Внимание, под катом много изображений.
К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, , постараюсь описать основные приемы.
При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.
Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.
Gmail — документы
Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу: Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
(в коде страницы установлен сниффер, который логгирует все заходы на страницу — )
Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего, форма была сделана с помощью инструмента , в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.
Gmail — недоставленное сообщение
Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось? Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на:
Gmail — срочно сменить пароль
Пользователь, какие-то нехорошие личности взломали твой пароль! Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий:
Gmail — ваша почта будет заблокирована
Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик: Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: и попадает на «персональную страничку»: Gmail — спам
Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт: Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку:
Gmail — черный список
Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа: По ссылке уже известный адрес:
Gmail — пора увеличить объем
Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо: Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: ://mail.google.com/mail/ Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.
Gmail — рабочие моменты
Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:
Ссылка редиректит на домен ://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1 Первая форма, на которой стоит новый логотип.
Mail.ru — рабочие моменты
Похож на способ указанный выше, прислали какие-то документы, вариаций может быть довольно много: Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен — большинство рядовых пользователей введет свой пароль «на автомате»: Mail.ru — сообщение не доставлено
Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности: А там уже знакомая нам форма: Mail.ru — увеличить объем ящика
Еще один лидер моего хит-парада правдоподобности: При переходе попадаем на форму увеличения объема ящика: Еще один тип такого письма: По ссылке видим форму: Похож на способ указанный выше, но фишинговый домен уже не работает: Ссылка не работает:
Mail.ru — уведомление о безопасности
Вашу почту кто-то взломал, срочно бегите менять пароль: Фишинговая ссылка редиректит на (уже не работает).
Yandex — уведомление о безопасности
Не подтвердите аккаунт — заблокируем почту: По ссылке форма, с уже подставленным именем учетной записи: Yandex — реактивация почтового ящика
Опять необходимо выполнить какие-то действия: Добавлено много «правдоподобных» деталей: Рассылка вредоносных файлов/криптолокеров
Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:
Письмо, содержащее инструкции для «подтверждения» доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл): Письмо из арбитражного суда, содержащее ссылку на криптолокер: Письмо из Сбербанка о выданном кредите (со ссылкой на криптолокер): Правила безопасности
Письмо, побуждающее Вас к каким-то немедленным действиям должно Вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь — спросите специалистов. Если Вам что-то навязывают или присылают то, к чему Вы не имеете отношения — лучше удалить это письмо. Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов. Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев Вы получите уведомление по обычной почте. Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.
Эта статья посвящена атаке на рядовых пользователей, в следующей статье я расскажу о фишинговых и социотехнических атаках на корпоративный сектор.