information security
120,20
рейтинг
20 ноября 2015 в 13:37

Разработка → Примеры фишинговых сообщений электронной почты



Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к социальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.

Внимание, под катом много изображений.

К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, как и обещал, постараюсь описать основные приемы. Эти и другие приемы мы рассматриваем в рамках наших программ обучения.

При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.

Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.

Gmail — документы


Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:



Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
(в коде страницы установлен сниффер, который логгирует все заходы на страницу —
)
s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097



Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего, форма была сделана с помощью инструмента Social-Engineer Toolkit , в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.

Gmail — недоставленное сообщение


Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?



Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097

Gmail — срочно сменить пароль


Пользователь, какие-то нехорошие личности взломали твой пароль!



Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=

Gmail — ваша почта будет заблокирована


Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:



Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:



Gmail — спам


Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:



Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21

Gmail — черный список


Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:



По ссылке уже известный адрес: google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=

Gmail — пора увеличить объем


Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:



Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/



Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.

Gmail — рабочие моменты


Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:





Ссылка редиректит на домен account-google.ru.com/ServicesLogin/files/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1



Первая форма, на которой стоит новый логотип.

Mail.ru — рабочие моменты


Похож на способ указанный выше, прислали какие-то документы, вариаций может быть довольно много:







Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен — большинство рядовых пользователей введет свой пароль «на автомате»:



Mail.ru — сообщение не доставлено


Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:



А там уже знакомая нам форма:



Mail.ru — увеличить объем ящика


Еще один лидер моего хит-парада правдоподобности:



При переходе попадаем на форму увеличения объема ящика:



Еще один тип такого письма:



По ссылке видим форму:



Похож на способ указанный выше, но фишинговый домен уже не работает:



Ссылка не работает: cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&fail=0&GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8

Mail.ru — уведомление о безопасности


Вашу почту кто-то взломал, срочно бегите менять пароль:



Фишинговая ссылка редиректит на pechatay-prosto.ru/js/?Login=privethabr@mail.ru (уже не работает).

Yandex — уведомление о безопасности


Не подтвердите аккаунт — заблокируем почту:



По ссылке форма, с уже подставленным именем учетной записи:



Yandex — реактивация почтового ящика


Опять необходимо выполнить какие-то действия:



Добавлено много «правдоподобных» деталей:



Рассылка вредоносных файлов/криптолокеров


Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:

Письмо, содержащее инструкции для «подтверждения» доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):



Письмо из арбитражного суда, содержащее ссылку на криптолокер:



Письмо из Сбербанка о выданном кредите (со ссылкой на криптолокер):


Правила безопасности


  1. Письмо, побуждающее Вас к каким-то немедленным действиям должно Вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь — спросите специалистов.
  2. Если Вам что-то навязывают или присылают то, к чему Вы не имеете отношения — лучше удалить это письмо.
  3. Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов.
  4. Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев Вы получите уведомление по обычной почте.
  5. Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.

Эта статья посвящена атаке на рядовых пользователей, в следующей статье я расскажу о фишинговых и социотехнических атаках на корпоративный сектор.
Автор: @LukaSafonov
Pentestit
рейтинг 120,20
information security
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Похожие публикации

Комментарии (34)

  • +9
    Во всех этих способах менеджер паролей в случае левых доменов не заполняет поле пароля в окне авторизации, что сразу палит контору.
    • +8
      Вы знаете много рядовых пользователей, которые используют менеджеры паролей?
      • +8
        Я имею в виду менеджер паролей, встроенный в браузер и сам предлагающий сохранить пароль. Таким пользуются, наверное, больше половины пользователей. К слову, из-за полного отсутствия необходимости вводить пароль, достаточно большой процент юзеров давно не помнят своего GMail-пароля и в такой ситуации просто физически не смогут его ввести.
        • +8
          Рядовые пользователи и на это мало обращают внимания. «Меня выкинуло», «введу пароль по-новой».
          • +15
            «Гугл заколебал, сколько ж можно пароль вводить?!»
            • +6
              ваш ник в тему :)
          • 0
            Тут ещё виноваты многие сервисы, которые насильно заставляют пользователя каждый раз вводить учётные данные, на одном из используемых мной сервисе ( Орфограммка ) вообще весело: они каждый раз просят ввести учётные данные не давая их запомнить браузеру, а я каждый раз восстанавливаю пароль через e-mal, «благо» в ответ на запрос они присылают текущий пароль, его можно скопипастить из почты и наконец то войти. Б — безопасность, безрассудство, безвыходность )
    • 0
      Сходу назову вам несколько сайтов, где широкораспространенный менеджер паролей LastPass не умеет сам заполнять форму, приходится самому копипастить.

      Рядового пользователя спасет менеджер паролей?
      • 0
        Если не умеет заполнять форму на google или yandex, то в печь такой менеджер паролей.
  • +7
    Добротно, ждём следующую статью
  • +1
    Практически никогда не пользуюсь почтой через браузер, только по imap протоколу через специфично настроенный Thunderbird.
    • 0
      В чём специфика, если не секрет? Тоже ТБ, имап, а что ещё?
      • 0
        Секрета нет, просто запрещено все лишнее.
        Отключены любые плагины для просмотра содержимого писем (pdf и прочих).
        Запрещена загрузка и показ содержимого писем из интернета (это настроено так по умолчанию, и менять незачем).
        Настроил, чтобы по клику по ссылке в письме ссылки ни в коем случае не открывались в браузере.
        В целом, отключен весь дополнительный функционал, на крайний случай.
  • +2
    Вы пенсионер-радиотехник, который часто останавливается в хостелах? о_О
    • 0
      М… если это было адресовано мне, то нет, вы не угадали. Я 30-летний никсовый админ.
      • 0
        Нет, это не вам, а автору статьи :)
    • +1
      Судя по контекстной рекламе — таки да =)
  • +1
    Вывод — даже если прислали такие письма, не ходить по ссылкам.
    Защита почти 100%
    Просто закрыть письмо, потом открыть почту через закладку и увидеть, что всё в порядке.
    Забыть про спам-письмо, добавить в спам.
    • 0
      Вывод — не пользуйтесь почтой.
      Защита почти 100%
    • 0
      О! Смотреть почту только в бумажном виде
  • +8
    Блин про увеличение памяти для почты в настройках, я бы попался. Уж очень правильно и по гугловски выглядит. Чет страшно теперь :)
  • +3
    А яндекс браузер полный URL странички не показывает…
    • +1
      вот поэтому его многие и не используют…
    • +1
      Это можно настроить.
  • 0
    Я правильно понимаю, что в случае фишинга даже двухфакторная аутентификация особо не поможет? Фишинг-сервер также может запросить код и получить доступ к аккаунту.
    • +1
      Классический MITM, да.
  • +6
    Просьба сделать аналогичную статью, но не про специфику и методы, а с разъяснениями что делать и что не делать. То есть статью не для аудитории Хабра, а для мамочек-бабушек. Чтобы можно было родителям скинуть ссылку на статью, и они её поняли.

    И аналогично для следующей статьи про корпоративные взломы.
    • 0
      Очень сильно поддерживаю! Сам стараюсь обучить компьютерной грамотности родственников (маму и тётушку, они у меня уже на пенсии давно, старенькие, но бодренькие), где было можно без последствий просто порубил на корню возможность взлома техническими и административными мерами( даже до белого списка расширений для chrome уже руки дошли), но от социальной инженерии этим не спастись никак, а материалов для «просто людей» ОЧЕНЬ не хватает, фактически по компьютерной безопасности их просто нет.
  • 0
    Со «сбербанка» мне тоже приходило, но и не только с него. Пока был на черном море летом, оказывается успел в такие долги залезть, что интересно весь этот спам приходил когда я был в отпуске. Хотя телефоном, почтой да и вобще практически ничем там не пользовался. Но понял сразу, что письма должны уйти в спам изза следующего:
    1) Уважаемый Клиент… а дальше кто именно-то, может вообще не я.
    2) У меня linux, но даже с ним я никогда не открываю архивы присланные мне не пойми откого.
    3) Ради любопытства, я конечно открыл архивчик и увидел там файл типа: договор.docx.exe, ну и стало окончательно все понятно.
  • 0
    У меня вопрос по скриншотам с Яндекс.Почтой. Это нормально, что она для подделок показывает зелёный значок «Цифровая подпись верна. Письмо отправлено с домена такого-этого»? А на днях ещё узнал, что ещё и адрес организации подставляет.
    Это что, никчёмность всех этих напридуманных DKIM, имитация бурной деятельности, так и не делающая электропочту безопаснее, или всё-таки косяк Яндекса, что он что-то делает не так, раз такую отметку чему попало присваивает? Если первое — то может всё-таки как-то сподобиться хоть фальшивые письма от своих доменов научиться выявлять…
    • +1
      Так почта то нормальная с точки зрения яндекса. Злоумышленники зарегистрировали обычный ящик на яндексе, но взяли название, похожее на службу поддержки.
      • 0
        Ай, невнимательно скриншоты разглядел, померещилось что письмо с support-поддомена. Тогда это совсем другая история, хотя про DKIM всё равно интересно узнать.

        У Яндекса, кстати, есть ведь стоп-слова, которые невозможно использовать при регистрации ящика. Например, money, yamoney, yandex, но почему они не внесли туда ещё и support — непонятно. Я думаю никакого ущемления добросовестных пользователей от такого запретного слова не будет, ну или мизерное, а пользы гораздо больше. До кучи и sapport заблэклистить
  • 0
    Встречались интересные массовые фишинговые письма с контекстной информацией по региону. Информация от некоего органа по СЗФО для работника из этого региона. Причем единственное упоминание электронной почты, на которое пришло письмо было найдено в социальной сети mail.ru — там же был указан и город.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка