БЮЛЕТИНИ
Бюлетин за киберсигурност - Януари 2020
Card image cap

Нови разновидности на фишинг атаки

През 2019 г. беше отчетен ръст на фишинг атаките и въвеждане на нови креативни и усъвършенствани подходи за прилагането им. В този бюлетин ще предоставим информация за три нови усъвършенствани фишинг атаки, които са описани в блогa на Microsoft

Hijacking search results 

Hijacking search result – „отвличане на резултата от търсене“ е нов интелигентен подход за прилагане на фишинг атаки. Целта на тази разновидност на фишинга е да се фалшифицират резултатите от търсенето с търсачките на Google и да се примамят посетителите да посетят фишинг страници. 
През 2019 г. беше проведена успешна фишинг атака, чрез манипулиране на резултатите от търсачката на Google. За да се въздейства върху резултата от търсенето по ключови думи, хакерите са използвали генератор на трафик към техния WEB сайт. По този начин, в резултата от търсене в Google по ключови думи, връзките към страниците на фалшивите огледални сайтове започват да излизат, преди връзките на оригиналните сайтове. Фишерите изпращат примамващ e-Mail на жертвите си, с връзка, която ги препраща към страницата на търсачката на Google, с резултат, в който връзката към техния фалшифициран WEB сайт е най-отгоре. Това подмамва потребителят да кликне върху нея и да зареди сайта контролиран от хакера, който след това го пренасочва към фишинг страница. 

Персонализирани страници за грешка 404 

Всеки потребител на Интернет е добре запознат със страницата за грешки „404 Not Found“. Този код се появява, когато се опитате да посетите страница, която не съществува вече на даден WEB сървър. Сървърът връща страница с код за грешка 404. Системите за сигурност на Microsoft, при сканиране на WEB страница, ако открият в нея връзки, които връщат код за грешка 404, ги счита за безопасни, тъй като се предполага, че те са към страници, които вече не съществуват. От това се възползват фишерите, като модифицират страницата за грешка 404. Те я разработват като страница с динамично съдържание, която в зависимост от типа на клиента, който прави заявка към нея го насочва или към истинска страница с код на грешка 404 или към фишинг страница изобразяваща фалшив сайт. В електронното си писмо жертвата ще получи връзка към тази динамична страница и инструментите за сигурност на електронната поща, след сканиране на връзките в писмото, ще приемат, че тя е безопасна заради кода на грешка 404, който ще върне динамичната страница. Обаче, ако потребителят зареди тази връзка в WEB браузъра си резултата ще е съвсем различен, тъй като динамичната страница ще го пренасочи към фишинг страница.
 

Man in the middle фишинг атака

Характерно за този тип фишинг атака е, че вместо хакера да копира всички елементи на законния WEB сайт, той копира от него само избрани компоненти, като страници за автентикация, логата, банери текст и фонови изображения. Събраните компоненти, фишерите използва за подготвяне на е-мейли, които да изглеждат напълно автентични, след което ги изпращат на своите жертви. Зловредните е-мейли съдържат URL-връзки към контролиран от хакерите сървър. Този сървър е компонента „човека по средата“ („man in the middle“)
За да изглежда максимално достоверен, зловредният сайт генерира динамични страници различни за всяка жертва. В тези страници, зловредният сайт, чрез използване на скриптове, представя съдържание взето от оригиналния сайт, за да може да излъже потребителя. Тази страница действа като посредник между жертвата и оригиналния сайт. По този начин се прихващат потребителски имена, пароли и друга чувствителна информация. 
Установено е, че фишинг страницата е подобна на оригиналната страница за вход, което значително намалява подозрението на жертвите. 
Тази разновидност на фишинг атака, обаче не е много популярна. Причината за това е, че URL адреса на фишинг сайта се вижда в адресната лента и по-съобразителните потребители ще усетят лесно измамата. 

Как да се защитим от фишинг 

Броят и степента на сложност на фишинг атаките непрекъснато расте. Винаги трябва да внимавате с даването на личните и финансови си данни в Интернет. Една от международните работни групи за борба с фишинга APWG (Anti-Phishing Working Group) дава следните препоръки за защита от фишинга: 
•    Отнасяйте се подозрително към всяко е-мейл съобщение, което иска спешно от вас да изпратите лични или финансови данни. Освен ако е-мейлът не носи електронен сертификат за автентичност не може да сте сигурни, че той не е фалшив; 
•    Отнасяйте се подозрително към всеки е-мейл, който съдържа тревожни, вълнуващи или други емоционални твърдения, които са лъжливи. Например измамниците, много често използват фрази от типа: „Потвърдете Вашата регистрация“, „Вие спечелихте …“, „Ако не отговорите до XX часа, Вашата регистрация ще бъде прекратена“ и др.; 
•    Бъдете особено подозрителни към е-мейли, които искат от Вас да съобщите информация за потребителското си име, парола, номер на кредитна карта/банкова сметка, номер на осигуровка, рождена дата и др.; 
•    Фишинг е-мейлите обикновено НЕ са персонализирани. Те не са предвидени за конкретен човек, но могат и да бъдат такива. Оригиналните съобщения обикновено са персонализирани, но ако имате някакви съмнения в достоверността на е-мейла, веднага трябва да се свържете с конкретната компания; 
•    Избягвайте да попълвате формуляри в имейл съобщения, които искат Ваши лични данни. Винаги проверявайте дали използвате WEB сайт със сигурна връзка, когато въвеждате чувствителни данни във WEB форми. Защитените връзки започват с „https://...“ . Създайте си навик да проверявате сертификата на сайтовете, в които попълвате WEB форми или въвеждате информация. Проверката на сертификата се извършва по следния начин: В лентата за въвеждане на WEB адреса на страницата, кликнете на иконката „заключен катинар“ (появява се, когато използвате защитена връзка https). От падащото меню изберете Certificate за Google Chrome или View certificate за Internet Explorer или MS Edge. 

Във WEB браузера Firefox, след като кликнете върху иконата катинар, избирате Връзката е защитена. В следващия прозорец кликнете върху Повече информация, след което в новия прозорец кликнете върху бутона „Преглед на сертификата“. 
В сертификата е описано за кой сайт е издаден, от кого и кога е издаден, а също и до кога е валиден; 

•    Редовно проверявайте банковите, кредитните и дебитните си извлечения, за това дали всички парични преводи са легитимни. При подозрения за съмнителна транзакция, веднага се свържете с банковата или финансовата си институция за помощ; 
•    Винаги обновявайте своят уеб браузър към последната му версия. Проверявайте дали са му инсталирани всички обновления за сигурност; 
•    Не използвайте връзките към други страници в е-мейли или чат съобщения, ако подозирате, че те не са автентични. Фишинг препратките към Интернет сайтове, в е-мейл съобщения или в чат програми в реално време, въпреки че могат да съдържат цялото име на компанията или част от него, са всъщност маскирани. Това означава, че препратката, която виждате не ви препраща към адреса, който е изписан на нея, а някъде другаде, обикновено към незаконен Интернет сайт. В примера по долу може да се види, как при позициониране на мишката върху връзката, адреса изписан в текста на връзката се различава от адреса на реалната връзка, който се изобразява в статус бара на WEB браузера. Важно е винаги да следите какви са реалните адреси на връзките преди да кликнете върху тях. Обикновено статус бара се намира в долната част на прозореца на WEB браузъра. 

По-старите бюлетини може да откриете на WEB сайта на Центъра за управление и киберотбрана - връзка.

Полезни връзки

CERT България