[Информационная безопасность, Исследования и прогнозы в IT, Статистика в IT] Phishing-as-a-Service: доступный фишинг для всех желающих
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Криминальные группировки используют для атак самые эффективные инструменты, которые позволяют быстро и с минимальными затратами получить желаемое: проникнуть в систему, запустить вредоносное ПО, похитить деньги. По данным исследований самым распространённым вектором атак остаётся фишинг — направленные на людей кампании, в которых активно используется социальная инженерия.
Востребованность фишинга привела к появлению специализированных сервисов, предлагающих полный цикл услуг по созданию и реализации мошеннической атаки. За относительно небольшие деньги заказчик получает исследование целевой аудитории, разработку писем с учётом психологического портрета потенциальных жертв, а также инфраструктуру для проведения кампании. О том, как устроена услуга Phishing-as-a-Service (PhaaS), во сколько обходится её аренда и как защититься от мошенников, рассказывает Андрей Жаркевич, редактор ИБ-компании «Антифишинг». Текст подготовлен по результатам интервью.
Как всё начиналось
В зачаточном виде услуга Phishing-as-a-Service появилась 10 лет назад в виде готового к использованию комплекта для проведения фишинговых атак Login Spoofer 2010, который предусматривал возможность работы из облака.
Это было совсем не то, что используют злоумышленники и их клиенты сейчас, но система позволяла создавать фишинговые сайты и распространялась бесплатно. Чтобы компенсировать отсутствие монетизации своего инструмента, разработчики тайком от доверчивых скрипт-киддис отправляли данные, проходившие через их инструмент, на свой сервер, а затем использовали в своих целях.
Позже появились «честные» сервисы, которые делают ровно то, что обещают клиентам.
Устройство PhaaS
Принцип разделения труда позволяет повысить производительность даже если речь идёт о нелегальных сферах деятельности. Благодаря PhaaS преступникам не приходится заниматься рутинными задачами, которые включают в себя:
- Подготовительный этап: определение целевой аудитории, построение её психологического портрета, определение наиболее эффективной разновидности фишинга, которая будет использоваться — мессенджеры, соцсети, электронная почта или вредоносная реклама.
- Разработку фишингового послания. Письмо должно «цеплять» потенциальную жертву, чтобы ударить по базовым эмоциям и отключить рациональное мышление. Оформление и содержание послания должны быть реалистичными, чтобы в них поверила как можно большая часть целевой аудитории.
- Создание инфраструктуры: сайта, который имитирует сайт реальной компании и ворует данные клиентов, вредоносного вложения, которое загружает «полезную нагрузку» для продолжения атаки.
- Запуск кампании: рассылка сообщений выбранным способом, сбор данных, получение информации от «полезной нагрузки» или проникновение в целевую систему и шифрование данных. Это финальный этап, на котором злоумышленники получают нужный им результат.
Появление предложений фишинга как услуги привело к тому, что провести мошенническую кампанию стало также просто, как подписаться на Netflix. Клиенты киберпреступников получают следующие возможности:
- Экономия средств. Стоимость фишинговых услуг определяется их масштабом и основной задачей, но в целом, это гораздо дешевле, чем готовить атаку самому.
- Масштабируемость. Нужно отправить 10 фишинговых писем? Не проблема. Миллион? Нет проблем, только заплатите.
- Постоянное обновление. Фишинговая инфраструктура обновляется, интегрирует новые технологии, которые помогают обходить защиту компаний и частных пользователей.
- Доступность. Практически все сервисы имеют квалифицированную круглосуточную службу поддержки, которая общается на самых распространённых языках. В результате стать фишером может любой, кто готов заплатить.
Стоимость и распространённость
В прошлом году компания Cyren, занимающаяся информационной безопасностью, объявила об обнаружении примерно 5334 готовых к использованию Phishing-as-a-Service продуктов. Вот скриншот предложений одного из разработчиков вредоносного сервиса.
Как видим, стоит сервис недорого, предлагает богатый набор функций, да ещё и скидки для пользователей. Выглядит продукт очень профессионально, не хуже, чем предложения легальных сервисов. Никакого намёка на непрофессионализм, андеграунд и противозаконность. Цена же доступна для практически любой категории пользователей — бери и работай.
Поддельный сайт Microsoft. использует домен microsoft.net и нормальный SSL-сертификат. Такой обман способен ввести в заблуждение даже технически подкованного пользователя.
Фишинговая кампания от профессионалов включает рассылку сообщений, создание мошеннических ресурсов, разработку методов маскировки ссылок.
Почему фишинг эффективен
Психологическая составляющая
Основная причина эффективности фишинга состоит в том, что он позволяет обходить самые продвинутые защитные системы, воздействуя на людей и на их базовые эмоции так, что они совершают действия, нужные преступникам. Это наглядно демонстрируют успешные кампании по компрометации деловой переписки (BEC), в ходе которых не используется ничего кроме текста.
Самые изощрённые методы маскировки фишинговой ссылки не сработают, если текст сообщения не вызовет в сознании получателя желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
После того как пользователь под воздействием текста фишингового сообщения решил открыть вложенный документ или перейти по ссылке, наступает очередь инфраструктурного фишингового инструментария. Важно, чтобы «клюнувшая» на приманку жертва продолжала верить в то, что всё делает правильно.
Техническая составляющая
В качестве средств для обхода технических средств защиты злоумышленники обычно применяют следующие:
- Кодировка символов HTML: шифруется HTML-код страницы, чтобы поисковые роботы не смогли обнаружить ключевые слова, указывающие на вредоносный сайт.
- Шифрование содержимого: аналогично кодировке HTML, используется для обфускации содержимого для предотвращения обнаружения.
- Блокировка проверки: защищает от поисковых роботов и тех, которые ищут фишинговые сайты.
- URL-адреса во вложениях: скрывает вредоносные ссылки во вложениях, чтобы они не были очевидны
- Инъекции контента (content injection): внедрение вредоносного контента на страницу легитимного веб-сайта для того, чтобы скрыть истинную природу фишингового сайта.
- Законный облачный хостинг: использование известных, работающих легально облачных провайдеров для размещения фейковых сайтов.
Сейчас практически все фишинговые ресурсы используют цифровые сертификаты для повышения уровня доверия к ним. Согласно Anti-Phishing Working Group (APWG), ещё два года назад назад SSL-сертификаты были только у половины фишинговых сайтов.
Как защититься?
Поскольку фишинговые атаки ориентированы на людей, то и основным способом защиты от них будет работа с людьми, которая состоит из двух обязательных частей:
- обучения сотрудников навыкам безопасного поведения при работе и в повседневной жизни;
- отработки практических навыков безопасного поведения с помощью систем, имитирующих реальные атаки.
Тренинги для пользователей необходимо проводить регулярно, причём в них должны принимать участия все без исключения сотрудники компании. Для выработки навыков безопасной работы недостаточно традиционного обучения в виде показа фильма или лекции по основам информационной безопасности.
Знание ≠ действие, поэтому теорию необходимо отработать на практике, поскольку злоумышленники используют техники, которые не распознают даже опытные специалисты по кибербезопасности. Организовать тренировку навыков можно с помощью проведения различных фишинговых атак, имитирующих действия реальных киберпреступников.
Сколько зарабатывают киберпреступники?
По данным отчета McAfee «Скрытые издержки киберпреступности», из-за хакеров мировая экономика ежегодно теряет не менее 1 трлн долларов США, что составляет более 1% глобального ВВП. Потери российской экономики от киберпреступности по данным Сбербанка по итогам 2020 года могут достигнуть 3,5 трлн руб.
Наиболее прибыльными отраслями стали:
Разновидность преступления
Ежегодный доход
Illegal online markets
$860 млрд
Trade secret, IP theft
$500 млрд
Data Trading
$160 млрд
Crime-ware/CaaS
$1.6 млрд
Ransomware
$1 млрд
Всего
$1.5 трлн
Стоимость различных услуг, которые оказывают злоумышленники по схеме SaaS:
Продукт или сервис
Стоимость
SMS Spoofing
$20/мес
Custom Spyware
$200
Hacker-for-Hire
$200+
Malware Exploit Kit
$200-$700
Blackhole Exploit Kit
$700/мес or $1 500/год
Zero-Day Adobe Exploit
$30 000
Zero-Day iOS Exploit
$250 000
Прогнозы и рекомендации
Эффективность схемы PhaaS и рост числа фишинговых кампаний во всём мире позволяют прогнозировать дальнейший рост предложения этого киберкриминального сервиса. Высока вероятность того, что предложения PhaaS пополнятся данными полученными в результате утечек, произошедших в течение 2020 года, что увеличит эффективность и опасность мошеннических кампаний.
С учётом того, что средний размер ущерба от успешной фишинговой атаки по данным Group-IB превышает 1,5 млн рублей, организациям следует внимательно проанализировать потенциальные риски и проверить устойчивость своих сотрудников к действиям мошенников, чтобы снизить вероятность финансовых и репутационных потерь.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Хранение данных] Мэрия Москвы создаст базу с данными москвичей. Она будет включать информацию о детях и животных
- [Информационная безопасность, IT-компании] За 2020 год утекли данные 100 миллионов россиян
- [Информационная безопасность] Взлом хешей с помощью HashCat
- [Информационная безопасность, Системное администрирование, Системное программирование, DevOps] Безопасное использование секретов: шаблон для использования HashiCorp Vault (перевод)
- [Информационная безопасность, CTF] Препарируем Compound File Binary format (CFB), или начинаем парсить DOC
- [Управление e-commerce, Управление продажами, Статистика в IT] Алгоритм поиска товаров для продажи на маркетплейсах
- [Исследования и прогнозы в IT, Дизайн игр, Научно-популярное, Будущее здесь] Эволюция геймплея — от античности до наших дней
- [Информационная безопасность, Производство и разработка электроники, Интернет вещей] Исследователи показали, как клонировать ключи Google Titan через уязвимость чипа NXP
- [Информационная безопасность, CTF] Hack The Box. Прохождение Omni. Ломаем легенький Windows IoT
- [Исследования и прогнозы в IT, Финансы в IT] «Лев уже не торт»: одна из киностудий снова выставлена на продажу, но ее стоимость снизилась почти вдвое
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_issledovanija_i_prognozy_v_it (Исследования и прогнозы в IT), #_statistika_v_it (Статистика в IT), #_ib (иб), #_fishing (фишинг), #_kiberprestupniki (киберпреступники), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_issledovanija_i_prognozy_v_it (
Исследования и прогнозы в IT
), #_statistika_v_it (
Статистика в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:14
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Криминальные группировки используют для атак самые эффективные инструменты, которые позволяют быстро и с минимальными затратами получить желаемое: проникнуть в систему, запустить вредоносное ПО, похитить деньги. По данным исследований самым распространённым вектором атак остаётся фишинг — направленные на людей кампании, в которых активно используется социальная инженерия. Востребованность фишинга привела к появлению специализированных сервисов, предлагающих полный цикл услуг по созданию и реализации мошеннической атаки. За относительно небольшие деньги заказчик получает исследование целевой аудитории, разработку писем с учётом психологического портрета потенциальных жертв, а также инфраструктуру для проведения кампании. О том, как устроена услуга Phishing-as-a-Service (PhaaS), во сколько обходится её аренда и как защититься от мошенников, рассказывает Андрей Жаркевич, редактор ИБ-компании «Антифишинг». Текст подготовлен по результатам интервью. Как всё начиналось В зачаточном виде услуга Phishing-as-a-Service появилась 10 лет назад в виде готового к использованию комплекта для проведения фишинговых атак Login Spoofer 2010, который предусматривал возможность работы из облака. Это было совсем не то, что используют злоумышленники и их клиенты сейчас, но система позволяла создавать фишинговые сайты и распространялась бесплатно. Чтобы компенсировать отсутствие монетизации своего инструмента, разработчики тайком от доверчивых скрипт-киддис отправляли данные, проходившие через их инструмент, на свой сервер, а затем использовали в своих целях. Позже появились «честные» сервисы, которые делают ровно то, что обещают клиентам. Устройство PhaaS Принцип разделения труда позволяет повысить производительность даже если речь идёт о нелегальных сферах деятельности. Благодаря PhaaS преступникам не приходится заниматься рутинными задачами, которые включают в себя:
Появление предложений фишинга как услуги привело к тому, что провести мошенническую кампанию стало также просто, как подписаться на Netflix. Клиенты киберпреступников получают следующие возможности:
Стоимость и распространённость В прошлом году компания Cyren, занимающаяся информационной безопасностью, объявила об обнаружении примерно 5334 готовых к использованию Phishing-as-a-Service продуктов. Вот скриншот предложений одного из разработчиков вредоносного сервиса.  Как видим, стоит сервис недорого, предлагает богатый набор функций, да ещё и скидки для пользователей. Выглядит продукт очень профессионально, не хуже, чем предложения легальных сервисов. Никакого намёка на непрофессионализм, андеграунд и противозаконность. Цена же доступна для практически любой категории пользователей — бери и работай.  Поддельный сайт Microsoft. использует домен microsoft.net и нормальный SSL-сертификат. Такой обман способен ввести в заблуждение даже технически подкованного пользователя. Фишинговая кампания от профессионалов включает рассылку сообщений, создание мошеннических ресурсов, разработку методов маскировки ссылок. Почему фишинг эффективен Психологическая составляющая Основная причина эффективности фишинга состоит в том, что он позволяет обходить самые продвинутые защитные системы, воздействуя на людей и на их базовые эмоции так, что они совершают действия, нужные преступникам. Это наглядно демонстрируют успешные кампании по компрометации деловой переписки (BEC), в ходе которых не используется ничего кроме текста. Самые изощрённые методы маскировки фишинговой ссылки не сработают, если текст сообщения не вызовет в сознании получателя желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение. Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности. После того как пользователь под воздействием текста фишингового сообщения решил открыть вложенный документ или перейти по ссылке, наступает очередь инфраструктурного фишингового инструментария. Важно, чтобы «клюнувшая» на приманку жертва продолжала верить в то, что всё делает правильно. Техническая составляющая В качестве средств для обхода технических средств защиты злоумышленники обычно применяют следующие:
Сейчас практически все фишинговые ресурсы используют цифровые сертификаты для повышения уровня доверия к ним. Согласно Anti-Phishing Working Group (APWG), ещё два года назад назад SSL-сертификаты были только у половины фишинговых сайтов. Как защититься? Поскольку фишинговые атаки ориентированы на людей, то и основным способом защиты от них будет работа с людьми, которая состоит из двух обязательных частей:
Тренинги для пользователей необходимо проводить регулярно, причём в них должны принимать участия все без исключения сотрудники компании. Для выработки навыков безопасной работы недостаточно традиционного обучения в виде показа фильма или лекции по основам информационной безопасности. Знание ≠ действие, поэтому теорию необходимо отработать на практике, поскольку злоумышленники используют техники, которые не распознают даже опытные специалисты по кибербезопасности. Организовать тренировку навыков можно с помощью проведения различных фишинговых атак, имитирующих действия реальных киберпреступников. Сколько зарабатывают киберпреступники? По данным отчета McAfee «Скрытые издержки киберпреступности», из-за хакеров мировая экономика ежегодно теряет не менее 1 трлн долларов США, что составляет более 1% глобального ВВП. Потери российской экономики от киберпреступности по данным Сбербанка по итогам 2020 года могут достигнуть 3,5 трлн руб. Наиболее прибыльными отраслями стали: Разновидность преступления Ежегодный доход Illegal online markets $860 млрд Trade secret, IP theft $500 млрд Data Trading $160 млрд Crime-ware/CaaS $1.6 млрд Ransomware $1 млрд Всего $1.5 трлн Стоимость различных услуг, которые оказывают злоумышленники по схеме SaaS: Продукт или сервис Стоимость SMS Spoofing $20/мес Custom Spyware $200 Hacker-for-Hire $200+ Malware Exploit Kit $200-$700 Blackhole Exploit Kit $700/мес or $1 500/год Zero-Day Adobe Exploit $30 000 Zero-Day iOS Exploit $250 000 Прогнозы и рекомендации Эффективность схемы PhaaS и рост числа фишинговых кампаний во всём мире позволяют прогнозировать дальнейший рост предложения этого киберкриминального сервиса. Высока вероятность того, что предложения PhaaS пополнятся данными полученными в результате утечек, произошедших в течение 2020 года, что увеличит эффективность и опасность мошеннических кампаний. С учётом того, что средний размер ущерба от успешной фишинговой атаки по данным Group-IB превышает 1,5 млн рублей, организациям следует внимательно проанализировать потенциальные риски и проверить устойчивость своих сотрудников к действиям мошенников, чтобы снизить вероятность финансовых и репутационных потерь. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_issledovanija_i_prognozy_v_it ( Исследования и прогнозы в IT ), #_statistika_v_it ( Статистика в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:14
Часовой пояс: UTC + 5