O que podemos aprender sobre como os cibercriminosos executam campanhas de phishing

Gerentes de TI inteligentes e competentes são responsáveis ​​pela proteção de sites, servidores e outros dispositivos de rede. Eles usam ferramentas e técnicas modernas. No entanto, o treinamento de proteção e segurança dos usuários finais, representantes de suporte, secretárias e outros trabalhadores deixa muito a desejar.

Como mostram vários relatórios, o phishing geralmente é a opção mais comum para os cibercriminosos obterem acesso ao sistema de destino. Neste artigo, abordaremos técnicas e ferramentas específicas usadas em phishing para ajudar sua empresa a entender e combater melhor a ameaça.

Vamos começar do começo, ou melhor, com a definição do que é phishing. Phishing é um tipo de fraude, cujo objetivo é obter acesso a dados confidenciais do usuário, por exemplo: nomes de usuário, senhas e números PIN.

Quais métodos os bandidos usam? Os métodos mais populares são;

• Enviar e-mails falsos com links ou anexos maliciosos;
• Criando sites falsos;
• Mensagens pessoais falsas em redes sociais e outros meios de comunicação;
• Unidades flash “dispersas” (nível físico)

Vamos dar uma olhada no processo de criação de recursos da web para phishing. Esse processo é um dos mais usados ​​e é um elemento integrante de outros ataques cibernéticos.

Este artigo trata da ordem das ações em uma campanha de phishing, bem como das ferramentas auxiliares.

Veja também: Mais de 50 estatísticas e fatos de phishing para 2023-2023

Escolhendo o domínio

Primeiro, os hackers registram um domínio em que seu serviço \ recurso da Web malicioso será hospedado.

• Técnicas comuns incluem a substituição de caracteres visualmente semelhantes: i -> eu
• Substituição de caracteres usando Punycode
• Registrando qualquer nome de domínio aleatório, mas usando um subdomínio com um nome de destino que ficará visível no início, como admin.bankofindia.com.sample.com. É muito eficaz para clientes móveis, onde a barra de endereço na maioria dos casos é cortada devido ao tamanho da tela.
• Registre exatamente o mesmo domínio em outra zona, por exemplo, bankofindia.io.
• Usando algo “original” como bankofindia-blog.io.
• Usando software especial que implementa alguns dos métodos descritos, por exemplo, EvilURL e DomainFuzz.

Os funcionários da empresa devem ser instruídos a sempre verifique duas inconsistências no domínio na barra de URL do navegador e depois do símbolo @ nos endereços de e-mail.

Após selecionar o nome do site, os hackers o vinculam a um endereço IP e configuram recursos adicionais.

É comum os hackers usarem serviços de hospedagem populares que dão acesso ao painel de administração, onde tudo pode ser configurado com apenas alguns cliques. Por exemplo, eles podem alugar um VPS na DigitalOcean por 5 USD por mês.

As próximas etapas estão configurando SPF, DKIM, DMARC:

• O SPF (Sender Policy Framework) é uma entrada de texto DNS que mostra uma lista de servidores que devem ter permissão para enviar email para um domínio específico.
• 2) DKIM (DomainKeys Identified Mail) deve ser considerado um método para verificar se o conteúdo das mensagens é confiável, o que significa que elas não foram alteradas a partir do momento em que a mensagem saiu do servidor de email inicial. Essa camada adicional de confiança é alcançada pela implementação do processo padrão de assinatura de chave pública / privada.
• 3) O DMARC (Autenticação, Relatório e Conformidade de Mensagens com Base no Domínio) capacita o SPF e o DKIM, declarando uma política clara que deve ser usada sobre as duas ferramentas mencionadas e permite definir um endereço que pode ser usado para enviar relatórios sobre as estatísticas das mensagens de correio. coletados pelos receptores em relação ao domínio específico.

Em seguida, se o plano for enviar mensagens de phishing usando email, é necessário adicionar contas de email associadas ao domínio. As tarefas de envio reais podem ser delegadas a serviços de terceiros, o que pode ajudar em alguns casos. Por exemplo, bandidos usam serviços legítimos como SendGrid, Mandrill, GMail for Business.

A próxima etapa é emitir um certificado SSL para o domínio de phishing. Isso permite que o hacker habilite o HTTPS em seu site falso, o que pode fazer as vítimas confiarem mais nele. No passado, o HTTPS era geralmente indicativo de um site legítimo, mas esse nem sempre é o caso, e a equipe da empresa deveria estar ciente disso..

Vamos criptografar funciona perfeitamente bem para isso. Existem muitos scripts de implantação, dependendo do servidor da web usado.

Para ativar o HTTPS em seu site, o hacker precisa obter um certificado (um tipo de arquivo) de uma Autoridade de Certificação (CA). Vamos criptografar é uma autoridade de certificação. Para obter um certificado para o domínio do seu site a partir de Vamos criptografar, eles apenas precisam demonstrar controle sobre o domínio. Além disso, muitos provedores de hospedagem oferecem suporte interno gratuito para o Let’s Encrypt.

Criando cópias falsas de páginas da web legítimas

O phishing depende de páginas da web falsas que parecem idênticas às páginas legítimas para induzir as vítimas a inserir informações particulares, como uma senha. A primeira opção é copiar o site autêntico manualmente, através do navegador ou usando o GNU Wget. É necessário alterar links, copiar estilos e imagens, ver quais solicitações são enviadas quando os usuários tentam se autenticar na página e criar um script que copie os dados enviados para ela..

No final, alguns fazem um redirecionamento opcional para a página original. Existem muitos exemplos desses scripts na internet.

Diante disso, os funcionários da empresa devem estar cientes de que sites de phishing podem parecer perfeitamente idênticos ao site autêntico eles estão se passando por eles; portanto, a aparência não é uma boa maneira de julgar se um site é legítimo ou não.

A segunda opção é usar o Social-Engineer Toolkit. Em geral, essa não é a melhor opção, pois envolve seu próprio servidor web. No tópico estruturas de phishing, mais algumas incluem: Gophish e King Phisher

Enviando e-mails de phishing

Os golpistas de phishing precisam coletar muitos endereços de email. De onde? Existem muitas opções:

• No site de destino. O software e os serviços incluem: Extrator de Email Online Grátis, Extrator de Email Hippo, Email Grabber.
• A partir de dados DNS e WHOIS, usando um serviço como MxToolbox, DNSdumpster.com
• Força bruta simples.
• De redes sociais como LinkedIn, Facebook.
• Bancos de dados de email especializados: Hunter, Toofr.
• De motores de busca populares.
• De todos os tipos de bancos de dados vazados (às vezes, os endereços de e-mail combinam com uma senha válida): Snusbase, We Leak Info.
• Software OSINT especial, por exemplo, Maltego.

O tópico de um OSINT (inteligência de código-fonte aberto) está além do escopo deste artigo, mas darei a você alguns links onde você pode aprender mais sobre os serviços, abordagens e ferramentas disponíveis: Framework OSINT, OSINT Awesome OSINT bom OSINT pode ajudar bastante em ataques direcionados de phishing, mas os custos de mão-de-obra são bastante altos e raramente são usados ​​em ataques de baixo nível.

Funcionários da empresa deve assumir que todos os seus endereços de email estão publicamente disponíveis e qualquer pessoa, incluindo golpistas, pode segmentá-los.

Criando e-mails de phishing

Depois que os endereços de email forem coletados, é hora de realizar uma campanha de email de teste. Os bandidos costumam fazer isso usando um domínio separado. As campanhas de teste ajudam a entender como é uma mensagem de e-mail típica da empresa, como são as assinaturas, o formato geral da mensagem, seus títulos, quaisquer ferramentas antispam, o cliente de email usado e outras coisas.

A maioria das empresas usa seu próprio design de assinatura, que inclui o nome completo do funcionário, cargo, detalhes de contato etc. Os hackers apenas o copiam, prestando atenção à estrutura, design visual (cor, fonte) etc..

Qualquer email contém cabeçalhos que podem ajudar a entender se um sistema de filtragem é usado ou para fornecer detalhes sobre clientes de email específicos ou interfaces da web..

Falando em filtros de spam, antes de enviar novos e-mails, os criminosos testam suas mensagens com o SpamAssassin em um sistema separado. O SpamAssassin fornece uma “Pontuação” – uma avaliação subjetiva da probabilidade de um email específico ser spam. Essa pontuação é uma oportunidade de fazer edições antes de enviar e-mails reais para garantir que eles não sejam pegos nos filtros de spam.

Quanto ao linha de assunto do email, são usados ​​os mais simples e comuns:

• Por favor assine documentos
• Pesquisa
• Horário de trabalho para férias

Se a carta estiver no formato HTML e houver links para recursos de terceiros (estilos, imagens), alguns clientes de email bloquearão esse conteúdo por padrão, embora possa ser desbloqueado pelo usuário. Os hackers usam truques de engenharia social para fazer os usuários clicarem. Por exemplo, uma mensagem pode incentivar os usuários a visualizar um infográfico ou cupom.

Os funcionários da empresa devem ser instruídos a ficar de olho nesses truques comuns e nunca clique em links ou anexos em emails não solicitados.

Às vezes, bandidos especificam vários destinatários (o cabeçalho Cc) na mesma empresa. As vezes eles usam Fwd ou Ré na linha de assunto – tudo isso acrescenta confiança.

Veja também: Golpes comuns de phishing

Anexos de email

Quando o texto estiver pronto, é hora de prosseguir para os anexos. Os hackers podem não estar apenas interessados ​​em fazer com que as vítimas abram emails. Eles também podem querer penetrar no dispositivo do destinatário com malware, e os anexos de e-mail são uma avenida privilegiada para isso..

O que os bandidos costumam enviar? Basicamente, Documentos do Microsoft Office e, às vezes, arquivos. O envio de extensões executáveis ​​típicas (.exe) tem quase 100% de certeza de que é interrompido por um filtro de spam. É estranho, mas as empresas filtram quase todas as extensões de arquivos potencialmente perigosas em anexos, mas permitir que RAR, ZIP e outros arquivos passem.

No caso de documentos de escritório, as seguintes opções são usadas:

• Todos os tipos de explorações para vulnerabilidades públicas;
• Macros;
• Troca Dinâmica de Dados;
• OLE;
• Formatos de arquivo menos comuns, como HTA. Às vezes, é possível encontrar explorações ou vulnerabilidades.

Se os hackers estiverem interessados ​​apenas em registrar uma tentativa de abrir um arquivo, eles têm alguns métodos para fazer isso:

• Acessando uma fonte externa (às vezes com a possibilidade de vazar dados úteis)
• Assinando o documento com um certificado digital
• Monitorando o contato com os servidores CRL ou Timestamp.

Novamente, a equipe nunca deve clicar em anexos em emails não solicitados e tenha especial cuidado com documentos e arquivos compactados do Microsoft Office.

Redes sociais

Para redes sociais e outros meios de comunicação, a abordagem não é muito diferente do phishing de email em geral. Os fóruns da Darknet contêm lixeiras com cópias de correspondência pessoal e bate-papos. Eles visam formar um relacionamento confiável com uma vítima que leva ao envio de um link ou arquivo malicioso.

Os funcionários da empresa devem estar cientes de que podem ser direcionados através das mídias sociais e também por e-mail.

Mídia física

Os hackers podem deixar unidades flash USB ou outras mídias físicas espalhadas para atrair as vítimas a inseri-las em seus dispositivos pessoais. As táticas variam amplamente, mas geralmente, de uma forma ou de outra, há uma oportunidade de interagir com os funcionários. Na maioria dos casos, bandidos usam Rubber Ducky ou suas réplicas baratas do AliExpress.

Companhia A equipe de TI deve definir uma política que não permita o uso de dispositivos USB pessoais no escritório.

O impacto do phishing

As coisas tendem a ficar fora de controle se um usuário ficar no ar, especialmente se o alvo for um funcionário da empresa. Após obter credenciais de acesso confidenciais, o adversário pode roubar propriedade intelectual e outros materiais corporativos proprietários. Além disso, eles podem prejudicar a reputação da empresa divulgando algumas comunicações internas – em última análise, isso prejudicará a confiança dos clientes na marca. Em alguns casos, os hackers começam a chantagear as organizações. Além disso, em alguns cenários, as organizações também podem enfrentar custos diretos ao pagar multas por violar regulamentos como o HIPAA e cobrir compensações para funcionários ou clientes por não protegerem sua identidade.

Usuários regulares correm o risco de perder dinheiro com phishing se os criminosos obtiverem acesso à sua conta bancária. Um ataque bem-sucedido também pode sustentar tentativas de extorsão, em que os autores exigem um resgate por não divulgarem informações embaraçosas sobre a vítima. Instalar malware nos computadores dos destinatários é outro vetor possível da atividade dos criminosos.

No final do dia, os ataques de phishing sempre resultam em consequências adversas para usuários corporativos e domésticos. Para se manter seguro, verifique as bandeiras vermelhas listadas acima e trate e-mails suspeitos com um pouco de paranóia razoável. Mais dicas sobre como evitar phishing podem ser encontradas em nosso guia aqui.

Veja também: O que é spear phishing?