Spear phishing что это
Спирфишинг: разбираем методы атак и способы защиты от них
Фишинг (phishing) – вид интернет-мошенничества, использующий принципы социальной инженерии. Это письмо в электронной почте, звонок, SMS или сообщение в мессенджере или соц.сети, пытающееся обманом убедить пользователя передать свои конфиденциальные данные, скачать какой-то вредоносный файл или перевести деньги. Для этого отправитель представляется неким другим лицом, от которого подобная просьба вызывает меньше подозрений.
Целевой фишинг (spear phishing) – подвид фишинга, который нацелен на более узкий круг людей. Это может быть какая-то организация, группа ее сотрудников или отдельный человек, в зависимости от намерений атакующего. Получаемое сообщение в этом случае будет рассчитано именно на ограниченный круг лиц. В ходе такой атаки злоумышленник может попытаться:
Различия между фишингом и целевым фишингом
Рассмотрим ход атаки целевого фишинга на примере сообщения на электронной почте.
Сначала злоумышленник проводит большую предварительную работу по поиску информации о цели. Это может быть как адрес электронной почты и имена подрядчиков или коллег, так и увлечения цели, недавние покупки или другие вещи, которые можно узнать из социальных сетей – любая информация, которая поможет в теле письма сбить получателя с толку и заставить поверить в его правдивость.
Затем, вооружившись всеми полученными из доступных источников данными, атакующий составляет фишинговое письмо от лица кого-то, с кем знакома жертва (коллега, член семьи, друг, заказчик и т.п.). Отправляемое сообщение должно создать ощущение срочности и убедить получателя отправить личную информацию в ответе, ввести ее, перейдя по ссылке в письме, или же скачать ВПО из вложений к письму.
В некоторых случаях в идеальном для злоумышленника сценарии после того, как письмо “сработало”, на машину цели устанавливается бэкдор, позволяющий похитить необходимую информацию. Она собирается, шифруется и отправляется атакующему.
Технические средства защиты:
Какие бы технические меры защиты ни были предприняты, нежелательное письмо все равно может попасть в почтовый ящик. Поэтому стоит в письмах обращать внимание на вызывающие подозрение вещи:
Очевидно, недостаточно знать и следовать этим правилам. Необходимо также донести эту информацию до остальных людей в компании. Намного проще противостоять атаке, когда известно, что она может произойти. Важно обучать сотрудников и рассказать им о фишинговых атаках. Может быть также полезно проводить время от времени социотехническое тестирование, чтобы удостовериться, что информация была успешно усвоена.
Противостоять атакам социальной инженерии сложнее всего, поскольку конечным рубежом становится человек. Злоумышленнику тоже могут быть известны все технические способы защиты, поэтому он может изобрести способ их обойти. Однако осведомленность и выполнение несложных правил сильно снижает риск успешной атаки.
Хотите убедиться, что ваши системы надежно защищены? Или интересуетесь, как донести информацию до сотрудников? Обращайтесь, мы с радостью проведем социотехническое тестирование или поможем с обучением и расскажем о подобных атаках.
Spear Phishing: что это такое и как защитить себя
В Spear Phishing мошенники тщательно создают поддельные электронные письма и отправляют их целевой аудитории или организации. Намерение состоит в том, чтобы заставить вас предоставить информацию о банке или кредитной карте или загрузить файл, который заразит ваш компьютер.
Что такое копье фишинг?
Используя это исследование, мошенники настраивают электронные письма, используя имена или отделы компании, которые вы можете узнать и которым вы можете доверять. Это приводит к тому, что очень много сотрудников щелкают по этим электронным письмам и становятся жертвами мошенничества.
Мало того, что фишинговые атаки направлены против определенных компаний, они могут даже предназначаться для сотрудников, которые работают в отдельных отделах внутри этой компании.
Как работает Spear Phishing?
В стандартной кампании фишинга электронной почты преступники просто покупают список электронной почты или загружают список скомпрометированных адресов электронной почты, проданных хакерами.
В случае с фишингом, преступники гораздо более осторожны и умны в отношении того, на кого они нацелены и как они нацелены на них. Процесс обычно следует за шагами, изложенными ниже.
Преступные организации выбирают компанию или организацию, на которую они хотят нацелиться. Причины разработки кампании фишинг-фишинга включают в себя любое из следующего:
Хакеры используют широкий ассортимент ресурсов для сбора информации о сотрудниках, на которых они хотят ориентироваться. Социальные медиа являются наиболее распространенным местом сбора. Например, преступники заглянут на страницу генерального директора LinkedIn, чтобы найти личные связи по всей компании. Они также будут просматривать сообщения Facebook и Twitter, сделанные сотрудниками компании, для сбора личной информации.
Эти преступники ищут конкретные события или информацию, которую может распознать любой сотрудник компании. Например, если кто-то из компании публикует информацию о предстоящем сборе средств для Habitat for Humanity, мошенники извлекут из этого выгоду, разработав и отправив электронное письмо сотрудникам компании с просьбой щелкнуть ссылку для отправки финансового пожертвования в Habitat for Humanity. Это делает электронную почту более актуальной и более правдоподобной.
Сами электронные письма тщательно структурированы. Отправитель электронного письма подделан, чтобы прийти от кого-то из компании, например, от генерального директора, отдела кадров или отдела ИТ. Информация, полученная из социальных сетей, используется, чтобы побудить сотрудников щелкнуть по электронной почте и посетить вредоносный веб-сайт.
Когда сотрудники нажимают на ссылку, может быть уже слишком поздно. Вредоносный файл может автоматически загрузить и запустить, или работник может неосознанно ввести свои данные сотрудников, как их ID сети и пароль. Используя любую из этих частей информации, хакеры могут получить доступ к корпоративной сети и начать сканирование сети на предмет секретов компании.
Поскольку они так хорошо спланированы и целенаправленны, фишинговая атака чрезвычайно успешна. В последние годы он также увеличивается, что вызвано не только постоянными хакерами, которые ищут финансовую выгоду, но и иностранными агентами, усердно работающими над кражей коммерческой тайны.
Направленный фишинг – современная угроза безопасности
Распространение атак направленного фишинга связанно с их эффективностью и слабой возможности традиционных решений по безопасности противостоять им. В то время как обычная фишинговая атака рассылается массово, атаки направленного фишинга (spear phishing) проводятся против конкретных субъектов.
Spear phishing
В настоящее время растет процентная доля целевых фишинговых атак, организуемых через рассылку писем по электронной почте, в которых можно выделить конкретную организацию или группу лиц. Целевые пользователи получают тщательно разработанные фишинговые сообщения, заставляющие человека вводить конфиденциальные персональные сведения – типа логина и пароля, которые дают доступ к корпоративным сетям или базам данных с важнейшей информацией. Помимо запрашивания учетных данных, целевые фишинговые письма могут также содержать вредоносное ПО.
Направленный фишинг стал самым распространенным типом таргетированной атаки по одной простой причине: эта техника по-настоящему работает, вводя в заблуждение даже тех пользователей, которые серьезно подходят к вопросам безопасности. Она создает для хакеров опорный пункт для проникновения в корпоративную сеть. По данным исследования Check Point, проведенного среди более 10 тысяч организаций по всему миру, в 84% из них за последние 12 месяцев был скачан хотя бы один зараженный документ. Это происходит потому, что злоумышленнику достаточно просто получить представление о компании или о конкретных ее сотрудниках в сети Интернет, а затем написать такое письмо, которое побудит даже самого бдительного работника открыть вредоносное вложение и тем самым инициировать хакерскую атаку.
Цели атаки
После предварительного сбора списка вероятных сотрудников организации производится сбор данных об их сфере деятельности, зонах ответственности и горизонтальных связях. Также производится поиск точки входа для проведения атаки на выбранных субъектов. После анализа полученной информации можно составлять сценарий атаки.
Психология атаки
Нацеленная фишинговая атака всегда содержит проработанные социотехнические методы и приемы манипулирования человеческим сознанием.
С точки зрения психологии атака методами социальной инженерии всегда идет в обход аналитических инструментов разума. Она действует преимущественно на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом. Именно поэтому приемы социальной инженерии часто завершаются успехом даже в том случае, когда интеллект атакующего заметно ниже, чем у жертвы.
Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения, глубинным страхам и выработанным под давлением микросоциума приспособительным рефлексам. Чтобы развитый блок критического восприятия жертвы не мешал атаке, его просто перегружают потоком данных, переключая на анализ второстепенной информации, или используют фактор срочности, чтобы отключить вовсе и заставить действовать необдуманно. Все это похоже на атаку ключевых узлов нейросети.
Один из базовых приемов социальной инженерии— создание дефицита времени, некое событие, на которое жертва должна среагировать немедленно. Срочные решения сложно принимать именно потому, что приходится действовать в условиях нехватки достоверной информации. В таких ситуациях некогда советоваться и проверять все сообщенные атакующим данные, поэтому жертва начинает действовать, руководствуясь сильными чувствами: желанием помочь, стремлением получить признание или поскорее отделаться от неожиданной проблемы. Также часто удается сыграть на жажде легкой наживы, страхе потерять деньги, работу, результаты труда или репутацию.
Жертве могут сказать в лоб, что ситуация срочная, или позволить ей самостоятельно прийти к такому выводу. Второе эффективнее, так как для человека это будет собственная мысль, которая не вызывает сомнений. Именно на нее он будет опираться в своих минимальных рассуждениях, все больше проникаясь доверием к услышанной легенде.
Пример
Объект атаки организация ООО «Ромашка». С сайта компании получены данные о руководителе компании, секретаре и системном администраторе. С помощью телефонного звонка было выяснено ФИО и email главного бухгалтера. Из базы данных ОГРН/ЕГРЮЛ были получены полные реквизиты компании.
Тренинг персонала
Во многих компаниях проводятся тренинги по повышению осведомленности персонала к социотехническим атакам.
Технические меры защиты от фишинга, такие как фильтрация и анализ почтового/веб трафика, ограничение программной среды, запрет запуска вложений — весьма эффективны, но они не могут противостоять новым угрозам и, что более важно, не могут противостоять человеческой глупости любознательности и лени. Бывали случаи, когда пользователь, будучи не в состоянии открыть/запустить вредоносное содержимое на рабочем месте пересылал его на свой домашний компьютер и запускал, со всеми вытекающими… Поэтому, какую бы основательной не была система технической защиты — не стоит забывать про такой важный фактор как обучение пользователя.
Периодические инструктажи и информационные рассылки являются важной составляющей обучения персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках, учитывая фактор вовлеченности в процесс.
Для облегчения такого рода «учений» можно воспользоваться специализированным фреймворком gophish. Существуют и другие утилиты для облегчения задачи социоинженеру, например setoolkit, но они обладают избыточным функционалом и предназначены скорее для активной атаки. Также есть несколько онлайн сервисов, но они, в основном, англоязычные и не подходят для использования среди русскоговорящих целей фишинговой компании.
Gopgish — мультиплатформенный фреймворк с удобным веб-интерфейсом и простейшим развертыванием. Этот фреймворк разработан на Golang и вероятнее всего не заработает на шаред-хостинге, имейте это ввиду.
С его помощью можно создать фишинговую компанию для определенной группы пользователей:
Для рассылки можно применять разнообразные шаблоны. Для оценки эффективности рассылки используется трекинг система:
На фишинговой странице можно «собирать» введенные пользователями данные:
После проведения компании можно оценить её эффективность:
Spear Phishing: объяснение, примеры и защита
Возможно, вы уже сталкивались с Spear Phishing. Используя эту технику, киберпреступники отправляют вам сообщение от лица, которого вы знаете. В сообщении запрашивается ваша личная и финансовая информация. Так как это происходит от известной сущности, вы просто отвечаете, не задумываясь.
Что такое Spear Phishing
Spear Phishing – это метод, при котором киберпреступники используют целевую технику, чтобы обмануть вас и заставить поверить в то, что вы получили законное письмо от известного лица с просьбой предоставить вашу информацию. Субъектом может быть человек или любая организация, с которой вы имеете дело.
В большинстве случаев киберпреступники следят за вашей деятельностью в Интернете, особенно в социальных сетях. Когда они получают любую информацию от вас на любом веб-сайте, они получают возможность получить информацию от вас.
Например, вы публикуете обновление, в котором говорится, что вы купили телефон у Amazon на любом сайте социальной сети. Затем вы получаете электронное письмо от Amazon, в котором говорится, что ваша карта заблокирована, и что вам необходимо подтвердить свою учетную запись, прежде чем делать какие-либо покупки. Поскольку идентификатор электронной почты выглядит как Amazon, вы с готовностью отдаете информацию, которую они запрашивают.
Spear Phishing Примеры
В то время как фишинг является повседневной вещью, и многие знакомы с ним достаточно, чтобы оставаться защищенным, некоторые все еще становятся жертвами этого.
В еще одном примере, касающемся фирмы по кибербезопасности, были письма от третьих лиц, которые обманывали менеджеров, заставляя их верить, что их сотрудники спрашивают подробности. Когда киберпреступники получили информацию, выдавая себя за сотрудников по электронной почте, они смогли перевести деньги из компании на оффшорные счета преступников. Говорят, что Ubiquity потерял более 47 миллионов долларов из-за фишинг-атаки.
Мошенничество с китобойным промыслом и копьем Фишинг – это возникающая проблема кибербезопасности. Существует тонкая грань различий между ними. Spear Phishing нацелен на группу людей – например, на электронную почту, предназначенную для сотрудников компании, клиентов компании или даже конкретного человека. Мошенничество с китобойным промыслом обычно предназначается для руководителей высшего звена
Защита от фишинга
Всегда помните, что ни одна компания электронной коммерции не будет запрашивать вашу личную информацию по электронной почте или телефону. Если вы получаете какое-либо сообщение в любой форме с просьбой сообщить подробности, которыми вы не можете поделиться, рассмотрите это как попытку фишинга и сразу же отключите его. Игнорируйте такие электронные письма, сообщения и отключайте такие звонки. Вы можете подтвердить с организацией или лицом, прежде чем ответить в будущем.
Среди других методов защиты от фишинг-атак – публиковать только столько, сколько необходимо на сайтах социальных сетей. Вы можете сказать, что это фотография вашего нового телефона, и публиковать его вместо того, чтобы добавить, что вы купили его в организации XYZ – в определенный день.
Вы должны научиться распознавать фишинговые атаки, чтобы узнать больше о защите от фишинга в целом. По сути, у вас должно быть хорошее защитное программное обеспечение, которое хорошо фильтрует вашу электронную почту. Вы можете добавить сертификаты электронной почты и шифрование для почтовых клиентов, которые вы используете, чтобы вы были лучше защищены.Многие из попыток фишинга могут быть обнаружены с помощью программ чтения сертификатов, встроенных или установленных в почтовом клиенте.
Будь в безопасности, будь осторожен, когда в сети!
Spear phishing: опыт создания условно вредоносных исполняемых файлов для фишинговых рассылок
Введение
Мы уже писали о целевом фишинге (Spear Phishing) в одной из статей, в которой разобрали общие аспекты целевых рассылок электронных писем. В этой статье мы предлагаем подробнее ознакомиться с нашим опытом в тренировочных целевых рассылках, содержащих в себе условно вредоносные вложения.
Как правило, целевые рассылки включают в себя следующие этапы:
Если рассылка проводится в рамках работ, связанных с пентестом и RedTeam, то этап поиска учетных записей сотрудников занимает достаточно большое количество времени и человеческих ресурсов. Далее полученный список учетных записей должен быть сформирован в целевые группы для рассылки, после чего формируются шаблоны писем для каждой группы.
Исходя из специфики работы компании и специфики целевой группы, нужно составить наиболее правдоподобные шаблоны для писем, которые получат сотрудники. Иногда мы прибегаем к шаблонам с «обновлением» какого-либо руководящего документа.
На данном этапе также нужно выбрать какие типы вложений в письма мы будем использовать. По нашему опыту это обычно следующие типы файлов:
С SMB так же всё достаточно легко, есть инструменты автоматизации процесса, однако необходимо, чтобы у пользователя соблюдалось условие отсутствия блокировки исходящего SMB трафика на 445 порт. Некоторые компании и провайдеры блокируют такой трафик.
Уязвимостей, приводящих к выполнению кода в MS Office не так много, но нужно понимать, что не у всех компаний и не на всех рабочих станциях есть возможность обновить офисное ПО. Если мы знаем, что у какого-то конкретного сотрудника заказчика устаревший набор ПО на компьютере, то можно попробовать задействовать и такие векторы, в надежде, что антивирусное ПО так же не обновлено.
Если бы мы работали на рынке, где распространено другое офисное ПО, как, например, просмотрщик файлов Urdu InPage распространенный в Азии, то мы бы выбрали другие типы файлов для такого офисного приложения и воспользовались известными уязвимостями в нем.
С форматом PDF тоже можно рассматривать несколько вариантов создания нагрузки:
С SMB ситуация менее радужная, чем в MS Office, утечка NetNTLM-хешей в наиболее распространенных Adobe Reader и FoxitReader считается уязвимостью и она была исправлена, например, в Adobe Reader в 2018 году (CVE-2018-4993). Поэтому при подготовке нагрузки в виде PDF нужно рассчитывать на другие просмотрщики PDF документов или сильно устаревшие версии выше обозначенных.
Исполняемые файлы (.exe и др.) имеют плюс в том, что способы связи с организатором рассылки ограничиваются в основном протоколами, разрешенными в компании для компьютеров сотрудников (tcp, udp, http, icmp и т.д.), и в том, что можно собрать достаточно много информации о пользователе, который откроет такой файл. Минусы, естественно, состоят в том, что антивирусное ПО может пометить распространяемый файл как вредоносный и вся рассылка может быть порезана еще на этапе доставки почты антиспам фильтром с интегрированным антивирусным ПО. Дополнительным минусом является то, что современные операционные системы Windows помечают файл, скаченный из интернета, помещая дополнительную информацию в альтернативный поток NTFS, и при запуске файла предлагают пользователю согласиться с запуском приложения.
Почему возникла надобность в собственной разработке программы для тренинговых рассылок?
Все образцы исследованного нами свободного ПО для организации рассылок (SpearPhisher, King Phisher, Gophish) не предлагают автоматическое создание условно вредоносной нагрузки в виде исполняемого файла по шаблону, встроенному в ПО. Они оставляют это, так сказать, для «упражнения любознательного читателя».
Разработка
Подойдем к разработке ПО с описания функций которые оно должно выполнять.
Основной функцией ПО будет идентификация пользователя целевой компании, который «проглотит приманку» и запустит приложение, поэтому в первую очередь нужно определиться с данными, которые должно собрать приложение, запущенное на компьютере. Насколько полный это набор, покажет практика, если вы считаете, что мы выбрали не все идентификаторы, позволяющие установить пользователя из целевой компании, напишите нам об этом в комментариях.
Для себя мы определили эти данные так:
DNS был выбран как резервный канал передачи данных, поскольку достаточно редко в компании ограничивается доступ к DNS серверам и трафику, который проходит через DNS канал. В DNS мы выбрали А-записи как наиболее вероятный канал утечки информации.
Также не стоит забывать о том, что на целевом компьютере может быть установлено антивирусное ПО, HIPS. И это также накладывает на разработку ПО свой отпечаток. Необходимо добавить в цикл разработки ПО пункт, сопряженный с тестированием детектирования ПО популярными антивирусами. Для себя мы определили минимум тестирования как один антивирус — Defender, поскольку он является включенным в сборку Windows 10 по умолчанию.
Для сбора данных, полученных по DNS каналу, мы специальным образом настроили А-записи у регистратора нашего домена. Суть настроек сводится к тому, чтобы все запросы на поддомены нашего домена отправлялись на наш NS, где мы просто установили tcpdump на порт 53. Это минимальные усилия, необходимые для регистрации данных, отправленных нашим приложением.
Интересные моменты на пути к релизу
Оказалось, что в пакеты, предназначенные для передачи А-записей по DNS каналу, не стоит включать не ASCII символы. А значит, что имена пользователей или компьютеров, записанные в кириллице, фарси, и т.д., превращаются в каракули 🙂 Мы решили выбрать кодирование символов в кодировке base32, поскольку все символы, входящие в нее, могут быть использованы для передачи по DNS в А-записях. Хотя при поиске существующих решений мы натыкались на тот факт, что использование base64 так же приемлемо для большинства современных DNS серверов. Также данные длиннее 63 символов нужно разбивать на несколько пакетов или поддоменов. Конечно, достаточно редка такая ситуация, при которой имя пользователя или имя компьютера будет длиннее 63 символов, но, если в дальнейшем захочется проводить эксфильтрацию большего количества данных, чем мы указали в пожеланиях к программе, придется учесть этот факт.
Для определения внешнего IP адреса приходится полагаться либо на неподконтрольные ресурсы, что также может повлиять на качество собираемых результатов, если такой ресурс заблокирован в целевой компании или регионе, либо полагаться на собственные ресурсы. Поэтому по договоренности с Заказчиком нужно использовать для эксфильтрации данных внешние хосты, которые не блокируются в сети исследуемой организации, или использовать сервисы из маловероятно блокируемых сетей (Azure, Amazon, DO), полагаясь на удачу.
Поскольку внутренних адресов на целевом компьютере может быть несколько, мы всё же решили сосредоточиться на первом в списке и собирать только его. Данное предположение сделано на основе того факта, что фишинговая воронка скорее всего пройдет обычного сотрудника с обычным компьютером, на котором 1 сетевой адрес.
Тестирование
После запуска нагрузки на целевом хосте получили запросы, пришедшие из ASN, принадлежащей Microsoft во Франции, однако, после этого, через некоторое время информация о запуске нашего приложения начала поступать из ASN стран Азии — Кореи, Китая, Индии. В очередной раз подтвердилось, что современные антивирусные и антифишинговые решения отправляют подозрительные с их точки зрения файлы в свое облако и там прогоняют тесты на собственных виртуальных машинах, чтобы убедиться во вредоносности этих файлов.
Идентификаторы виртуальных машин из облака MS все типовые, произвольное имя компьютера, такое же имя пользователя. А вот идентификаторы компьютеров из Азии представляют собой более человекочитаемые данные (Computer, Admin-PC, USERPC и т.д.). С одной стороны, это может означать, что наши файлы открывали из локации, спрятанной за VPN, с другой стороны то, что антивирусные компании делятся свежими файлами друг с другом.
Поскольку мы создавали не персонализированные сборки приложений, отследить какие конкретно файлы были отправлены в облако не представилось возможным. Может быть, все файлы с рассылки, а возможно, только те, что были отправлены первыми. С высокой вероятностью, в будущих релизах мы продумаем механизм патчинга для каждого аттачмента и будем отправлять приложение с идентификатором пользователя, которому адресовано письмо — так будет проще отслеживать файлы, которые проверяются на облачных виртуальных машинах. Это необходимо для исключения false positive данных, полученных сервером, собирающим информацию.
Заключение
Успеху фишинг-атак способствует низкий уровень осведомленности пользователей о правилах работы с почтой в компании. Основной защитой от массового фишинга остаются спам-фильтры, но это не спасает от spear phishing (таргетированного фишинга).
На мой взгляд, не стоит списывать со счетов значимость социальной инженерии в контексте работ, связанных с тестированием на проникновение. Человеческий фактор всегда будет лазейкой для злоумышленников в системе безопасности даже самой крупной компании. В случае если даже незначительный процент сотрудников запустит вредоносное ПО в сети организации (особенно это касается привилегированных сотрудников — ТОП-менеджмента, системных администраторов), то это будет означать компрометацию всей компании.
Терещенко Вадим
Старший специалист направления анализа защищенности, Акрибия