Примеры фишинговых сообщений электронной почты20.11.2015 15:49

cc16b5d6ee184d51aedf4cfc7fa9f49f.png

Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к социальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.

Внимание, под катом много изображений.

К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, как и обещал в комментарии, постараюсь описать основные приемы.

При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.

Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.

Gmail — документы


Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:

dcc7ef6c74474224a4df6ef86c68349f.png

Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
(в коде страницы установлен сниффер, который логгирует все заходы на страницу — )
s-mail-google.com/myaccount/ru/index.php? id=&/id=20154748705121097

539fad6d5f8b49cfae052e97fd1a58e7.png

Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего форма была сделана с помощью инструмента Social-Engineer Toolkit, в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.

Gmail — недоставленное сообщение


Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?

8a63688adf77415bb6a31de0b78854d7.png

Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php? id=&/id=20154748705121097

Gmail — срочно сменить пароль


Пользователь, какие-то нехорошие личности взломали твой пароль!

bb86378b278b4880a38beca61eb6dd01.png

Обычные пользователи скорее всего пойдут менять пароль, только вот адрес для смены совершенно не подходящий: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/? id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=

Gmail — ваша почта будет заблокирована


Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:

2b5e3fe58c49454ab6d908df85222e90.png

Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/? email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:

0ebb7bbaca0b4dc386e180dc311367a0.png

Gmail — спам


Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:

5cf001d6a26640f7a684376806a2c1f2.png

Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php? id=&/id=d7115e86e7423e7aea202cebf544de21

Gmail — черный список


Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:

aeb39baaac734ece9653d7290b124459.png

По ссылке уже известный адрес: google.mail.com.ru-id322322.ru/? login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=

Gmail — пора увеличить объем


Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:

37b3889aa7a24d6e986c9dad7d98eeaf.png

Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/? account=privethabr&? service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/

a23f3fadeb8d4c3fbb8d5496f2cb144e.png

Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Даже домен подобран очень в тему. Но вот логотип опять старый. Вообщем это пока явный фаворит фишингостроения.

Gmail — рабочие моменты


Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:

48735a73027c477c8cba8dfe45b39d61.png

2f293875d61b4b4f909b282fa8015c4f.png

Ссылка редиректит на домен account-google.ru.com/ServicesLogin/files/? account=privethabr&? service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1

b15932e736db4367be09c57e9fa06aa2.png

Первая форма на которой стоит новый логотип.

Mail.ru — рабочие моменты


Похож на способ указанный выше, прислали какие-то документы, Вариаций может быть довольно много:

a646cd0df56f46c6b7a0054d9784b8d8.png

78759d14029d405e8ffd15aa63d0d3ce.png

64760a4bc54e45558169a8dd628c5609.png

Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен — большинство рядовых пользователей введет свой пароль «на автомате»:

0e05aae2275341f6a880b605b58355a8.png

Mail.ru — сообщение не доставлено


Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:

4fc6ae800d0747a19a16ff458f148ddc.png

А там уже знакомая нам форма:

0e05aae2275341f6a880b605b58355a8.png

Mail.ru — увеличить объем ящика


Еще один лидер моего хит-парада правдоподобности:

f263d7b1371844adb976bcafb55b2623.png

При переходе попадаем на форму увеличения объема ящика:

1d7d03bbad2943afae5bb7cce112fd9d.png

Еще один тип такого письма:

4b061ffff59d4fb2a8386bae04423b90.png

По ссылке видим форму:

b16fcc3ec33c4b51967550bc0b9d0f55.png

Похож на способ указанный выше, но фишинговый домен уже не работает:

2da4c5b590ec4c94afde760e5330cd5b.png

Ссылка не работает: cew-mail.ru/mailcapacity/index.php? email=privethabr@mail.ru&fail=0&GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8

Mail.ru — уведомление о безопасности


Вашу почту кто-то взломал, срочно бегите менять пароль:

30c8b92b88e14a80a50eaab7c4678767.png

Фишинговая ссылка редиректит на pechatay-prosto.ru/js/? Login=privethabr@mail.ru (уже не работает).

Yandex — уведомление о безопасности


Не подтвердите аккаунт — заблокируем почту:

3d0a3649efdd4c3a9543caa2a74faae8.png

По ссылке форма, с уже подставленным именем учетной записи:

0f22581bf4e44b64ad6325fbce0463ef.png

Yandex — реактивация почтового ящика


Опять необходимо выполнить какие-то действия:

b076c2a9cd674f408c0e8c00e1d7d818.png

Добавлено много «правдоподобных» деталей:

fb8ed7a528d04b0fa9c1422b5dbb6c20.png

Рассылка вредоносных файлов/криптолокеров


Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:

Письмо, содержащее инструкции для «подтверждения» доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):

62e085b29ca34af2afe9dfdd9497a5c2.png

Письмо из арбитражного суда, содержащее ссылку на криптолокер:

fd685dfa483e487f81635b2af4c04cb4.png

Письмо из Сбербанка, о выданном кредите (со ссылкой на криптолокер):
07f600b1b4ed46a98dad13360087263d.png

Правила безопасности


  1. Письмо, побуждающее Вас к каким-то немедленным действиям должно Вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь — спросите специалистов.
  2. Если Вам что-то навязывают или присылают то, к чему Вы не имеете отношения — лучше удалить это письмо.
  3. Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов.
  4. Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев Вы получите уведомление по обычной почте.
  5. Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.


Эта статья посвящена атаке на рядовых пользователей, в следующей статье я расскажу о фишинговых и социотехнических атаках на корпоративный сектор.

© Habrahabr.ru