Оффлайн
- Регистрация
- 12.05.16
- Сообщения
- 1.927
- Реакции
- 523
- Репутация
- 0
Фишинг это вид атаки, при которой обычно пытаются склонить жертву к переходу по определенной ссылке или запуску вредоносного программного обеспечения. Это может быть попытка скомпрометировать устройство жертвы для кражи критичной информации, паролей, логинов, ПИН-кодов, данных кредитной карты, а также попытка получения доступа к онлайн-аккаунтам жертвы. Практически все вещи, которых вы избегаете, могут произойти при помощи фишинговых атак.
И фишинг является одним из самых успешных и распространенных видов атак, поскольку его легко организовать, дешево настраивать и он приносит атакующим хорошую прибыль. Вам реально следует быть готовыми к таким атакам. Я работал на большие корпорации, в которых даже несмотря на повторяющиеся тренинги по безопасности для информирования людей, какую бы компанию я ни консультировал, порядка 30% людей продолжают попадаться на удочку злоумышленников и кликают на вещи, на которые кликать не должны. Фишинг обычно производится посредством отправки фейковых E-мейлов или мгновенных сообщений. Они направляют жертву на фейковый сайт, который зачастую напоминает легитимный сайт. Это форма социальной инженерии, или другими словами, это атака на человеческие слабости. И она помимо всего прочего основывается на неизбежной нехватке средств защиты веб-технологий от подобного рода человеческих уязвимостей.
Например, обычное электронное письмо не позволяет определить подлинность или проверить цифровую подпись отправителя. Так что нет гарантии, от кого оно пришло. Если бы такая гарантия была, то подобной проблемы бы не возникало. Поскольку электронные письма могут быть легко подделаны так, словно они отправлены легитимным отправителем, фишинговые атаки используют то доверие, которое вы оказываете отправителю письма. В целом, фишинговые атаки производятся в массовом порядке, отправляются тысячи или миллионы электронных писем, на адреса электронной почты, собранные в Интернете, иногда на хакерских веб-сайтах, иногда на форумах, где эти адреса публично раскрыты их владельцами, а иногда даже на предполагаемые адреса в попытке достучаться до цели.
Если бы у вас был, например, адрес john@hotmail или что-то наподобие этого, то подобный адрес было бы невозможно использовать из-за обилия спама и фишинговых писем, которые бы сыпались на этот адрес, поскольку спамеры атакуют типовые адреса в комбинации с доменными именами. Массовые E-мейл-атаки также идут и на адреса в определенных сферах бизнеса. Если это целевая, адресная атака, то мы называем ее целевым фишингом. Атака нацелена индивидуально на одну жертву. Давайте посмотрим на некоторые техники проведения фишинговых атак, цель которых попытаться убедить жертв кликнуть на определенные объекты.
Очень распространенная техника это использование так называемых манипуляций со ссылками. Перед вами простое фишинговое электронное письмо. Я отправил его на свой "технический" ящик электронной почты, чтобы продемонстрировать вам используемые техники.
Здесь я создал фейковые ссылки на Google и Microsoft. Давайте увеличим масштаб. Итак, первая техника, которую используют злоумышленники, это субдомены и домены с опечатками. Взгляните на эти три примера, красным цветом я выделяю реальный домен, на который мы попадем при переходе по ссылке, а синим цветом я выделяю субдомен, который пытается нас убедить, что при переходе по ссылке мы попадем именно на него.
И немного другая техника используется в следующем примере. Итак, красным цветом я выделяю реальный домен, а синим цветом я выделяю использование субдиректории таким образом, чтобы жертве казалось, что ссылка ведет на Google.
Первая техника использует субдомены, вторая использует субдиректории. А третий пример, с Microsoft.
Обратите внимание, что с ним не так? Полагаю, вам сейчас легко это сделать, потому что мы увеличили масштаб отображения. Здесь стоят буквы R и N вместо M.
Реальный домен это домен слева от домена верхнего уровня и который не имеет слеша по левую сторону от себя. В этой ссылке перед доменом google.com есть слеш, так что реальный домен stationx.net Следующий пример техники манипуляции со ссылками это так называемая омографическая атака на интернационализированные доменные имена. IDN это стандарт интернационализированных доменных имен. Здесь мы видим пару банальных примеров, но опять же, они могут быть и сложнее.
Могу вас заверить, что если шрифт будет другим, то подобные вещи практически невозможно будет различить. И конечно, чтобы внести еще большую путаницу, это может быть использовано в комбинации с субдоменами и опечатками. Следующий пример это скрытые URL-адреса. Использование HTML-тегов <a> для сокрытия реального URL. У нас тут ссылка с текстом "Нажми сюда", вы не знаете, что за ней. Если посмотреть в нижнюю часть страницы, то можно заметить, что ссылка ведет на Google.com.stationx.net Следующая ссылка - можем заметить, что она ведет не на google.com, а на Google.com.stationx.net
Нажимаю на эту ссылку, видите, я попал совершенно не на сайт Google. Очевидно, что это мог бы быть сайт для атаки. Как работают эти скрытые ссылки? По факту, это всего лишь HTML. Это совершенно не сложно.
Здесь мы видим сырой HTML-код, при помощи которого были созданы фишинговые ссылки из нашего имейла. В наши дни электронные письма создаются при помощи HTML. Это текст или HTML. Клиенты электронной почты отображают HTML также, как и браузеры. И конечно, если использовать все подобные варианты комбинированно это и есть причина, по которой людей можно обмануть, почему они кликают на подобные ссылки.
Легко понять, почему людей можно обмануть. Я имею ввиду, что здесь так много разной хрени, что обычные любители не разберутся в ней и будут кликать по этим ссылкам. Вернемся к нашему письму, наведем курсор на ссылку, нажмем правой кнопкой мыши и скопируем адрес ссылки. Теперь в зависимости от браузера это покажет корректный URL, но не всегда.
JavaScript может прятать ссылку в зависимости от вашего почтового клиента. Как я уже показывал, вы можете навести курсор на ссылку и в левом нижнем углу увидите реальный домен. Но так происходит не всегда, это зависит от вашего почтового клиента и JavaScript. К тому же, это можно подделать, так что вещь довольно-таки хитрая. Вы можете посмотреть на HTML-код. Некоторые E-мейл клиенты позволяют смотреть сырой HTML, и тогда вы можете найти ссылку и посмотреть, куда она ведет. Но некоторые клиенты не позволяют делать этого. Я имею ввиду, что, например, в данном электронном письме я не могу увидеть HTML. Так что мне приходится наводить курсор на ссылки и смотреть, куда они ведут. Хорошие провайдеры заметят подобные вещи и изменят их. Это и хорошо, и плохо. Например, в Thunderbird подобные ссылки не пройдут. Он изменит их, так что вы увидите, куда они ведут. Но этот защитный механизм можно обойти, так что это не панацея. Я не прикладывал никаких усилий, чтобы обойти какую-либо антифишинговую защиту "технической" почты из нашего примера, она смогла получить эти ссылки и отобразила их именно так.
Помимо манипуляций с URL-адресами существуют скрытые перенаправления URL-адресов, которые используют уязвимости к межсайтовому скриптингу или межсайтовой подделке запроса. Манипуляции с адресами можно комбинировать с этими видами уязвимостей.
Возможна ситуация, когда вы получаете ссылку на реальный сайт, который настроен таким образом, чтобы произвести на вас какую-либо атаку. Итак, атакующий может найти или уже нашел слабое место в реальном сайте и для совершения атаки на вас использует технику типа "Открытое перенаправление" или, как я только что упомянул, уязвимости к межсайтовому скриптингу или межсайтовой подделке запроса. Допустим, это произошло с PayPal и многими другими сайтами. Давайте я приведу пример. Очевидно, что вы хотите держаться подальше от отраженных XSS-уязвимостей, которые могут быть использованы в фишинговой атаке. Итак, представим, что вам отправили ссылку.
Собственно говоря, это XSS-уязвимость, которую я обнаружил на одном форуме. Я использую ее в качестве примера. Это образец URL-адреса. Вы кликаете на этот URL.
Он ведет вас на веб-сайт. Поскольку я вставил в этот URL специальный скрипт, то когда вы введете свои логин и пароль, я смогу украсть их. Теперь смотрите, вот критичная часть кода.
Я вставил свой небольшой фрагмент кода сюда. Это и называется уязвимостью к подделке межсайтового запроса. Этот сайт не должен был позволить мне вставлять мои собственные скрипты в URL-адреса и обрабатывать их, потому что в этом случае я могу действовать от лица этого сайта в контексте безопасности этого сайта. Это означает, что я могу получить доступ к вашим куки-файлам, и конечно, я могу манипулировать веб-страницей, вместо настоящего экрана авторизации подставить фейковый экран авторизации, который я специально подготовил. Именно это я и сделал при помощи данной уязвимости, чтобы продемонстрировать это владельцам веб-приложения и они смогли пофиксить проблему. Это была уязвимость URL.
Давайте теперь посмотрим сюда. Здесь я вставляю так называемый iframe, чтобы создать фейковый экран авторизации и иметь возможность забирать логины и пароли. Это в качестве примера для вас. Если в веб-сайте есть уязвимости, подобные XSS-уязвимости, или открытые перенаправления, то фишинговые атаки могут быть еще опаснее. И чтобы закончить с фишингом, поговорим о паре вариантов фишинга, а именно о вишинге и смишинге.
Итак, вишинг - это телефонный или голосовой фишинг, а смишинг это - СМС-фишинг или отправка текстовых сообщений. Это попытка позвонить вам или отправить вам СМС-сообщение с целью компрометации вашего устройства, таким же образом, как это происходит при фишинге. Это приводит к краже критичной информации, паролей, логинов, кредитных карт, всякие такие нехорошие вещи. Есть множество примеров, один из распространенных когда злоумышленник представляется сотрудником Microsoft, сообщает вам, что на вашей машине вирус, может ли он помочь, пожалуйста, загрузите и установите эту абсолютно легитимную программу, которая затем оказывается трояном или чем-нибудь типа того. Говорю вам, даже моя матушка несколько раз получала такие звонки от чувачков из Индии, которые представлялись сотрудниками Microsoft. Такие звонки срабатывают на многих людях. Именно поэтому злоумышленники продолжают заниматься подобным мошенничеством. Посмотрите на YouTube, есть много пранков, когда разыгрывают таких вот злоумышленников. На это весьма забавно смотреть. Итак, вишинг это мошенничество, основанное на телефонии. Смишинг это мошенничество, основанное на текстовых сообщениях. Все это и называется фишингом.
И фишинг является одним из самых успешных и распространенных видов атак, поскольку его легко организовать, дешево настраивать и он приносит атакующим хорошую прибыль. Вам реально следует быть готовыми к таким атакам. Я работал на большие корпорации, в которых даже несмотря на повторяющиеся тренинги по безопасности для информирования людей, какую бы компанию я ни консультировал, порядка 30% людей продолжают попадаться на удочку злоумышленников и кликают на вещи, на которые кликать не должны. Фишинг обычно производится посредством отправки фейковых E-мейлов или мгновенных сообщений. Они направляют жертву на фейковый сайт, который зачастую напоминает легитимный сайт. Это форма социальной инженерии, или другими словами, это атака на человеческие слабости. И она помимо всего прочего основывается на неизбежной нехватке средств защиты веб-технологий от подобного рода человеческих уязвимостей.
Например, обычное электронное письмо не позволяет определить подлинность или проверить цифровую подпись отправителя. Так что нет гарантии, от кого оно пришло. Если бы такая гарантия была, то подобной проблемы бы не возникало. Поскольку электронные письма могут быть легко подделаны так, словно они отправлены легитимным отправителем, фишинговые атаки используют то доверие, которое вы оказываете отправителю письма. В целом, фишинговые атаки производятся в массовом порядке, отправляются тысячи или миллионы электронных писем, на адреса электронной почты, собранные в Интернете, иногда на хакерских веб-сайтах, иногда на форумах, где эти адреса публично раскрыты их владельцами, а иногда даже на предполагаемые адреса в попытке достучаться до цели.
Если бы у вас был, например, адрес john@hotmail или что-то наподобие этого, то подобный адрес было бы невозможно использовать из-за обилия спама и фишинговых писем, которые бы сыпались на этот адрес, поскольку спамеры атакуют типовые адреса в комбинации с доменными именами. Массовые E-мейл-атаки также идут и на адреса в определенных сферах бизнеса. Если это целевая, адресная атака, то мы называем ее целевым фишингом. Атака нацелена индивидуально на одну жертву. Давайте посмотрим на некоторые техники проведения фишинговых атак, цель которых попытаться убедить жертв кликнуть на определенные объекты.
Очень распространенная техника это использование так называемых манипуляций со ссылками. Перед вами простое фишинговое электронное письмо. Я отправил его на свой "технический" ящик электронной почты, чтобы продемонстрировать вам используемые техники.
You must be registered for see images attach
Здесь я создал фейковые ссылки на Google и Microsoft. Давайте увеличим масштаб. Итак, первая техника, которую используют злоумышленники, это субдомены и домены с опечатками. Взгляните на эти три примера, красным цветом я выделяю реальный домен, на который мы попадем при переходе по ссылке, а синим цветом я выделяю субдомен, который пытается нас убедить, что при переходе по ссылке мы попадем именно на него.
You must be registered for see images attach
Первая техника использует субдомены, вторая использует субдиректории. А третий пример, с Microsoft.
You must be registered for see images attach
Обратите внимание, что с ним не так? Полагаю, вам сейчас легко это сделать, потому что мы увеличили масштаб отображения. Здесь стоят буквы R и N вместо M.
Теперь давайте взглянем на другие примеры.
Это реальные фишинговые ссылки, которые прямо сейчас пытаются убедить людей проследовать по ним. Вот здесь вы можете увидеть, собственно говоря, название австралийского банка и эта ссылка пытается убедить людей, что она ведет на домен nabbank.com.au Хотя на самом деле, вот здесь, мы видим, что реальный домен это solmistico.com
You must be registered for see images attach
Давайте поищем, есть ли тут какие-нибудь другие хитрые примеры, хотя нет, не такие уж они и хитрые, и тем не менее, давайте попробуем найти здесь что-то еще. Вот здесь вы можете увидеть другой пример, Paypal.co.uk
Итак, реальный домен это bukafa.com В зависимости от вашего опыта, вам может быть нелегко распознавать реальные домены. В общем, реальный домен это домен, который находится слева от домена верхнего уровня. В данном примере домен верхнего уровня это ".com" Слева от него нет знака слеш. Домены верхнего уровня это, например, ".com", ".net", ".org" Если вы посмотрите на самые первые примеры вот здесь, то эти ссылки не легитимны, поскольку перед "google.com" стоит слеш, что означает, что это всего лишь субдиректория.
You must be registered for see images attach
Реальный домен это домен слева от домена верхнего уровня и который не имеет слеша по левую сторону от себя. В этой ссылке перед доменом google.com есть слеш, так что реальный домен stationx.net Следующий пример техники манипуляции со ссылками это так называемая омографическая атака на интернационализированные доменные имена. IDN это стандарт интернационализированных доменных имен. Здесь мы видим пару банальных примеров, но опять же, они могут быть и сложнее.
You must be registered for see images attach
Код:
<h4>Hidden URLs</h4>
<a href=”http://google.com.stationx.net”>Click Here</a> <br>
<a href=”http://google.com.stationx.net”>http://google.com.stationx.net</a>Нажимаю на эту ссылку, видите, я попал совершенно не на сайт Google. Очевидно, что это мог бы быть сайт для атаки. Как работают эти скрытые ссылки? По факту, это всего лишь HTML. Это совершенно не сложно.
Здесь мы видим сырой HTML-код, при помощи которого были созданы фишинговые ссылки из нашего имейла. В наши дни электронные письма создаются при помощи HTML. Это текст или HTML. Клиенты электронной почты отображают HTML также, как и браузеры. И конечно, если использовать все подобные варианты комбинированно это и есть причина, по которой людей можно обмануть, почему они кликают на подобные ссылки.
Легко понять, почему людей можно обмануть. Я имею ввиду, что здесь так много разной хрени, что обычные любители не разберутся в ней и будут кликать по этим ссылкам. Вернемся к нашему письму, наведем курсор на ссылку, нажмем правой кнопкой мыши и скопируем адрес ссылки. Теперь в зависимости от браузера это покажет корректный URL, но не всегда.
JavaScript может прятать ссылку в зависимости от вашего почтового клиента. Как я уже показывал, вы можете навести курсор на ссылку и в левом нижнем углу увидите реальный домен. Но так происходит не всегда, это зависит от вашего почтового клиента и JavaScript. К тому же, это можно подделать, так что вещь довольно-таки хитрая. Вы можете посмотреть на HTML-код. Некоторые E-мейл клиенты позволяют смотреть сырой HTML, и тогда вы можете найти ссылку и посмотреть, куда она ведет. Но некоторые клиенты не позволяют делать этого. Я имею ввиду, что, например, в данном электронном письме я не могу увидеть HTML. Так что мне приходится наводить курсор на ссылки и смотреть, куда они ведут. Хорошие провайдеры заметят подобные вещи и изменят их. Это и хорошо, и плохо. Например, в Thunderbird подобные ссылки не пройдут. Он изменит их, так что вы увидите, куда они ведут. Но этот защитный механизм можно обойти, так что это не панацея. Я не прикладывал никаких усилий, чтобы обойти какую-либо антифишинговую защиту "технической" почты из нашего примера, она смогла получить эти ссылки и отобразила их именно так.
Помимо манипуляций с URL-адресами существуют скрытые перенаправления URL-адресов, которые используют уязвимости к межсайтовому скриптингу или межсайтовой подделке запроса. Манипуляции с адресами можно комбинировать с этими видами уязвимостей.
Код:
<h4>Hidden URLs</h4> <a href=”http://google.com.stationx.net”>Click Here</a> <br> <a href=”http://google.com.stationx.net”>http://google.com.stationx.net</a>
Код:
www.gossamer-threads.com/form/user.cgi?url=”><script>alert(“XSS
vulnerability”)</sc...
You must be registered for see images attach
Код:
..ds.com/forum/user.cgi?url=”><script>alert(“XSS
vulnerability”)</script>”&from=rate...Я вставил свой небольшой фрагмент кода сюда. Это и называется уязвимостью к подделке межсайтового запроса. Этот сайт не должен был позволить мне вставлять мои собственные скрипты в URL-адреса и обрабатывать их, потому что в этом случае я могу действовать от лица этого сайта в контексте безопасности этого сайта. Это означает, что я могу получить доступ к вашим куки-файлам, и конечно, я могу манипулировать веб-страницей, вместо настоящего экрана авторизации подставить фейковый экран авторизации, который я специально подготовил. Именно это я и сделал при помощи данной уязвимости, чтобы продемонстрировать это владельцам веб-приложения и они смогли пофиксить проблему. Это была уязвимость URL.
Код:
www.gossamer-threads.com/form/user.cgi?url=”><script>alert(“XSS vulnerability”)</sc... ..ds.com/forum/user.cgi?url=”><script>alert(“XSS vulnerability”)</script>”&from=rate...Давайте теперь посмотрим сюда. Здесь я вставляю так называемый iframe, чтобы создать фейковый экран авторизации и иметь возможность забирать логины и пароли. Это в качестве примера для вас. Если в веб-сайте есть уязвимости, подобные XSS-уязвимости, или открытые перенаправления, то фишинговые атаки могут быть еще опаснее. И чтобы закончить с фишингом, поговорим о паре вариантов фишинга, а именно о вишинге и смишинге.
Итак, вишинг - это телефонный или голосовой фишинг, а смишинг это - СМС-фишинг или отправка текстовых сообщений. Это попытка позвонить вам или отправить вам СМС-сообщение с целью компрометации вашего устройства, таким же образом, как это происходит при фишинге. Это приводит к краже критичной информации, паролей, логинов, кредитных карт, всякие такие нехорошие вещи. Есть множество примеров, один из распространенных когда злоумышленник представляется сотрудником Microsoft, сообщает вам, что на вашей машине вирус, может ли он помочь, пожалуйста, загрузите и установите эту абсолютно легитимную программу, которая затем оказывается трояном или чем-нибудь типа того. Говорю вам, даже моя матушка несколько раз получала такие звонки от чувачков из Индии, которые представлялись сотрудниками Microsoft. Такие звонки срабатывают на многих людях. Именно поэтому злоумышленники продолжают заниматься подобным мошенничеством. Посмотрите на YouTube, есть много пранков, когда разыгрывают таких вот злоумышленников. На это весьма забавно смотреть. Итак, вишинг это мошенничество, основанное на телефонии. Смишинг это мошенничество, основанное на текстовых сообщениях. Все это и называется фишингом.