. Детальный отчет, информирующий компанию перед началом попытки реализации атаки на корпоративные ресурсы.

    Каким образом осуществляется мониторинг активности ботнет-сетей?

    Для выполнения этой непростой задачи применяются безопасные контейнеры (изолированные системы), которые подвергаются инфицированию в реальном времени. После чего процессы работы троянов детально разбираются и анализируются, позволяя увидеть всю карту коммуникаций трояна с командными центрами и соседними зомбо-хостами.

    Результаты анализа попадают в отчет, который содержит следующую информацию:

    • Тип ботнета – классификация,
    • IP-адреса командных центров,
    • Географическое распределение образцов ПО,
    • Тип атаки – информация о целях и используемом ПО,
    • Сведения об использованных алгоритмах атаки (инъекции веб-кода),
    • MD5 – хэши вредоносного ПО.

    Услуга по анализу активности ботнет-сетей, является механизмом раннего обнаружения. Используя ее, компания обеспечит себя экспертной информацией по планируемой атаке на свои ресурсы, что значительно укрепит защиту в целом.

    Внедрение специализированных систем обнаружения таргетированных атак

    Таргетированная атака характеризуется высокой степенью индивидуальности и устойчивости к традиционным средствам защиты. Для выявления признаков заражения необходимо применять решения, обладающие средствами сбора информации о событиях на разных уровнях инфраструктуры: как на внешнем контуре (веб, e-mail, основной gateway), так и на внутреннем (конечные узлы, внутренние коммутационные узлы и т.д.). Такие решения отличаются комплексным применением различных технологий динамического детектирования и способностью обеспечивать аналитическое сопоставление потоков информации из разных источников. Этот подход делает возможным обнаружение сложных, порой растянутых во времени и хорошо замаскированных зловредных действий. Модульность обеспечивает распределенный контроль над всеми возможными каналами поступления и распространения элементов целевых атак.

    Система обнаружения таргетированной атаки должна иметь в составе следующие компоненты:

    • Сетевые/почтовые сенсоры, позволяющие осуществлять сбор информации с различных контрольных точек;
    • Сенсоры рабочих станций, позволяющие увеличить охват и детализацию анализируемой информации;
    • Компонент динамического анализа объектов;
    • Центр по анализу аномалий – создание типовых шаблонов поведения и контроль отклонений от них;
    • Облачный репутационный сервис — обновляемая в реальном времени база знаний об угрозах в том числе и по компонентам таргетированных атак.

    Основные технологии обнаружения следов таргетированной атаки.

    Рассмотрим подробней применяемые технологии в системах обнаружения целевой атаки:

    Из отчета «Лаборатории Касперского»: самая длительная DDoS-атака в первом квартале 2016 года длилась 8,2 дня или 197 часов беспрерывно

    Динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Песочница, это, по сути, набор актуальных виртуальных сред, контролируемых технологиями анализа исполнения.

    Так как песочницы существуют на рынке уже достаточно продолжительное время, киберпреступники научились обходить данную технологию, применяя различные техники обхода (Sandbox Evasion).

    Приведем пример нескольких Sandbox Evasion техник, когда объект не проявит свою активность:

    • Разрешение экрана не более чем 800x Обычный пользователь не будет использовать такое разрешение в работе,

    Наличие установленных программ (определенный инвентарь). Например, любые установленные средства, которые свидетельствуют о наличии виртуальной среды,

    • Отсутствие действий при демонстрации диалогового окна. Нет реакции, следовательно, за машиной никто не работает.

    Рекорд последних лет принадлежит предвыборному сайту Дональда Трампа, мощность DDoS-атаки на который составила 602 Gbps.

    Поэтому важной особенностью современной песочницы, является ее способность противостоять техникам обхода (Anti-Evasion). Пример Anti-Evasion техник:

    • Эмуляция работы пользователя (движения мышью, работа на клавиатуре),
    • Распознание диалоговых окон, автоматическое действие,
    • Выполнение прокрутки документа на вторую страницу (scroll),
    • Настройка окружения, максимально похожего на реального пользователя.

    Анализ аномалий – технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность.

    Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.

    Пример работы анализатора аномалий:

    • Нетипичное сканирование сети, осуществленное с рабочей станции секретаря.
    • Использование программ удаленного доступа в нерабочие часы либо в определенное повторяющиеся время.
    • Загрузка в сеть большого объема данных.

    Внедрение специализированных систем обнаружения таргетированной атаки, позволит видеть симптоматику атаки, а не набор разрозненной информации, подлежащей длительному анализу инженерами безопасности.

    Ботнет представляет собой совокупность компьютеров, зараженных вредоносным кодом и управляемых злоумышленником централизованно.

    Сервис по выявлению таргетированной атаки.

    В случае подозрения аномальной активности внутри инфраструктуры может оказаться эффективным специализированный сервис, цель которого обнаружение следов таргетированной атаки и выработка рекомендаций по их устранению.

    Более детально о перечне работ в рамках такого сервиса:

    • Анализ ландшафта угроз, применимо к конкретной компании;
    • Использование специализированных средств для обнаружения следов компрометации;
    • Анализ исходящих сетевых соединений для обнаружения возможных соединений с командными центрами каберпреступников;
    • Использование открытых источников (OSINT);
    • Сбор улик;
    • Анализ улик и реконструкция инцидента (хронология и логика);
    • Анализ вредоносного ПО, использованного в атаке (в случае его обнаружения);
    • Обнаружение вероятной компрометации других систем в окружении;
    • Предоставление рекомендаций по дальнейшим шагам исправления.

    Сервис предоставляется крупными производителями информационной безопасности и консалтинговыми компаниями. Позволяет снять либо подтвердить подозрения о наличии следов активных элементов таргетированной атаки.

    Реагирование

    Третьим элементом стратегии является Реагирование. Основная цель заключается в реакции на инцидент информационной безопасности следуя набору принятых процедур, направленных на минимизацию ущерба и устранению последствий.

    Реагирование является важным этапом в обеспечении общей системы безопасности компании. От того, насколько хорошо построен процесс, зависит эффективность всей системы.

    Этапы реагирования включают:

    • Идентификацию;
    • Сдерживание;
    • Лечение;
    • Восстановление;
    • Выводы и профилактика.

    В силу особенностей и отличий целенаправленных атак от обычных угроз процесс реагирования в случае APT имеет свою специфику. Нужно принять факт, что если компания является целью для атаки, то рано или поздно атакующей пробьется в инфраструктуру тем или иным образом. Исходя из этого, необходимо осознавать, что если система безопасности не может гарантировать 100% эффективность превентивных мер, то необходимо обеспечить 100% детектирования атаки, причем на самом раннем этапе развития. Обнаружение и реагирование на угрозу на раннем этапе позволит минимизировать ущерб.

    Для наглядности, рассмотрим пример. Допустим атакующий нашел уязвимость в IT-инфраструктуре компании и атакующий получил доступ к уязвимой машине во внутреннем периметре. После чего злоумышленник постарается закрепиться внутри сети чтобы иметь постоянный доступ в инфраструктуру, далее он будет собирать данные внутри компании и, в конце концов, выгружать корпоративные данные на внешние ресурсы. И если система защиты не заблокировала проникновение, она должна обеспечить возможность обнаружения атаки на перечисленных последующих этапах. Обнаружив атаку на этапе сбора данных или разведки внутри сети, мы сможем предотвратить кражу данных.

    Кроме того, нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделать его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это он может также вычистить следы атаки.

    После блокировки атаки также крайне важно провести анализ действий злоумышленника, выяснить вектора проникновения и распространения. На этом этапе важно понимать, что, если в процессе анализа будут обнаружены не все компоненты и следы компрометации, есть риск, что атакующий сможет остаться в системе, впоследствии изменить свое поведение, и еще долго продолжать свою деятельность.

    Поэтому важно формализовать все полученные в результате анализа знания и заложить их в систему в виде правил/политик для автоматического реагирования в будущем. Это позволит накапливать знания о возможных цепочках атак и необходимых реакциях на них. Данный процесс должен выполняться на постоянной основе и использовать упомянутые выше методы интеллектуальной обработки данных, непрерывно расширяя возможности системы. Наиболее технологически продвинутые решения в области защиты от таргетированных атак непременно должны обладать таким функционалом, причем предоставлять механизмы пополнения таких формализованных знаний из внешних источников.

    Прогнозирование

    Устранение последствий целевой атаки является гораздо более сложной задачей, чем своевременное применение предупреждающих мер. Важно идентифицировать уязвимые сегменты корпоративной сети и возможные вектора угроз для оперативного устранения брешей в системе безопасности. Этап прогнозирования помогает справиться с данной задачей и включает в себя следующий набор услуг:

    Тест на проникновение (Penetration test)

    В ходе теста моделируется вторая фаза таргетированной атаки «Проникновение», в которой применяются комбинированные техники обхода и методы социальной инженерии. Задачей теста является обнаружение наиболее уязвимых элементов инфраструктуры компании и выработка рекомендаций по их устранению.

    Оценка уровня защищенности (Security assessment)

    На первый взгляд сервис частично повторяет задачу теста на проникновение, но это не так. Главное отличие в том, что оценка уровня защищенности происходит без применения средств эксплуатации уязвимостей. Аналитики безопасности получают доступ ко всей инфраструктуре в целом и проводят аудит изнутри, не прибегая к моделированию атаки извне. Сервис позволяет выявить критические места в инфраструктуре, указав на возможные вектора угроз.

    Своевременная оценка уязвимостей (Vulnerability assessment)

    Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении. Имеет встроенный механизм (Patch management), обеспечивающий своевременное обновление программных продуктов.

    Чтобы получить точную оценку угроз для выполнения каждого из этих тестов рекомендуется привлекать высоко квалифицированных аналитиков по информационной безопасности, обладающих большой экспертизой и знаниями актуальных современных угроз и их распространения.

    Аналитический отчет об угрозах информационной безопасности (Threat Intelligence Report)

    Отдельно важно обозначить наличие специализированного инструмента оценки общего состояния защищенности компании. Таким инструментом является сервис, базирующийся на использовании пассивных и полупассивных методов разведки на основе открытых источников (OSINT), которые не вызывают каких-либо подозрений. Работа осуществляется со стороны, без взаимодействия с внутренней инфраструктурой компании.

    Длительность предоставления сервиса равна одному кварталу, что позволяет определить:

    • Актуальные угрозы;
    • Факты компрометации информационных систем;
    • Наличие потенциальных уязвимостей;
    • Наличие действующего вредоносного ПО.

    Как видите, можно выделить четыре элемента общей системы противодействия таргетированным атакам. В целом можно судить о зрелости организации по тому, внедрены ли и как именно применяются эти элементы.

    В следующей статье, завершающей материал, разговор пойдет о реализации подходов обнаружения таргетированных атак на примере существующих на рынке решений.

    Что должна уметь система выявления таргетированной атаки

    Выше мы рассмотрели адаптивную стратегию (Adaptive Security Approach), направленную на профилактику целевой атаки, с учетом использования технических решений и обучения персонала основам грамотности в ИБ.

    Были приведены и две важнейших технологии, без которых сложно представить эффективную систему обнаружения следов таргетированной атаки:

    • анализ аномалий – технология, основанная на статистическом анализе информации и учитывающая частоту событий и их последовательность. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности;
    • динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде.

    Пришло время перейти непосредственно к архитектуре системы обнаружения следов целевой атаки, уделить внимание ее функционалу, рассмотреть ряд технологий более подробно.

    Так что же должна уметь современная система выявления следов таргетированной атаки?

    • Собирать информацию о событиях на разных уровнях инфраструктуры в режиме 24/7;
    • Быстро обнаруживать следы целевой атаки;
    • Уведомлять об инцидентах информационной безопасности;
    • Детально протоколировать выявленные инциденты;
    • Передавать события об инцидентах в систему корреляции событий SIEM и друге решения;
    • Получать статистику угроз через облачную инфраструктуру;
    • Накапливать историческую информацию об инцидентах.

    Рассмотрим за счет каких технологий удается достичь результата в обнаружении таргетированной атаки на примере их реализации в решении «Лаборатории Касперского».

    На протяжении более чем 20 лет «Лаборатория Касперского» занимается защитой от угроз информационной безопасности, создавая инновационные продукты. На вызов таргетированных атак компания ответила специализированным решением, получившим название Kaspersky Anti Targeted Attack (KATA) Platform. Статью мы посвятим обзору применяемых в решении технологий детектирования, с помощью которых достигается высокая эффективность обнаружения угроз.

    Важно отметить

    Часть основополагающих технологий детектирования, вошедших в состав решения, были заимствованы и адаптированы с учетом потребностей продукта из внутреннего инкубатора компании. В частности, технологии обнаружения аномалий, подозрительных объектов и поведения более 10 лет успешно применяются для автоматического детектирования неизвестных угроз в аналитическом сердце компании.

    [Средняя стоимость восстановления после инцидента, связанного с таргетированной атакой, составляет примерно 1 415 000$ для крупного бизнеса*
    *Отчет Финансовые аспекты информационной безопасности в российских компаниях, b2b International для «Лаборатории Касперского», 2016]

    Напомним, что процесс детектирования таргетированной атаки требует использования специализированных средств с достаточным объемом ресурсов, позволяющих осуществлять распределенный сбор информации о событиях, происходящих на разных уровнях инфраструктуры, анализировать получаемую информацию, выявлять нетипичное поведение, основываясь на собственных шаблонах поведения, создаваемых методами самообучения. Ответим на основные вопросы, позволяющие получить представление о решении.

    Какова цель решения?

    Целью является непрерывный анализ большого количества событий с применением различных технологий детектирования, что в итоге позволяет решению выявлять инциденты, непосредственно связанные и указывающие на следы таргетированной атаки. Предоставлять высокоуровневую информацию с возможностью глубокой детализации посредством интерактивных визуализированных консолей (dashboard).

    Как решение устроено?

    Решение осуществляет распределенный мониторинг в реальном времени ключевых точек коммутации ИТ-инфраструктуры компании, а также персональных рабочих станций сотрудников, анализирует обязательные данные и накапливает статистическую информацию, необходимую для построения общей модели поведения ИТ-инфраструктуры. В работе применяется целый класс различных технологий детектирования, а также методы машинного обучения. Решение представлено в виде многоуровневой структуры где каждый уровень отвечает за свой круг задач по анализу информации на основе одной или нескольких технологий детектирования. Система имеет единую точку принятия решений Targeted Attack Analyzer (TAA), который основывается на результатах анализа каждой технологии в отдельности и заводит инциденты с соответствующем уровнем критичности. TAA способен выдавать задания на анализ конкретных подозрительных объектов разным уровням решения. Тем самым TAA объединяет в себе статистический центр и систему контроля процесса анализа.

    Какая информация в решении считается обязательной для анализа?

    В целях обеспечения комплексного мониторинга, решение анализирует следующую информацию:

    • ПосещаемыеURL
    • Файлы различных форматов в том числе исполняемые
    • Электронные сообщения и вложения
    • Метаданные траффика
    • Метаданные рабочих станций

    Далее мы подробней расскажем про архитектуру решения, и опишем функциональное назначение каждого уровня в отдельности.

    Как строится взаимодействие в многоуровневой структуре?

    Итак, решение включает четыре уровня анализа, обеспечивающих детектирование угроз. Каждый из уровней является самостоятельной единицей. В ходе работы уровни «делятся» анализируемой информацией между собой. Вердикты передаются в Targeted Attack Analyzer, который в свою очередь осуществляет глобальный контроль над логикой процессов анализа и заведением инцидентов информационной безопасности.

    Рассмотрим применяемые технологии на каждом из уровней решения.

    Уровень 1 – Сбор информации

    Первый уровень отвечает за сбор информации с ключевых точек ИТ-инфраструктуры, необходимой для выполнения процесса непрерывного мониторинга. Ключевыми точками являются основные места ИТ-коммутации компании (пограничные маршрутизаторы, сервера электронной почты), а также рабочие станции сотрудников. Таким образом собирается наиболее полный набор данных для эффективного анализа. На этом же уровне расположена система обнаружения вторжений, обеспечивающая контроль сетевых соединений.

    Сбор данных на уровне сети

    Для сбора сетевых данных применяются следующие технологии:

    anatomy_of_targeted_attack_img6

    • СборURL – из сетевого трафика выделяются посещаемые URL, которые передаются для проверки верхними уровнями системы.
    • Сбор файлов – благодаря технологии Filerecognition, применяющей множество критериев к объектам, из сетевого потока выделяются только обязательные файлы, попадающие на второй и третий уровень анализа. Это позволяет решению не тратить время и производительность на анализ каждого проходящего объекта в сети.
    • СборEmail – электронная почта продолжает оставаться одним из основных каналов распространения целевых атак. Каждое входящее электронное письмо вначале отправляется на проверку второго уровня статического анализа – антивирусом.
    • Сбор метаданных траффика – генерируется подробная информация по сетевому траффику, необходимая для работы четвертого уровня системы, где расположен Targeted Attack Analyzer. Информация накапливается и применяется для выполнения статистического анализа.
    • Система обнаружения вторжений (ID System)

    Технология сигнатурного детектирования, применяемая на первом уровне основана на технологии SNORT и отвечает за проверку сетевого траффика. Приведем несколько примеров обнаружения данной технологией:

    • Активное сканирование портов;
    • Переполнение буфера;
    • Атаки на веб-приложения, базы данных и веб порталы (например, инжектирование кода)
    • Сетевая коммуникация с командным центром (определяя основные известные команды, применяемые в управлении);
    • RAT – remote admin tool (инструменты удаленного управления) и др.
    • Вердикты IDS системы передаются непосредственно в общую базу четвертого уровня, Targeted Attack Analyzer.

    Сбор данных с рабочих станций

    Со всех контролируемых рабочих станций сотрудников компании ведется сбор различной информации, который включает:

    • Метаданные сети, содержание подробную информацию (временные интервалы, типы протоколов, IP соединения т.д.);
    • Информация о процессах операционной системы (наименование, время работы, и т.д.);
    • Информация об изменениях в реестре (тип записи, время изменений);
    • Информация об установленных программах (наименование, когда установлена, частота использования);
    • Информация об учетных данных в системе (вход в систему, время, от имени кого выполняется программа и д.р.);
    • Метаданные файлов (для работы репутационной базы второго уровня статического анализа);
    • Дамп оперативной памяти (по запросу уровня статистического анализа (TAA)) и некоторые другие параметры.

    Сигнатура – описанный фрагмент кода, однозначно идентифицирующий зловредный объект

    Уровень 2 – Статический анализ

    Второй уровень приведенной выше общей схемы решения — отвечает за анализ данных, используя классические технологии детектирования и репутационные списки, что позволяет ему оперативно выносить вердикты.

    Рассмотрим некоторые реализованные на этом уровне технологии:

    • Антивирусный движок (Anti-MalwareEngine) – Выполняет проверку файлов. В движке применяется сигнатурный анализ, а также структурная и эмуляторная эвристика.

    Помимо файлов из траффика производится проверка вложений электронной почты перед тем как они будут переданы на динамический анализ. В случаях, когда вложение представляет из себя запароленный архив, происходит поиск возможного указанного пароля в теле письма (как текстового, так и графического). Распознанный пароль вместе с архивом передается на третий уровень динамического анализа.

    Эвристический анализатор (эвристик) — технология обнаружения угроз, неопределяемых с помощью антивирусных баз. Позволяет находить объекты, которые подозреваются в заражении неизвестным вирусом или новой модификацией известного. Файлы, обнаруженные с помощью эвристического анализатора, признаются возможно зараженными.

    • YARA правила – Реализована работа с открытым языком сигнатурного описания что позволяет применять собственный набор детектирующих правил. Например, идентифицировать и классифицировать семплы на текстовых или бинарных шаблонах.
    • Облачное детектирование — Kaspersky Security Network (KSN)

    KSN – облачный сервис, предоставляющий оперативный доступ к базам знаний «Лаборатории Касперского», в которых содержится информация по следующим категориям:

    • База URL репутации, проверяет посещаемые URL, выносит вердикт по опасным и ненадежным адресам в сети Интернет, которые могут предоставлять угрозу безопасности пользователей. Так же контроль распространяется и на электронные письма, в которых могут содержаться опасные URL ссылки.

    Категории веб-адресов, содержащиеся в репутационной базе данных KSN:

    • Вредоносный, несет опасность заражения;
    • Фишинговый, используется в целях хищения личной информации;
    • Адреса, связанные с таргетированной атакой, либо ранее замеченные в ней;
    • База репутации файлов, использует для работы снятые контрольные суммы файлов, выносит вердикт по опасным объектам, в том числе обнаруженным ранее в таргетированных атаках;

    Постоянно обновляемые аналитическими службами «Лаборатории Касперского», базы данных, обеспечивают высокую скорость вынесения вердиктов.

    Помимо репутационных баз, сервис имеет обновляемый набор справочников типичной активности различных комбинаций объектов и событий, связанных с ними. Такие справочники могут содержать информацию о популярности объекта, времени жизни, поведении и т.п. Справочники необходимы для работы верхнего уровня решения.

    Каждый вердикт, формируемый KSN, сопровождается дополненной статистической информацией и передается на верхний уровень статистического анализа (TAA).

    Что делать, когда применение облачных технологий запрещено регламентом безопасности?

    Предусмотрена возможность применения KSN сервиса в закрытом контуре предприятия с соответствующим регламентом безопасности. В таком случае локально разворачивается аналог облачного сервиса, именуемый Kaspersky Private Security Network (KPSN). В этом варианте решение не будет отправлять запросы за периметр сети, а будет работать с локальными репутационными базами автономно.]

    • RiskScoreEngine – анализ apk файлов мобильной операционной системы Android.

    Дополнительный функционал выполнен в виде репутационной базы данных, позволяющей определить вредоносный объект. Технология автоматически отрабатывает получаемые apk файлы с уровня сбора информации, также присутствует возможность ручной загрузки файла.

    Вердикты работы второго уровня становятся доступны сразу всем верхним уровням решения.

    Уровень 3 – Динамический анализ

    Основная задача третьего уровня заключается в анализе поведения каждого неизвестного объекта или URL. Абсолютно не важно, каким путем файл был доставлен, загружен пользователем или прислан вложением в электронном письме, он с одинаковым результатом будет доставлен на третий уровень для прохождения динамического анализа в песочнице. Тоже самое касается URL адресов, после прохождения репутационной базы, они будут переданы на уровень динамического анализа.

    Песочница (Sandbox) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Представляет набор виртуализированных сред на которых запущены три версии самых популярных операционных систем, контролируемые технологиями анализа исполнения.

    • Windows XP
    • Windows 7 32Bit
    • Windows 7 64 Bit

    Техники, препятствующие динамическому анализу, и методы борьбы с ними

    Технология динамического анализа присутствует на рынке достаточно давно и киберпреступники не перестают изобретать все новые техники ее обхода (Sandbox Evasion). Приведем лишь некоторые из числа известных техник обхода:

    • Задержка исполнения кода;
    • Проверка количества ядер процессора;
    • Проверка имени машины;
    • Проверка программного окружения;
    • Трекинг активности мыши/клавиатуры.

    В связи с этим песочница «Лаборатории Касперского» обладает большим набором постоянно пополняемых (Anti-Evasion) технологий, позволяющих противостоять техникам обхода, среди которых

    • Эмуляция работы пользователя (движения мышью, работа на клавиатуре);
    • Распознавание диалоговых окон, автоматическое действие;
    • Выполнение прокрутки документа (scroll);
    • Настройка окружения, максимально похожего на реального пользователя;
    • Эмуляция работы пользователя, включая реакцию на диалоговые окна;

    Также, песочница использует уникальную запатентованную технологию, осуществляющую внешнее протоколирование активности образцов на уровне гипервизора, а не на уровне отдельного модуля ОС, что серьезно снижает вероятность идентификации песочницы зловредным ПО.

    Необходимо отметить две дополнительные задачи, решаемые песочницей:

    Дело в том, что в реализации второй фазы таргетированной атаки («проникновение») киберпреступники могут скомпрометировать доверенный сторонний веб-ресурс, разместив на нем URL, состоящую из цепочки ссылок, в конечном итоге приводящих к инструменту первичного проникновения в инфраструктуру компании (Downloader, Dropper или Exploit). После проверки репутационной базой KSN второго уровня анализа песочница выполняет переход по ссылкам для получения объекта.

    1. Проверка вложений электронной почты.

    Не всегда вложение в письме находится в открытом виде, встречаются архивы, защищенные паролем. В таких случаях антивирус, расположенный на втором уровне статического анализа, проверяя входящее письмо, распознает указанный пароль в теле письма, который может быть представлен в текстовом, либо графическом виде. Песочница, получив на входе архив с приложенным паролем, выполняет распаковку и динамический анализ содержащихся в нем объектов.

    Итак, результатом работы песочницы является отчет о выполнении проверки внутри изолированной операционной системы с присвоенным уровнем критичности. Детали анализа и уровень критичности передаются в Targeted Attack Analyzer.

    Уровень 4 – Статистический анализ

    На четвертом уровне располагаются технологии принятия решений. Это заключительная экспертная ступень решения, отвечающая на главный вопрос – какая активность является опасной и относится ли она к таргетированной атаке. Система автоматически приоритизирует инциденты по уровню угрозы, тем самым способствует оперативному принятию решения по реагированию на самые критичные (опасный — Красный, средний — Желтый, незначительный — Серый).

    Targeted Attack Analyzer – анализатор таргетированных атак Представляет собой аналитический центр решения Kaspersky Anti Targeted Attack Platform. Анализатор отвечает за множество задач, связанных с анализом получаемой информации разными методами, в том числе с помощью машинного обучения. Также анализатор отвечает за группировку инцидентов, основываясь на взаимосвязях между ними.

    Рассмотрим функционал анализатора подробней, перечислив выполняемые им задачи:

    1. Накопительный ретроспективный анализ и поиск аномалий;

    Анализатор непрерывно накапливает статистическую информацию, получаемую от технологий первого уровня, в том числе рабочих станций, формируя базу знаний активности ИТ-инфраструктуры. Обучаясь на накопленных исторических данных, анализатор строит актуальную модель поведения ИТ-инфраструктуры, с помощью которой он оценивает текущую активность.

    Оперируя собранной статистикой активности внутри ИТ-инфраструктуры и глобальной статистикой «Лаборатории Касперского» (распространённость, время жизни объектов, репутация, категоризация доменов и файлов, и другие статистические данные), Targeted Attack Analyzer способен выявлять подозрительную активность, учитывая особенности конкретной ИТ-инфраструктуры, в том числе определять нетипичный характер поведения неизвестного программного обеспечения.

    Пример накопительного ретроспективного анализа:

    • Детектирование всплесков сетевой активности на узлах в нетипичное для работы время;
    • Запуск программного обеспечения/системных утилит, работа которых была не характерна ранее;
    • Активность на машине под учетной записью пользователя, ранее не работавшего на ней.

    Часто в таргетированных атаках применяются легальные инструменты, которые ничем не привлекают к себе внимание со стороны систем безопасности. Поведенческая модель позволяет выявлять несвойственную активность, в том числе легальных программ и утилит.

    1. Связь в хронологическом порядке подозрительной активности, относящейся к атаке;

    Каждый инцидент, заведенный любой из детектирующих технологий, помещается в общую базу данных анализатора. Обогащаясь информацией, полученной с рабочих станций, TAA выделяет связанные инциденты в хронлогическом порядке. В результате заводится итоговый инцидент, который отражает более полную картину атаки.

    Приведем пример перечня данных, на базе которых выстраивается хронологическая связь.

    • Статистика активности рабочих станций;
    • Статистика сетевой активности ИТ-инфраструктуры компании;
    • Инциденты, заведенные детектирующими технологиями каждого из уровней.
    1. Сбор объектов с рабочих машин пользователей;

    Используя базу знаний, анализатор выбирает подозрительные объекты с рабочих машин пользователей и запрашивает их для дополнительного анализа. Например, для отправки в песочницу, либо статического анализа.

    Поддерживается сбор следующих типов объектов:

    • Исполняемые файлы
    • Дампа оперативной памяти. Из общей тенденции развития таргетированных атак все больше случаев, когда следы можно обнаружить только в оперативной памяти.

    Таким образом, анализатор имеет широкий спектр возможностей для надежного мониторинга.

    Регулярные обновления технологий детектирования

    В целях обеспечения качества анализа в решении реализован механизм регулярных обновлений для каждой из используемых детектирующих технологий. Обновления позволяют адаптировать каждую технологию детектирования к новым видам угроз, обеспечивая их необходимыми экспертными данными.

    1. Уровень сбора информации
    • обновление сигнатур для технологии обнаружения вторжений
    1. Статический анализ
    • обновление компонентов антивирусного движка
    • обновление методов анализа электронной почты
    1. Динамический анализ объектов
    • обновление логики определения подозрительности поведения в том числе Anti-Evasion техник
    1. Статистический анализ
    • обновление логики анализа и выявления аномалий
    • правила заведения групповых инцидентов

    Задачу динамических обновлений решает специализированный сервис «Лаборатории Касперского», обеспечивающий непрерывный контроль актуальности всех технологий многоуровневой структуры решения.

    В случаях использования решения в закрытом контуре, предусмотрен режим ручного обновления, требующий наличие развернутого локально сервиса Kaspersky Private Security Network, особенности которого мы рассматривали, описывая второй уровень статического анализа.

    Результаты, о которых стоит сказать

    За короткий промежуток времени решение Kaspersky Anti Targeted Attack Platform продемонстрировало свою эффективность в детектировании целевых атак.

    В сентябре 2015 года система по защите от таргетированных атак «Лаборатории Касперского», развернутая в сети одного из корпоративных клиентов компании, в процессе мониторинга ИТ-инфраструктуры выявила аномальное поведение, порожденное динамической библиотекой на одном из серверов домена. Последующий глубокий анализ команды реверс-инженеров и аналитиков позволил обнаружить признаки активности ранее неизвестной кибергруппировки, осуществлявшей таргетированную атаку ProjectSauron. Атака была направлена против государственных организаций разных стран, целью которой являлась кража закрытой информации. С детальным анализом атаки вы можете ознакомиться здесь.

    Ранней весной 2015 года в процессе тестирования прототипа решения внутри ИТ-инфраструктуры «Лаборатории Касперского» были обнаружены признаки таргетированной атаки. Детальное исследование выявило факт применения уязвимости нулевого дня в ядре операционной системы Windows, а целью атаки киберпреступников являлся шпионаж за новыми технологиями. Часть применяемых инструментов была схожа с таргетированной атакой Duqu, впервые обнаруженной в 2011 году и, по некоторым свидетельствам, созданной для шпионажа за Иранской ядерной программой. Главное отличие обнаруженной атаки Duqu 2.0, заключалось в том, что вредоносный код содержался только в оперативной памяти операционной системы. Благодаря своевременному обнаружению следов решением Kaspersky Anti Targeted Attack Platform, ни продукты, ни сервисы не были скомпрометированы.

    С детальным анализом атаки вы можете ознакомиться по этому адресу.

    Вы также можете ознакомиться с картой, демонстрирующей эволюцию таргетированных атак на примере ранее обнаруженных. Данная динамическая карта, специально создана «Лабораторией Касперского» для информирования о действующих кибергрупировках и позволяет узнать географию атак, количество жертв, способы распространения, цели, функции и многое другое.

    Экспертная поддержка

    Важно понимать, что решение по обнаружению таргетированных атак является мощным инструментом, позволяющим выявлять сложные угрозы. Работа над решением заведенного системой инцидента возложена на эксплуатирующий персонал, инженеров безопасности. Персонал обязан обладать достаточной квалификацией для эффективной работы с решением и его функциональными возможностями в полном объеме, а также выполнять непосредственно анализ инцидентов.

    Поддержка продукта учитывает эти факторы и предоставляет необходимый набор услуг:

    • Обучающий курс по работе с решением, включающий обучение с погружением в анализ инцидентов. Прохождение курса, позволит инженерам безопасности, значительно эффективней работать с системой и обладать необходимой экспертизой для анализа инцидентов.
    • Внешний экспертный сервис «Расследование инцидентов» полезен в сложных случаях, когда собственных сил на решение инцидента не хватает. Присутствует риск финансовых и репутационных потерь компании. Сервис предоставляет индивидуальную помощь в расследовании инцидентов при помощи команды аналитиков информационной безопасности. Позволяет значительно ускорить время решения инцидента и исправление сложившийся ситуации.

    Задачи, решаемые экспертным сервисом:

    • предотвращение возможной утечки конфиденциальной информации;
    • снижение затрат, связанных с инцидентом;
    • снижение репутационных рисков с учетом выявленного инцидента;
    • восстановлению нормальной работоспособности скомпрометированных узлов включая дополнительные рекомендации;
    • выработка рекомендаций по защите информации на базе выявленного инцидента, что бы избежать подобных инцидентов в будущем;

    Threat Deception как дополнительный источник данных о целевых атаках

    Технология является продолжением развития специализированных решений, именуемых «Honeypot» — предварительно имплементированных в корпоративную сеть ресурсов или, проще говоря, ловушек (рабочие станции, сервера), основной целью которых является привлечение внимания атакующего и получение данных о любом его взаимодействии с данным ресурсом.

    Однако зачастую решения класса «Honeypot» не только успешно определяются хакерами и благополучно обходятся стороной, но и зачастую служат входной точкой в корпоративную инфраструктуру из-за некорректной имплементации внутри корпоративной сети.

    «Threat Deception» подразумевает более тщательный подход к разработке сценариев обнаружения целевых атак, нежели те, что предлагают современные решения класса «Honeypot». «Threat Deception» предусматривает не только развертывание ловушек на реальных ресурсах (например, рабочих станциях сотрудников или серверах) защищаемой инфраструктуры компании, но также размещение данных ловушек таким образом, чтобы хакер не смог определить, какие ресурсы (рабочие станции, файлы на рабочих станциях и серверах и т.д.) являются ловушками, а какие нет, на базе анализа проводимого экспертом ИБ. Для этого в процессе имплементации решения, защищающаяся сторона должна представлять потенциальные точки присутствия злоумышленника в его инфраструктуре.

    Внутри ловушки повторяют основной набор бизнес приложений и содержат специальные файлы приманки, выдающие себя за документы word, pdf и т.д. В случае открытия файла приманки происходит определение основных параметров машины, с которой было произведено открытие документа, и автоматическая передача собранной информации в центр Threat Deception. Таким образом, инженер безопасности будет информирован об инциденте, в котором будет содержаться основная информация о злоумышленнике (IP адрес, время, наименование ловушки).

    Threat Deception является дополнительным источником в борьбе с таргетированной атакой, позволяющий выявить случаи неправомерной активности внутри ИТ-инфраструктуры компании.

    Мы надеемся, что эта статья помогла детальней погрузиться в проблематику таргетированных атак и способов ее профилактики. Хочется пожелать всем нам как можно реже сталкиваться с подобным злом и быть всегда готовыми к отражению атаки!

    • противодействие
    • таргетированные атаки
    • целевые атаки

    11 типов фишинга и их примеры из реальной жизни

    Фишинг – это тип кибер-преступления, при котором преступники выдают себя за надежный источник в Интернете, чтобы вынудить жертву передать им личную информацию (например, имя пользователя, пароль номер банковской карты и пр.).

    Фишинговая атака может принимать различные формы, и хотя она часто происходит по электронной почте, существует множество различных методов, которые мошенники используют для выполнения своих схем. Это особенно актуально сегодня, когда фишинг продолжает развиваться, порой удивляя своей изощренностью и степенью распространенности. Хотя целью любого фишингового мошенничества всегда является кража личной информации, существует множество различных видов фишинга, о которых вы должны знать.

    1. Почтовый фишинг

    Возможно, будучи самым распространенным типом фишинга, он зачастую использует технику «spray and pray», благодаря которой хакеры выдают себя за некую легитимную личность или организацию, отправляя массовые электронные письма на все имеющиеся у них адреса электронной почты.

    Такие письма содержат характер срочности, например, сообщая получателю, что его личный счет был взломан, а потому он должен немедленно ответить. Их цель заключается в том, чтобы своей срочностью вызвать необдуманное, но определенное действие от жертвы, например, нажать на вредоносную ссылку, которая ведет на поддельную страницу авторизации. Там, введя свои регистрационные данные, жертва, к сожалению, фактически передает свою личную информацию прямо в руки мошенника.

    Пример почтового фишинга

    The Daily Swig сообщила о фишинговой атаке, произошедшей в декабре 2020 года на американского поставщика медицинских услуг Elara Caring, которая произошла после несанкционированного компьютерного вторжения, нацеленного на двух его сотрудников. Злоумышленник получил доступ к электронной почте сотрудников, в результате чего были раскрыты личные данные более 100 000 пожилых пациентов, включая имена, даты рождения, финансовую и банковскую информацию, номера социального страхования, номера водительских прав и страховую информацию. Злоумышленник имел несанкционированный доступ в течение целой недели, прежде чем Elara Caring смогла полностью остановить утечку данных.

    2. Spear Phishing (спеарфишинг или целевой фишинг)

    Вместо того чтобы использовать технику «spray and pray», как описано выше, спеарфишинг включает в себя отправку вредоносных электронных писем конкретным лицам внутри организации. Вместо того, чтобы рассылать массовые электронные письма тысячам получателей, этот метод нацелен на определенных сотрудников в специально выбранных компаниях. Такие типы писем часто более персонализированы, они заставляют жертву поверить в то, что у них есть отношения с отправителем.

    Пример спеарфишинга

    Armorblox сообщила о спеарфишинговой атаке в сентябре 2019 года против руководителя компании, названной одной из 50 лучших инновационных компаний в мире. Письмо содержало вложение, которое, по-видимому, было внутренним финансовым отчетом, для доступа к которому требовалось пройти авторизацию на поддельной странице входа в Microsoft Office 365. На поддельной странице входа в систему уже было заранее введено имя пользователя руководителя, что еще больше усиливало маскировку мошеннической веб-страницы.

    3. Whaling (уэйлинг)

    Whaling (уэйлинг) очень похож на spear phishing (спеарфишинг), но вместо того, чтобы преследовать любого сотрудника в компании, мошенники специально нацеливаются на руководителей (или «крупную рыбу», отсюда и термин «уэйлинг», что в переводе с английского языка означает «китобойный промысел»). К таким сотрудникам относятся генеральный директор, финансовый директор или любой руководитель высокого уровня, имеющий доступ к более конфиденциальным данным, чем сотрудники более низкого уровня. Часто эти электронные письма используют ситуацию, способную оказать на таких руководителей серьезное давление, чтобы «зацепить» своих потенциальных жертв, например, передавая информацию о поданном против компании судебном иске. Такое письмо побуждает получателя перейти по вредоносной ссылке или к зараженному вложению для получения дополнительной подробной информации.

    Пример уэйлинга

    В ноябре 2020 года Tessian сообщил о уэйлинг-атаке на соучредителя австралийского хедж-фонда Levitas Capital. Соучредитель получил электронное письмо, содержащее поддельную ссылку в Zoom, которая внедрила вредоносное ПО в корпоративную сеть хедж-фонда и почти привела к уводу 8,7 миллиона долларов США на счета мошенников. В конечном счете злоумышленник смог заполучить только лишь 800 000 долларов США, однако последовавший за этим репутационный ущерб привел к потере крупнейшего клиента хедж-фонда, что вынудило его закрыться навсегда.

    4. Smishing (смишинг)

    SMS-фишинг, или smishing (смишинг), для проведения фишинговой атаки использует текстовые сообщения, а не электронную почту. Принцип действия такой же, как и при осуществлении фишинговых атак по электронной почте: злоумышленник отправляет текстовое сообщение от, казалось бы, легитимного отправителя (например, заслуживающая доверия компания), которое содержит вредоносную ссылку. Ссылка может быть замаскирована под код купона (скидка 20% на ваш следующий заказ!) или предложение выиграть что-то вроде билетов на концерт.

    Пример смишинга

    В сентябре 2020 года Tripwire сообщила о смишинг-кампании, в рамках которой в качестве маскировки использовалась американская почтовая служба United States Post Office (USPS). Злоумышленники рассылали SMS-сообщения, информирующие получателей о необходимости перейти по ссылке для просмотра важной информации о предстоящей доставке USPS. Вредоносная ссылка фактически приводила жертв на различные веб-страницы, предназначенные для кражи учетных данных посетителей аккаунта Google.

    5. Vishing (вишинг)

    Vishing (вишинг), иначе известный как voice phishing (голосовой фишинг), похож на смишинг в том, что телефон используется в качестве средства для атаки, но вместо того, чтобы использовать текстовые сообщения, атака проводится с помощью телефонного звонка. Вишинг-звонок часто передает автоматическое голосовое сообщение якобы от легитимной организации (например, ваш банк или государственное учреждение).

    Злоумышленники могут заявить, что вы задолжали большую сумму денег, срок действия вашей автостраховки истек или ваша кредитная карта имеет подозрительную активность, которую необходимо немедленно исправить. В этот момент жертве обычно говорят, что она должна предоставить личную информацию, такую как учетные данные кредитной карты или номер социального страхования, чтобы подтвердить свою личность, прежде чем получить дополнительную информацию и предпринять какие-либо действия.

    Пример вишинга

    В сентябре 2020 года медицинская организация Spectrum Health System сообщила о вишинг-атаке, в рамках которой пациенты получали телефонные звонки от лиц, маскирующихся под ее сотрудников. Злоумышленники намеревались извлечь персональные данные пациентов и членов Spectrum Health, включая идентификационные номера членов и другие личные медицинские данные, связанные с их учетными записями. Spectrum Health сообщила, что злоумышленники использовали такие меры, как лесть или даже угрозы, чтобы заставить жертв передать свои данные, деньги или доступ к их личным устройствам.

    6. Business Email Compromise (BCO, CEO-мошенничество, компрометация корпоративной электронной почты)

    CEO-мошенничество – это форма фишинга, при которой злоумышленник получает доступ к учетной записи электронной почты высокопоставленного руководителя (например, генерального директора). Имея в своем распоряжении скомпрометированный аккаунт, кибер-преступник, выдавая себя за генерального директора, отправляет электронные письма сотрудникам организации с целью осуществить мошеннический банковский перевод или провести ряд других незаконных действий.

    Пример CEO-мошенничества

    Инки сообщила о CEO-мошенничестве против австрийской аэрокосмической компании FACC в 2019 году. В рамках той атаки бухгалтер компании получил письмо якобы от генерального директора FACC. В письме содержалась информация о требуемом финансировании нового проекта, и бухгалтер неосознанно перевел 61 миллион долларов на мошеннические иностранные счета.

    7. Clone Phishing (клон-фишинг)

    Если вы когда-либо получали законное электронное письмо от легитимной компании, а спустя какое-то время получали, казалось бы, то же самое сообщение, то вы стали свидетелем клон-фишинга в действии. Этот метод фишинга работает путем создания вредоносной копии недавно полученного сообщения от легитимного отправителя, которое якобы направляется повторно от, казалось бы, этого же легитимного отправителя. Любые ссылки или вложения из исходного письма заменяются вредоносными. Злоумышленники обычно используют предлог повторной отправки сообщения из-за того, что в первоначальном письме были указаны неверные ссылки или вложения.

    Примеры клон-фишинга

    Один из специалистов по информационной безопасности продемонстрировал возможность перехода по ссылке из электронного письма на поддельный веб-сайт, у которого в адресной строке браузера, казалось бы, показывается правильный URL, но на самом деле для обмана пользователей в нем используются символы, которые очень похожи на законное доменное имя. Всегда открывайте веб-сайты из собственных закладок или самостоятельно набирая URL-адрес в адресной строке вашего браузера, и никогда не переходите по ссылке из неожиданного или подозрительного письма (даже если оно кажется легитимным).

    8. Evil Twin Phishing (фишинг-атака «злой двойник»)

    Тип фишинговой атаки Evil Twin («злой двойник») включает в себя создание копии легитимной сети WiFi, которая на самом деле заманивает жертв, подключающихся к ней, на специальный фишинговый сайт. Как только жертвы попадают на этот сайт, им обычно предлагается ввести свои личные данные, такие как учетные данные для входа, которые затем передаются непосредственно хакеру. Как только хакер получит эти данные, он сможет войти в сеть, взять ее под контроль, отслеживать незашифрованный трафик и находить способы кражи конфиденциальной информации и данных.

    Пример фишинга Evil Twin («злой двойник»)

    В сентябре 2020 года Nextgov сообщила о нарушении данных в системах Министерства внутренних дел США. Хакеры использовали атаку типа Evil Twin («злой двойник»), чтобы украсть уникальные учетные данные и получить доступ к WiFi-сетям министерства. Дальнейшее расследование показало, что министерство не работало в рамках защищенной инфраструктуры беспроводной сети, а сетевая политика не обеспечивала строгие меры аутентификации пользователей, периодическую проверку сетевой безопасности или мониторинг сети для обнаружения и управления распространенными атаками.

    9. Фишинг в социальных сетях

    Фишинг в социальных сетях подразумевает использование Facebook, Instagram и Twitter, чтобы получить конфиденциальные данные жертв или заманить их нажать на определенные вредоносные ссылки. Хакеры могут создавать поддельные аккаунты, выдавая себя за кого-то из знакомых жертвы, чтобы заманить ее в свою ловушку, или они могут даже выдавать себя за аккаунт службы обслуживания клиентов известной компании, чтобы охотиться на жертв, которые обращаются в эту компанию за поддержкой.

    Пример фишинга в социальных сетях

    В августе 2019 года Fstoppers сообщила о фишинговой кампании, запущенной в Instagram, в рамках которой мошенники отправляли личные сообщения пользователям Instagram, предупреждая их о нарушении авторских прав на изображения и требуя, чтобы они заполнили специальную форму во избежание блокировки своего аккаунта.

    Одна из жертв получила личное сообщение от якобы официального аккаунта North Face, в котором утверждалось о нарушении авторских прав. Жертва перешла по ссылке в сообщении на, казалось бы, легитимный сайт InstagramHelpNotice.com, где пользователя попросили ввести свои регистрационные данные для входа. Жертва, попавшая в ловушку, в конечном счете предоставила хакерам доступ к информации о своем аккаунте и другим личным данным, связанным с ее аккаунтом в Instagram.

    10. Фишинг в поисковых системах

    При использовании фишинга в поисковых системах хакеры создают свой собственный веб-сайт и индексируют его в легитимных поисковых системах. Эти сайты часто предлагают дешевые товары и невероятно заманчивые предложения, пытающиеся заманить ничего не подозревающих онлайн-покупателей, которые видят сайт на странице результатов поиска в Google или в других поисковиках. Если жертва нажимает в поисковике на ссылку для перехода на такой сайт, то, как правило, предлагается зарегистрировать аккаунт или ввести информацию о своем банковском счете для завершения покупки. Конечно, мошенники затем крадут эти личные данные, чтобы использовать их для извлечения финансовой выгоды в дальнейшем.

    Пример фишинга в поисковых системах

    В 2020 году Google сообщил, что ежедневно обнаруживается 25 миллиардов спам-сайтов и фишинговых веб-страниц. Кроме того, Wandera сообщила в 2020 году, что каждые 20 секунд запускается новый фишинговый сайт. Это означает, что каждую минуту в поисковых системах появляются три новых фишинговых сайта!

    11. Pharming (фарминг)

    Pharming (фарминг) – это сочетание слов «фишинг» (phishing) и «фарм» (farm). В рамках данного типа фишинга хакеры, нацеливаясь на DNS-серверы (серверы доменных имен), перенаправляют пользователей, которые пытаются открыть какие-нибудь легитимные сайты, на вредоносные веб-сайты. DNS-серверы существуют для того, чтобы направлять запрос на открытие конкретного веб-сайта на соответствующий IP-адрес сервера, где этот сайт размещен. Хакеры, занимающиеся фармингом, часто нацеливаются на DNS-серверы, чтобы изменить хранящиеся на них сведения об IP-адресах и доменах и перенаправить жертв на мошеннические веб-сайты с поддельными IP-адресами. Когда при обработке веб-запросов пользователей используется такой взломанный DNS-сервер, то их данные становятся уязвимыми для кражи хакером.

    Пример фарминга

    Secure List сообщил о фарминг-атаке на добровольческую гуманитарную кампанию, запущенную в Венесуэле в 2019 году. В рамках этой кампании существовал веб-сайт, на котором волонтеры могли зарегистрироваться для участия в гуманитарной акции, и сайт просил их предоставить такие их персональные данные, как имя, удостоверение личности, номер мобильного телефона, их домашний адрес и многое другое.

    Через несколько дней после запуска сайта появился практически идентичный сайт с похожим доменом. Хакер создал этот поддельный домен, используя тот же IP-адрес, что и исходный веб-сайт. Всякий раз, когда волонтер открывал подлинный веб-сайт, любые личные данные, которые он вводил, фильтровались на поддельный веб-сайт, что приводило к краже данных тысяч добровольцев.

    Советы по обнаружению и предотвращению фишинговых атак

    Один из лучших способов защитить себя от фишинговой атаки – это изучить примеры фишинга в действии и понимать, что нужно искать при попытке обнаружить фишинговую атаку и что нужно предпринять для предотвращения атаки. Ниже представлены основные признаки, которые позволят вам выявить потенциальную фишинговую атаку:

    • В электронном письме Вас просят подтвердить персональную информацию: Если вы получаете электронное письмо, которое выглядит подлинным, но кажется совершенно неожиданным, то это явный признак того, что письмо могло прийти от поддельного и ненадежного отправителя.
    • Плохая грамматика: Неправильно написанные слова, плохая грамматика или странный фразеологический оборот также являются предупреждающим знаком попытки фишинга.
    • Сообщения, оказывающие серьезное давление: Если вам кажется, что сообщение предназначено для того, чтобы вы запаниковали и немедленно предприняли какие-то меры, то, наоборот, действуйте крайне осторожно – скорее всего, вы столкнулись с распространенной среди кибер-преступников техникой.
    • Подозрительные ссылки или вложения: Если вы получили неожиданное сообщение с просьбой открыть неизвестное вложение, никогда не делайте этого, пока не будете полностью уверены, что отправитель является легитимным контактом.
    • Слишком хорошо, чтобы быть правдой: Если с вами связываются с целью предложить какую-то «сделку века» или «суперневероятное предложение», то скорее всего речь идет о подделке или обмане.

    Следующая лучшая линия защиты от всех видов фишинговых атак и кибер-атак в целом – это использование надежного антивируса. По крайней мере, вы можете воспользоваться преимуществами бесплатного антивируса, чтобы лучше защитить себя от онлайн-преступников и сохранить ваши личные данные в безопасности.

    Кибер-понедельник всю неделю: скидка 40% на антивирус Panda Dome

    • фишинг
    • спеарфишинг
    • spear phishing
    • вишинг
    • смишинг
    • уэйлинг
    • фарминг
    • мошенничество
    • обман
    • хакер
    • кибер-преступление
    • Оригинал статьи:
      11 Types of Phishing + Real-Life Examples

    Как избежать атак типа социальной инженерии и фишинга

    В контексте информационной безопасности — психологическое манипулирование людьми с целью побуждения их на совершение определенных действий или получения конфиденциальной информации. Данная совокупность уловок с целью сбора информации или несанкционированного доступа от традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества.

    Что такое фишинг (фишинговая атака)?

    Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей, обычно — логинам и паролям или банковским данным. Это самая популярная схема социальной инженерии на сегодняшний день. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо от банка или платёжной системы, требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые разные: утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию.

    Фишинговые атаки также могут исходить под видом компенсаций, акций, розыгрышей призов и т.п. Злоумышленники в фишинговых атаках часто используют в своих интересах определенные события:

    • Эпидемии и проблемы со здоровьем (COVID-19);
    • Экономические проблемы (например, компенсации);
    • Опросы, связанные с розыгрышем призов (например, от имени мировых брендов);
    • Сезонные акции (например, черная пятница).

    Что такое вишинг (vishing)?

    Вишинг — это подход социальной инженерии, использующий голосовое общение. Этот метод можно комбинировать с другими формами социальной инженерии, которые побуждают жертву раскрыть конфиденциальную информацию. Продвинутые vishing-атаки могут осуществляться полностью через голосовую связь с использованием решения для передачи голоса по интернет-протоколу — технологии VoIP, которая позволяет подменивать номер телефона (caller ID) вызывающего абонента.

    Что такое смишинг (smishing)?

    Смишинг — это форма социальной инженерии, использующая SMS или текстовые сообщения. Текстовые сообщения могут содержать ссылки на интернет-ресурсы, адреса электронной почты или номера телефонов, при нажатии на которые автоматически открывается окно браузера, создается новое сообщение на указанную электронную почту или осуществляется вызов на номер телефона. Эта интеграция электронной почты, голосовых сообщений, текстовых сообщений и функций веб-браузера увеличивает вероятность того, что пользователи могут стать жертвами спланированной вредоносной активности.

    Общие признаки попыток фишинга

    Сомнительный адрес отправителя — адрес отправителя может имитировать легитимное имя от определенной компании или лица. Мошенники часто используют адреса электронных почт, которые очень похожи на известный бренд, заменяя символы, буквы, цифры или полностью подменяя e-mail отправителя. Например, официальный n[email protected] может содержать подделанные варианты n[email protected], n[email protected], n[email protected].

    Общее приветствие и подпись — обычное приветствие, такое как «Уважаемый клиент» и отсутствие в подписях контактной информации также может являться индикатором фишингового письма, поскольку доверенные организации обычно обращаются по имени и с указанием подробной контактной информации.

    Поддельные гиперссылки и интернет-ресурсы — при наведении курсора мыши на ссылку в письме необходимо обращать внимание на соответствие отображаемому URL-адресу в левом нижнем углу окна, если ссылка не соответствует отображаемому URL-адресу, то это может говорить о поддельной ссылке в письме. Фишинговые интернет-ресурсы могут выглядеть идентично официальному интернет-ресурсу, но URL-адрес будет использовать варианты написания с использованием добавления цифр, букв, символов или использовать другие доменные зоны (например, com, net, org, xyz, cn). Стоит отметить, что злоумышленники могут использовать сервисы сокращения ссылок, чтобы скрыть от глаз конечную поддельную ссылку назначения.

    Орфография и верстка — отсутствие соблюдения грамматических и стилистических норм языка и принятых основ форматирования могут быть признаками возможной попытки фишинга. Зачастую в официальных учреждениях существует специальный персонал, который составляет, проверяет и корректирует корреспонденцию с клиентами.

    Подозрительные вложения — незапрашиваемое электронное письмо с просьбой загрузить и открыть вложение является распространенным механизмом доставки вредоносных программ (ВПО). Злоумышленник может использовать ложное сообщение срочности или важности, чтобы убедить пользователя загрузить или открыть вложение без предварительной его проверки.

    Фишинг посредством сервисов — фишинговые ссылки могут отправляться в мессенджерах и в социальных сетях как целевые, так и массовые. Данный тип фишинга отличается тем, что используются сторонние сервисы для сбора конфиденциальных данных.

    Что делать, если вы столкнулись с фишинговой атакой?

    • Если вы считаете, что ваши конфиденциальные банковские данные были скомпрометированы, то следует заблокировать карту, связаться с вашим отделением банка и проконсультироваться о необходимых мерах для предотвращения дальнейших последствий, связанных с возможным списанием денежных средств.
    • Необходимо незамедлительно сменить все пароли, которые могли быть скомпрометированы. Если вы использовали одинаковый пароль на нескольких учетных записях или на разных интернет-ресурсах, то следует везде поменять пароль и не использовать его в будущем.
    • В случае присутствия ссылок на фишинговые интернет-ресурсы или подозрительных электронных писем вы можете сообщить о фишинговой атаке в Национальную службу реагирования на компьютерные инциденты, заполнив форму по ссылке, или свяжитесь по контактным данным, указанным в разделе.
    • Если вы столкнулись с методом атаки «вишинг» (vishing), рекомендуем обратиться в уполномоченный орган — Министерство внутренних дел Республики Казахстан.

    Касательно того, как не стать жертвой фишинговых атак, KZ-CERT пишет на официальном сайте.

    Фишинг
    Phishing

    Вид интернет-мошенничества, цель которого получение доступа к конфиденциальным данным пользователя (логинам и паролям). Пользователь думает, что переходит на заявленный сайт, однако фактически его перенаправляют на подставной сайт. Как правило, жертвами фишеров становятся клиенты банков и платежных систем.

    Хакеры использовали электронные письма для осуществления подобного рода атак, но благодаря широкому распространению социальных сетей и смартфонов с доступом в Интернет стали множится и типы фишинговых атак.

    Данные электронные письма содержат ссылку, которая якобы ведет пользователя на сайт какой-то компании с высоким уровнем конфиденциальности, хотя, на самом деле, такой сайт — это всего лишь имитация оригинального сайта без какой-либо конфиденциальности.

    Таким образом, самоуверенный пользователь, у которого нет надежной антивирусной защиты, может стать жертвой атаки, предназначенной для кражи персональных данных.

    Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

    Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

    Схемы фишинга

    На каких чувствах играют фишеры

    Большинство киберпреступников полагается не только на технологию, но и на человеческую беспечность и доверчивость. Еще в 2011 году в отчете компании Cisco были перечислены семь человеческих слабостей, эксплуатируемых преступниками, которые используют психологические методы воздействия на людей через электронную почту, социальные сети и телефонную связь. Речь идет о:

    • сексуальности,
    • алчности,
    • тщеславии,
    • чрезмерной доверчивости,
    • лени,
    • сострадании и
    • поспешности в принимаемых решениях.

    Как выглядит фишинговое письмо:

    Отправители

    • Органы исполнительной власти;
    • Крупные телекоммуникационные операторы;
    • Профильные интернет-форумы;
    • Кредитно-финансовые организации;
    • Организации-партнеры;
    • Организации-клиенты.
    • Требование, поступившее от органов исполнительной власти;
    • Рассылка изменений в нормативных актах;
    • Взыскание/погашение задолженности/штрафа, оплата услуг;
    • Поиск документов для проверки.

    В начале 2017 года эксперты обратили внимание на новую фишинговую кампанию, направленную против пользователей Gmail. Письма содержат настолько хорошо завуалированные вредоносные ссылки, что даже продвинутые пользователи часто не замечают подвоха и вводят свои учетные данные на фишинговом аналоге Gmail. Как только жертва скомпрометирована, злоумышленники немедленно перехватывают доступ над ее аккаунтом и атакуют все контакты пострадавшего.

    Вредоносные письма, идущие от скомпрометированных пользователей, якобы содержат PDF-документ, который можно предварительно просмотреть прямо в веб-интерфейсе почты. Однако кликнув на такое «вложение», которое на самом деле является простым встроенным в письмо изображением, пользователь инициирует переадресацию на фишинговую страницу [1] . Российский рынок мобильных приложений для бизнеса и госсектора: крупнейшие игроки, тенденции и перспективы. Обзор TAdviser

    Фишинговый URL начинается с «data:text/html,https://accounts/google.com», что может ввести пользователя в заблуждение, заставив поверить, что он все еще находится на настоящем сайте Google. На самом деле, для открытия фишинговой страницы в новой вкладке используется специальный скрипт, а страница не имеет никакого отношения к Google.

    Компрометация электронной почты

    Компрометация корпоративного e-mail (англ. business email compromise или invoice fraud) — это мошенничество, при котором преступник изображает из себя продавца или делового партнера и убеждает представителя компании перевести крупную сумму на оффшорный счет в качестве «оплаты» за услуги, которые никогда не оказывал.

    Календарный фишинг

    В начале 2019 года эксперты «Лаборатории Касперского» зафиксировали волну фишинговых атак на пользователей сервиса Google Календарь. На протяжении мая киберпреступники многократно рассылали жертвам мошеннические сообщения, подделывая их под автоматические уведомления в календаре на смартфоне. Этот новый способ проведения фишинговых атак потенциально предоставляет злоумышленникам больше возможностей, поскольку теоретически может ввести в заблуждение даже опытных пользователей, которые хорошо осведомлены об угрозе спама и фишинга в электронной почте или мессенджерах.

    Сообщения, рассылаемые злоумышленниками, эксплуатируют функцию автоматического добавления приглашения в календарь и уведомления об этом событии. У многих пользователей эта функция включена по умолчанию. Если жертва откроет всплывающее окно на смартфоне, которое внешне очень похоже на уведомление приложения от Google, то, скорее всего, увидит ссылку на фишинговый сайт, на котором якобы проводится простой опрос за вознаграждение. Для получения денежного приза, как выяснится позднее, пользователю нужно оплатить небольшую комиссию — а для этого указать данные банковской карты и некоторую личную информацию, в частности имя, номер телефона и адрес. Разумеется, всё это отправляется напрямую к злоумышленникам.

    Cмишинг (SMiShing)

    В течение нескольких лет хакеры использовали технику, известную как фишинг. С ее помощью они рассылали жертвам электронные письма якобы из банка, в результате чего обманным путем пытались получить регистрационные данные для доступа к банковскому счету. Т.к. люди стали более осведомленными и лучше стали распознавать фишинговые письма, в результате чего жертв фишинга стало меньше, то хакеры изменили свою тактику и сфокусировали свое внимание на наших телефонах.

    Смишинг концептуально очень схож: вместо отправки электронных писем хакеры стали отправлять своим жертвам текстовые SMS-сообщения. Каждое из таких сообщений разработано для того, чтобы обманывать людей с целью получения от них крайне важной персональной информации, например, PIN-код для доступа к их онлайн-банку. Какие-то смишинговые сообщения будут направлять свои жертвы на ложный веб-сайт или попросят скачать необходимое приложение, которое на самом деле заражено вредоносной программой.

    Как распознать смишинговое сообщение

    Почти каждое смишинговое сообщение имеет одну общую черту: чувство срочности. Вам скажут, что Ваш банковский счет взломан и Вы должны срочно подключиться к нему с помощью прилагаемой ссылки. Или в рамках обычной проверки систем безопасности доступ к Вашему банковскому счету был заблокирован, а потому для восстановления доступа необходимо подтвердить свой пароль. Вас даже могут попросить скачать специальное приложение, чтобы повысить уровень безопасности Вашего счета, и чем раньше, тем лучше.

    На самом деле, никакой банк не отправляет срочные SMS-сообщения: большинство из них для передачи важной информации используют электронную почту и обычные письма. Если Вы получили текстовое сообщение от Вашего банка, то оно не будет содержать ссылку: при первой же возможности вы просто будете перенаправлены на страницу сайта банка с формой для авторизации или с контактными данными службы обслуживания клиентов банка.

    Аналогичным образом, ваш банк никогда не отправит вам ссылку на сайт для скачивания нового приложения. Они могут направить вас в официальные магазины App Store или Google Play, но большинство из них направит всплывающее уведомление через свое официальное приложение, а не через текстовое SMS-сообщение.

    Если у вас есть какие-либо (пуская даже самые малейшие) сомнения относительно текстового сообщения, которое вы получили, то лучше удалите его. Если вопрос действительно является очень срочным, то ваш банк свяжется с вами повторно. Вы также можете позвонить им и получить подтверждение, существует ли проблема на самом деле [2] .

    Меры защиты от фишинга

    Советы для частных пользователей

    Проверка источника каждого получаемого вами электронного письма и переход на сайт Вашего банка не по ссылке из письма, а путем набора адреса в адресной строке браузера – вот две основные меры предосторожности, которые Вы можете предпринимать для того, чтобы не попасться «на удочку» кибер-преступников.

    1. Научитесь выявлять подозрительные фишинговые письма

    Есть несколько признаков, которые идентифицируют атаку по электронной почте [3] :

    • Они дублируют образ известной компании.
    • Они копируют название компании или ФИО реального сотрудника компании.
    • Они содержат сайты, которые визуально похожи на сайты реальных компаний.
    • Они предлагают подарки или пугают потерей существующего аккаунта.

    2. Проверьте источник информации

    Ваш банк никогда не будет просить Вас отправить Ваши пароли или персональную информацию по электронной почте. Никогда не отвечайте на подобные вопросы, а если у Вас есть хоть чуточку сомнений, то лучше позвоните в Ваш банк для получения разъяснений.

    3. Никогда не переходите на веб-сайт Вашего банка, нажимая на ссылки в письмах

    Не нажимайте на ссылки в письме, т.к. в результате этого Вы можете оказаться на подставном веб-сайте.

    Лучше вручную наберите адрес сайта в адресной строке Вашего браузера или используйте ранее настроенную закладку в Избранном, если хотите перейти быстрее.

    4. Повысьте уровень безопасности Вашего компьютера

    Не терять чувство здравого смысла и обладать рассудительностью также важно, как и защищать свой компьютер с помощью антивируса, способного блокировать данный тип атак.

    Кроме этого, Вам следует всегда устанавливать самые последние обновления Вашей операционной системы и веб-браузеров.

    5. Вводите Ваши критические данные только на безопасных веб-сайтах

    Чтобы узнать, является ли данный веб-сайт «безопасным», проверьте адресную строку в Вашем браузере: адрес сайта должен начинаться с «https://», а рядом с ним должна показываться иконка закрытого замочка.

    6. Периодически проверяйте Ваши аккаунты

    Никогда не помешает периодически проверять Ваши банковские счета, чтобы не пропустить какие-либо подозрительные действия в Ваших онлайн-транзакциях.

    7. Фишинг относится не только к онлайн-банкам

    Большинство фишинговых атак направлены против банков, однако для кражи персональных данных они могут использовать и другие популярные веб-сайты: eBay, Facebook, PayPal и другие.

    8. Фишинг знает все языки

    Фишинг не знает границ, и может настичь Вас на любом языке. В целом, они плохо написаны или переведены, а потому это может служить еще одним индикатором того, что что-то не так.

    Например, если Вы никогда не были на испанском веб-сайте Вашего банка, то почему теперь информация для Вас должна быть на этом языке?

    9. Если есть хоть малейшие сомнения, не стоит рисковать

    Лучший способ предотвращения фишинга – это не реагировать на любые письма или новости, которые просят Вас предоставить конфиденциальные данные.

    Удалите эти сообщения и позвоните в ваш банк для прояснения Ваших сомнений.

    10. Периодически читайте информацию о развитии вредоносных программ

    Если Вы хотите быть в курсе последних вредоносных атак, рекомендаций или советов, чтобы избежать любых опасностей в Интернете, Вы можете читать специализированные блоги о кибер-безопасности в Facebook, ВК, Twitter и др.

    Рекомендации для организаций

    Чтобы не стать жертвой фишинга рекомендуется пользователям всегда поверять подлинность веб-сайта, на котором они собираются вводить финансовую информацию, и проверять, защищено ли соединение безопасным протоколом https. Кроме того, не стоит переходить по подозрительным ссылкам и выполнять все требования, изложенные в электронных письмах от имени банка, если они вызывают даже самую малую долю сомнения — лучше в этом случае связаться с финансовой организацией напрямую. И, конечно же, необходимо использовать защитное решение, включающее в себя проактивные функции распознавания и блокирования фишинга.

    Что необходимо делать, чтобы избежать опасности:

    • Регулярно обновляйте антивирус и браузер.
    • Наведите курсор на ссылку, чтобы посмотреть, куда она ведет.
    • Проверьте письмо на предмет наличия следующих признаков: неправильно написанные слова, неправильные URL-домены, низкое качество графики и неизвестные отправители.
    • Вместо перехода по ссылке в письме необходимо посетить сайт компании, отправившей письмо, чтобы убедиться в достоверности информации.

    Что нельзя делать:

    • Не нажимайте на ссылки в письмах, полученных из неизвестных или подозрительных источников.
    • Не отправляйте подозрительно выглядящее письмо друзьям или членам семьи.
    • Не загружайте контент, который ваш браузер или антивирус считает подозрительным.
    • Не оставляйте на сайте личную информацию.

    Обучение персонала компании

    Проект по выстраиванию процесса повышения осведомленности [4]

    • Ответственные, сроки, бюджет проекта
    • Программа обучения
    • Разработка материалов / выбор готовой системы
    • Базовая программа для новых сотрудников
    • Периодические рассылки по отдельным темам
    • Разовые рассылки с важной информацией об актуальных угрозах
    • Оценка знаний
    • Тестирование в «боевых» условиях»

    Рынок систем повышения осведомленности

    Имитация действия злоумышленника: фишинговые рассылки в учебных целях

    Фишинговые рассылк: варианты реализации

    Угрозы, связанные с использованием социальной инженерии, в ближайшем будущем никуда не денутся (а скорее всего, будут только расти)

    • Такие атаки универсальны для проникновения в любые системы, легко тиражируются
    • Достаточно одного «попавшегося» для компрометации всей сети
    • Не стоит полагаться исключительно на технические средства

    Можно снизить риски, обучая сотрудников и эффективно проверяя их знания

    • Дополняем организационные меры «боевыми учениями»
    • Тестирование путем проведения фишинговых рассылок можно дополнять имитацией других действий злоумышленников: телефонное мошенничество, тесты на проникновение

    Важно не то, какими именно инструментами мы пользуемся, а качественно организованный процесс обучения и тестирования

    • Все приведенные решения – всего лишь частные примеры реализации
    • Если процессов нет, то и нечего будет автоматизировать.

    Фишинг в России

    2023

    Обнаружена целевая фишинговая кампания, нацеленная на правительственные учреждения Индии

    ИБ-компания ThreatMon обнаружила целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии RAT-трояна ReverseRAT. Специалисты ThreatMon приписали эту активность группировке SideCopy. Об этом стало известно 21 февраля 2023 года. Подробнее здесь.

    Похитители конфиденциальных данных нацелились на итальянцев

    Похитители конфиденциальных данных нацелились на итальянцев. Об этом стало известно 11 января 2023 года.

    Схема совершенно классическая – жертвам рассылают фишинговые электронные письма с инфостилером внутри.

    Данную вредоносную кампанию заметили специалисты ИБ-компании Uptycs. Этот вредонос написан на C# и умеет похищать системную информацию, данные криптокошельков и браузеров, cookie-файлы и учетные данные жертв.

    Больше подробностей о происходящем дала миланская компания SI.net. Специалисты рассказали , что в фишинговых письмах была ссылка, при нажатии на которую загружается ZIP-архив с LNK- и BAT-файлом внутри.

    При запуске любого файла из архива запускается один и тот же скрипт, скачивающий полезную нагрузку вредоноса с GitHub, а затем устанавливающий инфостилер на устройство жертвы.

    После установки инфостилер собирает данные жертвы, а затем отправляет их на домен, контролируемый злоумышленниками.

    Эксперты рекомендуют организациям внедрить жесткие средства контроля безопасности и многоуровневые антивирусные решения для вредоносного ПО, чтобы предотвратить подобные атаки [5] .

    2022

    Репозитории открытого ПО наводнены десятками тысяч фишинговых пакетов

    15 декабря 2022 года появилась информация о том, что кампания по распространению фишинговых пакетов была обнаружена аналитиками из Checkmarx и Illustria, которые совместно работали над расследованием произошедшего. Как говорят специалисты, пакеты загружались с аккаунтов, использующих определенную схему именования, имели схожие описания и вели к одному и тому же кластеру из 90 доменов, на которых было размещено более 65 000 фишинговых страниц. Подробнее здесь.

    Политика верификации Twitter спровоцировала кибератаку на пользователей платформы

    Политика верификации Twitter спровоцировала кибератаку на пользователей платформы. Об этом стало известно в ноябре 2022 года.

    Анонс еще одной функции Twitter, предлагающей за ежемесячную плату подключить синюю галочку верификации, спровоцировал фишинговую кампанию, которая собирает учетные данные пользователей, желающих сохранить заветную синюю галочку. Подробнее здесь.

    Злоумышленники крадут GitHub-аккаунты, подделывая уведомления от CircleCI

    Ранее GitHub выпустила предупреждение о фишинговой кампании, целью которой является кража учетных данных и кодов двухфакторной аутентификации (2FA) пользователей. О начале кампании стало известно 16 сентября 2022 года, когда пользователям начали приходить фейковые сообщения якобы от CircleCI.Подробнее здесь.

    Крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовалют

    Крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовалют. Об этом стало известно 11 августа 2022 года. Подробнее здесь.

    Группировка Luna Moth занимается вымогательством без вымогательского ПО

    Социальная инженерия, инструменты удаленного администрирования (RAT) и несколько программ – это все, что понадобилось группировке Luna Moth для проникновения в системы жертв. По словам исследователей из Sygnia, хакеры из Luna Moth проводят вымогательские атаки без вымогательского ПО. Об этом стало известно 12 июля 2022 года.

    Используя бренды Zoho Masterclass и Duolingo, Luna Moth проводит классические фишинговые кампании, пытаясь скомпрометировать устройства жертв и украсть все доступные данные.

    Фишинговая кампания злоумышленников начинается с фальшивых электронных писем, в которых у жертв просят оплатить подписку и предлагают открыть PDF-вложение с номером мобильного телефона для получения дополнительной информации.

    Когда жертва звонит на указанный номер, ей отвечает хакер и обманом заставляет пользователя установить Atera, известный RAT, который дает злоумышленникам полный контроль над устройством. После этого злоумышленники начинают угрожать жертвам, говоря, что сольют данные в сеть или конкурентам, если выкуп не будет выплачен.

    Исследователи отметили, что в арсенале Luna Moth есть и другие готовые инструменты удаленного администрирования, такие как Splashtop, Syncro и AnyDesk. Кроме них злоумышленники используют дополнительное ПО: SoftPerfect Network Scanner, SharpShares и Rclone.

    В отчете также сказано о том, что хакеры хранят свои инструменты на взломанных устройствах под фальшивыми именами, маскируя их под легитимные бинарные файлы. Эти инструменты позволяют злоумышленникам проводить базовую разведку и получать доступ к дополнительным доступным ресурсам [6] .

    Вредоносное ПО для онлайн банкинга перехватывает звонки в службу поддержки

    Исследователи в области кибербезопасности из компании «Лаборатория Касперского» рассказали о банковском трояне под названием Fakecalls. Помимо обычных шпионских функций, у него есть интересная способность — «разговаривать» с жертвой, имитируя общение с сотрудником банка. Об этом стало известно 12 апреля 2022 года.

    Иллюстрация: brandtimes.com.ng

    Fakecalls имитирует мобильные приложения известных корейских банков, в том числе KB (Kookmin Bank) и KakaoBank. Помимо привычных логотипов создатели трояна выводят на экран Fakecalls номера службы поддержки соответствующих банков. Номера телефонов кажутся реальными (один из номеров можно найти на главной странице официального сайта KakaoBank).

    При установке троян запрашивает целый ряд разрешений, включая доступ к контактам, микрофону и камере, геолокации, обработке звонков и пр.

    В отличие от других банковских троянов, Fakecall может имитировать телефонные разговоры со службой поддержки. Если жертва звонит на горячую линию банка, троян незаметно разрывает соединение и вместо обычного приложения для звонков открывает свой фальшивый экран вызова. Пока пользователь ничего не подозревает, злоумышленники берут ситуацию в свои руки.

    Единственное, что может выдать троян — поддельный экран звонка. У Fakecalls только один язык интерфейса — корейский. Это означает, что если на телефоне выбран другой язык системы, то жертва, скорее всего, почует неладное.

    После перехвата звонка возможны два сценария. В первом Fakecalls связывает жертву напрямую с киберпреступниками, поскольку у приложения есть разрешение на совершение исходящих звонков. Во втором случае троян воспроизводит предварительно записанный звук, имитирующий стандартное приветствие банка. Злоумышленники записали несколько фраз на корейском языке, обычно произносимых сотрудниками голосовой почты или call-центра. Мошенники под видом сотрудника банка могут попытаться выманить у жертвы платежные данные или другую конфиденциальную информацию.

    Помимо исходящих вызовов, Fakecalls также может подделывать входящие звонки. Когда злоумышленники хотят связаться с жертвой, троян выводит свой экран поверх системного. В результате пользователь видит не реальный номер, используемый злоумышленниками, а тот, который показывает вредонос, например, номер телефона службы поддержки банка. [7]

    Фишинговая атака «браузер в браузере»

    Среди злоумышленников набирает популярность фишинговая атака «браузер в браузере» (browser-in-the-browser, BitB), при которой создается полностью поддельное окно браузера, включая значки доверия. Об этом стало известно от Компании «Информзащита» 07 апреля 2022 года. Данная концепция ранее уже использовалась хакерскими группировками, чтобы красть данные для входа в систему. Исследователи в области информационной безопасности обеспокоены тем, что атака browser-in-the-browser будет активно применяться в сфере рекламы. При технике BitB окно браузера имитируется с целью подделки легитимного домена, что позволяет проводить правдоподобные фишинговые атаки. Этот метод использует сторонние возможности технологии единого входа (SSO), которые встроены в такие службы как Google SignIn (такая же система действует с Facebook, Apple, или Microsoft). На экране это будет выглядеть как, что-то вроде кнопки «Войти с помощью Microsoft», а далее появится всплывающее окно с запросом данных для доступа к учетной записи или профилю.

    объяснили эксперты по анализу защищенности «Информзащиты».

    При этом хакеры нередко используют такие методы, как кликджекинг или исправление пользовательского интерфейса, который изменяет внешний вид браузеров и веб-страниц, чтобы обойти защиту. Благодаря атаке кликджекинга можно, например, вставить прозрачный элемент поверх кнопки веб-страницы, чтобы пользовательское действие было перехвачено злоумышленником. BitB расширяет данную технику, создавая полностью фальшивое окно браузера. Пользователь думает, что видит настоящее окно, тогда как на самом деле оно подделано внутри страницы и стремится захватить чужие учетные данные. Для того, чтобы сымитировать окно браузера, используется смесь кода HTML и CSS. Атака «браузер в браузере» эффективна для фишинговых кампаний. Пользователям по-прежнему необходимо посетить вредоносный сайт, чтобы появилось всплывающее окно, но после этого они, вероятнее всего, внесут свои учетные данные в форму, потому что все будет выглядеть правдоподобно.

    Концепцию BitB могут активно применяют те, кто распространяет вирусную рекламу, считают в «Инфомзащите». Вредоносный код может попасть через такую рекламу в iframe, но так как iframe не защищен, его можно внедрить на родительскую страницу в виде фальшивого окна в браузере. Компании-разработчики стараются отслеживать вредоносные коды. В то же время эксперты по ИБ считают, что атака BitB вряд ли способна обмануть другое программное обеспечение.

    Фишинговый инструмент, который позволяет проводить атаки «браузер-в-браузере» для кражи логинов и паролей

    23 марта 2022 года сало известно о том, что эксперт по безопасности известный под ником mr.dox, опубликовал на GitHub код фишингового инструмента, который позволяет создавать фальшивые окна браузера Chrome. Его назначение — перехватывать реквизиты доступа к онлайн-ресурсам.

    При атаке «Браузер-в-браузере» выводятся окна регистрации, совершенно неотличимые от настоящих. Фото: cnews.ru

    Как сообщалось, при входе на многие сайты, вместо прямой регистрации на них, можно залогиниться с помщью аккаунтов в соцсетях или Google, Microsoft, Apple и даже Steam. Такую опцию, например, предлагает Dropbox.

    При атаке всплывает окно с формой ввода реквизитов. В нём может отображаться URL-адрес, но его нельзя изменить. Эта строка используется для того, чтобы удостовериться в подлинности формы логина.

    Хакеры многократно пытались использовать поддельные окна логина (Single Sign-On) — с помощью HTML, CSS, JavaScript, — однако, как правило, эти окна выглядели подделкой, способной обмануть только самых неопытных пользователей.

    Однако атака, получившая название «Браузер-в-браузере», позволяет выводить окна регистрации, которые неотличимы от настоящих. Хакерам (или пентестерам) достаточно будет отредактировать в составленных mr.dox шаблонах только URL и название окна (поле title) и создать iframe, который выведет это окно.

    HTML-код для формы логина можно встроить прямиком в шаблон, однако, как заявил mr.dox, потребуется правильно расположить соответствующее поле с помощью CSS и HTML. Это, впрочем, вряд ли сильно усложнит задачу.

    Эксперт по информационной безопасности Кьюба Грецки (Kuba Gretzky), создатель другого фишингового набора Evilginx, убедился в совместимости своей разработки с тем, что сделал mr.dox; в комбинации эти два фишинговых набора можно использовать для перехвата ключей двухфакторной авторизации.


    говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ

    Сама по себе методика таких атак не нова, утверждает mr.dox. По его словам, её уже с переменным успехом применяли создатели фальшивых сайтов для геймеров, чтобы красть реквизиты доступа. Причём недавно: эти атаки датированы 2020 г [8] .

    2021

    Топ-10 «фишинговых» тем

    11 января 2022 года компания Positive Technologies поделилась топ-10 «фишинговых» тем 2021 года.

    По данным компании, доля атак на частных лиц с использованием методов социальной инженерии в III квартале 2021 года выросла до 83% по сравнению с 67% в том же квартале 2020-го. Хотя большинство векторов атак остаются актуальны из года в год, злоумышленники постоянно совершенствуют методы обмана жертв и успешно адаптируются к условиям пандемии. Они все чаще эксплуатируют в своих атаках возросшие запросы граждан на вакцинацию, сервисы доставки, онлайн-знакомства, сервисы по подписке и даже компенсации жертвам мошенничества.

    По версии Positive Technologies, топ-10 тем фишинговых атак 2021 года охватывают следующие направления:

    • Продолжение пандемии COVID-19
      • Главной темой в этой области в 2021 году стала вакцинация: мошенники предлагали купить поддельные QR-коды и сертификаты, а также проводили поддельные опросы о вакцинации сотрудников для сбора данных.
      • Анализ показал, что особый успех имеют сценарии фишинговых рассылок по вопросам изменений в зарплате, обновлений соцпакета и стоимости банковского обслуживания.
      • В период громких премьер мошенники успешнее крадут данные учеток и банковских карт, используя поддельные сайты, имитирующие популярные стриминговые сервисы.
      • В 2021-ом злоумышленники использовали темы Олимпиады в Токио, Чемпионата Европы по футболу и уже начали эксплуатировать тему Кубка мира 2022.
      • Под видом известных брендов злоумышленники заманивают пользователей, обещая бонусы, льготные кредиты или компенсации жертвам мошенничества, а также сообщая о «проблемах» с мобильным банком.
      • Мошенники похищают деньги и данные, предлагая клиентам таких сервисов «оплатить» доставку, пошлину или просто «проверить» статус их посылки.
      • Фишинговые письма и сайты предлагают забронировать места для отдыха и билеты, заманивая людей выгодными акциями и скидками.
      • Злоумышленники цинично эксплуатируют тягу людей к общению в период массового перехода на удаленку и обворовывают жертв, назначая им фейковые свидания.
      • Мошенники пользуются популярностью сервисов по подписке, присылая жертвам письма на тему оформления или продления подписок на различные платформы.
      • На фоне растущей популярности инвестиций среди физлиц киберпреступники создают фальшивые сайты, имитирующие ресурсы известных компаний, и даже целые фейковые инвестплатформы.

      Аналитики Positive Technologies также прогнозируют дальнейшее развитие и распространение модели Phishing-as-a-Service. Эта модель основана на сотрудничестве злоумышленников, покупке и продаже готовых решений, таких как мошеннические сайты или вредоносные скрипты.

      Для предотвращения серьезных последствий фишинга специалисты рекомендуют: всегда проверять адрес отправителя, не переходить по подозрительным ссылкам, не вводить учетные и платежные данные, не убедившись в легитимности ресурса. Оформлять бронирование отелей и билетов, как и подписки на сервисы, следует только на проверенных ресурсах. Чтобы избежать заражения вредоносным ПО, нужно проверять все полученные файлы. В корпоративной среде для этого рекомендуется использовать песочницы.

      Из-за поддельных розыгрышей пользователи теряют $80 млн в месяц

      Каждый месяц пользователи по всему миру теряют около $80 млн из-за мошеннических опросов и розыгрышей. Такие данные в декабре 2021 года привели в компании Group-IB, специализирующейся на информационной безопасности.

      Аферисты используют названия 120 популярных брендов, чтобы завлечь потенциальных жертв. Людям предлагают в подарок MacBook, Sony Playstation 5, iPad Pro и флагманские модели смартфонов Apple и Samsung.

      Чаще всего жертвами мошенников становятся жители Европы — 36,2%, а таргетированное мошенничество больше всего распространено в Индии — 42,2% случае такого мошенничества зарегистрировано в этой стране.

      Из-за поддельных розыгрышей пользователи теряют $80 млн ежемесячно

      Чаще всего таргетированное мошенничество встречается в сферах телекоммуникаций (56%), электронной коммерции (22,9%) и ритейла (11,9%), передает РБК.

      По данным Group-IB, если раньше мошенники предпочитали массово рассылать пользователям спам и СМС-сообщения, а также писать в мессенджерах и по электронной почте, то сейчас подход персонализирован. Так, для потенциальной жертвы генерируют уникальную таргетированную ссылку, в которую заложены данные о стране, где проживает пользователь, а также о часовом поясе, языке, IP-адресе, типе браузера и других аспектах.

      Для поддержки фишинговых ссылок создаются специальные доменные сети, в самой крупной из которых 232 домена. Это позволяет оперативно перебрасывать трафик при блокировке одного из них и обеспечивать суточную посещаемость фейкового опроса в 5 тыс. пользователей в сутки. Фишинг такого типа — большая угроза для брендов, говорит заместитель директора Group-IB по направлению Digital Risk Protection Андрей Бусаргин.

      Десятки тысяч иранцев столкнулись с массовыми фишинговыми атаками

      3 декабря 2021 года команда Check Point Research (CPR) из компании Check Point Software Technologies Ltd., поставщика решений в области кибербезопасности по всему миру, зафиксировала масштабные вредоносные кампании с рассылкой фишинговых SMS: атаки направлены на десятки тысяч устройств граждан Ирана. Сообщения, отправленные якобы государственными службами Ирана, побуждают жертв загружать вредоносные приложения для Android, которые крадут учетные данные кредитных карт, личные SMS-сообщения и коды двухфакторной аутентификации. Злоумышленники также могут снимать деньги с карт жертвы и превращать зараженные устройства в ботов, с их помощью распространяя вредоносное ПО на другие устройства. Команда Check Point Research считает, что главная мотивация злоумышленников — финансовая.

      По оценкам CPR (Check Point Research), злоумышленники заразили десятки тысяч устройств Android, что привело к краже миллиардов иранских риалов (1000 риалов примерно равны 1,76 рублей).

      Злоумышленники используют Telegram-каналы для распространения вредоносных инструментов, которые стоят всего 50 долларов (около 3 700 рублей).

      Согласно исследованию CPR (Check Point Research), данные, украденные с устройств жертв, не были защищены, поэтому оказались в свободном доступе в сети.

      Злоумышленники используют скомпрометированные устройства в качестве ботов для рассылки аналогичных фишинговых SMS-сообщений другим потенциальным жертвам. Для продвижения и продажи своих инструментов киберпреступники используют несколько Telegram-каналов. За 50–150 долларов США (примерно 3 700-11 100 рублей) мошенники предоставляют полный «Android Campaign Kit», который содержит вредоносное приложение и базовую инфраструктуру с панелью управления, которой легко можно управлять через Telegram-бот без каких-либо специализированных навыков.

      Расследование CPR (Check Point Research) происходит в разгар крупных кибератак, нацеленных на жителей Ирана, включая нападения на железные дороги, заправочные станции и многое другое.

      По оценкам CPR, злоумышленники скомпрометировали десятки тысяч устройств Android и установили на них вредоносное ПО. В результате они смогли украсть миллиарды иранских риалов. По оценкам, каждая жертва потеряла от 1000 до 2000 долларов (от 74 600 до 148 000 рублей). Кроме того, расследование CPR показало, что данные, украденные с устройств жертв, не были защищены, поэтому оказались в открытом доступе в сети.

      Рисунок 1. Цепочка заражения

      Image:Цепочка_заражения.png

      Шестеро из десяти пользователей попадаются на фишинг

      13 октября, 2021 года международный разработчик антивирусных решений ESET поделился результатами пользовательского теста на умение отличать фишинговое сообщение от обычного письма. В эксперименте приняли участие 4292 человек в разных возрастных группах. Каждому пользователю прислали на email по четыре письма — вредоносные и безопасные. В результате 60% участников не смогли правильно идентифицировать мошеннические письма.

      Тест показал, что молодые пользователи гораздо чаще отличали реальные сообщения от поддельных: 47% в возрастной группе от 18 до 24 лет понимали, какое письмо открывать не стоит. У возрастной группы от 25 до 44 лет показатели похожие — 45%. Пользователи от 45 до 64 лет ошибались чаще и смогли идентифицировать подделку в 36% случаев. В группе старше 65 лет только 28% участников раскрывали замысел мошенников.

      Согласно телеметрии угроз ESET, лидерами по ежедневной блокировке фишинговых сайтов в мире являются Россия, Япония, Перу, Польша и Франция. При этом источники вредоносных рассылок чаще всего детектируют в Северной Америке и Западной Европе.

      Полиция Украины нейтрализовала один из крупнейших в мире фишинговых сервисов

      Сотрудники Офиса Генерального прокурора совместно с сотрудниками Департамента киберполиции Национальной полиции Украины и Главным следственным управлением Национальной полиции, а также правоохранительных органов США и Австралии провели спецоперацию, по результатам которой была нейтрализована [10] деятельность одного из крупнейших в мире фишинговых сервисов для осуществления атак на финансовые учреждения разных стран [11] .

      По данным следствия, хакер из Тернопольской области разработал фишинговый пакет и специальную административную панель к нему, которые были нацелены на web-ресурсы банков и их клиентов. Административная панель позволяла контролировать учетные записи пользователей, которые зарегистрировались на скомпрометированных ресурсах и вводили свои платежные данные. Для демонстрации функционала и продажи своих разработок злоумышленник создал собственный интернет-магазин в даркнете.

      В результате фишинговых атак пострадали финансовые учреждения Австралии, Испании, США, Италии, Чили, Нидерландов, Мексики, Франции, Швейцарии, Германии и Великобритании. По предварительным данным, убытки достигают десятков миллионов долларов. Например, более 50% всех фишинговых атак в 2019 году в Австралии было осуществлено именно благодаря разработке тернопольского хакера.

      В ходе обыска правоохранители изъяли компьютерную технику, мобильные телефоны и жесткие диски. В ходе осмотра изъятой компьютерной техники было установлено более 200 активных покупателей вредоносного ПО. По предварительным данным, хакер не только сбывал свою продукцию клиентам по всему миру, но и оказывал техническую поддержку при осуществлении фишинговых атак. Сейчас решается вопрос о сообщении фигуранту о подозрении.

      2020

      Киберпреступники используют Telegram-ботов и Google-формы для автоматизации фишинга

      7 апреля 2021 года стало известно о том, что Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила, что украденные в результате фишинговых атак данные пользователей все чаще выгружаются не только с помощью электронной почты, но и таких легитимных сервисов, как Google-формы и мессенджер Telegram. Альтернативные способы доставки украденных с помощью фишинга данных позволяют злоумышленникам обеспечить их сохранность и оперативность использования. Telegram-боты также используются киберпреступниками в готовых платформах для автоматизации фишинга, доступных в даркнете: в них на основе ботов реализована административная часть, с помощью которой контролируется весь процесс фишинговой атаки и ведется учет похищенных денег. Такие платформы распространяются по формату cybercrime-as-a-service, за счет чего растет количество атакующих группировок и масштаб преступного бизнеса.

      Как пояснялось, команда CERT-GIB (Центр мониторинга и реагирования на инциденты информационной безопасности Group-IB) проанализировала инструменты для создания фишинговых страниц, так называемые, фишинг-киты, и выяснила, что в 2020-м году с их помощью фишинговые сайты чаще всего создавались под различные онлайн-сервисы (онлайн-шоппинг, онлайн-кинотеатры и др.), электронную почту, а также под финансовые организации. Суммарно Group-IB обнаружила фишинг-киты, нацеленные свыше чем на 260 уникальных брендов в России и за рубежом.

      Фишинг-кит — это набор готовых инструментов для создания и запуска фишинговых веб-страниц, подделанных под сайт конкретной компании или нескольких сразу. Как правило, фишинг-киты продаются в даркнете, на специализированных форумах. С их помощью преступники, не обладающие глубокими навыками программирования, могут разворачивать инфраструктуру для масштабных фишинговых атак и быстро возобновлять ее работу в случае блокировки. Исследователям по кибербезопасности фишинг-киты интересны прежде всего тем, что анализ одного такого «набора» позволяет разобраться в механизме реализации фишинговой атаки и установить, куда отправляются похищенные данные. Помимо этого, исследование фишинг-китов зачастую помогает обнаружить цифровые следы, ведущие к разработчикам такого «товара».

      Как и в 2019 году, главной мишенью фишеров были онлайн-сервисы (30.7%): похищая учетные данные пользовательских аккаунтов, злоумышленники получали доступ к данным привязанных банковских карт. Привлекательность почтовых сервисов для атак в 2020 году снизилась, а доля фишинг-китов, нацеленных на них, сократилась до 22.8%. Тройку замыкают финансовые учреждения, на которые приходится немногим более 20%. В 2020 году наиболее часто эксплуатируемыми в фишинговых наборах брендами были Microsoft, PayPal, Google и Yahoo.

      Данные, которые пользователь вводит на фишинговым сайте, злоумышленник получает не сразу: сначала они записываются в локальный файл, после чего главной задачей становится извлечение похищенного. Чаще всего для пересылки таких данных используются почтовые адреса, зарегистрированные на бесплатных сервисах электронной почты. Они составляют 66% от общего числа адресов, найденных в фишинговых наборах. Наиболее распространены аккаунты на Gmail и Yandex.

      Почтовые домены, чаще всего используемые в фишинг-китах в 2020 г.

      Альтернативные пути получения украденных злоумышленниками данных можно разделить на локальные, когда они записываются в файл, расположенный на самом фишинговом ресурсе, и удаленные — когда они отправляются на сторонний сервер. Для передачи украденных данных злоумышленники активно используют легитимные сервисы. Так, в 2020 году началось широкое применение в фишинговых наборах Google-форм, а также выгрузка украденных данных в специально созданные приватные Telegram-боты. Суммарно на альтернативные способы пока приходится порядка 6%, но вероятнее всего их доля будет расти, а основное увеличение придется на Telegram в силу простоты реализации схемы и анонимности мессенджера.

      Способы передачи данных, похищенных с помощью фишинг-китов

      Функциональность фишинг-китов не ограничивается созданием страниц для похищения данных пользователей: некоторые из них могут подгружать вредоносные файлы на устройство жертвы. Иногда продавцы наборов для фишинга обманывают своих же покупателей, пытаясь заработать на них дважды. Помимо продажи созданного ими вредоносного инструмента, они могут заинтересоваться и похищенными с его помощью данными. Используя специальный скрипт, встроенный в тело фиш-кита, они направляют поток украденных пользовательских данных себе или получают скрытый доступ к хостингу своего покупателя.


      повведал Ярослав Каргалев, заместитель руководителя CERT-GIB

      Бороться с «продвинутыми» фишинговыми схемами с помощью классического мониторинга и блокировки недостаточно, необходимо выявлять все элементы инфраструктуры атакующих, блокируя не отдельные фишинговые страницы, а сеть мошеннических ресурсов целиком.

      «Лаборатория Касперского»: обнаружено 86 тысяч скам-ресурсов в мире

      «Лаборатория Касперского» 3 декабря 2020 года представила реpультаты анализа наиболее распространённых схем телефонного и онлайн-мошенничества в 2020 году.

      По данным «Лаборатории Касперского», в 2020 году активно росли объёмы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тысяч скам-ресурсов в мире, из них 62,5 тысячи были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. Среди наиболее популярных у скамеров схем в 2020 году можно выделить:

      • сообщения на тему различных социальных выплат, в том числе связанных с коронавирусной инфекцией (таких ресурсов было обнаружено порядка 15,6 тысяч);
      • предложения, связанные с досками объявлений, сервисами доставки или заказа еды (найдено 8,6 тысяч подобных сайтов);
      • опросы от имени якобы крупных компаний и брендов (зафиксировано 6,5 тысяч ресурсов).

      Механика такого онлайн-мошенничества практически всегда остаётся одной и той же: под предлогом скидки, выгодной акции или другого денежного вознаграждения злоумышленники заманивают пользователя на фальшивую страницу. Обычно обещанная сумма составляет несколько десятков или сотен тысяч рублей. Размер фейковых выплат не завышают, чтобы предложение казалось реалистичным. Когда человек проходит все этапы опроса или анкеты, его просят перевести «закрепительный платёж» (порядка 300 рублей). В итоге никаких денег он не получает, а «комиссия» уходит злоумышленникам.

      Стоит отметить, что в целом количество попыток переходов пользователей на скам-страницы в 2020 году превысило 44 миллиона.

      Заработать на пользователях злоумышленники активно пытались и с помощью телефонных звонков. Согласно статистике Kaspersky Who Calls, в России в 2020 году среди всех входящих с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц.

      Check Point: Число фишинговых атак от лица служб доставки выросло на 440%

      2 декабря 2020 года стало известно о том, что команда Check Point Research, исследовательское подразделение компании Check Point Software Technologies, сообщает, что в ноябре количество фишинговых писем от лица служб доставки выросло на 440% по сравнению с октябрем. Наиболее резкий рост был отмечен в Европе, на втором и третьем местах по числу фишинговых кампаний оказались Северная Америка и Азиатско-Тихоокеанский регион. Чаще всего (в 56% случав) мошенники рассылали письма от лица DHL. На втором месте — Amazon(37%), на третьем — FedEx (7%).

      В Европе в ноябре количество фишинговых писем выросло на 401% по сравнению с октябрем. 77% из них маскировались под различные уведомления от компании Amazon. В США мошенники отправили на 427% фишинговых сообщений больше, чем в октябре, и 65% из них были от имени Amazon. А в Азиатско-Тихоокеанском регионе число фишинговых атак от лица служб доставки выросло на 185%, при этом почти 65% писем использовали бренд DHL.

      Еще в начале ноября центры по контролю и профилактике заболеваний США предупредили об опасности посещения торговых центров в период праздников и рекомендовали совершать покупки в Интернете. Объемы онлайн-шоппинга в стране продолжают бить все рекорды. За первые 10 дней ноября, в сезон подготовки к праздникам, американцы потратили на онлайн-покупки 21,7 миллиардов долларов — на 21% больше, чем в 2019 году. По данным издания DC360, за праздничные выходные в честь Дня Благодарения в 2020 году покупатели потратят 38 миллиардов долларов, что почти в два раза больше, чем за тот же период 2019 года.

      Однако к буму онлайн-шоппинга приготовились не только магазины — злоумышленники также мобилизовали силы, чтобы заработать на праздничном ажиотаже. Теперь, помимо фальшивых скидочных предложений и ссылок на сайты магазинов, они стали чаще рассылать фишинговые письма от имени служб доставки.

      Исследователи Check Point Research предупреждают, что тщательно продуманная схема задействует всю систему онлайн-шоппинга: от скидочных предложений, например, в «Черную пятницу» и «Киберпонедельник», до процесса доставки заказов. Ее главная цель — обманом заставить людей раскрыть данные учетных записей и банковских карт, чтобы в дальнейшем использовать их для кражи денежных средств. В отличие от обычных фишинговых писем, с помощью которых мошенники пытаются добыть личные данные, информацию для входа в личный кабинет онлайн-банка или данные карты, письма от лица служб доставки содержат различные фейковые сообщения о проблемах или предложения отследить посылку.

      Для решения проблемы или для того, чтобы воспользоваться услугой, необходимо предоставить личные данные или данные банковской карты. Мошенники не случайно начали рассылку подобных писем именно в ноябре, поскольку в этом месяце многие покупатели онлайн-магазинов ждут свои покупки и чаще обращают внимание на сообщения от служб доставки. Кроме того, многие пользователи уже знают о старых способах мошенничества в период распродаж, и традиционные «выгодные предложения» перестали приносить преступникам доход.

      Статистика и данные, использованные в этом отчете, были обнаружены технологиями предотвращения угроз Check Point, а также хранятся и анализируются в ThreatCloud. ThreatCloud в режиме реального времени предоставляет информацию об угрозах, полученную от сотен миллионов датчиков по всему миру, через сети, конечные точки и мобильные устройства. Интеллект оборудован двигателями на основе ИИ и эксклюзивными данными исследований Check Point Research — исследовательского подразделения CheckPoint.

      Group-IB помогла Интерполу выявить фишинг-преступников из Нигерии

      25 ноября 2020 года Group-IB, международная компания, специализирующаяся на предотвращении кибератак, приняла участие в операции Интерпола «Falcon» по пресечению деятельности киберпреступников из Нигерии. Подробнее здесь.

      Group-IB: Число выявленных и заблокированных фишинг-ресурсов выросло на 118%

      Компания Group-IB, международная компания, специализирующаяся на предотвращении кибератак, исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и 25 ноября 2020 года поделилась своими прогнозами по развитию киберугроз на 2021 год. Подробнее здесь.

      Согласно отчету Group-IB Hi-Tech Crime Trends 2020-2021, в анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых — пандемия: веб-фишинг как одна из наиболее простых схем заработка привлекла внимание большей аудитории, лишившейся доходов. Увеличение спроса на покупки через интернет сыграло на руку фишерам: они быстро подстроились под «новую реальность» и начали проводить фишинговые атаки на сервисы и отдельные бренды, которые ранее не имели для них особого экономического эффекта.

      Заметна и смена тактики. В предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и переключались на другие бренды. Теперь они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.

      С начала года наблюдается рост продвинутой социальной инженерии, где в фишинговой атаке применяются многоходовые сценарии. В таких набирающих популярность фишинговых схемах жертву предварительно прорабатывают — устанавливают с ней контакт (например, посредством мессенджера), создают вокруг нее атмосферу легитимности действий и только после этого направляют на фишинговую страницу. Трендом этого года стало использование одноразовых ссылок. Пользователь получает уникальную ссылку, которая становится неактивной после первого открытия. Если он перешел по ссылке хотя бы раз, то получить этот же контент повторно для сбора доказательной базы не получится. А без нее процесс блокировки фишингового ресурса значительно усложняется.

      Наибольшее количество фишинга было создано под онлайн-сервисы (39,6%). Сюда входит фишинг для сбора учетных записей Microsoft, Netflix, Amazon, EBay, Valve Steam и т.п. Далее следуют почтовые сервисы (15,6%), финансовые учреждения (15%), облачные хранилища (14,5%), платежные сервисы (6,6%) и «новичок» списка – букмекерские конторы (2,2%). Практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты в силу угасания интереса к ICO-проектам, которые на протяжении 2017–2018 годов были популярны у фишеров.

      Group-IB: Схема кражи доменов в России

      19 ноября 2020 года компания Group-IB, специализирующаяся на кибербезопасности, сообщила о схеме, которую используют хакеры для кражи легальных доменных в России. Впоследствии эти домены применяются для фишинговых атак. Подробнее здесь.

      Avast: почти половина россиян сталкивалась с фишинговыми атаками

      28 октября 2020 года стало известно, что компания Avast, представитель из области цифровой безопасности и решений защиты, опубликовала результаты своего опроса – согласно полученным данным, 42% россиян сталкивались с фишингом, 27% стали его жертвами, и чуть больше трети (35%) не смогли дать точный ответ. Две трети респондентов, подвергшихся фишинговой атаке, пострадали, занимаясь личными вопросами, одна треть –– решая рабочие задачи.

      В России чаще всего люди сталкивались с телефонным фишингом.

      Из россиян, ставших жертвами фишинга, чуть больше четверти (27%) заявили, что им пришлось сменить пароли от аккаунтов, 13% заявили, что у них украли деньги, и у 11% украли личные данные. 11% жертв пришлось аннулировать кредитные или дебетовые карты.

      Из тех, кто понес финансовые потери, 43% потеряли до 3500 рублей, каждый пятый (20%) потерял от 3500 до 6999 рублей, 11% потеряли от 7000 до 13999 рублей, 5% –– от 14000 до 20 999 рублей и один из пяти (20%) более 21000 руб.

      Трое из пяти (61%) россиян, пострадавших от фишинга, не сообщили о мошенничестве. Основные причины, по которым люди не сообщают о мошенничестве: думают, что атака не стоит хлопот (30%), не знают, кому сообщать об этом (29%), уверены в том, что все равно ничего не произойдет, если они сообщат (29%), считают, что полученная ими информация ничего не стоит (23%).

      Из жертв фишинга, которые сообщили об атаке, почти половина (49%) сообщили о мошенничестве в полицию, 43% – в компанию, сотрудником которой притворялся злоумышленник, 26% сообщили об этом своим коллегам и 16% рассказали своему провайдеру электронной почты.

      В Австралии запущена национальная программа по блокировке фишинговых SMS при помощи блокчейна

      15 сентября 2020 года стало известно о запуске в Австралии национальной программы по блокировке фишинговых SMS. Решение использует блокчейн-технологию, в проекте принимает участие местная телекоммуникационная компания Telstra. Подробнее здесь.

      Суд разрешил Microsoft захватить контроль над 6 фишинговыми доменами

      В июле 2020 года компания [Microsoft] получила судебный ордер на получение контроля над шестью доменами, использовавшимися в фишинговых атаках на пользователей Office 365, в том числе с эксплуатацией темы COVID-19.

      Согласно судебным документам, Microsoft нацелилась на киберпреступную группировку, «промышлявшую» фишингом и атакующую клиентов компании с декабря 2019 года. Злоумышленники рассылали электронные письма компаниям, использующим почтовые серверы и корпоративную инфраструктуру в облачном сервисе Office 365 [12] .

      Фишинговые письма отправлялись от имени коллег по работе и доверенных партнеров по бизнесу. Вредоносная операция, о которой идет речь, отличалась от других тем, что злоумышленники не переадресовывали жертв на поддельные страницы авторизации Office 365, а использовали документы Office. При попытке открыть файл пользователи переадресовывались на страницу, требующую загрузить вредоносное поддельное приложение Office 365.

      После того, как жертва установила приложение, злоумышленники получали полный доступ к ее учетной записи Office 365 (настройкам, файлам, содержимому электронной почты, спискам контактов, запискам и пр.). Другими словами, приложение позволяет киберпреступникам получать полный доступ к учетной записи без необходимости похищать пароль, лишь с помощью токенов OAuth2.

      Microsoft подала гражданский иск 30 июня нынешнего года и указала в исковом заявлении шесть доменов, использовавшихся киберпреступниками для хостинга вредоносного приложения Office 365. Как считают в компании, за фишинговой операцией стоят два человека. Изначально они указывали в теме писем вопросы, касающиеся бизнеса, но быстро перешли на тему коронавируса.

      Злоумышленники используют фейковые CV, чтобы распространять вредоносные программы

      5 июня 2020 года компания Check Point сообщила, что по мере роста безработицы исследователи обнаруживают вредоносные файлы, маскирующиеся под CV –– особую форму резюме. Прикрепленные к электронному письму файлы в формате Microsoft Excel были с такими темами: «заявка на работу» или «по поводу работы». Когда жертвы открывали прикрепленные файлы, их просили «включить содержимое». На самом деле, после этого жертвы загружали вредоносную программу ZLoader. Это банковская вредоносная программа, предназначенную для кражи учетных данных и другой частной информации от пользователей целевых финансовых учреждений. Вредоносная программа также может похищать пароли и файлы cookie, хранящиеся в веб-браузерах жертвы. Используя украденную информацию, вредоносное ПО может позволить злоумышленникам подключиться к системе жертвы и совершать нелегальные финансовые операции с устройства банковского пользователя.

      Исследователи Check Point отмечают рост числа мошеннических тем в Соединенных Штатах. За апрель-май 2020 года число вредоносных файлов, имитирующих CV, удвоилось. В целом, 1 из 450 идентифицированных вредоносных файлов был связан с CV.

      Кроме того, исследователи Check Point обнаружили вредоносные медицинские формы отпусков. Документы, которые используют такие названия, как «COVID-19 FLMA CENTER.doc», заражают жертв вредоносным ПО IcedID, банковским вредоносным ПО, предназначенным для банков, поставщиков платежных карт, поставщиков мобильных услуг, а также интернет-магазинов. Вредоносное ПО направлено на то, чтобы заставить пользователей оставлять свои учетные данные на поддельной странице. Затем эти сведения отправляются на сервер злоумышленника в дополнение к сведениям об авторизации, которые можно использовать для взлома учетных записей пользователей. Документы отправлялись по электронной почте с темами: «Ниже прикреплена новая форма для запросов сотрудника об отпуске в соответствии с Законом о семейном и медицинском отпуске (FMLA)». Электронные письма были отправлены из разных доменов отправителей, таких как «medical-center.space», чтобы побудить жертв к открытию вредоносных вложений.


      отметил Омер Дембински, менеджер Check Point по киберисследованиям

      Статистика Check Point на июнь 2020 года:

      • В мае 2020 года было зарегистрировано 250 доменов, содержащих слово «employment» –– занятость. 7% этих доменов были вредоносными и еще 9% подозрительными
      • 1 из каждых 450 обнаруженных вредоносных файлов –– мошенничество с использованием CV: это вдвое больше, чем за последние два месяца
      • Общее количество вредоносных атак увеличилось на 16% по сравнению с периодом с марта по апрель, когда был разгар пандемии.
      • В мае 2020 года эксперты Check Point еженедельно отмечали в среднем более 158 000 атак, связанных с коронавирусом. По сравнению с апрелем это снижение на 7%.
      • За последние 4 недели было зарегистрировано 10 704 домена, связанных с коронавирусом. 2,5% из них были вредоносными (256 доменов) и еще 16% (1744 доменов) подозрительными

      По мнению Check Point чтобы оставаться в безопасности, нужно:

      1. 1. Следить за похожими доменами. Следить за орфографическими ошибками в электронных письмах и на веб-сайтах.
      2. Быть аккуратнее с неизвестными отправителями. Быть осторожнее с файлами, полученными по электронной почте от неизвестных отправителей, особенно если они запрашивают определенное действие, которое обычно не делается.
      3. Использовать достоверные источники. Убедится, что товары заказываются из подлинного источника: лучше всего не нажимать на рекламные ссылки в электронных письмах, а самим найти нужного продавца в Google, и кликнуть по ссылке на странице результатов Google.
      4. Остерегаться «специальных» предложений. «Лекарство от коронавируса за 150 долларов» –– если предлагают подобное, вряд ли это заслуживает доверия.
      5. Не использовать один и тот же пароль несколько раз. Убедиться, что используется индивидуальный пароль для каждого приложения и для каждой учетной записи.

      Пользователей GitHub атакуют фишеры

      18 апреля 2020 года стало известно, что команда реагирования на инциденты (SIRT) платформы GitHub предупредила пользователей о фишинговой кампании, в ходе которой злоумышленники похищают учетные данные через лендинговые страницы, выдаваемые ими за страницы авторизации GitHub. Подробнее здесь.

      2019

      Количество фишинг-китов на рынке увеличилось более чем в два раза

      15 апреля 2020 года компания Group-IB сообщила, что на рынке зафиксирован резкий подъем продаж фишинг-китов – «конструкторов» для массового создания фишинговых сайтов. За 2019-й год количество такого «товара» на андеграунд-форумах увеличилось более чем в два раза. Рост спроса на один из наиболее популярных инструментов мошенников во всем мире отразился и на средней цене: она выросла на 149%. Эксперты Group-IB объясняют рост популярности фишинг-китов низким порогом входа на этот рынок и простотой реализации схемы заработка.

      Фишинговый набор (англ. Phishing Kit) — это архивный файл, содержащий скрипты, необходимые для создания и работы фишингового сайта. Такой инструмент позволяет злоумышленникам, не обладающим глубокими навыками программирования, быстро разворачивать сотни фишинговых страниц, часто используя их как «зеркала» друг друга. При блокировке одного такого сайта – мошенник активирует другой, при блокировке этого – следующий и так далее. Таким образом, фишинг-кит позволяет атакующим быстро возобновлять работу вредоносных ресурсов, обеспечивая собственную неуязвимость. Этим объясняется интерес к ним со стороны специалистов по кибербезопасности. Детектирование фишинговых наборов позволяет не только находить сотни и даже тысячи фишинговых страниц, но, что более важно, может служить отправной точкой расследований с целью идентификации их разработчиков и привлечения их к ответственности.

      Количество фишинг-китов на рынке в 2019 году увеличилось более чем в два раза

      По данным команды Group-IB Threat Hunting Intelligence, проанализировавшей сотни андеграунд-форумов, в 2019 году число активных продавцов фишинговых наборов увеличилось более чем на 120% по сравнению с предыдущим годом. Как и следовало ожидать, количество уникальных объявлений, размещенных на этих ресурсах также возросло более, чем в два раза.

      Выросла и стоимость фишингового набора, увеличившись вдвое в 2019-м относительно прошлого года. Так, в среднем, разработчики просили $304 за фишинг-кит, а в целом цены варьировались в диапазоне от $20 до $880. Для сравнения, в 2018 году цены на фишинговые наборы находились в интервале от $10 до $824, а среднее значение составляло $122. Как правило, стоимость фишинговых наборов зависит от их сложности, а именно от качества и количества фишинговых страниц, а также наличия дополнительных сервисов, таких как, например, техническая поддержка со стороны разработчика.

      Иногда фишинговые наборы предлагаются на форумах бесплатно. Это объясняется отнюдь не щедростью продавцов, а вероятным наличием в них бэкдоров, которые позволяют их авторам получать доступ к скомпрометированным данным.

      В прошлом году системой Group-IB Threat Intelligence было обнаружено более 16 200 уникальных фишинговых наборов. Однако их детектирование постоянно усложняется: киберпреступники стараются скрывать использование фиш-кита, удаляют его из кода или прибегают к различным способам сокрытия. Так, лишь 113 460 из 2,7 миллионов, т.е. 4% обнаруженных фишинговых страниц позволили выявить «следы» используемых фишинговых наборов.

      О росте спроса на фишинговые наборы свидетельствует и количество обнаруженных в них уникальных адресов электронной почты: согласно данным Центра реагирования на инциденты информационной безопасности (CERT-GIB Computer Emergency Response Team — Group-IB), в прошлом году этот показатель вырос на 8%. Это может свидетельствовать о росте числа их операторов.

      Для привлечения покупателей разработчики фишинговых наборов используют в них известные бренды с большой аудиторией, что в теории должно облегчить реализацию мошеннических схем для будущих владельцев таких наборов. В 2019 году наиболее часто использующимися в фишинговых наборах брендами были Amazon, Google, Instagram, Office 365 и PayPal, а Топ-3 интернет-площадок для торговли фишинговыми наборами был представлен Exploit, OGUsers и Crimenetwork.


      отметил Дмитрий Волков, технический директор и глава департамента киберразведки Group-IB

      За годы своей работы Group-IB аккумулировала обширную базу фишинговых наборов, что позволяет бороться с фишингом, нацеленным на конкретный бренд. Данная база регулярно обогащается: как только система Group-IB Threat Intelligence обнаруживает фишинговую страницу, соответствующий сервер сканируется на наличие фишинговых наборов.

      Подложное использование названий технологических компаний и социальных сетей в фишинговых схемах

      11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.

      Чем больше пользователи узнают о фишинговых письмах, тем более таргетированными становятся атаки. Вместе с некоммерческой организацией Quad9 специалисты IBM выявили усиливающуюся тенденцию в сфере фишинга: преступники выдают себя за крупные потребительские технологические бренды (технологические компании, социальные сети, стриминговые сервисы) и подделывают ссылки на их сайты с целью фишинга. Подробнее здесь.

      27% попыток всех фишинговых атак происходит через электронную почту

      7 февраля 2020 года стало известно, что команда исследователей Check Point Research, подразделение Check Point Software Technologies, поставщика решений в области кибербезопасности по всему миру, опубликовала свой отчет о брендах, которые наиболее часто используются в попытках фишинга за 4 квартал 2019. Злоумышленники чаще всего имитировали бренды, чтобы украсть личную информацию или учетные данные пользователей в течение последнего квартала — именно он содержит самое большое количество распродаж в течение года.

      При фишинговых атаках злоумышленники пытаются создать сайт-копию официального сайта известного бренда, используя доменное имя или URL-адрес, дизайн веб-страницы, аналогичные подлинному сайту. Ссылка на фальшивый веб-сайт может быть отправлена жертвам по электронной почте или в сообщениях, перенаправлена во время просмотра веб-страниц или запущена из фальшивого мобильного приложения. Поддельный веб-сайт часто содержит форму, предназначенную для кражи учетных данных пользователей, платежных реквизитов или другой личной информации.

      Топ брендов, которые злоумышленники пытались использовать в попытках фишинга в 4 квартале 2019 года:

      Ранжируются по количеству их общих появлений в попытках фишинга:

      1. Facebook (18% фишинговых атак в мире)
      2. Yahoo (10%)
      3. Netflix (5%)
      4. PayPal (5%)
      5. Microsoft (3%)
      6. Spotify (3%)
      7. Apple (2%)
      8. Google (2%)
      9. Chase (2%)
      10. Ray-Ban (2%)

      Топ способов распространения фишинговых сообщений:

      В течение четвертого квартала исследователи наблюдали различия в распространении фишинговых страниц: каждая категория брендов распространялась по-своему. Например, через мобильные устройства в основном распространялись фишинговые страницы социальных сетей и банков. Через электронную почту, как правило, распространялись фишинговые письма, приуроченные к периоду распродаж, например таких, как черная пятница в ноябре 2019 года.

      Электронная почта (27% всех фишинговых атак в 4 квартале):

      1. Yahoo!
      2. Rbs (Ray-Ban Sunglasses)
      3. Microsoft
      4. DropBox

      Веб-сайты (48% всех фишинговых атак в 4 квартале):

      Через мобильные устройства (25% всех фишинговых атак в 4 квартале):

      рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ

      Отчет Check Point Phishing Report основан на данных ThreatCloud intelligence, совместной сети по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, проанализированных на предмет обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных веб-сайтов, а также ежедневно идентифицирует миллионы типов вредоносных программ.

      Решения «Лаборатории Касперского» ежемесячно предотвращали 38 млн попыток перехода на мошеннические сайты

      Согласно статистике «Лаборатории Касперского», в 2019 году значительно выросло число фишинговых атак, в ходе которых злоумышленники, как правило, пытаются заполучить личные и платёжные данные пользователей. Об этом Kaspersky сообщил 28 января 2020 года. В этот период решения «Лаборатории Касперского» ежемесячно предотвращали в среднем 38 миллионов попыток перехода пользователей на мошеннические сайты. Фишеры пристально следят за новостной повесткой и используют интерес публики к разным крупным событиям и знаменитостям, придумывая официально выглядящие приманки и хитростью вынуждая человека нажать на вредоносную ссылку или оставить личные данные. Подробнее здесь.

      Хакеры со спецподготовкой атакуют госорганы по всему миру

      Эксперты компании Anomali Inc. обнаружили в декабре 2019 года широкомасштабную фишинговую кампанию, нацеленную на государственные учреждения по всему миру. Предположительно ее операторов интересуют сведения о проектах по централизованным закупкам и тендерам [13] .

      Кампания хорошо организована и, судя по всему, довольно эффективна. Каждое фишинговое письмо уникально, формируется специально под конкретное ведомство, на которое планируется устроить атаку. Жертвы перенаправляются на специально подготовленные фишинговые сайты, на вид полностью дублирующие легитимные ресурсы. Но единственным их реальным назначением является кража реквизитов доступа.

      Атакованы правительства Канады, Китая, Австралии, Швеции и США. По мнению экспертов, атаки производятся из Турции или Румынии; по крайней мере, именно там располагаются домены, используемые при атаках. Однако кто ими управляет, сказать точно пока невозможно.

      Microsoft назвала самые необычные виды мошенничества в интернете

      Компания Microsoft опубликовала в конце 2019 года отчет о тенденциях вредоносного ПО и кибербезопасности в 2019 году, в котором также рассказала о росте активности фишинговых атак [14] [15] .

      По словам Microsoft, количество обнаруженных фишинговых писем выросло с 0,2% в январе 2018 года до 0,6% в октябре 2019 года. В то время как количество фишинговых атак увеличилось, общее число вымогательского ПО, криптомайнеров и других вредоносных программ сократилось.

      В своем блоге компания рассказала о трех наиболее сложных фишинговых атак, выявленных в нынешнем году.

      Первой является многоуровневая вредоносная кампания, в результате которой киберпреступники отравили результаты поиска Google. Мошенники сначала направляли перехваченный с законных сайтов web-трафик на собственные ресурсы. Попав в топ результатов поиска Google по ключевым словам, преступники отправляли жертвам электронные письма со ссылками на данные результаты поиска. Если пользователь нажимал на подобную ссылку, а затем на популярный результат поиска, он попадал на сайт, где его перенаправляли на фишинговую страницу.

      Другая вредоносная кампания была выявлена в августе. Мошенники использовали вредоносные пользовательские страницы с ошибкой 404 для осуществления мошеннических атак. Тогда как большинство фишинговых писем содержат ссылку на мошеннический URL-адрес, в рамках данной кампании злоумышленники использовали ссылки на несуществующие страницы. Системы безопасности Microsoft во время сканирования ссылки обнаруживали ошибку 404 и считали ссылку безопасной, тогда как в действительности пользователь перенаправлялся на вредоносный сайт. Использование алгоритмов генерации поддоменов и постоянная смена домена позволяли злоумышленникам создавать большое количество фишинговых URL-адресов.

      Третья фишинговая кампания заключалась в осуществлении MitM-атак. Злоумышленники собирали связанную с целевой компанией информацию (логотипы, баннеры, текст и фоновые изображения) с сайта Microsoft, и с помощью данных элементов создавали свой фишинговый сайт, который практически никак не отличался от настоящего. Далее фишеры рассылали письма с URL-адресами, имитирующими страницы авторизации. У жертв складывалось впечатление, что они находятся на легитимной странице, однако выдать подвох мог URL-адрес, отображающийся в адресной строке браузера.

      Наблюдается рост фишинговых писем с сексуальным вымогательством (sextortion)

      За последние несколько месяцев миллионы угрожающих писем были разосланы пользователям со всего мира. Начав с Германии, а потом перейдя на Великобританию и другие страны, преимущественно США и Канаду, анонимные кибер-преступники атаковали жителей стран Запада фишинговыми письмами. В этих сообщениях обычно утверждается, что у преступников имеется запись потенциальной жертвы, сделанной без ее согласия в ее личное время (как правило, запись носит интимный характер), и что эти записи будут распространены среди ее друзей, членов семьи и сослуживцев, если жертва не согласится заплатить определенный выкуп. Как правило, кибер-преступники предоставляют своей потенциальной жертве инструкции, как сделать платеж с использованием различных криптовалют [16] .

      Что делать, если вы получили такое письмо?

      Самое лучшее, что вы можете сделать при получении письма, в котором вас пытаются шантажировать, — это проигнорировать его. Довольно часто, когда вы читаете подобное письмо, вы можете увидеть, что оно не персонализировано, и что это – массовая рассылка. В большинстве случаев игнорирование письма – это лучшее, что вы можете сделать. Если вы чувствуете, что письмо довольно реально, и вы этим сильно обеспокоены, то в таком случае вам лучше сообщить об этом в местные органы полиции.

      Чего НЕ СЛЕДУЕТ делать при получении подобного письма?

      Просто не открывайте письмо. Если вы получаете такое письмо в свой почтовый ящик, все, что вам необходимо сделать, — это удалить его и жить дальше своей жизнью. Однако, если все же вы открыли письмо, мы советуем вам не платить выкуп. Оплата выкупа преступникам может стать не единственной вашей проблемой: перевод денег незнакомцам может стать причиной обращения к вам органов государственной безопасности, т.к. такой перевод может спонсировать террористические группировки. Вы никогда точно не знаете, кто получит ваши деньги, а потому лучшее решение – это никогда НЕ платить им. Противостоять хакерам – это тоже не самая лучшая идея: говоря им имена или взаимодействуя с ними, вы просто делаете себя более легкой жертвой. Не надо привлекать к себе дополнительное внимание со стороны хакеров.

      Еще один важный момент – не принимать такие сообщения лично на свой счет: ежедневно кибер-преступники отправляют миллионы сообщений. Скорее всего, они даже не знают, кто вы такой, а ваш адрес электронной почты просто присутствует в их спамовом списке. Короче говоря, старайтесь не открывать подобные письма, и если вы по какой-либо причине все же сделали это, то никогда не нажимайте на любые ссылки в тексте письма и не открывайте какие-либо вложения в них.

      Кто стоит за этими письмами с вымогательствами?

      На текущий момент неизвестно, спонсируется ли эта атака какими-либо государствами или за ней стоят отдельные хакеры. Впрочем, известно, что кто бы они ни были, они хотят наживы и они технически опытны для успешного проведения крупномасштабных кампаний без каких-либо последствий для себя. В наши дни мы живем в современном мире, где хакеры могут находиться либо в соседнем с вами доме, либо на далеком острове на Карибах или же в центре тропических лесов Амазонии в Бразилии.

      Как они нацелились на вас?

      Вопрос, который мы обычно слышим, заключается в том, как эти шантажисты смогли найти ваш адрес электронной почты и нацелились на вас. За последние несколько лет произошло несколько нарушений данных, и хакеры украли миллиарды адресов электронной почты. Часто такие базы данных электронных адресов продаются на «черном» рынке в «теневом» Интернете, и почти каждый может прийти и скачать список адресов, чтобы запустить свою кампанию по электронной почте. Несмотря на то, что эти фишинговые письма обычно легко идентифицировать, но когда преступники отправляют несколько миллионов писем, как минимум несколько людей обязательно попадаются на этом обмане. Хакеры рассчитывают на то, что даже небольшой процент людей, кто получил письмо, все же последуют инструкциям и переведут деньги на их счета.

      Как не стать жертвой?

      Некоторые провайдеры сервисов электронной почты, такие как Gmail и Yahoo, довольно-таки хорошо фильтруют такие письма. Поэтому можно с уверенностью сказать, что значительный процент мошеннических писем, отправленных вам, реально никогда не попадет к вам, потому что они не смогут преодолеть эти фильтры. Однако хакеры становятся все более креативными. Если вы хотите быть защищены немного лучше, то вам следует установить премиальный антивирус на все ваши устройства, которые подключены к Интернету.

      Организатор фишинговых атак выплатит своим жертвам более $1,1 млн

      Киберпреступник, атаковавший такие крупные компании, как Uber, Sainsbury’s, Nectar, Groupon, T Mobile, AO.com и Argos, выплатит [17] более $1,1 млн в качестве компенсации жертвам фишинговых атак [18] .

      27-летний Грант Уэст (Grant West), известный в Сети как «Courvoisier», начал свою фишинговую кампанию в 2015 году. Он атаковал популярные компании для доступа к финансовым данным десятка тысяч клиентов, которые затем продавал в даркнете за разные криптовалюты. По результатам расследования, Уэста идентифицировали как лидера группировки Organised Crime Network, атаковавшей расположенные в Лондоне организации. Наряду с финансовыми данными он также продавал инструкции по проведению кибератак.

      Сотрудники правоохранительных органов в ходе операции под кодовым названием «Operation Draba» конфисковали все средства преступника. Также в доме Уэста была обнаружена SD-карта с 78 млн уникальных имен пользователей и паролей, а также данными 63 тыс. банковских карт. Дальнейшее расследование выявило, что преступник организовывал атаки с ноутбука своей девушки. На устройстве был обнаружен файл с именем «fullz», содержащий финансовую информацию более 100 тыс. пользователей.

      Изучив материалы дела, суд постановил продать всю конфискованную цифровую валюту Уэста (на сумму более £922 тыс.) и выплатить пострадавшим компенсацию.

      Телеком-операторы в Европе блокировали в среднем 20 млн фишинговых атак ежемесячно

      23 июля 2019 года компания Allot выпустила отчет из серии Telco Security Trends. Базирующийся на частных и отраслевых исследованиях, он рассматривает рост фишинговых атак, их финансовые последствия и то, как сервис-провайдеры могут помочь в борьбе с этой растущей угрозой.

      В 2018 году фишинг был одним из самых распространенных видов киберпреступлений

      Как сообщалось, основные выводы включают в себя:

      • Фишинг – растущая проблема для пользователей, бизнеса и сервис-провайдеров по всему миру. Потребители являются основными мишенями этих атак, и они требуют повышения безопасности своих данных и финансовой информации. Согласно Telco Security Trends Report, в течение первого квартала 2019 года телеком-операторы в Европе каждый месяц блокировали в среднем 20 миллионов фишинговых атак на устройствах семи миллионов мобильных абонентов.
      • Фишинг – глобальная миллиардная индустрия. Исследование показало, что за трехмесячный период мобильный фишинг составил 35% от числа всех активированных блокировок у клиентов, пользующихся услугой безопасности телеком-оператора. Adware заняло второе место с 34%, опередив число блокировок вредоносных программ, вымогателей и криптоджекинга.

      Топ-10 стран, где зафиксировано наибольшее число фишинговых атак в 2018 году

      Сервис-провайдеры имеют возможность снизить число фишинговых атак.

      • Несмотря на то, что фишинг технически зависит от того, каким источникам пользователи доверяют, сервис-провайдеры могут проактивно защищать своих подписчиков от фишинга.
      • Сервис-провайдеры должны взять на вооружение подход «Обучать, предупреждать и защищать» для защиты клиентов от киберпреступников.
      • Защита от фишинга предоставляет сервис-провайдерам возможность дифференцировать себя и создать источники дохода, одновременно защищая интернет-пользователей.


      рассказал Хагай Кац, вице-президент по стратегическим аккаунтам по кибербезопасности в Allot

      2018

      Электронная почта -самый популярный способ доставки вредоносного ПО

      По данным CERT-GIB, электронная почта окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения в 2018 году. Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 года оставалось на уровне 12 к 1. При этом во второй половине 2018 года доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%.

      По данным CERT-GIB, одной из ключевых тенденцией 2018 года стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения в 2017 году лишь один публичный почтовый сервис (mail.ru) входил в эту пятерку, остальные четыре – домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса. Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса – те, с которых пользователи привыкли получать электронную почту. С другой, такой способ рассылки значительно дешевле – нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности, без потерь «переехать» на другой.

      Как и в 2017, в 2018 году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 году увеличилось не значительно – на 10%.

      Любимым форматом упаковки ВПО в 2018 году у злоумышленников стали архивы. На протяжении всего 2018 года в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB.

      В 2018 году по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то, что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exe файлов пришлось 12% всех проанализированных вредоносных объектов.

      В целях обхода традиционных систем обнаружения вредоносных рассылок злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 году на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 году их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии, используют выдачу пароля на этапе входа в коммуникацию с пользователем, для создания доверительных отношений, цель которых – заставить жертву открыть архив с вредоносным ПО.

      Другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. На протяжении 2018 года CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время, и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже «разрешил» доставку письма.


      отметил Ярослав Каргалев, заместитель руководителя CERT-GIB

      49% фишинговых сайтов используют SSL для создания иллюзии защищенности

      По данным CERT-GIB, соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS) к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. Статистика показывает, что в 4 квартале 2018 года почти половина всех фишинговых ресурсов использует именно «безопасное соединение».

      Group-IB сообщила, что российская доменная зона достигла рекордных показателей по снижению объема токсичных сайтов


      отметил Ярослав Каргалев, заместитель руководителя CERT-GIB

      «Лаборатория Касперского» заблокировала 137 миллионов попыток пользователей перейти на фишинговые страницы

      6 ноября 2018 года «Лаборатория Касперского (Kaspersky)» сообщила, что ее решения заблокировали за третьй квартал 2018 года более 137 миллионов попыток пользователей перейти на фишинговые страницы – это на 28% больше, чем в предыдущем периоде. При этом свыше трети фишинговых атак (35%) пришлось на организации финансовой категории: банки, платёжные системы, интернет-магазины. Все эти многочисленные поддельные страницы были созданы с одной целью – получить конфиденциальные данные пользователей, которые открыли бы злоумышленникам, помимо всего прочего, доступ к частным кошелькам и банковским счетам жертв.

      Впрочем, заработать на пользователях киберпреступники пытались и по-другому. В конце лета 2018 года «Лаборатория Касперского» зафиксировала в спам-трафике всплеск мошеннических рассылок, в которых от получателей требовали выкуп за неразглашение собранного на них «компромата». Эти письма даже содержали персональные данные пользователей – таким образом злоумышленники пытались убедить жертв, что они действительно обладают важной информацией. Выкуп требовался в биткойнах, а его сумма варьировалась от нескольких сотен до тысяч долларов, при этом в разных рассылках мошенники указывали разные биткойн-кошельки для перевода денег. Как выяснили аналитики «Лаборатории Касперского», только на один такой кошелёк за один месяц было сделано 17 трансакций на общую сумму около 18 тысяч долларов США.

      В России мошенники, разумеется, попытались использовать в своих интересах одну из самых горячих тем последних месяцев – пенсионную реформу. К примеру, «Лаборатория Касперского» обнаружила несколько рассылок с предложениями проверить сумму пенсионных накоплений в негосударственных фондах и вывести деньги «с пенсии». Чтобы убедить получателей в легитимности писем, злоумышленники ссылались на несуществующие законы и структуры (например, на некий «Национальный отдел возврата пенсионных накоплений»). За вывод несуществующих накоплений и «доступ» к базе данных с пенсионными начислениями получателям писем предлагалось заплатить небольшую «пошлину», которая, естественно, шла в карман мошенников.

      Надежда Демидова, ведущий контент-аналитик «Лаборатории Касперского»

      Чтобы не стать жертвой фишинга, «Лаборатория Касперского» рекомендует пользователям придерживаться довольно простых правил.

      • Всегда проверяйте подлинность адреса отправителя письма и содержащейся в нём ссылки – если не уверены в их благонадёжности, не открывайте. Если вы всё же оказались на сайте, вызывающем у вас сомнения, не оставляйте там никаких персональных данных. Если же думаете, что случайным образом вы могли передать свой пароль злоумышленникам, срочно смените его.
      • Используйте защищённое соединение, особенно когда заходите на важные сайты (например, в систему интернет-банкинга). По возможности избегайте небезопасных публичных Wi-Fi сетей. Всё это снизит риск незаметного попадания на фишинговую страницу. Для максимальной уверенности используйте специальные решения для защиты сетевых соединений – например, Kaspersky Secure Connection.
      • Используйте подходящее защитное решение с антифишинговыми технологиями – например, Kaspersky Security Cloud. Программа предупредит вас, если вы попытаетесь перейти на мошенническуюстраницу, и заблокирует её.

      Бум ICO стимулирует новую волну фишинговых атак

      По данным исследования Qrator Labs, наиболее часто компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Сохранение внимания к DDoS-атакам со стороны банковского сектора на достаточно высоком уровне обусловлено волной массированных DDoS-атак на ряд крупных российских банков: в 2016 году были атакованы веб-сайты многих известных финансовых организаций из топ-10, а 28 января 2018 года произошла самая большая за последние годы DDoS-атака на мировой финансовый сектор с помощью ботнета Mirai.

      Согласно опросу Qrator Labs, если раньше финансовые организации стремились строить решения целиком in-house, то сегодня большинство опрошенных компаний (68%) уже считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети). Однако у этого метода также существует ряд нюансов, которые необходимо учитывать. Гибридные решения не компенсируют недостатки друг друга, а комбинируют преимущества и отрицательные свойства в тех или иных пропорциях, что может негативно сказаться на уровне защиты.

      Угроза фишинга существенно возросла в том числе в связи с компаниями, выходящими на ICO. Неутихающий ажиотаж вокруг ICO привел к высокому риску мошенничества, и среднестатистические пользователи не имеют точного представления, как обеспечить собственную защиту, и склонны не замечать интернет-мошенничество.

      Среднее количество атак на веб-приложения в финансовой сфере, по данным Валарм, составляет 1500 в день. Основная часть из них – это автоматизированные инструменты и сканеры. Такая активность автоматизированных средств создает большой информационный фон и усложняет выявление реальных инцидентов. Несмотря на то, что число взломов в единицу времени в целом за последние годы сохраняется на одном уровне, финансовые организации уже не всегда могут своевременно обнаруживать и точно фиксировать подобные инциденты.

      Кибермошенники рассылают фишинговые письма под видом турнирной таблицы ЧМ-2018

      Компания Check Point Software Technologies, поставщик решений в области кибербезопасности, 19 июня 2018 года сообщила о выявлении фишинговой кампании, связанной с началом Чемпионата мира по футболу 2018. Кибермошенники рассылают зараженный файл под видом расписания игр и турнирной таблицы.

      Во вложении фишинговых писем скрывается вредоносное ПО под названием «DownloaderGuide», который известен как загрузчик потенциально нежелательных программ. Чаще всего его используют в качестве установщика приложений, таких как панель инструментов, рекламное ПО или утилиты для оптимизации. Исследователи Check Point обнаружили, что фишинговая рассылка включает различные исполняемые файлы, все из которых были отправлены по электронной почте с использованием темы: «World_Cup_2018_Schedule_and_Scoresheet_V1. ## _ CB-DL-Manager».

      Кампания была впервые обнаружена 30 мая 2018 года и достигла пика 5 июня, однако в десятых числах июня исследователи Check Point зафиксировали очередной всплеск, который связывают с началом турнира.

      В компании ожидают новые всплески онлайн-мошенничеств и фишинг-атак во время Чемпионата мира по футболу 2018 и призывают интернет-пользователей сохранять бдительность, а организациям рекомендуют применять многоуровневую стратегию безопасности, которая защищает как от известного вредоносного ПО, так и угроз нулевого дня.

      Фишинг — в числе самых серьезных угроз для пользователей Office 365

      Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

      Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).

      В 2017 году методы получения «легкой добычи», такие как фишинг, использовались для того, чтобы получить учетные данные и другую конфиденциальную информацию от пользователей. Согласно данным Microsoft Advanced Threat Protection (ATP) фишинг был в числе самых серьезных угроз в почтовых ящиках пользователей Office 365 во втором полугодии 2017 года (53%), 180-200 миллионов фишинговых писем обнаруживались ежемесячно. В России, в частности, было обнаружено 7,01 (в мире – 5,85) фишинговых сайтов на каждую 1000 хостов. Следующими по распространенности угрозами стали загрузчики вредоносного ПО (29%) и Java-бэкдоры (11%).

      Другой мишенью для злоумышленников являются облачные приложения с низким уровнем безопасности. В ходе исследования выяснилось, что 79% SaaS-приложений для облачного хранения данных и 86% SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Для защиты корпоративной инфраструктуры организации должны ограничивать использование пользователями облачных приложений, не использующих шифрование, и контролировать это с помощью брокера безопасности облачного доступа (Cloud Access Security Broker, CASB).

      Еще одна тенденция второй половины 2017 года – киберпреступники используют легитимные встроенные средства системы, чтобы распространить зараженный документ (например, документ Microsoft Office), содержащийся в фишинговом письме, и загрузить программу-вымогатель. Лучшим способом избежать такого вида угрозы является своевременное обновление операционной системы и программного обеспечения.

      2017

      Google: Фишинговые атаки опаснее кейлоггеров и утечек данных

      Специалисты Google совместно с учеными Калифорнийского университета в Беркли и Международного института компьютерных наук (International Computer Science Institute) опубликовали результаты исследования современных киберугроз. Согласно докладу, фишинговые атаки представляют для пользователей более серьезную опасность, чем кейлоггеры и повторное использование пароля [19] [20] .

      К данному выводу исследователи пришли, проанализировав несколько черных рынков по продаже учетных записей и учетных данных. В исследовании рассматривались данные за период с марта 2016 года по март 2017 года.

      Эксперты обнаружили более 788 тыс. учетных данных, похищенных с помощью кейлоггеров, 12,4 млн учетных данных, украденных посредством фишинга, и 1,9 млрд учетных данных, попавших в Сеть в ходе утечек. При этом 12% скомпрометированных в ходе утечек учетных записей были зарегистрированы через сервис Gmail. В 7% случаев пользователи повторно использовали свой пароль от Google для доступа к другому аккаунту, поставив таким образом обе учетные записи под угрозу взлома.

      По словам представителей Google, от 12% до 25% обнаруженных паролей все еще применялись пользователями. Google заявила, что результаты исследования будут использованы в том числе для сброса паролей в скомпрометированных аккаунтах.

      «Оценивая риски, мы обнаружили, что фишинг представляет наибольшую угрозу для пользователей. Далее следуют кейлоггеры и утечки данных. Вероятность того, что учетная запись жертвы фишинга будет взломана в 400 раз больше по сравнению со средним пользователем Google. Данный показатель в 10 раз меньше у жертв утечек данных и примерно в 40 раз меньше у жертв кейлоггеров», — отметили эксперты.

      Помимо этого, исследователи также обратили внимание на растущую тенденцию включать в кейлоггеры и фишинговое ПО инструменты для регистрирации IP-адресов и других данных для обхода геолокационных фильтров. Более сложные варианты вредоносного ПО также регистрируют телефонные номера и данные user-agent.

      Facebook выплатит $100 тыс. исследователям за разработку техники обнаружения целенаправленного фишинга

      В августе 2017 года социальная сеть Facebook объявила победителя конкурса «2017 Internet Defense Prize». Команда исследователей из Калифорнийского университета в Беркли и Национальной лаборатории Лоуренса Беркли заработала награду в размере $100 тысяч за изобретение новой техники обнаружения целенаправленных фишинговых атак (spear-phishing) в корпоративной среде.

      Метод, представленный в рамках USENIX Security Symposium, совмещает новую технику оценки аномалий для построения рейтинга уведомлений безопасности и функционал анализа целенаправленных фишинговых email-сообщений.

      Для тестирования своего метода исследователи проанализировали более 370 млн email сообщений, полученных сотрудниками крупных компаний в период с марта 2013 до января 2017.

      Первая часть обнаружения целенаправленного фишинга полагается на анализ двух основных составляющих: репутации домена и репутации отправителя. Репутация домена осуществляется путем проверки репутации ссылки в письме. Ссылка считается опасной, если она не посещалась многими сотрудниками компании, или если активность по ссылке началась совсем недавно.

      Функционал проверки репутации отправителя пытается выяснить, не являются ли поля письма поддельными, например, имя отправителя и заголовок From.

      После проведения анализа система должна принять решение на основе собранных данных и, в случае необходимости, создать уведомление об опасности. Система, предложенная учеными, называется непосредственной оценкой аномалий — `Directed Anomaly Scoring (DAS)`. Состоит она в определении подозрительности каждого события по отношению к другим событиям. После анализа всех событий, DAS выбирает события, получившие самую высокую оценку и сообщает о них службе безопасности.

      По заявлению экспертов, новая технология способна обнаружить 17 из 19 фишинговых писем, а число ложных срабатываний составляет всего 0.005% [21] .

      Мошенники атакуют пользователей Apple-устройств под видом сотрудников iTunes

      17 июля компания Eset предупредила пользователей продукции Apple о новой афере. Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.

      Потенциальная жертва получает от лица онлайн-магазина письмо, в котором сообщается, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.

      Поддельное письмо об использовании Apple ID

      Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он попадает на фишинговый сайт, где предлагается ввести Apple ID и пароль, а затем заполнить анкету «для подтверждения личности».

      По информации Eset, мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.

      После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.

      В Eset рекомендуют игнорировать спам-рассылки и использовать комплексные антивирусные продукты с функциями антиспама и антифишинга.

      «Лаборатория Касперского» выяснила, кто стоит за фишинговыми атаками на промышленные компании

      Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) сообщил в июне2017 года о всплеске числа фишинговых атак на промышленные компании со стороны нигерийских злоумышленников. Только за три месяца исследований эксперты центра обнаружили более 500 атакованных предприятий в более чем 50 странах мира: доля индустриальных компаний среди них превысила 80%.

      Рассылаемые при атаках письма были составлены таким образом, чтобы получивший письмо сотрудник счел его легитимным и открыл вредоносное вложение. Сообщения рассылались в том числе от имени компаний — контрагентов потенциальных жертв: поставщиков, заказчиков, коммерческих организаций и служб доставки. В них получателям предлагалось срочно проверить информацию по счету, уточнить расценки на продукцию или получить груз по накладной. При этом во всех письмах содержались вредоносные вложения, предназначенные для кражи конфиденциальных данных, а также установки скрытых средств удаленного администрирования систем.

      Также специалисты обнаружили, что большая часть доменов, используемых для командных серверов вредоносного ПО, была зарегистрирована на лиц, проживающих в Нигерии. Выбрав из готовящихся транзакций наиболее перспективную для себя, атакующие регистрировали домены, имена которых были очень похожи на имена компаний-продавцов. Затем они перехватывали сообщения со счетами от этих компаний и пересылали их покупателям, заменив реквизиты на свои собственные.

      Описанные атаки относятся к хорошо известному типу Business Email Compromise (BEC). Нацелены такие угрозы обычно не только на промышленные предприятия, но на бизнес в целом. По оценкам ФБР, ущерб от подобных атак за последние несколько лет превысил 3 миллиарда долларов США, а количество пострадавших составило 22 143 компании в 79 странах мира.

      Однако в случае с промышленными компаниями финансовые потери — не единственный риск от подобных атак. Поскольку часть вредоносного ПО, используемого в атаках, дает возможность удаленного доступа к зараженному компьютеру, злоумышленники могут использовать это для проникновения из офисной сети в промышленную. Последствия этого совершенно непредсказуемы: известны случаи, когда атакующие меняли какие-либо технологические параметры даже без очевидного злого умысла — просто из любопытства. Кроме того, в процессе атаки злоумышленники получают доступ к огромному количеству информации об индустриальных компаниях: данным о контрактах и проектах, сметам работ, чертежам, планам зданий, схемам электрических и информационных сетей. Как фишеры распоряжаются этой информацией, эксперты пока не выяснили, однако очевидно, что в плохих руках она представляет серьезную опасность.

      Аферист из Литвы ограбил Google и Facebook на $100 млн

      В марте 2017 года в СМИ прошла информация о том, что две ведущие американские интернет-компании пострадали от фишинговой атаки, организованной мошенником из Литвы. Названия компаний не раскрывались, но отмечалось, что злоумышленнику удалось обманом получить более $100 млн. Подробнее здесь.

      2016

      APWG: Количество фишинг-инцидентов выросло на 65%

      2016 год поставил рекорд по количеству фишинговых атак, — сообщила в своем отчете Рабочая группа по борьбе с фишингом (The Anti-Phishing Working Group): 1 220 523 инцидента. Это на 65% больше, чем в 2015 г.

      Наиболее атакуемым сектором стал ритейл (почти 42%); на втором месте оказался финансовый сектор, на третьем и четвертом местах, соответственно, оказались интернет-провайдеры и платежные сервисы.

      Большая часть (более 6 тыс.) фишинговых доменов стабильно располагается в доменной зоне .com.

      Стоит отметить, что в статистику APWG не вошли «спиэр-фишинговые», то есть узконаправленные мошеннические атаки: речь идет только о традиционном фишинге.

      Согласно исследованию APWG, в IV квартале 2016 г. каждый месяц составляло 92 564 инцидентов. В 2004 г. за тот же период количество фишинговых инцидентов составляло всего лишь 1609. Таким образом, мошеннический бизнес показал рост более чем в 50 раз за 12 лет.

      Цель каждой второй фишинговой атаки — деньги пользователей

      Распределение различных типов финансовых фишинговых атак в 2016 году

      Почти половина фишинговых атак в 2016 году была нацелена на прямую кражу денег у пользователей — к такому выводу пришли эксперты «Лаборатории Касперского», проанализировав финансовые угрозы 2016 года (учитывалось число срабатываний эвристической компоненты системы «Антифишинг» в защитных продуктах компании). По сравнению с показателем 2015 г., число финансовых фишинговых атак увеличилось на 13 процентных пунктов и составило 47%. За всю историю изучения компанией финансового фишинга этот показатель самый высокий.

      Основной целью злоумышленников при таких атаках является сбор конфиденциальной информации, открывающей доступ к чужим деньгам. Фишеры охотятся за номерами банковских счетов или карт, номерами социального страхования, логинами и паролями от систем онлайн-банкинга или платежных систем.

      Излюбленной мишенью фишеров традиционно оказались банки: в каждой четвертой атаке они использовали поддельную банковскую информацию. Таким образом, доля атак на эти финансовые организации по сравнению с 2015 г. увеличилась на 8 процентных пунктов. Кроме того, приблизительно каждая восьмая фишинговая атака была направлена на пользователей платежных систем, а каждая десятая — на покупателей интернет-магазинов.

      «Фишинг, направленный на пользователей финансовых сервисов, является для киберпреступников одним из самых эффективных способов украсть деньги. Атаки с использованием методов социальной инженерии не требуют от преступника высокой технической квалификации и больших инвестиций. Пользуясь невнимательностью своих жертв и их технической неграмотностью, мошенники получают доступ к персональной финансовой информации пользователей и, в дальнейшем, к их деньгам, — рассказала Надежда Демидова, старший контент-аналитик «Лаборатории Касперского». — Разумеется, подавляющее большинство фишинговых атак легко распознать. Но статистика говорит о том, что очень много людей продолжают проявлять беспечность в интернете, даже когда дело касается денег».

      Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году

      За 2016 год в Украине в 4,5 раза выросло количество фишинговых сайтов. Если в 2015 году веб-ресурсов, которые заставляли пользователей оставлять данные платежных карточек под предлогом оказания несуществующих услуг, было обнаружено 38, то уже в 2016 году специалисты Украинской межбанковской ассоциации членов платежных систем (EMA) выявили 174 таких сервиса в интернете [22] .

      Число фишинговых сайтов в Украине за год увеличилось в 4,5 раза. В 2016 году специалистами Украинской межбанковской ассоциации членов платежных систем (EMA) было обнаружено 174 мошеннических ресурса, хотя год назад было зафиксировано 38 ресурсов такого рода.

      Цель этих лжесервисов одна – пользователь должен оставить данные своей карточки на сайте. Достигают ее мошенники различными способами. Как отмечают в ЕМА, 90 из 174 мошеннических ресурсов предлагали «пополнить» счет мобильного телефона, 54 якобы осуществляли «перевод» денег с карты на карту, а 28 фишинговых сайтов позволяли выполнить и ту, и другую операцию одновременно. Были замечены и такие сервисы, на которых в платежной форме происходил подмен номера карты получателя на номер карты мошенников, платеж при этом осуществлялся, но деньги переводились на карту преступника.

      Рассылка фишингового спама от имени украинских банков

      14 июля 2016 года украинский ОПТ Банк сообщил о вирусной рассылке писем, маскированных под уведомления о задолженности по кредитам. Открывая вложенный файл, пользователи рискуют утечкой своих данных. Подробнее здесь.

      2015: Intel Security: 97% людей во всем мире не способны распознать фишинг

      Intel Security опубликовала летом 2015 года результаты своего теста проверки знаний пользователей и их умения распознавать электронные письма, отправленные мошенниками с целью получения доступа к логинам, паролям и другим конфиденциальным данным.

      В исследовании приняли участие около 19 000 человек из 144 стран. Им было предложено изучить 10 сообщений, специально подготовленных Intel Security. Некоторые образцы содержали угрозы кражи информации, т.е. фишинговые атаки. Только 3% из всех опрошенных смогли точно определить, можно ли доверять тому или иному посланию, тогда как 80% респондентов посчитали безопасным как минимум одно из писем с угрозой.

      Киберпреступники рассылают фишинговые электронные письма для того, чтобы получатели перешли по содержащимся в письмах ссылкам на сайты, созданные с целью похищения персональных данных пользователей. Мошенники обманом заставляют людей указывать свои имена и фамилии, адреса, пароли и/или информацию о кредитных картах на фальшивых ресурсах, которые выглядят так, как будто принадлежат реальным компаниям. В отдельных случаях даже переход по ссылке в письме приводит к автоматической загрузке вредоносных программ на устройство пользователя. Так злоумышленники могут легко похитить информацию без ведома жертвы

      В рамках исследования Intel Security лучше всех с заданием справилась группа респондентов в возрасте от 35-ти до 44-х лет. В среднем они ответили правильно на 68% вопросов. Самые большие трудности с выявлением фишинговых писем в почте испытывают женщины младше 18 и старше 55 лет, они смогли определить лишь 6 из 10 писем. Мужчины лучше женщин защищают себя от хакеров (67% точности в определении вредоносных сообщений против 63%).

      Из 144 стран, принявших участие в опросе, лучше всего киберугрозы в электронной почте увидели жители Франции, Швеции, Венгрии, Нидерландов и Испании (они дали более 70% правильных ответов). Российские пользователи смогли точно определить наличие или отсутствие фишинга в 62,5% случаев.

      Оказалось, что участники тестирования чаще всего неправильно определяли безопасные письма. И именно те, в которых была просьба «забрать свои призы». Люди часто ассоциируют бесплатные призы со спамом, это, видимо, и стало причиной того, что респонденты неправильно определили статус писем. «В реальности же электронные послания, содержащие угрозу кражи информации, часто выглядят так, как будто они действительно отправлены с настоящих сайтов, – рассказывает Гари Дэвис, главный специалист по вопросам безопасности Intel Security. – Необходимо крайне внимательно изучать такие письма и обращать внимание на грамматические ошибки, а также на плохое качество изображений».

      2014: Треть фишинговых атак направлены на кражу денег

      Согласно проведенному «Лабораторией Касперского» исследованию, злоумышленники стали чаще стали создавать онлайн-ресурсы, копирующие внешний вид сайтов финансовых компаний, для получения конфиденциальной информации и кражи денег со счетов интернет-пользователей. Статистика показывает, что доля фишинговых атак с использованием имен популярных банков, платежных систем или интернет-магазинов в 2013 году составила 31,45%, что на 8,5 процентных пунктов больше, чем годом ранее.

      В 2013 году продукты «Лаборатории Касперского» защитили от фишинга 39,6 миллиона человек. По данным облачной инфраструктуры Kaspersky Security Network, самые быстрые темпы роста показали атаки, эксплуатирующие названия банков: на их долю пришлось 70,6% всего финансового фишинга против 52% в 2012 году. При этом в общей массе всех подобных атак банковских брендов стало в два раза больше — 22,2%.

      Согласно полученным данным, злоумышленники чаще всего прикрываются именами крупных компаний: примерно 60% фишинговых атак использовали названия 25 брендов. Среди сферы платежных систем статистика более однозначна: в случае 88,3% атак из этой группы преступники имитировали сайты всего четырех организаций: PayPal, American Express, Master Card и Visa. Что касается интернет-магазинов, имя Amazon уже несколько лет остается самым эксплуатируемым: за исследуемый период название компании использовалось в 61% фишинговых атак, связанных с онлайн-торговлей. С большим отставанием от Amazon в тройке лидеров — сетевые магазины Apple и интернет-аукцион eBay. Наряду с веб-ресурсами финансовых организаций злоумышленники часто подделывают сайты социальных сетей. В 2013 году доля атак с использованием страниц, имитирующих Facebook и подобные ему ресурсы, выросла на 6,8 пунктов до 35,4%.

      «Популярность фишинговых атак среди злоумышленников обусловлена относительной простотой их проведения вкупе с достаточной эффективностью. Мошеннические сайты, тщательно копирующие вид официальных, бывает непросто отличить от легитимных даже опытным интернет-пользователям, что лишний раз подчеркивает важность использования специализированных защитных продуктов. В решениях „Лаборатории Касперского` для домашних пользователей и малого бизнеса стандартные механизмы блокировки фишинга дополнены технологией „Безопасные платежи`, которая надежно защищает персональные данные при работе с онлайн-банкингом и платежными системами», — прокомментировал Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского».

      Для более крупных компаний, стремящихся оградить своих клиентов от кибермошенников и защитить свою репутацию, «Лаборатория Касперского (Kaspersky)» предлагает комплексную платформу Kaspersky Fraud Prevention. Платформа создана для многоуровневой защиты электронных операций и включает программные средства для конечных пользователей, серверное решение для проверки транзакций и набор компонентов для разработки защищенных мобильных приложений.

      2013: 72 тыс фишинговых атак в 1-м полугодии

      Антифишинговая рабочая группа провела осенью 2013 года исследования на предмет того, как развивается ситуация с фишингом в мире. В первом полугодии 2013 года количество атак составило более 72 тыс. Это меньше, чем во втором полугодии 2012 года (124 тыс.), что обусловлено использованием одних и тех же доменов для разных атак [23] .

      На более чем 53 тыс. доменов были зарегистрированы фишинговые атаки. Из них около 12 тыс. были намеренно зарегистрированы злоумышленниками, остальные 40 тыс. были взломаны или использованы незаконно из-за ненадежности веб-хостинга.

      Случаи фишинга наблюдались в 195 доменах верхнего уровня, однако 82% атак были совершены на специально зарегистрированных доменах .COM, .TK и .INFO. Самым слабозащищенным от атак оказалась зона .PW, которая была перезапущена 25 марта 2013 года.

      В 2013 году антифишинговая рабочая группа насчитала 720 институтов, которые стали целями фишеров, в то время, как в 2012 году их насчитывалось около 611.Самым востребованным у злоумышленников остался сектор платежных услуг — Система электронных платежей PayPal стала целью более 13 тыс. атак.

      Смотрите также

      Контроль и блокировки сайтов

      • Цензура в интернете. Мировой опыт
      • Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
      • Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
      • Запросы силовиков на телефонные и банковские данные в России
      • Закон о регулировании Рунета
      • Национальная система фильтрации интернет-трафика (НаСФИТ)
      • Как обойти интернет-цензуру дома и в офисе: 5 простых способов
      • Блокировка сайтов в России
      • Ревизор — система контроля блокировки сайтов в России

      Анонимность

      • Даркнет (теневой интернет, DarkNet)
      • VPN и приватность (анонимность, анонимайзеры)
      • VPN — Виртуальные частные сети
      • СОРМ (Система оперативно-розыскных мероприятий)
      • Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
      • Ястреб-М Статистика телефонных разговоров

      Критическая инфраструктура

      • Цифровая экономика России
      • Электронное правительство России
      • Информационная безопасность цифровой экономики России
      • Защита критической информационной инфраструктуры России
      • Закон О безопасности критической информационной инфраструктуры Российской Федерации
      • Основы государственной политики РФ в области международной информационной безопасности
      • Доктрина информационной безопасности России
      • Стратегия национальной безопасности России
      • Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
      • Автономный интернет в России
      • Киберполигон России для обучения информационной безопасности
      • Национальная биометрическая платформа (НБП)
      • Единая биометрическая система (ЕБС) данных клиентов банков
      • Биометрическая идентификация (рынок России)
      • Каталог решений и проектов биометрии
      • Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
      • Статья:Единая система программной документации (ЕСПД).
      • Сеть передачи данных органов государственной власти (СПДОВ)
      • Единая сеть электросвязи РФ
      • Единый портал государственных услуг (ФГИС ЕПГУ)
      • Гособлако — Государственная единая облачная платформа (ГЕОП)
      • Госвеб Единая платформа интернет-порталов органов государственной власти

      Импортозамещение

      • Импортозамещение в сфере информационной безопасности
      • Обзор: Импортозамещение информационных технологий в России
      • Главные проблемы и препятствия импортозамещения ИТ в России
      • Преимущества замещения иностранных ИТ-решений отечественными
      • Основные риски импортозамещения ИТ
      • Импортозамещение информационных технологий: 5 «За» и 5 «Против»
      • Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
      • Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
      • Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
      • Оценки перспектив импортозамещения в госсекторе участниками рынка

      Информационная безопасность и киберпреступность

      • Киберпреступность в мире
      • Требования NIST
      • Глобальный индекс кибербезопасности
      • Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
      • Locked Shields (киберучения НАТО)
      • Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
      • Число киберпреступлений в России, Русские хакеры
      • Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
      • Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
      • CERT NZ
      • CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
      • Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
      • Информационная безопасность в США
      • Как США шпионили за производством микросхем в СССР
      • Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
      • Стратегия кибербезопасности ЕС
      • Регулирование интернета в странах Евросоюза
      • Информационная безопасность в Германии
      • Информационная безопасность во Франции
      • Информационная безопасность в Греции
      • Информационная безопасность в Австралии
      • Tactical Edge Networking (военный интернет)
      • Киберпреступность и киберконфликты : Израиль
      • Киберпреступность и киберконфликты : Иран
      • Киберпреступность и киберконфликты : Китай
      • Информационная безопасность в Китае
      • Импортозамещение информационных технологий в Китае
      • Киберпреступность и киберконфликты : КНДР
      • Информационная безопасность в Молдавии
      • Информационная безопасность в Японии
      • Безопасность в интернете
      • Безопасность интернет-сайтов
      • Безопасность программного обеспечения (ПО)
      • Безопасность веб-приложений
      • Безопасность мессенджерах
      • Угрозы безопасности общения в мобильной сети
      • Безопасность в социальных сетях
      • Киберзапугивание (кибербуллинг, киберсталкинг)
      • Информационная безопасность в банках
      • Информационная безопасность в судах
      • CERT-GIB Computer Emergency Response Team — Group-IB
      • Мошенничество с банковскими картами
      • Взлом банкоматов
      • Обзор: ИТ в банках 2016
      • Политика ЦБ в сфере защиты информации (кибербезопасности)
      • Потери организаций от киберпреступности
      • Потери банков от киберпреступности
      • Тренды развития ИТ в страховании (киберстрахование)
      • Кибератаки
      • Threat intelligence TI киберразведка
      • Число кибератак в России и в мире
      • Кибератаки на автомобили
      • Обзор: Безопасность информационных систем
      • Информационная безопасность
      • Информационная безопасность в компании
      • Информационная безопасность в медицине
      • Информационная безопасность в электронной коммерции
      • Информационная безопасность в ритейле
      • Информационная безопасность (мировой рынок)
      • Информационная безопасность (рынок России)
      • Информационная безопасность на Украине
      • Информационная безопасность в Белоруссии
      • Главные тенденции в защите информации
      • ПО для защиты информации (мировой рынок)
      • ПО для защиты информации (рынок России)
      • Pentesting (пентестинг)
      • ИБ — Средства шифрования
      • Криптография
      • Управление инцидентами безопасности: проблемы и их решения
      • Системы аутентификации
      • Коррупция (мошенничество, взятки): Россия и мир
      • Отмывание денег (Money Muling)
      • Закон о персональных данных №152-ФЗ
      • Защита персональных данных в Евросоюзе и США
      • Расценки пользовательских данных на рынке киберпреступников
      • Буткит (Bootkit)
      • Уязвимости в ПО и оборудовании
      • Джекпоттинг_(Jackpotting)
      • Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
      • Защита от программ-вымогателей: существует ли она?
      • Big Brother (вредоносная программа)
      • MrbMiner (вирус-майнер)
      • Защита от вирусов-вымогателей (шифровальщиков)
      • Вредоносная программа (зловред)
      • APT — Таргетированные или целевые атаки
      • Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
      • DDoS и DeOS
      • Атаки на DNS-сервера
      • DoS-атаки на сети доставки контента, CDN Content Delivery Network
      • Как защититься от DDoS-атаки. TADетали
      • Визуальная защита информации — Визуальное хакерство — Подглядывание
      • Ханипоты (ловушки для хакеров)
      • Руткит (Rootkit)
      • Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
      • Каталог Антифрод-решений и проектов
      • Как выбрать антифрод-систему для банка? TADетали
      • Security Information and Event Management (SIEM)
      • Threat intelligence (TI) — Киберразведка
      • Каталог SIEM-решений и проектов
      • Чем полезна SIEM-система и как её внедрить?
      • Для чего нужна система SIEM и как её внедрить TADетали
      • Системы обнаружения и предотвращения вторжений
      • Отражения локальных угроз (HIPS)
      • Защита конфиденциальной информации от внутренних угроз (IPC)
      • Спуфинг (spoofing) — кибератака
      • Фишинг, Фишинг в России, DMARC, SMTP
      • Сталкерское ПО (программы-шпионы)
      • Троян, Trojan Source (кибератака)
      • БотнетБоты, TeamTNT (ботнет), Meris (ботнет)
      • Backdoor
      • ЧервиStuxnetReginConficker
      • EternalBlue
      • Рынок безопасности АСУ ТП
      • Флуд (Flood)
      • Предотвращения утечек информации (DLP)
      • Скимминг (шимминг)
      • Спам, Мошенничество с электронной почтой
      • Социальная инженерия
      • Телефонное мошенничество
      • Звуковые атаки
      • Warshipping (кибератака Военный корабль)
      • Антиспам программные решения
      • Классические файловые вирусы
      • Антивирусы
      • ИБ : средства защиты
      • Система резервного копирования
      • Система резервного копирования (технологии)
      • Система резервного копирования (безопасность)
      • Межсетевые экраны
      • Системы видеонаблюдения
      • Видеоаналитика

      Примечания

      1. ↑Против пользователей Gmail развернута хитроумная фишинговая кампания
      2. ↑SMS-мошенничество и вредоносные программы для смартфонов
      3. ↑10 советов для предотвращения фишинговых атак
      4. ↑ Из доклада «Снижение рисков, связанных с человеческим фактором» Алябьев Андрей, Отдел информационной безопасности, Глобэксбанк, 2016
      5. ↑Похитители конфиденциальных данных нацелились на итальянцев
      6. ↑Группировка Luna Moth занимается вымогательством без вымогательского ПО
      7. ↑Вредоносное ПО для онлайн банкинга перехватывает звонки в службу поддержки
      8. ↑Найден способ кражи логинов и паролей, от которого нет спасения
      9. ↑Group-IB оценила потери от мошенничества с предложениями «только для вас»
      10. ↑Правоохоронці заблокували один з найбільших у світі фішингових сервісів, від атак якого постраждали фінустанови 11 країн світу (ФОТО)
      11. ↑Полиция Украины нейтрализовала один из крупнейших в мире фишинговых сервисов
      12. ↑Суд разрешил Microsoft захватить контроль над 6 фишинговыми доменами
      13. ↑Хакеры со спецподготовкой атакуют госорганы по всему миру
      14. ↑The quiet evolution of phishing
      15. ↑Microsoft рассказала о самых сложных фишинговых атаках 2019 года
      16. ↑Наблюдается рост фишинговых писем с сексуальным вымогательством (sextortion)
      17. ↑More than £900,000 confiscated from from cyber hacker
      18. ↑Организатор фишинговых атак выплатит своим жертвам более $1,1 млн
      19. ↑Google: Фишинговые атаки опаснее кейлоггеров и утечек данных
      20. ↑Data Breaches, Phishing, or Malware? Understanding the Risks of Stolen Credentials
      21. ↑Facebook выплатит $100 тыс. исследователям за разработку техники обнаружения целенаправленного фишинга
      22. ↑Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году
      23. ↑Проведено исследование фишинга

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *