?

Log in

No account? Create an account
Ющук Евгений Леонидович

Декабрь 2017

Вс Пн Вт Ср Чт Пт Сб
     12
3456789
10111213141516
17181920212223
24252627282930
31      

Конкурентная разведка (Competitive Intelligence)

Теги блога "Конкурентная разведка"

Разработано LiveJournal.com
Ющук Евгений Леонидович

Примеры фишинговых сообщений электронной почты

Оригинал взят у cbetpa в Примеры фишинговых сообщений электронной почты


Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к социальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.

Внимание, под катом много изображений.

К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, как и обещал в комментарии, постараюсь описать основные приемы.

При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.

Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.

Gmail — документы


Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:



Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
(в коде страницы установлен сниффер, который логгирует все заходы на страницу — <img height=0 width=0 src="http://xvxvxvxvxvx.ru/image.php?img="> )
s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097



Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего, форма была сделана с помощью инструмента Social-Engineer Toolkit , в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.

Gmail — недоставленное сообщение


Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?



Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097

Gmail — срочно сменить пароль


Пользователь, какие-то нехорошие личности взломали твой пароль!



Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=

Gmail — ваша почта будет заблокирована


Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:



Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:



Gmail — спам


Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:



Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21

Gmail — черный список


Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:



По ссылке уже известный адрес: google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=

Gmail — пора увеличить объем


Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:



Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/



Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.

Gmail — рабочие моменты


Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:





Ссылка редиректит на домен account-google.ru.com/ServicesLogin/files/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1
[Error: Irreparable invalid markup ('<mpl=default<mplcache=2&emr=1<br>') in entry. Owner must fix manually. Raw contents below.]

Оригинал взят у <lj user="cbetpa" /> в <a href="http://cbetpa.livejournal.com/404833.html">Примеры фишинговых сообщений электронной почты</a><div class="repost"><img src="https://habrastorage.org/files/cc1/6b5/d6e/cc16b5d6ee184d51aedf4cfc7fa9f49f.png" />

Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к <a href="https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D0%B8%D0%BD%D0%B6%D0%B5%D0%BD%D0%B5%D1%80%D0%B8%D1%8F">социальной инженерии</a>. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.

<b>Внимание, под катом много изображений.</b>
<a name="habracut"></a>
К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, <a href="http://habrahabr.ru/company/pentestit/blog/270633/#comment_8651069">как и обещал в комментарии</a>, постараюсь описать основные приемы.

При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю &mdash; я создал ящик и &laquo;заказал&raquo; его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.

Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести &mdash; не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.
<h2></h2><lj-cut><h2>Gmail &mdash; документы</h2>
Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:

<img src="https://habrastorage.org/files/dcc/7ef/6c7/dcc7ef6c74474224a4df6ef86c68349f.png" />

Хотя адрес &laquo;документов&raquo; ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
(в коде страницы установлен сниффер, который логгирует все заходы на страницу &mdash; <code> &lt;img height=0 width=0 src=&quot;http://xvxvxvxvxvx.ru/image.php?img=&quot;&gt; </code>)
<a href="http://s-mail-google.com/myaccount/ru/index.php?id=&amp;/id=20154748705121097">s-mail-google.com/myaccount/ru/index.php?id=&amp;/id=20154748705121097</a>

<img src="https://habrastorage.org/files/539/fad/6d5/539fad6d5f8b49cfae052e97fd1a58e7.png" />

Обратите внимание на старый логотип Google на фишинговой странице &mdash; многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего, форма была сделана с помощью инструмента <a href="https://github.com/trustedsec/social-engineer-toolkit">Social-Engineer Toolkit </a>, в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.

<h2>Gmail &mdash; недоставленное сообщение</h2>
Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?

<img src="https://habrastorage.org/files/8a6/368/8ad/8a63688adf77415bb6a31de0b78854d7.png" />

Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: <a href="http://s-mail-google.com/myaccount/ru/index.php?id=&amp;/id=20154748705121097">s-mail-google.com/myaccount/ru/index.php?id=&amp;/id=20154748705121097</a>

<h2>Gmail &mdash; срочно сменить пароль</h2>
Пользователь, какие-то нехорошие личности взломали твой пароль!

<img src="https://habrastorage.org/files/bb8/637/8b2/bb86378b278b4880a38beca61eb6dd01.png" />

Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий: <a href="http://google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=">google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=</a>

<h2>Gmail &mdash; ваша почта будет заблокирована</h2>
Вы сделали что-то неправильно (ведь рядовые пользователи &laquo;не разбираются в компьютерах&raquo;), теперь надо все исправить, иначе удалят ящик:

<img src="https://habrastorage.org/files/2b5/e3f/e58/2b5e3fe58c49454ab6d908df85222e90.png" />

Что тут у нас? Опять старый логотип, но есть и кое-что новое &mdash; в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: <a href="http://w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&amp;fail=1&amp;cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27">w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&amp;fail=1&amp;cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27</a> и попадает на &laquo;персональную страничку&raquo;:

<img src="https://habrastorage.org/files/0eb/b7b/bac/0ebb7bbaca0b4dc386e180dc311367a0.png" />

<h2>Gmail &mdash; спам</h2>
Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:

<img src="https://habrastorage.org/files/5cf/001/d6a/5cf001d6a26640f7a684376806a2c1f2.png" />

Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: <a href="http://s-mail-google.com/u/0/accounts/index.php?id=&amp;/id=d7115e86e7423e7aea202cebf544de21">s-mail-google.com/u/0/accounts/index.php?id=&amp;/id=d7115e86e7423e7aea202cebf544de21</a>

<h2>Gmail &mdash; черный список</h2>
Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:

<img src="https://habrastorage.org/files/aeb/39b/aaa/aeb39baaac734ece9653d7290b124459.png" />

По ссылке уже известный адрес: <a href="http://google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=">google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=</a>

<h2>Gmail &mdash; пора увеличить объем</h2>
Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:

<img src="https://habrastorage.org/files/37b/388/9aa/37b3889aa7a24d6e986c9dad7d98eeaf.png" />

Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка &laquo;изменить&raquo; неактивна, но самое интересное дальше: <a href="http://account-google.ru.com/ServicesLogin/settings/?account=privethabr&amp;?service=mail&amp;passive=true&amp;rm=false&amp;continue=https">account-google.ru.com/ServicesLogin/settings/?account=privethabr&amp;?service=mail&amp;passive=true&amp;rm=false&amp;continue=https</a>://mail.google.com/mail/

<img src="https://habrastorage.org/files/a23/f3f/ade/a23f3fadeb8d4c3fbb8d5496f2cb144e.png" />

Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.

<h2>Gmail &mdash; рабочие моменты</h2>
Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:

<img src="https://habrastorage.org/files/487/35a/730/48735a73027c477c8cba8dfe45b39d61.png" />

<img src="https://habrastorage.org/files/2f2/938/75d/2f293875d61b4b4f909b282fa8015c4f.png" />

Ссылка редиректит на домен <a href="http://account-google.ru.com/ServicesLogin/files/?account=privethabr&amp;?service=mail&amp;passive=true&amp;rm=false&amp;continue=https">account-google.ru.com/ServicesLogin/files/?account=privethabr&amp;?service=mail&amp;passive=true&amp;rm=false&amp;continue=https</a>://mail.google.com/mail/&amp;ss=1&amp;scc=1<mpl=default<mplcache=2&emr=1<br></mpl=default<mplcache=2&emr=1<br>
<img src="https://habrastorage.org/files/b15/932/e73/b15932e736db4367be09c57e9fa06aa2.png" />

Первая форма, на которой стоит новый логотип.

<h2>Mail.ru &mdash; рабочие моменты</h2>
Похож на способ указанный выше, прислали какие-то документы, вариаций может быть довольно много:

<img src="https://habrastorage.org/files/a64/6cd/0df/a646cd0df56f46c6b7a0054d9784b8d8.png" />

<img src="https://habrastorage.org/files/787/59d/140/78759d14029d405e8ffd15aa63d0d3ce.png" />

<img src="https://habrastorage.org/files/647/60a/4bc/64760a4bc54e45558169a8dd628c5609.png" />

Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен &mdash; большинство рядовых пользователей введет свой пароль &laquo;на автомате&raquo;:

<img src="https://habrastorage.org/files/0e0/5aa/e22/0e05aae2275341f6a880b605b58355a8.png" />

<h2>Mail.ru &mdash; сообщение не доставлено</h2>
Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:

<img src="https://habrastorage.org/files/4fc/6ae/800/4fc6ae800d0747a19a16ff458f148ddc.png" />

А там уже знакомая нам форма:

<img src="https://habrastorage.org/files/0e0/5aa/e22/0e05aae2275341f6a880b605b58355a8.png" />

<h2>Mail.ru &mdash; увеличить объем ящика</h2>
Еще один лидер моего хит-парада правдоподобности:

<img src="https://habrastorage.org/files/f26/3d7/b13/f263d7b1371844adb976bcafb55b2623.png" />

При переходе попадаем на форму увеличения объема ящика:

<img src="https://habrastorage.org/files/1d7/d03/bba/1d7d03bbad2943afae5bb7cce112fd9d.png" />

Еще один тип такого письма:

<img src="https://habrastorage.org/files/4b0/61f/fff/4b061ffff59d4fb2a8386bae04423b90.png" />

По ссылке видим форму:

<img src="https://habrastorage.org/files/b16/fcc/3ec/b16fcc3ec33c4b51967550bc0b9d0f55.png" />

Похож на способ указанный выше, но фишинговый домен уже не работает:

<img src="https://habrastorage.org/files/2da/4c5/b59/2da4c5b590ec4c94afde760e5330cd5b.png" />

Ссылка не работает: <a href="http://cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&amp;fail=0&amp;GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8">cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&amp;fail=0&amp;GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8</a>

<h2>Mail.ru &mdash; уведомление о безопасности</h2>
Вашу почту кто-то взломал, срочно бегите менять пароль:

<img src="https://habrastorage.org/files/30c/8b9/2b8/30c8b92b88e14a80a50eaab7c4678767.png" />

Фишинговая ссылка редиректит на <a href="http://pechatay-prosto.ru/js/?Login=privethabr@mail.ru">pechatay-prosto.ru/js/?Login=privethabr@mail.ru</a> (уже не работает).

<h2>Yandex &mdash; уведомление о безопасности</h2>
Не подтвердите аккаунт &mdash; заблокируем почту:

<img src="https://habrastorage.org/files/3d0/a36/49e/3d0a3649efdd4c3a9543caa2a74faae8.png" />

По ссылке форма, с уже подставленным именем учетной записи:

<img src="https://habrastorage.org/files/0f2/258/1bf/0f22581bf4e44b64ad6325fbce0463ef.png" />

<h2>Yandex &mdash; реактивация почтового ящика</h2>
Опять необходимо выполнить какие-то действия:

<img src="https://habrastorage.org/files/b07/6c2/a9c/b076c2a9cd674f408c0e8c00e1d7d818.png" />

Добавлено много &laquo;правдоподобных&raquo; деталей:

<img src="https://habrastorage.org/files/fb8/ed7/a52/fb8ed7a528d04b0fa9c1422b5dbb6c20.png" />

<h2>Рассылка вредоносных файлов/криптолокеров</h2>
Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:

Письмо, содержащее инструкции для &laquo;подтверждения&raquo; доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):

<img src="https://habrastorage.org/files/62e/085/b29/62e085b29ca34af2afe9dfdd9497a5c2.png" />

Письмо из арбитражного суда, содержащее ссылку на криптолокер:

<img src="https://habrastorage.org/files/fd6/85d/fa4/fd685dfa483e487f81635b2af4c04cb4.png" />

Письмо из Сбербанка о выданном кредите (со ссылкой на криптолокер):
<img src="https://habrastorage.org/files/07f/600/b1b/07f600b1b4ed46a98dad13360087263d.png" />

<h2>Правила безопасности</h2>
<ol>
<li>Письмо, побуждающее Вас к каким-то немедленным действиям должно Вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь &mdash; спросите специалистов.</li>
<li>Если Вам что-то навязывают или присылают то, к чему Вы не имеете отношения &mdash; лучше удалить это письмо.</li>
<li>Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов.</li>
<li>Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев Вы получите уведомление по обычной почте.</li>
<li>Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.</li>
</ol>
Эта статья посвящена атаке на рядовых пользователей, в следующей статье я расскажу о фишинговых и социотехнических атаках на корпоративный сектор.

<a href="http://habrahabr.ru/company/pentestit/blog/271123/" target="_blank">Источник</a></lj-cut>

<lj-like buttons="repost,facebook,twitter,vkontakte,google,odnoklassniki,livejournal" /></div>
Подписаться на Telegram канал yushchuk

Comments

Здравствуйте! Ваша запись попала в топ-25 популярных записей LiveJournal уральского региона. Подробнее о рейтинге читайте в Справке.