Фишинг – один из видов интернет мошенничества

Казахстан на 7 месте в глобальном рейтинге по количеству кибератак. Им подверглись более 92% компаний. За первый квартал 2023 года злоумышленники нанесли ущерб государству и населению на 80 млрд тенге, для сравнения за весь 2021 год эта цифра составила 110 млрд тенге. По словам генеральный директор MSSP Global Даурена Салипова, каждый 4-й смартфон в Казахстане заражен тем или иным вредоносным вирусом. О видах атак и кейсах, которые встречались в практике, он рассказал на конференции «FCBK UFC: Ultimate Fraud Control», передает Toppress.kz.

“В матрице MITRE ATT&CK (база с тактиками, техниками и общеизвестными фактами о злоумышленниках) с 2019 года количество техник из 244 трансформировалось в 196, но теперь они включают 411 субтехник (по состоянию на третий квартал 2023 года). Фишинг используется в 60% кибератак”, – проинформировал он.

В своём выступлении Даурен Салипов предупредил, что кейсы основаны на казахстанских и мировых случаях, но имена и количество некоторых показателей изменены.

“Что бы ни делали банки и НФО, если люди будут допускать попадание на крючок мошенника, то объявления о продаже слитых персональных данных, банковских аккаунтах, биржах, удостоверения можно будет найти и купить в сети”, – подчеркнул он, говоря о защите самих организаций.

По его словам, фишинг – это вид интернет-мошенничества, цель которого – получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

“Самый традиционный – имеил-фишинг, то есть рассылка на почту с вредоносным файлом или ссылкой”, – сказал эксперт.

Рассказывая об этом виде мошенничества, Даурен Салипов привёл пример из практики компании. Они должны были в рамках оказания услуг по тесту-проникновению, взломать инфраструктуру клиента, чтобы показать, её уязвимости, то есть получить доступ к компьютерам и хранящимся на них данным. Для этого специалисты применили собственно имейл-фишинг: от имени руководства данной организации были разосланы письма с целью открытия и запуска «вредоносного кода».

Браузеры, почтовые сети развиваются, и часто при скачивании могут выдавать окно «Файл неизвестен, вы точно хотите продолжить скачивание?». Для обхода этого в письме было указано «Нажмите продолжить скачивание». И каждый четвертый сотрудник данной организации скачал, тем самым удалось проникнуть в инфраструктуру клиента. Далее уже есть возможность скачать базу для продажи или использования, проникнуть дальше.

«Следующий вариант, который мы также в 2020 году использовали – это спам-фишинг. При спаме есть такие триггер-слова, которые отключают вашу безопасность, когда увидев эти слова вы нажмете на них. Это был кейс с зарубежным клиентом. Во время ковида мы использовали слова «ковид» и «HR». Люди думали, что там что-то интересное о том, как им быть, данные по удаленке. Они открывали письма и тем самым заражали свои конечные рабочие станции, в данном случае компьютеры», – добавил Даурен Салипов.

Вместе с тем, он отметил, что ещё одним из важных направлений в кибератаках является социальная инженерия.

«Мы вдохновились исследованиями Иленойского университета и решили в работе с нашим клиентом, это был холдинг, проработать такой вид атаки, как badUSB. Это такая флешка, которая выглядит как обычная флешка, но содержит в себе вредоносный вирус, который устанавливается на компьютер жертвы. Мы раскидали 135 флешек: просто оставили, отправили посылкой, например из магазина, на который была подписана сотрудница, или с цветами», – говорит эксперт.

Предпочтения и вкусы легко можно узнать из социальных сетей, а потом использовать для вхождения в доверие. И если к статистике по кейсу, то 65% сотрудников вставили эти флешки в свои компьютеры. При этом до этого для них была проведена специальная лекция о том, что нельзя пренебрегать правилами политик безопасности. Но сложно не согласиться – когда тебе что-то отправляют бесплатно, всегда хочется посмотреть.

Ещё один пример от Даурена Салипова был о крупной строительной компании из средней Азии. Необходимо было проникнуть в их достаточно хорошо защищенную инфраструктуру. Стратегия была той же: от имени другой крупной международной строительной компании отправили пригласительные. Их вложили в красивые коробочки, положили туда флешки, письма, сертификаты и отправили топ-менеджменту этой организации, то есть самым главным. В этом случае уже 88% попытались открыть флешку на компьютере.

“И самое интересное, что когда нашу флешку вставляешь, запускается просто командная строка, и некоторые из топов решили, что что-то не так, и с данной флешкой прошлись по кабинетам, заразив тем самым компьютеры коллег. Не только флешки в качестве физических носителей могут снимать информацию. Компьютер также надо проверять на наличие граберов – маленьких устройств-переходников, которые могут быть установлены в разъемы для мышки или клавиатуры”, – сообщил генеральный директор MSSP Global.

Следующий вид – вишинг (voice Phishing), когда вам звонят из колл-центра и говорят очень грамотно, красиво. По словам Даурена Салипова, каждый может это сделать – 20 долларов и звоните от имени любого банка, любой компании. С развитием LLM (Large Language Models), к ним можно отнести GPT-чат, этот механизм обмана выходит на более продвинутую ступень. Теперь обзвон совершают боты. Это дешевле, эффективнее и они могут работать 24/7. В целом результативность голосовых атак примерно на 20% выше, чем при обычной рассылке фишинговых писем.

SMS фишинг – это когда мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт. Входя на него и вводя свои личные данные, пользователь передает их злоумышленникам. Косвенно в этом участвуют наши операторы, которые позволяют выбрать аудиторию, которая мошеннику интересна через сервис для организации целевых рекламных кампаний.

Фишинг через поисковую выдачу – это о том ложном убеждении, что первая ссылка, которая вышла при запросе в интернете, ведёт нас на официальный сайт. Эта позиция может быть купленной, о чём в браузере, конечно, сообщается. Однако многие люди особенно в случае с онлайн-банкингом заходили по ней, вводили данные и теряли деньги.

Ещё один вид фишинга – spear phishing. Если вы даёте своему ребёнку телефон поиграть, то возможно ваши данные уже у мошенника. Этот приём использует таргетированную социальную инженерию. Как это работает? Например, в социальных сетях он видит рекламу игры, скачивает её по ссылке, а после установки у злоумышленника есть доступ ко всему – смс, контактам и т. д.

Каждый день множество новых угроз появляется в цифровом мире. Понимание рисков, обновление знаний, цифровая гигиена и активное внимание к собственной безопасности – вот ключи к успешной защите от кибермошенников. Приоритетом в цифровом обществе должна быть безопасность.