Вишинг + Смишинг = Фишинг?

Фишинг это вид атаки, при которой обычно пытаются склонить жертву к переходу по определенной ссылке или запуску вредоносного программного обеспечения. Это может быть попытка скомпрометировать устройство жертвы для кражи критичной информации, паролей, логинов, ПИН-кодов, данных кредитной карты, а также попытка получения доступа к онлайн-аккаунтам жертвы. Практически все вещи, которых вы избегаете, могут произойти при помощи фишинговых атак.

И фишинг является одним из самых успешных и распространенных видов атак, поскольку его легко организовать, дешево настраивать и он приносит атакующим хорошую прибыль. Вам реально следует быть готовыми к таким атакам. Я работал на большие корпорации, в которых даже несмотря на повторяющиеся тренинги по безопасности для информирования людей, какую бы компанию я ни консультировал, порядка 30% людей продолжают попадаться на удочку злоумышленников и кликают на вещи, на которые кликать не должны. Фишинг обычно производится посредством отправки фейковых E-мейлов или мгновенных сообщений. Они направляют жертву на фейковый сайт, который зачастую напоминает легитимный сайт. Это форма социальной инженерии, или другими словами, это атака на человеческие слабости. И она помимо всего прочего основывается на неизбежной нехватке средств защиты веб-технологий от подобного рода человеческих уязвимостей.

Например, обычное электронное письмо не позволяет определить подлинность или проверить цифровую подпись отправителя. Так что нет гарантии, от кого оно пришло. Если бы такая гарантия была, то подобной проблемы бы не возникало. Поскольку электронные письма могут быть легко подделаны так, словно они отправлены легитимным отправителем, фишинговые атаки используют то доверие, которое вы оказываете отправителю письма. В целом, фишинговые атаки производятся в массовом порядке, отправляются тысячи или миллионы электронных писем, на адреса электронной почты, собранные в Интернете, иногда на хакерских веб-сайтах, иногда на форумах, где эти адреса публично раскрыты их владельцами, а иногда даже на предполагаемые адреса в попытке достучаться до цели.

Если бы у вас был, например, адрес Ссылка доступна только зарегистрированным пользователям или что-то наподобие этого, то подобный адрес было бы невозможно использовать из-за обилия спама и фишинговых писем, которые бы сыпались на этот адрес, поскольку спамеры атакуют типовые адреса в комбинации с доменными именами. Массовые E-мейл-атаки также идут и на адреса в определенных сферах бизнеса. Если это целевая, адресная атака, то мы называем ее целевым фишингом. Атака нацелена индивидуально на одну жертву. Давайте посмотрим на некоторые техники проведения фишинговых атак, цель которых попытаться убедить жертв кликнуть на определенные объекты.

Очень распространенная техника это использование так называемых манипуляций со ссылками. Перед вами простое фишинговое электронное письмо. Я отправил его на свой технический ящик электронной почты, чтобы продемонстрировать вам используемые техники.

Здесь я создал фейковые ссылки на Google и Microsoft. Давайте увеличим масштаб. Итак, первая техника, которую используют злоумышленники, это субдомены и домены с опечатками. Взгляните на эти три примера, красным цветом я выделяю реальный домен, на который мы попадем при переходе по ссылке, а синим цветом я выделяю субдомен, который пытается нас убедить, что при переходе по ссылке мы попадем именно на него.
И немного другая техника используется в следующем примере. Итак, красным цветом я выделяю реальный домен, а синим цветом я выделяю использование субдиректории таким образом, чтобы жертве казалось, что ссылка ведет на Google.

Первая техника использует субдомены, вторая использует субдиректории. А третий пример, с Microsoft.

Обратите внимание, что с ним не так? Полагаю, вам сейчас легко это сделать, потому что мы увеличили масштаб отображения. Здесь стоят буквы R и N вместо M.

Теперь давайте взглянем на другие примеры. ​

Это реальные фишинговые ссылки, которые прямо сейчас пытаются убедить людей проследовать по ним. Вот здесь вы можете увидеть, собственно говоря, название австралийского банка и эта ссылка пытается убедить людей, что она ведет на домен nabbank.com.au Хотя на самом деле, вот здесь, мы видим, что реальный домен это solmistico.com

Давайте поищем, есть ли тут какие-нибудь другие хитрые примеры, хотя нет, не такие уж они и хитрые, и тем не менее, давайте попробуем найти здесь что-то еще. Вот здесь вы можете увидеть другой пример, Paypal.co.uk ​

Итак, реальный домен это bukafa.com В зависимости от вашего опыта, вам может быть нелегко распознавать реальные домены. В общем, реальный домен это домен, который находится слева от домена верхнего уровня. В данном примере домен верхнего уровня это .com Слева от него нет знака слеш. Домены верхнего уровня это, например, .com, .net, .org Если вы посмотрите на самые первые примеры вот здесь, то эти ссылки не легитимны, поскольку перед google.com стоит слеш, что означает, что это всего лишь субдиректория.
Реальный домен это домен слева от домена верхнего уровня и который не имеет слеша по левую сторону от себя. В этой ссылке перед доменом google.com есть слеш, так что реальный домен stationx.net Следующий пример техники манипуляции со ссылками это так называемая омографическая атака на интернационализированные доменные имена. IDN это стандарт интернационализированных доменных имен. Здесь мы видим пару банальных примеров, но опять же, они могут быть и сложнее.
Могу вас заверить, что если шрифт будет другим, то подобные вещи практически невозможно будет различить. И конечно, чтобы внести еще большую путаницу, это может быть использовано в комбинации с субдоменами и опечатками. Следующий пример это скрытые URL-адреса. Использование HTML-тегов <a> для сокрытия реального URL. У нас тут ссылка с текстом Нажми сюда, вы не знаете, что за ней. Если посмотреть в нижнюю часть страницы, то можно заметить, что ссылка ведет на Google.com.stationx.net Следующая ссылка - можем заметить, что она ведет не на google.com, а на Google.com.stationx.net
Код:
<h4>Hidden URLs</h4>
<a href=”http://google.com.stationx.net”>Click Here</a> <br>
<a href=”http://google.com.stationx.net”>http://google.com.stationx.net</a>
Нажимаю на эту ссылку, видите, я попал совершенно не на сайт Google. Очевидно, что это мог бы быть сайт для атаки. Как работают эти скрытые ссылки? По факту, это всего лишь HTML. Это совершенно не сложно.

Здесь мы видим сырой HTML-код, при помощи которого были созданы фишинговые ссылки из нашего имейла. В наши дни электронные письма создаются при помощи HTML. Это текст или HTML. Клиенты электронной почты отображают HTML также, как и браузеры. И конечно, если использовать все подобные варианты комбинированно это и есть причина, по которой людей можно обмануть, почему они кликают на подобные ссылки.
Легко понять, почему людей можно обмануть. Я имею ввиду, что здесь так много разной хрени, что обычные любители не разберутся в ней и будут кликать по этим ссылкам. Вернемся к нашему письму, наведем курсор на ссылку, нажмем правой кнопкой мыши и скопируем адрес ссылки. Теперь в зависимости от браузера это покажет корректный URL, но не всегда.

JavaScript может прятать ссылку в зависимости от вашего почтового клиента. Как я уже показывал, вы можете навести курсор на ссылку и в левом нижнем углу увидите реальный домен. Но так происходит не всегда, это зависит от вашего почтового клиента и JavaScript. К тому же, это можно подделать, так что вещь довольно-таки хитрая. Вы можете посмотреть на HTML-код. Некоторые E-мейл клиенты позволяют смотреть сырой HTML, и тогда вы можете найти ссылку и посмотреть, куда она ведет. Но некоторые клиенты не позволяют делать этого. Я имею ввиду, что, например, в данном электронном письме я не могу увидеть HTML. Так что мне приходится наводить курсор на ссылки и смотреть, куда они ведут. Хорошие провайдеры заметят подобные вещи и изменят их. Это и хорошо, и плохо. Например, в Thunderbird подобные ссылки не пройдут. Он изменит их, так что вы увидите, куда они ведут. Но этот защитный механизм можно обойти, так что это не панацея. Я не прикладывал никаких усилий, чтобы обойти какую-либо антифишинговую защиту технической почты из нашего примера, она смогла получить эти ссылки и отобразила их именно так.
Помимо манипуляций с URL-адресами существуют скрытые перенаправления URL-адресов, которые используют уязвимости к межсайтовому скриптингу или межсайтовой подделке запроса. Манипуляции с адресами можно комбинировать с этими видами уязвимостей.

Код:
<h4>Hidden URLs</h4> <a href=”http://google.com.stationx.net”>Click Here</a> <br> <a href=”http://google.com.stationx.net”>http://google.com.stationx.net</a>
Возможна ситуация, когда вы получаете ссылку на реальный сайт, который настроен таким образом, чтобы произвести на вас какую-либо атаку. Итак, атакующий может найти или уже нашел слабое место в реальном сайте и для совершения атаки на вас использует технику типа Открытое перенапра