Фишинг как основной метод социальной инженерии в схемах финансового мошенничества



Атаки с использованием методов социальной инженерии на текущий момент являются одним из самых опасных и распространенных видов атак, нацеленных на нарушение конфиденциальности и получения доступа, поскольку технически они ориентированы на психологические манипуляции. В данной работе была проведено исследование основных аспектов применения методов социальной инженерии в фишинговых атаках и их влияние на финансовый сектор Российской Федерации. Кроме того, были сформированы признаки отнесения интернет-ресурсов к фишинговым.

Ключевые слова: социальная инженерия, фишинг, фишинговые атаки, мошенничество, ДБО, банкинг, атака.

Одним из самых слабых звеньев любой системы защиты является человеческий фактор. Методы социальной инженерии позволяют злоумышленнику незаконно получить пользовательскую информацию, в дальнейшем используемую для финансового мошенничества и кражи личных данных, с минимальными временными затратами.

В настоящее время одним из наиболее распространенных методов социальной инженерии стал фишинг. Стремительное развитие Интернет-технологий дало толчок не только развитию электронной коммерции и различным онлайн-сервисам, но и электронному мошенничеству, кибератакам [1].

Первоначально под фишингом понимались сообщения электронной почты, схожие с сообщениями от легальных организаций, Интернет-ресурсов и порталов, например, страховых компаний, онлайн-магазинов, социальных сетей. В подобных сообщениях пользователю предлагается совершить какое-либо действие (например, подтвердить учетную запись), при этом пользователя мотивируют чувствами срочности или выгоды (например, блокировка учетной записи, получение подарка от компании). Дальнейшим развитием стало создание фишинговых сайтов, рассылка сообщений в популярных мессенджерах.

На фишинг, связанный с финансовым сектором, в последние годы приходится значительная доля, так в 2017 году его показатели превысили уровень в 50 % [1]. Согласно данным по спаму и фишингу в 2018 году на финансовый сектор пришлось 35,72 % фишинговых атак [2]. По данным Центрального банка Российской Федерации [3], на 01.01.2019 в более чем 93 % открытых клиентами (физическими и юридическими лицами) в России счетов в кредитно-финансовых организациях подключена возможность получения доступа через сеть Интернет, что ставит вопрос финансового фишинга более объемным и проблемным как для клиентов, так и для организаций.

Рис. 1. Доля финансового фишинга в общем количестве

Фишинг можно разделить на три группы [4]:

– почтовый;

– онлайновый;

– комбинированный.

Стоит отметить, что в чистом виде почтовый фишинг на текущий момент почти не используется. Данный фактор можно связать и как с повышением осведомленности пользователей в вопросах информационной безопасности, так и с появлением более эффективных вида фишинга — комбинированного.

Почтовый фишинг

При реализации почтового фишинга злоумышленниками осуществляется рассылка почтовых сообщений, побуждающих пользователей к отправке конфиденциальных данных, например, логина и пароля. Для увеличения эффективности злоумышленниками может применяться спуфинг — подменный почтовый заголовок. Данный метод позволяет скрыть реального отправителя сообщения и выдать отправителя сообщения за существующего и вероятно знакомого пользователям, не вызывающего недоверия.

Стоит отметить, что в настоящее время почтовый фишинг преимущественно применяется для доставки полезной нагрузки, находящейся во вложении. Целью злоумышленников в подобных рассылках является создание сообщений, побуждающих пользователя открыть вложение.

Онлайновый фишинг

Зачастую фишинговые Интернет-ресурсы являются подделкой официального сайта известных компаний, так называемый brand spoofing. Целью создания таких ресурсов является получение логинов и паролей (от сайтов, почтовых сервисов, социальных сетей и иных интернет-сервисов), получение денежных средств под видом продажи услуг/товаров или осуществления денежных переводов, сбор данных о банковских счетах и картах. Для компаний подобный фишинга также несет репутационные риски.

Наиболее распространенные виды фишинговых Интернет-ресурсов, создаваемых и использующихся злоумышленниками в России, представлены на рис.2.

Рис. 2. Виды фишинговых сайтов

При отнесении Интернет-ресурсов к категории фишинговых можно выделить следующие признаки:

– у организации, осуществляющей продажу товаров или оказание лицензируемых услуг, отсутствует лицензия;

– об организации, осуществляющей продажу товаров или оказание лицензируемых услуг, отсутствует информация в справочниках и реестрах уполномоченных органов государственной власти;

– при перечислении денежных средств в счет оплаты оформленного заказа платеж осуществляется в пользу третьего лица;

– название сайта/компании и/или дизайн сайта схож или полностью копирует сайт существующей организации (при этом информационный ресурс не является официальным и не имеет никакого отношения к организации).

Изначально онлайновый фишинг был заточен под сбор конфиденциальных данных пользователей, в последние годы вектор смещается на непосредственное выманивание денежных средств.

Комбинированный фишинг

Как уже было сказано выше, на текущий момент почтовый фишинг не применяется в чистом виде.

Нагрузка комбинированного фишинга:

– вложение, представляющее собой вредоносное программное обеспечение;

– вложение, представляющее собой рекламу псевдо-продукта, обычно в тексте размещается ссылка на Интернет-ресурс или контакты злоумышленников;

– ссылка на скачивание вредоносного программного обеспечения;

– ссылка на скачивание файла, представляющего собой рекламу псевдо-продукта;

– ссылка на фишинговый Интернет-ресурс.

Комбинированный фишинг в большинстве случаев является первым этапом сложных атак с применением методов социальный инженерии. Например, комбинированный фишинг применяется в атаках по распространению банковских троянов семейства RTM и Dimnie [6].

Заключение

Поскольку отдельные конфиденциальные данные физических лиц, как и инфраструктура организаций становится все более уязвимыми из-за атак, воздействующих на человеческие эмоции, возможно, приходит время для целенаправленного инвестирования в повышение осведомленности граждан, а также работников и клиентов организаций в вопросах финансовой грамотности и информационной безопасности. Безусловно данный вопрос должен поднимать и на государственном уровне, что уже начинает происходить сейчас. Нет сомнений, что знание работника организации о том, каким образом он может стать частью сложной целевой атаки на организацию, или знание гражданина о том, каким атакам он может подвергнуться атаке во время различных операций и действий в сети Интернет, положительно влияет на снижение уровня успешных фишинговых атак и увеличивает самосознание гражданами возможных последствий их действий.

Литература:

1. Гуськова А. М. Особенности инцидентов информационной безопасности в кредитно-финансовых организациях // Сборник трудов Восьмой всероссийской научно-технической конференции. НУК «Информатика и системы управления». 2017. С. 144–147.

2. Спам и фишинг в 2017 году [Электронный ресурс] // KasperskyLab. — Режим обращения к ресурсу URL: https://securelist.ru/spam-and-phishing-in-2017/88630/ (дата обращения: 25.06.19).

3. Спам и фишинг в 2018 году [Электронный ресурс] // KasperskyLab. — Режим обращения к ресурсу URL: https://securelist.ru/spam-and-phishing-in-2018/93453/ (дата обращения: 25.06.19).

4. Количество счетов с дистанционным доступом, открытых в кредитных организациях [Электронный ресурс] // Центральный банк Российской Федерации. — Режим обращения к ресурсу URL: http://www.cbr.ru/statistics/p_sys/print.aspx?file=sheet009.htm&pid=psrf&sid=ITM_39338 (дата обращения: 25.06.19).

5. Социальная инженерия и социальные хакеры / М. В. Кузнецов, И. В. Симдянов. — СПб.: БХВ-Петербург,. 2007. — 368 с.

6. «Лаборатория Касперского» зафиксировала резкий всплеск атак банковских троянцев Buhtrap и RTM [Электронный ресурс]. — Режим доступа к ресурсу URL: https://www.kaspersky.ru/about/press-releases/2019_buhtrap-and-rtm (дата обращения: 25.06.19).