Фишинговые рассылки что это такое
«Меня развели мои же коллеги»: как и зачем мы проводим внутренние фишинговые рассылки
Привет! Меня зовут Саша, и уже полтора года я периодически промышляю фишингом. Только не ради наживы, а для повышения киберграмотности коллег. Такие рассылки помогают нам проверить, насколько вероятна утечка из-за человеческого фактора, кому и какое обучение порекомендовать по основам кибербезопасности. В итоге грамотность сотрудников повышается: к концу года доля «попавшихся» снизилась с 17% до 2%.
Это помогает проходить аудит по стандарту ISO/IEC 27001. Такая рассылка со сбором статистики и последующим обучением встраивается в систему внутреннего аудита по требованиям стандарта.
В посте покажу примеры, как мы проводили внутреннюю фишинговую рассылку и какие результаты она дает.
С чего начать
Внутренняя рассылка должна быть максимально похожей на реальное письмо: именно такого эффекта добиваются мошенники при фишинге. Нужно решить сразу несколько творческих задач:
Опыт коллеги: письмо про икру
Пробную рассылку устроили еще в конце прошлого года. Коллега создал фальшивый адрес, который имитировал почту сотрудницы HR. Сотрудникам от ее имени предложили оставлять заявки на икру и алкоголь для новогоднего стола:
Не забыли добавить в текст орфографические ошибки и смайлы.
Многие стали обращаться к сотруднице лично. Предупреждать ее заранее об этом не стали, чтобы было реалистичнее. Но икра по цене 400 рублей за кг была интересна такому количеству людей, что потребовалось опровержение от Василия, директора центра киберзащиты:
Мне тогда запомнилась реакция одного из менеджеров: он перешел по ссылке в письме, ввел свои данные и только после этого осознал ошибку. Его громкий крик: «Ваааася!» – услышали мы все.
После рассылки подготовили и разослали всем видеоинструкцию по противодействию фишингу: на что обращать внимание, как проверить ресурсы и так далее.
Рассылка от сервиса видеоконференций
C переходом на удаленку мы обнаружили рост фишинговых атак, связанных с темой COVID-19. В апреле всем сотрудникам отправили рассылку-предупреждение:
В мае решили протестировать, как усвоилась информация. Идею «ковидных» рассылок отмели как слишком очевидную. Придумали другой заход: в марте всем сотрудникам установили Webex – систему для веб-конференций. За пару месяцев все к ней привыкли, пора проверить бдительность.
Мы посмотрели на стандартную рассылку от Webex и создали похожее письмо:
Кнопка вела на подставной домен с формой для ввода логина и пароля:
Почта пользователя сразу подставилась в приветствие и поле с логином.
После ввода пароля шел редирект на реальный ресурс Cisco, чтобы пользователь ничего не заподозрил (часто так и бывает!).
Всего мы отправили 88 писем, по ссылке перешел 21 пользователь. Ввели данные 15 сотрудников – это 17% от всей рассылки. После этого снова отправили всей компании напоминание про фишинг: «раскрыли карты», разобрали пример нашей рассылки, объяснили, что делать.
Было забавно, когда один из коллег в личке пожаловался мне на мою же фишинговую рассылку. Чтобы сохранить чистоту эксперимента, об учениях я умолчал. Просто ответил: да, хорошо, разберемся, спасибо за бдительность.
За лето мы отправили сотрудникам целую серию обучающих писем с примерами фишинга из нашей практики. Следующий тест решили провести осенью в предновогодний сезон.
Рассылка в честь киберпонедельника
В ноябре и декабре пользователи получают действительно много писем с анонсами закрытых распродаж и акций «черной пятницы». Мы стали проверять, смогут ли сотрудники распознать фишинг в этом потоке информации.
В этот раз я создал отдельный домен dataline-cybermonday.ru. Взял дизайн одного популярного сайта и сверстал письмо посимпатичнее:
Для правдоподобия добавил «социальные кнопки», они ведут на официальные аккаунты.
Сайт тоже получился максимально правдоподобным:
Но сотрудники стали бдительнее: логин и пароль ввели только двое.
Рассылка от мэрии Москвы
С этой рассылкой я заморочился еще сильнее и решил провести фейковый опрос жителей Москвы о новогодних праздниках. Сначала создал домен opros-mos.ru. Прототипом для письма стала муниципальная рассылка в честь Дня города. Взял из нее фото и подпись мэра, герб города, ссылки на страницы в соцсетях. Получилось очень похоже:
Стишок взял первый попавшийся на странице поиска.
Так выглядела страница для ввода логина и пароля. Тоже использовал изображения и кнопки с официального сайта:
На это письмо реагировали еще меньше: открыли письмо 14 человек, перешли по ссылке пятеро. Делаем вывод, что рассылки на нерабочие темы для пользователей корпоративной почты не так интересны.
Немного статистики и ссылок на инструментарий
Отдельно покажу, как мы считаем данные по рассылкам. Для всех писем отслеживаем, какая доля пользователей открыла письмо, перешла по ссылке и ввела свои данные. Разослать и зафиксировать данные по переходам помогает GoPhish – опенсорсный фреймворк для фишинга.
Рассылку делаем не по всей компании, а по группе от 50 до 100 сотрудников, так что считаем долю от общего числа отправленных писем.
| Процент открывших письмо | Процент перешедших по ссылке | Процент тех, кто ввел данные | Процент уведомивших | |
| Service desk | 38 | 28 | 7 | 22 |
| Webex | 35 | 24 | 17 | 24 |
| Новый год, Собянин | 20 | 10 | 4 | 6 |
| Cybermonday | 24 | 13 | 2 | 8 |
Опираясь на наш опыт, мы отточили фишинговые скиллзы и продолжаем совершенствоваться. Сейчас такие рассылки предлагаем нашим клиентам в рамках услуги по аудиту ИБ и берем на себя как работу с опенсорс-инструментами, так и создание сценариев, подготовку писем и лэндингов, обход спам-фильтров и рекомендации для пользователей.
В ближайшее время напишем про другие составляющие этого сервиса: проверку паролей и разведку по открытым источникам (OSINT).
Не дайте себя обмануть — 7 признаков фишинговых писем
Фишинг (phishing) — это вид мошенничества, который направлен на выуживание у вас (от созвучия с fishing — «рыбалка») паролей, логинов и важных, например, платежных, данных.
Для того, чтобы получить ваши данные, мошенники используют письма. Задача письма — обхитрить вас и вынудить перейти по вредоносной ссылке, отправить данные через поддельную форму или прямо сообщить их.
Так как многие люди сейчас переходят на удаленную работу, руководителям было бы полезно проинструктировать сотрудников, на какие письма нельзя реагировать и как не слить данные свои и компании. По статистике 1 из 10 фишинговых писем срабатывает, а практически каждой крупной утечке данных предшествует фишинговая атака.
К примеру, адрес почтового сервера вашей компании — @компания.ру. Почтовый адрес директора — игорьиванович@компания.ру. Мошенники незначительно меняют имя домена, рассчитывая на вашу невнимательность. Если вам вдруг приходит письмо от «игорьиванович@компания1.ру» — то это уже другой Игорь Иванович, вам он не нужен.
Многие компании используют инструменты, которые умеют автоматически блокировать письма с незнакомых доменов. Для примера, DLP-система Falcongaze SecureTower может пропускать письма только с адресов @компания.ру, блокируя все остальные. Или наоборот, она будет пропускать все письма за исключением нескольких заранее заданных адресов.
Часто мошенники в фишинговых письмах используют обращения вроде «Дорогой клиент!» или «Уважаемый сотрудник!». Рассылки у них чаще всего массовые, да и имена адресатов не всегда известны. Но в последнее время участились случаи именных фишинговых атак. Имена для них могут браться из слитых баз данных различных сервисов, которыми вы пользуетесь.
Еще одна черта помимо безличного обращения — текст, похожий на машинный перевод. «Дорогой друг! Наш компания хотел бы предупредить Вас о взломанном аккаунте».
Помните легендарные кроссовки Abibas? Их дело живет. Мошенники, опять же рассчитывая на вашу невнимательность или незнание, делают ссылки с именами известных компаний или брендов с небольшим изменением: aplle.com или qoogle.com (не переходите по этим адресам!).
Чтобы реже встречать в ящиках спам и фишинговые письма, люди пользуются спам-фильтрами. Они срабатывают на слова, характерные для такого рода корреспонденции. Для того, чтобы обойти фильтры, мошенники сознательно изменяют слова и пишут с ошибками. Допустим: «отправьтепароль». Или так: «отправте пароль». К сожалению, во втором случае не для всех очевидно, что не так.
Вам может прийти письмо от банка с предупреждением о взломе аккаунта. Чтобы поменять логин и пароль нужно срочно перейти по ссылке в письме и ввести старые логин и пароль. Такое письмо однозначно фишинговое. Ни один банк, сервис, доставка, служба — никто, кто не хочет вас обмануть, не станет спрашивать ваши пароль и логин. Они нужны только для входа в личный кабинет.
Мошенникам важно, чтобы вы не начали думать. Из-за этого они часто используют срочность. В письме будет какое-нибудь «последнее предупреждение», «срочная проверка», «скорая блокировка» или «внезапный выигрыш». И действие от вас будет требоваться немедленно, прямо сейчас.
Вам пришло письмо от банка, в котором говорится, что ваш пароль взломан, и вам срочно нужно перейти по ссылке, чтобы сменить его. Если вы наведете курсор на ссылку (НЕ НАЖИМАЯ!), то внизу слева в браузере увидите адрес, на который реально ведет ссылка. Если настоящий адрес банка выглядит так: https://имябанка.ру/сброспароля, то фишинговая ссылка будет представлять собой что-то вроде: https://имя.банка.ру. или https://имябанка.левыйадрес.ру.
Наверное, не все уже помнят трогательные письма от Бакаре Тунде — брата первого нигерийского астронавта, которого не забрали с орбиты и который уже 30 лет смотрит на нас оттуда и ждет, когда отзывчивый гражданин поможет перевести деньги Роскосмосу, чтобы космонавта спустили обратно в Африку. Естественно, с финансовым участием гражданина.
Астронавт — не единственный персонаж. Были также принцы, принцессы, дети беглых политиков. Одного такого принца Forbesв 2006 году поставил в список самых богатых вымышленных персонажей с состоянием в 2,8 миллиарда долларов. Так что ему уже, наверное, хватит. Будьте бдительны и не кормите мошенников!
Полное руководство по фишинговым атакам
С самого момента изобретения электронной почты фишинговые атаки преследуют как частные лица, так и организации, со временем становясь всё более изощренными и замаскированными. Фишинговая атака — один их распространенных способов, используемых хакерами для проникновения в учетные записи и сети своих жертв. По данным Symantec, каждое двухтысячное письмо является фишинговым, а это значит, что ежедневно совершается порядка 135 миллионов атак.
И хотя фишинговые атаки уже давно не редкость, в кризисные времена их количество резко возрастает. Мошенники пользуются хаосом и неразберихой, вызванной последними событиями. В такие времена многие ожидают писем из официальных источников, таких как экспертные организации, страховые компании или правительственные учреждения. Это дает преступникам отличную возможность маскировать свои вредоносные рассылки под письма из официальных источников. Эти, на первый взгляд, безобидные письма перенаправляют пользователей на мошеннические сайты, чтобы обманом побудить их ввести конфиденциальную информацию.
Что такое фишинг?
Простыми словами, фишинг — это тактика рассылки мошеннических электронных писем и попытка обманом заставить получателей нажать на вредоносную ссылку или скачать зараженное вложение, чтобы затем украсть их личную информацию. Эти письма могут выглядеть как сообщения из вполне респектабельных источников: торговых компаний, банков, а также лиц или команд в вашей собственной организации, например, из отдела кадров, от вашего руководителя или даже генерального директора.
Если ваши сотрудники не могут распознать признаки фишинга, под угрозой находится вся ваша организация. Согласно исследованию Verizon, среднее время, необходимое первой жертве широкомасштабной фишинговой рассылки, чтобы открыть вредоносное письмо, составило 16 минут, а на то, чтобы сообщить о фишинговой кампании в отдел информационной безопасности, ушло вдвое больше времени — 33 минуты.
Учитывая, что 91% киберпреступлений начинается именно с успешной фишинговой рассылки по электронной почте, эти 17 минут могут обернуться для вашей компании катастрофой.
Методы фишинговых атак
Как уже упоминалось, большинство, если не все фишинговые атаки начинаются с электронного письма, которое выглядит так, будто его отправил вполне законный источник, однако последующие способы атаки и проникновения могут быть различными. Некоторые способы достаточно просты и заключаются в том, чтобы обманом вынудить пользователя нажать на ссылку и ввести конфиденциальную информацию, другие же более изощренные, например, запуск исполняемого файла, который имитирует настоящий процесс и получает доступ к компьютеру и сети жертвы, чтобы незаметно запустить там вредоносную программу.
Обычно во время фишинговой атаки для обмана жертвы используется сразу несколько приемов. Например, нередко мошенники используют манипуляции с ссылками и подделку веб-сайтов, что в комбинации придает их действиям максимальную убедительность. Первое, что вы видите при получении фишингового электронного письма, — правдоподобно выглядящую ссылку, которая ведет на часто используемый и не вызывающий подозрений сайт, такой как Facebook, Amazon или YouTube, а также сообщение, под разными поводами призывающее вас перейти по этой ссылке. Эти сообщения будут предлагать пользователям ввести конфиденциальную информацию, утверждая, что с их учетной записью или заказом возникла проблема, которую необходимо решить. Именно на этом этапе в игру вступает следующий прием — подделка веб-сайтов.
Хотя на первый взгляд ссылка может выглядеть совсем как легитимный веб-сайт, скажем, «amazon.com», при внимательном рассмотрении можно обнаружить небольшие несоответствия или нестыковки, раскрывающие истинную природу ссылки. Создание таких мошеннических доменов, близких по написанию к известным сайтам, называется тайпсквоттингом. Эти вредоносные сайты во всем максимально похожи на реальные страницы, и ничего не подозревающие пользователи могут ввести на них свои учетные данные. Хакеры же получают возможность ввести украденные данные на настоящем сайте.
Также хакеры часто прикрепляют не вызывающий подозрений файл или добавляют ссылку, при нажатии на которую будет тайно загружено вредоносное программное обеспечение, которое внедрится в систему жертвы. Эти атаки часто внедряют вредоносную программу, маскирующуюся под настоящий исполняемый файл. Работая в фоновом режиме, такая программа будет перемещаться в сети пользователя с целью кражи конфиденциальной информации, такой как банковские счета, номера социального страхования, учетные данные пользователей и многое другое. Иногда вредоносное программное обеспечение включает программу-вымогатель, которая пробирается через сеть жертвы, шифруя и перемещая конфиденциальные данные для хранения с целью выкупа.
Типы фишинговых атак
Наиболее популярный среди фишинговых мошенников метод атаки заключается в создании максимально широкого охвата. Они рассылают стандартные электронные письма от имени известных сайтов максимально возможному количеству адресатов в надежде, что кто-нибудь клюнет на их уловки. Это эффективный, но не единственный метод поймать жертву на крючок. Некоторые киберпреступники для достижения своих целей используют более точные методы, например адресный (целевой) фишинг, клон-фишинг и уэйлинг.
Адресный фишинг и уэйлинг
Как и в обычных фишинговых атаках, в адресном (целевом) фишинге и уэйлинге для обмана жертв используются электронные письма из надежных источников. Однако вместо массовой рассылки множеству получателей адресный фишинг нацелен на конкретных лиц или выдает себя за вызывающее доверие лицо для кражи учетных данных или информации.
Подобно адресному фишингу, уэйлинг (дословно — «охота на китов») направлен на конкретное высокопоставленное лицо. Вместо того, чтобы нацеливаться на широкую группу, такую как отдел или команда, злоумышленники направляют своего внутреннего капитана Ахава на высокоуровневые цели — руководителей и влиятельных лиц — в надежде поразить своего белого кита.
«Охотники на китов» стремятся выдать себя за высшее руководство, например генерального директора, финансового директора или начальника отдела кадров, чтобы убедить членов организации раскрыть конфиденциальную информацию, представляющую для злоумышленников ценность.
Чтобы уэйлинг увенчался успехом, злоумышленники должны намного лучше изучить свою жертву по сравнению с обычным фишингом, чтобы выглядеть как можно достовернее. Злоумышленники рассчитывают воспользоваться авторитетом руководителя, за которого себя выдают, чтобы убедить сотрудников или других руководителей не проверять и не подвергать сомнению их запросы.
Во время работы в предыдущей компании я также стал целью уэйлинга: мошенник, выдававший себя за моего генерального директора, просил дать свой номер телефона, чтобы он мог позвонить мне и попросить об услуге. К счастью, в письме было много явных признаков мошенничества. Самым очевидным было то, что офис генерального директора находился всего нескольких шагах от моего стола, так что он мог бы легко подойти, если бы я ему понадобился!
Клон-фишинг
Клон-фишинг не такой изобретательный как адресный фишинг или уэйлинг, но от этого не менее эффективный. Этому методу атаки присущи все основные элементы фишингового мошенничества, а разница заключается в том, что вместо того, чтобы выдать себя за пользователя или организацию с конкретным запросом, злоумышленники копируют реальное электронное письмо, которое ранее было отправлено легитимной организацией. Затем хакеры используют манипуляции со ссылками для подмены реальной ссылки из исходного электронного письма и перенаправления жертвы на мошеннический сайт. Там они обманом пытаются заставить пользователей ввести учетные данные, которые злоумышленники будут использовать на реальном сайте.
Примеры мошенничества с электронной почтой
Мошенники часто подделывают официальные электронные письма от розничных продавцов, таких как Amazon или Walmart, утверждая, что пользователю необходимо ввести свои учетные данные или платежную информацию для выполнения заказа. Ссылки в электронном письме приведут вас на целевую страницу, выглядящую как настоящая, где вы сможете ввести конфиденциальную информацию.
С развитием электронной коммерции, а также в условиях пандемии количество интернет-покупок достигло невиданных масштабов, а значит у мошенников прибавилось работы. В период праздников, когда все массово покупают подарки, количество таких мошенников растет в геометрической прогрессии. Многие люди делают столько покупок, что перестают задумываться и замечать, что с их заказом что-то не так.
Примером фишингового мошенничества, которое набрало обороты в праздничный сезон 2020 года, является поддельное электронное письмо от Amazon, информирующее клиентов о необходимости войти в систему, чтобы обновить платежную информацию и адрес для выполнения заказа.
(Источник)
Лично я постоянно получаю электронные письма от Amazon о доставке, датах прибытия, подтверждениях и прочем. Если бы я не знал, на что обращать внимание для определения фишинга, я бы легко попался на уловки мошенников.
Анатомия фишинговых писем
Мы выделили наиболее распространенные элементы, присущие фишинговым письмам. Ознакомьтесь с нашей полной инфографикой, чтобы проверить свои знания.
Фишинговые рассылки обычно нацелены на создание ощущения срочности и используют напористые выражения и тактику запугивания, начиная с темы письма.
Отправитель / поле «От»
Мошенники будут создавать впечатление, что электронное письмо отправлено официальным лицом из известной компании, например службой поддержки клиентов. Однако при более внимательном рассмотрении можно увидеть, что и имя отправителя, и адрес электронной почты являются подделкой и не принадлежат этой компании.
Получатель / поле «Кому»
Фишинговые электронные письма часто обезличены, в них к получателю обращаются как к «пользователю» или «клиенту».
Тело письма
Как и в теме письма, в основном тексте зачастую используются выражения, создающие ощущение срочности. Они побуждают читателя действовать, не задумываясь. Фишинговые письма также часто содержат как грамматические, так и пунктуационные ошибки.
Вредоносная ссылка
Подозрительная ссылка — один из главных элементов фишинговых писем, их «полезная нагрузка». Эти ссылки часто сокращаются (с помощью bit.ly или аналогичной службы) или отформатированы, чтобы выглядеть как реальная ссылка от настоящей компании и соответствовать сообщению поддельного электронного письма.
Тактика запугивания
Помимо создания ощущения срочности в фишинговых письмах часто используется тактика запугивания, рассчитанная на то, что читатели перейдут по вредоносной ссылке из-за тревоги или замешательства.
Подпись в конце письма
Как и в случае с приветствием, подпись в конце фишингового электронного письма часто является безличной — обычно указано общее название службы поддержки клиентов, а не имя человека, и соответствующая контактная информация отсутствует.
Нижний колонтитул письма
Нижний колонтитул фишингового электронного письма часто содержит явные признаки подделки, включая неверную дату регистрации авторского права или адрес, не соответствующий расположению настоящей компании.
Вредоносный сайт
Как правило, нажатие на ссылку в фишинговом письме приведет вас на вредоносный сайт.
Как не стать жертвой атаки
Лучшая защита от фишинга — знания. Злоумышленники, занимающиеся фишингом, стремятся выглядеть как можно более убедительно, но зачастую их можно раскрыть по контрольным признакам. Обязательное регулярное обучение основам информационной безопасности и социальной инженерии — это отличный способ предотвращения, который поможет вашей организации выявлять признаки вредоносных электронных писем.
Вот на что нужно обращать внимание каждый раз, когда вы получаете электронное письмо с просьбой нажать на ссылку, загрузить файл или указать свои учетные данные, даже если кажется, что письмо пришло из надежного источника:
Не попадайтесь на уловки
Знание — сила, особенно когда речь идет о защите от фишинга. Чтобы задумка мошенников увенчалась успехом, вы должны попасться на их уловки. Даже если вы считаете себя экспертом по выявлению фишинга, нельзя терять бдительности, ведь опасность может таиться за каждой ссылкой. С течением времени фишинговое мошенничество и электронные письма злоумышленников будут становиться все более изощренными и трудноотличимыми от настоящих.
Пока наша повседневная жизнь тесно связана с цифровыми технологиями и интернетом, хакеры всегда будут рядом, пытаться использовать невинных людей для получения финансовой выгоды. Лучший способ оставаться в безопасности и быть в курсе всех событий — продолжать изучать самые современные формы фишингового мошенничества.