Детальний аналіз загроз фішингу: технічне інтерв'ю з Хаді Балтагі

Для тих, хто не знайомий з кібербезпекою, чи можете ви пояснити, що таке спірфішинг?

Спірфішинг, як і традиційний фішинг, має на меті викрасти конфіденційну інформацію від жертви, таку як паролі, дата народження або номери соціального страхування, для зловмисного використання. Однак, на відміну від загальних фішингових атак, спірфішинг є дуже цілеспрямованим. Він використовує конкретні дані про жертву, щоб підвищити достовірність повідомлення та збільшити шанси на успіх зловмисника.

Чи можете ви навести кілька прикладів цілеспрямованого фішингу?

Типовим прикладом атаки типу «спірфішинг» є ситуація, коли хакер видає себе за співробітника авторитетної компанії, послугами якої користується жертва. Зловмисник може надіслати електронного листа, в якому стверджує, що обліковий запис користувача буде незабаром заблоковано, і закликає його вжити негайних заходів, таких як зміна пароля, здійснення платежу або поповнення рахунку. Ця атака є переконливою, оскільки хакер вже знає, що жертва користується зазначеними послугами, тому його прохання здається законним.

Електронний лист може містити особисті дані, щоб підвищити довіру та спонукати користувача поділитися конфіденційною інформацією.

Чому спірфішинг є таким привабливим?

Спірфішинг є особливо небезпечним, оскільки це високо персоналізована та цілеспрямована форма атаки. На відміну від загальних фішингових листів, які починаються з фраз на кшталт «Шановний клієнте», повідомлення спірфішингу часто містять справжнє ім'я одержувача та особисту інформацію, таку як дата народження, історія покупок тощо. Така обізнаність знижує пильність одержувача та створює помилкову довіру.

Наприклад, зловмисник може написати:

«Привіт, Джоне, ми помітили нещодавній платіж у розмірі 245 доларів на твоєму рахунку PayPal. Будь ласка, підтвердь цю операцію, щоб уникнути перебоїв у наданні послуг».

Оскільки повідомлення містить конкретні деталі, користувач із більшою ймовірністю повірить у його справжність. Успіх spear phishing полягає в його правдоподібності. Багато користувачів не усвідомлюють, наскільки персоналізованими можуть бути ці атаки, і не готові їх розпізнати. В результаті вони частіше стають жертвами таких шахрайських дій, натискаючи на шкідливі посилання або передаючи конфіденційну інформацію електронною поштою чи SMS. Які методи використовують хакери для спірфішингу? Хакери використовують різні методи для здійснення атак типу «спірфішинг». Хоча найпоширенішим вектором є електронна пошта, зловмисники також використовують SMS (смішинг), голосові дзвінки (вішинг) і навіть прямі повідомлення в соціальних мережах, таких як Instagram або LinkedIn. Основна мета залишається незмінною: обдурити жертву, щоб вона розкрила конфіденційну інформацію. Зловмисники можуть видавати себе за надійних контактів, представників компанії або постачальників послуг, щоб завоювати довіру. Оскільки спірфішинг може здійснюватися через різні канали комунікації і є дуже індивідуалізованим для кожної жертви, його може бути складно виявити та захиститися від нього. Які найкращі заходи протидії спірфішингу? Найважливішим запобіжним заходом є перевірка особи відправника перед тим, як натискати на будь-які посилання або відповідати на повідомлення. Якщо ви отримали електронний лист:

– Перевірте адресу відправника

– Перевірте, чи немає помилок або граматичних помилок

– Перевірте, чи очікували ви це повідомлення Завжди будьте обережні і взаємодійте тільки з повідомленнями від надійних, перевірених джерел. Спірфішинг є успішним, коли зловмисники завойовують вашу довіру. —як тільки довіра встановлена, їм набагато легше успішно здійснювати подальші фішинг-атаки. Найкращим захистом є пильність і скептичне ставлення до несподіваних або незвичайних повідомлень. Чи можете ви розповісти про різні види фішингу? Існує кілька видів фішингу, найпоширенішим з яких є звичайна фішингова кампанія по електронній пошті, яку ми називаємо обманним фішингом. Обманний фішинг передбачає розсилку масових електронних листів — потенційно до 50 000 користувачів — з повідомленнями на кшталт «Шановний клієнте, вам потрібно змінити пароль PayPal», сподіваючись, що деякі одержувачі попадаються на цю приманку. Такі кампанії зазвичай мають успішність 3–10 %, якщо електронні листи обходять спам-фільтри.

Існує також спірфішинг — цілеспрямована кампанія проти конкретної особи, в якій хакери використовують особисту інформацію, яку вони знають про цю особу, щоб витягти більш конфіденційну інформацію. Наприклад, зловмисник може звернутися до когось у соціальних мережах із повідомленням на кшталт: «Привіт, ми помітили, що ви берете участь у кампанії [xxxxxx]. Ми є компанією, яка пропонує підтримку для цього — натисніть на це посилання, щоб дізнатися більше». Якщо ціль натисне на посилання, вона може несвідомо завантажити шкідливе програмне забезпечення або отримати запит на введення свого імені користувача та пароля Instagram. Цей метод, як правило, є більш ефективним, оскільки використовує особисту інформацію для швидкого встановлення довіри з жертвою. Китобійний вилов — це більш витончена і цілеспрямована форма спірфішингу, спрямована на високопоставлених осіб, яких зазвичай називають «китами», таких як генеральні директори, керівники або інші високопоставлені керівники компанії.

Якщо зловмисник успішно зламає обліковий запис однієї з цих осіб, наприклад, отримавши доступ до облікового запису генерального директора, він може видати себе за цю особу, щоб виманити конфіденційну інформацію в інших співробітників. Ці високоцінні цілі часто стають об'єктом фішингових кампаній, оскільки їх злом може надати адміністративний доступ до критично важливих систем в організації.

Існує також смфінг — фішинг-атака, що здійснюється за допомогою SMS. Наприклад, зловмисник може надіслати підроблений код двофакторної аутентифікації для WhatsApp, а потім надіслати користувачеві повідомлення: «Можливо, ви отримали цей код помилково. Він призначався для мене. Чи можете ви його надіслати назад?» Після того, як користувач надішле код, зловмисник отримає доступ до його WhatsApp, Instagram або будь-якого іншого облікового запису, захищеного двофакторною автентифікацією. Зловмисники також можуть підробляти повідомлення, видаючи себе за банк, і просити користувача натиснути на шкідливе посилання, щоб перевірити свій баланс або скинути пароль, а в результаті викрасти його облікові дані.

Нарешті, є ще вішинг, який здійснюється за допомогою голосових дзвінків. Наприклад, зловмисник може зателефонувати до мобільної мережі, видаючи себе за вас, і попросити змінити інформацію про ваш обліковий запис. Якщо йому вдасться переконати представника, він отримає доступ до ваших SMS-повідомлень, журналів дзвінків або будь-яких особистих даних, які зберігає організація. Більшість компаній не проводять ретельних перевірок по телефону, тому якщо зловмисник достатньо переконливий, він може скинути ваш обліковий запис, використовуючи лише свій голос. Фішинг є великою проблемою для багатьох. Чому, на вашу думку, це так? Фішинг є великою проблемою, тому що незалежно від того, наскільки високий рівень безпеки ви впроваджуєте, незалежно від розміру вашої компанії або кількості фахівців з безпеки, які у вас працюють, найслабшою ланкою завжди є людський фактор. Якщо зловмисник хоче отримати доступ до чогось у вашій компанії, наприклад до робочого простору Slack або системи електронної пошти, йому не обов'язково звертатися до вашої ІТ-команди. Він може вибрати ціллю когось із відділу маркетингу, хто не має технічних знань, необхідних для розпізнавання фішингу та захисту від нього. Якщо зловмисник зламає електронну пошту цієї людини, він отримає доступ до внутрішніх систем, зможе читати повідомлення і, можливо, проникне глибше в мережу. Фішинг є особливо небезпечним, оскільки він використовує соціальні елементи та людську вразливість. Ось чому так важливо навчити всіх співробітників, незалежно від їхньої ролі чи відділу, розуміти, що таке фішинг і як захиститися від нього. Як фішери вибирають своїх жертв? Фішери використовують різні методи для пошуку своїх жертв. Вони можуть зв'язуватися з ними через соціальні мережі, електронну пошту, SMS або навіть телефонні дзвінки. Іноді вони збирають особисту інформацію, дзвонячи в компанії, щоб дізнатися про вас, або підробляючи такі дані, як номер соціального страхування, номер телефону або адреса електронної пошти.

Наприклад, Якщо хакер отримає доступ до вашого облікового запису в соціальній мережі, він може використовувати його, щоб видавати себе за вас і надсилати вашим друзям повідомлення зі шкідливими посиланнями. Оскільки ваші друзі вірять, що це ви, вони більш схильні довіряти повідомленню, натискати на посилання і несвідомо ділитися своєю особистою та конфіденційною інформацією. Ця форма атаки працює, тому що люди довіряють повідомленням, які, як здається, надходять від когось, кого вони знають. Для тих, хто стурбований фішингом, що є найкращим захистом від нього? Ніколи не повідомляйте свій пароль іншим особам. Якщо вам потрібно змінити пароль, завжди переконайтеся, що ви перебуваєте на офіційному веб-сайті. Наприклад, якщо ви перебуваєте на Facebook, переконайтеся, що URL-адреса — facebook.com, перевірте, чи немає помилок або незначних орфографічних помилок, які можуть залишитися непоміченими, наприклад «faceb00k.com» або «facebok.com». Хакери часто використовують такі незначні помилки, щоб обдурити користувачів.

Коли ви отримуєте підозрілий електронний лист, наприклад, з проханням змінити пароль або поповнити рахунок, перевірте адресу відправника. Переконайтеся, що він надійшов із законного джерела, наприклад info@paypal.com, а не info@paylal.com або іншого домену з помилкою в написанні.

Зверніть увагу на:

• Орфографічні або граматичні помилки в повідомленні

• Незвичайні або невідповідні посилання (наведіть курсор на посилання, щоб побачити, куди вони ведуть)

• Дані відправника, які не відповідають організації

Якщо ви не впевнені в повідомленні або не довіряєте відправнику, не натискайте на жодні посилання та не надавайте жодної особистої інформації. Будьте пильні та перевіряйте джерела — це найкращий захист від фішингових кампаній.