④ Фишинг в 2020. Пример атаки и обзор решений

В рамках заключительной статьи цикла  “Борьба с фишингом” в уходящем 2020 году хотелось бы провести некоторый дайджест и поговорить о популярных решениях по оценкам мирового сообщества. Для тех, кто пропустил предыдущие части, ниже оставлены уже написанные ранее материалы:

1. Обучение пользователей основам ИБ. Борьба с фишингом.
2. Обучение пользователей основам ИБ. Phishman.
3. Обучение и тренировка навыков по ИБ. Антифишинг.

Сводка с полей

2020 год был отмечен ростом онлайн-продажи в связи с пандемией Covid-19. Это, в свою очередь, послужило новой волной для мошенников, применяющих фишинг-атаки для незаконного заработка.

Например, вендор Check Point в одном из своих отчетов сообщает, что только в ноябре 2020 года количество фишинговых кампаний увеличилось более чем в 2.5 раза по сравнению с октябрем 2020 года.

Безусловно, это связано с мировыми распродажами, такими как черная пятница, киберпонедельник и т.д. Предлагаю рассмотреть одну из фишинговых кампаний более подробно.

Разбор атаки

Тема письма: Cyber Monday | Only 24 Hours Left!

Отправитель: Pandora Jewellery (no-reply\@amazon.com)

Содержимое:

На первый взгляд кажется, что мы получили легитимную рассылку, приглашающую нас осуществить покупки украшений на сайте Pandora. Но замечаем несоответствие:

• Рассылка с домена Amazon является подменой с применением механизма “spoofing”.
• Ошибка в слове “Jewellery” в теме письма. (прим. корректное написание - jewelry).
• Если попытаться перейти на сайт по ссылке в письме, то открывается URL: www[.]wellpand[.]com. Сам сайт был зарегистрирован как раз осенью 2020 года и имитирует содержимое оригинального сайта компании Pandora.

Именно эта массовая фишинг-атака была адресована пользователям из США, Англии и Болгарии, но в целом такой подход используется по всему миру. Какие шаги можно предпринять, чтобы ваши покупки на новогодние праздники не закончились обманом ?

1. Бесплатный сыр бывает только в мышеловке. При покупке того или иного товара нужно объективно оценивать его стоимость. Например, если вам предлагают новый Iphone со скидкой 80%, скорее всего, это обман.
2. Не используйте одни и те же учетные данные. Многие пользователи регистрируются с одним логином и паролем. Если злоумышленник получает ваши аутентификационные данные, он имеет доступ ко всем вашим сервисам.
3. Будьте осторожны при получении письма о смене пароля. Данный подход активно используется для изъятия ваших персональных данных (логин , пароль). В случае необходимости смены пароля рекомендуется делать процедуру непосредственно с самого сайта, потому что в полученном письме вы можете быть перенаправлены на фейковый ресурс.
4. Социальная инженерия важна. Обращайте внимание на стиль написания полученного письма (синтаксические и орфографические ошибки и прочее).
5. HTTPS наше всё.  Когда вы переходите на различные ресурсы, обращайте внимание на протокол, который они используют. На сегодняшний день уже более 80% сайтов перешли на шифрованное соединение (HTTPS), если вдруг вам предлагают вводить данные вашей банковской карты и на сайте авторизации используется HTTP - первый сигнал о том, чтобы вы ничего не вводили и покинули ресурс.

Мы рассмотрели актуальную фишинг-кампанию в преддверии праздников и привели общие рекомендации по предотвращению такого рода атак, однако наиболее оптимальный подход — воспитание IT-грамотности у пользователя с целью повышения его уровня компетенций в противостоянии со злоумышленниками.

Обзор решений

Ранее мы познакомили вас с некоторыми продуктами из категории “Security Awareness Computer-Based Training”, в том числе с Open-source-решением GoPhish и отечественными продуктами: Phishman, Антифишинг. Пришло время обратиться ко всем известному Gartner и кратко ознакомиться с топ-5 (в рамках статьи был выбран регион Europe, Middle East And Africa, от 1 к 5).

KnowBe4

Платформа, на которой собрана большая библиотека различных тестов для ваших сотрудников: интерактивные модули, видео, шаблоны для обучающей фишинг-атаки и т.д.

После того, как вы зарегистрируйтесь на ней, вы получите доступ в ЛК, где сможете проводить ряд бесплатных тестов.

Запуск одного из тестов

1) Выбор теста

2) Конфигурация обучающей кампании фишинга

3) Выбор шаблона для рассылки

4) Настройка страницы для переадресации "жертв"

5) Панель мониторинга и сбора статистики

Общее впечатление:

Буквально за 5 минут для развертывания вам будет доступна фишинг-кампания. Не потребуется дополнительных инсталляций — все управление осуществляется через браузер. Благодаря сообществу тесты постоянно обновляются, есть и платные решения. KnowBe4 зарекомендовал себя как удобную и современную платформу для обучения вашего персонала, как минимум, вам следует ознакомиться с его возможностями.

Kaspersky-Cybersecurity Awareness Training

Платный продукт от широко известной для российской публики компании — Лаборатории Касперского.

Его отличие от других решений в том, что обучение подготовлено для самих IT-специалистов. В рамках решения рассматривается:

• Цифровая криминалистика. Формирование и улучшение практических навыков поиска цифровых улик киберпреступлений и анализа различных типов данных для восстановления хронологии атак и определения их источников.
• Анализ вредоносного ПО. Подготовка специалистов по IT-безопасности анализировать вредоносное ПО, находить индикаторы компрометации (IoC), создавать сигнатуры для обнаружения вредоносного ПО на зараженных компьютерах и восстанавливать зараженные и зашифрованные файлы.
• Реагирование на инциденты.
• Эффективное обнаружение угроз с помощью YARA (подготовленные правила и сопоставление фактов с целью выявления событий безопасности).

Общее впечатление:

Данный сервис как платформа позволит вашим сотрудникам обучаться противостоять наиболее актуальным и современным типам атак. Решение требует определенного уровня подготовки и наличия навыков в IT, в том числе ИБ. Активно используется большими компаниями (банки, промышленность и т.д.).

OutThink Human Risk Management Platform (SaaS)

Платный продукт позиционирует себя как результат долгих исследований в Security Group (ISG), Royal Holloway, University of London. Эксперты компании суммарно имеют опыт более 100 лет в ИБ, науке о поведении человека, психологии и Data Science.

Общее впечатление:

Протестировать его в рамках данной статьи не удалось, необходимо запрашивать демо и ожидать обратной связи от вендора. Вы всегда можете сделать это самостоятельно по ссылке. Система разворачивается в облаке (SaaS).

Infosec IQ

Платное решение от Европейской компании LX Labs, которая предлагает более 700 ресурсов для обучения персонала, более 1000 шаблонов для симуляции фишинг-сообщений и удобный интерфейс для взаимодействия.

Общее впечатление:

“Прост, масштабируем и эффективен” — так один из заказчиков отзывается о продукте на сайте Gartner. Если говорить о технической стороне вопроса, то отмечается удобная интеграция с AD (Active Directory), простой запуск фишинговых кампаний, поддержка быстрого перехода к статистике через кнопку управления в Outlook. Если вас заинтересовало решение, то вы можете запросить демо у вендора по ссылке.

Keepnet Labs

Одноименный вендор предлагает различные решения в области ИБ:

• Incident Responder. Позволяет пользователям отправлять на проверку подозрительные email-сообщения, после чего они могут блокироваться на постоянной основе.
• Email threat simulator. Решение позволяет периодически проверять вашу инфраструктуру (файрволл, антиспам, антивирус и т.д.) на уязвимости в настройках, благодаря которым могут пройти атаки в рамках фишинга.
• Threat Intelligence. Умный движок постоянно изучает сайты на предмет их взлома или утечки информации с целью выявить компрометацию ваших персональных корпоративных данных.
• Phishing Simulator. Продукт, отвечающий за рассылку обучающих фишинг-атак с возможностью отслеживать статистику, отправлять на обучение и прочее.
• Awareness Educator. Обучающий портал, который может быть интегрирован в Phishing Simulator.
• Threat Sharing. В рамках этого решения есть возможность установить доверительные отношения и передавать данные между компаниями согласно определенным правилам и обеспечивая их безопасную доставку.

Компания за 2020 год подготовила собственный отчет о трендах фишинга. Если кому интересно ознакомиться, то это доступно по ссылке.

Общее впечатление:

Достаточно много интересных решений в рамках борьбы с фишингом и защиты корпоративных данных, есть собственные разработки для предотвращения различных векторов атак, а также потенциальная возможность организовать централизованную DLP систему с обучением сотрудников.

Вместо заключения

Сегодня мы рассмотрели один классический праздничный пример фишинг атаки и кратко познакомились с мировыми лидерами в области Security Awareness Computer-Based Training. Почитать и протестировать решения (GoPhish, Phishman и Антифишинг) вы можете обратившись к нам, написав на почту (✉️ sales@tssolution.ru).

#фишинг #информационная безопасность #системное администрирование #сетевые технологии #it