Читать книгу Анатомия фишинга как устроены атаки изнутри - - Страница 2

Давайте сразу договоримся: когда мы говорим “фишинг”, в голове не должно возникать образов мирных рыбаков на рассвете. Хотя связь есть, и она самая прямая. Само слово – искаженное английское “fishing”, то есть “рыбная ловля”. Только ловят здесь не рыбу, а людей. И наживкой служат не черви, а хитрость, доверие и иногда наша собственная невнимательность.

Представьте самого первого фишера, условного злоумышленника середины 90-х. Это был одиночка с удочкой. Он рассылал примитивные письма по электронной почте, которая тогда была диковинкой. Текст был грубым, полным ошибок, а предложение – простым до смешного: “Дайте мне ваш пароль, я из администрации”. И знаете что? Это работало. Потому что мир был наивным, интернет казался дружелюбным клубом по интересам, а понятия “кибербезопасность” для обычного человека просто не существовало. Это была эпоха фишинга-удильщика: закинул одну наживку в цифровой пруд и ждешь, не клюнет ли кто.

Но интернет рос, люди становились опытнее, и простые уловки перестали срабатывать. Тогда фишеры поняли: нужна сеть. Так удочка эволюционировала в сеть, а потом и в трал. Фишинг стал массовым, автоматизированным. Вместо одного письма – рассылка на миллионы адресов, купленных в темном сегменте сети. Вместо ручного создания поддельной страницы – специальные конструкторы, “фишинг-киты”, которые позволяют за пару кликов собрать клон сайта любого банка или соцсети. Это уже не индивидуальный промысел, а целая индустрия. Цель осталась прежней – выудить ваши данные, но масштаб и подход изменились кардинально.

От простого обмана к таргетированной охоте

Следующий виток эволюции – это переход от количества к качеству. Когда массовые рассылки стали хуже работать из-за спам-фильтров и растущей грамотности пользователей, мошенники изобрели новую тактику. Они перестали бросать сеть наугад и начали прицельно охотиться на конкретную рыбу, причем крупную. Так появился “таргетированный фишинг” или “spear phishing” (дословно – “фишинг с гарпуном”). Здесь уже нет места случайности. Атакующий долго и тщательно изучает свою жертву: кем работает, с кем общается, какие проекты ведет, чем увлекается. Собирает пазл из открытых данных в соцсетях, корпоративных новостей, пресс-релизов.

А потом происходит магия, вернее, ее темная имитация. Жертва получает письмо. Оно идеально. Адрес отправителя похож на настоящий, но с одной незаметной опечаткой. Тема письма – о текущем рабочем проекте. В тексте упоминаются реальные коллеги по имени, обсуждаются детали, которые знают только внутри компании. Вложение – якобы важный документ по этому самому проекту, или ссылка на якобы внутренний портал для просмотра правок. Человек, замотанный работой, видит знакомые детали и… кликает. Гарпун попадает точно в цель. Так из разряда бытового мошенничества фишинг перекочевал в инструментарий промышленного шпионажа и целенаправленных атак на компании и госучреждения.

Фишинг как услуга и кибервойна

Самый свежий и тревожный этап эволюции – это институализация фишинга. Он превратился в сервис, в товар, который можно купить. Существуют целые подпольные форумы, где можно заказать фишинговую атаку под ключ: от сбора информации о цели до готового письма и хостинга для поддельной страницы. Не нужно быть техническим гением – достаточно иметь биткоины и желание навредить. Это явление называют “Phishing-as-a-Service” (PhaaS) – “фишинг как услуга”. Демократизация зла в чистом виде.

А на вершине пищевой цепочки находится фишинг как элемент государственных киберопераций и крупного криминального бизнеса. Здесь речь идет не о паролях от почты, а о доступе к стратегическим сетям, промышленным секретам, системам управления. Это уже не рыбалка, а океанский промысел с помощью эхолотов и дрифтерных сетей. Цели глобальные, бюджеты огромные, а последствия могут касаться миллионов людей, даже если они об этом никогда не узнают.

Так откуда же взялось это странное слово? Легенда гласит, что первые хакеры, занимавшиеся кражей учетных записей в старых dial-up системах, называли себя “phreaks” (от “phone freak” – любитель взлома телефонии). А так как они часто использовали для кражи аккаунтов примитивные схемы с подбором паролей, то это занятие стали иронично называть “fishing for accounts” – “рыбалка на аккаунты”. Буква “f” заменилась на “ph” в стилистике “phreaks”, и мир получил термин “phishing”. Красиво, правда? Иногда самые опасные вещи скрываются за безобидными и даже забавными историями происхождения.

Задумайтесь на минутку. Вы когда-нибудь получали письмо от “банка” с просьбой срочно проверить карту? Или сообщение от “друга” в соцсети со ссылкой на “сенсационное видео”? Или, может, на работе приходило письмо от “IT-отдела” с требованием обновить пароль по “безопасной” ссылке? Вспомните свою первую реакцию. Легкое беспокойство? Любопытство? Желание поскорее решить проблему? Вот она, эволюция фишинга в действии – от грубой удочки 90-х до тонкого, персонализированного гарпуна, который нацелен уже не на абстрактного пользователя, а, возможно, конкретно на вас, ваши привычки и ваши слабости. И понимание этого пути – первый и самый важный шаг от роли потенциальной добычи к роли знающего и бдительного обитателя цифрового океана.