Социальный spear-phishing уже на пороге

Несколько утихший spear-phishing («направленный фишинг», целевая рассылка фишинговых писем) снова набирает обороты, принимая форму так называемого социального целевого фишинга. Киберпреступники шантажируют жертвы ради личных развлечений и убеждений.

BBC News рассказала историю молодой девушки Зед (имя изменено), к которой полтора месяца назад во время рабочего совещания в Facebook обратилась дальняя знакомая с просьбой проголосовать за нее в одном из интернет-конкурсов. Зед согласилась, но знакомая написала о возникшей технической ошибке: адрес интернет-ящика Зед якобы перегрузил сеть, и все голоса пропали. Приятельница срочно потребовала логин и пароль, на что Зед сначала сомневалась, но из-за спешки передала данные. Зед тут же оказалась отключена от всех своих аккаунтов и от системы резервного хранения Apple iCloud, где она хранила всю информацию о себе, включая фото паспорта, банковские данные и некоторые откровенные фото. Приятельницей оказался молодой человек из Пакистана. Хакер, получив доступ, установил дополнительный уровень защиты, двухступенчатую верификацию, что позволило ему получить дополнительные коды на свой телефон и поменять пароли ко всем аккаунтам. После, позвонив Зед, он обвинил ее в аморальности, пригрозив рассказать об образе жизни ее родителям. Вместо предложенных девушкой денег в качестве выкупа, хакер потребовал виртуальный секс на камеру. Не получив ни того, ни другого он попрощался с Зед, дав понять, что она заслуживает наказания за свою аморальность. На то, чтобы вернуть доступ к счету в Apple у Зед ушел месяц. Были также восстановлены ее данные в Gmail и Facebook, однако она потеряла аккаунт в мессенджере Snapchat и свою электронную почту, которой пользовалась более 13 лет.

Фишинг использует поведенческую психологию, чтобы заставить жертву поверить злоумышленнику и получить доступ к важной информации. Этому виду мошенничества уже много лет. В 2015 г., по оценке Symantec, количество таких атак в мире выросло на 55% по сравнению с годом ранее. При этом массовые фишинговые рассылки стали выходить из моды. В 2016 г. 91% целевым кибератакам предшествовала малотиражная спам-рассылка (spear-phishing email), выяснял Trend Micro. По данным американского Центра по борьбе с хищениями персональных данных (ITRC), с начала прошлого года до февраля 2017 г. в США количество spear-fishing выросло на 400%.

«В течение многих лет злоумышленники применяли целевой фишинг только в случае, если выгода от получения определенной информации была выше трудовых и финансовых затрат. Теперь ситуация изменилась: появляются хакеры-блюстители законности или морали, которым не важно получение денег по итогам атак», - рассуждает руководитель Агентства кибербезопасности Евгений Лифшиц. Он дополняет, что развиваться социальному целевому фишингу «помогает» и доступность технологий. Если раньше подобные взломы требовали хоть какие-то навыки программирования, то теперь существует множество ресурсов с подробным описанием, что и как делать. «Технологии стали общедоступны практически любому возрасту. Этим, в том числе, пользуется и подрастающее поколение хакеров, используя spear-phishing как способ обучения, наработки навыков.

По мнению Владимира Ульянова, руководителя аналитического центра Zecurion Analytics, социальная инженерия является одной из наиболее актуальных угроз. Изучая инциденты, связанные с утечкой информации, мы видим, что многие атаки не были успешны, если бы не халатность собственных сотрудников и методы социальной инженерии. По статистике Zecurion Analytics, около четверти всех атак используют социальную инженерию, как один из векторов.

Автор: Александр Абрамов.

Тематики: Безопасность

Ключевые слова: информационная безопасность