Проверьте навыки своих сотрудников
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Обзор новостей социальной инженерии
1
Обнаружение фишинговых ресурсов: рекомендации от StopPhish
Эксперт StopPhish делится своим опытом в выявлении фишинговых ресурсов. Эти знания будут полезны для тех, кто занимается обеспечением безопасности организаций, а также для белых хакеров, которые хотят потренироваться в исследовании мошеннических сайтов.
Как это было: пример исследования фишингового сайта
В очередной раз, не ради любопытства, а с целью поиска новых фишинговых образцов, эксперт StopPhish изучал песочницу для анализа подозрительных файлов и ссылок. В процессе анализа была обнаружена фишинговая ссылка, которую можно увидеть здесь: ссылка на песочницу.Фишинговая ссылка выглядела следующим образом (часть ссылки была сокращена, чтобы не перегружать контент): https://elekente<.>top/verifyi…yJekpXM/index.html#br11@mаriа-ra.ru.
В этой фишинговой форме автоматически подставлялся email жертвы, а пользователю оставалось лишь ввести пароль, что делало ее типичным примером фишинга для кражи учетных данных.
Использование инструментов для анализа фишинговых ресурсов
Следующим шагом стало изучение IP-адреса, на котором размещен сайт elekente.tор. Используя сервис SUIР.biz, был выявлен IP сайта — 193.25.216.10.Далее через этот же сервис был произведен поиск других сайтов, расположенных на данном IP. И результаты не заставили себя ждать — была обнаружена целая сеть фишинговых сайтов, среди которых:
www.userbris.tор
www.unsatake.tор
www.themedevisers.соm
www.qfsledgersfirm.соm
www.icenitre.tор
www.estosivo.tор
www.elevemie.tор
www.acctcheck.tор
и другие.
В общей сложности, на одном IP были найдены 27 фишинговых доменов, каждый из которых использовал одну и ту же фишинговую форму авторизации.
К каждому домену добавлялась ссылка формата "/verifying_email/bapi/composite/v1/private/message/view_bEt=eyJhbGciOiJIUzI1NiJ9.eyJjd..., и по этой ссылке можно было увидеть одну и ту же фальшивую форму для ввода учетных данных.
Дальнейшие действия: отправка жалоб
Для тех, кто хочет более глубоко исследовать эти сайты, пентестеры могут потренироваться, изучая админки данных ресурсов. А что касается блокировки фишинговых доменов, StopPhish отправил жалобы их регистратору доменов — компании NameSilo. Адрес для жалоб был найден через сервис Whois, и соответствующие уведомления были направлены.
Возможно, 27 доменов разделегируют, тогда мир на время станет чуть-чуть безопаснее.
Вывод
Этот пример наглядно показывает, насколько важно быть внимательными при работе с подозрительными ссылками и доменами. Добавление таких ресурсов в черные списки организации и регулярный мониторинг — неотъемлемая часть кибербезопасности.
Надеемся, что данная информация будет полезна, и мы сможем сделать интернет чуть более безопасным.
Всем добра!
Как это было: пример исследования фишингового сайта
В очередной раз, не ради любопытства, а с целью поиска новых фишинговых образцов, эксперт StopPhish изучал песочницу для анализа подозрительных файлов и ссылок. В процессе анализа была обнаружена фишинговая ссылка, которую можно увидеть здесь: ссылка на песочницу.Фишинговая ссылка выглядела следующим образом (часть ссылки была сокращена, чтобы не перегружать контент): https://elekente<.>top/verifyi…yJekpXM/index.html#br11@mаriа-ra.ru.
В этой фишинговой форме автоматически подставлялся email жертвы, а пользователю оставалось лишь ввести пароль, что делало ее типичным примером фишинга для кражи учетных данных.
Использование инструментов для анализа фишинговых ресурсов
Следующим шагом стало изучение IP-адреса, на котором размещен сайт elekente.tор. Используя сервис SUIР.biz, был выявлен IP сайта — 193.25.216.10.Далее через этот же сервис был произведен поиск других сайтов, расположенных на данном IP. И результаты не заставили себя ждать — была обнаружена целая сеть фишинговых сайтов, среди которых:
www.userbris.tор
www.unsatake.tор
www.themedevisers.соm
www.qfsledgersfirm.соm
www.icenitre.tор
www.estosivo.tор
www.elevemie.tор
www.acctcheck.tор
и другие.
В общей сложности, на одном IP были найдены 27 фишинговых доменов, каждый из которых использовал одну и ту же фишинговую форму авторизации.
К каждому домену добавлялась ссылка формата "/verifying_email/bapi/composite/v1/private/message/view_bEt=eyJhbGciOiJIUzI1NiJ9.eyJjd..., и по этой ссылке можно было увидеть одну и ту же фальшивую форму для ввода учетных данных.
Дальнейшие действия: отправка жалоб
Для тех, кто хочет более глубоко исследовать эти сайты, пентестеры могут потренироваться, изучая админки данных ресурсов. А что касается блокировки фишинговых доменов, StopPhish отправил жалобы их регистратору доменов — компании NameSilo. Адрес для жалоб был найден через сервис Whois, и соответствующие уведомления были направлены.
Возможно, 27 доменов разделегируют, тогда мир на время станет чуть-чуть безопаснее.
Вывод
Этот пример наглядно показывает, насколько важно быть внимательными при работе с подозрительными ссылками и доменами. Добавление таких ресурсов в черные списки организации и регулярный мониторинг — неотъемлемая часть кибербезопасности.
Надеемся, что данная информация будет полезна, и мы сможем сделать интернет чуть более безопасным.
Всем добра!
2
Фишинговые атаки через поддельные VPN: как киберпреступники нацеливаются на компании
Воспользуйтесь бесплатными материалами от StopPhish для проверки и обучения сотрудников.
Киберпреступники все чаще используют доверие сотрудников к VPN-сервисам для проведения фишинговых атак. Притворяясь поставщиками VPN, которыми пользуются компании, они получают доступ к корпоративным сетям. По данным исследовательской группы GuidePoint (GRIT), более 130 организаций в США уже стали жертвами таких атак.
Как работает эта атака?
С июня 2024 года злоумышленники регистрируют домены, похожие на названия популярных VPN-провайдеров. Затем они звонят сотрудникам целевых организаций на мобильные телефоны, представляясь сотрудниками службы технической поддержки, и заявляют, что решают проблемы с входом в VPN.
Если сотрудник попадается на уловку, ему отправляют ссылку через SMS, ведущую на поддельный сайт VPN. На этом сайте киберпреступники собирают данные для входа, включая логины, пароли и даже токены многофакторной аутентификации (MFA).
Если используется MFA, злоумышленники часто просят сотрудника одобрить push-уведомление, что позволяет преступникам получить полный доступ к корпоративной сети. Чтобы усилить иллюзию успешного решения проблемы, после ввода данных сотрудника перенаправляют на настоящий сайт VPN.
Важность обучения сотрудников в сфере кибербезопасности
Атаки социальной инженерии, подобные описанным, особенно сложно выявить, так как они часто обходят традиционные средства безопасности, такие как антивирусы и межсетевые экраны. Злоумышленники используют личные мобильные телефоны и SMS-коммуникации, что снижает вероятность обнаружения.
В этом контексте становится крайне важным обучение сотрудников кибербезопасности. Повышение осведомленности о фишинговых тактиках, обучение распознаванию поддельных сайтов и понимание методов работы атакующих могут значительно снизить риск успешных взломов. Компании должны регулярно проводить обучение по кибербезопасности, особенно для сотрудников, имеющих доступ к конфиденциальным данным или корпоративным VPN.
Кроме того, развитие культуры безопасности внутри компании, где сотрудники поощряются к сообщению о подозрительных звонках, SMS и письмах, поможет ИТ-отделам своевременно реагировать на потенциальные угрозы и предотвращать дальнейшие компрометации.
Как защититься от этих атак
Организациям рекомендуется регулярно мониторить логи VPN на предмет необычной активности, например, подозрительных входов с неизвестных IP-адресов. При обнаружении признаков компрометации необходимо немедленно провести расследование и принять меры для защиты сети от дальнейших атак.
Как работает эта атака?
С июня 2024 года злоумышленники регистрируют домены, похожие на названия популярных VPN-провайдеров. Затем они звонят сотрудникам целевых организаций на мобильные телефоны, представляясь сотрудниками службы технической поддержки, и заявляют, что решают проблемы с входом в VPN.
Если сотрудник попадается на уловку, ему отправляют ссылку через SMS, ведущую на поддельный сайт VPN. На этом сайте киберпреступники собирают данные для входа, включая логины, пароли и даже токены многофакторной аутентификации (MFA).
Если используется MFA, злоумышленники часто просят сотрудника одобрить push-уведомление, что позволяет преступникам получить полный доступ к корпоративной сети. Чтобы усилить иллюзию успешного решения проблемы, после ввода данных сотрудника перенаправляют на настоящий сайт VPN.
Важность обучения сотрудников в сфере кибербезопасности
Атаки социальной инженерии, подобные описанным, особенно сложно выявить, так как они часто обходят традиционные средства безопасности, такие как антивирусы и межсетевые экраны. Злоумышленники используют личные мобильные телефоны и SMS-коммуникации, что снижает вероятность обнаружения.
В этом контексте становится крайне важным обучение сотрудников кибербезопасности. Повышение осведомленности о фишинговых тактиках, обучение распознаванию поддельных сайтов и понимание методов работы атакующих могут значительно снизить риск успешных взломов. Компании должны регулярно проводить обучение по кибербезопасности, особенно для сотрудников, имеющих доступ к конфиденциальным данным или корпоративным VPN.
Кроме того, развитие культуры безопасности внутри компании, где сотрудники поощряются к сообщению о подозрительных звонках, SMS и письмах, поможет ИТ-отделам своевременно реагировать на потенциальные угрозы и предотвращать дальнейшие компрометации.
Как защититься от этих атак
Организациям рекомендуется регулярно мониторить логи VPN на предмет необычной активности, например, подозрительных входов с неизвестных IP-адресов. При обнаружении признаков компрометации необходимо немедленно провести расследование и принять меры для защиты сети от дальнейших атак.
3
Мошенничество с фишингом Whaling: менеджера IT-компании обманули при покупке подарочных карт Apple
Менеджера по персоналу IT-компании обманули мошенники, заставив купить подарочные карты на сумму 10 лахов рупий (около 12,048 долларов США). Мошенники убедили её, что эти карты нужны в качестве подарков для сотрудников.
В результате атаки, известной как "whaling" или фишинговая афера генерального директора, мошенники, выдавая себя за руководителя компании, связались с HR через WhatsApp. Мошенники представились генеральным директором фирмы, базирующимся в США, и на фотографии профиля под этим номером было лицо генерального директора. В сообщении говорилось, что он занят на конференции и не хотел бы, чтобы его беспокоили.
В сообщении менеджеру по персоналу предписывалось приобрести подарочные карты Apple на Amazon, которые должны были быть вручены в качестве подарков всем сотрудникам фирмы.HR выполнила просьбу, купила 100 ваучеров на Amazon и отправила мошенникам.
Затем человек попросил ее приобрести еще 100 и отправить все эти подарочные карты на адрес электронной почты, который он ей отправил. Менеджер по персоналу приобрела еще 100 карт, проконсультировавшись с высокопоставленным сотрудником компании из Индии. Некоторое время спустя, когда другой сотрудник спросил заявительницу, как она отправила подарочные карты, она дала ему почтовый адрес, на который ее заставили отправить карты.
Именно в этот момент стало ясно, что фирма была обманута киберпреступниками, использовавшими мошеннический номер и фальшивый адрес электронной почты генерального директора компании.
С июля прошлого года полиция Пуны зафиксировала около 10 подобных атак. В одном из случаев институт из Пуны потерял 1 крор рупий (около 120,482 долларов США), а в другом — компания по недвижимости потеряла 4 крора рупий (около 481,929 долларов США).
Эти случаи показывают, насколько важно обучать сотрудников основам кибербезопасности и методам защиты от фишинговых атак. Постоянное обучение может помочь предотвратить подобные инциденты и повысить уровень безопасности в компаниях.
В результате атаки, известной как "whaling" или фишинговая афера генерального директора, мошенники, выдавая себя за руководителя компании, связались с HR через WhatsApp. Мошенники представились генеральным директором фирмы, базирующимся в США, и на фотографии профиля под этим номером было лицо генерального директора. В сообщении говорилось, что он занят на конференции и не хотел бы, чтобы его беспокоили.
В сообщении менеджеру по персоналу предписывалось приобрести подарочные карты Apple на Amazon, которые должны были быть вручены в качестве подарков всем сотрудникам фирмы.HR выполнила просьбу, купила 100 ваучеров на Amazon и отправила мошенникам.
Затем человек попросил ее приобрести еще 100 и отправить все эти подарочные карты на адрес электронной почты, который он ей отправил. Менеджер по персоналу приобрела еще 100 карт, проконсультировавшись с высокопоставленным сотрудником компании из Индии. Некоторое время спустя, когда другой сотрудник спросил заявительницу, как она отправила подарочные карты, она дала ему почтовый адрес, на который ее заставили отправить карты.
Именно в этот момент стало ясно, что фирма была обманута киберпреступниками, использовавшими мошеннический номер и фальшивый адрес электронной почты генерального директора компании.
С июля прошлого года полиция Пуны зафиксировала около 10 подобных атак. В одном из случаев институт из Пуны потерял 1 крор рупий (около 120,482 долларов США), а в другом — компания по недвижимости потеряла 4 крора рупий (около 481,929 долларов США).
Эти случаи показывают, насколько важно обучать сотрудников основам кибербезопасности и методам защиты от фишинговых атак. Постоянное обучение может помочь предотвратить подобные инциденты и повысить уровень безопасности в компаниях.
Мы в социальных сетях