*Фишинг (от англ. термин phishing – изпращане на имейл с фалшива информация претендирайки, че е от компания с добра репутация, чрез който да се вкара зловреден софтуер в компютъра на случайна жертва. Целта е хакерът да се добере да ценна информация като кредитни карти, пароли и др.)
* Спеарфишинг (от англ. термин spearphishing – фалшив имейл от близък на жертвата партньор, колега, познат, чрез който да се вкара зловреден софтуер в компютъра на жертвата, чрез който хакерът да се добере до ценна информация. Разликата с phishing e, че при спеарфишинг-а жертвата е подбрана внимателно, проучена и атакувана от цяла организирана група. Мейлът обикновено идва от хакнат вече акаунт на близък партньор, познат, колега, какъвто жертвата очаква. Освен достъп до кредитни карти, при спеарфишинг-а има кражба на фирмена информация, проекти, огромни суми пари по „сключени“ сделки и тн.)
Забравете за нигерийските принцеси! Днес спеарфишинг-а може да заблуди дори най-добрите IT професионалисти и консултанти по киберсигурност.
Фишингът е истинска напаст за компютърния свят през последните 2 десетилетия, срещу който все още не е намерено ефективно противодействие. Голяма част от нас лесно го различават по заглавие (subject) и изпращач, ние го изтриваме дори без да го отворим. Ако все пак отворим мейл-а, лесно виждаме формалните поздрави, многото грешки, реките от $, нигерийските принцеси с големи наследства, спечелените милиони от измислени лотарии. Голяма част от фишинг атаките не са особена заплаха за нас, защото малка част от нас не се хващат и ние обикновено ги разрешаваме с бутона DELETE.
Друг е проблема със спеарфишинг-а, защото там жертвата е специално подбрана, атаката е обмислена от IT професионалисти и често пъти най-добрите компютърни специалисти са заблудени. Чрез спеарфишинг атаките никой не се опитва да ви даде милиони или пробута евтини iPhone-и. Атаките са обмислени добре, жертвите са подбрани, навиците им са изучени, знаят текущите им проекти, финансови интереси. Днешните спеарфишинг атаки нямат за цел само финансова кражба, а далеч по-зловещи цели.
Тук ще опишем няколко от най-често срещаните и добре измислени спеарфишниг атаки и начини, по който може да ги избегнете или как да обърнете внимание на опасноста.
1. Атаките са добре обмислени от професионалисти
Традиционно фишинг имейлите се създават от ниско ниво хакери. Хакер, който измисля, текста, пуска го като спам и чака някой да се закачи. Често пъти текста е за абсолютни наивници и само най-наивните се закачат.
Някъде по пътя обаче това се промени. Организираните престъпни групи разбират, че могат да изкарат огромни суми пари, ако фишинг атаката е направена добре. В книгата на Браян Кребс SPAM NATION, която проследява възхода на професионални криминални банди в Русия, които правят десетки милиони долари от киберпрестъпления добре прикрити зад големи IT фирми.
Престъпниците разбират, че един добре подготвен имейл може да мине през най-строгите и сигурни защити. В днешно време сложните кибер заплахи advanced persistent threats (APTs) тръгват обикновено от няколко получени мейла в компанията-жертва.
Съвременните киберпрестъпници работят във фирми на редовно работно време, получават заплати, плащат данъци, ползват отпуск. Компаниите, в които работят могат да достигнат мащаб от няколкостотин служители, плащат подкупи на местната правораздавателна система, често пъти са давани като работодател за пример, а дейността, която развиват „разбиването на IT сигурността на фирми в други страни и отнемането на финансови средства от тях“ често пъти се взима също като криворазбран патриотизъм.
Тези фирми са наричани още хакерски мелници. Те назначават различни отдели от професионални кадри. Маркетинг отделите водени от професионални мениджъри търсят клиенти, които са готови да платят огромни суми за хакването и получаването на важна търговска информация на конкурентни фирми. Всъщност тези хакерски мелници биха се добрали до всякаква информация, която могат след това да продадат.
Изследователските отдели в тези мелници събират всякаква информация от набелязаната фирма като структура, бизнес партньори, достъпни през интернет сървъри, версии на софтуера, който се ползва, текущи бизнес проекти. Те получават тази информация през обществено достъпни интернет сайтове или чрез разбиването на IT сигурността на някои нейни по-малки бизнес партньори.
Това изследване е предадено по-нататък в отдела по първоначално компрометиране, който пуска няколко т. нар. „котви“ в набелязаната компания. Този отдел е най-важен за хакерската мелница. Той обикновено е раздлен на няколко подгрупи. Всяка от тях е концентрирана с конкретна задача, разбиване на конкретен домейн, влизане в конкретен сървър, client-side атаки, social engineering атаки, фишинг или спеарфишинг мейли. Групата на спеарфищинга обикновено работи в тясно съдтрудничество с изследователския отдел като миксират релевантни теми, проекти в имейл-шаблона.
Има и други отдели като този, който покрива следите след първоначалното влизане на хакерите и осигурява лесен достъп за влизане отново чрез троянски коне, създават нови потребителски акаунти и изтриване на всеки лог в сървъра на компрометираната организация.
И накрая като всяка една добра консултантска фирма към компрометираната компания е прикрепен отдела за „дългосрочно сътрудничество“. Този отдел започва да изследва, да души за важна информация, разглежда структурата, мениджърите, проектите, по които работи компанията. След известно време хакерите знаят всяка една защитна система в компанията и как да я преминат. Когато излезе някой голям проект или някоя важна новина този отдел е от първите, които научават за това. Информацията се копира за анализ и/или за бъдеща продажба.
Така описани нещата звучат малко по-стряскащо и сериозно от това някой пъпчив тийейджър да пусне няколкостотин спам мейли от дадено интернет кафене. Вече знаете, че днешните фишинг атаки са много сериозна работа, която се върши от хора, на които това им е професията, дошли след интервю, с/у заплата с всичките му професионални бонуси и облаги, с договори за конфиденциалност, политика на отделите и тн.
Няма грешка. Фишингът вече се прави от професионалисти!
2. Атаката е изпратена от някой, когото познавате.
Днешния спеарфишинг идва от мейл на човек, с когото редовно си пишете, а не от някоя нигерийска принцеса, например. Мейлът обикновено идва от началника, собственика, тиймлидера или някой по управленската верига, който вдъхва достатъчно авторитет и хакера е сигурен,.че жертвата, че мейла ще бъде отворен, прочетен и инструкциите най-вероятно изпълнени.
Мейлът може да е дошъл отвън, да прилича много на мейла на вашия колега, шеф, партньор. Може да бъде личен имейл създаден с имената на вашия шеф. Може да бъде от общо известните gmail.com, abv.bg, mail.bg и др. В крайна сметка кой не е получавал такива мейли от колега в течение на работата. Обикновено ги приемаме като често срещана грешка. Възможно е да дойде такъв фишинг мейл.
Най-вероятно истински изпипания фалшив мейл е да дойде от истинския мейл акаунт на шефа, партньора, колегата. Или е хакнат мейл акаунт-а, или е създаден нов мейл, който много прилича на истинския домейн, но се различава само с някоя буква. Кой не би кликнал на линк изпратен от истинския мейл на своя шеф?3. Често пъти в мейл-а е описан проект, по който работите
Много компании падат жертва на хакерската мелница поради факта, че той знае текущите проекти, по които работи компрометираната фирма или организация. Това е защото хакерите вече са проучили фирмата и имат контрол в/у мейл акаунтите на част от служителите. Служителите може да получат мейл със заглавие от рода на „Корекциите в/у доклада, който ми изпрати вчера“, при който има наистина прикрепен доклад, който получателя вчера наистина е изпратил, но с линк със зловреден софтуер, който се активира при отварянето, ако се кликне и така поразява компютъра. Имайте предвид, че хакерите са проучили вашите навици и натискането на този линк ще е нещо съвсем обичайно за вас без да подозирате нищо. Мейлът може да е от адвокатска кантора, с която имате редовна кореспонденция, може да е от обществена организация, в която членувате, може да е дори под формата на апдейт за наскоро закупен и инсталиран от фирмата софтуер, като по този начин да се заблудят дори истинските IT професионалисти.
Днешните фишинг мейли не рекламират виагра и увеличаване на мъжкото достойнство, а идват от хора, които познаваме, с които работим и на които може да се доверим.
4. Хакерите следят мейлите на компанията
Хакерите следят корпоративните мейл на компанията. От тях те черпят информация за взаимоотношенията, начина на писане и предаване на данни, доклади, проекти и тн. Откриването, че компанията е компрометирана е нужно основна преинсталация на всички компютри и нова мрежа (нови мрежови устройства с нови пароли и настройки). В някои случаи дори смяна на хардуер (нови дискове, дори нови компютри). Всякакви други мерки може да се окажат загуба на време.
5. Хакерът може да се намеси и да подмени мейли
Днешният хакер не е необходимо да бъде пасивен читател на вашите мейли. Напротив той е активен участник. НЕ-то във ваш мейл може да бъде променено в ДА, а ДА в НЕ от него! И така да пъде получено от вашия партньор. Може да бъдат създавани мейл групи от него, да бъдат редактирани мейл групи, т.е. адресати да отпадат или бъдат добавяни във вашия мейл акаунт, да бъде изключвано крптиращата програма на вашия мейл и др. Случвало се компрометирана компания, която е разбрала, че е хакната да изпрати мейл да всички свои служители, с инструкции за промяна на парола или направо нова парола, който мейл да е прихванат от хакерската мелница и инструкциите да бъдат описани от ТЯХ с техни пароли! И вместо да затрудни хакерите, то се оказва, че новите пароли са написани от ТЯХ!
6. Хакерите използват преправени или вградени тулове, с които заобикалят или разрушават антивирусната програма.
От десетилетия фишинг мейлите използват прикрепени тулове по формата на зловереден софтуер. Днешните тулове са много по-сървеменни и опасни. Те са преправени, подправени и написани точно за вас, за вашия компютър съобразени с операционната система, на която работите и с антивирусната програма, която ползвате. В резултат вашата антивирусна програма не хваща зловредния софтуер, който е изпратен към вас и командите, които той изпълнява. Често пъти зловредния софтуер писан в кода на програмите, на които са написани те самите и много трудно се хваща той. Някои от тези програми се ползват и от хакера, и от IT специалистите, които се грижат за вашите компютри. При някои от програмите за отдалечен достъп, например! При заразяване отдалечения достъп на IT специалисти често е блокиран, за да не могат дистанционно да изчистят зловредните заплахи. Докато достъпа на хакера си остава отворен.
7. Хакерите ползват най-модерни криптиращи софтуери за измъкването на вашата информация до тях.
Дните, в които зловредния софтуер избира случайно избрани отворени портове от вашата мрежа са безвъзвратно отминали. Също така са отминали дните на резервираните портове (например IRC порт 6667), чрез които да изпращат команди и да контролират вашия компютър отделечено. Днес всяка зловредна програма работи през SSL/TLS port 443, където се използва одобрената от индустрията военен криптиращ стандарт AES (Advanced Encription Standard). За повечето компании е трудно да следят трафика през порт 443, а повечето дори не се и опитват.
Програмистите на зловреден софтуер използват най-добрите криптиращи ключове. Ако намерите зловреден софтуер, на който и да е порт (като изключим порт 443), който не използва криптиращ алгоритъм прикриващ следите, то това е дело на някой начинаещ хакер и този софтуер е бил дълго време във вашия компютър и вие чак сега сте го намерили.
8. Хакерът покрива следите си
Допреди няколко години компаниите никога не следяха своите лог файлове. Никога не търсеха някакви подозрителни събития в тях. Сега един IT специалист би бил немърлив, ако не проверява лог файловете рутинно. Хакерите обаче използват техники в команден ред или програми, които замитат следите или не се хващат от лог туловете след като са проникнали в даден сървър. Някои от по-добрите хакери ползват рууткит програми (rootkit programs), които са заблуждаващи програми и антивирусните програми не могат да засекат реалното им действие.
9. Възможно е хакерите да са във вашата среда с години
Средното присъствие на един хакер в средата на компрометираната компания се измерва от месеци в години преди пробива да бъде разкрит. Имало е компании, които са били хакнати и следени цели 8 години!!! Често пъти пробива в дадена компания се разкрива от външно лице, което забелязва някоя нередност или вече е разкрило пробив в своята компания и е забелязало подобни прийоми в свои партньори. Има IT специалисти, които слагат с години на новите компютри на компанията програми заразени със зловреден софтуер само, защото си мислят, че този софтуер е задължителен и е наложен от някой друг отдел от голямата компания. Хакерите обичат тазкъв род разсъждения!!!
10. Хакерът не се страхува, че може да бъде хванат
Някога се е смятало, че хакерът се старае да влезе, да открадне и да изчезне по най-бързия начин. Влизайки и излизайки максимално бързо намалява шансовете той да бъде забелязан и проследен.
В днешно време хакерът най-вероятно се намира в страна различна от вашата, където няма проблеми с местното законодателство. Дори да ги хванете, да посочите физическия им адрес и да представите на техните власти неоспорими доказателства за техните престъпления, то най-вероятно това няма да доведе до нищо.
Дори да хванете, че вашата фирма е компрометирана, то трябва да мине доста време докато отстраните всички отворени задни врати, по които хакерите могат да влезат отново във вашата среда (компютър, сървъри, мейл акаунти, мрежа) и всичко това започва с отварянето по невнимание един най-обикновен мейл, който се оказва спеарфишинг.
11. Какво може да се направи?
Борбата започва, когато всички ваши служители са информирани и запознати с този вид атаки. Всеки трябва да знае, че старите фишинг мейли, в които се разказва за неразпределени милиони не са ваше основно притеснение. Обяснете, че спеарфишинг мейла е добре обмислен, създаден от професионалисти, изглежда съвсем нормално и идва от мейл акаунт на човек или колега, на който имате доверие. Трябва да инструктирате вашите колеги да търсят винаги независимо от мейл-а потвърждение чрез телефон или СМС преди да натиснат каквото и да е .exe или линк от получения мейл. Бързото потвърждение е задължителния дю дилижънс в днешно време. Кажете на вашите колеги да докладват за всички съмнително във всеки мейл. Дори да са натиснали вече някое .exe и впоследствие да са се усъмнили, също да докладват на IT специалистите във фирмата. Трябва да им обясните, че по никакъв начин няма да изглеждат глупаво, ако признаят, че са стартирали някоя програма или отворили линк от съмнителен мейл. Дори най-добрите експерти по кибер сигурност понякога са попадали в капана на спеарфишинг-а.
Много компании тестват своите служители с фишинг мейли. Някои по-добре направени, други по-зле скалъпени. Целта на тези тестове е да се доведе до много нисък процент на отваряне на тези фишинг мейл от техните служители. Да може да се оттренира реакция по неотваряне и съобщаване на отговрните за IT сигурноста на компанията.
Ако вашата компания е компрометирана, то може да покажете спеарфишинг мейла, с който е станало и служителя, който го е отворил. Това може да послужи като урок на цялата компания, ако прбива в сигурноста попадне в ценъра на вниманието на всички. Това ще помогне много на останалите служители.
Целта е всички да знаят, че днешния спеарфишинг не е наивния спам мейл от миналото, а много по-сериозна заплаха.
По материали на www.itnews.com
От екип на „ЛИП Трейд“ ООД