Изследване на тенденциите в уязвимостта на фишинг атака свързани с картови операции и онлайн банкиране
Александър Йорданов/ Кирил Николов
Българска банка за развитие ЕАД/ Главна дирекция за борба с организираната престъпност
Фишингът като понятие в Киберсигурността е добре познат нерегламентиран способ за придобиване на чувствителна информация от потребители (лична или финансова), с оглед използването й за извършване на други престъпления или злонамерени деяния. Предвид факта, че фишингът цели главно чрез различни неверни или измислени обстоятелства и твърдения да въведе в заблуждение и да поддържа такова в дадената жертва, той по – скоро следва да се отнесе към социалното инженерство, а не към типичните компютърни престъпления. Самото понятие фишинг (от английски език и означава „риболов“) много добре онагледява пасивния подход на дееца, който създава фалшив уебсайт или копие на съществуващ, където попадайки, даден потребител e подканен да въведе своите данни за достъп, да извърши плащане или друго нерегламентирано действие без негово знание. Практиката показва, че фишинга има различни полета за приложение, както при електронни комуникации, при които извършителят приема чужда самоличност с цел заблуда, така и при изграждането на копия на уебсайтове на банки, държавни или финансови институции и прочее.
Как работи фишингът:
Обикновено фишинг атаката започва с имейл, който изглежда като официално съобщение от доверен или надежден източник, например Ваш ръководител, колега, банка, онлайн търговец или оператор за онлайн разплащания. Чрез връзка (линк) в писмото потребителя бива пренасочен към фалшива интернет страница (уебсайт), имитираща визуално страницата на оригиналната услуга. Като следваща стъпка се изисква бъдат предоставени лични данни като потребителски имена, пароли и данни за кредитни карти. Фишинг измамите целят да предизвикат силна емоция в съзнанието на жертвите, които са склонни да бъдат по-наивни, отколкото трезво да размислят дали не са цел на измама.
Друг вид фишинг съобщения са написани според най-добрите образци на корпоративния етикет. Оформени са кратко, точно, ясно, за да не будят никакво съмнение, че идват от авторитетен източник.
Като следващ фишинг сценарий се срещат писма с прикачен файл – наглед стандартен файл в PDF, Word или Excel. Това, което не е видимо обаче е, че това всъщност е злонамерен файл. Щом го стартира потребителя ще зарази компютъра си, след което нападателя/ нападателите ще поемат контрол над него. Веднъж проникнали в компютъра на потребителя пътят им е отворен към цялата инфраструкура на фирмата, ако зарезеният компютър е част от нея. Както по-горе насчохихме вниманието Ви движещата сила на фишинга е комбинацията от силна емоция и доверие, които мотивират сляпо следване на инструкциите и не биват поставяни под съмнение, тъй като изглеждат легитимни.
Съществуват множество подходи към използването на фишинга:
- Clone phishing – повторно изпращане на легитимни съобщения, получени вече от жертвата, но с манипулирани линкове. Измамникът използва извинението, че повторно изпраща оригиналното съобщение поради проблем с връзката или прикачения файл в предишния имейл, за да примами крайните потребители да кликнат върху тях.
- Evil twin phishing – нападателят създава дублираща мрежа , също като оригиналната, и когато се свържат крайните потребители, подслушва мрежовия трафик, за да открадне имена на акаунти, пароли, докато потребителят е свързан с компрометираната мрежа. Атаката е известна като схемата Starbucks, защото най-често се прилага в кафенета.
- SMS phishing – версия на фишинг атака, при която хакерите се опитват да откраднат лична информация през мобилното устройство чрез текстово съобщение. Свързването става чрез текстово съобщение, представяйки се за доверен източник, например служител на банка, който моли да кликнете връзката в съобщението за да потвърдите нещо, което от своя страна сервира компрометирана уеб страница.
- Spear phishing – прецизно обмислени атаки, предназначени за конкретни лица или групи. Хакерите използват тактики от социалното инженерство, за да персонализират имейлите с лична информация за техните жертви и да увеличат степента на доверие и успеваемост при получаване на лична информация или следване на посочени действия.
- Vishing – в телефонно обаждане измамникът, ползвайки лична информация, събрана от социални мрежи или по друг начин, прилага тактики от социалното инженерство и се опитва да заблуди отсрещната страна да предостави информация или финанси.
Фишингът като действие е една предикатна дейност към извършване на престъпление, но самото то не намира отчетливо място като съставомерно деяние в наказателния кодекс и повдига редици спорове и въпроси, относно същността му. От края на 2020г., поради настъпилата световна пандемия много големи корпорации, банки и финансови компании за разплащания пренасочиха усилия и средства към бърза и все по – голям дигитализация на своите услуги, които от своя страна изискват регистрация чрез някакъв вид електронна комуникация. Всекидневно към електронните пощи на хиляди потребители се разпращат фишинг съобщения, които остават латентни за правоохранителните органи по цял свят.
Според доклада на CISCO`s за тенденциите в киберсигурността за 2021 г., около 90% от нарушенията на данните се дължат на фишинг. Фишингът е най-често срещаният тип фишинг атака, съставляваща 65% от всички фишинг атаки.
Докладът на IBM за разходите за нарушаване на данните за 2021 г.е установил, че фишингът е вторият най-скъп вектор за атака, докато компрометирането на корпоративни имейли заема първо място, струвайки на бизнеса в САЩ средно $5,01 милиона.
За България по данни на отдел „Киберпрестъпност“ – ГДБОП са отчетени 145 случая към средата на 2022 г., при които в резултат на фишинг е настъпила финансова щета за конкретно пострадало ФЛ или ЮЛ в сравнение с предходната 2021 г., през която този брой случаи е отчетен за цялата година. Статистиката показва, че най – голям дял в опитите заема фишинга чрез имейл кореспонденцията, при която измамниците се представят за банкови служители, представители на различни държавни агенции или оставят препратка с линк към нелегитимно копие на уебсайта на дружеството, което графично онагледява портала, в който потребителя е подканен да даде своите данни за вход.
Ще представим на вниманието Ви реален случай, който ще опише стъпките, чрез които престъпната схема доведе до финансова загуба в размер на 75 000 (седемдесет и пет хиляди) лв. за две фирми в рамките на няколко часа:
- През месец септември 2022 г. собственичка на счетоводна къща е била обект на хакерска атака по имейл.
- Следствие на това и поради липса на работеща антивирусна програма, компютъра на счетоводителката е заразен със зловреден софтуер, чрез който хакерите получават пълен достъп върху машината.
- Получават данни за използваните от нея потребителски имена и съответните пароли за достъп до интернет банкирането на двете фирми.
- Изучават поведението й на плащания в онлайн банкирането, което тя използва при обслужването на двете фирми.
- Набират чрез интернет мрежа от „финасови мулета“ – лица, които откриват лични картови сметки във фирма за финансови разплащания.
- Изчакват постъпване на парични потоци по сметките на двете фирми.
- В деня на измамата чрез фалшиво пълномощно/ лична карта извършват смяна на СИМ картата на счетоводителката в магазин на обслужващия Телеком.
- Излъчват преводи от двете сметки на фирмите към картовите сметки на „финансовите мулета“ равни суми на обща стойност 115 000 (сто и петднадесет хиляди) лева.
- Получават кодовете за потвърждаване на плащанията на сменената СИМ – карта на счетоводителката.
- „Финансовите мулета“ чрез дебитни карти изтеглят на АТМ – устройства на банки в два града получените суми.
- З часа след като не получава никакви обаждания, счетоводителката установява, че телефона й не работи, посещава магазин на Телекома и разбира, че картата й е била преиздадена по-рано през деня в друг град.>
- Уведомява управителите на двете фирми, които чрез обслужващата ги банка успяват да блокират сумата от 40 000 (четиредесет хиляди) лева, с която се намалява тяхната загуба.
Такива опити са често срещани с оглед опити за достъпване на интернет банкирането на жертви чрез комбинацията от фишинг и подмяна на СИМ картата “SIM swaping”, с цел пълно придобиване на достъп и оторизиране на транзакции. В този процес пръстъпната мрежа пуска своите пипала и сред Телеком компаниите на пазара. Този тип атаки представляват 25 процента от засечените фишинг атаки за изминалата година по данни на ГДБОП – МВР. Това е логично, защото комплексния характер на изпълнение изисква по – голям ресурс за изпълнение и често се таргетират юридически лица и дружества, при които финансовата щета ще оправдае усилията.
По – голям процент от около 40 на сто заемат фишингите, свързани с картови операции, с които се цели придобиването на данни за платежния инструмент. При тези операции е необходимо единствено изграждането на нелегитимен сайт, в който жертвата да се опита и извърши плащане чрез платежния инструмент, като посочи данните, необходими за конкретно заплащане на услуга или покупка.Тревожен е факта, че все повече компютърните престъпления навлизат в дигиталния свят и се установява, че множество интернет базирани приложения, сайтове и портали се оказват незащитени или обект на различни атаки.
Литература:
[1] Cisco Umbrella: Security threat trends: phishing, crypto top the list. In a security efficacy test performed by AV-TEST Cisco Umbrella received the highest threat detection rate in the industry at 96.39%. Cybersecurity threat trends: phishing, crypto top the list – Cisco Umbrella © 2022 Cisco Umbrella
[2] Tessian: Must-know phishing statistics: updated 2022 Phishing Statistics (Updated 2022) – 50+ Important Phishing Stats – Tessian © Tessian Limited
[3] Министерство на вътрешните работи: Главна дирекция борба с организираната престъпност Киберпрестъпност | ГДБОП (gdbop.bg)