Фишинговые методы сходства, различия и тенденции. Часть первая массовый фишинг unicc credit card, fullz shop list

Термин «фишинг» (phishing) происходит от английского слова «fishing» (ловить рыбу, рыбачить), поскольку механизм атаки напоминает рыбалку. Злоумышленник, выступающий от имени банка или другого известного сервиса (например, PayPal или Facebook), требует от вас ввести конфиденциальные данные якобы с целью их проверки и обновления информации об ученой записи.
Введение
Термин «фишинг» (phishing) происходит от английского слова «fishing» (ловить рыбу, рыбачить), поскольку механизм атаки напоминает рыбалку. Злоумышленник, выступающий от имени банка или другого известного сервиса (например, PayPal или Facebook), требует от вас ввести конфиденциальные данные якобы с целью их проверки и обновления информации об ученой записи. Другой вариант: злоумышленник сообщает, что от имени вашей учетной записи была замечена подозрительная активность, и вы должны «доказать», что являетесь владельцем аккаунта. Таким образом, атакующий закидывает «приманку» в огромное море Интернет-пользователей, получает личную информацию, добровольно (в большинстве случаев) переданную пользователем, и использует ее в злонамеренных целях: будь то кража личных данных, мошенничество с кредитными картами и т. д. Перед вхождением в обиход термина «фишинг» использовался символ <><, по своей структуре напоминающий рыбу. Позже символ <>< упоминался не только при краже информации об учетных записях и кредитных картах, но и других мошеннических действиях.
Комбинация букв «ph» в слове «phishing», скорее всего, добавлена для связи фишеров андерграунд-сообществом фрикеров, состоящим из хакеров первой волны. Фрикеры – это не только те, кто изучают и исследуют телекоммуникационные системы, но и те, кто использует полученные знания в мошеннических, злонамеренных и других незаконных деяниях.
Существует два вида атак, связанных с фишингом. В первом типе атак происходит отправка фишингового сообщения с целью получения конфиденциальной информации. (1) Злоумышленник может передать сообщение через электронную почту или программу для мгновенного обмена сообщениями. Также для получения информации атакующий может использовать вредоносную программу (например, кейлоггер или троян), либо поисковые системы для поиска телефонного номера и развода жертвы по телефону. Во втором типе атак используются техники так называемого целенаправленного фишинга (2). Типичные примеры целенаправленного фишинга: получение информации о высокопоставленных лицах (whaling), создание клонов email-сообщений (clone phishing) или принуждение жертвы к совершению переводов на фальшивый банковский счет (reverse-phishing). В этой статье основное внимание будет уделено методам целевого фишинга.
Объекты исследования этой статьи
У всех фишеров одна единственная цель – сбор персональной и конфиденциальной информации и использование ее для получения материальной выгоды. Хотя фишеры стараются собирать различные типы информации в зависимости от способа атаки, реализуемой ими. К примеру, при простейшей форме фишинга злоумышленники в основном стремятся получить информацию о кредитной/дебетовой карт. В случае целевого фишинга (и охоте на высокопоставленных лиц) целью злоумышленников могут быть секретные правительственные документы, объекты интеллектуальной собственности фирмы, список клиентов или сотрудников; злоумышленник может быть членом конкурирующей компании или правительства или быть нанятым ими. Затем полученная информация может либо использоваться в злонамеренных целях, либо быть продана на черном рынке.
Подобные промежуточные цели рассматриваются в настоящем документе наряду с другими вещами: тип и качество информации, которую злоумышленник должен получить для реализации атаки, как получается подобная информация, предпочтительный метод реализации определенной техники, типы жертв, искомые различными техниками, а также различные требования, которые необходимы для реализации атак, чтобы действия фишера были «успешны» (например, фарминг).
Все вышеупомянутые понятия являются объектами исследования, показывающие, в чем сходство и различие фишинговых техник.
Также показаны текущие тенденции в области фишинга с объяснением, почему определенная техника и метод становится более или менее популярной.
Массовый фишинг
Наиболее распространенная форма фишинга из упоминаемых выше – массовый фишинг, поскольку в данном виде атаки отсутствую конкретные цели и используется мошеннический метод социальной инженерии против множества людей. Таким образом, при данном виде фишинга нет необходимости в сборе информации, так как атакующий маскирует свое сообщение будто бы посылаемое от представителя популярного/всемирно известного бренда.
Фактически, лишь малая часть этих людей будет клиентом банка, авиакомпании, Интернет-магазина или пользоваться социальными сетями или любой другой службой, от имени которой рассылаются письма. Однако небольшая часть все же откроет присланное сообщение, проследует по ссылке или откроет вложение.
К примеру, люди, не пользующиеся платежной системой PayPal проигнорируют фишинговое сообщение, когда злоумышленник выдает себя за сотрудника PayPal. Предположительно открываются 3% фишинговых сообщений, в то время как 8 человек из 100 тысяч передают конфиденциальную информацию фишерам или устанавливают вредоносную программу, которая позволяют злоумышленнику получить доступ к этой информации.
В случае с массовым фишингом технологии по созданию черных списков в антивирусах и браузерах отчасти эффективны и могут снизить шансы мошенничества в будущем, однако, в случае изощренного целенаправленного фишинга подобные методы не особо пригодны, поскольку целевые атаки заточены под конкретную жертву, и обнаружить их намного труднее. Именно поэтому, считается, что массовый фишинг остался в прошлом, а целевой фишинг, как говорят многие, становится все более популярен. Об этом виде фишинга мы поговорим во второй части данной статьи.
Упомянутые выше антифишинговые черные списки предотвращают лишь небольшой процент угроз в первый час. В первой половине 2012 года среднее время жизни фишингового веб-сайта было примерно 23 часа 10 минут, однако это не означает, что злоумышленники оставили свои попытки. Просто происходит смена веб-сайта или подделывается другой поставщик услуг.
23 часа вполне достаточно для рассылки множества сообщений и обмана людей. К примеру, при массовой фишинговой атаке от имени Nacha, ассоциации по электронным платежам, рассылалось 167 миллионов в день. В течение нескольких лет, злоумышленники, использующие массовый фишинг, приспособились к медленно обновляющимся черным списком при помощи утилит наподобие «Bouncer» (которые добавляют уникальный ID к каждому письму, отсылаемому жертве) и других инструментов и методов, так, чтобы увеличить время жизни фишинговых методов и, соответственно, получить больше прибыли. Предположительно, себестоимость фишинговой кампании составляет около 2000 долларов, а прибыль – 14000 долларов.
В настоящее время массовый фишинг имеет тенденцию представлять популярные и всемирно известные веб-сайты и бренды для увеличения шансов на успех. Эта тенденция неуклонно растет. В следующей таблице представлены 10 самых популярных брендов, используемых фишерами в январе 2012 года.
10 брендов, пользующихся наибольшей популярностью у фишеров (по убыванию популярности)
Имя бренда
Сфера деятельности
1
Paypal
Электронные платежи
2
Facebook
Социальная сеть
3
TAM Airlines
Бразильские авиалинии
4
Santander
Группа банков
5
MasterCard
Международная корпорация, предоставляющая финансовые услуги
6
Cielo
Бразильский оператор кредитных карт
7
AOL
Разрабатывает, выращивает и инвестирует в бренды и веб-сайты (а также электронную коммерцию)
8
Posteitaliane
Подконтрольная государству итальянская почтовая служба; также предоставляет финансовые услуги и т. д.
9
Bradesco
Компания в Бразилии, представляющая банковские и финансовые сервисы
10
JPMorganChase
Международная банковская корпорация
Как видно из таблицы, в январе 2012 большой популярностью у фишеров пользовались бразильские компании. В общем, только одним объединением APGW в январе 2012 года было обнаружено 53225 уникальных веб-сайтов и получено 25444 отчетов о фишинговых электронных письмах. Только в первом квартале 2012 года около 400 различных брендов использовали фишеры в своих атаках.
Некоторые бренды, пользующиеся наибольшей популярностью у фишеров, меняются каждый месяц и, таким образом, не факт, что статистика по предыдущему месяцу будет такой же в следующем месяце, хотя частота использования некоторых брендов относительно статична. Если веб-сайт популярен, всемирно известен и может принести злоумышленнику материальную выгоду, весьма вероятно, что этот веб-сайт будет использоваться для фишинга (например, PayPal). Статистика показывает, что количество брендов, используемых фишерами, постепенно снижается, и увеличивается количество попыток от имени популярных и всемирно известных брендов.
Как правило, на 20 самых часто используемых брендов приходится 50% фишинговых писем (во второй половине 2011 года на 20 самых часто используемых брендов приходилось 78% всех фишинговых писем).
В январе 2013 года произошло снижение массовой доли фишинговых писем (1 фишинговое письмо на 508,6 писем) по сравнению с декабрем 2012 года (1 фишинговое письмо на 377,4 писем). На основе этого можно утверждать, что в 2013 будет продолжаться снижение доли массового фишинга из-за того, что злоумышленники сосредоточатся на использовании техник целевого фишинга (или даже на получении данных о высокопоставленных лицах), так как писем требуется меньше, и они являются адресными. К тому же, от совершения подобных атак фишеры получают больший процент прибыли на единицу инвестиций.
В большинстве случаев цель массового фишинга – получение быстрой прибыли. Фишеры стремятся получить либо информацию о вашей кредитной/дебетовой карты, счета в банке или любой другой финансовой организации в Интернете, а затем украсть ваши деньги, либо получить конфиденциальные данные. Кража конфиденциальных данных еще более серьезная угроза, поскольку злоумышленник, используя их, может взять кредит и испортить вашу кредитную историю, украсть деньги с банковского счета, использовать сервисы от вашего имени (телефон, Интернет и т.п.), открыть новый банковский счет, используя вашу персональную информацию для создания поддельных чеков и использовать их при получения займов (например, для покупки автомобиля). Также фишер может от вашего имени оплачивать билеты, счета и многое другое. Таким образом, последствия от массового фишинга могут быть весьма и весьма печальными.
Для кражи информации о банковском счете или конфиденциальных данных, фишер может собрать следующую информацию:
Сообщения, рассылаемые при массовом фишинге, обычно не содержат вашего имени, а начинаются примерно так: «Дорогой Клиент», «Дорогой Пользователь», «Дорогой Партнер» или похожее обращение.
Не следует ожидать индивидуального электронного сообщения и вообще ничего, что относится к вашей персоне. Ваш банковский счет также не будет указан, поскольку злоумышленники рассылают подобные письма в больших количествах и, скорее всего, не обладают подобной информацией.
Большинство киберпреступлений трудны в подготовке и реализации, однако массовый фишинг не относится к их числу. Человек с относительно низким уровнем технических знаний может легко реализовать подобную атаку и получить прибыль. Плюс к этому, затраты на одиночную кампанию массового фишинга обычно составляют около 2000 долларов и доступны даже начинающим.
Кажется, популярность массового фишинга начинает спадать, поскольку более изощренные виды фишинга (например, целевой фишинг) более успешны и, соответственно, приносят злоумышленнику больше прибыли. Также кампании массового фишинга очень быстро отлавливаются и заносятся в черный список (их срок жизни обычно менее дня). Еще один фактор: люди становятся более подкованными по вопросам киберпреступлений.
Иногда принуждение жертвы к немедленным действиям не является столь необходимым для реализации кампании по массовому фишингу, хотя этот метод используется наиболее часто, поскольку основан на страхе жертвы, вследствие чего пользователь принимает поспешные и необдуманные решения. Злоумышленники могут не принуждать жертву к немедленным действиям, как в большинстве случаев (например, заявляя о том, что учетная запись будет удалена, если вы не откроете ссылку или не заполните форму; или ваша учетная запись заморожена, и вам необходимо выполнить вышеупомянутые действия, чтобы решить эту проблему). К примеру, жертве могут сообщить о «выигрыше» или попросить помощи, от которых она получит огромную выгоду.
Например, массовая рассылка от имени компании Brazil TAM Airlines извещала потенциальных жертв о выигрыше 10000 миль (которые можно было бы, если бы они были реальными, бесплатно использовать для путешествий на расстояние в 10000 миль) и содержала промо-код, который необходимо ввести по ссылке, указанной в письме. Ссылка ведет на поддельный веб-сайт авиалиний, где необходимо ввести имя пользователь и пароль «перед» получением приза. Когда злоумышленники получают логин и пароль, то использую эту информацию для покупки билетов и других вещей.
Кроме того, на смену техническим знаниям вполне может прийти креативность и фантазия злоумышленников. Это подтверждают печально известные нигерийские мошенники, орудующие с 80-х годов, некоторые из которых трансформировались в фишеров. Как правило, в нигерийских письмах создается ощущение «удачливости и счастливого случая» вместо принуждения жертвы к немедленным действиям.
В большинстве случаев будет использоваться одна из двух вышеупомянутых схем, хотя также фишер может выступать от имени солидной организации, которая собирает мнения, отзывы, рекомендации или нечто похожее, не относящееся к двум ранее упомянутым схемам. Однако в этом случае злоумышленник все равно обманом стремится получить конфиденциальные данные.
Что же касается первых двух методов, то при проведении массового фишинга стали широко использоваться наборы различных инструментов: заготовки страниц и электронных сообщений под популярные и/или всемирно известные бренды, скрипты на разных языках, необходимые для обработки данных, веб-хостинг, списки прокси-серверов и серверов для рассылки писем.
Некоторые службы веб-хостинга заявляют о невозможности своего отключения государственными органами.
Подобные наборы утилит используются многими фишерами и в особенности фишерами, которые занимаются массовыми рассылками, поскольку они не требуют большой технической компетенции и даже новички, используя их, получают прибыль.
Отсюда следует, что исследование этих инструментов может дать ценные сведения о тактиках, реализуемых при массовом фишинге для обмана случайных Интернет-пользователей.
Наиболее распространенный способ рассылки фишинговых сообщений через электронную почту, однако также могут использоваться программы по обмену мгновенными сообщениями. Более того, фишер может использовать обычный телефон (хотя все-таки злоумышленники склонны использовать Интернет-программы для голосовых коммуникаций для звонков на телефонные номера косвенным методом, например, через Skype). Такой способ обмана называется «вишинг» (vishing).
В следующей части мы поговорим о целевом фишинге, фишинге против высокопоставленных лиц (whaling), а также reverse-фишинге, вишинге и clone-фишинге.
Ссылки:
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
unicc credit card fullz shop list