Простые правила, которые помогут вовремя распознать фишинговые атаки и избежать их последствий, а также краткий обзор основных видов таких атак

Большая часть компьютерных атак становятся успешными благодаря социальной инженерии. Ежедневная рутина сопровождается прочтением десятков писем, среди которых легко пропустить единственное «поддельное».

Мы провели более 20 успешных проверок, в которых использовалась социальная инженерия. Раз за разом один результат – удивление и фраза «мы знали о таком, но сами не видели». Банальные и базовые ошибки в работе сотрудников и недоумевающий взгляд администраторов.

Таким образом, получилось сформулировать задачу – наглядно указать, на что обратить внимание в ежедневной работе, чтобы не стать жертвой таких атак.

Кому и как это использовать? 

  • Администраторам и специалистам по ИБ – пожалуйста, используйте материал как брошюру для обучения сотрудников. Информация для вас лично указана отдельной сноской.

  • Сотрудникам предприятий – ознакомьтесь и знайте врага в лицо. В статье только нужная в работе информация. Не обращайте внимания на заголовки-термины (названия атак), это технические детали. Сноски для администраторов и специалистов безопасности также смело пропускайте.

    Общие правила при прочтении писем

    Само по себе прочтение поддельного (фишингового) письма ничего опасного за собой не влечет. Но переход по ссылке в письме или открытие документа приведут к серьёзным последствиям.

    Мы получили следующее письмо:

    Предупреждения на этапе прочтения письма

    Предупреждения почтового клиента – это не нормально:

    Это еще не делает письмо фишинговым, но обязано насторожить.

Важно!

Такие предупреждения – один случай на сотню. В большинстве случаев никаких предупреждений не будет:

Адрес отправителя

Мы знаем, что наш почтовый адрес — zubilin@originsecurity.ru.

Адрес отправителя — originsecurity@mailer.xyz.

Первое правило: ВСЕ, что написано ДО знака «@» – неважно!

Письмо отправили не ваши коллеги, если есть различие хоть в одном символе после знака «@».Такое письмо необязательно фишинговое, но уже нельзя слепо верить написанному, сразу же открывать вложения и переходить по ссылкам.

Важно!

originsecurity.ru и 0riginsecurity.ru, например, являются разными именами. Злоумышленник использует такие способы маскировки, как: замена буквы «о» на цифру «0» или буквы «l» на цифру «1», две буквы «rn» на одну «m» и наоборот и т. д.

Как видно – письмо отправили не сотрудники финансового отдела, как написано в тексте. После «@» имя другого предприятия. Это уже повод обратиться в отдел информационной безопасности или к другому администратору, который подскажет куда обратиться и что сделать

Для администраторов и специалистов ИБ:

В статье мы часто просим сотрудников общаться к вам за помощью. Создается иллюзия, что у вас прибавится сотня лишних звонков и обращений, попади инструкция к сотрудникам. Спешим обрадовать – инструкция освобождает вас от лишней работы.

Во-первых, описанные маркеры действительно стоят того, чтобы на них обратили внимание. Обращений много не будет. Во-вторых, проще отреагировать на обращение работника, чем устранять последствия заражения на предприятии.

Далее.

Да, как вы могли возразить, адрес отправителя можно подменить. В этом случае претензия к настройкам безопасности почтового сервера. Даже примитивные почтовые фильтры и антивирусы для почтового сервера видят по служебным заголовкам, что адрес отправителя подменили. Такие письма автоматически обязаны помещаться в спам.

Подпись отправителя

Взгляните на подпись. Злоумышленнику часто неизвестен формат внутренней переписки.
Подпись в фишинговом сообщении будет отличаться от общепринятой.
В случае несоответствия обратитесь к администраторам, высказав свои подозрения.

В случае несоответствия обратитесь к администраторам, высказав свои подозрения.

Вложение в письме

Если на компьютере установлен антивирус – это ни в коем случае не защищает вас на 100%.

Внимательность – лучшее средство защиты.

Следующая задача – посмотреть на имя файла вложения:

Формируем новое правило:
Важно только то, что написано после ПОСЛЕДНЕЙ точки.

Мы указали только популярные форматы. Если файл вызывает подозрения, то лучше перестраховаться и получить рекомендацию администратора.

Для администраторов и специалистов ИБ:

Аналогично предыдущей заметке — если почтовый сервер пропускает потенциально опасные расширения во вложениях, то это вопрос администрирования почтового сервера. Настройте защиту так, чтобы такие вложения не доходили до сотрудников.

В подготовке правил фильтрации почтовых вложений помогут уже существующие наработки. Так, автор Oletools собрал в одном месте расширения исполняемых файлов https://github.com/decalage2/oletools/blob/master/oletools/rtfobj.py, 280 строка).

В дополнение определите, нуждаются ли сотрудники в постоянном отображении расширения файлов. С одной стороны, безопасность предприятия, с другой – для некоторых это может стать проблемой при переименовании файлов.

В нашем случае формат вложения «.exe». Уже 2 серьезных триггера, смело обращаемся к специалистам по безопасности или администраторам. С вероятностью близкой к 100% письмо фишинговое.

Документы Microsoft Office

Если потенциальному злоумышленнику удалось убедить вас открыть документ Microsoft Office – запомните еще одно простое правило:
Если источник недоверенный, как бы вас не просили – НИКОГДА не нажимайте на кнопку
сверху. На любую кнопку сверху.

Ни «Разрешить редактирование», ни «Включить содержимое», ни что-либо еще.

Формулировка на таких кнопках не передает сути и масштаба угрозы. Равносильно кнопке «Заразить компьютер».

Попытка убедить нажать на кнопку сигнализирует о вероятном фишинге. Сообщаем соответствующим людям.

Для администраторов и специалистов ИБ

Мы не рассматриваем сценарии, когда атака направлена на эксплуатацию уязвимостей MS Office. Ведь у ваших сотрудников установлена актуальная версия ПО и автоматическим его обновлением занимается сервер WSUS.

Ссылки в тексте

Просьба перейти по ссылке и ввести свои данные – главное оружие в фишинге.

Вы переходите по ссылке в письме и видите сайт вашего предприятия.

Первое, что мы проверим – соответствие адреса сайта в адресной строке адресу сайта вашего предприятия:

Внимание на строку, отмеченную красным. Строчка, отмеченная зеленым ничего не значит. Злоумышленник способен написать там что угодно!

Различие хоть в одном символе сигнализирует об опасности сайта (сайт-оригинал goSuslugi.ru, в примере же ссылка на goZuslugi.ru) – закрываем сайт и обращаемся к администратору.

Правило для обращения со ссылками:
Просьба ввести учетные данные (авторизоваться) на сайте по ссылке – признак фишинга. Не вводите свои данные на сайтах из писем, когда не уверены в отправителе.

Замочек возле сайта

Иллюзию безопасности сайта создает замочек возле него (обычно зеленый или серый).

Запомните раз и навсегда:
Никакой замочек возле сайта не является гарантией безопасности!
Важен только адрес сайта. Ничего больше.

Мы рассмотрели общие правила чтения электронных писем, которые помогут распознать фишинг. Перейдем от общего к частному. Краткий обзор существующих угроз.

Виды почтовых атак. Фишинг целевой

Это случай, рассмотренный ранее:

Атаки нацелены на сотрудников предприятия, имеют определенную идею и часто хорошо подготовленные вредоносные вложения и сайты.

Для администраторов и специалистов ИБ

При обнаружении таких писем собственноручно или при получении информации от сотрудника рекомендуется:

1. Выполнить почтовую рассылку сотрудникам предприятия с предупреждением о фишинге. Дать в письме инструкции и запретить открывать вложения или переходить по ссылкам, вводить учетные данные;

2. Определить получателей писем по фишинговому почтовому домену;

3. Если масштабы проблемы ограничены несколькими получателями, лично обсудить рассылку (кто что открыл, куда перешел и т.д.);

4. Заблокировать утекшие учетные данные при их наличии;

5. Добавить домен в черный список на почтовом сервере или средстве защиты;

6. Определить наличие заражения, локализовать зараженные компьютеры, произвести реагирование на компьютерный инцидент. При отсутствии компетенций обратиться к специалистам.

Виды почтовых атак. Фишинг массовый

Такие атаки берут не качеством, а количеством. Рассылаются во множество предприятий и склоняют сотрудника к действию под давлением на страх, «халяву» и т.д.

Бесплатный сыр только в мышеловке. Поговорка точно описывает метод защиты от этого вида фишинга. Есть и дополнительное правило:

Запрещено даже вчитываться в такие письма. Злоумышленники умело управляют эмоциями жертв.

Виды почтовых атак. Вейлинг

Фишинговые атаки на конкретного человека на предприятии. Крайне тщательно подготовленные вредоносные вложения и тематика. Злоумышленник изучает жертву, либо знает о деятельности жертвы (направляет фишинговое письмо на тему закупок по адресу zakupki@originsecurity.ru, например).

Для администраторов и специалистов ИБ

Если сотрудник вынужден работать с большим количеством входящей корреспонденции – следует ограничить компьютер сотрудника на уровне сети, чтобы избежать заражения сети предприятия.

Виды телефонных атак. Вишинг

Часто мы при проверках не ограничиваемся одной электронной почтой. На ваш мобильный или рабочий номер может поступить звонок. Сам факт ответа на неизвестный номер безопасен. Но…

Если неизвестный человек звонит на мобильный и интересуется рабочими вопросами (процедурой входа в здание предприятия, наличием охраны, рабочими программами, ФИО сотрудников, и чем-либо еще по работе) НЕ ВАЖНО кем он представился – спросите ЕГО рабочий телефон (свой не давайте) и сообщите, что готовы обсуждать рабочие вопросы только по рабочему телефону. Так же уточните как к нему обращаться и из какого собеседник отдела.

Злоумышленник может заговаривать зубы и даже угрожать (увольнением, лишением премии и т.д.). Кладите трубку с фразой: «Я не могу обсуждать это по телефону, всего доброго». И заявляете о своих подозрениях специалистам информационной безопасности или администраторам. Никаких претензий или штрафных санкций к вам после такого заявления не может быть применено.

Для администраторов и специалистов ИБ

При поступлении жалоб выясните, существует ли на предприятии человек, которым представился потенциальный злоумышленник и определите легитимность звонка. В случае атаки сделайте рассылку по всем сотрудникам вашего предприятия для уведомления о поступлении звонков данного характера и запретите обсуждать рабочие вопросы с неизвестными собеседниками.

Виды физических атак. Подбрасывание носителей информации

Подобранные (на территории предприятия или в домашнем подъезде, неважно) носители информации (флеш-карты памяти, диски и т.д.) запрещено подключать к компьютерам предприятия.

Популярная атака – раскидать флешки (или что проще – диски, подписанные «Зарплата кадры 2023») по периметру предприятия, в надежде на любопытство жертвы. Сразу при подключении такого носителя компьютер заражается, и злоумышленник проникает в сеть.

Если вы не удержались и решили, что информация просто не может пройти мимо вас, а после подключения носителя или запуска документа компьютер стал странно себя вести, например, на мгновение появилась командная строка (скриншот ниже), лучше перестраховаться и обратиться к администраторам.

Для администраторов и специалистов ИБ

Исследование подобных устройств и носителей должно проходить на изолированных от сети компьютерах или виртуальных машинах.

Виды физических атак. Подключение носителей информации сторонними лицами

Пройти пост охраны дело техники. Находясь на территории предприятия злоумышленник просит случайного сотрудника распечатать документ с его компьютера. Сотрудник своими руками подключает флеш-карту памяти, открывает зараженный документ и заражает сеть.

Злоумышленник покидает место проникновения с напечатанными документами и довольной улыбкой.

Метод противодействия прост – ведем человека к администратору и если тот посчитает нужным, то распечатает документ. Или же правило:
Не позволяйте подключать неизвестные устройства и накопители информации к своему
рабочему компьютеру.

Заключение

В заключении сформулируем еще одно, последнее правило:
Не пересылайте потенциально опасный документ коллегам!

Обычно это происходит со словами: «У меня не открывается, попробуй ты». Мы сталкиваемся с такой инициативой на каждом третьем аудите. Будьте внимательней.

То, что на первый взгляд кажется объемным справочником – на деле перечень простых правил, которые помогут распознать большинство атак с использованием социальной инженерии.

Даже если вы попались на уловку злоумышленника, сообщили какую-либо информацию, открыли документ или ввели учетные данные – ОБЯЗАТЕЛЬНО сообщите об этом в отдел информационной безопасности или администраторам. Таким образом вы снимите с себя ответственность, а специалисты смогут быстро отреагировать и не дать злоумышленнику использовать полученную информацию.

Для администраторов и специалистов ИБ

Данная шпаргалка поможет сотрудникам вашего предприятия противостоять фишинговым атакам. Регулярно проводите тестовые фишинговые рассылки своими силами. Если сил, времени или компетенций не хватает – обратитесь к руководству с просьбой о привлечении специалистов в данном направлении.

Чтобы ничего не забыть, сделали для вас плакат-напоминание. Печатаем, вешаем на стену, пользуемся. Оригинал по ссылке

Комментарии (25)


  1. Mirzapch
    23.12.2022 21:58

    СПБ, площадь Восстания, бизнес-центр, 2-й этаж, на пожарном щите лежит ключ от серверной.

    По-моему, в такой ситуации, без социальной инженерии можно и обойтись.

    Хотя, охранника на входе в здание пройти придётся... Но фраза "я в 202-ю" срабатывает всегда.


    1. Wesha
      23.12.2022 22:55
      +1

      СПБ, площадь Восстания, бизнес-центр, 2-й этаж, на пожарном щите лежит ключ от серверной.

      Вот сейчас Вы кому-то security through obscurity просто вдребезги разнесли. Как злоумышленники из условной Москвы могли узнать, что в каком-то доме в каком-то городе на какой-то полке лежит какой-то ключ от хрен знает чего, а охраннику на входе надо сказать ключевую фразу? Но тут приходит добрая и щедрая душа, и всё заверте...


      1. Mirzapch
        24.12.2022 10:32

        Название площади изменено. Остальное - полная правда.


  1. Moskus
    23.12.2022 22:08

    Как всегда в случае массовой проблемы, первый вопрос - какое количество тех, кто должен быть в состоянии выполнять эти правила, действительно в состоянии это делать.


    1. Exchan-ge
      23.12.2022 22:35

      в состоянии это делать.


      Тут народ присылает сотрудникам файлы с личной ЭЦП (секретный ключ) и по телефону диктует пароль :)


      1. Moskus
        24.12.2022 01:00

        Именно об этом и речь.

        Потому все эти правила в реальном контексте могут не иметь вообще никакого смысла, являясь частью административного подхода. В случае, если нужно обеспечить безопасность в контексте сотрудников-олигофренов, работают только инженерные методы.


        1. Arhammon
          24.12.2022 10:30

          Инженеры, сисадмины тоже люди - в итоге один стандартный пароль админа на всю компанию... и при этом как ни странно годами все работает, просто потому что ты "Неуловимый Джо". Это как замок в квартире, там много всяких зубчиков на ключе, выглядит сложно, но откроют его за секунду, если надо...


          1. Exchan-ge
            24.12.2022 12:15

            в итоге один стандартный пароль админа на всю компанию.


            Стандартная ситуация — в помещении висит бумажка, на которой огромными буквами напечатан пароль от вай-фая (огромными — так как многие и найти этот листок не могут :)
            Причем и сам пароль всегда прост до безобразия.


            1. Mirzapch
              24.12.2022 23:04
              +1

              Если гости - в отдельном VLAN, то ничего криминального в такой практике не вижу.


              1. Exchan-ge
                24.12.2022 23:22
                +1

                Если гости — в отдельном VLAN


                Нет, конечно.

                Это тема отдельной статьи — разрыв в мышлении специалистов по инфобезу и массовым сознанием неспециалистов в этой области.

                Это как две разных планеты.
                (тема была поднята и раскрыта еще в «Хакере в столовой», с тех пор она стала еще более актуальной в связи с массовостью явления и нуждается в серьезной проработке :)


              1. Arhammon
                25.12.2022 08:27

                Это как раз тот самый человеческий фактор - был нормальный админ, был отдельная сетка с инетом без доступа внутрь, как положено. Уволили по оптимизации - все местного админа нет, всем побарабану - сеть конторы открыта... Максимум, пришлют письмо типа этой статьи, типа "мы работали"...


                1. sundmoon
                  25.12.2022 13:53

                  Не должен админ заниматься инфобезом:
                  1) это две разные роли,
                  2) которые должны соревноваться ("перетягивать канат" бюджета и внимания руководства).

                  Совмещение их в одной человеческой голове - прямиком к шизе множественной личности. Но чаще произвольный выбор стороны и игнорирование обязанностей стороны противоположной.

                  Учитывая сказанное выше, отчаянно мешают любой конторе существующие т.н. "безопасники" с силовым, а не техническим бэкграундом - если начальство не различает эти вещи, т.е. в большинстве случаев.


                  1. Arhammon
                    25.12.2022 15:02

                    Игнорирование обязанностей стороны противоположной - вот именно это и происходит если админам пофиг. Им не всегда пофиг, сколько видел хороших админов, хотя бы на элементарном уровне они поддерживают безопасность. А нанимать отельных полицейских, чтоб стояли у всех за спиной - такое себе могут позволить банки и подобные учреждения. Им эта статья и не нужна...


          1. Moskus
            24.12.2022 21:18

            Мне кажется, вы не знаете, в чём разница между административным и инженерным методом. Это не имеет отношения к тому, кто (инженер или менеджер) является источником той или иной меры.

            Это имеет отношение к тому, что при инженерном решении невозможно или практически невозможно совершить действия иначе чем желательным способом. А при административном - их просто запрещено (на словах) совершать нежелательным способом.


            1. Arhammon
              25.12.2022 08:16

              Проблема в том, что инженерный метод осуществляют живые люди. Как пример, где-то в оборонке закрытый цех, вход чуть ли ни голышом, по наряду. Железобетонно - флешку не пронести. Только вот все провода наружу в не секретную часть выведены) И никто никогда безопасникам об этом не скажет, просто иначе они парализуют всю работу...


        1. Exchan-ge
          24.12.2022 12:12
          +1

          сотрудников-олигофренов,


          Дело в том. что людям никто не рассказал о том, что такое ЭЦП и как ей правильно пользоваться.
          Просто было дано распоряжение — получить и использовать.
          В обязательном порядке и срочно.
          И не…


  1. Exchan-ge
    23.12.2022 22:23
    +2

    Мы указали только популярные форматы.


    PDF пропустили, а сейчас файлов в таком формате большинство (все распоряжения сверху и проч)

    (и да, огромное количество людей убеждено в том, что в файлы в формате pdf нельзя внести изменения :)


  1. Exchan-ge
    23.12.2022 22:33
    +1

    Подобранные (на территории предприятия или в домашнем подъезде, неважно) носители информации (флеш-карты памяти, диски и т.д.)


    Много раз слышал подобные предупреждения, но не разу разбросанных флешек и проч. не видел. И, с учетом тенденций (флешками практически никто не пользуется уже) — наверное уже не увижу.
    (разве что разбросанные пентестерами :)

    А вот забытые пользователями флешки мы складывали в специальную коробочку и ждали возвращения растеряхи. Но увы, примерно в 50% никто за ними не приходил (так как народ забывал где он их забыл).

    Вставлять же эти флешки в комп — считалось сродни воровству (так как на флешке могли быть личные данные, типа интимных фото и прочего).


    1. Wesha
      23.12.2022 23:01

      Разбрасывание таких флешек, говорят, очень быстро отучает граждан от пихания всякой найденной на улице фигни куда не следует.


    1. Moskus
      24.12.2022 01:02

      Я совершенно не понимаю, зачем разбрасывать, если можно попросить воткнуть почти что угодно почти куда угодно какого-нибудь уборщика.


  1. teecat
    24.12.2022 11:54
    +2

    Первое правило: ВСЕ, что написано ДО знака «@» – неважно!

    На самом деле - все, что написано в поле От (From) - можно смело игнорировать, так как это поле может быть заполнено чем угодно. Адрес отправителя можно увидеть только в служебных заголовках. О которых рядовой пользователь не имеет н и малейшего понятия


    1. Wesha
      24.12.2022 12:35

      Адрес отправителя можно увидеть только в служебных заголовках.

      Да и в служебные заголовки запихнуть что угодно. (S — принимающий, C — отправляющий)

        S: 220 foo.com Simple Mail Transfer Service Ready
        C: EHLO bar.com
        S: 250-foo.com greets bar.com
        S: 250-8BITMIME
        S: 250-SIZE
        S: 250-DSN
        S: 250 HELP
        C: MAIL FROM:<Smith@bar.com>
        S: 250 OK
        C: RCPT TO:<Jones@foo.com>
        S: 250 OK
        C: DATA
        S: 354 Start mail input; end with <CRLF>.<CRLF>
        C: Привет, хабр!
        C: Вот и всё письмо.
        C: .
        S: 250 OK
        C: QUIT
        S: 221 foo.com Service closing transmission channel

      На строчке MAIL FROM: я могу любую лабуду в качестве адреса послать — хоть biden@whitehouse.gov — и сервер никак это проверить не может, приходиться верить на слово.

      P.S. Если вы думаете, что можете отличить валидный email-адрес от невалидного, то, скорее всего, ошибаетесь.


  1. Daddy_Cool
    26.12.2022 01:05

    Контора конторе рознь.
    Во многих конторах просто нет ничего мало мальски секретного. Пытался как-то повлять на одну знакомую - директора/владелицу хэдхантерской конторы - она сказала, что вся инфа моментально устаревает, поэтому нет никакой необходимости её защищать.
    Очень много бизнесов держатся в первую очередь на связях - от инфы чужому человеку толка нет.
    Но есть конечно другая сторона - скажем шифровальщики/потеря инфы могут доставить немало проблем.


  1. Exchan-ge
    26.12.2022 02:13
    +1

    Во многих конторах просто нет ничего мало мальски секретного.


    Компромат всегда можно найти и везде.


    1. Nickmd
      26.12.2022 19:05

      ... или использовать добытую "не секретную" информацию для более глубокой целенаправленной атаки.