image

Криминальные группировки используют для атак самые эффективные инструменты, которые позволяют быстро и с минимальными затратами получить желаемое: проникнуть в систему, запустить вредоносное ПО, похитить деньги. По данным исследований самым распространённым вектором атак остаётся фишинг — направленные на людей кампании, в которых активно используется социальная инженерия.

Востребованность фишинга привела к появлению специализированных сервисов, предлагающих полный цикл услуг по созданию и реализации мошеннической атаки. За относительно небольшие деньги заказчик получает исследование целевой аудитории, разработку писем с учётом психологического портрета потенциальных жертв, а также инфраструктуру для проведения кампании. О том, как устроена услуга Phishing-as-a-Service (PhaaS), во сколько обходится её аренда и как защититься от мошенников, рассказывает Андрей Жаркевич, редактор ИБ-компании «Антифишинг». Текст подготовлен по результатам интервью.

Как всё начиналось


В зачаточном виде услуга Phishing-as-a-Service появилась 10 лет назад в виде готового к использованию комплекта для проведения фишинговых атак Login Spoofer 2010, который предусматривал возможность работы из облака.

Это было совсем не то, что используют злоумышленники и их клиенты сейчас, но система позволяла создавать фишинговые сайты и распространялась бесплатно. Чтобы компенсировать отсутствие монетизации своего инструмента, разработчики тайком от доверчивых скрипт-киддис отправляли данные, проходившие через их инструмент, на свой сервер, а затем использовали в своих целях.

Позже появились «честные» сервисы, которые делают ровно то, что обещают клиентам.

Устройство PhaaS


Принцип разделения труда позволяет повысить производительность даже если речь идёт о нелегальных сферах деятельности. Благодаря PhaaS преступникам не приходится заниматься рутинными задачами, которые включают в себя:

  • Подготовительный этап: определение целевой аудитории, построение её психологического портрета, определение наиболее эффективной разновидности фишинга, которая будет использоваться — мессенджеры, соцсети, электронная почта или вредоносная реклама.
  • Разработку фишингового послания. Письмо должно «цеплять» потенциальную жертву, чтобы ударить по базовым эмоциям и отключить рациональное мышление. Оформление и содержание послания должны быть реалистичными, чтобы в них поверила как можно большая часть целевой аудитории.
  • Создание инфраструктуры: сайта, который имитирует сайт реальной компании и ворует данные клиентов, вредоносного вложения, которое загружает «полезную нагрузку» для продолжения атаки.
  • Запуск кампании: рассылка сообщений выбранным способом, сбор данных, получение информации от «полезной нагрузки» или проникновение в целевую систему и шифрование данных. Это финальный этап, на котором злоумышленники получают нужный им результат.

Появление предложений фишинга как услуги привело к тому, что провести мошенническую кампанию стало также просто, как подписаться на Netflix. Клиенты киберпреступников получают следующие возможности:

  • Экономия средств. Стоимость фишинговых услуг определяется их масштабом и основной задачей, но в целом, это гораздо дешевле, чем готовить атаку самому.
  • Масштабируемость. Нужно отправить 10 фишинговых писем? Не проблема. Миллион? Нет проблем, только заплатите.
  • Постоянное обновление. Фишинговая инфраструктура обновляется, интегрирует новые технологии, которые помогают обходить защиту компаний и частных пользователей.
  • Доступность. Практически все сервисы имеют квалифицированную круглосуточную службу поддержки, которая общается на самых распространённых языках. В результате стать фишером может любой, кто готов заплатить.

Стоимость и распространённость


В прошлом году компания Cyren, занимающаяся информационной безопасностью, объявила об обнаружении примерно 5334 готовых к использованию Phishing-as-a-Service продуктов. Вот скриншот предложений одного из разработчиков вредоносного сервиса.



Как видим, стоит сервис недорого, предлагает богатый набор функций, да ещё и скидки для пользователей. Выглядит продукт очень профессионально, не хуже, чем предложения легальных сервисов. Никакого намёка на непрофессионализм, андеграунд и противозаконность. Цена же доступна для практически любой категории пользователей — бери и работай.



Поддельный сайт Microsoft. использует домен microsoft.net и нормальный SSL-сертификат. Такой обман способен ввести в заблуждение даже технически подкованного пользователя.

Фишинговая кампания от профессионалов включает рассылку сообщений, создание мошеннических ресурсов, разработку методов маскировки ссылок.

Почему фишинг эффективен


Психологическая составляющая

Основная причина эффективности фишинга состоит в том, что он позволяет обходить самые продвинутые защитные системы, воздействуя на людей и на их базовые эмоции так, что они совершают действия, нужные преступникам. Это наглядно демонстрируют успешные кампании по компрометации деловой переписки (BEC), в ходе которых не используется ничего кроме текста.

Самые изощрённые методы маскировки фишинговой ссылки не сработают, если текст сообщения не вызовет в сознании получателя желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.

Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.

После того как пользователь под воздействием текста фишингового сообщения решил открыть вложенный документ или перейти по ссылке, наступает очередь инфраструктурного фишингового инструментария. Важно, чтобы «клюнувшая» на приманку жертва продолжала верить в то, что всё делает правильно.

Техническая составляющая

В качестве средств для обхода технических средств защиты злоумышленники обычно применяют следующие:

  • Кодировка символов HTML: шифруется HTML-код страницы, чтобы поисковые роботы не смогли обнаружить ключевые слова, указывающие на вредоносный сайт.
  • Шифрование содержимого: аналогично кодировке HTML, используется для обфускации содержимого для предотвращения обнаружения.
  • Блокировка проверки: защищает от поисковых роботов и тех, которые ищут фишинговые сайты.
  • URL-адреса во вложениях: скрывает вредоносные ссылки во вложениях, чтобы они не были очевидны
  • Инъекции контента (content injection): внедрение вредоносного контента на страницу легитимного веб-сайта для того, чтобы скрыть истинную природу фишингового сайта.
  • Законный облачный хостинг: использование известных, работающих легально облачных провайдеров для размещения фейковых сайтов.

Сейчас практически все фишинговые ресурсы используют цифровые сертификаты для повышения уровня доверия к ним. Согласно Anti-Phishing Working Group (APWG), ещё два года назад назад SSL-сертификаты были только у половины фишинговых сайтов.

Как защититься?


Поскольку фишинговые атаки ориентированы на людей, то и основным способом защиты от них будет работа с людьми, которая состоит из двух обязательных частей:

  • обучения сотрудников навыкам безопасного поведения при работе и в повседневной жизни;
  • отработки практических навыков безопасного поведения с помощью систем, имитирующих реальные атаки.

Тренинги для пользователей необходимо проводить регулярно, причём в них должны принимать участия все без исключения сотрудники компании. Для выработки навыков безопасной работы недостаточно традиционного обучения в виде показа фильма или лекции по основам информационной безопасности.

Знание ? действие, поэтому теорию необходимо отработать на практике, поскольку злоумышленники используют техники, которые не распознают даже опытные специалисты по кибербезопасности. Организовать тренировку навыков можно с помощью проведения различных фишинговых атак, имитирующих действия реальных киберпреступников.

Сколько зарабатывают киберпреступники?


По данным отчета McAfee «Скрытые издержки киберпреступности», из-за хакеров мировая экономика ежегодно теряет не менее 1 трлн долларов США, что составляет более 1% глобального ВВП. Потери российской экономики от киберпреступности по данным Сбербанка по итогам 2020 года могут достигнуть 3,5 трлн руб.

Наиболее прибыльными отраслями стали:

Разновидность преступления
Ежегодный доход
Illegal online markets
$860 млрд
Trade secret, IP theft
$500 млрд
Data Trading $160 млрд
Crime-ware/CaaS
$1.6 млрд
Ransomware
$1 млрд
Всего $1.5 трлн

Стоимость различных услуг, которые оказывают злоумышленники по схеме SaaS:
Продукт или сервис
Стоимость
SMS Spoofing
$20/мес
Custom Spyware
$200
Hacker-for-Hire
$200+
Malware Exploit Kit
$200-$700
Blackhole Exploit Kit
$700/мес or $1 500/год
Zero-Day Adobe Exploit
$30 000
Zero-Day iOS Exploit
$250 000

Прогнозы и рекомендации


Эффективность схемы PhaaS и рост числа фишинговых кампаний во всём мире позволяют прогнозировать дальнейший рост предложения этого киберкриминального сервиса. Высока вероятность того, что предложения PhaaS пополнятся данными полученными в результате утечек, произошедших в течение 2020 года, что увеличит эффективность и опасность мошеннических кампаний.

С учётом того, что средний размер ущерба от успешной фишинговой атаки по данным Group-IB превышает 1,5 млн рублей, организациям следует внимательно проанализировать потенциальные риски и проверить устойчивость своих сотрудников к действиям мошенников, чтобы снизить вероятность финансовых и репутационных потерь.