- 372
- 128
- 22 Июн 2019
Что это такое?
Фишинг - вид рассылки писем под именем популярного бренда или администрации социальной сети. Цель - получение зашифрованных данных пользователя.
Это подвид социальной инженерии, опирающийся на слабые знания пользователей в области интернет-безопасности.
На практике я сталкивался с тремя видами фишинга:
Частая уловка - использование картинки вместо текста. Системы безопасности некоторых веб-ресурсов не распознают в них спам или угрозу. Так можно обойти блокировку. Но сейчас появились серверы, сканирующие текст на изображении. Это усложняет нашу задачу.
Сегодня у фишинга появилось несколько разновидностей:
Вишинг - использование интернет-телефонии для перевода банковских средств на счета злоумышленников. Суть довольно проста: Мошенник звонит с незнакомого номера, запутывает клиента и в конце просит подтвердить данные - номер счета, пароль, кодовое слово, ПИН-код и т.д.
Смишинг - мошенничество с помощью смс. На телефон приходит сообщение якобы от банка или администратора сайта. Жертву просят перейти на указанный веб-ресурс и ввести данные для инициализации.
Фарминг - этот метод предполагает замену DNS адреса. При переходе по "оригинальному" адресу, пользователь перенаправляется на фейковую страничку. Распознать подделку в этом случае очень тяжело.
Наиболее распространенная на данный момент форма phishing - массовая рассылка. Она эффективна потому что не имеет конкретной цели. Если атака направлена на одного человека, он может просто засомневаться и не перейти на подставную страницу. Это значит, что результата не будет. Но, когда атаке подвержена большая группа людей, кто-нибудь обязательно попадется.
Как применяется?
Хочу объяснить Вам суть метода:
Важную роль в такой операции играет письмо, в котором будет ссылка. Оно должно быть соответствующе оформлено, чтобы внушить доверие. Часто присылают сообщение под видом администрации. Используют такие предлоги, как:
Пример:
"В нашем интернет-магазине сегодня скидки до 60%! Успейте приобрести товары по смешным ценам! Для получения скидочного купона на всю продукцию магазина, просто авторизуйтесь на сайте через социальную сеть и войдите в личный кабинет!".
Секрет успеха в письме, которое отправляет хакер. Оно несет большую смысловую нагрузку, поэтому должно быть максимально убедительным для юзера. Стоит присмотреться к стилю писем от администрации. Допускать ошибки нельзя, это сразу выдаст подделку. Необходимо использовать весомые аргументы, чтобы пользователь, не задумываясь, ввел все данные.
Чем может помочь?
Метод довольно прост, но приносит ли он результат? Давайте обсудим, что он нам может дать:
Плюсы способа:
Открою один крутой лайфхак: Обращаясь к специалистам по взлому, поинтересуйтесь, какими приемами они пользуются для расшифровки логина и пароля. Если Вам ответят, что применяют фишинг и социальную инженерию - не тратьте время и деньги. Такие методы хороши для новичков, но не для профессионалов, ведь они не дают 100% результат.
Фишинг - вид рассылки писем под именем популярного бренда или администрации социальной сети. Цель - получение зашифрованных данных пользователя.
Это подвид социальной инженерии, опирающийся на слабые знания пользователей в области интернет-безопасности.
На практике я сталкивался с тремя видами фишинга:
- Онлайновый - использование идентичного дизайна и схожего домена;
- Почтовый - создание электронных писем с поддельной строкой от имени любой организации;
- Комбинированный - проектирование поддельного сайта, на котором человек сам должен ввести всю информацию.
Частая уловка - использование картинки вместо текста. Системы безопасности некоторых веб-ресурсов не распознают в них спам или угрозу. Так можно обойти блокировку. Но сейчас появились серверы, сканирующие текст на изображении. Это усложняет нашу задачу.
Сегодня у фишинга появилось несколько разновидностей:
Вишинг - использование интернет-телефонии для перевода банковских средств на счета злоумышленников. Суть довольно проста: Мошенник звонит с незнакомого номера, запутывает клиента и в конце просит подтвердить данные - номер счета, пароль, кодовое слово, ПИН-код и т.д.
Смишинг - мошенничество с помощью смс. На телефон приходит сообщение якобы от банка или администратора сайта. Жертву просят перейти на указанный веб-ресурс и ввести данные для инициализации.
Фарминг - этот метод предполагает замену DNS адреса. При переходе по "оригинальному" адресу, пользователь перенаправляется на фейковую страничку. Распознать подделку в этом случае очень тяжело.
Наиболее распространенная на данный момент форма phishing - массовая рассылка. Она эффективна потому что не имеет конкретной цели. Если атака направлена на одного человека, он может просто засомневаться и не перейти на подставную страницу. Это значит, что результата не будет. Но, когда атаке подвержена большая группа людей, кто-нибудь обязательно попадется.
Как применяется?
Хочу объяснить Вам суть метода:
- Взломщик присылает жертве письмо со ссылкой на фейковый сайт;
- Жертва переходит по адресу;
- Вводит все персональные данные, ни о чём не подозревая;
- Злоумышленник получает сведения, чужая страница оказываются в его руках.
Важную роль в такой операции играет письмо, в котором будет ссылка. Оно должно быть соответствующе оформлено, чтобы внушить доверие. Часто присылают сообщение под видом администрации. Используют такие предлоги, как:
- Ваша страничка будет заморожена;
- На вашей стр обнаружена подозрительная активность;
- Пройдите повторную идентификацию, чтобы обезопасить свой аккаунт.
Пример:
"В нашем интернет-магазине сегодня скидки до 60%! Успейте приобрести товары по смешным ценам! Для получения скидочного купона на всю продукцию магазина, просто авторизуйтесь на сайте через социальную сеть и войдите в личный кабинет!".
Секрет успеха в письме, которое отправляет хакер. Оно несет большую смысловую нагрузку, поэтому должно быть максимально убедительным для юзера. Стоит присмотреться к стилю писем от администрации. Допускать ошибки нельзя, это сразу выдаст подделку. Необходимо использовать весомые аргументы, чтобы пользователь, не задумываясь, ввел все данные.
Чем может помочь?
Метод довольно прост, но приносит ли он результат? Давайте обсудим, что он нам может дать:
- Персональные данные (логин и пароль) конкретного человека;
- Сведения для наполнения специальной базы, которая создается с целью последующей продажи;
- Информацию о банковских картах;
- Доступ к чужим аккаунтам.
Плюсы способа:
- Простота использования, справится даже новичок;
- Метод все ещё довольно действенный, особенно, если делать массовую рассылку;
- Навыки программирования не требуются;
- При ответственном отношении, вероятность положительного исхода увеличивается.
- Эффективность в последние годы падает из-за осведомленности пользователей;
- Системы безопасности в социальных сетях распознают фишинговые письма как спам и блокируют;
- Метод может и не принести ожидаемый результат;
- Фильтры информационной безопасности могут обнаружить подставной сайт и удалить его.
Открою один крутой лайфхак: Обращаясь к специалистам по взлому, поинтересуйтесь, какими приемами они пользуются для расшифровки логина и пароля. Если Вам ответят, что применяют фишинг и социальную инженерию - не тратьте время и деньги. Такие методы хороши для новичков, но не для профессионалов, ведь они не дают 100% результат.
