Zamykamy teraz pod koniec 2019 roku. Ten rok był jak dotąd niezwykle produktywny w dziedzinie innowacji. Firmy teraz bardziej niż kiedykolwiek zwracają się do świata cyfrowego, aby obsłużyć wszystko – od listy płac po inteligentne umowy. Nic więc dziwnego, że oszustwa typu phishing są żywe i mają się dobrze.
Mimo to phishing jest nieco niejasnym określeniem cyfrowej działalności oszustw, która miała miejsce w tym roku. Jak możemy rozbić phishing w 2019 roku? Musimy przyjrzeć się konkretnym faktom, statystykom i żargonowi, aby zrozumieć, z czym będziemy walczyć przez resztę tego roku. Musimy także porównać wzorce przeniesione z ostatnich lat w 2019 r. Pomoże nam to przewidzieć przypadki phishingu w 2020 r.
Spis treści:
Definiowanie ataku phishingowego
Podstawowy atak phishingowy nastąpi za pośrednictwem wiadomości e-mail i reklam. Zazwyczaj wiadomości te zawierają link lub plik, który zagraża systemowi komputerowemu odbiorcy. Często ataki te przekierowują również na stronę logowania, która wygląda tak samo, jak prawidłowe logowanie do aplikacji, na której zamierzona ofiara jest już aktywna. Ta strona logowania będzie wyglądać jak zwykły system poczty e-mail, taki jak Gmail lub znajomy uchwyt mediów społecznościowych, taki jak Facebook.
Pamiętaj, że chociaż ta podstawowa definicja pomaga nam zrozumieć phishing jako pojęcie, nie wystarczy. Phishing staje się z dnia na dzień coraz bardziej wyrafinowany.
Fakty w skrócie
W latach 2018-2019 powtarzające się wzorce phishingowe. Możemy je obserwować na pierwszy rzut oka, aby przekonać się, z czym mamy do czynienia. Poniższe informacje pochodzą z raportu PhishLabs, który porównuje 2018 r. Z 2019 r. Jak następuje:
- W normalnych okolicznościach phisherzy muszą udawać jedną instytucję finansową. To zmniejsza skuteczność ich ataków. Wiele ofiar phishera nie będzie klientami banku, który zgłasza oszustwo. Modelowanie alertów e-Transfer międzybankowych jest atrakcyjne dla cyberprzestępców. Daje im to siłę nacisku na kilka różnych sieci banków jednocześnie.
- Ataki phishingowe wydają się odpowiadać zwiększonemu korzystaniu z bezpłatnego hostingu. W latach 2015-2018 operacje phishingowe podwoiły liczbę darmowych hostów z 3,0% do 13,8%.
- Hosting phishingowy przeszedł przez pierwszy kwartał biznesowy 2018 roku. Po tym pozostał na tym samym poziomie. Z wyjątkiem sierpnia i września, kiedy nastąpił dodatkowy skok. Jest spora przestrzeń do porównania między tym skokiem a wrześniem-październikiem 2019 r.
- Strony phishingowe można łatwo przygotować za pomocą zestawu do phishingu. Ułatwiają to bezpłatne usługi hostingowe. Jeden aktor zagrożenia może utworzyć dużą liczbę witryn. Nawet w krótkim okresie zasięg jednego aktora zagrożenia rozprzestrzeni się masowo. Ta objętość może być wytwarzana przez niewielką liczbę phisherów.
- 000webhostapp był najpopularniejszym darmowym hostem phishingowym w 2019 roku. Stanowiło to 69% phishingu swobodnie hostowanego.
- W 2018 r. Zaobserwowano ryzyko phishingu SMS-em. Wiele osób nie spodziewa się, że istnieje ryzyko phishingu na telefony i instynktownie otwierają SMS-y. SMS ma znacznie trudniejsze perspektywy śledzenia. Zestawy phish dla mobilnych programów phishingowych konfigurują fałszywe logowanie dla aplikacji mobilnych, które przechodzą wysoki poziom autentyczności.
- Ważne jest, aby pamiętać, że ataki phishingowe nadal mają wysoki wskaźnik skuteczności. Oszustwa związane z wyłudzaniem informacji są domeną początkujących cyberprzestępców. Używają tych oszustw, aby uzyskać dostęp do poświadczeń. Wykorzystają go również do dystrybucji oprogramowania ransomware.
- Przestępczość zorganizowana wykorzystuje phishing do kradzieży w milionach. Państwa narodowe używają phishingu, aby precyzyjnie określać strategie i uzyskiwać informacje wewnętrzne o środowisku docelowym.
- Ataki phishingowe wkradają się do wszystkich zakątków cyfrowego świata. E-mail nie jest jedynym celem. Zespoły techniczne muszą zacząć uważać na phishing w mediach społecznościowych, SMS-ach, aplikacjach mobilnych, streamowaniu itp. Wszystko, co można zdigitalizować, zostanie w pewnym momencie wyłudzone.
Rozbijam to
Nawet przy niektórych typowych wzorcach nie ma dwóch podobnych oszustw związanych z wyłudzaniem informacji. Często są do siebie podobne, ale zawsze w systemie występuje jeden błąd, który utrudnia ich wykrycie. Musimy zawęzić wspólne zachowanie, aby zachować ochronę. Nie chodzi tylko o spojrzenie na statystyki przestępstw. Chodzi o dostanie się do głów phisherów. Myśl jak phisher, aby uniknąć wyłudzenia informacji.
W lutym 2019 r. Symantec opracował raport do raportu o zagrożeniach bezpieczeństwa internetowego. Oto, co dowiedzieli się na temat phishingu:
Skrót kompromisu w sprawie e-mail biznesowych. Incydenty typu phishing w wiadomościach e-mail BEC z lat 2017–2019 zawierały wspólne słowa kluczowe. Poniżej przedstawiono ich rangę częstotliwości i wzrost procentu wykorzystania.
Słowa Wzrost wykorzystania procentowego
| pilne | 8.0 |
| żądanie | 5.8 |
| ważny | 5.4 |
| Zapłata | 5.2 |
| Uwaga | 4.4 |
Poniżej 4,0 wzrostu
| zaległe płatności | 4.1 |
| informacje | 3.6 |
| ważna aktualizacja | 3.1 |
Wzrost poniżej 3,0
Z tych statystyk wynika, że oszustwa związane z wyłudzaniem informacji stają się coraz bardziej wyrafinowane. Proszą o „pilną” „uwagę” o wiele wyższą stawkę niż prośba o zryczałtowany przelew płatności. Daje to do zrozumienia, że phisher zna zmieniające się metody zapobiegania oszustwom. Szukają luk w strategiach antyphishingowych.
Rozwijanie silnej wiktymologii phishingowej
Możemy więc zobaczyć, jakiego rodzaju słownictwo używają phishingi z powyższych tabel. Komu używają tego języka? Do kogo będą kierowani, którzy najprawdopodobniej otworzą wiadomość e-mail z tym rodzajem języka w temacie lub treści tekstu?
Aby to zrozumieć, musimy lepiej zrozumieć, kim były ofiary w atakach phishingowych w latach 2017–2019.
Małe i średnie firmy, które mają zostać wyłudzone
Badania przeprowadzone przez firmę Symantec wykazały, że odsetek phishingów e-mailowych według wielkości modelu biznesowego był najwyższy w średnim przedziale biznesowym. Firmy z największą liczbą ataków phishingowych zatrudniały około 1 001-1500 pracowników. Spośród użytkowników w tym przedziale wielkości 56 z tego 1 001-1 500 pracowników było celem. Odnosi się to między 3,73–5,59% pracowników w firmach w tym przedziale wielkości.
Symantec stwierdził również, że 48% wszystkich złośliwych wiadomości e-mail to pliki robocze. Zazwyczaj są to załączone pliki. Wiadomość e-mail będzie ukrywana jako powiadomienie o oprogramowaniu biznesowym, informacja o transakcji – taka jak faktura lub paragon. Załączone pliki biurowe będą wówczas zawierać złośliwy skrypt. Otwarcie wiadomości e-mail powoduje pobranie kodu skryptu i zakończenie transferu złośliwego oprogramowania do systemów biurowych.
Widzimy więc z góry, że tylko niewielki procent ludzi w tych firmach jest celem. Gdyby był znacznie większy, podejrzenie rozprzestrzeniałoby się szybciej. Cały zespół biurowy miałby większe szanse na sabotaż ataku. Ten niewielki odsetek docelowych pracowników musi mieć uzasadniony powód, aby otworzyć zainfekowane wiadomości e-mail.
Niewielki odsetek pracowników objętych pomocą pracuje w dziale finansów i HR
Wróć do ustaleń Phishlab na lata 2018-2019. 98% ataków na skrzynki odbiorcze użytkowników nie zawierało złośliwego oprogramowania. Zdecydowana większość oszustw związanych z phishingiem w skrzynce odbiorczej w 2018 r. Stanowiła kradzież danych uwierzytelniających i oszustwa e-mail. W 2018 r. Najbardziej skuteczne były przynęty dotyczące technik oszustw finansowych / HR i e-commerce. Przynęty te działały na cele korporacyjne. 83,9% tych ataków było ukierunkowanych na pięć kluczowych branż. Ataki te ukierunkowane były na poświadczenia dotyczące usług finansowych, e-mail, chmury, płatności i usług SaaS.
Z tego wynika, że niewielki procent docelowej bazy pracowników to osoby zajmujące stanowiska w komunikacji korporacyjnej. Są to ludzie HR i menedżerowie finansowi. Dokładna typologia, która umożliwiłaby szybkie otwarcie wiadomości e-mail z etykietą „pilną”.
Ta grupa ludzi jest dobrze wyszkolona w zakresie oszustw finansowych, prawda? Jeśli więc biorą przynętę, ataki te mają wysoki poziom wyrafinowania. Będą również przejrzyste. HR lub pracownik finansowy nie będzie w stanie szybko wykryć niczego podejrzanego w wiadomości e-mail. Dlaczego?
W zakresie badań firmy Symantec największą liczbą złośliwych załączników do wiadomości e-mail były skrypty na 47,5%. Następnie pojawiły się pliki wykonywalne i inne załączniki.
Co to są skrypty phishingowe?
Czym jest skrypt? W jaki sposób zagraża to Twojemu systemowi informatycznemu nawet bez użycia złośliwego oprogramowania?
Skrypt to fragment kodu, który haker phishingowy napisze, który będzie działał w tle wiadomości e-mail otwieranej przez zespół HR. Nie musi zawierać wirusa, aby był szkodliwy. Po prostu znajdzie sposób na szpiegowanie twojego systemu. Hakerzy często wykorzystują to do kradzieży informacji finansowych z systemu.
Hakerzy wykorzystają złożone skrypty w swojej pracy phishingowej. Im bardziej zaawansowana technika phishingu, tym więcej różnych skryptów jest w grze. Ulubione trendy wśród hakerów, które można zaobserwować, zostały napisane w Pythonie i Ruby.
Studia przypadków w świecie rzeczywistym
Teraz, gdy rozumiemy zakres docelowy i wiktymologię ataków phishingowych, musimy rzucić okiem na niektóre z najbardziej niesławnych jak dotąd przypadków 2019. Dobrze jest rozbić to, co poszło nie tak, aby ktoś mógł uniknąć tych samych błędów. W ten sposób ataki te mogą oznaczać coś więcej niż tylko trafienie w firmę, która mogła nawet kosztować ich jednostkę.
Niektóre z tych hitów były trochę za blisko, by zapewnić wygodę i niedawno. Jedna taka niesławna sprawa przyszła do nas za pośrednictwem Napęd opieki zdrowotnej raport, który wzrósł w sierpniu 2019 r.
Prezbiteriański atak phishingowy w szpitalu, który naruszył dane 183 tys. Pacjentów
Ataki phishingowe w prezbiteriańskim łańcuchu szpitalnym ujawniły zarówno pacjentów, jak i członków planu zdrowotnego. Stało się to w zintegrowanej sieci opartej na Nowym Meksyku. Naruszenie zostało odkryte 6 czerwca w Nine-Hospital. Konta e-mail, które zostały ujawnione, zawierały dane uwierzytelniające pacjenta. Nazwiska, członkowie planu opieki zdrowotnej, numery ubezpieczenia społecznego, daty urodzenia oraz poufne informacje kliniczne i plany zostały ujawnione.
Zespół Presbyterian nie mógł znaleźć złośliwego wykorzystania zebranych danych. Nie mogli również ustalić, czy phisherzy uzyskali dostęp do EHR Presbyterian lub systemów rozliczeniowych.
Nie oznacza to jednak, że atak nie miał żadnych konsekwencji. W rzeczywistości tego rodzaju atak jest gorszy. Ofiary mogą nieco cierpliwie zmieniać swoje dane finansowe i dane uwierzytelniające. Dane mogą jednak zostać ponownie wprowadzone do obiegu w celu oszustwa, a nawet sprzedane.
Podobny atak na Generała Massachusetts
Sam atak phishingowy rozpoczął się 9 maja. Oznacza to, że znajdował się w systemie przez prawie 2 miesiące, zanim został wykryty.
Kierowca służby zdrowia zgłosił także atak na szpital ogólny w Massachusetts w sierpniu. Atak był związany z dwoma programami komputerowymi. Używali ich naukowcy z oddziału neurologii. Informacje osobiste dotyczące zdrowia ponad 10 000 pacjentów zostały ujawnione w wyniku tego ataku. Naruszenie to zostało odkryte wcześniej niż w szpitalu w Nowym Meksyku. Atak został przeprowadzony około 10-16 czerwca (dokładna data nie jest dokładna). Szpital odkrył go 24 czerwca.
Na wynos z tych przypadków
W 2019 roku obserwujemy wzorce w placówkach opieki zdrowotnej. Ponieważ wykorzystanie danych staje się coraz bardziej wyrafinowane w 2019 r., Wartość danych rośnie. Tak więc kradzież danych jest często cenniejsza niż w poprzednich latach, gdy phisherzy byli zainteresowani odebraniem gotówki.
Opracowanie profilu przestępczego dla phisherów
Ważne jest zrozumienie wiktymologii stojącej za phishingiem. Ale to tylko połowa pracy. Aby powstrzymać phishera, musisz myśleć jak phisher. Kim oni są? Jaki jest motyw ich przestępstw związanych z phishingiem?
Okazuje się, że phishing jest ewolucją phreaking. Phreaking to nazwa, którą nadali hakerom telekomunikacyjnym. Phisherzy to tylko cyber-punkowe represje klasycznych złodziei tożsamości. Jeśli się na tym skupimy, możemy stworzyć profil przestępczy, który pomoże lepiej zrozumieć motywację phisherów.
Departament Sprawiedliwości Stanów Zjednoczonych spędził dziesięciolecia na badaniu i rozwijaniu profili przestępczych dla złodziei tożsamości w ogóle.
Podobnie Centrum Zarządzania Tożsamością i Ochrony Informacji profilowało federalne dane dotyczące spraw z lat 2008–2013, badając kradzież tożsamości. Opublikowano w 2015 r. Możesz to przeczytać tutaj.
Porównanie badania CIMI 2015 dotyczącego złodziei tożsamości z phisherami 2019
W badaniu CIMI najwięcej sprawców kradzieży tożsamości i powiązanych przestępstw, takich jak oszustwa bankowe i podatkowe, pochodziło z Florydy. Na drugim miejscu znalazła się Kalifornia jako drugi najwyższy odsetek przestępców.
5 stanów o największej liczbie przestępstw związanych z kradzieżą tożsamości to:
- Floryda
- Kalifornia
- Teksas
- New Jersey
- Gruzja
Ciekawym faktem jest to, że wszystkie te stany mają miasteczka plażowe. Wszystkie są także atrakcjami turystycznymi i biznesowymi. Jeśli porównamy ten fakt z trendami phishingowymi, zauważymy, że branże, na które atakują phishing, takie jak gościnność i finanse, często mogą być dla nich lokalne. W takich przypadkach phisherzy i złodzieje tożsamości prawdopodobnie znają ofiary, na które celują.
W przypadku grup wiekowych przestępców badanie wykazało wzrost w ciągu ostatnich dwóch dekad przestępców w średnim wieku. Mimo to 36,7% przestępców kradzieży tożsamości w 2007 r. Było w wieku 25-34 lata.
86,7% przestępców zaobserwowanych w tym badaniu było urodzonymi w USA legalnymi rezydentami.
Tylko 6,1% przestępców kradzieży tożsamości w tym czasie było nielegalnymi kosmitami.
Jedna trzecia złodziei tożsamości to kobiety. Oznacza to, że w 2007 r. Mężczyźni dominowali w statystykach złodzieja tożsamości. Nie zmieniło się to w aktualizacji 2015 w badaniu, ale statystyki kradzieży tożsamości kobiet wzrosły.
W 2007 r. Więcej złodziei tożsamości działało w ramach sieci oszustów niż jako jedna osoba. Już w 2007 r. Nastąpił ogromny wzrost wykorzystania Internetu do kradzieży tożsamości. To pokazuje nam, że przestępcy, którzy mogą być zwykłymi złodziejami tożsamości, mogą być również phishingami.
Grupowe korzyści z oszustw związanych z poświadczeniami__ wypłata phishingu
Często oszustami tożsamości byli członkowie zespołu mąż / żona. Również grupy, które w tym badaniu brały udział w atakach tożsamości w stylu phishingu, prowadziły pierścienie oszustw kupujących. Ukradli informacje o kartach kredytowych ofiarom online. Następnie przekonwertowali skradzione informacje na fałszywe karty kredytowe. Korzystali z kart kredytowych, aby kupować ogromne ilości artykułów detalicznych. Następnie zwracają lub transportują te przedmioty, aby zamienić je na gotówkę. Wykorzystywaliby narkomanów i bezdomnych, wymieniając gotówkę zebraną podczas zakupów oszustów na numery ubezpieczenia społecznego tych osób podatnych na zagrożenia i inne dane uwierzytelniające.
Korzystali z poświadczeń tych osób, które wpadły przez system, aby następnie uzyskać fałszywe prawa jazdy i inne fałszywe poświadczenia. Wykorzystaliby te nowe dane uwierzytelniające, aby założyć tożsamość w państwie zamieszkania, w której wykorzystywana osoba byłaby, gdyby była w ewidencji. Stamtąd użyliby tych poświadczeń do utworzenia fałszywych kont bankowych. Mogą następnie sfałszować czeki z tych kont.
Złodzieje tożsamości w starszych badaniach wykazali wzorce wykorzystania skradzionych informacji o tożsamości do popełnienia innych przestępstw związanych z oszustwem.
W tym badaniu często ofiarami kradzieży tożsamości były nieznajomi. Aktualizacja tego badania z 2015 r. Wykazała, że często relacją między sprawcą a ofiarą był klient i klient.
Wiemy z tego raportu, że osoby te często działają jako poufna grupa komórkowa. Korzystają z bocznego działania rządu i wykorzystywania łatwych celów. Przez lata profil samych ofiar nie został określony w kamieniu. Oszustwa związane z wyłudzaniem informacji, dzięki zwiększonemu dostępowi do Internetu, wywołują jednak wyższy odsetek indywidualnych celów. Będą szukać jednej osoby w firmie, której kompromis porwałby całą istotę w oszustwo.
Lekcje phishingu od samych hakerów
Tak więc teraz mamy dość solidne ataki wiktymologiczne. Znamy dokładnych ludzi, których potrzebujemy, aby trenować ciężkie wypadki. Wiemy również, które grupy fokusowe należy obserwować i najlepiej sprawdzać pod kątem zagrożeń wewnętrznych.
Teraz może pomóc w stworzeniu metodologii kryminalnej dla samych ataków. Jaki jest dokładny podział oszustwa polegającego na wyłudzaniu informacji? Studiowaliśmy metody nauczane przez Pentest Geek, etyczna grupa hakerska, która wykorzystuje scenariusze i próbę hakowania, aby działać jak ćwiczenia przeciwpożarowe dla zespołów biznesowych. Mają kompletny przewodnik po procesie ataku phishingowego. Opublikowali go 18 września 2019 r.
Proces typowego ataku phishingowego krok po kroku wygląda następująco:
- Wymień adresy e-mail
Pierwszą rzeczą, którą zrobi twój phisher, jest wyliczenie listy e-mail. Muszą dokładnie określić, do kogo chcą wysłać te e-maile. W tym celu skorzystają z usługi takiej jak Jigsaw.com. Jigsaw automatycznie wyliczy wiadomości e-mail dla potencjalnego phishera. Za pomocą Jigsaw phisher będzie obsługiwał bazę danych i może eksportować tę wiedzę do plików CSV. System w Jigsaw spróbuje zablokować ten skrypt. Hakerzy będą wtedy działać w najnowszej dostępnej wersji. Będą działać z bezpłatnego konta jigsaw.com. Przekażą swoje poświadczenia jako argumenty na cil.
Alternatywną opcją jest Harvester. Harvester to skrypt Pythona, który jest częścią BackTrack5 i znajduje się w / pentest / enumeration / theharvester. Ten skrypt może szybko wyszukiwać w różnych wyszukiwarkach. Jak sama nazwa wskazuje, zbierze wyliczone adresy e-mail, które znajdzie.
- Unikaj systemów antywirusowych
Phisher będzie wtedy badał twój system antywirusowy. Będą musieli wiedzieć, z jakim systemem mają do czynienia, aby znaleźć słaby punkt. Unikanie programu antywirusowego jest luką, jaką mają osoby uruchamiające skrypty podczas infekowania bazy danych informacji poufnych. Jednym ze sposobów jest szpiegowanie pamięci podręcznej DNS. Mogą zobaczyć rodzaj antywirusa, którego używa ich ofiara z pamięci podręcznej DNS.
Po ustaleniu, jakiego rodzaju antywirusa używa firma, haker pobierze ten sam lub podobny system. Przestudiują go samodzielnie, aby stworzyć najlepszy plan włamania się do niego.
- Zastosowanie filtrowania wyjścia
Phisher będzie musiał wybrać ładunek. Niektóre z ulubionych to reverse_https lub reverse_tcp_all_ports. Ten drugi nie jest tak znany niektórym hakerom z niższych do średnio zaawansowanych. Zasadniczo reverse_tcp_all_ports implementuje odwrotną procedurę obsługi TCP i działa ze stagerami „allports”. To trochę jak podsłuch. Nasłuchuje na jednym porcie TCP. Następnie system operacyjny przekierowuje wszystkie połączenia przychodzące na wszystkich portach do portu „nasłuchującego”.
Hakerzy często używają systemów Linux. Ten system operacyjny jest niezbędny do cięższej technicznej części tego procesu. Filtr przechwytuje niezbędne informacje z systemu ofiary dla hakera. Jednocześnie mogą używać operacji hakowania opartej na systemie Linux do zdalnego logowania. Używają również tych systemów odwrotnego https, aby ukryć swój ruch w twoim systemie. Systemy zapobiegania włamaniom mają trudności z wykryciem złośliwej obecności, ponieważ wygląda jak zwykły ruch HTTPS. Jedynym sposobem, w jaki hakerzy mogliby zostać złapani na gorącym uczynku w tym przypadku, jest przeprowadzenie przez firmę głębokiej inspekcji pakietów przy użyciu protokołu SSL.
- Wybierz scenariusz phishingu e-mail
Potem przychodzi najłatwiejszy kawałek. Haker znajdzie szablon i scenariusz, który będzie działał jako idealna przynęta na e-mail. Pamiętaj, że według najnowszych statystyk haker często atakuje około 3-5% pracowników małych i średnich firm. Zamierzają zająć się rolami zarządzającymi danymi uwierzytelniającymi, takimi jak HR lub finanse. Będą publikować e-maile, które wyglądają, jakby pochodziły z sieci banków biznesowych. Te e-maile będą oznaczone jako „pilne” raporty, które wymagają natychmiastowej uwagi ofiary.
- Pomijaj sieciowe serwery proxy
Hakerzy określą następnie, z jakich serwerów proxy korzysta ich docelowa ofiara. Serwer proxy sieci blokuje dostęp sieci firmowej do niektórych witryn. Niektóre z tych systemów są nawet wyposażone w ochronę antywirusową. Oznacza to, że internetowy serwer proxy może zablokować ofierze pobieranie pliku wykonywalnego, który wysłał phisher. Phisher będzie musiał znaleźć sposób na uniknięcie tego, aby uzyskać to, czego chcą. Następnie zainwestują w oszustwo, kupując ważny certyfikat SSL dla złośliwej witryny. Oznacza to, że gdy poszkodowany użytkownik odwiedza witrynę z certyfikatem SSL, zaszyfrowany tunel wraca do oszustwa phishingowego.
- Wysyłaj wiadomości phishingowe
Hakerzy mają tutaj kilka opcji. Mogą sfałszować wiadomość e-mail lub kupić prawdziwą domenę, aby podstęp był jeszcze bardziej przekonujący.
Jeśli zdecydują się wysłać z prawidłowej domeny, często zarabiają na tanim rynku domen. GoDaddy jest obecnie najpopularniejszą opcją zakupu taniej domeny. Niektóre oferty sprzedaży świeżych domen zawierają je już za 1,17 USD, w tym podatek i opłaty.
Wiele witryn zakupionych za pośrednictwem GoDaddy zawiera funkcję e-mail. Haker uzyska dostęp do domeny „utwórz wiadomość e-mail” i wykorzysta ją do utworzenia konta e-mail dla swojej witryny.
Haker następnie przejdzie do kodu konta e-mail GoDaddy i zmieni wszystkie informacje identyfikujące „Kim jest”. Wykorzystają ten kod, aby uruchomić przekonujący internetowy program oszustów w celu wyłudzenia informacji. Będą musieli sprawdzić zgodność z witryną, którą chcą wprowadzić w błąd, aby upewnić się, że wszystko jest zgodne z prawem. To musi wyglądać jak najbardziej realnie.
W tym momencie mogą wybrać dostawcę poczty e-mail, aby wysyłać wiadomości e-mail typu phishing. Jednak bardziej wyrafinowane operacje będą uruchamiać je jak wyżej wspomniane skrypty.
Hakerzy w Pentest Geek raport uruchomił skrypt za pomocą Ruby. Użyli prostego skryptu Ruby o nazwie sendmail.rb. Dzięki temu lista adresów e-mail wraz z wysłaną wiadomością e-mail. Mogą użyć tego skryptu do śledzenia użytkowników strony phishingowej. Za pomocą tego prostego skryptu śledzenie aktywności w witrynie phishingowej było łatwe, ale śledzenie pojedynczych kliknięć było trudniejsze.
- Metasploit / multi-handler
Wśród tych hakerów Metasploit był ulubionym zestawem narzędzi do obsługi wielu programów. Ta strona im się podobała, ponieważ pomogła im skonfigurować niektóre niestandardowe opcje. Phisherzy starają się dostosowywać swoje przestępstwa. Utrudnia to śledzenie.
Hakerzy na Pentest Geek najpierw stworzy skrypt zasobów. Zrobiliby to na wypadek, gdyby zmarł ich multi-handler. Ten skrypt zostanie skonfigurowany dla hakerów zgodnie z modelem, który utworzyli podczas testowania.
Hakerzy skonfigurują ten moduł obsługi, aby chronić swoje sesje sieciowe. Będą modyfikować rzeczy takie jak scraper.rb, jeśli używasz kodu Ruby. Ten kod służy do wyliczania informacji integralnych z oszustwem typu phishing na tym etapie. Rzeczy takie jak adresy e-mail, informacje o systemie, skróty i różne przydatne informacje.
Haker używa tego do zarządzania wielozadaniowości, aby nie musieli czekać na przybycie każdego stagera i sesji. Zezwolenie systemowi na zarządzanie niektórymi zadaniami pomaga hakerowi w dystrybucji pracy i przeprowadzeniu kampanii o szerszym zasięgu.
Proaktywne kroki anty-phishingowe
Teraz wiesz, kim są ci ludzie. Wiesz czego chcą. Wiesz także, co zrobią, aby to zdobyć. Jasne wyobrażenie o motywach kryminalnych i idealnych ofiarach usuwa tajemnicę z phishingu.
To wciąż nie wystarczy, aby zapobiec wszelkim phishingom. Będziesz musiał zbudować kilka kroków w komunikacji biznesowej online, które wykorzystują wszystkie te informacje.
Zainwestuj w zaawansowane zabezpieczenia antyphishingowe
Do tej pory powinno być jasne, że program antywirusowy nie wystarczy, aby zatrzymać te oszustwa. Skrzynki antyspamowe z silnymi filtrami to za mało. Musisz zainwestować w głęboką inspekcję pakietów dzięki strippingowi SSL. Jest to kontratak zidentyfikowany przez hakerów, który może zatrzymać swoją metodę na jednym z wcześniejszych etapów planowania.
Warto również zainwestować w serwer proxy sieci Web, który ma wbudowane środki antyphishingowe. TechTarget zaleca stosowanie systemu wykrywania włamań lub systemu ochrony przed złośliwym oprogramowaniem. Nawet wtedy nie powinieneś przestać chronić się przed phishingiem. TechTarget sugeruje również, że operatorzy witryn powinni wykrywać tego rodzaju ataki, monitorując określoną liczbę połączeń dla jednego nowego adresu IP. Nawet wtedy będziesz musiał mieć oko. Nowe połączenia mogą pochodzić z nowego NAT lub prawidłowego serwera proxy. Podejrzana liczba połączeń od jednego użytkownika witryny będzie wymagała taktyki dochodzenia.
Jeśli otrzymasz podejrzany e-mail z banku, skontaktuj się z działem ds. Oszustw
Widzieliśmy powyżej, że hakerzy phishingowi często używają legalnych instytucji finansowych jako szablonu punktu kompromisu. Jeśli Twój dział HR lub dział finansowy otrzyma wiadomość e-mail od banku firmy lub innego banku, to samo w sobie jest wątpliwe. Banki zazwyczaj nie kontaktują się bezpośrednio ze swoimi klientami. Zamiast tego pozwalają klientowi dotrzeć do nich, jeśli mają pytania dotyczące transakcji lub czegoś, co oflagowało.
Floryda opracował zestaw ofiar kradzieży tożsamości ze względu na statystyczny skok tego rodzaju przestępstw w ich stanie. Wymieniają trzy główne biura kredytowe jako miejsca do ostrzeżenia, jeśli spodziewasz się naruszenia systemu. Możesz poprosić ich o umieszczenie na twoich kontach „ostrzeżenia o oszustwie”. Następnie możesz poprosić o raporty kredytowe w celu wykrycia nieuczciwych zachowań. Możesz to zrobić natychmiast, jeśli pracownik Twojej firmy otworzył wiadomość e-mail od wierzyciela lub banku, która została wysłana poza regularną korespondencją z działem obsługi banku.
Zalecają skontaktowanie się z departamentami ds. Oszustw również wszystkich wierzycieli oraz wszystkich banków i instytucji finansowych. Powinieneś sprawić, aby wszystkie z nich umieściły twoje konta na liście obserwacyjnej oszustw podczas rozwiązywania problemu naruszenia.
Końcowe przemyślenia
Wyłudzanie informacji nigdzie się nie pojawi. To dlatego, że nigdzie nie dochodzi do oszustw informacyjnych. To trochę niefortunne, ale dobrze wyszkolony zespół nie ma się czego obawiać.