Русский
Русский
English
Статистика
Реклама

Phishing-as-a-Service доступный фишинг для всех желающих

image

Криминальные группировки используют для атак самые эффективные инструменты, которые позволяют быстро и с минимальными затратами получить желаемое: проникнуть в систему, запустить вредоносное ПО, похитить деньги. По данным исследований самым распространённым вектором атак остаётся фишинг направленные на людей кампании, в которых активно используется социальная инженерия.

Востребованность фишинга привела к появлению специализированных сервисов, предлагающих полный цикл услуг по созданию и реализации мошеннической атаки. За относительно небольшие деньги заказчик получает исследование целевой аудитории, разработку писем с учётом психологического портрета потенциальных жертв, а также инфраструктуру для проведения кампании. О том, как устроена услуга Phishing-as-a-Service (PhaaS), во сколько обходится её аренда и как защититься от мошенников, рассказывает Андрей Жаркевич, редактор ИБ-компании Антифишинг. Текст подготовлен по результатам интервью.

Как всё начиналось


В зачаточном виде услуга Phishing-as-a-Service появилась 10 лет назад в виде готового к использованию комплекта для проведения фишинговых атак Login Spoofer 2010, который предусматривал возможность работы из облака.

Это было совсем не то, что используют злоумышленники и их клиенты сейчас, но система позволяла создавать фишинговые сайты и распространялась бесплатно. Чтобы компенсировать отсутствие монетизации своего инструмента, разработчики тайком от доверчивых скрипт-киддис отправляли данные, проходившие через их инструмент, на свой сервер, а затем использовали в своих целях.

Позже появились честные сервисы, которые делают ровно то, что обещают клиентам.

Устройство PhaaS


Принцип разделения труда позволяет повысить производительность даже если речь идёт о нелегальных сферах деятельности. Благодаря PhaaS преступникам не приходится заниматься рутинными задачами, которые включают в себя:

  • Подготовительный этап: определение целевой аудитории, построение её психологического портрета, определение наиболее эффективной разновидности фишинга, которая будет использоваться мессенджеры, соцсети, электронная почта или вредоносная реклама.
  • Разработку фишингового послания. Письмо должно цеплять потенциальную жертву, чтобы ударить по базовым эмоциям и отключить рациональное мышление. Оформление и содержание послания должны быть реалистичными, чтобы в них поверила как можно большая часть целевой аудитории.
  • Создание инфраструктуры: сайта, который имитирует сайт реальной компании и ворует данные клиентов, вредоносного вложения, которое загружает полезную нагрузку для продолжения атаки.
  • Запуск кампании: рассылка сообщений выбранным способом, сбор данных, получение информации от полезной нагрузки или проникновение в целевую систему и шифрование данных. Это финальный этап, на котором злоумышленники получают нужный им результат.

Появление предложений фишинга как услуги привело к тому, что провести мошенническую кампанию стало также просто, как подписаться на Netflix. Клиенты киберпреступников получают следующие возможности:

  • Экономия средств. Стоимость фишинговых услуг определяется их масштабом и основной задачей, но в целом, это гораздо дешевле, чем готовить атаку самому.
  • Масштабируемость. Нужно отправить 10 фишинговых писем? Не проблема. Миллион? Нет проблем, только заплатите.
  • Постоянное обновление. Фишинговая инфраструктура обновляется, интегрирует новые технологии, которые помогают обходить защиту компаний и частных пользователей.
  • Доступность. Практически все сервисы имеют квалифицированную круглосуточную службу поддержки, которая общается на самых распространённых языках. В результате стать фишером может любой, кто готов заплатить.

Стоимость и распространённость


В прошлом году компания Cyren, занимающаяся информационной безопасностью, объявила об обнаружении примерно 5334 готовых к использованию Phishing-as-a-Service продуктов. Вот скриншот предложений одного из разработчиков вредоносного сервиса.



Как видим, стоит сервис недорого, предлагает богатый набор функций, да ещё и скидки для пользователей. Выглядит продукт очень профессионально, не хуже, чем предложения легальных сервисов. Никакого намёка на непрофессионализм, андеграунд и противозаконность. Цена же доступна для практически любой категории пользователей бери и работай.



Поддельный сайт Microsoft. использует домен microsoft.net и нормальный SSL-сертификат. Такой обман способен ввести в заблуждение даже технически подкованного пользователя.

Фишинговая кампания от профессионалов включает рассылку сообщений, создание мошеннических ресурсов, разработку методов маскировки ссылок.

Почему фишинг эффективен


Психологическая составляющая

Основная причина эффективности фишинга состоит в том, что он позволяет обходить самые продвинутые защитные системы, воздействуя на людей и на их базовые эмоции так, что они совершают действия, нужные преступникам. Это наглядно демонстрируют успешные кампании по компрометации деловой переписки (BEC), в ходе которых не используется ничего кроме текста.

Самые изощрённые методы маскировки фишинговой ссылки не сработают, если текст сообщения не вызовет в сознании получателя желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.

Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.

После того как пользователь под воздействием текста фишингового сообщения решил открыть вложенный документ или перейти по ссылке, наступает очередь инфраструктурного фишингового инструментария. Важно, чтобы клюнувшая на приманку жертва продолжала верить в то, что всё делает правильно.

Техническая составляющая

В качестве средств для обхода технических средств защиты злоумышленники обычно применяют следующие:

  • Кодировка символов HTML: шифруется HTML-код страницы, чтобы поисковые роботы не смогли обнаружить ключевые слова, указывающие на вредоносный сайт.
  • Шифрование содержимого: аналогично кодировке HTML, используется для обфускации содержимого для предотвращения обнаружения.
  • Блокировка проверки: защищает от поисковых роботов и тех, которые ищут фишинговые сайты.
  • URL-адреса во вложениях: скрывает вредоносные ссылки во вложениях, чтобы они не были очевидны
  • Инъекции контента (content injection): внедрение вредоносного контента на страницу легитимного веб-сайта для того, чтобы скрыть истинную природу фишингового сайта.
  • Законный облачный хостинг: использование известных, работающих легально облачных провайдеров для размещения фейковых сайтов.

Сейчас практически все фишинговые ресурсы используют цифровые сертификаты для повышения уровня доверия к ним. Согласно Anti-Phishing Working Group (APWG), ещё два года назад назад SSL-сертификаты были только у половины фишинговых сайтов.

Как защититься?


Поскольку фишинговые атаки ориентированы на людей, то и основным способом защиты от них будет работа с людьми, которая состоит из двух обязательных частей:

  • обучения сотрудников навыкам безопасного поведения при работе и в повседневной жизни;
  • отработки практических навыков безопасного поведения с помощью систем, имитирующих реальные атаки.

Тренинги для пользователей необходимо проводить регулярно, причём в них должны принимать участия все без исключения сотрудники компании. Для выработки навыков безопасной работы недостаточно традиционного обучения в виде показа фильма или лекции по основам информационной безопасности.

Знание действие, поэтому теорию необходимо отработать на практике, поскольку злоумышленники используют техники, которые не распознают даже опытные специалисты по кибербезопасности. Организовать тренировку навыков можно с помощью проведения различных фишинговых атак, имитирующих действия реальных киберпреступников.

Сколько зарабатывают киберпреступники?


По данным отчета McAfee Скрытые издержки киберпреступности, из-за хакеров мировая экономика ежегодно теряет не менее 1 трлн долларов США, что составляет более 1% глобального ВВП. Потери российской экономики от киберпреступности по данным Сбербанка по итогам 2020 года могут достигнуть 3,5 трлн руб.

Наиболее прибыльными отраслями стали:

Разновидность преступления
Ежегодный доход
Illegal online markets
$860 млрд
Trade secret, IP theft
$500 млрд
Data Trading $160 млрд
Crime-ware/CaaS
$1.6 млрд
Ransomware
$1 млрд
Всего $1.5 трлн

Стоимость различных услуг, которые оказывают злоумышленники по схеме SaaS:
Продукт или сервис
Стоимость
SMS Spoofing
$20/мес
Custom Spyware
$200
Hacker-for-Hire
$200+
Malware Exploit Kit
$200-$700
Blackhole Exploit Kit
$700/мес or $1 500/год
Zero-Day Adobe Exploit
$30 000
Zero-Day iOS Exploit
$250 000

Прогнозы и рекомендации


Эффективность схемы PhaaS и рост числа фишинговых кампаний во всём мире позволяют прогнозировать дальнейший рост предложения этого киберкриминального сервиса. Высока вероятность того, что предложения PhaaS пополнятся данными полученными в результате утечек, произошедших в течение 2020 года, что увеличит эффективность и опасность мошеннических кампаний.

С учётом того, что средний размер ущерба от успешной фишинговой атаки по данным Group-IB превышает 1,5 млн рублей, организациям следует внимательно проанализировать потенциальные риски и проверить устойчивость своих сотрудников к действиям мошенников, чтобы снизить вероятность финансовых и репутационных потерь.
Источник: habr.com
К списку статей
Опубликовано: 11.01.2021 16:10:01
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Информационная безопасность

Исследования и прогнозы в it

Статистика в it

Иб

Фишинг

Киберпреступники

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru