Как доверие и невнимательность обогатили мошенников на сотни миллиардов долларов за 50 лет

История фишинга от бесплатных международных звонков до кражи данных iCloud.

Материал подготовлен при поддержке Secure-T

В России ежедневно рассылают до 1 млн сообщений с фейковыми сайтами. Фишинг применяется для получения доступа к инфраструктуре компаний, далее в ход идут другие способы взлома. 95% успешных атак на организации являются результатом фишинга.

Фишинг до сих пор остаётся одним из самых опасных видов интернет-мошенничества. Даже человек с относительно низким уровнем технических знаний может легко реализовать подобную атаку. При этом киберпреступнику совсем не обязательно проникать в систему устройства — достаточно убедить человека, чтобы он самостоятельно выдал данные или открыл вредоносное письмо.

Одно электронное письмо может парализовать работу сервиса с многомиллионной аудиторией. Рассказываем, как появился и развивался фишинг, как с ним боролись и какие самые громкие утечки произошли в истории.

Фишинг зародился ещё до появления и распространения интернета. Началось всё в конце 1960-х годов с телефонного фрикинга.

Термин «фрикинг» происходит от сочетания слов phone (телефон), free (бесплатно) и freak (одержимый, чудак). Изначально «телефонными фрикерами» называли тех, кому нравилось изучать телефонные линии. Постепенно слово приобрело негативную коннотацию, потому что фрикеры взламывали местные и международные телефонные сети и звонили бесплатно.

Фрикеры с помощью свиста имитировали сигнал маршрутизации телефона и звонили бесплатно. Джон Дрейпер обнаружил, что свисток, который добавляли в качестве подарка в коробку кукурузных хлопьев Captain Crunch, издавал идеальный звук на частоте 2600 Гц.

Дрейпер набирал международный номер и дул в свисток. Издаваемый сигнал совпадал с сигналом телефонной сети и сообщал системе о том, что он положил трубку. Таким образом, линия считалась свободной, и все дальнейшие действия не фиксировались.

После публикации Blue Box стала популярной в университетских городках и стала наиболее распространённым способом телефонного мошенничества в США.

Фрикерство продолжалось до конца 1980-х — в это время на них стала обращать внимание полиция. Многие фрикеры были арестованы. Но вскоре их отпустили на свободу, поскольку делали они это всё не ради денег, а скорее из спортивного интереса. Хотя иногда фрикеры получали ощутимую выгоду. Например, Кевин Поулсен воспользовался своими фрикерскими навыками, чтобы дозвониться первым в эфир радиостанции, и выиграл автомобиль Porsche. Но в то время в уголовном кодексе ещё не было статей, относящихся к мошенничеству с информационными системами.

В 1983 году телефонную связь модернизировали до CCIS: сигналы отделили от голосовой линии, что фактически положило конец фрикингу.

В 1980-х годах стали доступны персональные компьютеры и модемы — многие фрикеры перешли к компьютерному мошенничеству. Но по-настоящему фишинг начал набирать популярность только в 1990-х годах, с появлением массового доступного интернета.

В 1996 году появился сам термин «фишинг». Фишинговая атака во многом похожа на ловлю рыбы: сначала нужно обзавестись приманкой, ввести жертву в заблуждение, а затем забросить удочку и ждать, пока «рыбка» начнёт «клевать». В английском языке сочетание слов «fishing» (рыбалка) и «phony» (обман) привело к тому, что букву «f» заменил диграф «ph», в результате термин приобрёл написание «phishing».

Наступление 2000-х годов и рост электронной торговли стали стимулом для развития киберпреступности. Фишинговые мошенники начали обращать внимание на системы электронных платежей.

В 2003 году хакеры зарегистрировали несколько доменов, которые напоминали названия популярных сайтов eBay и PayPal. Они отправляли поддельные электронные письма клиентам этих платформ с просьбой предоставить данные кредитных карт. В письмах содержалась ссылка на сайт, который выглядел как официальный, но с небольшим изменением, например paypai.com вместо paypal.com. И многие пользователи не замечали подмены. Злоумышленники использовали похищенные учётные данные для кражи денег, мошенничества или рассылки спама другим пользователям.

К началу 2005 года фишеры добились больших успехов — в период с мая 2004 года по май 2005 года примерно 1,2 млн пользователей компьютеров в США понесли убытки на сумму около $929 млн. Предприятия США теряли около $2 млрд ежегодно из-за фишинга. И эта цифра постоянно росла — в 2007 году уже 3,6 млн пользователей потеряли $3,2 млрд. В январе 2009 года в результате только одной фишинг-атаки киберпреступники получили $1,9 млн.

Фишинговые электронные письма вскоре стали основным методом вымогателей, которые похищали данные из системы жертвы и требовали деньги за их возврат.

Первым широко известным случаем вымогательства стала атака с помощью программы Cryptolocker в 2013 году. С сентября по декабрь 2013 года эта программа заразила 250 тысяч персональных компьютеров двумя типами фишинговых писем. В первом находился zip-архив с якобы жалобой от клиента. Во втором — вредоносная ссылка с сообщением о проблеме и необходимости провести проверку. Как только программа оказывалась на компьютере, она шифровала файлы и блокировала доступ к ним.

В 2014 году мошенники взломали кинокомпанию Sony Pictures Entertainment. Хакерская группа Guardians of Peace изучила профили сотрудников компании в LinkedIn и разослала им письма с файлами, в которых содержался вирус. Попав на корпоративные компьютеры киностудии, он позволил злоумышленникам месяцами вести слежку и удалённо управлять устройствами.

Вскоре фишеры опубликовали в интернете несколько ещё не выпущенных фильмов студии: «Ярость», «Энни», «Уильям Тёрнер», «Всё ещё Элис» и другие. Кроме того, злоумышленники похитили личные данные 3803 сотрудников Sony Pictures Entertainment и членов их семей, содержимое электронной почты, информацию о заработной плате и копии других неизданных фильмов. Всего киберпреступники похитили более 100 Тб данных.

Это один из крупнейших взломов корпоративной компьютерной сети на территории США. Американское правительство обвинило в этой атаке Северную Корею. Они считали, что взлом — это месть КНДР за то, что киностудия выпустила фильм «Интервью», по сюжету которого убивали Ким Чен Ына. Хакеры из Guardians of Peace требовали отменить релиз фильма. После угроз хакеров из картины убрали ряд провокационных сцен, фильм вышел в прокат не во всех странах, его показ отменили даже в некоторых американских кинотеатрах.

В августе 2014 года в сети были были опубликованы почти 500 личных фотографий знаменитостей из iCloud, в том числе обнажённые. Утечка произошла в ходе фишинговой атаки Райана Коллинза. Он отправлял жертвам электронные письма от имени Apple и Google с запросом предоставить данные учётных записей. Жертвы вводили свой пароль, и Коллинз получал доступ к их данным — электронной почте и резервным копиям iCloud.

Часто мошенники играют на ажиотаже, возникшем вокруг какой-то темы. Например, в 2014 году случилась «эпидемия» сетевого мошенничества, связанная с чемпионатом мира по футболу. Один фишинговый сайт, имитировавший сайт FIFA, предлагал подписать петицию в защиту нападающего национальной сборной Уругвая. Для этого нужно было заполнить форму, указав свои данные — имя, страну проживания, номер мобильного телефона и адрес электронной почты. Другой мошеннический сайт предлагал скачать электронный билет на чемпионат. Нажав на ссылку, человек запускал троянскую программу, которая пробиралась в систему и похищала финансовые данные.

В 2016 году мошенники атаковали предвыборный штаб Хиллари Клинтон. Руководитель избирательного штаба Демократической партии США Джон Подеста получил письмо, в котором рекомендовалось сменить пароль от аккаунта Google в целях безопасности. Так хакеры получили данные для авторизации в почтовом ящике. Они создали почту-подделку и разослали сотрудникам партии письма со ссылкой «hillaryclinton-favorable-rating.xlsx», которая вела на хакерский сайт. С его помощью мошенники заражали компьютеры демократов и крали с них данные.

Эти данные попали в руки основателя WikiLeaks Джулиана Ассанжа. В октябре 2016 года WikiLeaks опубликовал переписку членов партии по вопросам ядерной энергетики, а также внешнеполитической деятельности Хиллари Клинтон.

В 2018 году фишеры впервые использовали инструмент под названием Invoke-PSImage. Ранние фишинговые письма содержали вложение, которое выглядело как pdf-файл или документ Word, а по факту это был замаскированный файл формата «.exe», который запускал вредоносную программу и искал информацию в локальном и облачном хранилище пользователя. А новый инструмент Invoke-PSImage действовал хитрее — он позволял злоумышленникам скрывать вредоносные сценарии в пикселях файлов изображений, которые выглядят безобидно. Такой вариант не могли распознать большинство традиционных антивирусных программ.

В 2017 году 76% организаций подверглись фишинговым атакам. А в 2018 году ФБР получило почти 50 000 сообщений о фишинге и взломе электронной почты. В целом, это обошлось в $1,8 млрд. В 2019 году только в США вымогательские атаки принесли чистую прибыль в размере $7,5 млрд. А по всему миру фишинговым атакам подверглись примерно 88% предприятий.

Количество фишинговых атак растёт из года в год. В 2020 году число выявленных и заблокированных фишинговых ресурсов выросло по сравнению с 2019-м более чем вдвое — на 118%.

Большая часть фишинговых сообщений в 2020 году была связана с темой коронавируса. Хакеры играли на страхе людей, чтобы привлечь внимание к вредоносным электронным письмам. Google заявила, что ежедневно блокирует более 100 млн фишинговых писем, почти 20% из которых связаны с COVID-19.

Microsoft сообщила о фишинговой кампании, в ходе которой электронные письма на тему коронавируса использовались для доставки вложений с вредоносными макросами Excel 4.0. Письма отправлялись от имени Центра медицинской безопасности Джона Хопкинса с темой «Отчёт ВОЗ о ситуации с COVID-19».

Также мошенники отправляли поддельные сообщения от Министерства здравоохранения и социальных служб США. В тексте были ссылки для регистрации на обязательное тестирование на коронавирусную инфекцию. На самом деле ссылки содержали вредоносную программу, которая собирала личную информацию о жертвах.

Во время пандемии в 6 раз возросло количество краж с банковских карт. Поскольку многие магазины были закрыты, люди перешли на онлайн-покупки. Этим стали пользоваться мошенники. Часто злоумышленники создавали поддельные страницы онлайн-магазинов, продающих маски, перчатки и санитайзеры. Они заманивали пользователей на фишинговые сайты, где покупатели вводили свои платёжные данные. Мошенники использовали эти данные для перевода денег на свои счета.

Ещё одной темой мошенничества стала выплата пособий по COVID-19. Мошенники рассылали сообщения с обещанием выплатить $1200 от Фонда «COVID-19 TREAS». Для этого нужно было перейти по ссылке, которая вела на фишинговый сайт, имитирующий государственный, и ввести данные карты.

Также почвой для фишингового мошенничества стали президентские выборы в США. Избиратели регистрировались онлайн, и мошенники придумали новую схему обмана. Люди получали фишинговые письма, в которых говорилось, что их регистрация не закончена, и предлагалось добавить личную информацию, которую затем мошенники использовали для вымогательств и махинаций.

Киберпреступники используют фишинговые электронные письма, потому что это легко, дёшево и эффективно. Есть несколько способов, с помощью которых мошенники проводят атаки.

В этом случае мошенники нацеливаются на конкретного человека или организацию. Чаще всего это первый шаг, чтобы преодолеть средства защиты компании и провести фишинговую атаку. Злоумышленник изучает своих жертв с помощью социальных сетей и других сервисов и создаёт поддельное электронное письмо, которое выглядит максимально убедительно для получателя.

Этот способ похож на «фишинг с копьём», но он ориентирован на руководителей и финансовых директоров. Мошенник составляет электронное письмо, на которое должен обратить внимание высокопоставленный сотрудник компании, — например, это может быть жалоба клиента или повестка в суд. От такой атаки в 2016 году пострадала австрийская аэрокосмическая компания, она потеряла почти $50 млн.

Хакеры клонируют подлинное электронное письмо от надёжного источника — организации или онлайн-магазина. Внутри письма содержится вредоносная ссылка, которая ведёт на поддельный веб-сайт. Поддельные сайты не так легко отличить от настоящих — они имеют вполне убедительные адреса, похожий дизайн и даже защищённое соединение HTTPS.

Обычно интернет-мошенники активизируются накануне событий, связанных с массовым ажиотажем, — стартом продаж новых моделей iPhone, онлайн-распродажей вроде «чёрной пятницы», праздниками. В это время люди совершают спонтанные покупки и уделяют меньше внимания таким мелочам, как название сайта. Например, в 2020 году в период «чёрной пятницы» более 400 сайтов копировали маркетплейс AliExpress.

Если фишинг-клонирование использует поддельные клонированные электронные письма, то фарминг-атаки проводятся путём перенаправления пользователя на поддельную версию настоящего веб-сайта. Фармеры меняют цифровой адрес официального сайта на DNS-сервере на адрес подменного сайта, и в результате ничего не подозревающий пользователь отправляется на поддельный сайт. Такой фишинг опаснее традиционного, поскольку увидеть подмену невозможно. От подобных атак уже пострадала компания Ebay, платёжная система PayPal и известные мировые банки.

Это фишинг по СМС. Жертва получает сообщение от мошенников, которые выдают себя за государственные органы, банки или крупные организации.

Поддельное сообщение часто содержит ссылки, которые устанавливают вредоносные программы на устройства пользователей. Такая программа крадёт личную информацию — данные кредитных карт, местоположение, фотографии.

Весной 2020 года москвичи получали сообщения о «штрафах» за нарушения режима самоизоляции. Оплатить «штраф» нужно было в течение 24 часов по указанному номеру, в противном случае угрожали уголовным делом.

Вишинг — это фишинг по телефону. Представляясь представителями известных компаний, фишеры чаще всего сообщают жертвам, что им нужно срочно сообщить или обновить персональные данные. Такое требование мотивируется утерей информации, поломкой в системе или угрозой блокировки банковской карты. Мошенник старается застать человека врасплох и запугать.

Бороться с фишингом поможет обучение и тренировки сотрудников. Такие решения предлагает компания Secure-T — профессионалы в области аудита информационной безопасности, тестирования, bug bounty и reverse engineering.

Специалисты Secure-T помогут провести анализ защищённости ИТ-инфраструктуры компании и внедрить систему информационной безопасности или возьмут на себя задачи по администрированию и обеспечению функционирования инфраструктуры компании. А обучающая платформа от Secure-T с понятным запоминающимся контентом и возможностью проверить знания при помощи имитированных фишинговых атак поможет повысить уровень знаний сотрудников в области информационной безопасности.