Фишинг как он есть.

[DronVR]

Фишинг как он есть.​

Секрет жизнестойкости этого вида мошенничества в том, что он опирается не на “дыры” в программном обеспечении, а на уязвимость в человеческой сущности, у которой есть доступ к важным данным. Поэтому нелишним будет в очередной раз напомнить, что такое фишинг, каковы самые распространенные виды фишинговых атак, а также способы противодействия им.

Фишинг : основные примеры фишинговых атак


Фишинг — это вид интернет-мошенничества, построенный на принципах социальной инженерии. Главная цель фишинга — получить доступ к критически важным данным (например, паспортным), учетным записям, банковским реквизитам, закрытой служебной информации, чтобы использовать их в дальнейшем для кражи денежных средств. Работает фишинг через перенаправление пользователей на поддельные сетевые ресурсы, являющиеся полной имитацией настоящих.

1. Классический фишинг — фишинг подмены

К этой категории можно отнести большую часть всех фишинговых атак. Злоумышленники рассылают электронные письма от имени реально существующей компании с целью завладеть учетными данными пользователей и получить контроль над их личными или служебными аккаунтами. Вы можете получить фишинговое письмо от имени платежной системы или банка, службы доставки, интернет-магазина, социальной сети, налоговой и т.д.

Фишинговые письма создают с большой скрупулезностью. Они практически ничем не отличаются от тех писем, которые пользователь регулярно получает в рассылках от настоящей компании. Единственное, что может насторожить — просьба перейти по ссылке для выполнения какого-либо действия. Переход этот, однако, ведет на сайт мошенников, являющийся “близнецом” страницы сайта банка, социальной сети или другого легального ресурса.

Побудительным мотивом для перехода по ссылке в подобных письмах может выступать как “пряник” (”Вы можете получить 70% скидку на услуги, если зарегистрируетесь в течение суток”), так и “кнут” (”Ваша учетная запись заблокирована в связи с подозрительной активностью. Чтобы подтвердить, что вы владелец аккаунта, перейдите по ссылке”).

Приведем список самых популярных уловок мошенников:

Ваша учетная запись была или будет заблокирована /отключена.

• Тактика запугивания пользователя может быть очень эффективной. Угроза того, что аккаунт был или в ближайшее время будет заблокирован, если пользователь сейчас же не зайдет в учетную запись, заставляет тут же потерять бдительность, перейти по ссылке в письме и ввести свой логин и пароль.

В Вашей учетной записи обнаружены подозрительные или мошеннические действия. Требуется обновление настроек безопасности.

• В таком письме пользователя просят срочно войти в учетную запись и обновить настройки безопасности. Действует тот же принцип, что и в предыдущем пункте. Пользователь паникует и забывает о бдительности.

Вы получили важное сообщение. Перейдите в личный кабинет, чтобы ознакомиться.

• Чаще всего такие письма присылают от имени финансовых организаций. Пользователи склонны верить правдивости писем, поскольку финансовые организации действительно не пересылают конфиденциальную информацию по электронной почте.

Фишинговые письма налоговой тематики.

• Такие письма входят в тренд, как только близится время платить налоги. Темы писем могут быть самыми разными: уведомление о задолженности, просьба выслать недостающий документ, уведомление о праве на получение возврата налога, и т.д.

2. Целенаправленная фишинговая атака

Не всегда фишинг бьет наудачу — часто атаки являются персонифицированными, целенаправленными. Цель та же — заставить пользователя перейти на фишинговый сайт и оставить свои учетные данные.

Естественно, у будущей жертвы больше доверия вызовет письмо, в котором к ней обращаются по имени, упоминают место работы, должность, занимаемую в компании, еще какие-либо индивидуальные данные. Причем информацию для направленных фишинговых атак люди чаще всего предоставляют сами. Особенно “урожайны” для преступников такие ресурсы как всем известная LinkedIn — создавая резюме в расчете на потенциальных работодателей, каждый старается указать побольше сведений о себе.

Для предупреждения подобных ситуаций организациям следует постоянно напоминать сотрудникам о нежелательности размещения личной и служебной информации в открытом доступе.

3. Фишинг против топ-менеджмента

Особый интерес для мошенников представляют учетные данные руководства.

Как правило, специалисты по безопасности любой фирмы внедряют четкую систему допусков и уровней ответственности, в зависимости от должности работника. Так, менеджер по продажам имеет доступ к базе данных продукции, а список сотрудников компании для него — запретная зона. HR-специалист, в свою очередь, полностью в курсе, какие вакансии кем заняты, какие только что освободились, кто достоин повышения, но понятия не имеет о номерах и состоянии банковских счетов родной фирмы. Руководитель же обычно сосредотачивает в своих руках доступ ко всем критически важным узлам жизни предприятия или организации.

Получив доступ к учетной записи главы компании, специалисты по фишингу идут дальше и используют ее для коммуникации с другими отделами предприятия, например, одобряют мошеннические банковские переводы в финансовые учреждения по своему выбору.

Несмотря на высокий уровень допуска, менеджеры высшего звена не всегда участвуют в программах обучения персонала основам информационной безопасности. Вот почему, когда фишинговая атака направлена против них, это может привести к особенно тяжелым последствиям для компании.

4. Фишинг рассылки от Google и Dropbox

Сравнительно недавно в фишинге появилось новое направление — охота за логинами и паролями для входа в облачные хранилища данных.

В облачном сервисе Dropbox и на Google Диске пользователи, как личные так и корпоративные, хранят множество конфиденциальной информации. Это презентации, таблицы и документы (служебные), резервные копии данных с локальных компьютеров, личные фотографии и пароли к другим сервисам.

Неудивительно, что получить доступ к учетным записям на этих ресурсах — заманчивая перспектива для злоумышленников. Для достижения этой цели используют стандартный подход. Создается фишинговый сайт, полностью имитирующий страницу входа в аккаунт на том или ином сервисе. Потенциальных жертв на него в большинстве случаев перенаправляет фишинговая ссылка в электронном письме.

5. Фишинговые письма с прикрепленными файлами

Ссылка на подозрительный сайт с целью украсть данные пользователя — не самое страшное, на что способен фишинг. Ведь в этом случае преступники получат доступ лишь к определенной части конфиденциальной информации — логину, паролю, т.е к аккаунту в определенном сервисе. Гораздо хуже, когда фишинг-атака приводит к компрометации всего компьютера жертвы вредоносным программным обеспечением: вирусом-шифровальщиком, шпионом, трояном.

Такие вирусы могут содержаться во вложениях к письмам. Предполагая, что письмо пришло от доверенного источника, пользователи охотно скачивают такие файлы и заражают свои компьютеры, планшеты и лэптопы.

Что такое фарминг

Классический фишинг со ссылками на сомнительные ресурсы постепенно становится менее эффективным. Опытные пользователи веб-сервисов обычно уже осведомлены об опасности, которую может нести ссылка на подозрительный сайт и проявляют осмотрительность, получив странное письмо или уведомление. Заманить жертву в свои сети становится все труднее.

В качестве ответа на снижение результативности традиционных атак злоумышленниками был придуман фарминг — скрытое перенаправление на мошеннические сайты.

Суть фарминга состоит в том, что на первом этапе в компьютер жертвы тем или иным образом внедряется троянская программа. Она зачастую не распознается антивирусами, ничем себя не проявляет и ждет своего часа. Вредонос активируется лишь тогда, когда пользователь самостоятельно, без всякого внешнего воздействия, решает зайти на интересующую преступников страницу в интернете. Чаще всего это сервисы онлайн-банкинга, платежные системы и прочие ресурсы, осуществляющие денежные транзакции. Здесь-то и происходит процесс подмены: вместо проверенного, часто посещаемого сайта хозяин зараженного компьютера попадает на фишинговый, где, ничего не подозревая, указывает нужные хакерам данные. Делается это с помощью изменения кэша DNS на локальном компьютере или сетевом оборудовании. Такой вид мошенничества особенно опасен из-за трудности его обнаружения.

Защита от фишинга — основные правила

1. Обязательно проверить URL-адрес, по которому рекомендуется перейти, на наличие незначительных ошибок в написании.
2. Использовать лишь безопасные https-соединения. Отсутствие всего одной буквы “s” в адресе сайта обязано насторожить.
3. С подозрением относиться к любым письмам с вложениями и ссылками. Даже если они пришли со знакомого адреса, это не дает гарантии безопасности: он мог быть взломан.
4. Получив неожиданное подозрительное сообщение, стоит связаться с отправителем каким-либо альтернативным способом и уточнить, он ли его послал.
5. Если все же необходимо посетить ресурс, лучше ввести его адрес вручную или воспользоваться ранее сохраненными закладками (увы, от фарминга это не убережет).
6. Не использовать для доступа к онлайн-банкингу и другим финансовым сервисам открытые Wi-Fi сети: часто их создают злоумышленники. Даже если это не так, подключиться к незащищенному соединению не составляет сложности для хакеров.
7. На всех аккаунтах, где это возможно, подключить двухфакторную аутентификацию. Эта мера может спасти положение, если основной пароль стал известен взломщикам.

Выводы

Полностью уничтожить фишинг в обозримом будущем вряд ли получится: человеческая лень, доверчивость и жадность тому виной.

Ежедневно происходят тысячи фишинговых атак, которые могут принимать самые разнообразные формы:

• Классический фишинг. Фишинговые письма, отправленные от имени известных действительно существующих компаний, которые практически неотличимы от писем, которые пользователи обычно получают от этих компаний. Единственное отличие может заключаться в просьбе проследовать по ссылке, чтобы выполнить какое-то действие.
• Целенаправленная фишинговая атака. Персонализированные фишинговые письма, направленные на конкретного человека. Такие письма содержат имя, должность потенциальной жертвы, а также любые другие личные данные.
• Фишинг против топ-менеджмента. Фишинг-письма нацеленные на получение доступа к учетной записи главы компании, генерального директора, технического директора и т.д. После получения доступа к таким учетным записям специалисты по фишингу могут продолжать использовать их для связи с другими отделами, например, подтверждать мошеннические банковские переводы любому финансовому учреждению по своему выбору.
• Фишинг рассылки от Google и Dropbox. Относительно новое направление фишинговых атак, целью которых являются имена пользователей и пароли для входа в облачные хранилища данных.
• Фишинговые письма с прикрепленными файлами. Фишинг-письма с вложениями, содержащими вирусы.
• Фарминг. Скрытая переадресация на мошеннический сайт, выполненный с помощью изменения кэша DNS на локальном компьютере или сетевом оборудовании.

Только наличие своевременной и наиболее полной информации о методах хакеров, а также здоровая подозрительность по отношению к необычным, неожиданным сообщениям и предложениям, позволят существенно снизить ущерб от этого вида интернет-мошенничества.

Потому обязательно ознакомьтесь с правилами защиты от фишинга. И прежде всего никому не передавайте свои пароли, заведите привычку всегда вбивать адреса нужных сайтов вручную или пользоваться закладками в браузере, будьте особенно внимательны к ссылкам в письмах.

Источник

 

[НСК-СБ]

Carding, phishing and skimming: what is it and how to protect your funds?

Fraud schemes are constantly changing. According to a FinCERT review, the volume of unauthorized transactions with payment cards issued in Russia amounted to 1.4 billion rubles in 2018, which is 44% more than last year. According to the Prosecutor General’s Office, the number of cybercrimes detected in Russia over the past six years has grown by almost 16 times, to 174 thousand (this includes illegal card transactions).
It is important for owners to remain vigilant and not fall for the tricks of scammers. We will figure out what types of carding you can encounter and how to protect your funds.

Carding

The term carding refers to fraudulent transactions with payment cards (card details) that are not approved by the cardholder. Carding includes various methods of deceiving the rightful owners of tangible assets.
Aleksey Sizov, head of the anti-fraud department of the Center for Applied Security Systems “Jet Infosystems”, identifies three basic areas of fraudulent activity:
Theft or illegal receipt of a card is either a physical impact on the owner, or a search for vulnerability in the process of issuing, delivering or issuing a banking product and using the card by an attacker.
Compromise of card data for the subsequent production of a fake. First of all, we are talking about copying the data of the magnetic strip of the card and stealing the PIN code. This type of fraud was most widespread before the mass transfer of cards to chip technologies. Today, such a scheme is rare, since in Russia about three years ago a ban was issued on the issue of non-chip cards, and almost all over the world Chip Liability Shift is in effect - it is the duty of an acquiring bank to service a card with a chip precisely on a chip.
Compromise of card details for CNP transactions (without the presence of a card). A striking example is the payment for purchases or services on the Internet.
The ultimate goal of criminals in all cases is to gain access to money. To realize their plans, fraudsters invent very tricky schemes, often taking advantage of the credulity and carelessness of citizens. One of the most popular ways to circle a cardholder’s finger is through phishing.

Phishing

Phishing (phishing from English fishing - fishing, casting a fishing rod) - literally fishing out the card details from its holder. It is noteworthy that the owner transfers the necessary data. As a rule, they resort to several types of phishing.
SMS phishing
A message is sent to the phone:
about blocking the card, allegedly on behalf of the bank and the phone number, calling on which you can solve the problem;
about the win, which you can pick up by paying for the delivery.
There are a lot of variations of SMS phishing, but they all come down to the offer to transfer card data. In such cases, you need to be vigilant.
If information about the block has been received, you should call the bank at the official number, and check the authenticity of the winnings message by contacting the store or service conducting the action.

Internet phishing

Fraudsters create phishing (fake) pages that mimic the official websites of banks, payment services or stores, changing the name of several letters or signs. Alas, not everyone carefully checks the web address, boldly clicking on the link.
Often, cybercriminals lure to phishing sites by sending fake emails compiled by bank technical support, say, about blocking a card. Under the pretext of checking information about the holder, they are asked to enter all the details, upon recognizing which they freely get access to money. Lure data and hiding behind the sale of goods.
Before leaving the card details on the site, you need to carefully verify the web address with the official name of the store, service or payment system, as well as check the links on the page: if the phishing resource, most likely they do not work. When you need to use the site of a credit institution, it is best to immediately refer to the official list posted on the Central Bank website.

Vishing

Wishing (English vishing - from voice phishing) is identical to phishing, with the only difference being that attackers make phone calls, pretending to be bank employees, product buyers, and so on, thus trying to trick the holder into a PIN code or force him to perform certain actions with account.
The cardholder needs to remember that bank employees do not require a PIN code, and if the card is blocked, they will most likely be offered to drive to the office in person. Buyers of goods, in principle, do not need to know confidential information about the seller’s card, so requests to provide such information should be alerted.

Skimming

Another method that scammers are actively using is skimming. Skimming is the copying of payment card data using a special device (skimmer). Card data is read when the holder inserts it into an ATM. To obtain a PIN code, attackers install mini-cameras or keyboard pads.

Shimming - This is an upgraded version of skimming.

The deception scheme is similar: all important data is read from the cards inserted into the ATM, the only difference is that there are no visual signs of the presence of a “shim” inside the device.
Fraudsters instead of very bulky and visually noticeable overlays on the card reader use a thin, flexible, almost imperceptible device, which is located inside the card reader. It reads the card data subsequently used by attackers.

Counterfeit ATMs

Sometimes fraudsters create fake ATMs, leaving them in unguarded places. Such devices externally completely copy the real ones, but the “filling” contains an embedded computer with a system installed on it, a skimmer and keyboard covers. The victim inserts a card, tries to take some action, but the ATM gives an error. A person takes a card, but all the information from it has already been read.
You can fall for the bait of cybercriminals not only using an ATM, but also by paying with a card, say, in restaurants or shops. The algorithm is similar: the waiter, seller or cashier can use a skimmer or a portable device attached to the terminal.
You can protect yourself from skimming if you use ATMs located in bank branches. The level of protection in credit organizations is many times higher, and it is much more difficult to install readers there.
Well, when there is no opportunity to contact the department, try to choose ATMs standing under cameras in protected places. Visually check the device, say, the overlay on the card reader: if it staggers, then something is wrong with it. When paying with a card, make sure that no one photographs its data on the phone.

Introduced Viruses

In this case, the attackers introduce into the electronic device (telephone, computer) a program capable of reading card data. Such viruses can transmit to scammers the information that the user entered into the Internet browser: logins and passwords from social networks, Internet banks, electronic wallets, various sites and so on.
A malicious program can accidentally get onto your phone or laptop, disguised as another program, inadvertently downloaded from an email or from an unverified website.
To avoid cheating, it is important to update the antivirus in time and use only licensed software.

Protection methods

The list of described types of fraud is not exhaustive. Alexey Sizov, head of the anti-fraud department of the Center for Applied Security Systems “Jet Infosystems”, notes that among the fraudulent schemes are:
The use of card details to gain access to other products, for example, remote banking or online lending, where information about the card, recent transactions, and even more so verification codes and passport data are sufficient information to change passwords in an online or mobile bank and perform other manipulations with bills.
Theft of funds from contactless cards. This scheme made a lot of noise some time ago, but there were no significant losses, and significant problems in this direction can hardly be expected.
Over time, cheating schemes are only being improved. Naturally, the banks themselves are actively fighting the attackers.

Alexey Sizov "Jet Infosystems"

“They are combating fraud with specialized anti-fraud monitoring systems that monitor the behavior of cards (a set of characteristics by the number of operations, amounts, location and type of operations). Such systems became mandatory from 2003-2004, when there were monitoring requirements by the international payment systems Visa and Mastercard.
In addition to automated systems, the technology of "chip" cards made a big contribution to security, which almost completely eliminated the possibility of efficient cloning. In addition, banks are constantly engaged in monitoring key processes for issuing cards, their remote delivery and others, which is actually associated with the tasks of identification and authentication of the holder in person or remotely ”
However, not only banks, but cardholders themselves must take precautions. Alyona Tsyganova, senior legal adviser at the consulting company Alta Via, advises everyone who cares about the safety of their money to follow a few simple rules:
Keep the PIN code, as well as the data for entering the Internet bank (login, password, verification words or special codes) in a safe place, and best of all, in your memory.
Do not disclose card details and one-time SMS passwords to third parties to confirm transactions.
Be prudent when shopping online. Use only verified and official sites. Products / services on unfamiliar sites at clearly lower prices should alert. And also choose ATMs located in bank offices or large shopping centers with video surveillance.
Alexey Sizov, recommends that you carefully study the notifications from the bank about the transactions, use a separate card for payment on the Internet, set daily limits (if the bank provides this opportunity) and do not keep all the savings in the account of one card.
If you still couldn’t save the money, Alena Tsyganova recommends immediately contacting the bank with a statement of disagreement with the transactions (paragraph 11 of Article 9 of the Federal Law N 161-FZ), as well as the police.
Carding, phishing and skimming: what is it and how to protect your funds?