Всякa онлайн атака включва и опит за кражба на идентификационни данни за подсигуряване на бъдещи акции. В началото на 2016 г. 93% от фишинг имейлите съдържат и криптовируси, сочи статистиката на PhishMe. И въпреки че компаниите редовно напомнят на потребителите да се пазят от фишинг атаки, много от тях наистина не знаят как да ги разпознаят. Една от причините за това е разнообразието от форми, които могат да приемат този тип кибер нападения. "Фишинг атаките идват във всякакви форми и размери, насочени към конкретни лица в рамките на една организация, които имат достъп до чувствителни данни", казва Шалаб Моан, отговарящ за сигурността на Area 1.

Потребителите са склонни да се хващат на фишинг атаките. Според доклад за киберсигурността на Verizon, нападател, изпращащ 10 фишинг имейла, има 90% шанс поне един от тях да успее. На пръв поглед тази статистика изглежда абсурдно, но когато се разглежда в контекста на потребителите извън технологичния канал, като тези в производството и образованието, тя придобива съвсем конкретни измерения. Добавете към това и факта, че не всички фишинг атаки работят по един и същ начин - някои от тях са генерични имейли, докато други са внимателно изработени, за да бъдат насочени към конкретен тип хора или организации.

Тук ще разгледаме различните видове фишинг атаки и как те могат да бъдат разпознати.

Какво представлява фишингът? Електронни съобщения за масовия пазар

Най-често срещаната форма на фишинг е общият, масово разпространяван тип, при който атакуващият изпраща имейл, като се представя с чужда самоличност и се опитва да накара получателя да извърши някакво обикновено действие като посещение в уебсайт или изтегляне на софтуер, който се оказва впоследствие злонамерен. Атаките често се основават на манипулирани имейли, подправени така, че съобщението да изглежда изпратено от доверен източник.

Фишинг атаките обаче не винаги изглеждат като съобщение за известяване за доставка на куриерска фирма, предупредително съобщение от PayPal за изтичане на пароли или имейл на Office 365 относно квотите за съхранение. Някои атаки са създадени, за да се насочат специално към организации и физически лица, а други разчитат на канали, различни от електронната поща.

Какво е spear фишинг? Атака срещу конкретни цели

Фишинг атаките получават името си от идеята, че измамници хвърлят въдиците си срещу произволни жертви, по подобие на риболова, като използват подправена електронна поща за стръв. Атаките от типа spear фишинг разширяват тази аналогия, тъй като нападателите са насочени към предварително селектирани жертви и организации с висока стойност. Вместо да се опитва да получи банкови данни за 1000 потребители, нападателят може да получи многократно повече, ако се насочи към шепа в аванс анализирани компании. Под заплаха са дори националните държави, защото атаката може да бъде насочена към служител, работещ в някоя правителствена агенция, и по този начин да бъде открадната секретна информация.

Spear фишинг атаките са изключително успешни, тъй като нападателите отделят много време за създаване на база данни със специфична за получателя информация, като например прихващане на кореспонденция за участие в дадена конференция и изпращане на злонамерен прикачен файл, чието съдържание създава асоциации за тема, от която се интересува получателят.

 В скорошна фишинг кампания група, наречена 74 (известни още като Sofact, APT28, Fancy Bear), таргетира професионалистите в киберсигурността с подправен имейл, свързан с конференцията Cyber Conflict - събитие, организирано от Кибер института на Военната академия на САЩ, Военната кибер академия и Центъра за върхови постижения в съвместната кибер защита на НАТО. И докато CyCon е истинска конференция, имейлът всъщност е документ, съдържащ зловреден макрос за Visual Basic for Applications (VBA), който ще изтегли и инсталира злонамерен разузнавателен софтуер, наречен Seduploader.

Какво представлява “китоловът” (whaling)? В преследване на големия

Различни жертви, различна заплата. Фишинг атаката, насочена конкретно към топ мениджърите на компаниите, се нарича “китолов” (whaling), тъй като жертвата има висока стойност и открадната информация ще бъде по-ценна от това, което обикновеният служител може да предложи. Информацията от акаунта на главен изпълнителен директор ще отвори повече врати, отколкото този на служител на входно ниво. Целта на този вид атаки е кражбата на данни, информация за служителите и пари в брой.

“Китоловът” също изисква допълнително разузнаване, тъй като нападателят трябва да знае с кого контактува набелязаната жертва и какви дискусии води. Примерите включват препратки към жалби на клиенти, правни призовки и др. Нападателите обикновено започват със социално инженерство, за да съберат достатъчно информация за жертвата и компанията, преди да създадат фишинг посланието, което ще бъде използвано в китоловната кампания.

 Какво представлява компрометираният бизнес имейл (BEC)? Атакуващият се представя за CEO

 Освен най-разпространените кампании за масов фишинг, кибер престъпниците се насочват към ключови фигури в отделите за финансови и счетоводни услуги чрез измами с компрометирани бизнес имейли (BEC) и такива, в които се представят за CEO. По този начин те се опитват да подмамят жертвите си да извършат парични преводи в определена сметка. 

Обикновено атакуващите компрометират имейл акаунта на старши изпълнителен или финансов служител, като експлоатират вече проникнала инфекция или чрез spear фишинг атака. Нападателят следи електронната дейност на набелязания висш служител за определен период от време, за да научи за процесите и процедурите в компанията. Действителната атака започва под формата на фалшив имейл, с вид на изпратен от компрометирания акаунт на CEO, до някой, който е редовен получател на подобни съобщения. Имейлът изглежда важен и неотложен и изисква от получателя да изпрати превод на непозната банкова сметка. Парите в крайна сметка се оказват в джоба на атакуващия.

Според ФБР измамите от типа BEC са генерирали повече от 4,5 милиарда долара загуби и са огромен глобален проблем.

Какво представлява клонинг фишингът? Копията са също толкова ефективни

Клонинг фишингът изисква нападателят да създаде почти идентична реплика на легитимно послание, за да измами жертвата, че е реална. Имейлът се изпраща от адрес, наподобяващ този на легитимен подател, а самото съобщение изглежда същото като при предходна комуникация. Единствената разлика е, че прикаченият файл или връзка в съобщението са заменени със злонамерена модификация. Нападателят може да изтъкне като причина изпращане на оригинал или актуализирана версия, за да аргументира защо жертвата получава едно и също съобщение два пъти.

Тази атака се основава на прихванато предишно легитимно послание, което повишава многократно вероятността потребителите да паднат в капана. Нападателят, който вече е заразил един потребител, може да използва тази техника срещу друг обект, който също е получил оригиналното съобщение. В друг вариант нападателят може да създаде клониран уеб сайт с фалшив домейн, за да измами жертвата.

Какво е гласов фишинг (vishing)? Фишинг по телефона

Каналът, по който се извършва гласовият фишинг, са телефонните IP услуги. Обикновено жертвата получава повикване с гласово съобщение, прикрито като съобщение от финансова институция. То може да поиска от получателя да се обади на номер и да въведе някаква лична информация, ПИН за сигурност или входна информация за други официални цели.

Известни са много случаи, в които измамниците се представят за представители на техническата поддръжка на Apple или HP, и предлагат на потребителите да се обадят, за да разрешат проблема със сигурността. Както и старата измама в техническата поддръжка на Windows, тези измами се възползват от страха на потребителите да не станат жертви на хакерска атака.

Какво е “снегоходство” (snowshoeing :)? Разпространение на отровни съобщения

“Снегоходството”, или спамът “удряй и бягай”, изисква нападателят да активира зловредните съобщения от няколко домейна и IP адреса. Всеки IP адрес изпраща малък обем съобщения, така че системите за филтриране на спам, базирани на репутация или обем, не могат веднага да разпознаят и блокират злонамерени съобщения. Някои от тях стигат до електронните пощи на жертвите, преди филтрите да успеят да ги блокират.

“Градушките” (hailstorm) функционират по сходен начин, с разликата, че съобщенията се изпращат за изключително кратък период от време. Някои атаки с градушка завършват веднага, след като антиспам инструментите ги прихванат и актуализират филтрите си, за да блокират бъдещи съобщения, но нападателите вече са преминали към следващата кампания.

Научете се да разпознавате различни видове фишинг

Потребителите невинаги осъзнават достатъчно добре последствията, които може да има една фишинг атака. Интелигентният потребител може да е в състояние да оцени риска от кликване върху връзка в имейл.

Един наивен потребител може да мисли, че нищо няма да се случи или най-много да завърши със спам реклами и изскачащи прозорци. Само най-добре разбиращите потребители могат да преценят потенциалните щети от кражбата на критична информация. Тази разлика в оценката на риска прави по-трудно потребителите да разберат сериозността на темата и важността на умението за разпознаване на злонамерени съобщения. "Въпреки продължаващите инвестиции, електронните писма за фишинг продължават да заобикалят периферните технологии, за да достигат до пощенските кутии на служителите в компаниите всеки ден", казва Ройт Белани, съосновател и главен изпълнителен директор на PhishMe.

Организациите трябва да обмислят съществуващите вътрешни кампании за осведоменост и да гарантират, че на служителите са дадени инструментите за разпознаване на различни видове атаки. Организациите също така трябва да засилят защитата си, тъй като някои от традиционните инструменти за сигурност на електронната поща - като например филтрите за спам - не са достатъчни за защита срещу някои видове фишинг. BEC, например.

Източник http://cio.bg