Фішінг: як не попастись на вудочку кіберзлочинців?

18.05.2021 442

Намагаючись заробити гроші, кіберзлодії використовують цілеспрямований фішинг або спам-розсилки з шкідливими вкладеннями або шкідливими посиланнями, які ведуть на фішингові сайти, або заражають ПК і шифрують жорсткий диск.

У кінці робочого дня співробітник банку отримав на робочу пошту лист від, як він спочатку подумав, іншого співробітника банку з вкладенням під назвою «Зарплати співробітників на 2016 рік». З цікавості він відкрив вкладення, але замість переліку зарплат виявив вельми підозрілий exe-файл. Втім, про те, що файл підозрілий, йому спало на думку лише потім, коли виявилося, що всі документи на жорсткому диску зашифровані і доступу до них немає. Як виявилося, всередині вкладення знаходився шкідливий код типу Ransomware, який непомітно шифрує файли жертви за допомогою стійкого шифрування. Далі зловмисник вимагає викуп, щоб розшифрувати файли. Як правило, кіберзлочинці надають спеціальну утиліту з вбудованим особистим ключем розшифровки після оплати. Злочинці пропонують розшифрувати кілька файлів безкоштовно, щоб показати жертві свою компетентність, таким чином змушуючи заплатити грошей за розшифровку таких важливих і необхідних документів.

Якщо користувач з першого разу не клюнув на приманку шахраїв, автори цілеспрямованого фішингу знову і знову змінюють тему, «заохочуючи» користувачів відкривати вкладення за рахунок прописування різних інтригуючих тематик. Але в реальності останні при відкритті вкладення листа замість отримання «пікантної» інформації лише запускають різний шкідливий код.

Обхідний маневр 

Сьогодні хакери рідко атакують ПК за допомогою «лобової атаки», через відомі або невідомі уразливості в операційній системі або веб-сайтах. Це досить складно і дорого. Тому найчастіше атаки починаються з фішинговою виверти – електронного листа з шкідливою начинкою, на яке «клюють» звичайні користувачі.

Нагадаємо, що фішинг – це один з видів інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів. Він заснований на соціальній інженерії та незнанні користувачами основ інформаційної безпеки. Зазвичай фішинг націлений на фінансові шахрайство або розкрадання даних, але іноді з його допомогою атакують серйозні системи державного рівня, що призводить до набагато більш сумних наслідків.

Техніка злому корпоративних мереж шляхом розсилки фішингових листів широко застосовується кібершахраїв. Наприклад, APT-кампанії Carbanak спеціалізуються на фінансових організаціях (але не обмежуються ними): щоб потрапити в корпоративну мережу банку, кіберзлочинці розсилають фішингові листи з шкідливими вкладеннями. У разі успіху, хакери отримують в своє розпорядження контролер домену і в підсумку відкривають доступ до комп’ютерів співробітників банку, відповідальних за обробку транзакцій по картах. Після цього відбувається виведення грошей різними способами, де багато що залежить від банку: це або онлайн-переклади, або видача грошей через банкомати.

Багаторівнева з  фішингу 

Очевидно, що майстерно складений лист може провести навіть досвідченого користувача, адже за допомогою методів соціальної інженерії кіберзлочинці здатні змусити практично будь-якого користувача клацнути URL-посилання або відкрити вкладення. Справді, хто втримається від спокуси зазирнути в файл з нібито списком зарплат? Тому навчання користувачів по розпізнаванню фішингу – завдання безсумнівно дуже важлива, але в будь-якому випадку потрібно додатковий захист, фактично «підстраховка» від неправильних дій занадто довірливих працівників. І таким підстрахуванням є рішення інформаційної безпеки від відомих виробників.

Вендори використовують потужний багаторівневий підхід до захисту від можливих фішингових повідомлень. Так, у багатьох рішеннях для протидії фішингу використовуються злагоджена робота систем антиспам, антивірус, веб-фільтрації, запобігання вторгнень (IPS) і IP-репутації. Для додаткової перевірки шкідливості коду застосовується пісочниця. Нижче представлений огляд найбільш популярних рішень для протидії фішингу.

FireEye EX  безсігнатурні технології і система віртуального виконання 

Серед переваг продуктів серії FireEye EX – захист в режимі реального часу від цільових фішингових атак, які здатні обійти класичні схеми системи захисту. Крім того, рішення EX реалізує новий рівень запобігання комбінованих атак завдяки застосуванню платформи FireEye NX. Остання поміщає в карантин повідомлення email з шкідливими URL-лінками. Для запобігання атак з цільовим фішингом, FireEye EX аналізує кожне вкладення за допомогою особливої ​​мультивекторної архітектури з модулем віртуального виконання FireEye Multi-Vector Virtual Execution (MVX) , який дозволяє виявляти складні атаки. Якщо система підтверджує наявність атаки, платформа EX поміщає шкідливе лист в карантин для подальшого аналізу і видалення.

Крім того, в серії EX застосовується безсігнатурний механізм FireEye MVX , який відображає атаки нульового дня , націлені на ще невідомі уразливості в ПЗ. Механізм FireEye MVX генерує докладні звіти з інформацією про загрози, такої як відомості про уразливість при переповненні буфера, координати зворотних викликів при ексфільтраціі даних і т. Д.

FortiMail: дуже висока продуктивність 

Серія пристроїв FortiMail від компанії Fortinet виконує захист поштових служб підприємства, в реальному часі дозволяє проводити сигнатурний і евристичний аналіз електронної пошти на наявність вірусів і спаму. FortiMail може використовуватися як самостійно, так і в комплексі з FortiGate. Швидкість перевірки електронних листів антивірусним і антиспам-сканерів складає від 20 тисяч до 1100 тисяч на годину. При маршрутизації листів підтримується до 10 тисяч поштових доменів.

FortiSandbox: «пісочниця» для безпечного аналізу загроз 

Чудовим доповненням до FortiMail виступає серія «пісочниць» FortiSandbox, призначених для активного попереднього аналізу загроз. FortiSandbox виконує динамічний аналіз шкідливого коду, при цьому рішення здатне посилати запити назад в лабораторію FortiGuard Labs в реальному часі, що дає можливість дуже швидко детектувати як існуючи загрози, так і зовсім нові. </ P>

При необхідності адміністратори інформаційної безпеки можуть вручну завантажувати зразки шкідливого коду для виконання в віртуальної пісочниці. FortiSandbox можна розгорнути як самостійне рішення, без будь-яких модернізацій в мережевих конфігураціях, так і інтегрувати в платформи FortiGate і FortiMail .

TRITON AP-EMAIL: високоефективний логічний інтелект з контролю загроз 

Програмне рішення Forcepoint TRITON AP-EMAIL являє собою систему для захисту електронної пошти від різних мережевих погроз, а також від витоків даних. Додаток допомагає замовникам відповідати законодавчим вимогам і забезпечує безпечне використання електронної пошти. Продукт доступний у вигляді локальної платформи, хмарного або SaaS-рішення, можливо також гібридне використання, що поєднує обидва види поставки.

TRITON AP-EMAIL працює на основі технологій TRITON АСЕ і ThreatSeeker Intelligence Cloud. Потужний механізм класифікації TRITON АСЕ експлуатує понад 10 тисяч аналітичних алгоритмів, які постійно оновлюються в режимі реального часу. АСЕ оцінює комплексні ризики, які забезпечують вбудовану онлайн-захист від шкідливого ПО, комбінованих загроз, цільових атак, фішингу та спаму. Одержувач може легко запустити систему перевірки адресних посилань в «пісочниці» (URL Sandboxing), яка видалить підозрілі посилання, що містяться в електронних повідомленнях, і проаналізує корисне навантаження web-сторінок в реальному часі. Мережа ThreatSeeker отримує дані з 900 мільйонів кінцевих точок і щодня аналізує до 5 мільярдів веб-сторінок.

Серед переваг системи: зупинка націлених атак, а також APT-загроз на ранніх стадіях; захист конфіденційних даних як від розкрадання інсайдерами, так і зовнішніх атак; легка адаптація до хмарних технологій, таким як Microsoft Office 365. Крім того, TRITON AP-EMAIL ідентифікує користувачів з високим ступенем ризику і підвищує обізнаність користувачів про загрози.