Спам и фишинг

Фишеры и тяга к знаниям

Когда мы говорим о фишинге, в первую очередь подразумеваем поддельные банковские сайты, платежные системы, популярные во всем мире почтовые и другие сервисы. Однако интересы киберпреступников этим вовсе не ограничиваются, в их поле зрения оказываются довольно неочевидные на первый взгляд жертвы, например студенты и преподавательский состав университетов. Причина — научная деятельность, которую они ведут и к результатам которой многие хотели бы получить доступ.

Примеры фишинговых страниц, имитирующих страницы авторизации на сайтах университетов University of Washington, Harvard Business School, Stanford University

За последний год мы зафиксировали фишинговые атаки на 131 университет в 16 странах мира. Больше половины из них — 83 высших учебных заведения — находятся в США, 21 — в Великобритании, по 7 в Австралии и Канаде. Некоторые известные университеты Финляндии, Колумбии, Гонконга, Индии, Израиля, Нидерландов, Новой Зеландии, Польши, Южной Африки, Швеции, Швейцарии и Объединенных Арабских Эмиратов за последний год столкнулись хотя бы с одной атакой фишеров. Самыми популярными университетами у мошенников в этом году стали: University of Washington — 11,6% атак, Cornell University — 6,8%, University of Iowa — 5,1%.

Хоть университеты и уделяют внимание защите своих ресурсов, мошенники успешно используют «привычное» слабое звено — невнимательность пользователей. В зависимости от уровня доступа (преподаватель, студент, научный сотрудник), личный кабинет на сайте университета может предоставлять доступ как к информации общего характера, так и к различным платным сервисам, результатам исследований. Помимо этого, аккаунт преподавателя, например, может предоставить злоумышленникам сведения о зарплате сотрудника, его расписании и пр. Все это может быть использовано для кражи личности или осуществления целевой атаки.

Cornell NetID — уникальный электронный идентификатор, который в сочетании с паролем предоставляет доступ к непубличным ресурсам и информации университета

Обычно фишинговая страница отличается от оригинала лишь веб-адресом. Однако несмотря на предупреждение браузера и, как в случае с поддельной страницей Cornell University, призыву проверять адресную строку (скопированного злоумышленниками с оригинального сайта), пользователи часто не обращают на отличия внимание.

При изучении скриптов одной из фишинговых страниц мы обратили внимание, что помимо логинов и паролей мошенники собирают информацию об IP-адресах и местоположении жертв. Используя эти данные, преступники могут обходить некоторые антифрод-системы, маскируясь под владельца аккаунта.

Как защититься

Одной из основных рекомендаций по-прежнему остается проверка адресной строки сайта, на котором пользователь собирается ввести конфиденциальные данные. Но на эффективность данного метода сильно влияет человеческий фактор, потому главная рекомендация для учебных заведений здесь — использовать двухфакторную аутентификацию, а для пользователей — использовать программные решения с функцией защиты от фишинговых атак.

Фишеры и тяга к знаниям

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Максим

    Да, пока что, единственный способ защиты — быть внимательным. Но есть забавный факт (который подтверждается парой авторитетных исследований) — более 90% пользователей не могут отличить фишинговый сайт, текст, аккаунт от настоящего 🙂
    Как вы думаете, почему еще не существует технического решения? Идея фильтровать вебстраницы во время серфинга на предмет фишинга выглядит простой и легко осуществимой.

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике