Многоликий фишинг. Когда технические средства защиты не помогают

BIS Journal №1(36)/2020

25 апреля, 2020

Многоликий фишинг. Когда технические средства защиты не помогают

Финансовые учреждения — очевидная и самая популярная мишень для киберпреступности. В 2018 году на пять крупнейших целевых сервисов — финансовые, почтовые, облачные, платёжные и SaaS — приходилось 83,9% от общего объёма фишинга, причём в лидеры вышло хищение учётных данных от финансовых сервисов. По данным отчёта «2019 Phishing trends and intelligence report» доля таких атак увеличилась с 21,1% в 2017 году до 28,9% в 2018.

Рисунок 1. Объём фишинга на пять крупнейших целевых сервисов за 2018 г.

В этой статье мы рассмотрим виды угроз, к которым должны быть готовы финансовые учреждения, планируя меры безопасности для защиты своих активов, клиентских данных и репутации компании, а также проанализируем тенденции развития фишинговых атак на организации финансовой сферы РФ в 2016-2019 годах и выделим психологические уязвимости, которые эксплуатируют мошенники.

 

ГЛАВНЫЕ УГРОЗЫ

Выделяют пять видов наиболее опасных угроз для компаний кредитно-финансовой сферы:

  • кража личности;
  • эксплуатация чужого аккаунта;
  • поддельная личность;
  • вымогатели;
  • социальная инженерия.

 

1. Кража личности

Злоумышленники крадут личную информацию, данные банковских карт, биометрические характеристики, а затем совершают покупки от имени жертвы или просто переводят её деньги на свои счета.

Схема преступления: Похищение => Профит.

Средства реализации: технический инструментарий в виде эксплуатации уязвимости сайта, фишинга, вируса; социальная инженерия.

Жертвы: клиенты компаний кредитно-финансовой сферы, реже — сотрудники банков.

Потери: как правило, жертва узнаёт о краже личных данных уже после столкновения с последствиями киберпреступления. Потери могут варьироваться от незначительных сумм до миллионов долларов.

Способ борьбы: подтверждение личности с помощью ЭЦП и/или биометрической идентификации с распознаванием живого человека (liveness detection), обнаружение аномалий, обучение персонала.

 

2. Эксплуатация чужого аккаунта

Атака, производная от предыдущей, с добавлением изюминки под названием «многоходовочка». При этом скомпрометированные данные используются не для непосредственной кражи денег, а для дальнейших незаконных действий.

Схема преступления: Похищение чужого аккаунта => Эксплуатация =>Профит.

Средства реализации: как технический, так и психологический инструментарий, причём значимость психологического становится выше, поскольку используется эффект «доверенного источника». Например, атаки с компрометацией деловой переписки (Business Email Compromise, BEC) вообще не требуют применения технических средств.

Жертвы: клиенты и сотрудники компаний кредитно-финансовой сферы.

Потери: защитные системы не реагируют на такие атаки, поскольку они выполняются с помощью обычных писем от легитимных отправителей и не содержат вредоносных ссылок или вложений. Жертвы доверяют своему адресату, а потому обнаруживают, что пострадали от атаки, лишь столкнувшись с потерями или узнав о компрометации учётной записи от его истинного обладателя.

Способы борьбы: идентификация отправителя с помощью ЭЦП или биометрических технологий, обнаружение аномалий, обучение персонала.

 

3. Фальшивые личности (синтетическое мошенничество)

Это киберпреступление реализуется посредством кражи и создания фиктивной личности из фрагментов реальной и сфабрикованной информации (например, паспортных данных, номера социального страхования, телефона и т. п.). Чаще встречается в западных странах.

Схема преступления: Кража персональных данных => Создание фальшивой личности => Обман финансового учреждения => Профит.

Средства реализации:

  • технические — эксплуатация уязвимостей, связанных с идентификацией личности;
  • психологические — подделка «живых» социальных страниц, фотовидеомонтаж и другие.

Жертва: банк или кредитор, настоящий владелец использованных данных. Это может быть взрослый или даже ребёнок, который в будущем обнаружит, что за ним числятся непогашенные долги, а кредитная история безнадёжно испорчена.

Потери: такие атаки и их последствия можно обнаружить спустя годы, причём денежный ущерб будет лишь частью проблемы. Финансовым учреждениям придётся потратить время и ресурсы, чтобы отследить действия, совершённые с использованием поддельных личностей.

Способ борьбы: идентификация с помощью ЭЦП и/или биометрии с проверкой на живого человека, обнаружение аномалий, симулированные атаки, обучение персонала.

 

4. Вымогатели

Эта атака выполняется с помощью вредоносного программного обеспечения, которое блокирует доступ к компьютерной системе до тех пор, пока не будет выплачен выкуп. Компании, предоставляющие финансовые услуги, по-прежнему являются второй по популярности отраслью, подвергающейся вымогательству.

Схема преступления: Доставка => Заражение => Профит.

Средство реализации: единственная атака из представленного списка, использующая исключительно технический инструментарий. Однако моменту начала заражения всегда предшествует доставка вредоноса на компьютер, которая, как правило, производится через нажатие ссылки в фишинговом письме. Чтобы убедить пользователя сделать это, используется психологический инструментарий — социальная инженерия.

Жертва: учреждения финансовой сферы, в меньшей степени их клиенты.

Потери: обнаружение атаки моментальное. Чем дольше компании пытаются бороться с вымогательством, тем больше риск перепродажи и раскрытия конфиденциальной информации клиентов компании. Это ведёт как к финансовым потерям, так и репутационным.

Способ борьбы: симулированные атаки, резервное копирование, обучение персонала.

 

5. Социальная инженерия.

Может использоваться в составе других атак либо как самостоятельный метод обмана людей для получения какой-либо выгоды: доступа к системам, хищения информации, перевода денег. По данным KnowBe всего 3% кибератак используют исключительно технические уязвимости, остальные 97% реализуются с помощью социальной инженерии.

Схема преступления: Любая форма атаки => Профит.

Средство реализации: любая форма взаимодействия с другим человеком, предпочтительно дистанционная — телефон, электронная почта, социальные сети и т. п.

Жертва: любой человек.

Потери: все указанные в предыдущих типах угроз.

Способ борьбы: подтверждение личности, биометрия и проверка жизнеспособности, симулированные атаки, обучение персонала.

 

ЧТО ОБЪЕДИНЯЕТ ГЛАВНЫЕ УГРОЗЫ?

Скрепляющей нитью рассмотренных киберугроз служит использование социальной инженерии. Технические средства защиты не помогут, если человек обманут и добровольно отдаёт мошенникам деньги или конфиденциальную информацию.

Именно поэтому главный инструмент современных киберпреступников — разнообразные варианты фишинговых атак. По данным отчёта «2019 Phishing trends and intelligence report» в 2018 году объём фишинга вырос на 40,9%. При этом 98% использованных в атаках писем не содержали вредоносных программ. Для хищения учётных данных и других преступных целей использовались фишинговые ссылки (88%) и сайты. В 2018 году было выявлено 1263 фальшивых сайтов финансовых брендов.

Далее мы рассмотрим фишинг и его разновидности более детально и объясним, как преступники используют социальную инженерию для реализации рассмотренных атак.

 

ФИШИНГ

Фишинг — кибератака, в которой злоумышленники, выдавая себя за известного человека, делового партнёра или поставщика услуг, входят в доверие к пользователям и заставляют их выполнять какие-либо небезопасные действия.

Наиболее распространены следующие типы фишинга:

1. Вишинг

Вишинг — это атаки, совершаемые с помощью телефонных звонков.

Примеры вишинга:

  • звонки от «служб безопасности банков» с сообщением о блокировке аккаунта или подозрительного перевода денежных средств,
  • звонки от «коллег» и «поставщиков»с просьбой срочно открыть какое-либо письмо в почте или совершить оплату по новым реквизитам,
  • звонки от «высшего руководителя» с приказом срочно перевести деньги.

2. Смишинг

Смишинг — это СМС-рассылки с предложением перейти по ссылке и ввести свои данные в фишинговую форму или совершить ответный звонок по указанному номеру, скорее всего, платному. Обычно используется по отношению к клиентам банков.

3. Фишинговые сайты

Это атака, использующая поддельные сайты узнаваемых компаний, которым жертвы доверяют и без сомнений передают свою конфиденциальную информацию. Чаще всего пострадавшими становятся клиенты банков, пытающиеся зайти в фальшивый личный кабинет.

4. Целевой фишинг

Целевые атаки создаются специально для конкретного пользователя с учётом его слабостей и уязвимостей. Одна из разновидностей целевого фишинга — атаки с компрометацией деловой переписки — Business Email Compromise, BEC.

5. Китобойный промысел

Это фишинговая атака, аналогичная целевой, но жертвой выбирается один из топ-менеджеров организации — «кит».

 

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ В ФИШИНГЕ

Основными элементами социальной инженерии, которые используют мошенники в фишинге и других атаках, являются:

  • Атрибуция — отправитель сообщения. Чем более авторитетен и узнаваем для получателя отправитель письма, тем быстрее он проникнется доверием к его содержимому.
  • Персонификация — обращение к получателю письма. Если в нём фигурирует ФИО и персональные данные жертвы, получатель приобретает уверенность, что имеет дело с подлинным отправителем.
  • Эмоция — объект манипуляций для социальных инженеров. Их цель — заставить человека совершить необдуманное небезопасное действие. Сильный испуг или интерес заставляют забыть о правилах осторожности.
  • Усилители — элементы атаки, которые повышают интенсивность вызываемых эмоций. Самые распространённые среди них — срочность и авторитет. Усилители заставляют жертву действовать быстрее вместо того, чтобы осмысливать технические индикаторы фишингового письма.
  • Потребности и личностные черты, как правило, учитываются социальными инженерами при целевых атаках, хотя и требуют дополнительного изучения профиля жертвы. Это позволит персонифицировать атаку с учётом личностных слабостей и потребностей и тем самым повысить её результативность. Если на странице пользователя в соцсети есть множество сообщений о сборе помощи животным, наборе волонтёров в приюты и другие альтруистичные порывы, мошенники могут ударить именно в эту точку: «получите перевод в фонд помощи животным», «поучаствуйте в акции от WWF» и т.д.

 

ОСОБЕННОСТИ ФИШИНГА В РОССИИ

Анализируя сообщения ФинЦерт с января 2016 по сентябрь 2019 гг. о киберугрозах (640 штук) и примеры фишинговых рассылок (469 штук), нам удалось выявить основные особенности фишинга в финансовой сфере и тенденции его развития.

Основные темы фишинговых писем:

1. Уведомления:

  • Технические (смена настроек платёжных шлюзов, блокировка ресурса, СБИС, уведомления от факса/принтера);
  • От государственных органов (суд, налоговая, госуслуги);
  • О новых законах, приказах, условиях работы (новый закон к ознакомлению, постановление ЦБ РФ);
  • Для банков (компрометация банковских систем, уведомление о выдаче паёв);
  • Для клиентов банков (блокировка карт, выписка из банка);
  • От курьерской службы (Почта России, DHL).

2. Рабочий документооборот:

  • Документы без пояснений (на подпись, доверенность, запрос, документы по запросу);
  • Первичная документация (счета, акты, закрывающие документы);
  • Договоры (на подпись, изменения, вопросы к договору);
  • Счета (подтвердите оплату, выставлен счёт, не оплачен счёт);
  • Отчёты (отчёт не прошел проверку в ФНС, отчёт по обработанному заказу, итоговый отчёт);
  • Сверка (сверка расчётов, сверка остатков, сверка платежей);
  • Реквизиты (новые, изменения, проверка реквизитов);
  • Возврат товара (акт на возврат товара, заявка на возврат товара).

3. Денежные переводы (ошибочный перевод, отменён перевод денег, возврат средств, несанкционированный перевод).

4. Заказ услуг/товаров (заявка на открытие счёта, заявка на участие в тендере, заберите оплаченный заказ);

5. Долг (погасите, проблемы с оплатой штрафа, числится недоплата по предыдущей поставке, просим обратить внимание на просроченные платежи);

6. Проверка информации по клиентам и транзакциям (чёрный список клиентов, запрос о мошеннических транзакциях на счета в вашем банке);

7. Другое (подарочный купон, предложение по выводу денег с карты, вакансия/резюме).

На рисунке 2 показано изменение частоты использования разных тем атак в 2016-2019 годы. Большую часть составляют атаки с рабочей документацией: в 2016 года их доля составляла 59,1%, а в 2019 году выросла до 70,7%. Остальные темы используются с разной частотой. Самые популярные — уведомления, долги, заказ услуг/товаров и денежные переводы.

Рисунок 2. Темы фишинговых атак 2016-2019 гг.

Наиболее популярные виды документов, на которые ссылаются организаторы фишинговых атак — счета и первичная документация. Они стабильно встречаются в каждой второй кампании. Следующие по популярности темы — «сверка» и «договора» (рисунок 3).

Рисунок 3. Виды документов в фишинговых атаках 2016-2019 гг.

В части эмоционального манипулирования наблюдается тенденция к сокращению атак, нацеленных на запугивание и жадность, в то время как количество попыток использовать любопытство и желание помочь растёт (рисунок 4).

Рисунок 4. Эмоциональное манипулирование в фишинговых атаках 2016-2019 гг.

В области усилителей наблюдается выраженная динамика к сокращению использования авторитетов и брендов, зато срочность стабильно сохраняет свои позиции (рисунок 5).

Рисунок 5. Использование усилителей в фишинговых атаках 2016-2019 гг.

В целом изменение других характеристик атак за 2016-2019 гг. не столь значительно. Среди всех атак стабильно используются универсальные темы, где только 9,8% – письма, предназначенные исключительно для финансовых организаций. Более 90% писем – содержат в себе вложения, заметно меньше атак со ссылками.

При этом важно понимать, что это характеристики зафиксированных массовых рассылок из-за чего наблюдается определённая «стандартность» данных фишинговых писем и их характеристик. Например, во всех письмах используются анонимные обращения.

 

ЗАКЛЮЧЕНИЕ

Финансовые учреждения — лакомые цели для кибермошенников. Размер компании-жертвы и уровень технической защищённости не имеют значения, поскольку всегда можно «взломать» её сотрудников с помощью социальной инженерии. Главное средство реализации такого взлома — фишинг во всех его проявлениях.

С учётом сохраняющейся в течение последних четырёх лет тенденции к росту количества фишинговые атаки на российские компании кредитно-финансовой сферы, при планировании защиты организаций от кибератак крайне важно учесть риски, связанные с человеческим фактором, и предусмотреть в бюджете расходы не только на программно-аппаратные комплексы, но и на обучение сотрудников правильным навыкам.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных