Фишинг

Имената на PayPal, Facebook, Microsoft, Netflix и WhatsApp са най-често използваните при фишинг и спам кампании през последното тримесечие на 2019 г. Данните са на анализаторите от Vade Secure.

Лидер е услугата за онлайн разплащания. Класирането е по брой засечени фалшиви URL-и, имитиращи компании, използвани за фишинг кампании. За PayPal са засичани средно 124 различни фишинг линка всеки ден през последните 3 месеца на миналата година – или общо 11 392 засечени фалшиви копия на сайта.

На второ място в годишната класация е Facebook с 9 795 отчетени фалшификата, а на трето – Microsoft (8 565 фишинг линка). Топ 5 се допълва от Netflix (6 785 линка) и WhatsApp (5 020 линка).

Много интернет потребители са твърде уверени в способностите си да разпознават фишинг имейли. Но само 5% от над 900 участника в прочуване на security.org са успели да разпознаят всички фалшиви мейли – част от тест, на който са подложени.

Тази статистика показва защо огромна част от тези атаки в наши дни са успешни и защо фишингът остава основно средство за разпространение на зловредни кодове и онлайн измами.

Какво фишинг? Изпращането на фалшиви имейли, SMS, съобщения в чатове и социални медии или други съобщения с цел да кражба на лични данни, разпространение на вируси и др. (вижте пълната дефиниция) Откраднатите данни впоследствие се препродават или се използват често за измама или кражба на идентичност.

По данни на ФБР, броят на жертвите на фишинг атаки се е увеличил с 59% между 2015 и 2018 г. Смело може да предположим, че статистиката е непълна, защото немалка част от онлайн измамите не се докладват пред органите на реда. А фишинг атаките стават все повече и все по-софистицирани.

Прочетете още: Как да разпознаем фишинг атака

Как да се предпазите:

• Не кликайте на линкове, не сваляйте и не отваряйте прикачени файлове в съобщения, дори и да идват от привидно достоверен източник. Виждали сме атаки от името на редица български банки, електроразпределителни дружества, от НАП и дори от името на МВР
• Винаги проверявайте истинския имейл на изпращача. Легитимна институция няма да използва Gmail (например), за да разпространява електронна кореспонденция. Вижте как да разберете дали един имейл е фалшив
• Оглеждайте се за правописни и граматически грешки – фишинг имейлите често са пълни с тях
• Проверете внимателно домейна на мейла, който сте получили. Пример: Faceboооk не е Facebook. Фалшивите мейли идват с променени знаци, добавени символи и т.н.
• Винаги имайте едно наум за „спешни“ кореспонденции. Колкото по спешно се очаква да извършите едно действие, толкова по-вероятно е съобщението в него да е фалшиво
• Организирайте регулярни обучения от доказани професионалисти с опит за служителите си

Фишингът е мъртъв, да живее фишинга. Причината: броят засечени фишинг сайтове през миналата година намалява значително, но същевременно щетите от този тип атаки растат. Системите за електронни разплащания остават най-често имитираните сайтове, но софтуерните услуги стават все по-интересни на кибер престъпниците.  Но да говорим в числа.

По-малко засечени сайтове не означава по-малко създадени сайтове

По данни на Anti-Phishing Working Group (APWG) броят на засечените през 2018 г. фишинг сайтове е намалял значително – от 263 хил. за първото тримесечие на годината до 138 хил. за последното тримесечие (над 47% спад). Информацията е от Phishing Activity Trends Report на организацията, чиято основна дейност е да координира усилията на правителства, бизнеси и неправителствени организации в борбата с кибер престъпността.

Прочетете и: Три фишинг тактики, които набраха скорост през 2018

Колкото и оптимистична да изглежда тази статистика, тя има една важна особеност: числото отразява само и единствено броя на засечените и отбелязаните като фишинг сайтове – тези, които са открити и отбелязани като фишинг. „Ниският брой може да се дължи на по-ниска степен на засичане на подобни страници,“ коментират от организацията.

Като основна причина за ниския брой засечени фишинг атаки се посочва фактът, че кибер престъпниците използват техники, предназначени да предотвратят и затрудняват разкриването на фишинг адреси посредством множество пренасочвания между различни URL-и.

По-малко засечени сайтове не означава и по-малко щети и жертви

Данните на американското ФБРв тази посока са красноречиви – само за 2017 г. щетите от фишинг се равняват на 676 млн. USD, твърдят от разузнавателната агенция.

Сред водещите теми за миналата година, използвани от престъпниците, са Световното първенство по футбол, особено в частта закупуване на билети и резервации на хотели в руските градове, станали арена на футболни мачове. Забелязва се ръст в атаките, които твърдят, че потребителят е станал жертва на спиране или кражба на акаунт за услуга.

Статистиката на APWG отчита, че фишингът все повече таргетира потребителите на различни софтуерни услуги (SaaS), които към края на годината представляват около 30% от общия засечен обем атаки.

Водещи на глобално ниво по обем са фишинг сайтовете, имитиращи системи за обработка на електронни разплащания като PayPal  – те представляват над 35% от опитите за кражба на информация на потребителите.

В България също се наблюдава висока фишинг активност, която през миналата година мина през мейли, изпратени от името на НАП, различни банки, а в началото на 2019 г. стигна и до имитиране на фактури от CEZ.

 

Внимание! Написаното по-долу е история, разказана по scam имейл. Историята на Абача Тунде не е истинска. Ако получите такъв мейл не отговаряйте на него!

Надали има интернет потребител, който да не е получавал съобщение от нигерийски принцове или милионери с обещания за несметни богатства. И, ако до скоро тези scam измами бяха относително скучни и еднотипни – обещавайки милиони долари от наследство или просто в замяна на услуга за „освобождаването им“ от определени банки, сега креативността на създателите им буквално се изстреля в космоса.

Защо в Kосмоса? Защото из мейлите си може да намерите зов за помощ от майора от нигерийските военновъздушни сили Абача Тунде, който се нуждае от дарения, за да се върне на Земята след близо 30 години изгнание в Космоса. Пълната му история може да видите в текста на имейла по-долу, но резюмето е:

• Абача Тунде е първия африканец в космоса, осъществил секретен полет до орбиталната станция Салют 6 през 1979 г.
• През 1989 г. Тунде отново лети – този път до Салют 8Т през 1989 г. – и така не стига обратно до Земята
• Причината за заточението му е фактът, че мястото му е било заето от товара, който е трябвало да бъде върнат на Земята
• От 1990 г. и до момента към Тунде са изпращани доставки на провизии посредством мисии на снабдителния кораб Прогрес
• По време на престоя си в космоса нигерийският астронавт е натрупал завидните 15 млн. USD от плащания по заплатите му и лихвите по тях (все пак, в Космоса най-вероятно няма за какво толкова да се харчи)
• Завръщането му на Земята би струвал 3 млн. USD – които трябва да бъдат платени от горната сума, която от своя страна е съхранявана от Lagos National Savings and Trust Association
• За освобождаването на самата сума, обаче, се очаква помощта на получателя на мейла – каква точно е тя, не се споменава
• Като благодарност за спасението на Тунде, изпращащите мейла обещават 20% от сумата, натрупана по сметките му

А ето и самото писмо – в оригинал:

Subject: Nigerian Astronaut Wants To Come Home
Dr. Bakare Tunde
Astronautics Project Manager
National Space Research and Development Agency (NASRDA)
Plot 555
Misau Street
PMB 437
Garki, Abuja, FCT NIGERIA

Dear Mr. Sir,

REQUEST FOR ASSISTANCE-STRICTLY CONFIDENTIAL

I am Dr. Bakare Tunde, the cousin of Nigerian Astronaut, Air Force Major Abacha Tunde. He was the first African in space when he made a secret flight to the Salyut 6 space station in 1979. He was on a later Soviet spaceflight, Soyuz T-16Z to the secret Soviet military space station Salyut 8T in 1989. He was stranded there in 1990 when the Soviet Union was dissolved. His other Soviet crew members returned to earth on the Soyuz T-16Z, but his place was taken up by return cargo. There have been occasional Progrez supply flights to keep him going since that time. He is in good humor, but wants to come home.

In the 14-years since he has been on the station, he has accumulated flight pay and interest amounting to almost $ 15,000,000 American Dollars. This is held in a trust at the Lagos National Savings and Trust Association. If we can obtain access to this money, we can place a down payment with the Russian Space Authorities for a Soyuz return flight to bring him back to Earth. I am told this will cost $ 3,000,000 American Dollars. In order to access the his trust fund we need your assistance.

Consequently, my colleagues and I are willing to transfer the total amount to your account or subsequent disbursement, since we as civil servants are prohibited by the Code of Conduct Bureau (Civil Service Laws) from opening and/ or operating foreign accounts in our names.

Needless to say, the trust reposed on you at this juncture is enormous. In return, we have agreed to offer you 20 percent of the transferred sum, while 10 percent shall be set aside for incidental expenses (internal and external) between the parties in the course of the transaction. You will be mandated to remit the balance 70 percent to other accounts in due course.

Kindly expedite action as we are behind schedule to enable us include downpayment in this financial quarter.

Please acknowledge the receipt of this message via my direct number 234 (0) 9-234-XXXX only.

Yours Sincerely, Dr. Bakare Tunde
Astronautics Project Manager
[email protected]

http://www.nasrda.gov.ng/

 

Обновено на: 18 януари 2019 г., 8:15 ч.

Фишинг атака от името на CEZ България, разпространяваща фалшива „фактура“ от името на електроразпределителното дружество, е засечена сред български потребители. Атаката е особено добре изпълнена, тъй като времето на изпращане съвпада с изпращането на истинските фактури от страна на CEZ.

Според официалното съобщение на компанията, писмото имитира фактура за потребителска сметка от дружеството в .7z формат (който съдържа вирус) и линк, който води към фалшива форма за логин в системата на CEZ. От компанията (а и ние) съветват потребителите да не отварят съобщението и да го изтрият веднага.

Текстът на писмото е:

Уважаеми Господине / Госпожо,

В прикачен файл Ви изпращаме Вашата нова фактура от ЧЕЗ Електро България АД. Моля, потвърдете получаване на настоящото съобщение като кликнете тук.

Спестете време и платете сметката си към ЧЕЗ чрез електронно банкиране, предлагано от Вашата банка или онлайн на www.ePay.bg.

Това е автоматично генерирано съобщение, моля, не отговаряйте на този имейл!

За връзка с нас: информационна линия 0700 10 010, www.cez.bg, [email protected]

При клик на линка се отваря страница с домейн, който няма общо с CEZ, на който е отбелязано, че мнимата сметка трябва да бъде погасена до 1 февруари 2019 г.

При стартиране, прикачения файл се опитва да свали троянец, който стартира ransomware.

Как да разпознаете фишинга от CEZ:

• Файловият формат. От CEZ изрично уточняват, че изпращат фактури само в PDF формат
• Линкът, към който води мейла, е различен от сайта на компанията – bg. Ако искате да видите електронната си фактура, може да използвате логин формата на сайта – без да кликате по линкове в електронната си поща

Вижте още съвети как да разпознаете фишинг атака тук

От CEZ добавят, че лични данни не са били достъпвани или копирани от сървърите на дружеството от трети страни.

 

Фишингът е една от най-големите заплахи за бизнеса: около три четвърти от фирмите претърпяват поне една фишинг атака годишно според Wombat Security. За да продължава да е ефективен, фишингът разчита на изобретателността на спамърите. Те трябва постоянно да измислят нови начини, чрез които да накарат потребителите да отворят пощенската си кутия и да последват зловредния линк.

2018 ще бъде запомнена с няколко фишинг тактики, които според StorageCraft са зачестили тази година. Това не означава, че няма да ги видим и през 2019 г. Най-вероятно те ще продължат да са част от арсенала на спамърите, които всеки ден заливат света с милиарди имейли.

Смишинг (SMiShing)

Смишингът е практиката да се изпращат като SMS линкове към зловреден софтуер. Той е алтернатива на фишинг имейлите, голяма част от които попадат в спам филтрите или потребителите просто ги разпознават.

Смишингът от друга страна доставя зловреден линк по друг канал: чрез SMS. Потребителите са по-малко подозрителни към SMS-ите, които получават, и това прави смишинга ефективна техника за измама.

GDPR фишинг

Влизането в сила на GDPR в края на май 2018 г. доведе до бум на тематичния спам. Фишинг кампаниите започнаха месеци преди влизането в сила на директивата. Честа практика беше писмата да се изпращат от името на големи компании, които предупреждават потребителите да променят настройките си за поверителност.

Спам писмата отвеждаха потребителите към фалшиви страници, които крадат данни за достъп. И тъй като точно тогава GDPR беше изключително актуална тема, много потребители станаха жертви на този тип фишинг.

Данъчен спам

Този вид фишинг се случва основно в САЩ, но никой не е застрахован от него. Спамърите атакуват данъчни консултанти и счетоводители, опитвайки се да откраднат данните им за достъп до системите, в които се съхранява информация за пенсионните планове на американците. Тези данни са изключително ценни. Те могат да бъдат продадени на черните пазари за данни, да бъдат използвани за източване на банкови сметки или за кражба на самоличност.

Нова фишинг кампания атакува потребители с Apple ID, използвайки хитър и труден за забелязване механизъм. Според BleepingComputer потребителят получава писмо с фалшива фактура за закупено приложение от App Store.

Фактурата съдържа линкове към страници, от които да се докладват неоторизирани покупки. Всъщност линковете водят към фишинг страница, която изисква от потребителя да въведе своите данни за достъп до Apple ID.

При въвеждане на данните фалшивият сайт отвежда потребителя към друга страница с предупреждение, че акаунтът му е бил заключен. Тук потребителят започва да се тревожи, че акаунтът му е бил хакнат, затова натиска бутончето Unlock Account. То го води към трета фишинг страница, на която той трябва да въведе данни, за да потвърди самоличността си.

Според BleepingComputer един от елементите, които правят фишинг атаката толкова убедителна, е, че след като въведе данните си, потребителят вижда съобщение: This session has timed out for your security. Това още повече го убеждава, че това, което се случва, е истина.

Apple е на 14-о място в класацията на Vade Secure за най-експлоатираните брандове във фишинг атаки. На първите места в списъка  са Microsoft, PayPal и Netflix.

Спамърите стават все по-изобретателни, когато трябва да осъществят фишинг кампания. Често срещана тактика е да изпращат фишинг съобщения от фалшиви имейл адреси, които изглеждат напълно легитимни. Друг популярен подход е да правят фишинг страници със SSL сертификат, за да могат да заблудят жертвите си. Всъщност половината фишинг страници използват SSL, ако се вярва на данните на PhishLabs.

Според проучване на Sophos най-ефективните фишинг съобщения съдържат в себе си нещо банално: например заявка за нова задача или среща. „Изводът е, че трябва да сме внимателни. Дори и най-тривиално изглеждащите имейли могат да крият в себе си заплаха“, коментират от компанията.

 

Фишингът е водеща заплаха за бизнеса – около 77% от фирмите отчитат поне eдин опит за фишинг атака месечно по данни на компанията за информационна сигурност Sophos. Какво прави тази заплаха толкова ефективна?

Отговорът е: човешката природа. Фишингът съобщенията разчитат на манипулативни заглавия, които да привлекат вниманието на потребителя и да го накарат да последва зловредния линк. Но кои са заглавията, които „работят“ най-добре?

Статистиката на Sophos показва, че сензацията не работи, когато стане дума за фишинг. Най-ефективни са заглавията, свързани със скучни ежедневни задачи и засягащите ги услуги. Такъв пример е заглавието [JIRA] A task was assigned to you, което е изключително ефективно: над 38% от потребителите кликат върху заложения в съобщението линк.

Друг пример е Let’s meet next week, което е обичайно заглавие за предложение за бизнес среща.

Резултатите от проучването на Sophos показват, че макар компаниите да се въоръжават с нови инструменти за борба с киберзаплахите, тя все още не могат да се справят ефективно с фишинга. „Изводът е, че трябва да сме внимателни. Дори и най-тривиално изглеждащите имейли могат да крият в себе си заплаха“, коментират от фирмата.

Ето и кои са десетте заглавия, които карат най-много потребители да станат жертва на фишинг.

 

Заглавие на фишинг съобщението	% от потребителите, които са кликнали
[JIRA] A task was assigned to you	38.50%
Let’s meet next week	29.10%
Harassment Awareness Training	26.01%
Car lights left on	24.61%
eFax message from (CustomerName) – 2 page(s)	23.55%
Traffic Citation for (EmailFirstName)(EmailLastName)	21.95%
In areas for driving on toll road	21.36%
Suspicious male spottedoutside (CustomerName) Building	20.44%
PLEASE READ – Annual Employee Survey	18.55%
New Email System at (CustomerName) – Please Read	18.48%
	Източник: Sophos

Социалните мрежи повече или по-малко са дигитални копия на вашата самоличност. Те съдържат информация за вашите приятели, вашата комуникация, вашите спомени: всичко, което е ценно за самите вас.

Това обяснява защо хакването на профили в социалните мрежи е толкова популярно. Те съдържат огромно количество лични данни, които струват пари.

Никой не е застрахован от кражба на профил. Има обаче няколко прости правила, които могат да ви помогнат да намалите вероятността това да се случи и с вас.

Използвайте силни пароли и ги сменяйте често

Изборът на трудна за отгатване парола е базово правило, което много потребители все още не спазват. Хората са предсказуеми и избират лесни за познаване пароли: имена на деца, домашни любимци, ЕГН, любим футболен отбор…Дори няма да споменаваме комбинацията 123456, която официално е най-лесната за разбиване парола в света.

„Пълна сигурност няма, но има няколко стъпки, които могат да намалят рисковете от атака. Една от тях е да спазваме хигиена и да избираме трудни за разбиване пароли, които периодично променяме“, коментира Христо Ласков, ИТ анализатор и автор във FreedomOnline.bg.

Изберете парола с дължина поне 8 символа, която включва малки и големи букви, числа и символи (например ^). Можете да изберете и комбинация от думи, за да запомните паролата по-лесно.

Не е достатъчно само да имате силна парола. Трябва да я сменяте често. Обикновено се препоръчва да сменяте паролата си на всеки 6 месеца. Това ще намали риска някой да получи достъп до профила ви, дори и да разполага с ваша стара парола.

Използвайте двуфакторна автентикация

Двуфакторната автентикация осигурява втори слой на защита за профила ви (първият е паролата). Когато двуфакторната автентикация е включена, профилът ви не може да бъде достъпен само с парола.

След въвеждането на паролата собственикът получава на смартфона си код за еднократна употреба, който трябва да въведе, за да влезе в профила си. Така, дори някой да знае паролата за вашия профил, той не може да влезе в него, ако не разполага физически със смартфона ви.

Повечето социални мрежи като Facebook и Instagram предлагат двуфакторна автентикация, необходимо е само да я активирате. Имате възможност да получавате еднократните кодове за достъп като SMS или да ги генерирате на момента чрез допълнително приложение.

Научете се да разпознавате фишинг

Фишингът продължава да е една от най-големите заплахи в интернет както за бизнеса, така и за индивидуалните потребители. Това е тактиката да се изпращат линкове към зловредни сайтове, които имитират легитимни страници за въвеждане на данни (например точно копие на заглавната страница на Facebook).

Авторът на фишинг атаката се опитва да убеди жертвата си да въведе своите данни за достъп на фалшивата страница. Така той ги открадва и може да ги използва, за да получи достъп до чуждия профил.

Основно правило е никога да не въвеждате лични данни в страници, които са ви изпратени по имейл. Ако трябва да въвеждате данни, отворете адреса на сайта, а не го отваряйте чрез предоставения в имейла линк.

Можете също така да прочетете нашия наръчник за разпознаване на фишинг атаки.

Не влизайте в профила си от публични компютри

Публичните компютри са навсякъде: в библиотеката, в офиса, в училища и университети, в заведения и т.н. Въздържайте се да ги използвате, за да влизате от тях в профилите си в социалните мрежи. Причината е, че не знаете какъв софтуер е инсталиран на тези компютри.

Възможно е на тях да има инсталиран т.нар. keylogger – софтуер, който записва всички въведени от клавиатурата символи.  Възможно е компютърът вече да е хакнат и цялата активност на него да се следи.

Когато използвате публично достъпен компютър, винаги го правете с мисълта, че е възможно да е компрометиран. Не използвайте такива устройстви, за да въвеждате чувствителни данни, да банкирате онлайн, да правите покупки и т.н.

Не запаметявайте пароли в браузъра

Запаметяването на пароли в браузъра е удобно, но не е безопасно. Ако някой друг има достъп до устройството, той може да види запаметената парола и да я използва, за да влезе в профила ви.

Дори и без физически достъп запаметената парола може да бъде открадната. Някои видове малуер проверяват за запаметени пароли, копират ги и ги изпращат към команден сървър, от където могат да бъдат използвани за злоупотреби.

Ако имате много и различни пароли (а добрата практика изисква да използвате различна парола за всеки профил) можете да използвате софтуер за управление на пароли (password manager).

Руският банков сектор е бил цел на поне две масирани хакерски атаки през последните 30 дни. Едната от тях се е случила в утрото на 15 ноември и е засечена от компанията за киберсигурност Group-IB.

Служителите на финансовите институции са получили съобщение от имейл адрес на Централната банка на Русия. В него се казва, че банките трябва незабавно да въведат промени в начина, по който оформят електронната си комуникация. Предполагаемите промени са описани в архивирани документи, които са прикачени към съобщението.

Всъщност писмото не е изпратено от централната банка, а от фалшив имейл адрес. В архивираните файлове се съдържа зловреден код, който при отварянето сваля малуер на атакуваното устройство.

Според Group-IB авторите на кампанията са част от Silence – хакерска група, за която се подозира, че членовете й работят като консултанти по киберсигурност. Silence е известна и с други атаки срещу банки предимно в Русия.

„Стилът и форматираното на зловредните имейли много прилича на официалната кореспонденция на централната банка. Хакерите най-вероятно са имали достъп до легитимни имейли. Членовете на Silence вероятно работят легално като консултанти по информационна сигурност. Като такива те са запознати с документацията във финансовия сектор и структурата на банковите системи“, посочват от Group-IB.

Около месец по-рано, на 23 октомври, е осъществена друга масирана атака срещу руски банки. И този път е използван фалшив имейл адрес на централната банка и по-точно на звеното за борба с компютърни атаки FinCERT. Изпратеният имейл е съдържал 5 прикачени документа, два от които са били зловредни.

Group-IB прогнозира, че автор на атаката е MoneyTaker , друга хакерска група, която има опит в изпращането на фишинг кампании към банки.

Не се споменава дали засечените кампании са довели до щети. Атаките обаче показват, че хакерите продължават да разчитат на тривиални, но ефективни тактики, каквато е фишингът. Около 76% от фирмите са били атакувани от фишинг кампании през 2017 г. според данните на Wombat Security.