Фишинг — самый распространенный вид кибермошенничества. Одна из главных целей фишинга — «выудить» конфиденциальные данные жертвы и заработать на них: продать конфиденциальную информацию или использовать ее для получения к денежным средствам пользователя.

Технические средства для борьбы с фишингом существуют уже давно, но они не всегда работают: в последнем отчете ФБР утверждается, что за 2019 год было совершено 114 702 фишинговых атаки с убытком примерно на 58 миллионов долларов.

Лучший способ защитить себя от фишинговых атак — научиться их распознавать. А для этого стоит изучить их структуру и принцип работы.

Фишинг

Фишинг можно разделить на две основных категории: обычный и целевой. Первый — массовый, отличается широким охватом и обычно имеет вид спам-кампаний. Такой вид фишинга часто называют безадресным.

В случае же с целевым фишингом мишенью становятся строго определенные люди или небольшие группы связанных между собой лиц.

Безадресный фишинг

Наверное, каждый из нас сталкивался с ним. В своей папке со спамом можно найти десятки подобных писем. Узнать их сравнительно просто: такие сообщения часто содержат опечатки и грамматические ошибки, да и в целом выглядят непрофессионально. Как показал недавний отчет об утечках данных (2020 Data Breach Investigations Report), частота открытия фишинговых писем снизилась до рекордного уровня — всего 3,4%. 

Поэтому в случае с безадресным фишингом ставка делается на массовую рассылку. Каждое фишинговое сообщение с вероятностью 96,6% будет проигнорировано потенциальной жертвой, даже если его не остановят автоматические фильтры электронной почты.

Но при этом из ста сообщений, успешно доставленных в рамках безадресной фишинговой кампании, три-четыре принесут злоумышленникам доход. Если за время кампании будет разослано 100 000 мошеннических писем, у хакеров наберется 3400 жертв.

Целевой фишинг

Целевой фишинг использует более сложные схемы, чем обычный. Зачастую он более технологичен, а возможный ущерб более велик. Злоумышленники изучают своих жертв и их профили в социальных сетях, собирают информацию об их привычках, используемых сервисах, контактах и многом другом. Если использовать эти данные при составлении письма, оно будет выглядеть убедительным и правдоподобным.

Из-за кажущейся многим простоты безадресного фишинга многие уверены, что поймать их на подобные уловки невозможно. Это дает чувство ложной безопасности.

Вспомним случай с журналисткой газеты The Telegraph, которая бросила вызов специалисту по кибербезопасности и предложила взломать свой компьютер. И он справился, а помог ему в этом целевой фишинг: оказалось достаточно намекнуть в письме на громкую новость и создать ощущение срочности ответа.

Пользователи становятся жертвами фишинговых атак из-за сочетания структуры письма, содержащегося в нем обмана и различных эмоциональных триггеров, которые злоумышленники используют для получения необходимого ответа. О них мы расскажем далее. Понимая принципы фишинга, гораздо проще его распознать.

Структура фишинговой атаки

Рассмотрим пример фишинга по электронной почте, поскольку такие атаки наиболее распространены и позволяют полностью разобраться в работе мошеннических сообщений.

Видимый заголовок письма

Видимый заголовок письма — это часть электронного сообщения, которую мы видим до того, как его откроем. Это первая возможность для злоумышленников привлечь ваше внимание, но именно здесь проваливаются многие безадресные кампании.

Целью массовых рассылок на этом этапе является попытка вызвать интерес и имитировать надежный источник. В адресе отправителя может быть указано название вашего банка.

Целевой фишинг может оказаться менее очевидным. Если у вас есть друг или коллега с электронной почтой Ivan.Ivanov[@]mail.ru, злоумышленники могут отправить вам письмо с адреса Ivan.Ivanov[@]gmail.com, надеясь, что вы не обратите внимание на разницу в имени домена.

Тема, привлекающая внимание

Строка темы в заголовке — ключ к успешной фишинговой атаке. Это главный фактор при принятии решения о том, стоит ли открывать письмо.

Тема должна хорошо восприниматься жертвой, поэтому здесь важна краткость. Но в ней должны содержаться мощные эмоциональные триггеры, чтобы сообщение было сложно проигнорировать. Эффективные для фишинга темы привлекают внимание пользователей ощущением опасности, срочности или возможного заработка.

По результатам исследования, проведенного командой KnowBe4, наиболее успешная фишинговая тема — «Срочно смените пароль». Особое внимание также привлекают упоминания международных событий. Типичные эмоциональные триггеры в таком случае — любопытство, страх и сострадание. Пандемия COVID-19 — яркий пример подобной темы.

Убедительный текст

Текст мошеннического письма заключает в себе «приманку». Если злоумышленники убедили жертву открыть письмо, его текст должен заставить совершить необходимое действие — скачать файл, перейти по ссылке или отправить данные. Обычно при этом используется множество эмоциональных приемов, чтобы завоевать доверие пользователя. 

Вредоносное содержимое

Вредоносное содержимое — ключевой компонент фишингового письма. Наиболее распространенным видом такого содержимого является вредоносная ссылка. Она может вести на «зараженный» или поддельный сайт. Введенные на нем учетные данные окажутся в руках злоумышленников. Такая ссылка может находиться как в тексте письма, так и во вложении.

Эмоциональные триггеры

Заголовок, тема, приманка и вредоносное содержимое — это основа фишингового сообщения, но успех или провал атаки зависит от эмоциональных триггеров, которые в нем содержатся. Они должны спровоцировать незамедлительную, необдуманную, машинальную реакцию.

Ведь чем дольше мы думаем и анализируем письмо, чем дольше присматриваемся к нему, тем меньше у хакеров шансов на успех. Поэтому важно помнить: спешка нам ни к чему. Даже если письмо кажется срочным и заслуживающим доверия, возьмите за правило никогда не отвечать на сообщения, не подумав. Это поможет сохранить беспристрастность и распознать давление на эмоции.

Основные эмоциональные приемы мы рассмотрим ниже, но не стоит забывать: в фишинговых кампаниях могут использоваться различные сочетания, и чем более серьезно подготовлена атака, тем искуснее будут манипуляции.

Жадность

Наверное, жадность — первый эмоциональный триггер, который стали использовать в фишинговых схемах. Его применяли даже до печально известных «писем от нигерийского принца», но попытки нажиться на чужой жадности не прекращаются по сей день.

В конце 2019 года сотрудники компании Microsoft получили фишинговые письма, в которых рассказывалось о скором повышении зарплаты. Вредоносное содержимое имело вид ссылки на поддельный экран входа, целью которого было собрать учетные данные пользователей Microsoft Office. При открытии любого письма важно помнить о двух правилах: ничто в жизни не дается бесплатно, а если какое-то предложение кажется слишком заманчивым, то это, скорее всего, неправда.

Срочность

Часто фишинг давит и на сжатые сроки. Само по себе ощущение срочности не слишком эффективно, поэтому его необходимо сочетать с другими эмоциональными триггерами. «Вы можете бесплатно получить подарок, но его нужно забрать в течение 24 часов». «Мы разошлем всем вашим знакомым ужасную информацию о вас, если вы не ответите до полуночи». Если мошеннику удается лишить жертву времени на размышления или вогнать ее в панику, шанс на успех манипуляции резко возрастает.

Сложно выработать надежную психологическую защиту от внушения срочности, ведь это ощущение и создается для обхода любой защиты. Но важно помнить: отправители писем, от которых кровь стынет в жилах обычно и стремятся к такому эффекту, чтобы заставить вас паниковать. Как ни странно, срочность можно использовать как сигнал остановиться и порассуждать. Эта тактика поможет устоять перед самой эффективной фишинговой атакой.

Страх

Страх может использоваться во множестве различных ситуаций. Он часто применяется вместе со срочностью, особенно когда жертву пугают негативными последствиями, если она не ответит немедленно. Страх в сочетании со срочностью часто порождает панику. Их используют в угрозах, связанных с привлечением к юридической ответственности или распространением интимных личных данных.

Иногда ориентируются и на менее примитивную разновидность страха. Страх упущенной возможности или неосведомленности — отличные эмоциональные триггеры. Фишинговые схемы часто задействуют страх опасности и синдром упущенной выгоды.

Пандемия COVID-19 стала причиной настоящего всплеска фишинговых кампаний, нацеленных на оба этих вида страха. Смертельно опасное и заразное заболевание многих заставляет опасаться за свою жизнь, все хотят быть в курсе происходящего, узнавать новости о последних разработках или же получить доступ к крайне ограниченному количеству неких вакцин.

Сострадание

Большинство эмоциональных триггеров связаны с нашими базовыми инстинктами, но мошенники вполне могут воспользоваться и положительными чертами нашего характера.

Все кризисы, чрезвычайные происшествия и катастрофы приводят к резкому росту количества фишинговых писем, которые пытаются на них нажиться. Злоумышленники могут выдавать себя за благотворительную организацию или потерпевших.

После разрушительных тропических циклонов 2018 и 2019 годов в США множество организаций, включая Федеральную комиссию по связи США, публиковали официальные предупреждения о мошеннических схемах, связанных со стихийным бедствием, и призывали пользователей тщательно проверять реквизиты благотворителей. Фальшивые благотворительные организации интересуются не нашими пожертвованиями: им нужны наши банковские данные.

Любопытство

Любопытство может быть особенно опасным триггером. Ведь мы часто думаем, что ничего серьезного не случится, если «глянуть одним глазком». В фишинге могут применяться те же принципы, что и в кликбейтных статьях в интернете.

Трудно устоять перед обещающей сенсацию фразой. После смерти Коби Брайанта в начале этого года кликбейтных фишинговых сообщений, темы которых содержали слова вроде «невероятно», «шокирующе» и «беспрецедентно», стало так много, что организация Better Business Bureau опубликовала официальное предупреждение для клиентов.

Технологии защиты от фишинга

Компании и организации по обеспечению кибербезопасности всегда ищут способы предупреждения фишинговых атак с помощью технологий. Такие технологические решения могут бороться с хакерами и сокращать количество потенциальных жертв мошеннических схем, но постоянно растущее распространение фишинга и серьезность понесенного из-за него ущерба показывают, что существующие инструменты не справляются с задачей.

Как показывает отчет об исследовании утечек данных за 2020 год (2020 DBIR), 22% всех утечек данных в прошлом году было связано с фишингом, тогда как для выполнения почти 80% всех «социальных» атак применялся тот или иной вид фишинговых сообщений.

Фильтры URL-адресов и сканирование электронной почты

Разработчики браузеров создают черные списки с известными фишинговыми сайтами, не позволяя пользователям переходить по вредоносным URL-адресам. Эта тактика не очень эффективна, поскольку среднестатистическая фишинговая кампания длится всего 12 минут, а вредоносный сайт меняется еще до попадания в черный список. 

Кроме того, для сканирования писем на наличие фишинга используется искусственный интеллект. Этот подход помогает справляться с обычным фишингом, но продукты на основе ИИ дороги и подходят скорее компаниям, а не отдельным пользователям.

DMARC

Частично проблему фишинга может решить технология идентификации сообщений, создания отчетов и определения соответствия по доменному имени (Domain-based Message Authentication, Reporting & Conformance, DMARC). Не будем рассматривать эту технологию подробно (DMARC используется как надстройка над другими технологиями, преимущественно SPF и DKIM, которые также создавались для борьбы с фишингом), но объясним, когда она срабатывает и почему не обеспечивает безупречную защиту конечного пользователя.

Механизм DMARC помогает справиться с фишингом, в котором задействованы «точные домены». Это случаи, когда фишинговое письмо выглядит так, будто отправлено с настоящего, стандартного домена организации. Если поставщик услуг полностью установил DMARC, технология подтвердит, что сообщение действительно пришло с этого домена. В противном случае она заблокирует его как фишинговое.

Чтобы оценить работу этой технологии, рассмотрим пример с Управлением по налоговым и таможенным сборам Великобритании (HMRC). В 2016 году его домен был 16-м в международном рейтинге доменов, которые больше всего страдают от фишинга. После установки DMARC Управление опустилось на 126-е место в мире. За это время технология DMARC заблокировала 300 миллионов фишинговых писем.

Но функционал DMARC бессилен, когда мошенники используют не совсем точные домены. Речь идет о случаях, когда домен в строке «От:» заголовка письма похож на настоящий, но не совпадает с ним полностью. Одна из букв может быть заменена на другую похожую (или схожий символ).

Вторым недостатком технологии DMARC является очень малое количество внедривших ее компаний. Но настоящая слабость состоит в том, что конечный пользователь никак не может узнать, прошло ли письмо проверку DMARC. Поэтому к каждому входящему письму приходится относиться с подозрением вне зависимости от использования DMARC. 

Выводы

Мы гораздо уязвимее к фишинговым атакам, чем думаем. Например, всего 10,4% участников опроса, проведенного компанией PhishMe в прошлом году, посчитали страх эффективным фактором, мотивирующим открыть письмо. При этом фишинговые письма с угрозой обращения в суд открыли 44 % опрошенных.

Лишь 7,8% признали, что могут поверить слишком выгодному предложению. Но в то же время жертвами подобной фишинговой кампании стали 39,2% участников.

Часто можно услышать, что самым слабым звеном в системе безопасности являются пользователи. Но при наличии достаточных знаний каждый может себя защитить. Надежных технических решений для борьбы с фишингом еще не существует. Атаки опираются на психологию.

Если мы научимся распознавать фишинговые атаки, разобравшись в их структуре, научимся сохранять самообладание и бдительность, не поддаваясь на эмоциональные манипуляции, то мы, как пользователи, сможем стать самым надежным звеном киберзащиты.

Подробнее о том, как распознать и защититься от фишинга, вы можете прочитать в нашей статье.