Документ представляет собой подробное руководство по борьбе с фишингом, включая описание его механизмов, примеры атак и методы защиты. Рассматриваются как общие, так и специфические подходы, такие как spear phishing и vishing, а также рекомендации по обучению пользователей и системам защиты от фишинга. Также обсуждаются важные инструменты и методы для анализа и мониторинга эффективности защиты.

1. 17 апреля 2017
Бизнес-консультант по безопасности
Борьба с фишингом. Пошаговая
инструкция
Алексей Лукацкий

2. Как действуют киберпреступники?
Видео-демонстрация анатомии атаки
https://www.youtube.com/watch?v=isRgoOLI5QM

3. • Что такое фишинг?
• Чем опасен фишинг?
• Примеры фишинговых сообщений
• Насколько легко реализовать фишинг?
• Как защититься от фишинга?
• Как измерить эффективность борьбы с фишингом?
О чем мы будем говорить?

4. Что такое фишинг?
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4

5. • Phishing
• Массовая рассылка сообщений,
ведущих на фальшивые или
зараженные сайты
• Spear Phishing
• Сфокусированный на жертве
фишинг (91% всех APT)
• Социальные сети
• Whaling
• Сфокусированный фишинг
против высокопоставленных лиц
• Vishing
• Голосовой фишинг
• Smishing
• SMS фишинг
Что такое фишинг?
• Отправка фальшивых сообщений через различные сервисы с
целью получения доступа к конфиденциальной информации

6. Фишинг и мошеннические сайты

7. Чем опасен фишинг?
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7

8. Что такое убийственная цепочка?

9. Из чего состоит убийственная цепочка?
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки
Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий
Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения
Утечка данных
Перехват
управления
Вывод из строя
Уничтожение
следов
Поддержка
незаметности
Зачистка логов
По разным оценкам
от 91% до 95% атак
начинается с
фишинга

10. Угрозы ОкружениеПериметр
Email-вектор
Web-вектор
3
Жертв
кликает на
резюме
Инсталляция бота,
установка соединения с
сервером C2
4 5
Сканирование LAN &
альтернативный бэкдор и
поиск привилегированных
пользователей
Система
скомпрометирована и
данные утекли. Бэкдор
сохранен
8
Архивирует данные, разделение
на разные файлы и отправка их на
внешние сервера по HTTPS
7
Посылка
фальшивого
резюме
(you@gmail.com)
2
Адми
н
Изучение
жертвы
(SNS)
1
Привилегированные
пользователи найдены.
6
Админ ЦОДПК
Елена
Иванова
Елена Иванова
• HR-координатор
• Нужны инженеры
• Под давлением времени
Все начинается с фишинга

11. Методы все усложняются
• Evilginx – проект,
демонстрирующий возможность
перехвата идентификационных
параметров и сессионных
cookies для любого Web-
сервиса
• Позволяет перехватывать
логины и пароли пользователей
даже в случае двухфакторной
аутентификации
https://breakdev.org/evilginx-advanced-
phishing-with-two-factor-authentication-
bypass/

12. Примеры фишинговых сообщений
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12

13. Фишинг распространен по всему миру

14. Включая и Россию

15. Сбербанк – один из популярных мотивов

16. Клиенты банков – частые жертвы фишеров

17. Торговля страхом

18. Подставные Mail.ru, Gmail и Yandex

19. Не только через почту, но и через соцсети

20. Цель: Заставить что-то сделать

21. • Задачей злоумышленников может быть не только сбор
конфиденциальной информации или заражение компьютера
пользователя, но и перенаправление на фальшивый сайт,
предусматривающий контакт с жертвой, которая должна
самостоятельно расстаться со своими деньгами в реальном
мире
• Например, клон сайта нефтеперерабатывающей компании, но с
подставными телефонами и банковскими реквизитами
• Например, клон благотворительного сайта и т.п.
• Например, раздача щенков или собак (платные номера)
Не забывайте про мир физический

22. Не забывайте про мир физический

23. Spear Phishing набирает обороты
Snapchat - CEO GCI - CFO

24. Spear Phishing набирает обороты
Seagate - CEO Джон Подеста, глава избирательной кампании
Хиллари Клинтон

25. Насколько легко реализовать фишинг?
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25

26. • Собрать контакты
• Подготовить площадку для заражения и для рассылки
• Сайт-клон
• Typosquatting
• Заражение легального сайта
• Перенаправление
• Подготовить сообщение e-mail / SMS / MMS / VoIP
• Разослать сообщение
• Собрать конфиденциальную информацию
Этапы фишинга

27. Как хакер проводит разведку вашей сети?

28. Сбор контактов с помощью TheHarvester
• TheHarvester – утилита
для сбора контактной
информации (e-mail,
поддомены, имена
сотрудников и т.п.)
• Ищут в поисковых
системах (включая
Яндекс), серверах ключей
PGP, SHODAN и т.п.
http://www.edge-security.com/theharvester.php

29. Демонстрация: TheHarvester

30. Сбор контактов с помощью recon-ng
• Recon-ng –
многофункциональный
инструмент для
изучения/разведки Web
• Множество разных
модулей, решающих
различные задачи,
включая и сбор контактов
• Входит в состав Kali
Linux
https://bitbucket.org/LaNMaSteR53/recon-ng

31. Демонстрация: recon-ng

32. Мы часто ошибаемся, нажимая на
клавиши
• Что произойдет, если мы наберем «w» вместо «s» или «x»
вместо «c»?

33. Куда вы попадете, набрав sbirbank.ru?

34. Фальшивые домены и URLcrazy
• URLcrazy – утилита
для изучения
комбинаций
возможных имен
сайта, похожих на
«жертву»
• 8000 типичных
ошибок
• 15 типов вариантов
доменов
http://www.morningstarsecurity.com/research/urlcrazy
http://tools.kali.org/information-gathering/urlcrazy

35. Демонстрация: urlcrazy

36. Фальшивые домены Сбербанка

37. Злоумышленники могут использовать и
схожие символы

38. Фальшивые домены Microsoft

39. Клонирование сайта

40. Клонирование сайта для начинающих

41. Демонстрация: Clone Zone

42. Клонирование сайта для продвинутых

43. Демонстрация: Social Engineering Toolkit

44. Демонстрация: создание фишингового
письма

45. Как защититься от фишинга?
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45

46. 6 этапов процесса защиты от фишинга
Анализ
информации о
вас
Анализ текущей
защиты
Анализ разрыва
Применение
технологий и
внедрение
процессов
Определение
KPI/метрик
Мониторинг KPI
/ отчетность

47. Поймите способы атак
на пользователей
Эмулируйте действия
хакеров по поиску данных
Имитируйте фишинговые
атаки
Вы можете думать и действовать как хакер
© 2015 Cisco and/or its affiliates. All rights reserved. 47
TheHarvester
Recon-ng
URLcrazy
Clone Zone / HTTrack
Social Engineering Toolkit (SET)
Другой OSINT-инструментарий
Kali Linux

48. Демонстрация: Social Engineering Toolkit

49. Для борьбы с фишингом нужны разные
технологии
Сигнатуры, антиспам,
аномалии
Анализ трафика
SIEM
Репутация файлов и узлов
Ретроспективная ИБ
Forensics
Реагирование на
инциденты
Threat Intelligence
ВО ВРЕМЯ
Обнаружить
Заблокировать
Защитить
ПОСЛЕ
Диапазон
Ограничение
Реагирование
ДО
Найти
Применить
Усилить
Глобальная информация
об угрозах и доменах
Контентная фильтрация
DNS/URL фильтрация
Обучение персонала

50. Решения для борьбы с фишингом
Две дилеммы
Коммерческое
• Масштаб
• Удобство
• Оперативность
• Гарантия
• Поддержка
• Функциональность
Бесплатное
• Цена
• Энтузиазм
• Вызов (challenge)
Свое
• Учет своей специфики
• Полный контроль
• Гибкость
Аутсорсинг
• Компетенции
• Высвобождение времени
• Простота внедрения
vs
vs

51. Средства защиты e-mail
Кто
Механизмы
антиспам и
антифишинг
Антивирусы
Talos блокирует
плохие письма
на входе
Cisco
Anti-Spam
IMS
Что
Когда
Где Как
> Уровень
обнаружения 99%
< Ложных
срабатываний <1 на 1
млн
Репутация
файлов и
ThreatGrid
Advanced
Threats
Sandboxing
Web
Email
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
DNS, IP & BGP
Различные механизмы защиты (DMARC, DKIM, SPF)

52. Ссылка может быть:
• перезаписана
• удалена / вырезана
• перенаправлена в облако
• заменена текстом
• оставлена
Автоматическая реакция на фишинг в
Cisco

53. Средства контроля Web-доступа
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP

54. • Для систем контентной
фильтрации, контроля
Web-доступа и
межсетевых экранов
очень важно
своевременно получать
обновления сведений
об источниках
фишинговых атак,
кампаниях и их деталях
Фиды позволяют вам быть на острие

55. • Cisco AMP ThreatGrid
• Cisco OpenDNS
• OpenFish
• Cyren
• FraudWatch
• Netcraft
• PhishLabs
• LookingGlass
• Station X
• PhishTank
• SpamCop
• PhishMe
• Лаборатория Касперского
• И другие
Источники фидов по фишингу

56. API позволяет вам проверять ваши данные
https://openphish.com https://opendns.com

57. Демонстрация: OpenDNS Investigate

58. INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и
геораспределение
База пассивной инф. DNS
Различные сервисы проверки DNS

59. От готовых инструментов до скриптов

60. • У сотрудников может
быть доступ и к личной
почте с рабочего ПК
• Как контролируются
мобильные устройства?
• Фишинг через соцсети
• Плагины к вашим
почтовым клиентам
(опционально, но удобно)
На что обратить внимание при выборе
технологий?!
Пример фишингового письма в Cisco

61. • У средств защиты e-mail
могут быть плагины к
популярным почтовым
клиентам (опционально)
• Позволяют не только
повысить эффективность
защиты за счет получения
пропущенных но и
вовлечь пользователей,
повышая их культуру ИБ
Плагины к почтовым клиентам
Плагин для MS Outlook для отметки
спама

62. Конечное
устройство
Не забудьте про безопасность конечных
устройств
ПесочницаThreat
Intel
Облако
Другие решения по ИБ

63. Функции браузеров, плагины к ним и
средства защиты ПК

64. Глобальный контекст
Вендор, который знает все
взаимосвязи фишинговой
инфраструктуры
Ваши локальные знания
Вендор, который
борется с тем, что
известно только вам
Локальная vs глобальная ИБ

65. Ориентация на фишинговые
инфраструктуры, а не на жертву

66. Обучение пользователей
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66

67. • Строка адреса в браузере
• Написание домена
• Символ замка (наличие HTTPS)
• Сертификат сайта
• Ошибки в тексте
• Просьба внести деньги
• Просьба указать свои идентификационные данные
На что обращать внимание пользователей

68. Системы компьютерного обучения
• Системы, обеспечивающие процесс
обучения, как целой кампании, а не
разового события
• Различные формы донесения
материала
• Напоминания и награждения
• Измерение и отслеживание
результатов

69. Базовый чеклист для систем
компьютерного обучения (SAT)
• Не перегружать внутренние ресурсы
• Ведение людьми, имеющими опыт обучения
• Адаптация под специфические (отраслевые) угрозы
• Обновление с учетом новых угроз в близком к реальному времени
• Обеспечивает вовлечение в процесс обучения
• Внедряется в реальный процесс (например, в почтовые клиенты)
• Имеет возможность сообщать о подозрительных письмах
• Удобные отчеты

70. Как составить фишинговое письмо?

71. Учитывайте особенности своей компании
Общие
• Я переслал вам документ
• Ваш пароль изменен
• Нас заинтересовало ваше
резюме
• Напоминание о встрече с
руководством
• Ваша учетная запись
будет заблокирована
Специфические
• Непрослушанное
голосовое сообщение
• Скан от МФУ на втором
этаже
• У нас в офисе новый
доктор
• Прививки от гриппа
• Распродажа б/у лэптопов

72. Группируйте получателей
• Текст сообщения, группы и частота рассылки зависит от роли и
результатов прежних рассылок

73. Многоходовые комбинации
Доверяй, но проверяй

74. Визуализация в плакатах и подписи e-mail

75. Геймификация
http://www.ucl.ac.uk/cert/antiphishing/ https://www.consumer.ftc.gov/articles/0003-phishing
http://www.icicibankgames.com/phishing.php https://www.wombatsecurity.com

76. Нестандартные ходы
• «Фишки» для антифишинга J
• Учите пользователей
защищать не только
корпоративные или
ведомственные ресурсы от
фишинга, но и личные
• Так вы завоюете их доверие и
признательность

77. • Помимо собственных
пользователей не забывайте
про повышение
осведомленности и своих
клиентов
• Особенно, если это требование
НПА (например, 382-П)
Не забывайте про обучение клиентов

78. • В 2016-м году каждый месяц
обнаруживалось около 400
тысяч фишинговых сайтов
• Поручать именно сотрудникам
защиту от фишинга и ждать от
них высокой эффективности
нереалистично
• Несовершенство людей делает
невозможным распознавание
всех фишинговых атак
Помните!
Поведение изменить
практически невозможно L

79. • Борьба с фишингом пока не стала
повседневной задачей (особенно в
условиях стресса)
• Злоумышленники используют spear
phishing, который даже специалисты не
могут распознать на лету
• Любопытство сильнее безопасности
Почему обучение не работает
Антифишинговая программа
Cisco получила в 2016-м
году награду

80. От обучения к симуляции
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80

81. Фишинговые симуляторы
• Обычно дополняют системы
обучения ИБ (Security
Awareness Training, SAT)
• Позволяют эмулировать
фишинговые кампании и
отслеживать тенденции в
поведении пользователей
• Не забывайте про языковую
поддержку!

82. Это может быть недорого
• Для регулярной проверки
способности
пользователей
противостоять фишингу
есть open source
решения
• Но в случае с open
source вам придется все
кампании продумывать
самостоятельно
https://getgophish.com

83. Российские сервисы по антифишингу
http://www.antiphish.ru http://phishman.ru

84. • MediaPro (https://www.mediapro.com/)
• TraceSecurity (https://www.tracesecurity.com/)
• PhishLabs (https://www.phishlabs.com)
• Wombat Security (https://www.wombatsecurity.com)
• PhishMe (http://www.phishme.com)
• BeOne Development (https://www.beonedevelopment.com/)
• PhishLine (https://www.phishline.com)
Фишинговые симуляторы

85. • Наличие процесса реагирования на инциденты
• Регулярная или внеплановая (при подозрении или инциденте)
смена паролей
• Взаимодействие с правоохранительными органами
• Внедрение системы Threat Intelligence
Не забудьте!

86. • Управление «К» МВД
• Генпрокуратура
• Лаборатория Касперского
• Group-IB
• РОЦИТ
• Лига безопасного интернета
• А также RU-CERT, Бизон, FinCERT и
регистраторы (по заявлению)
Разделегирование доменов

87. Как измерить эффективность
системы защиты от фишинга?
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 87

88. Системы защиты e-mail с отслеживанием
переходов по ссылкам

89. Как оценить защиту от фишинга?
Предотвращение
• % доставленных
фишинговых писем
• % кликнутых
фишинговых писем
• % ложных
срабатываний
Обнаружение
• % фишинговых
писем, о которых
сообщили
пользователи
• Время обнаружения
(TTD)
• Соотношение
ложных
обнаружений и
необнаружений
Реагирование
• Время локализации
(TTC)
• Время на
устранение (TTR)
• Стоимость
инцидента

90. Q1
New Doctor
Q2
Background Check
Q3
Account Closing
Q4
Plan Recruitment
Cisco 13% 19% 10% 5%
Information
Security
1% 8% 6% 1%
• Фишинг – это источник #1
компрометации оконечных
устройств
• Реализуем различные степени
сложности каждый квартал
• Достаточно всего одного письма,
чтобы скомпрометировать
сотрудника
Оценка фишинговой кампании в Cisco

91. Спасибо!