Многоликий фишинг. Когда технические средства защиты не помогают

Многоликий фишинг. Когда технические средства защиты не помогают

Финансовые учреждения — очевидная и самая популярная мишень для киберпреступности. В 2018 году на пять крупнейших целевых сервисов — финансовые, почтовые, облачные, платёжные и SaaS — приходилось 83,9% от общего объёма фишинга, причём в лидеры вышло хищение учётных данных от финансовых сервисов. По данным отчёта «2019 Phishing trends and intelligence report» доля таких атак увеличилась с 21,1% в 2017 году до 28,9% в 2018.

Рисунок 1. Объём фишинга на пять крупнейших целевых сервисов за 2018 г.

В этой статье мы рассмотрим виды угроз, к которым должны быть готовы финансовые учреждения, планируя меры безопасности для защиты своих активов, клиентских данных и репутации компании, а также проанализируем тенденции развития фишинговых атак на организации финансовой сферы РФ в 2016-2019 годах и выделим психологические уязвимости, которые эксплуатируют мошенники.

ГЛАВНЫЕ УГРОЗЫ

Выделяют пять видов наиболее опасных угроз для компаний кредитно-финансовой сферы:

• кража личности;
• эксплуатация чужого аккаунта;
• поддельная личность;
• вымогатели;
• социальная инженерия.

1. Кража личности

Злоумышленники крадут личную информацию, данные банковских карт, биометрические характеристики, а затем совершают покупки от имени жертвы или просто переводят её деньги на свои счета.

Схема преступления: Похищение => Профит.

Средства реализации: технический инструментарий в виде эксплуатации уязвимости сайта, фишинга, вируса; социальная инженерия.

Жертвы: клиенты компаний кредитно-финансовой сферы, реже — сотрудники банков.

Потери: как правило, жертва узнаёт о краже личных данных уже после столкновения с последствиями киберпреступления. Потери могут варьироваться от незначительных сумм до миллионов долларов.

Способ борьбы: подтверждение личности с помощью ЭЦП и/или биометрической идентификации с распознаванием живого человека (liveness detection), обнаружение аномалий, обучение персонала.

2. Эксплуатация чужого аккаунта

Атака, производная от предыдущей, с добавлением изюминки под названием «многоходовочка». При этом скомпрометированные данные используются не для непосредственной кражи денег, а для дальнейших незаконных действий.

Схема преступления: Похищение чужого аккаунта => Эксплуатация =>Профит.

Средства реализации: как технический, так и психологический инструментарий, причём значимость психологического становится выше, поскольку используется эффект «доверенного источника». Например, атаки с компрометацией деловой переписки (Business Email Compromise, BEC) вообще не требуют применения технических средств.

Жертвы: клиенты и сотрудники компаний кредитно-финансовой сферы.

Потери: защитные системы не реагируют на такие атаки, поскольку они выполняются с помощью обычных писем от легитимных отправителей и не содержат вредоносных ссылок или вложений. Жертвы доверяют своему адресату, а потому обнаруживают, что пострадали от атаки, лишь столкнувшись с потерями или узнав о компрометации учётной записи от его истинного обладателя.

Способы борьбы: идентификация отправителя с помощью ЭЦП или биометрических технологий, обнаружение аномалий, обучение персонала.

3. Фальшивые личности (синтетическое мошенничество)

Это киберпреступление реализуется посредством кражи и создания фиктивной личности из фрагментов реальной и сфабрикованной информации (например, паспортных данных, номера социального страхования, телефона и т. п.). Чаще встречается в западных странах.

Схема преступления: Кража персональных данных => Создание фальшивой личности => Обман финансового учреждения => Профит.

Средства реализации:

• технические — эксплуатация уязвимостей, связанных с идентификацией личности;
• психологические — подделка «живых» социальных страниц, фотовидеомонтаж и другие.

Жертва: банк или кредитор, настоящий владелец использованных данных. Это может быть взрослый или даже ребёнок, который в будущем обнаружит, что за ним числятся непогашенные долги, а кредитная история безнадёжно испорчена.

Потери: такие атаки и их последствия можно обнаружить спустя годы, причём денежный ущерб будет лишь частью проблемы. Финансовым учреждениям придётся потратить время и ресурсы, чтобы отследить действия, совершённые с использованием поддельных личностей.

Способ борьбы: идентификация с помощью ЭЦП и/или биометрии с проверкой на живого человека, обнаружение аномалий, симулированные атаки, обучение персонала.

4. Вымогатели

Эта атака выполняется с помощью вредоносного программного обеспечения, которое блокирует доступ к компьютерной системе до тех пор, пока не будет выплачен выкуп. Компании, предоставляющие финансовые услуги, по-прежнему являются второй по популярности отраслью, подвергающейся вымогательству.

Схема преступления: Доставка => Заражение => Профит.

Средство реализации: единственная атака из представленного списка, использующая исключительно технический инструментарий. Однако моменту начала заражения всегда предшествует доставка вредоноса на компьютер, которая, как правило, производится через нажатие ссылки в фишинговом письме. Чтобы убедить пользователя сделать это, используется психологический инструментарий — социальная инженерия.

Жертва: учреждения финансовой сферы, в меньшей степени их клиенты.

Потери: обнаружение атаки моментальное. Чем дольше компании пытаются бороться с вымогательством, тем больше риск перепродажи и раскрытия конфиденциальной информации клиентов компании. Это ведёт как к финансовым потерям, так и репутационным.

Способ борьбы: симулированные атаки, резервное копирование, обучение персонала.

5. Социальная инженерия.

Может использоваться в составе других атак либо как самостоятельный метод обмана людей для получения какой-либо выгоды: доступа к системам, хищения информации, перевода денег. По данным KnowBe всего 3% кибератак используют исключительно технические уязвимости, остальные 97% реализуются с помощью социальной инженерии.

Схема преступления: Любая форма атаки => Профит.

Средство реализации: любая форма взаимодействия с другим человеком, предпочтительно дистанционная — телефон, электронная почта, социальные сети и т. п.

Жертва: любой человек.

Потери: все указанные в предыдущих типах угроз.

Способ борьбы: подтверждение личности, биометрия и проверка жизнеспособности, симулированные атаки, обучение персонала.

ЧТО ОБЪЕДИНЯЕТ ГЛАВНЫЕ УГРОЗЫ?

Скрепляющей нитью рассмотренных киберугроз служит использование социальной инженерии. Технические средства защиты не помогут, если человек обманут и добровольно отдаёт мошенникам деньги или конфиденциальную информацию.

Именно поэтому главный инструмент современных киберпреступников — разнообразные варианты фишинговых атак. По данным отчёта «2019 Phishing trends and intelligence report» в 2018 году объём фишинга вырос на 40,9%. При этом 98% использованных в атаках писем не содержали вредоносных программ. Для хищения учётных данных и других преступных целей использовались фишинговые ссылки (88%) и сайты. В 2018 году было выявлено 1263 фальшивых сайтов финансовых брендов.

Далее мы рассмотрим фишинг и его разновидности более детально и объясним, как преступники используют социальную инженерию для реализации рассмотренных атак.

ФИШИНГ

Фишинг — кибератака, в которой злоумышленники, выдавая себя за известного человека, делового партнёра или поставщика услуг, входят в доверие к пользователям и заставляют их выполнять какие-либо небезопасные действия.

Наиболее распространены следующие типы фишинга:

1. Вишинг

Вишинг — это атаки, совершаемые с помощью телефонных звонков.

Примеры вишинга:

• звонки от «служб безопасности банков» с сообщением о блокировке аккаунта или подозрительного перевода денежных средств,
• звонки от «коллег» и «поставщиков»с просьбой срочно открыть какое-либо письмо в почте или совершить оплату по новым реквизитам,
• звонки от «высшего руководителя» с приказом срочно перевести деньги.

2. Смишинг

Смишинг — это СМС-рассылки с предложением перейти по ссылке и ввести свои данные в фишинговую форму или совершить ответный звонок по указанному номеру, скорее всего, платному. Обычно используется по отношению к клиентам банков.

3. Фишинговые сайты

Это атака, использующая поддельные сайты узнаваемых компаний, которым жертвы доверяют и без сомнений передают свою конфиденциальную информацию. Чаще всего пострадавшими становятся клиенты банков, пытающиеся зайти в фальшивый личный кабинет.

4. Целевой фишинг

Целевые атаки создаются специально для конкретного пользователя с учётом его слабостей и уязвимостей. Одна из разновидностей целевого фишинга — атаки с компрометацией деловой переписки — Business Email Compromise, BEC.

5. Китобойный промысел

Это фишинговая атака, аналогичная целевой, но жертвой выбирается один из топ-менеджеров организации — «кит».

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ В ФИШИНГЕ

Основными элементами социальной инженерии, которые используют мошенники в фишинге и других атаках, являются:

• Атрибуция — отправитель сообщения. Чем более авторитетен и узнаваем для получателя отправитель письма, тем быстрее он проникнется доверием к его содержимому.
• Персонификация — обращение к получателю письма. Если в нём фигурирует ФИО и персональные данные жертвы, получатель приобретает уверенность, что имеет дело с подлинным отправителем.
• Эмоция — объект манипуляций для социальных инженеров. Их цель — заставить человека совершить необдуманное небезопасное действие. Сильный испуг или интерес заставляют забыть о правилах осторожности.
• Усилители — элементы атаки, которые повышают интенсивность вызываемых эмоций. Самые распространённые среди них — срочность и авторитет. Усилители заставляют жертву действовать быстрее вместо того, чтобы осмысливать технические индикаторы фишингового письма.
• Потребности и личностные черты, как правило, учитываются социальными инженерами при целевых атаках, хотя и требуют дополнительного изучения профиля жертвы. Это позволит персонифицировать атаку с учётом личностных слабостей и потребностей и тем самым повысить её результативность. Если на странице пользователя в соцсети есть множество сообщений о сборе помощи животным, наборе волонтёров в приюты и другие альтруистичные порывы, мошенники могут ударить именно в эту точку: «получите перевод в фонд помощи животным», «поучаствуйте в акции от WWF» и т.д.

ОСОБЕННОСТИ ФИШИНГА В РОССИИ

Анализируя сообщения ФинЦерт с января 2016 по сентябрь 2019 гг. о киберугрозах (640 штук) и примеры фишинговых рассылок (469 штук), нам удалось выявить основные особенности фишинга в финансовой сфере и тенденции его развития.

Основные темы фишинговых писем:

1. Уведомления:

• Технические (смена настроек платёжных шлюзов, блокировка ресурса, СБИС, уведомления от факса/принтера);
• От государственных органов (суд, налоговая, госуслуги);
• О новых законах, приказах, условиях работы (новый закон к ознакомлению, постановление ЦБ РФ);
• Для банков (компрометация банковских систем, уведомление о выдаче паёв);
• Для клиентов банков (блокировка карт, выписка из банка);
• От курьерской службы (Почта России, DHL).

2. Рабочий документооборот:

• Документы без пояснений (на подпись, доверенность, запрос, документы по запросу);
• Первичная документация (счета, акты, закрывающие документы);
• Договоры (на подпись, изменения, вопросы к договору);
• Счета (подтвердите оплату, выставлен счёт, не оплачен счёт);
• Отчёты (отчёт не прошел проверку в ФНС, отчёт по обработанному заказу, итоговый отчёт);
• Сверка (сверка расчётов, сверка остатков, сверка платежей);
• Реквизиты (новые, изменения, проверка реквизитов);
• Возврат товара (акт на возврат товара, заявка на возврат товара).

3. Денежные переводы (ошибочный перевод, отменён перевод денег, возврат средств, несанкционированный перевод).

4. Заказ услуг/товаров (заявка на открытие счёта, заявка на участие в тендере, заберите оплаченный заказ);

5. Долг (погасите, проблемы с оплатой штрафа, числится недоплата по предыдущей поставке, просим обратить внимание на просроченные платежи);

6. Проверка информации по клиентам и транзакциям (чёрный список клиентов, запрос о мошеннических транзакциях на счета в вашем банке);

7. Другое (подарочный купон, предложение по выводу денег с карты, вакансия/резюме).

На рисунке 2 показано изменение частоты использования разных тем атак в 2016-2019 годы. Большую часть составляют атаки с рабочей документацией: в 2016 года их доля составляла 59,1%, а в 2019 году выросла до 70,7%. Остальные темы используются с разной частотой. Самые популярные — уведомления, долги, заказ услуг/товаров и денежные переводы.

Рисунок 2. Темы фишинговых атак 2016-2019 гг.

Наиболее популярные виды документов, на которые ссылаются организаторы фишинговых атак — счета и первичная документация. Они стабильно встречаются в каждой второй кампании. Следующие по популярности темы — «сверка» и «договора» (рисунок 3).

Рисунок 3. Виды документов в фишинговых атаках 2016-2019 гг.

В части эмоционального манипулирования наблюдается тенденция к сокращению атак, нацеленных на запугивание и жадность, в то время как количество попыток использовать любопытство и желание помочь растёт (рисунок 4).

Рисунок 4. Эмоциональное манипулирование в фишинговых атаках 2016-2019 гг.

В области усилителей наблюдается выраженная динамика к сокращению использования авторитетов и брендов, зато срочность стабильно сохраняет свои позиции (рисунок 5).

Рисунок 5. Использование усилителей в фишинговых атаках 2016-2019 гг.

В целом изменение других характеристик атак за 2016-2019 гг. не столь значительно. Среди всех атак стабильно используются универсальные темы, где только 9,8% – письма, предназначенные исключительно для финансовых организаций. Более 90% писем – содержат в себе вложения, заметно меньше атак со ссылками.

При этом важно понимать, что это характеристики зафиксированных массовых рассылок из-за чего наблюдается определённая «стандартность» данных фишинговых писем и их характеристик. Например, во всех письмах используются анонимные обращения.

ЗАКЛЮЧЕНИЕ

Финансовые учреждения — лакомые цели для кибермошенников. Размер компании-жертвы и уровень технической защищённости не имеют значения, поскольку всегда можно «взломать» её сотрудников с помощью социальной инженерии. Главное средство реализации такого взлома — фишинг во всех его проявлениях.

С учётом сохраняющейся в течение последних четырёх лет тенденции к росту количества фишинговые атаки на российские компании кредитно-финансовой сферы, при планировании защиты организаций от кибератак крайне важно учесть риски, связанные с человеческим фактором, и предусмотреть в бюджете расходы не только на программно-аппаратные комплексы, но и на обучение сотрудников правильным навыкам.