Читать книгу Анатомия фишинга как устроены атаки изнутри - - Страница 7

Представьте себе ресторанный критик, который приходит в заведение, видит знакомую вывеску, интерьер один в один, меню то же самое, но еда оказывается подделкой. Вкус не тот, а после трапезы у него пропадает кошелек. Примерно то же самое чувствует человек, попавший на фишинговый сайт. Со стороны все выглядит абсолютно легально: тот же дизайн, те же логотипы, те же формы для ввода данных. Но стоит ввести свои логин и пароль, как они мгновенно утекают к злоумышленникам. Как же создаются эти цифровые двойники и где они живут? Давайте заглянем на кухню.

Процесс начинается с выбора цели. Чаще всего это крупные и популярные сервисы: онлайн-банки, почтовые службы, социальные сети, интернет-магазины. Чем больше у сервиса пользователей, тем выше шанс, что кто-то клюнет на наживку. Атакующий, которого мы условно назовем Х, первым делом проводит разведку. Он скрупулезно изучает оригинальный сайт: как он выглядит на разных устройствах, какие элементы содержит главная страница и, что критически важно, страница входа в личный кабинет. Он делает сотни скриншотов, а иногда просто сохраняет весь HTML-код и сопутствующие файлы (стили, картинки, скрипты) прямо себе на компьютер. Это называется клонированием сайта, и технически это не сложнее, чем нажать «Сохранить как» в браузере, только с помощью специальных программ, которые делают это автоматически и целиком.

Копия, но не точная

Однако идеальную копию сделать не получится. Даже если скопировать все файлы, многие динамические элементы, которые загружаются с серверов компании, работать не будут. Например, реальная проверка логина и пароля происходит на бэкенде – той части сайта, которая скрыта от глаз пользователя и находится на защищенных серверах банка. Эту часть скопировать невозможно. Поэтому Х создает лишь внешнюю оболочку – фасад. Все формы на сайте будут выглядеть рабочими, кнопки будут нажиматься, но их функция изменится кардинально. Вместо отправки данных на настоящий сервер для проверки, они будут отправляться на сервер, контролируемый самим Х. Это как если бы вы опустили письмо в красивый почтовый ящик у двери, а он вел бы не на почту, а прямиком в комнату к соседу-воришке.

Здесь возникает важный технический момент: безопасное соединение. Вы наверняка обращали внимание на замочек в адресной строке браузера и буквы HTTPS. Это означает, что соединение между вашим компьютером и сайтом зашифровано. Фишеры тоже хотят, чтобы их сайт вызывал доверие, поэтому они часто добывают или покупают SSL-сертификаты для своих поддельных доменов. Получить такой сертификат сейчас относительно несложно, есть бесплатные варианты. В итоге на фишинговой странице тоже будет красуется замочек, что усыпляет бдительность многих пользователей. Запомните: замочек гарантирует только шифрование канала, но не говорит ни о чем, о том, кто находится на другом конце. Вы можете иметь зашифрованное соединение с кем угодно, хоть с мошенником.

Доменное имя – камуфляж

Следующий шаг – выбор адреса для поддельного сайта. Это целое искусство обмана. Х не будет регистрировать домен типа hack-your-bank.com. Это слишком очевидно. Вместо этого он использует техники, называемые тайпсквоттингом или похожими доменами. Например, вместо popularbank.ru он зарегистрирует popu1arbank.ru, заменив букву ‘l’ на цифру ‘1’, которая в некоторых шрифтах выглядит практически одинаково. Или добавит дефис: popular-bank.ru. Или использует другую доменную зону: popularbank.website вместо .ru. Часто в ход идут опечатки: popylarbank.ru. Цель – чтобы пользователь, либо торопясь, либо не слишком внимательно глядя на адресную строку, не заметил подмены. Попробуйте прямо сейчас вспомнить, как точно пишется адрес вашего банка или почты. Без подсказки. Сложно? Именно на эту человеческую особенность и рассчитывают.

Хостинг: где живут фантомы

Скопированные файлы нужно где-то разместить, чтобы сайт был доступен из интернета. Это называется хостинг. Здесь у Х есть несколько путей, и все они направлены на то, чтобы максимально замести следы и продлить жизнь своему творению. Первый вариант – взлом легитимного сайта. Х находит уязвимость в каком-нибудь стареньком сайте про цветоводство или в блоге небольшой фирмы, проникает на его сервер и размещает там свои фишинговые файлы в отдельной папке. Со стороны кажется, что атака идет с безобидного ресурса, что затрудняет расследование. Второй вариант – использовать дешевый или даже бесплатный хостинг, часто зарубежный, где регистрация проводится анонимно или по поддельным данным. Третий, более продвинутый вариант – использовать облачные сервисы или сервисы для разработчиков, которые по умолчанию выдают доверенные SSL-сертификаты и имеют хорошую репутацию у систем безопасности. Фишинговый сайт может прожить на таком хостинге несколько часов или даже дней, пока его не обнаружат и не заблокируют. А для массовой рассылки писем с ссылкой этого времени более чем достаточно.

Задумайтесь на минуту: когда вы в последний раз внимательно смотрели на полную строку браузера, вводили адрес сайта вручную или переходили по ссылке из письма, не проверив ее наведение курсора? Мы все привыкли к скорости и автоматизму, и именно эта привычка играет на руку создателям поддельных сайтов. Они строят свои ловушки, рассчитывая на наше доверие к знакомому интерфейсу и нашу невнимательность к деталям. Но теперь, зная, как устроен этот фасад изнутри, вы можете взять паузу. Паузу, чтобы посмотреть на адрес. Паузу, чтобы подумать, ждали ли вы это письмо с просьбой «срочно подтвердить данные». Эта пауза и есть тот самый разрыв между автоматическим действием и осознанным решением, который делает вас неуязвимым для большинства таких атак. В следующий раз, когда будете вводить свои данные куда-либо, вспомните про этого невидимого соседа Х и его кухню по клонированию реальности. Проверьте, точно ли вы в гостях у того, у кого думаете.

Представьте себе почтовый ящик у вашего подъезда. Каждый день курьеры, соседи, рекламные агенты кладут туда кучу бумаг. Спам-фильтр – это строгий консьерж, который стоит рядом и безжалостно отправляет в мусорную корзину всё, что похоже на мусор: яркие листовки, газеты с кричащими заголовками, письма с явными опечатками в вашем имени. Задача фишера – сделать так, чтобы его «письмо от банка» консьерж пропустил без вопросов, приняв за официальный конверт с водяными знаками. И знаете что? У них это отлично получается.

Начнем с того, как этот консьерж вообще работает. Современные почтовые системы и антиспам-фильтры – это сложные алгоритмы, которые оценивают сотни параметров письма. Они смотрят на отправителя, на заголовки письма, на содержание текста, на вложенные файлы, на ссылки внутри. Каждому параметру присваивается вес, и если общая «штрафная» сумма превышает порог – письмо летит в спам. Фишеры знают эту систему не хуже, а порой и лучше, чем некоторые IT-специалисты. Они не пытаются взломать фильтр – они его аккуратно обходят, играя по его же правилам.

Игра в легального отправителя

Первый и главный рубеж – это отправитель. Самый простой способ – подделать адрес, чтобы в поле «От кого» красовалось что-то вроде «support@вашбанк.ru». Раньше это делалось элементарно, сейчас почтовые протоколы научились проверять подлинность отправителя с помощью систем вроде SPF, DKIM и DMARC. Это три кита, на которых держится доверие к адресу. Не будем углубляться в технические дебри, скажем просто: эти технологии позволяют почтовому серверу получателя проверить, имеет ли право сервер отправителя рассылать письма от имени этого домена. Если права нет – письмо пометят как подозрительное или вовсе отклонят.

Что делает умный фишер? Он не бьется лбом об эту стену. Он ищет обходные пути. Например, регистрирует домен, визуально неотличимый от настоящего. Заменяет кириллическую «а» на латинскую, добавляет лишний дефис или использует похожую букву из другого алфавита. Сообщение приходит с адреса «support@vаshbank.ru» (где первая «а» – кириллическая), а вы, пробегая глазами, легко можете этого не заметить. Или использует легитимный, но скомпрометированный почтовый сервер какой-нибудь маленькой фирмы, у которой слабо настроены те самые защитные механизмы. Письмо приходит с настоящего, «честного» сервера, просто этот сервер теперь в руках злоумышленников. Консьерж видит, что правила соблюдены, и пропускает посылку дальше.

Маскировка содержимого

Допустим, письмо прошло проверку отправителя. Теперь его ждет сканирование содержимого. Алгоритмы ищут ключевые слова: «срочно», «пароль», «блокировка счета», «выигрыш», «перейдите по ссылке». Ищут странные комбинации символов, слишком много восклицательных знаков, грамматические ошибки. Фишер отвечает на это изощренной мимикрией.