Особенности киберпреступлений в России: инструменты нападения и защиты информации - страница 12
Рис. 1.2.Входящее письмо от «ООО “Магнит”» с темой «Заказ» в интерфейсе электронной почты
Если владелец электронного адреса откроет данное письмо, то оно будет выглядеть в браузере, как показано на рис. 1.3.
Рис. 1.3.Вид электронного письма
Как можно заметить, тело письма содержит текст «Файл во вложении» и подпись «Алексей Климов».
Интерфейс почтового ящика говорит пользователю о том, что к электронному письму имеется приложение — файл «3.JPG» размером 2,7 Мб, который пользователь может посмотреть или скачать.
В нижней части отображаемого сообщения также содержится миниатюрное изображение присланного файла.
Пользователь автоматически выполняет действие — нажимает на изображение, содержащее манящий текст «посмотреть», «скачать» или изображение — миниатюру документа.
После совершенного действия пользователю открывается следующая страница (см. рис. 1.4), на которой указаны логин пользователя, дополнительная информация о файле, находящемся во вложении, и возможные варианты продолжения действий: скачать, посмотреть.
Рис. 1.4.Страница, отображаемая при переходе по ссылке в письме
При нажатии на кнопку «Продолжить» пользователь наблюдает процесс авторизации и подключения к почтовому серверу, как показано на рис. 1.5.
Рис. 1.5.Процесс авторизации
В силу «технических» причин почтовая система просит пользователя повторить авторизацию. Окно авторизации на рис. 1.6 уже содержит логин пользователя, и требуется только ввести пароль для продолжения.
Рис. 1.6.Окно повторной авторизации
Пользователь вводит в появившемся окне пароль, получает желаемый файл, возвращается к входящим сообщениям своего электронного ящика и продолжает обычную работу. Ни одна собака не зарычала, антивирусные системы безмятежны.
Понятное дело, что раз мы тут говорим о фишинге, скорее всего, в это время уже выполняется несанкционированное копирование всей переписки пользователя, документов и фотографий, проверяется доступ к закрепленным за аккаунтом сервисам, проводится поиск среди переписки по ключевым словам с целью обнаружения компромата, фильтруются письма с целью отыскания реквизитов, данных авторизации к платежным системам и корпоративным сервисам и другим интересным вещам, коих так много содержит аккаунт каждого из нас.
И происходит это потому, что пароль пользователя украден.
Вернемся к началу и снова рассмотрим поступившее от «ООО “Магнит”» письмо с темой «Заказ», якобы имеющее во вложении файл.
На самом деле письмо содержит текст «Файл во вложении» и «Алексей Климов». Никаких файлов во вложении нет, а есть два интегрированных в письмо изображения, имитирующих наличие вложения.
Рис. 1.7.Изображение информации о прикрепленном файле
Рис. 1.8.Изображение прикрепленного файла
Изображения изготовлены в полном соответствии со стилистикой интерфейса почтового сервиса и ничем себя не выдают. Заметить подвох довольно сложно, тем более что система почтового сервера такова, что при наведении на данные изображения пользователь может увидеть ссылку вида:
при этом ресурс https://proxy.imgsmaiL.ru/ является официальным ресурсом почтового сервера.
Страница, на которой указаны логин пользователя, дополнительная информация о файле — вложении и возможные варианты продолжения (скачать, посмотреть), — на самом деле уже страница фишинг-движка, в данном случае расположенная по адресу:
Или проще: http://e.mail.ru-cgi-bix.ru/files/. Доменное имя e.mail.ru-cgi-bix.ru принадлежит злодею, а не официальному почтовому сервису, хотя и содержит нечто похоже в написании.
Никакой авторизации при вводе пароля не происходит, анимированный в стилистике почтового сервиса бегунок просто изящно пробегает для пущей достоверности происходящего процесса соединения и выдает вполне обычное окно авторизации, также являющееся частью фишинг-движка.
После данной «авторизации» пользователь переадресовывается обратно на официальный сервер, к себе в почтовый ящик, а необходимые данные: пароль с учетной записью и доменным именем — программа (скрипт), входящая в состав фишинг-движка, записывает в нужный файл или отсылает на специальный адрес электронной почты или сервер злодея.
