20.08.2025
Примітка. У даній статті описується трохи детальніше про атаку типу «фішинг».
Є кілька цікавих моментів, які, можливо, будуть Вам корисні.
Фішинг через спеціальну розсилку (spear phishing) – це електронний лист, спрямований на певну особу або відділ в організації, який виглядає як надходження з надійного джерела. Насправді це спроба кіберзлочинців викрасти конфіденційну інформацію.
Як працює фішинг через розсилку?
Вам може бути цікаво, що потрібно для здійснення атаки такого типу. Це не тривіальна справа, і її може зробити лише людина, навчена передовим методам хакерства. Спочатку ми розглянемо кроки, необхідні для здійснення атаки, а потім кроки для зменшення цієї загрози.
Ми спробуємо максимально спростити технічні аспекти, але є кілька термінів, які вам, можливо, доведеться пошукати.
Ось 6 кроків:
1. Визначте адреси електронної пошти
Існує два способи, якими хакери розсилають фішингові кампанії: перший – це «розсилка-і-молитва», що є підходом дробовика. Отримайте якомога більше адрес електронної пошти від організації та надішліть їм усім електронний лист, на який вони зможуть натиснути. Другий підхід – визначити, які дані вам потрібні, потім з’ясувати, хто має доступ до цих даних, і цільово націлитися на цих людей . Це підхід «підробного фішингу», і, наприклад, LinkedIn надзвичайно корисний на цьому етапі таргетування. Існує кілька способів отримати електронні адреси від організації. Кіберзлочинці надають перевагу використанню скриптів для збору електронних адрес з великих пошукових систем. Ви здивуєтеся, скільки електронних листів можна перехопити таким чином і наскільки велика поверхня фішингової атаки певної організації . Щойно вони отримують електронні адреси кількох людей, на яких вони спрямовані, переходять до другого кроку.
2. Ухилення від антивірусної програми
Щоб атака потрапила до поштової скриньки цілі, електронний лист має пройти повз антивірусне програмне забезпечення, яке використовує ціль. Швидкий пошук вакансій системних адміністраторів в організації цілі на сайтах ІТ-послуг надає вражаючу кількість інформації. Вони часто точно вказують, який антивірус і яку версію вони використовують. В іншому випадку, стеження за кешем DNS і навіть соціальні мережі пропонують багато інших способів дізнатися. Після того, як антивірус відомий, його встановлюють на тестовий стенд, щоб переконатися, що електронний лист надходить належним чином. Metasploit може допомогти в цьому, це проект комп'ютерної безпеки з відкритим кодом, який надає інформацію про вразливості безпеки та допомагає в тестуванні на проникнення.
3. Фільтрація виходу
Хакери не можуть отримати інформацію з організації, яку вони атакують, якщо корисне навантаження, надіслане з атакою, не дозволяє трафіку вийти з організації. Популярне корисне навантаження називається «reverse_https», оскільки воно створює зашифрований тунель назад до сервера metasploit, що дуже ускладнює виявлення будь-чого програмним забезпеченням безпеки, таким як засоби виявлення вторгнень або брандмауери. Для цих продуктів вихід фішингових даних виглядає як звичайний https-трафік.
4. Сценарій фішингу за допомогою копії
Наразі про це написано багато статей, і це суть користувачів соціальної інженерії . Якщо вони не пройшли якісного навчання з питань безпеки, вони стають легкою мішенню для фішерів. Зловмисник досліджує свої цілі, з'ясовує, з ким вони регулярно спілкуються, і надсилає цілі персоналізований електронний лист, який використовує один або декілька з 22 червоних прапорців соціальної інженерії, щоб змусити ціль натиснути на посилання або відкрити вкладення. Тільки уявіть, що ви отримуєте електронний лист з адреси електронної пошти вашої другої половинки, у темі якого написано: « Любий, у мене була невелика аварія з машиною , а в тілі: Я зробила кілька фотографій на свій смартфон, як думаєш, це буде дуже дорого?»
5. Надсилання електронних листів
Один із варіантів — створити тимчасовий поштовий сервер і почати роботу, але цей поштовий сервер не матиме рейтингу репутації, що блокуватиме надходження великої кількості електронної пошти. Кращим рішенням буде звернення до GoDaddy, придбання дійсного доменного імені, використання безкоштовного поштового сервера, який постачається з доменом, і налаштування його таким чином, щоб GoDaddy автоматично створював запис MX. Також легко змінити інформацію Whois GoDaddy, щоб вона відповідала будь-якому цільовому домену. Все це допомагає проходити пошту, яку можна надсилати за допомогою будь-якого поштового клієнта або за допомогою скрипта.
6. Збирання скарбів
Припустимо, що ціль натиснула на посилання, і кіберзлочинцям вдалося встановити кейлогер на її комп'ютер. Тепер залишається лише чекати на щогодинний пакет даних з клавіатури, що надходять на сервер, і відстежувати облікові дані, які їм потрібні. Отримавши їх, залишається лише потрапити на робочу станцію, отримати всі хеші мережевих паролів, зламати їх і отримати доступ
Як завжди,
боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков,
stas@abcgroup.com.ua