Эксперты RSA обнаружили itw готовый комплект для фишинга, использующий нечто вроде белого списка – ограниченного перечня email-адресов, по которому распространяются URL поддельных страниц.
По данным RSA, в минувшем году фишеры провели свыше 445 тыс. атак, на 59% больше, чем в предыдущем. Эти атаки обошлись мировой экономике в 1,5 с лишним млрд. долларов, что на 22% выше прежнего показателя. Фишерский инструментарий постоянно совершенствуется: в 2012 г. на черном рынке появились специальные плагины для проверки работоспособности краденых идентификаторов в реальном времени, а также для составления отчетов об эффективности фишинговых рассылок с помощью легальных аналитических сервисов. Новый необычный инструмент, обнаруженный экспертами, – лишнее доказательство тому, что фишеры сделали ставку на технический прогресс.
Этот тулкит позволяет атаковать мишени с высокой точностью, оперируя готовыми списками потенциальных жертв. Для каждого получателя фишингового сообщения генерируется личный идентификатор, который встраивается в URL, приведенный в теле письма, и впоследствии служит пропуском на страницу-ловушку. При попытке вызова целевой страницы этот персональный идентификатор сверяется с заданным списком. Для посетителей, включенных в список, тулкит на лету, прямо на взломанном сайте, создает фишинговую страницу, всем прочим воспроизводится сообщение “ошибка 404”. Данные, введенные визитером на фишинговой странице, отсылаются на другой веб-сайт, также контролируемый злоумышленниками. Подобная схема позволяет фишерам получать только нужную информацию, а также продлить время жизни страниц-ловушек посредством ограничения доступа.
RSA зафиксировала несколько фишинговых кампаний, использующих “белые списки” потенциальных жертв – клиентов южноафриканских, австралийских и малазийских банков. Число мишеней каждой из этих кампаний в среднем составило 3 тысячи. По свидетельству экспертов, списки получателей писем-приманок формировались на основе алфавитной выборки, каждый список, как правило, включал имена, начинающиеся на одну и ту же букву. Разнообразие мишеней – списки содержали адреса бесплатной почты, корпоративных и банковских серверов – позволило исследователям предположить, что они были собраны по спамерским базам или хакерским коллекциям.
Помимо функционала, связанного с “белыми списками”, в новом творении злоумышленников реализованы уже известные технологии. Один из его компонентов позволяет отыскивать незакрытые уязвимости в платформе WordPress, другой – устанавливать административный контроль над взломанным сайтом. По мнению экспертов, новый тулкит не преминет привлечь внимание хакеров, специализирующихся на целевых атаках. Его можно легко приспособить для проведения spear phishing рассылок, обычно предваряющих враждебное вторжение во внутреннюю сеть организации.
Фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.
Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».
