понедельник, 17 октября 2016 г.

фишинг, но не фишинг

привет ребята.
решил рассказать кое-какую историйку про фишинговые сайты.
чего про них можно нового рассказать в двадцать первом веке?
во всех книжках по безопасности про это написано, во всех отчетах илитных аналитиков встречается словечки фишинг, фишинг, блабла.
все уже небось привыкшие к тому, что мошенники делают копии известных сайтов, чтобы облапошить публику и чего-нибудь с них получить.
что обычно можно получить с этой публики, и в чем выгода?
ну в зависимости от сайта, который подделывается, всякое.
если например подделывается банковский сайт, то там можно учетки для дбо собрать, а можно и сами ключи (видел такое лично). но работает это обычно считанные часы, а потом все вскрывается, хостеры все прикрывают, браузеры блэклистят и тд. ну срубят жулики там по 5 тыщ со ста клиентов.
если какие-нибудь одноклассники, там вообще обычные учетки пользовательские. спам рассылать, втираться в доверие, еще всякая мелочевка. гемор один.
корпоративные сайты - учетки рабочие соберешь, шарься потом всяко, пока не просекли, ищи как бы монетизировать. короче муть.
а есть такие жулики, которые с предпринимательскими нотками в крови. они если делают фишинговые сайты, так с размахом.
вот история про них.

где-то год назад сижу ковыряюсь в почте. от коллег вижу письмецо, что мол у некого нашего клиента из ТЭК (ну к примеру нефтянка пусть будет) сектора проблемки с поддельными сайтами. стал любопытничать, оказалось, что делают под них копию сайта, с похожим доменом, на один символ различается, все скопировано норм и точь-в-точь, кроме контактной инфы - телефон/почта другие.
и сайт за клаудфларом, то есть считается, что где реально хостится, нельзя узнать.

но на тот момент у клаудфлара была мутка, то ли баг, то ли фича (но щас прикрыли), что можно было палить реальные адреса за ним. если под пользователем клаудфлары добавляешь сайт, который уже и так за ним, то он тебе показывал что "такой сайт уже есть, ты чо мол забыл, вот же айпи". ну я конечно воспользовался, грех не воспользоваться. нашел какой-то эстонский хостинг, скананул нмапом, там конечно обнаружилась популярная панель управления, куча висящих портов, типа почтовых сервисов и тд - ну то есть типичный хост "из коробки".  сначала я по привычке подумал, что чето мутится малварное, к примеру рассылки с нагоном трафика на сайт и какие-то злодеяния фишинговые.
стал еще гуглить по контактам, что были указаны, и нашел еще один сайт из той же отрасли, а потом еще сайт, но уже металлургия, а потом еще - и там газ, и понеслась: химпром, ювелирка, сырьевые компании, заводы, пароходы, штук 40 сайтов сходу нашел - для всех них были созданы копии сайтов, которые различались в одну букву, дефис, или зоной от оригинала. и на всех были указаны те же контакты, все сайты были за клаудфларами, а реально хостились на разных хостингах в эстонии и подобных странах, и все с той же админкой под копирку.
а тогда же санции как раз были в разгаре, ну я после такого конечно подумал, чо мол за дела, какой-то мериканьский апт против российской промышленности, чтоли, во думаю, дела...

стал еще копаться, у некоторых из пострадавших сайтов в новостях были предупреждения, что мол орудуют мошенники. если я правильно запомнил, то может даже в некоторых случаях жулики сайты скопировали вместе с этими новостями. хотя в большинстве все подобное было аккуратно вырезано. интерактив со страниц тоже был убран, остались просто качественные статичные страницы.
ну и по новостям и совокупности факторов я стал примерно понимать технологию.
суть в чем:
  1. берется контора, которая продает товар, который например не как в киоске жвачку купить, а тоннами отгружается - леса, руду, уголь или то, что само по себе дорого стоит - ювелирка, машиностроение. 
  2. делается фейковый сайт со своими контаками. 
  3. потом по неопределенному кругу лиц начинается обзвон с предложением купить золото нефть дешево. если там чуваки начинают колебаться, то им сообщают адрес сайта, где они могут проверить информацию, тот же номер телефона например или почту - все без обмана. ну и там видимо дальше предполагалось внести предоплату и тд. к примеру за сто тыщ тонн нефти. пусть к примеру 10 миллионов надо внести (эти все цифры я конечно придумал, потому что я же не жулик, но для иллюстрации мутки сойдет). 
  4. дальше простачки засылают предоплату и все, денежки тю-тю, профит.

и при всем при этом сайт висит и его родная мама почти не отличит от настоящего.
кто ваще знает, какой настоящий сайт у беломорбалтуглепрома? никто ваще никогда не знает такой инфы и даже не задумывается, в каком месте в этом урле должен быть дефис или какая зона у сайта - ком или ру.
гугл вам не поможет, потому что он уже проиндексировал фейковый сайт тоже и он в поиске выплывет где-то недалеко
репортить в сэйфбраузинги тоже не катит - сайт то выглядит как настоящий, учетки не собирает, малварь не распространяет.
регистраторам тоже жаловаться фиг - всякие похожие домены регать не запрещено, их все подряд регают, чего тока не придумают пиарщики в маркетинговых нуждах - и все зоны, и опечатки, и наименования разные и тд. разделегируешь домен, а потом выяснится, что он нужен был для раскрутки в поиске или как лендинг страница, и тебе же еще и попадет.
поэтому висят сайты, скока хочешь, это вам не банковские сайты фишить и не одноклассники.

видите, ребята, в чем мораль?
мошенничество с использованием ИТ? да.
усилия тратятся те же? да.
затраты на инфраструктуру, на копирование сайта, подделку и тд - то же как на одноклассников, а пользы на порядок больше, чем от этих ваших одноклассников.
и при этом про одноклассников вам скажет любой школьник-безопасник, что мол как это опасно, страшные чудовищные фишеры, мир опасносте, а против таких жуликов никакие бест практицес по ИБ ничего  не предлагают, их как будто нет, и модные аналитики/аудиторы в своих отчетах не упомянут и советик не дадут.
так и живем).
удачки, до новых встреч.


понедельник, 23 мая 2016 г.

Знакомство с отправителями

Давно известно, что многие малвари приходят пользователям по почте. Для борьбы с такими опасностями обычно предусмотрены разные меры: технические (антивирусы, антиспам, контентная фильтрация и тд) или организационные (регламентация работы с почтой, обучение и тд).
Не секрет, что технические средства в целом бессильны против почтовых малварей: почта доставляется до того, как выпущена сигнатура малвари, эвристика не особо надежна (да и не у всех небось включена), жестким антиспамом можно недосчитаться легальных писем ибо технически разница между опасным письмом и безобидным стремится к нулю. Поэтому в большинстве случаев письма с малварями благополучно проходят технические средства и попадают юзерам на компы.
И тогда должны вступать в действие оргмеры.
К чему обычно сводится регламентация и обучение в части защиты от почтовых опасностей?
Ну там где-нить в антивирусной политике или в правилах информационной безопасности будут написаны волшебные фразы:
  • "проверяйте письма и вложения антивирусом"
  • "не открывайте письма от незнакомых отправителей"
  • "не открывайте исполняемые вложения"
  • "не переходите по ссылкам в письмах извне"
  • ну и тд.
Что здесь не так?

Антивирусы.
Во-первых, антивирусы да, какую-то часть малвари могут обнаружить, но только ту часть, которая распространялась когда-то более-менее массово. Если файл с малварью редкий или новый, то для него просто сигнатуры не будет, детекта соответственно тоже. В современном мире практически ничего не стоит менять файлы перед рассылкой.
Во-вторых, в малварных письмах шлются не сами малвари, а их загрузчики (или вообще ссылки на них), которые зачастую слеплены из легальных компонент, на которые антивирус и не должен возбуждаться, если он хороший.
Так что рекомендация проверять антивирусом в случае чистого результата скорее понизит бдительность пользователя, чем его защитит.

Незнакомые отправители.
Зачастую работа пользователя заключается в обработке писем от незнакомых отправителей: выставление счетов, техподдержка, любая сфера обслуживания предполагает переписку с незнакомыми лицами. 
Легальные пользователи часто пишут письма, которые больше похожи на малварные, чем реально малварные. Реальность такова, что в легальном письме может отсутствовать любой текст, тема пуста, а будет только вложение и неизвестный отправитель.
При этом не открыл письмо = не сделал работу. Кому нужны пользователи, которые не делают работу? Так что требовать от пользователей не открывать или чето подобное не делать при незнакомых отправителях заведомо невыполнимо.
Второй момент незнакомых пользователей это то, что знакомство/незнакомство на факт получения малвари никак не влияет. Многие малвари умеют тырить адресные книги, многие умеют рассылать себя через популярные вебпочты, многие умеют отвечать в существующие переписки, так что у малварного письма будет и отправитель "знакомый" и вполне себе понятный контекст, не вызывающий подозрений. Если вы делаете более-менее массовые рассылки, то сами можете убедиться, что часть ответов после таких рассылок это малварные письма с зараженных компов.
Что еще умеют малварщики? Для большей убедительности в малварные письма включаются дополнительные файлы и документы: например, если ваша деятельность предполагает подключение абонентов, то вам в письме придет набор файлов типа: заявка на подключение, левый скан паспорта из интернета, какая-нибудь "выписка" и среди всего этого будет бонусом подмешан бинарник или скрипт, который должен быть запущен двойным кликом среди прочего.
Еще бывает шлются рассылки, где отправитель = получатель, то есть будто вы сами себе послали письмо.
Так что ваше "знакомство" с отправителем реально не защитит вас ни от чего, такие дела.

Исполняемые вложения.
В чем проблема с этим? Казалось бы, это очевидные вещи: если вам шлют программу, не надо тупо ее запускать.
Проблема здесь в том, что хоть ваш юзер и написал в своем резюме "уверенный пользователь пк", реально это не так, и в компах он умеет разве что двойным кликом открывать файлы, заполнять таблицы в экселе или лазить по сайтам в енторнете. Файлов, которые можно "исполнить" двойным кликом десятки форматов, о большинстве из них пользователь даже и не слышал никогда. Однозначно отнести к исполняемым он сможет разве что .exe. А как насчет файла экранной заставки, джаваскрипта, вижалбейсикскрипта, шифрованного джаваскрипта, панели управления? Ваш пользователь по умолчанию не силен в этих тонкостях (да он и не обязан в этом разбираться) и не сможет отличить исполняемый файл от неисполняемого. Так что реально рекомендация не запускать исполняемые файлы - сферическая в вакууме.
К тому же никто не отменял манипуляции с расширениями файлов (двойные расширения, километровые пробелы, невидимые спецсимволы и тд). Частенько чтоб не пугать пользователя (плюс чтоб не напрягать техподдержку после "переименования" файла пользователем), расширения файлов в виде папок скрывают, поэтому для пользователя реальная малварь будет выглядеть как док или экселька, в его восприятии (по расширению, по иконке) это будет документ, который можно открыть без опаски.

Ссылки.
Более чем уверен, что все безопаснички, которые требуют от пользователей не переходить по незнакомым ссылкам, сами переходят по незнакомым ссылкам бесстрашно, неважно, короткая она, длинная, с сократителем или нет. В век интернета не ходить по ссылкам невозможно. Проявлять бдительность, смотреть, что скачивается, какие пароли запрашиваются, думать головой - да, никто не отменял. Ну тогда так и нужно советовать.

итак, вкратце пробежались как делать не надо.
теперь пара слов, как надо делать и что нужно советовать, регламентировать в правилах пользователя, чему учить вкратце:
  1. 1. не полагаться на антивирус. так и говорить пользователям, мол, не надейтесь на антивирусы, их недостаточно для защиты, вообще забудьте, что антивирус есть. если он сработал - хорошо, если не сработал - бдите.
  2. 2. не доверять никому, в том числе знакомым отправителям, известным сайтам, или даже самому себе - ко всем письмам надо подходить с одинаковой осторожностью. если письмо "не по теме" получателя или в письме просят "переслать главному бухгалтеру", юристу, кадровику - насторожиться, не пересылать, как просят, а например обсудить с техническими специалистами.
  3. 3. как выглядят обычные вложения в письме, как его отображает ваш корпоративный почтовый клиент. как выглядит ссылка в письме. как вредоносные ссылки маскируются под вложения (примеры текстов писем, приемчики малварные, то, сё).
  4. 4. сохранять вложения и файлы по ссылкам локально, прежде чем запускать и открывать.
  5. 5. не доверять расширению или иконке, проверять тип файлов через свойства правым кликом. тыкайте пользователю на картинках, куда нужно смотреть, и что должно быть написано.
  6. 6. донести КОНКРЕТНУЮ инфу о заведомо опасных типах файлов (приложение, js, rtf и тд) и менее опасных (doc, docx, xls, ...), учить распознать документ от исполняемых файлов.
  7. 7. если скачался архив, то распаковывать архивы через контекстное меню правым кликом, без двойных кликов. если зип, то лучше распаковывать через встроенный виндовый распаковщик, а не сторонний архиватор. если в письме по тексту или в имени архива указан пароль к архиву - насторожиться (это нехороший сигнал).
  8. 8. после распаковки файлов не тыкать по распакованным файлом двойным кликом, а тоже первым делом проверить свойства, повторить пункт 5.
  9. 9. документы открывать правым кликом через "открыть с помощью..." а не двойным кликом. если файл например приложение exe, то в меню даже пункта такого не будет - должно насторожить.
  10. 10. если после открытия документа просят включить макросы или обновить программу - насторожиться. не включать макросы, не обновлять. даже если кнопка будет похожа на иконку адоб акробата или подобную безобидную вещицу.
  11. 11. знать, что всегда можно обратиться за консультацией к техническим спецам при малейших сомнениях, к примеру пересылать на определенный ящик, при этом обращаться к ним не стыдно и не зазорно. стыдно запускать малвари. к этому же пункту полезно  научить сохранять письма как вложения, чтобы пересылать не форвардом, а с сохранением всех заголовков и тд.
  12. 12. ну и еще список подобных штук, думаю, суть понятна, а законченного списка быть не может, потому что технологии не стоят на месте, малварщики сегодня шлют так, завтра сяк, и универсально научить на будущее нельзя, но повышением компьютерной грамотности, от которой зависит безопасность, заниматься можно и нужно. и самому не надо отставать, а постоянно вникать в суть работы ваших пользователей и суть малварных технологий, искать между ними баланс.
ну и напоследок протип: не поленитесь, наделайте скринов из ваших корпоративных окружений и софта, как выглядит окошко с просьбой о макросах или обновлении, как выглядят свойства файлов в вашей версии винды и т.д., можно хоть по всем пунктам наделать скринов, иначе вы оставляете пользователя наедине с опасностью, сам он эти вещи не узнает, если он не безопасник или малварный аналитик.
пока все.