Обнаружение фишинговых ресурсов: рекомендации от StopPhish

Эксперт StopPhish делится своим опытом в выявлении фишинговых ресурсов. Эти знания будут полезны для тех, кто занимается обеспечением безопасности организаций, а также для белых хакеров, которые хотят потренироваться в исследовании мошеннических сайтов.

Как это было: пример исследования фишингового сайта

В очередной раз, не ради любопытства, а с целью поиска новых фишинговых образцов, эксперт StopPhish изучал песочницу для анализа подозрительных файлов и ссылок. В процессе анализа была обнаружена фишинговая ссылка, которую можно увидеть здесь: ссылка на песочницу.Фишинговая ссылка выглядела следующим образом (часть ссылки была сокращена, чтобы не перегружать контент): https://elekente<.>top/verifyi…yJekpXM/index.html#br11@mаriа-ra.ru.В этой фишинговой форме автоматически подставлялся email жертвы, а пользователю оставалось лишь ввести пароль, что делало ее типичным примером фишинга для кражи учетных данных.

Использование инструментов для анализа фишинговых ресурсов

Следующим шагом стало изучение IP-адреса, на котором размещен сайт elekente.tор. Используя сервис SUIР.biz, был выявлен IP сайта — 193.25.216.10.Далее через этот же сервис был произведен поиск других сайтов, расположенных на данном IP. И результаты не заставили себя ждать — была обнаружена целая сеть фишинговых сайтов, среди которых:

www.userbris.tор

www.unsatake.tор

www.themedevisers.соm

www.qfsledgersfirm.соm

www.icenitre.tор

www.estosivo.tор

www.elevemie.tор

www.acctcheck.tор

и другие...

В общей сложности, на одном IP были найдены 27 фишинговых доменов, каждый из которых использовал одну и ту же фишинговую форму авторизации.

К каждому домену добавлялась ссылка формата "/verifying_email/bapi/composite/v1/private/message/view_bEt=eyJhbGciOiJIUzI1NiJ9.eyJjd..., и по этой ссылке можно было увидеть одну и ту же фальшивую форму для ввода учетных данных.

Дальнейшие действия: отправка жалоб

Для тех, кто хочет более глубоко исследовать эти сайты, пентестеры могут потренироваться, изучая админки данных ресурсов. А что касается блокировки фишинговых доменов, StopPhish отправил жалобы их регистратору доменов — компании NameSilo. Адрес для жалоб был найден через сервис Whois, и соответствующие уведомления были направлены.

Возможно, 27 доменов разделегируют, тогда мир на время станет чуть-чуть безопаснее.

Вывод

Этот пример наглядно показывает, насколько важно быть внимательными при работе с подозрительными ссылками и доменами. Добавление таких ресурсов в черные списки организации и регулярный мониторинг — неотъемлемая часть кибербезопасности.

Надеемся, что данная информация будет полезна, и мы сможем сделать интернет чуть более безопасным.

Всем добра!

Киберпреступники все чаще используют доверие сотрудников к VPN-сервисам для проведения фишинговых атак. Притворяясь поставщиками VPN, которыми пользуются компании, они получают доступ к корпоративным сетям. По данным исследовательской группы GuidePoint (GRIT), более 130 организаций в США уже стали жертвами таких атак.

Как работает эта атака?

С июня 2024 года злоумышленники регистрируют домены, похожие на названия популярных VPN-провайдеров. Затем они звонят сотрудникам целевых организаций на мобильные телефоны, представляясь сотрудниками службы технической поддержки, и заявляют, что решают проблемы с входом в VPN.

Если сотрудник попадается на уловку, ему отправляют ссылку через SMS, ведущую на поддельный сайт VPN. На этом сайте киберпреступники собирают данные для входа, включая логины, пароли и даже токены многофакторной аутентификации (MFA).

Если используется MFA, злоумышленники часто просят сотрудника одобрить push-уведомление, что позволяет преступникам получить полный доступ к корпоративной сети. Чтобы усилить иллюзию успешного решения проблемы, после ввода данных сотрудника перенаправляют на настоящий сайт VPN.

Важность обучения сотрудников в сфере кибербезопасности

Атаки социальной инженерии, подобные описанным, особенно сложно выявить, так как они часто обходят традиционные средства безопасности, такие как антивирусы и межсетевые экраны. Злоумышленники используют личные мобильные телефоны и SMS-коммуникации, что снижает вероятность обнаружения.

В этом контексте становится крайне важным обучение сотрудников кибербезопасности. Повышение осведомленности о фишинговых тактиках, обучение распознаванию поддельных сайтов и понимание методов работы атакующих могут значительно снизить риск успешных взломов. Компании должны регулярно проводить обучение по кибербезопасности, особенно для сотрудников, имеющих доступ к конфиденциальным данным или корпоративным VPN.

Кроме того, развитие культуры безопасности внутри компании, где сотрудники поощряются к сообщению о подозрительных звонках, SMS и письмах, поможет ИТ-отделам своевременно реагировать на потенциальные угрозы и предотвращать дальнейшие компрометации.

Как защититься от этих атак

Организациям рекомендуется регулярно мониторить логи VPN на предмет необычной активности, например, подозрительных входов с неизвестных IP-адресов. При обнаружении признаков компрометации необходимо немедленно провести расследование и принять меры для защиты сети от дальнейших атак.

Менеджера по персоналу IT-компании обманули мошенники, заставив купить подарочные карты на сумму 10 лахов рупий (около 12,048 долларов США). Мошенники убедили её, что эти карты нужны в качестве подарков для сотрудников.

В результате атаки, известной как "whaling" или фишинговая афера генерального директора, мошенники, выдавая себя за руководителя компании, связались с HR через WhatsApp. Мошенники представились генеральным директором фирмы, базирующимся в США, и на фотографии профиля под этим номером было лицо генерального директора. В сообщении говорилось, что он занят на конференции и не хотел бы, чтобы его беспокоили.

В сообщении менеджеру по персоналу предписывалось приобрести подарочные карты Apple на Amazon, которые должны были быть вручены в качестве подарков всем сотрудникам фирмы.HR выполнила просьбу, купила 100 ваучеров на Amazon и отправила мошенникам.

Затем человек попросил ее приобрести еще 100 и отправить все эти подарочные карты на адрес электронной почты, который он ей отправил. Менеджер по персоналу приобрела еще 100 карт, проконсультировавшись с высокопоставленным сотрудником компании из Индии. Некоторое время спустя, когда другой сотрудник спросил заявительницу, как она отправила подарочные карты, она дала ему почтовый адрес, на который ее заставили отправить карты.

Именно в этот момент стало ясно, что фирма была обманута киберпреступниками, использовавшими мошеннический номер и фальшивый адрес электронной почты генерального директора компании.

С июля прошлого года полиция Пуны зафиксировала около 10 подобных атак. В одном из случаев институт из Пуны потерял 1 крор рупий (около 120,482 долларов США), а в другом — компания по недвижимости потеряла 4 крора рупий (около 481,929 долларов США).

Эти случаи показывают, насколько важно обучать сотрудников основам кибербезопасности и методам защиты от фишинговых атак. Постоянное обучение может помочь предотвратить подобные инциденты и повысить уровень безопасности в компаниях.