Артем Новицкий – Анатомия фишинга как устроены атаки изнутри (страница 4)

Ожидание и ‘вываживание’ жертвы

Письмо ушло. Теперь фишеру остается ждать, как рыболов у проруби. Но его работа не прекращается. Он мониторит, сколько писем было доставлено, сколько открыто, сколько человек перешло по ссылке. Представьте себе продавца, который стоит чуть поодаль и наблюдает, как люди подходят к его витрине. Кто заинтересовался? Кто уже тянется рукой? Когда пользователь все-таки кликает по ссылке в письме, он попадает на следующий этап – поддельную страницу. Она – точная копия страницы входа в его почту, банк или соцсеть. Тут важно понимать: если до этого этапа атака была в основном социальной (игра на эмоциях), то теперь подключается техническая часть. Страница должна не только выглядеть как настоящая, но и правильно принять введенные данные и передать их злоумышленнику. Часто после ввода логина и пароля жертве показывают сообщение об ‘ошибке’ или ‘технических работах’, чтобы не вызвать паники и дать время атакующему сделать свое дело. А дело это простое – полученные учетные данные (логины, пароли, а иногда и коды из смс) немедленно используются для доступа к реальному аккаунту.

Завершение атаки и ‘уборка следов’

Финал атаки – это достижение цели. Целью может быть просто доступ к почте, откуда можно провести новую фишинг-рассылку уже по контактам жертвы. Или доступ к банковскому счету для перевода денег. Или установка вредоносного программного обеспечения на компьютер через вложение в том самом письме. Как только желаемое получено, начинается этап ‘зачистки’. Фишер старается замести следы: удалить логи (журналы действий) на своем сервере, отключить поддельный сайт, разорвать цепочку связи. Это делает расследование инцидента крайне сложным. А что же жертва? Она понимает, что произошло, часто с большим опозданием – когда деньги исчезли, аккаунт взломан, а по его контактам рассылается спам. И вот здесь самое время вспомнить, что мы с вами только что разобрали. Остановитесь и подумайте: на каком из этих этапов атаку можно было пресечь? Скорее всего, на любом, но проще всего – в самом начале, на этапе ‘заброса удочки’. Одно вовремя заданное себе вопросы ‘А точно ли это легальное письмо? Почему оно вызывает у меня такую панику?’ может разорвать всю эту идеально выстроенную цепочку. Понимание жизненного цикла атаки лишает ее главного оружия – непонимания и таинственности. Вы уже не просто видите одно подозрительное письмо, вы видите за ним весь длинный процесс, и это знание делает вас на порядок бдительнее.

Часть 2. Техническая кухня

Поддельные сайты: клонирование и хостинг

Представьте себе ресторанный критик, который приходит в заведение, видит знакомую вывеску, интерьер один в один, меню то же самое, но еда оказывается подделкой. Вкус не тот, а после трапезы у него пропадает кошелек. Примерно то же самое чувствует человек, попавший на фишинговый сайт. Со стороны все выглядит абсолютно легально: тот же дизайн, те же логотипы, те же формы для ввода данных. Но стоит ввести свои логин и пароль, как они мгновенно утекают к злоумышленникам. Как же создаются эти цифровые двойники и где они живут? Давайте заглянем на кухню.

Процесс начинается с выбора цели. Чаще всего это крупные и популярные сервисы: онлайн-банки, почтовые службы, социальные сети, интернет-магазины. Чем больше у сервиса пользователей, тем выше шанс, что кто-то клюнет на наживку. Атакующий, которого мы условно назовем Х, первым делом проводит разведку. Он скрупулезно изучает оригинальный сайт: как он выглядит на разных устройствах, какие элементы содержит главная страница и, что критически важно, страница входа в личный кабинет. Он делает сотни скриншотов, а иногда просто сохраняет весь HTML-код и сопутствующие файлы (стили, картинки, скрипты) прямо себе на компьютер. Это называется клонированием сайта, и технически это не сложнее, чем нажать «Сохранить как» в браузере, только с помощью специальных программ, которые делают это автоматически и целиком.

Копия, но не точная

Однако идеальную копию сделать не получится. Даже если скопировать все файлы, многие динамические элементы, которые загружаются с серверов компании, работать не будут. Например, реальная проверка логина и пароля происходит на бэкенде – той части сайта, которая скрыта от глаз пользователя и находится на защищенных серверах банка. Эту часть скопировать невозможно. Поэтому Х создает лишь внешнюю оболочку – фасад. Все формы на сайте будут выглядеть рабочими, кнопки будут нажиматься, но их функция изменится кардинально. Вместо отправки данных на настоящий сервер для проверки, они будут отправляться на сервер, контролируемый самим Х. Это как если бы вы опустили письмо в красивый почтовый ящик у двери, а он вел бы не на почту, а прямиком в комнату к соседу-воришке.

Здесь возникает важный технический момент: безопасное соединение. Вы наверняка обращали внимание на замочек в адресной строке браузера и буквы HTTPS. Это означает, что соединение между вашим компьютером и сайтом зашифровано. Фишеры тоже хотят, чтобы их сайт вызывал доверие, поэтому они часто добывают или покупают SSL-сертификаты для своих поддельных доменов. Получить такой сертификат сейчас относительно несложно, есть бесплатные варианты. В итоге на фишинговой странице тоже будет красуется замочек, что усыпляет бдительность многих пользователей. Запомните: замочек гарантирует только шифрование канала, но не говорит ни о чем, о том, кто находится на другом конце. Вы можете иметь зашифрованное соединение с кем угодно, хоть с мошенником.

Доменное имя – камуфляж

Следующий шаг – выбор адреса для поддельного сайта. Это целое искусство обмана. Х не будет регистрировать домен типа hack-your-bank.com. Это слишком очевидно. Вместо этого он использует техники, называемые тайпсквоттингом или похожими доменами. Например, вместо popularbank.ru он зарегистрирует popu1arbank.ru, заменив букву ‘l’ на цифру ‘1’, которая в некоторых шрифтах выглядит практически одинаково. Или добавит дефис: popular-bank.ru. Или использует другую доменную зону: popularbank.website вместо .ru. Часто в ход идут опечатки: popylarbank.ru. Цель – чтобы пользователь, либо торопясь, либо не слишком внимательно глядя на адресную строку, не заметил подмены. Попробуйте прямо сейчас вспомнить, как точно пишется адрес вашего банка или почты. Без подсказки. Сложно? Именно на эту человеческую особенность и рассчитывают.

Хостинг: где живут фантомы

Скопированные файлы нужно где-то разместить, чтобы сайт был доступен из интернета. Это называется хостинг. Здесь у Х есть несколько путей, и все они направлены на то, чтобы максимально замести следы и продлить жизнь своему творению. Первый вариант – взлом легитимного сайта. Х находит уязвимость в каком-нибудь стареньком сайте про цветоводство или в блоге небольшой фирмы, проникает на его сервер и размещает там свои фишинговые файлы в отдельной папке. Со стороны кажется, что атака идет с безобидного ресурса, что затрудняет расследование. Второй вариант – использовать дешевый или даже бесплатный хостинг, часто зарубежный, где регистрация проводится анонимно или по поддельным данным. Третий, более продвинутый вариант – использовать облачные сервисы или сервисы для разработчиков, которые по умолчанию выдают доверенные SSL-сертификаты и имеют хорошую репутацию у систем безопасности. Фишинговый сайт может прожить на таком хостинге несколько часов или даже дней, пока его не обнаружат и не заблокируют. А для массовой рассылки писем с ссылкой этого времени более чем достаточно.

Задумайтесь на минуту: когда вы в последний раз внимательно смотрели на полную строку браузера, вводили адрес сайта вручную или переходили по ссылке из письма, не проверив ее наведение курсора? Мы все привыкли к скорости и автоматизму, и именно эта привычка играет на руку создателям поддельных сайтов. Они строят свои ловушки, рассчитывая на наше доверие к знакомому интерфейсу и нашу невнимательность к деталям. Но теперь, зная, как устроен этот фасад изнутри, вы можете взять паузу. Паузу, чтобы посмотреть на адрес. Паузу, чтобы подумать, ждали ли вы это письмо с просьбой «срочно подтвердить данные». Эта пауза и есть тот самый разрыв между автоматическим действием и осознанным решением, который делает вас неуязвимым для большинства таких атак. В следующий раз, когда будете вводить свои данные куда-либо, вспомните про этого невидимого соседа Х и его кухню по клонированию реальности. Проверьте, точно ли вы в гостях у того, у кого думаете.

Электронные письма: спам-фильтры в обход

Представьте себе почтовый ящик у вашего подъезда. Каждый день курьеры, соседи, рекламные агенты кладут туда кучу бумаг. Спам-фильтр – это строгий консьерж, который стоит рядом и безжалостно отправляет в мусорную корзину всё, что похоже на мусор: яркие листовки, газеты с кричащими заголовками, письма с явными опечатками в вашем имени. Задача фишера – сделать так, чтобы его «письмо от банка» консьерж пропустил без вопросов, приняв за официальный конверт с водяными знаками. И знаете что? У них это отлично получается.

Начнем с того, как этот консьерж вообще работает. Современные почтовые системы и антиспам-фильтры – это сложные алгоритмы, которые оценивают сотни параметров письма. Они смотрят на отправителя, на заголовки письма, на содержание текста, на вложенные файлы, на ссылки внутри. Каждому параметру присваивается вес, и если общая «штрафная» сумма превышает порог – письмо летит в спам. Фишеры знают эту систему не хуже, а порой и лучше, чем некоторые IT-специалисты. Они не пытаются взломать фильтр – они его аккуратно обходят, играя по его же правилам.