Полная версия
Анатомия фишинга как устроены атаки изнутри
Это хороший момент, чтобы остановиться и задуматься. Вспомните, как вы сами воспринимаете угрозы в интернете. Как абстрактные «хакеры» где-то далеко? Или как конкретных людей, которые целенаправленно хотят ваших денег или данных? Осознание, что по ту сторону монитора сидит такой же человек, со своими мотивами (пусть и неблаговидными), меняет восприятие. Вы перестаете быть безликой единицей в базе данных для рассылки, а становитесь осознанной целью, которую можно и нужно защищать. И первый шаг к защите – понимание, что именно им от вас нужно. В следующий раз, когда вам придет письмо с urgent-темой «Ваш аккаунт будет заблокирован!», спросите себя: а что тот, кто это написал, хочет получить? Ваши логин и пароль? Доступ к карте? Или просто хочет, чтобы вы запустили вредоносный файл? Ответ на этот вопрос часто делает всю схему прозрачной, как стекло.
Понимание мотивации атакующих снимает с фишинга ореол сложной магической технологии. Это не волшебство, а ремесло, часто конвейерное. И как у любого ремесла, у него есть экономика, спрос и предложение, свои «мастера» и «подмастерья». Зная, что движет теми, кто пытается вас обмануть, вы уже на полпути к тому, чтобы этот обман распознать. Вы не просто видите письмо, вы видите за ним цель. А когда видишь цель противника, его действия становятся куда более предсказуемыми. Давайте теперь разберемся, как именно эти предсказуемые действия выглядят в реальности и из каких кирпичиков строится сама фишинговая атака.
Жизненный цикл типичной атаки
Представьте себе производство фальшивой купюры. Это не сиюминутный порыв, а четко выверенный процесс: от поиска подходящей бумаги и краски до создания печатной формы и налаживания сбыта. Фишинговая атака устроена очень похоже – это цепочка взаимосвязанных этапов, которые злоумышленник проходит один за другим. Если мы поймем эту последовательность, этапы перестанут быть магическим ритуалом хакера из фильма, а станут понятной, хоть и неприятной, логической цепочкой. Давайте проследим за ней от первого до последнего шага, представив, что мы наблюдаем за работой условного ‘мастера’ по фишингу.
Разведка и подготовка: сбор пазла
Никто не бросается в атаку сломя голову. Сначала идет этап разведки, который можно сравнить с собиранием пазла о будущей жертве. Злоумышленнику нужно понять две вещи: на кого охотиться и как это сделать. Он изучает потенциальную цель – это может быть крупная компания, ее сотрудники или просто широкий круг пользователей какого-либо сервиса, например, банка или социальной сети. Что его интересует? Публичная информация: как пишутся корпоративные письма, какие подписи используются, как выглядят официальные сайты, какие новости или акции сейчас на слуху у сотрудников. Часто для этого даже не нужны хакерские навыки – достаточно зайти на сайт компании или в ее соцсети. Представьте, что вы хотите притвориться соседом, чтобы зайти к нему в кварятью. Вы сначала понаблюдаете: во сколько он выходит, как одевается, как разговаривает с консьержем. Фишер делает то же самое в цифровом пространстве. Параллельно он готовит ‘инструменты’ – покупает или создает похожий на настоящий домен (адрес сайта), настраивает почтовые сервисы для рассылки, maybe арендует хостинг для поддельной страницы. Этот этап тихий и невидимый для жертвы, но именно здесь закладывается успех всей операции.
Изготовление приманки и заброс удочки
Когда информация собрана, наступает время творчества. На основе полученных данных создается приманка – то самое письмо или сообщение. Оно должно быть идеальной копией настоящего или, по крайней мере, выглядеть максимально правдоподобно. Дизайн, логотипы, стиль изложения – все это клонируется с оригиналов. Но самый важный элемент – это ‘крючок’, то есть повод для действия. Здесь в игру вступает социальная инженерия. Цель – вызвать у вас конкретную эмоцию, которая отключит холодный расчет. Это может быть срочность (‘Ваш аккаунт будет заблокирован через 2 часа!’), любопытство (‘Вам отправлен важный документ’), страх (‘Обнаружена подозрительная активность’) или даже желание помочь (‘Коллега просит срочно перевести деньги’). Текст письма продумывается до мелочей, чтобы не вызвать лишних подозрений. После этого приманка отправляется в плавание – начинается массовая или точечная рассылка. Задумайтесь на минуту: как часто вы получаете письма, которые вызывают у вас подобные чувства? Скорее всего, регулярно. Теперь вы знаете, что это может быть не просто спам, а первый видимый этап хорошо спланированной атаки.
Ожидание и ‘вываживание’ жертвы
Письмо ушло. Теперь фишеру остается ждать, как рыболов у проруби. Но его работа не прекращается. Он мониторит, сколько писем было доставлено, сколько открыто, сколько человек перешло по ссылке. Представьте себе продавца, который стоит чуть поодаль и наблюдает, как люди подходят к его витрине. Кто заинтересовался? Кто уже тянется рукой? Когда пользователь все-таки кликает по ссылке в письме, он попадает на следующий этап – поддельную страницу. Она – точная копия страницы входа в его почту, банк или соцсеть. Тут важно понимать: если до этого этапа атака была в основном социальной (игра на эмоциях), то теперь подключается техническая часть. Страница должна не только выглядеть как настоящая, но и правильно принять введенные данные и передать их злоумышленнику. Часто после ввода логина и пароля жертве показывают сообщение об ‘ошибке’ или ‘технических работах’, чтобы не вызвать паники и дать время атакующему сделать свое дело. А дело это простое – полученные учетные данные (логины, пароли, а иногда и коды из смс) немедленно используются для доступа к реальному аккаунту.
Завершение атаки и ‘уборка следов’
Финал атаки – это достижение цели. Целью может быть просто доступ к почте, откуда можно провести новую фишинг-рассылку уже по контактам жертвы. Или доступ к банковскому счету для перевода денег. Или установка вредоносного программного обеспечения на компьютер через вложение в том самом письме. Как только желаемое получено, начинается этап ‘зачистки’. Фишер старается замести следы: удалить логи (журналы действий) на своем сервере, отключить поддельный сайт, разорвать цепочку связи. Это делает расследование инцидента крайне сложным. А что же жертва? Она понимает, что произошло, часто с большим опозданием – когда деньги исчезли, аккаунт взломан, а по его контактам рассылается спам. И вот здесь самое время вспомнить, что мы с вами только что разобрали. Остановитесь и подумайте: на каком из этих этапов атаку можно было пресечь? Скорее всего, на любом, но проще всего – в самом начале, на этапе ‘заброса удочки’. Одно вовремя заданное себе вопросы ‘А точно ли это легальное письмо? Почему оно вызывает у меня такую панику?’ может разорвать всю эту идеально выстроенную цепочку. Понимание жизненного цикла атаки лишает ее главного оружия – непонимания и таинственности. Вы уже не просто видите одно подозрительное письмо, вы видите за ним весь длинный процесс, и это знание делает вас на порядок бдительнее.
Часть 2. Техническая кухня
Поддельные сайты: клонирование и хостинг
Представьте себе ресторанный критик, который приходит в заведение, видит знакомую вывеску, интерьер один в один, меню то же самое, но еда оказывается подделкой. Вкус не тот, а после трапезы у него пропадает кошелек. Примерно то же самое чувствует человек, попавший на фишинговый сайт. Со стороны все выглядит абсолютно легально: тот же дизайн, те же логотипы, те же формы для ввода данных. Но стоит ввести свои логин и пароль, как они мгновенно утекают к злоумышленникам. Как же создаются эти цифровые двойники и где они живут? Давайте заглянем на кухню.
Процесс начинается с выбора цели. Чаще всего это крупные и популярные сервисы: онлайн-банки, почтовые службы, социальные сети, интернет-магазины. Чем больше у сервиса пользователей, тем выше шанс, что кто-то клюнет на наживку. Атакующий, которого мы условно назовем Х, первым делом проводит разведку. Он скрупулезно изучает оригинальный сайт: как он выглядит на разных устройствах, какие элементы содержит главная страница и, что критически важно, страница входа в личный кабинет. Он делает сотни скриншотов, а иногда просто сохраняет весь HTML-код и сопутствующие файлы (стили, картинки, скрипты) прямо себе на компьютер. Это называется клонированием сайта, и технически это не сложнее, чем нажать «Сохранить как» в браузере, только с помощью специальных программ, которые делают это автоматически и целиком.
Копия, но не точная
Однако идеальную копию сделать не получится. Даже если скопировать все файлы, многие динамические элементы, которые загружаются с серверов компании, работать не будут. Например, реальная проверка логина и пароля происходит на бэкенде – той части сайта, которая скрыта от глаз пользователя и находится на защищенных серверах банка. Эту часть скопировать невозможно. Поэтому Х создает лишь внешнюю оболочку – фасад. Все формы на сайте будут выглядеть рабочими, кнопки будут нажиматься, но их функция изменится кардинально. Вместо отправки данных на настоящий сервер для проверки, они будут отправляться на сервер, контролируемый самим Х. Это как если бы вы опустили письмо в красивый почтовый ящик у двери, а он вел бы не на почту, а прямиком в комнату к соседу-воришке.
Здесь возникает важный технический момент: безопасное соединение. Вы наверняка обращали внимание на замочек в адресной строке браузера и буквы HTTPS. Это означает, что соединение между вашим компьютером и сайтом зашифровано. Фишеры тоже хотят, чтобы их сайт вызывал доверие, поэтому они часто добывают или покупают SSL-сертификаты для своих поддельных доменов. Получить такой сертификат сейчас относительно несложно, есть бесплатные варианты. В итоге на фишинговой странице тоже будет красуется замочек, что усыпляет бдительность многих пользователей. Запомните: замочек гарантирует только шифрование канала, но не говорит ни о чем, о том, кто находится на другом конце. Вы можете иметь зашифрованное соединение с кем угодно, хоть с мошенником.
Доменное имя – камуфляж
Следующий шаг – выбор адреса для поддельного сайта. Это целое искусство обмана. Х не будет регистрировать домен типа hack-your-bank.com. Это слишком очевидно. Вместо этого он использует техники, называемые тайпсквоттингом или похожими доменами. Например, вместо popularbank.ru он зарегистрирует popu1arbank.ru, заменив букву ‘l’ на цифру ‘1’, которая в некоторых шрифтах выглядит практически одинаково. Или добавит дефис: popular-bank.ru. Или использует другую доменную зону: popularbank.website вместо .ru. Часто в ход идут опечатки: popylarbank.ru. Цель – чтобы пользователь, либо торопясь, либо не слишком внимательно глядя на адресную строку, не заметил подмены. Попробуйте прямо сейчас вспомнить, как точно пишется адрес вашего банка или почты. Без подсказки. Сложно? Именно на эту человеческую особенность и рассчитывают.
Хостинг: где живут фантомы
Скопированные файлы нужно где-то разместить, чтобы сайт был доступен из интернета. Это называется хостинг. Здесь у Х есть несколько путей, и все они направлены на то, чтобы максимально замести следы и продлить жизнь своему творению. Первый вариант – взлом легитимного сайта. Х находит уязвимость в каком-нибудь стареньком сайте про цветоводство или в блоге небольшой фирмы, проникает на его сервер и размещает там свои фишинговые файлы в отдельной папке. Со стороны кажется, что атака идет с безобидного ресурса, что затрудняет расследование. Второй вариант – использовать дешевый или даже бесплатный хостинг, часто зарубежный, где регистрация проводится анонимно или по поддельным данным. Третий, более продвинутый вариант – использовать облачные сервисы или сервисы для разработчиков, которые по умолчанию выдают доверенные SSL-сертификаты и имеют хорошую репутацию у систем безопасности. Фишинговый сайт может прожить на таком хостинге несколько часов или даже дней, пока его не обнаружат и не заблокируют. А для массовой рассылки писем с ссылкой этого времени более чем достаточно.
Задумайтесь на минуту: когда вы в последний раз внимательно смотрели на полную строку браузера, вводили адрес сайта вручную или переходили по ссылке из письма, не проверив ее наведение курсора? Мы все привыкли к скорости и автоматизму, и именно эта привычка играет на руку создателям поддельных сайтов. Они строят свои ловушки, рассчитывая на наше доверие к знакомому интерфейсу и нашу невнимательность к деталям. Но теперь, зная, как устроен этот фасад изнутри, вы можете взять паузу. Паузу, чтобы посмотреть на адрес. Паузу, чтобы подумать, ждали ли вы это письмо с просьбой «срочно подтвердить данные». Эта пауза и есть тот самый разрыв между автоматическим действием и осознанным решением, который делает вас неуязвимым для большинства таких атак. В следующий раз, когда будете вводить свои данные куда-либо, вспомните про этого невидимого соседа Х и его кухню по клонированию реальности. Проверьте, точно ли вы в гостях у того, у кого думаете.
Электронные письма: спам-фильтры в обход
Представьте себе почтовый ящик у вашего подъезда. Каждый день курьеры, соседи, рекламные агенты кладут туда кучу бумаг. Спам-фильтр – это строгий консьерж, который стоит рядом и безжалостно отправляет в мусорную корзину всё, что похоже на мусор: яркие листовки, газеты с кричащими заголовками, письма с явными опечатками в вашем имени. Задача фишера – сделать так, чтобы его «письмо от банка» консьерж пропустил без вопросов, приняв за официальный конверт с водяными знаками. И знаете что? У них это отлично получается.
Начнем с того, как этот консьерж вообще работает. Современные почтовые системы и антиспам-фильтры – это сложные алгоритмы, которые оценивают сотни параметров письма. Они смотрят на отправителя, на заголовки письма, на содержание текста, на вложенные файлы, на ссылки внутри. Каждому параметру присваивается вес, и если общая «штрафная» сумма превышает порог – письмо летит в спам. Фишеры знают эту систему не хуже, а порой и лучше, чем некоторые IT-специалисты. Они не пытаются взломать фильтр – они его аккуратно обходят, играя по его же правилам.
Игра в легального отправителя
Первый и главный рубеж – это отправитель. Самый простой способ – подделать адрес, чтобы в поле «От кого» красовалось что-то вроде «support@вашбанк.ru». Раньше это делалось элементарно, сейчас почтовые протоколы научились проверять подлинность отправителя с помощью систем вроде SPF, DKIM и DMARC. Это три кита, на которых держится доверие к адресу. Не будем углубляться в технические дебри, скажем просто: эти технологии позволяют почтовому серверу получателя проверить, имеет ли право сервер отправителя рассылать письма от имени этого домена. Если права нет – письмо пометят как подозрительное или вовсе отклонят.
Что делает умный фишер? Он не бьется лбом об эту стену. Он ищет обходные пути. Например, регистрирует домен, визуально неотличимый от настоящего. Заменяет кириллическую «а» на латинскую, добавляет лишний дефис или использует похожую букву из другого алфавита. Сообщение приходит с адреса «support@vаshbank.ru» (где первая «а» – кириллическая), а вы, пробегая глазами, легко можете этого не заметить. Или использует легитимный, но скомпрометированный почтовый сервер какой-нибудь маленькой фирмы, у которой слабо настроены те самые защитные механизмы. Письмо приходит с настоящего, «честного» сервера, просто этот сервер теперь в руках злоумышленников. Консьерж видит, что правила соблюдены, и пропускает посылку дальше.
Маскировка содержимого
Допустим, письмо прошло проверку отправителя. Теперь его ждет сканирование содержимого. Алгоритмы ищут ключевые слова: «срочно», «пароль», «блокировка счета», «выигрыш», «перейдите по ссылке». Ищут странные комбинации символов, слишком много восклицательных знаков, грамматические ошибки. Фишер отвечает на это изощренной мимикрией.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «Литрес».
Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.
