<
  • Главная
Статьи

Як працює сучасний веб-фішинг

  1. Базові фішингові атаки
  2. Складні фішингові атаки
  3. Перевіряйте адресний рядок
  4. Технічні деталі складних фішингових атак
  5. висновки

Більшість з нас стикалися зі спробами фішингових атак і можуть спостерігати, як росте їх витонченість. Як правило, фішинг увазі обробку шахрайської веб-сторінки так, щоб переконати користувачів, що вони знаходяться на сторінці авторизації легітимного сайту. Всі введені на фішинговою сторінці дані користувачів потрапляють прямо в руки зловмисників і використовуються в подальшому для крадіжки особистих даних і інших шахрайських дій.

1. Базові фішингові атаки

2. Складні фішингові атаки

3. Технічні деталі складних фішингових атак

4. Висновки

У більшості випадків фішингові приманки представляють собою просту копію сторінки входу в системи Facebook, Google, банків, страхових компаній і тому подібних. Зловмисники копіюють з оригінальних сторінок зображення CSS і JavaScript, щоб якомога достовірніше відтворити оригінал. Важливою відмінністю є шкідливі PHP-скрипти, що відсилають ім'я користувача і пароль безпосередньо зловмисникові. Ми розберемо на кількох прикладах то, як фішингові атаки стають все більш складними.

Базові фішингові атаки

Найчастіше в стандартних фішингових атаках робота зловмисника закінчується, коли дані користувача зібрані і відправлені на ворожий сервер. Користувачеві в цьому випадку Ви зможете бачити процес завантаження, як ніби щось відбувається і він ось-ось увійде в систему.

Малюнок 1. Нескінченний індикатор завантаження

Нескінченний індикатор завантаження

Якщо ви потрапили на таку сторінку і значок або інший індикатор завантаження відображається занадто довго, перевірте адресний рядок. Якщо ви все-таки потрапили на фішингову сторінку, то закриття браузера або оновлення сторінки не допоможе, тому що до цього часу всі ваші дані вже були відправлені зловмисникові.

Однак якщо ви швидко розпізнали фішингову атаку, у вас є час оперативно відреагувати і вжити відповідних заходів:

  • Змініть ваші паролі.
  • Перевірте свій банківський рахунок на предмет незвичайних операцій.
  • Заблокуйте свою банківську карту.
  • Зв'яжіться з сайтом, на якому розміщена фішингова веб-сторінка.

Складні фішингові атаки

Більш просунуті фішингові атаки вимагають лише кілька додаткових рядків коду. Ці сторінки також відображають значок завантаження, але вже через кілька секунд перенаправляють користувача на легітимний сайт.

На цьому етапі дані користувача також вже відправлені зловмисникові, проте помітити посилання в адресному рядку вже не можна. Зазвичай користувачі думають, що неправильно ввели ім'я користувача або пароль, або сталася ще якась заминка, і намагаються увійти в систему знову.

Потім про цю маленьку затримці користувачі забувають і не вживають ніяких дій. Однак через кілька годин, днів або навіть місяців починаються реальні проблеми з особистими даними.

Малюнок 2. фішингових сторінка авторизації Google

фішингових сторінка авторизації Google

Перевіряйте адресний рядок

Як вже зазначалося вище, дуже важливо перевіряти сторінку, на якій ви вводите особисту інформацію. У багатьох випадках достатньо буде простої перевірки адресного рядка, щоб з'ясувати, чи перебуваєте ви на легітимному сайті чи ні.

Ось кілька речей, які варто перевірити:

  • Якщо ви намагаєтеся увійти в Google Drive, переконайтеся, що ви перебуваєте на домені docs.google.com.
  • Чи має сайт захищений протокол HTTPS.
  • Чи є проблема з SSL-сертифікат (повідомляється при натисканні на піктограму замка в адресному рядку).

Технічні деталі складних фішингових атак

Але як же фішингові атаки виглядають зсередини? Спробуємо заглянути «за лаштунки» і почнемо з аналізу файлу index.php:

Малюнок 3. Файли index.php і modules.php

php

Це хороший приклад складної фішинговою атаки, що дозволяє зловмиснику не тільки красти дані користувача. Модуль chmod.php на кінцевому етапі створює лог-файли.

Малюнок 4. Частина файлу chmod.php

Тепер прийшов час Залогуватися інформацію - файл visitor_log.php записує дані відвідувача, форматуючи навіть часовий пояс.

Малюнок 5. Код файлу visitor_log.php, що записує дані відвідувача

php, що записує дані відвідувача

І тепер стає дійсно цікаво - зловмисники перевіряють через HTTP_REFERER, з якого сайту прийшов відвідувач.

Якщо відвідувач прийшов з будь-якого сайту інформаційної безпеки (наприклад, phishtank.com, на якому можна перевіряти фішингові сторінки), то йому відобразиться сторінка 404. Таким чином зловмисники намагаються обдурити дослідників в галузі безпеки.

Малюнок 6. Частина файлу phishtank_check.php

php

Але і це ще не все. У зловмисників є цілий чорний список служб безпеки, які можуть бути загрозою для них. На малюнку нижче можна побачити список з 122 компаній і їх діапазони IP.

Малюнок 6. Чорний список служб безпеки для зловмисників

Кіберзлочинці логіруют кожну атаку і всю інформацію про користувача, яку їм вдається дістати, наприклад браузер і user-agent.

Малюнок 6. Логування інформації про користувача в коді

Логування інформації про користувача в коді

висновки

Крім елементарних прикладів фішингових атак, також існують більш просунуті, тенденція до ускладнення атак спостерігається давно. Наприклад, в середовищі хакерів Black hat набагато більше серйозних хакерів, ніж script kiddies (в хакерській культурі принизливий термін, використовуваний для опису тих, хто користується скриптами або програмами, розробленими іншими, для атаки комп'ютерних систем і мереж, не розуміючи механізму їх дії. Передбачається , що скрипт кідді занадто недосвідчені, щоб самим написати свій власний експлойт або складну програму для злому, і що їх метою є лише спроба справити враження на друзів або отримати похвалу від спільнот комп'ютерні х ентузіастів). Отже, кіберзлочини здійснюються досвідченими людьми зі знанням справи.

Тому власникам веб-сайтів варто звертати особливу увагу на те, щоб виключити можливість використання їх сайтів у шкідливої ​​ланцюжку. Як показує практика, багато власників сайтів навіть не підозрюють, що їх сайти можуть використовуватися зловмисниками. Для власників сайтів реальну проблему представляє процес виявлення фішингових коду. Як ми бачили з прикладів вище, сам код не є шкідливим і може прекрасно вписуватися в конструкцію сайту. Зловмисники знають це і ще більше намагаються ускладнити процес виявлення шляхом вбудовування фішингових сторінок глибоко в файлову структуру вашого сайту. Тут важливо те, наскільки ви контролюєте цілісність файлів і каталогів на вашому сайті.



Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью