Уловка по-русски: истинное лицо фишинга

Разговор о том, что такое фишинг, стоит начать с терминологии: выяснить, что это за слово – фишинг - и что оно означает. Откуда в русском языке появилось слово на букву «ф»?


Фишинг – это прямая калька с английского to fish, fishing. Неологизм, к сожалению, не несет никакой смысловой нагрузки; пустой термин для подавляющего большинства специалистов в сфере информационной безопасности, исключая экспертов.

Причина, по которой одно и то же слово в английском языке означает рыбалку и один из видов мошенничества, проста: многие уловки злоумышленников похожи на методы, которыми рыбаки осваивают природные ресурсы. Мошенники отправляют огромному количеству пользователей (массовая рассылка) сообщения со ссылкой на вредоносный сайт (как рыбак закидывает сеть в море). Мошеннику, как и рыбаку, не нужно следить за процессом ловли, как и за каждой отдельной рыбой, ведь сеть по своей конструкции так устроена, что в неё обязательно попадется рыба.

Пример массового фишинга: на e-mail десятков тысяч людей приходит письмо со ссылкой, которая ведет на несущий потенциальную угрозу сайт, замаскированный под условные «Госуслуги». Переход пользователя по ссылке на сайт злоумышленника – то же самое, что попадание рыбы в сеть рыбака (пользователь попадается на уловку мошенника).

Несмотря на необычную историю происхождения термина и сопутствующие рыболовческие метафоры, большинство сотрудников сферы ИБ ни во времена «появления фишинга», ни сейчас не задумываются о происхождении этого слова.

Поэтому вместо условных «программного и аппаратного обеспечения» («software and hardware») мы получаем транслитерацию слова, которым обозначают рыбалку и которое нашло новое значение в сфере информационных технологий.

Учитывая, что явление с каждым днём становится актуальней (практически каждый сталкивается с мошенником минимум раз в неделю), стоит для более точной и ясной коммуникации дать прямой перевод термина «фишинг» - «уловка».

Уловка – это злонамеренное поведение, целью которого является нарушение целостности и обретения несанкционированного доступа к конфиденциальной информации. Конечной целью уловок чаще всего является кража данных, но бывают и другие цели: например, шифрование данных.

Мошенники-фишеры забрасывают «сети» и собирают «улов». И пользуются для этого уловками.

Метафору с рыбной ловлей можно продолжить в другом масштабе. У нас есть «мелкая рыба», которую ловишь сотнями в большую сеть, но и цена этой рыбы ниже. А есть «рыба покрупнее», которую ловят индивидуально и на спиннинг, ведь её поведение избегает ситуаций, когда рыба может попасться в сеть.

Впрочем, для рыбы оба варианта заканчиваются одинаково, как и для данных пользователя. В сфере ИБ пример «спиннинга» - это навыки социальной инженерии, проще говоря, человеческой психологии, которую мошенники используют при работе тет-а-тет с человеком. Знание практической стороны человеческой психологии позволяет разработать индивидуальный подход, чтобы красть более специфические и более ценные данные.

Кроме навыков социальной инженерии есть и другие «спиннинги», наживку с которых проглатывает необученный основам ИБ персонал, чем неминуемо влечет за собой убытки: заражённые электронные устройства (в том числе и флешки), информация о личной почте и мобильном телефоне человека.

Мы, как и рыбы, часто не замечаем, что попали в сеть или «на крючок». И, чтобы быть начеку и перестать быть «рыбой» в чужой воде, чтобы продолжить развитие вашей киберосознанности, мы предлагаем свою простую классификацию уловок, которыми пользуются злоумышленники в своей деятельности. Она не лишена условностей, как и все классификации, но позволяет в целом рассмотреть со стороны путь, по которому злоумышленник проводит пользователя.

Глобально уловки можно разделить на цифровые онлайн-уловки и на физические офлайн-уловки.

Начнем со второй группы как с достаточно неочевидной для многих людей, которые не работают в сфере информационной безопасности. Офлайн-уловки можно разделить по типу проникновения: проникновение через устройство и проникновение через общение.

Банальный пример уловки с устройством: зараженная флешка, на которой есть исполняемый файл, на первый взгляд похожий на рабочий документ. Это первый вариант уловки с зараженным устройством. Второй вариант – это когда даже на файл нажимать не надо, и само подключение флешки уже запускает ненужную и вредную программу.

Здесь крючок – это флешка, попасть на крючок – это вставить её в компьютер, а самим уловом является зараженное флешкой устройство.

Чтобы не быть «рыбой», знайте в лицо свои флешки и никогда не пользуйтесь на работе непроверенными.

Второй тип физических офлайн уловок – это социальная инженерия или манипулирование в рамках общения. Самый распространенный тип в наше время – звонок мошенника от лица банка. Менее распространенный – разговор вживую, чаще всего тет-а-тет.

Оба сценария приводят к одному из двух вариантов событий. Первый вариант простой: лицо, представляющее интерес мошенника, мотивирует вас использовать его зараженное устройство.

Второй вариант – это дальнейшая коммуникация злоумышленника через призыв к действию, CTA (call to action). Призыв к действию - кульминация действий злоумышленника. Вся предыдущая «обработка» была для того, чтобы призыв был услышан и действие совершено. Чаще всего действие приводит к потере данных, краже данных злоумышленником, нарушению целостности информационной системы жертвы.

Распространенные типы призывов к действию (CTA):

1. Один самых частых офлайн-CTA – просьба передать данные банковской карты.
2. Другой распространенный CTA – переслать деньги во время вымогательства, когда хакер шантажирует несуществующей атакой на компанию.
3. Третий тип CTA – это призыв передать конфиденциальную информацию о другом лице. Своеобразное «перемещение по пищевой цепочке», когда через «офисный планктон» выходят на «большую рыбу» - босса. Как пример: когда у младшего подчиненного спрашивают личный e-mail адрес его босса, который проще взломать, чем рабочий.

Это основные физические офлайн-уловки, которые нужно знать в реальной жизни. Умение отслеживать их – это офлайн-киберосознанность.

Но чаще всего, когда речь идет об уловках в корпоративной среде, мы имеем дело с цифровыми уловками.

Глобально их можно разделить на два типа:

A. Уловки в почте
B. Уловки на сайтах.

Уловки в почте либо просят нас скачать файл и запустить его (как в случае с файлом на флешке в офлайн-уловке), либо создают офлайн-CTA (их мы описали выше), либо отправляют на сайт (второй вариант).

Уловки на сайтах (B) дублируют все описанные выше мошеннические схемы и добавляют еще два возможных варианта событий:

1. Заполнение форм (кража данных через мимикрию под доверенные сайты)
2. Запуск вредоносных скриптов или приложений.

И если в случае со 2-м пунктом, эксплойтами и скриптами вы, скорее всего, даже не заметите, что были атакованы, то в случае с заполнением форм (1) злоумышленники пользуются недостатком внимания и доверчивостью пользователей. Сейчас подделываются все сайты: от сайта банков до сайта условных Госуслуг. Сайт ненастоящий, а данные вашей карты, ваш логин и пароль – вполне реальны. Хакер даже не крадет информацию – он ставит пользователя в такую ситуацию, в которой юзеру неминуемо приходится ей (информацией) делится, даже не понимая всей опасности происходящего.

Классификацию можно продолжать бесконечно, но суть не в самой классификации, а в том, чтобы поддерживать киберосознанность и быть бдительным.

Кто владеет информацией – владеет миром. Мы учим бдительности и помогаем вам защищать ваши инвестиции – вашу информацию. Не дайте мошенникам ни единого шанса, повышайте свою киберосознанность с Phishman.