Многие пользователи думают, что протокол HTTPS автоматически гарантирует подлинность ресурса, но это не так. Этот протокол, как и SSL-сертификат, оповещает лишь о шифровании канала связи между браузером и сайтом, который может быть как подлинным, так и поддельным. Поэтому в любом случае важно проверять доменное имя[121].
Для мелких мошенников целевой фишинг слишком сложен, их задача – охватить как можно больше пользователей; самые легковерные из них откликнутся на вредоносные письма. Письма со ссылками на незнакомые сайты, как правило, сразу настораживают внимательных пользователей, и они не поддаются на обман. Максимум, на что способны мелкие фишеры, – захватывать и подставлять в письма имя и фамилию, используя для этого автоматические способы извлечения персональных данных из открытых источников (социальных сетей, профилей типа «Мой мир» и т. п.) и взломанных или утекших баз данных, где имена соседствуют с адресами электронной почты.
Другое дело – целевой фишинг, осуществляемый людьми с серьезными намерениями; об этом речь пойдет далее.
Целевой фишинг
Один из самых опасных видов фишинга – целевой: атака ведется с целью получить данные конкретного человека или определенной компании. Целевой фишинг намного опаснее, поскольку, как правило, совершается специально подготовленными людьми, предварительно собравшими некоторую информацию о жертве, чтобы их предложения выглядели как можно более убедительными. Качественное целевое фишинговое письмо крайне трудно отличить от настоящего, так как в нем указываются такие данные, как имя и фамилия человека; учитываются сведения из его биографии, родственные связи, его привычки, слабые места и другая информация. В большинстве своем при целевом фишинге, как, впрочем, и любом другом, злоумышленники преследуют одну из двух целей (или обе): украсть деньги или ценную информацию (с помощью которой опять же получить деньги или устранить жертву).
В октябре 2017 г. экспертами «Лаборатории Касперского» была выявлена целевая BEC-атака[122], направленная на финансовые учреждения, прежде всего российские банки. Атакующие использовали очень эффективный метод – получили доступ к внутренней банковской сети и долгое время изучали ее инфраструктуру. Проникновение в сети происходило посредством целевого фишинга – с помощью содержащих вредоносные вложения электронных писем с принадлежащих сотрудникам реально существующих электронных адресов (они были элементами ранее зараженной сети), что существенно повысило шансы на заражение. Во вложении находился файл формата CHM (справочный файл компании Microsoft) – по сути, сжатый в единый документ набор HTML-страниц, допускающий выполнение JavaScript-сценариев для перехода на внешние URL-адреса. В случае открытия файла запускался скрипт, скачивающий файлы для загрузки и запуска троянской программы Silence, отвечающей в числе прочего за запись находящегося на экране изображения[123]. Таким образом злоумышленники могли следить за сотрудниками банка и выбирать тех, кто обладает ценной информацией, а далее, досконально изучив принципы работы информационных систем банка, переводить финансовые средства на свои счета[124]. Обычно целенаправленно атакуют крупные компании, банковские или государственные структуры, а также известных людей. В компаниях целями злоумышленников чаще всего становятся бухгалтеры и специалисты по набору персонала и связям с общественностью, а также топ-менеджеры и прочие сотрудники, вынужденные открывать множество документов из сторонних источников. Например, бухгалтерам и менеджменту компаний, участвующих в серых и черных финансовых схемах, рассылаются письма от имени руководства с требованием срочно и тайно перевести некий платеж на определенный счет. В них используются ранее похищенные данные реальных сотрудников, поэтому такие письма выглядят убедительно. В других случаях жертву вначале втягивают в некую серую схему, а затем шантажируют угрозами обратиться в полицию или к руководству. Мошенники могут представляться сотрудниками органов охраны правопорядка или налоговой службы и так же шантажировать адресата.
