Погружение в кибербезопасность: Что такое атака с использованием приманки?
Бейтинг-атака — это тип фишинговой атаки, которая использует социальную инженерию для манипуляции вами. Эти атаки часто обращаются к вашей жадности или любопытству, чтобы обмануть вас и заразить ваше устройство вредоносным программным обеспечением.
Эти атаки часто принимают три формы:
- Физические носители — Злоумышленники часто оставляют зараженные USB-накопители вокруг рабочих мест, парковок или офисных коридоров, надеясь, что кто-то их найдет и подключит к устройству.
- Онлайн-загрузки — Хакер может отправить вам личное сообщение в социальных сетях или по электронной почте, пытаясь убедить вас перейти по ссылке. Эти сообщения содержат ссылки на вредоносные файлы, которые установят вредоносное программное обеспечение на вашем устройстве после открытия. Также существуют веб-сайты, обещающие бесплатные материалы, которые могут стать объектом бейтинг-атак.
- Соблазнительные предложения — Почтовые предложения, обещающие вам что-то бесплатное или с большой скидкой при переходе по ссылке. Эти ссылки заражены и установят вредоносное программное обеспечение на вашем устройстве.
Одной из самых известных бейтинг-атак в истории была атака на Министерство обороны США в 2008 году.
Ее называли «самым худшим нарушением в истории военных компьютеров США», и она привела к созданию Государственной киберкоманды Министерства обороны.
Операция «Бакшот Янки», как ее назвали, включала в себя зараженный USB-флеш-накопитель, оставленный на парковке учреждения Министерства обороны на Ближнем Востоке.
Сотрудник вставил зараженный флеш-накопитель в ноутбук и ненароком установил вредоносный код, который предназначался для кражи информации с компьютеров на базе.
Само вредоносное программное обеспечение было червем, самопроизводящимся и автоматически распространяющимся по сети Министерства обороны. Пентагону потребовалось 14 месяцев, чтобы полностью устранить червя из своих систем.
И это была классическая тактика бейтинга, которая привлекла любопытство жертвы. Почти произошел национальный кризис невиданных масштабов.
Как отдельные лица, так и организации подвергаются риску бейтинг-атак. Но организации должны быть особенно осторожными. Ведь ставки выше, и последствия гораздо более серьезные.
Даже один сотрудник, ставший жертвой бейтинг-атаки, может вызвать цепную реакцию из утечек данных, утраты репутации, финансового ущерба и многого другого.
Ниже я расскажу вам подробнее о бейтинг-атаках. Покажу, что это такое, какие принципы используются, распространенные сценарии и методы, кейс-стади и красные флаги.
Начнем!
В чем разница между бейтингом и традиционным фишингом?
Атака с уловкой является подмножеством обобщенных атак фишинга. По своей сути, уловка представляет собой форму фишинга.
Однако атака с уловкой имеет несколько специфических элементов:
- Эмоции, которые она вызывает
- Общие сценарии, используемые
Давайте рассмотрим оба этих момента ниже и посмотрим, как работают атаки с уловкой:
1. Психология атак с уловкой
Абсолютное большинство атак с уловкой обращаются к двум основным эмоциям — жадности и любопытству.
Что касается жадности, хакеры часто пытаются убедить вас в обещаниях богатства, скидках, эксклюзивных предложениях и вещах, которые звучат слишком хорошо, чтобы быть правдой.
Перспектива финансовой выгоды часто ослепляет жертв, заставляя их принимать импульсивные решения, не задумываясь.
Это заставляет их рисковать, чего они, в противном случае, не сделали бы. Через жадность атаки с уловкой манипулируют своими жертвами, заставляя их компрометировать свою безопасность самостоятельно.
Это может означать скачивание вредоносного программного обеспечения или переход по ссылке, обещающей крупную скидку на продукт.
Что касается любопытства, здесь ситуация немного другая. Хакеры чаще всего используют физические носители, чтобы привлечь внимание и сыграть на любопытстве своих жертв.
Идея заключается в создании ощущения тайны и интриги через эту атаку. Жертвы будут чувствовать себя обязанными посмотреть, что находится на случайном USB-накопителе, который они нашли, или открыть загадочную ссылку, которую они получили.
Злоумышленники часто накладывают ярлык «Конфиденциально» или «Секретно» на эти физические USB-накопители, чтобы еще больше подстегнуть любопытство своих жертв.
Онлайн эти атаки с уловкой, основанные на любопытстве, могут обещать конфиденциальную информацию или секреты, к которым вы бы не имели доступа иначе.
Понимая, как атаки с уловкой используют эти две эмоции, чтобы манипулировать вами и заставить принимать импульсивные действия, вы можете повысить свою бдительность и защитить себя.
Это верно как для отдельных лиц, так и для организаций. Сотрудники также должны получить базовое образование в области атак с уловкой, чтобы избежать стать жертвами этих атак.
2. Общие сценарии атак
Атаки с уловкой часто имеют специфические сценарии, которые более распространены по сравнению с обычными атаками фишинга.
Давайте рассмотрим некоторые из них:
- Высокие скидки
Вы можете получить сообщение или электронное письмо, где говорится о очень высокой (слишком хорошей, чтобы быть правдой) скидке на продукт или услугу, которую вы искали.
- Бесплатные продукты/услуги
Иногда продукты или услуги, обещаемые в атаке с уловкой, являются бесплатными. Хакер хочет максимально использовать вашу жадность.
И кто может устоять перед бесплатным?
- Выигрыш крупного приза
Еще одним распространенным сценарием является выигрыш большой суммы денег. Это может быть лотерея, в которую вы, по уверениям хакера, были автоматически включены, или наследство.
Лично я получил много писем типа лотереи в прошлом, и все они просят ваши личные данные, чтобы перевести вам деньги.
Не дайте себя обмануть — это мошенничество!
- Неожиданный приз
Хакер может выдавать себя за службу по доставке, которую вы использовали ранее, и удивить вас неожиданным призом.
Они могут придумать разные причины, такие как программа лояльности, которая вознаграждает клиентов.
Конечно же, как ссылки, так и номера телефонов, предоставленные хакером, являются фиктивными. Не попадайтесь на это!
- Фальшивая доставка
Еще одним сценарием атаки с уловкой является, когда злоумышленник оставляет вам уведомление о пропущенной доставке. В этот раз мы имеем дело с физической атакой, и то, что хакер знает, где вы живете, является чрезвычайно опасным.
В уведомлении может содержаться номер телефона или другой способ связи — не используйте их. Дайте своему любопытству угаснуть, потому что это мошенничество.
Но как злоумышленники конструируют свои атаки с уловкой и как они обеспечивают их эффективность? Давайте посмотрим ниже!
Анатомия атаки с уловкой
Угрозы используют определенные техники, чтобы обеспечить эффективность своей атаки с уловкой. Давайте посмотрим, какие это техники:
- Маскировка
В атаках с уловкой, которые включают в себя вредоносные файлы, хакеры убедятся, что эти файлы маскируются под безобидные форматы.
Они будут использовать безвредные расширения, звучащие легитимно и не представляющие опасности иконки, которые не вызовут подозрений.
Все это — обман, чтобы запутать вас и заставить открыть их. Все это призвано создать иллюзию невиновности и скрыть опасность.
Это также работает с вредоносными ссылками, которые хакеры пытаются замаскировать, редактируя их URL-адреса и делая их безопасными.
- Доверительные отношения
Атаки с уловкой практически полностью зависят от первого впечатления. Хакеры знают, что у них есть всего несколько секунд, чтобы убедить вас сделать что-то глупое.
Поэтому им нужно, чтобы вы доверяли им достаточно, чтобы нажать на ссылку или скачать вредоносное программное обеспечение.
Они часто притворяются представителями легитимных компаний, с которыми вы имели дело раньше. Все это для того, чтобы вы доверяли им и сбрасывали свою защиту.
Хакер также может предположить себя в роли авторитета в определенной области — например, маркетолога или секретаря — чтобы завоевать ваше доверие.
- Усиление эмоций
Все атаки с уловкой используют эмоции, чтобы заставить вас делать то, что вы не сделали бы в противном случае. Но почему они работают?
Это происходит из-за усиления эмоций. Эти атаки работают, усиливая определенные эмоции, такие как жадность, любопытство, дефицит и срочность.
Это увеличивает вероятность того, что вы попадете в ловушку, потому что ваши эмоции вас перехитрят.
Когда мы поддаемся любопытству, жадности или срочности, наши рациональные процессы мышления уступают место импульсивному принятию решений.
На это и рассчитывают хакеры — что, усилив эти эмоции, вы примете бессознательные решения.
Кейсы
Чтобы понять, как функционируют атаки с уловкой в реальном мире, и осознать потенциальные последствия, я подготовил 5 реальных кейсов, связанных с атаками с уловкой.
Их анализ поможет разобраться, как работают эти атаки. Итак, начнем!
1. Червь Stuxnet (2010)
Stuxnet, возможно, самая известная атака с уловкой в истории, которая привела к серьезным геополитическим последствиям.
Вот конкретика относительно Stuxnet или операции «Олимпийские игры», как она стала известной:
- Stuxnet был червем (самореплицирующимся вредоносным ПО), хранившимся на физическом USB-накопителе, который заразил ядерную программу Ирана на объекте Natanz
- Его целью было найти ПЛК (программируемые логические контроллеры), производства Siemens, на устройстве и изменить их программирование
- Изменение программирования ПЛК влияло на скорость вращения ядерных центрифуг, либо повреждая их, либо уничтожая полностью
- Также ПЛК передавали (ложно) на компьютер контроллера, что всё в порядке
На момент того времени объект Natanz был известен как практически невозможный для внедрения, поскольку его системы нигде не подключались к интернету.
Единственным способом проникновения в объект был физический. И именно так Stuxnet попал внутрь — сотрудник Natanz вставил USB-накопитель в рабочее устройство.
Как только червь оказался на свободе, он распространялся беспорядочно с устройства на устройство внутренней сети Natanz и находил все ПЛК Siemens.
Интересно, что Stuxnet использовал пять уязвимостей нулевого дня и бэкдор, чтобы распространиться через компьютеры под управлением Windows в объекте Natanz:
- Ошибка с очередью печати
- Уязвимость ярлыков Windows
- Две уязвимости привилегий
- Ошибка с ПЛК Siemens
- Бэкдор, который использовался в атаке Conficker
Если вы что-то знаете о кибербезопасности, то вы знаете, что использование одновременно такого количества уязвимостей крайне необычно.
Это потому, что хакерам не хочется сразу раскрывать все свои карты. Обычно, как только уязвимость нулевого дня становится известной, компании по безопасности разрабатывают патч и обрывают доступ хакера.
Тем не менее, Stuxnet был атакой без правил, которой понадобилась всего одна возможность проникнуть в объект Natanz и разрушить его ядерную программу.
Червь также был написан на нескольких языках программирования, включая C, C++ и другие объектно-ориентированные языки.
Даже сегодня он остается одним из самых сложных видов вредоносного ПО, когда-либо написанных. Эксперты разбирают его даже сегодня, чтобы извлечь уроки.
Успешен ли был Stuxnet, в конечном итоге? Одним словом, да. Ему удалось выводить из строя около 2000 центрифуг в год, в то время как обычное количество выведенных из строя центрифуг составляло около 800.
Слухи гласят, что Stuxnet отодвинул программу Ирана по ядерной энергии на как минимум два года. Его обнаружили только потому, что сотрудник Natanz случайно принес его на рабочем устройстве.
В конечном итоге исследователи по безопасности нашли и раскодировали его, в основном. В нем было более 15 000 строк кода, что намного больше, чем у любого другого вредоносного ПО.
И все это началось с обычного USB-накопителя, который сотрудник Natanz случайно нашел и подключил к рабочему устройству.
Атака с уловкой с начала до конца!
2. Операция «Аврора» (2009)
Отказ от ответственности – Операция «Аврора» включала в себя элементы уловки (тактику спир-фишинга), но не являлась типичной атакой с уловкой. Ее целью было эксплуатировать уязвимости нулевого дня и бэкдоры.
Операция «Аврора» была одним из самых масштабных кибератак в истории, проведенной группой Elderwood Group (связи с Китаем) против нескольких крупных американских компаний.
Подтвержденные цели включали:
- Adobe Systems
- Akamai Technologies
- Juniper Networks
- Rackspace
Согласно различным отчетам, также целями операции «Аврора» были Symantec, Yahoo, Dow Chemical, Northrop Grumman и Morgan Stanley.
Главной целью атаки было похищение коммерческих секретов частного сектора США — репозиториев исходного кода.
Вот хронология событий:
I. Начало Атаки
Анатомия операции «Аврора» удивительна своей сложностью. По данным McAfee, злоумышленники использовали несколько уязвимостей нулевого дня в браузере Internet Explorer и программном обеспечении Perforce.
Хакеры эффективно отправляли письма с уловкой сотрудникам этих компаний, пытаясь выдавать себя за коллег или доверенных источников. Они заманивали жертв в клик по вредоносным ссылкам, которые устанавливали зараженное вредоносное ПО на корпоративные устройства.
С помощью тактики спир-фишинга и эксплуатации уязвимостей нулевого дня злоумышленники получили повышенный доступ, необходимый для входа в компьютерные системы компаний.
Также они использовали бэкдорные соединения в учетных записях Gmail, чтобы получить доступ к компьютерным системам.
II. Google объявляет об атаке
12 января 2010 года Google объявила на своем блоге, что в середине декабря их пострадали от кибератаки, пришедшей из Китая.
Они также утверждали, что в тот же период той же группой было атаковано более 20 компаний.
По этой причине Google заявила, что рассматривает возможность прекращения деловых отношений с Китаем. Также в тот же день были опубликованы несколько политических заявлений от различных сторон.
Китайское правительство не выпустило официального ответа на эти обвинения.
III. Symantec начинает расследование атак
Кибербезопасные фирмы Symantec и McAfee предложили провести расследование атаки от имени Google и всех остальных пострадавших компаний.
Проанализировав улики (доменные имена, сигнатуры вредоносных программ, IP-адреса и т. д.), они выяснили, что за операцией «Аврора» стояла группа Elderwood Group.
Группу хакеров также называют «Pека Бейцзин», и они получили доступ к некоторым исходным кодам Google и информации о нескольких китайских активистах.
Заместитель вице-президента по исследованию угроз в McAfee Дмитрий Альперович назвал атаку «Операция «Аврора»», потому что «Аврора» была путем к файлу в двух вредоносных программах, использованных в атаках.
IV. Последствия
После того как атаки стали известными, многие страны временно прекратили использование Internet Explorer из-за уязвимостей нулевого дня, встроенных в него.
Google также вышел из Китая и поддерживает только локальную версию поисковой системы из Гонконга.
Операция «Аврора» оказалась более разрушительной для Китая, чем для США, так как последние потеряли меньше в результате атаки.
Распознавание и предотвращение атак с уловкой
Атаки с уловкой, в большинстве случаев, не так уж и трудно выявить. К счастью, небольшие предосторожности и осознание того, как атаки с уловкой могут обмануть вас, пойдут вам на пользу в обеспечении защиты.
Давайте сначала рассмотрим наиболее распространенные признаки красной тревоги для атак с уловкой!
1. Признаки красной тревоги
- Срочная тема письма
С самого начала, если вы видите тревожное название темы электронной почты, ваш мошеннический метр должен уже начать бить тревогу.
Такие темы письма могут звучать как «Измените свой пароль сейчас» или «Получите эту скидку, пока она здесь«.
Если другая сторона создает чувство срочности и хочет использовать ваши эмоции, чтобы заставить вас принимать импульсивные решения, вам следует задуматься о их намерениях.
Это либо легитимное (?) маркетинговое письмо, либо атака с уловкой, направленная на обман вас. Во многих случаях эти два варианта не так явно различимы, как бы нам этого хотелось.
- Запрос на предоставление личной/чувствительной информации
Если другая сторона запрашивает личную или чувствительную информацию, такую как номер вашей кредитной карты, НЕ предоставляйте ее.
Ни одна законная компания никогда не будет запрашивать чувствительную информацию через электронную почту или личные сообщения. Потому что чувствительная информация именно такова — чувствительная для вашей личности, и только вы должны ее знать.
99,99% всех электронных писем, запрашивающих такую информацию, — это атаки с уловкой. Оставшиеся 0,01% — это либо непрофессиональные компании, либо компании, столкнувшиеся с особенно серьезными проблемами безопасности.
- Адрес или домен отправителя являются фальшивыми
Когда вы получаете странное письмо от кого-то, кого вы знаете (даже вашего начальника), посмотрите на его адрес электронной почты или домен.
Затем сравните его с реальным адресом из вашего списка контактов. Они совпадают? Или адрес, используемый в письме, немного отличается?
Возможно, в нем одна дополнительная буква, или используется Caps Lock, или одна из букв удвоена. Это адрес электронной почты для фишинга, тщательно (или нет) созданный для обмана вас.
2. Образовательные меры и технологические средства защиты
Поскольку атаки с уловкой являются подкатегорией атак фишинга, я направлю вас на мой руководство по атакам фишинга.
Методы предотвращения и признаки красной тревоги абсолютно одинаковы для обоих:
- Ошибки в грамматике
- Присутствие неожиданных вложений
- Присутствие Caps Lock в странных местах
- Срочный тон
Поставщик премиальных антивирусных услуг поможет вам предотвратить инфицирование, если вы случайно подпадете под атаку с уловкой и скачаете вредоносное программное обеспечение.
Вы также можете выбрать более приватного и безопасного почтового провайдера, такого как Proton. Их фильтры для электронной почты лучше подходят для выявления потенциального спама и фишинговых атак (письма будут автоматически отправлены в спам).
Это даст вам лучшее представление о том, что ожидать от этих писем. Но будьте осторожны — не все письма в вашей папке со спамом являются письмами фишинга.
Фильтры для электронной почты не всегда абсолютно точны, так что они могут ошибаться.
Заключение
Атаки с уловкой являются наиболее распространенной формой атак фишинга. Они используют психологию, чтобы обмануть вас и заставить перейти по инфицированной ссылке или скачать вредное вложение.
Однако они также одними из самых простых атак, с которыми можно справиться. Для того чтобы сделать атаку с уловкой бесполезной, вам нужно всего лишь две вещи:
- Кибер-осведомленность – Если вы знаете, что атака с уловкой — это атака с уловкой, вы не попадетесь на нее
- Самоконтроль – Прежде чем понять, с чем вы имеете дело, не действуйте импульсивно. Письма с уловкой создают искусственную срочность, чтобы заставить вас принимать импульсивные решения
Всерьез говоря, вам нужно всего лишь эти две вещи, чтобы больше никогда не поддаваться атаке с уловкой.
Однако не всегда легко узнать, как определить атаку с уловкой. Поэтому воспользуйтесь этим руководством (и другим обобщенным руководством о фишинге), чтобы научиться этому!
Источники
CRN – Пентагон подтверждает кибератаку 2008 года против Вооруженных сил США
CSO Online – Подробности о Stuxnet: первом известном кибероружии
Gizmodo – Внутренняя история того, как был обнаружен Stuxnet
JPost – Вирус «Stuxnet» замедлил ядерную программу Ирана на 2 года
CS Monitor – Кража бизнес-секретов США: эксперты выявили две огромные кибербанды в Китае
Google Blog – Новый подход к Китаю
Privacy Affairs – Почему фишинг так распространен и как защититься?