Читать книгу Анатомия фишинга как устроены атаки изнутри - - Страница 6

Представьте себе производство фальшивой купюры. Это не сиюминутный порыв, а четко выверенный процесс: от поиска подходящей бумаги и краски до создания печатной формы и налаживания сбыта. Фишинговая атака устроена очень похоже – это цепочка взаимосвязанных этапов, которые злоумышленник проходит один за другим. Если мы поймем эту последовательность, этапы перестанут быть магическим ритуалом хакера из фильма, а станут понятной, хоть и неприятной, логической цепочкой. Давайте проследим за ней от первого до последнего шага, представив, что мы наблюдаем за работой условного ‘мастера’ по фишингу.

Разведка и подготовка: сбор пазла

Никто не бросается в атаку сломя голову. Сначала идет этап разведки, который можно сравнить с собиранием пазла о будущей жертве. Злоумышленнику нужно понять две вещи: на кого охотиться и как это сделать. Он изучает потенциальную цель – это может быть крупная компания, ее сотрудники или просто широкий круг пользователей какого-либо сервиса, например, банка или социальной сети. Что его интересует? Публичная информация: как пишутся корпоративные письма, какие подписи используются, как выглядят официальные сайты, какие новости или акции сейчас на слуху у сотрудников. Часто для этого даже не нужны хакерские навыки – достаточно зайти на сайт компании или в ее соцсети. Представьте, что вы хотите притвориться соседом, чтобы зайти к нему в кварятью. Вы сначала понаблюдаете: во сколько он выходит, как одевается, как разговаривает с консьержем. Фишер делает то же самое в цифровом пространстве. Параллельно он готовит ‘инструменты’ – покупает или создает похожий на настоящий домен (адрес сайта), настраивает почтовые сервисы для рассылки, maybe арендует хостинг для поддельной страницы. Этот этап тихий и невидимый для жертвы, но именно здесь закладывается успех всей операции.

Изготовление приманки и заброс удочки

Когда информация собрана, наступает время творчества. На основе полученных данных создается приманка – то самое письмо или сообщение. Оно должно быть идеальной копией настоящего или, по крайней мере, выглядеть максимально правдоподобно. Дизайн, логотипы, стиль изложения – все это клонируется с оригиналов. Но самый важный элемент – это ‘крючок’, то есть повод для действия. Здесь в игру вступает социальная инженерия. Цель – вызвать у вас конкретную эмоцию, которая отключит холодный расчет. Это может быть срочность (‘Ваш аккаунт будет заблокирован через 2 часа!’), любопытство (‘Вам отправлен важный документ’), страх (‘Обнаружена подозрительная активность’) или даже желание помочь (‘Коллега просит срочно перевести деньги’). Текст письма продумывается до мелочей, чтобы не вызвать лишних подозрений. После этого приманка отправляется в плавание – начинается массовая или точечная рассылка. Задумайтесь на минуту: как часто вы получаете письма, которые вызывают у вас подобные чувства? Скорее всего, регулярно. Теперь вы знаете, что это может быть не просто спам, а первый видимый этап хорошо спланированной атаки.

Ожидание и ‘вываживание’ жертвы

Письмо ушло. Теперь фишеру остается ждать, как рыболов у проруби. Но его работа не прекращается. Он мониторит, сколько писем было доставлено, сколько открыто, сколько человек перешло по ссылке. Представьте себе продавца, который стоит чуть поодаль и наблюдает, как люди подходят к его витрине. Кто заинтересовался? Кто уже тянется рукой? Когда пользователь все-таки кликает по ссылке в письме, он попадает на следующий этап – поддельную страницу. Она – точная копия страницы входа в его почту, банк или соцсеть. Тут важно понимать: если до этого этапа атака была в основном социальной (игра на эмоциях), то теперь подключается техническая часть. Страница должна не только выглядеть как настоящая, но и правильно принять введенные данные и передать их злоумышленнику. Часто после ввода логина и пароля жертве показывают сообщение об ‘ошибке’ или ‘технических работах’, чтобы не вызвать паники и дать время атакующему сделать свое дело. А дело это простое – полученные учетные данные (логины, пароли, а иногда и коды из смс) немедленно используются для доступа к реальному аккаунту.

Завершение атаки и ‘уборка следов’

Финал атаки – это достижение цели. Целью может быть просто доступ к почте, откуда можно провести новую фишинг-рассылку уже по контактам жертвы. Или доступ к банковскому счету для перевода денег. Или установка вредоносного программного обеспечения на компьютер через вложение в том самом письме. Как только желаемое получено, начинается этап ‘зачистки’. Фишер старается замести следы: удалить логи (журналы действий) на своем сервере, отключить поддельный сайт, разорвать цепочку связи. Это делает расследование инцидента крайне сложным. А что же жертва? Она понимает, что произошло, часто с большим опозданием – когда деньги исчезли, аккаунт взломан, а по его контактам рассылается спам. И вот здесь самое время вспомнить, что мы с вами только что разобрали. Остановитесь и подумайте: на каком из этих этапов атаку можно было пресечь? Скорее всего, на любом, но проще всего – в самом начале, на этапе ‘заброса удочки’. Одно вовремя заданное себе вопросы ‘А точно ли это легальное письмо? Почему оно вызывает у меня такую панику?’ может разорвать всю эту идеально выстроенную цепочку. Понимание жизненного цикла атаки лишает ее главного оружия – непонимания и таинственности. Вы уже не просто видите одно подозрительное письмо, вы видите за ним весь длинный процесс, и это знание делает вас на порядок бдительнее.