Анализ угроз информационной безопасности при использовании фишинговых сайтов

Размещено на http://www.allbest.ru/

АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ФИШИНГОВЫХ САЙТОВ

Александров Андрей Григорьевич,

Петухов Андрей Юрьевич,

Данильян Александр Сергеевич

Аннотация

В статье проведен краткий анализ нормативных правовых актов в области компьютерных преступлений, определена правовая категория фишинга как особого вида мошенничества. Выявлена проблема оказания помощи пострадавшим от фишинговых сайтов из-за недостатка высококвалифицированных специалистов в области цифровых правонарушений. В статье показана роль фишинговых атак как основного инструмента кибератак, приведена статистика распространения фишинговых атак. Авторами статьи проведен анализ угроз информационной безопасности информации пользователей фишинговых сайтов, рассмотрены методы распознавания фишинговых сайтов, представлены методы противоборства фишингу, рассмотрены некоторые правила работы в Сети. Намечены меры для нивелирования угроз информационной безопасности при кибератаках с фишинговых сайтов.

Ключевые слова: фишинг, фишинг-атака, модель угроз, кибермошенничество, аутентификация, глобальная сеть Интернет, пользователь.

Annotation

Alexandrov Andrey Grigorievich, Petukhov Andrey Yurievich, Danilyan Alexandr Sergeevich

ANALYSIS OFTHREATS TO INFORMATION SECURITYWHEN USING PHISHING SITES

The article provides a brief analysis of regulatory legal acts in the field of computer crimes, defines the legal category of phishing as a special type of fraud. The problem of providing assistance to victims of phishing sites due to the lack of highly qualified specialists in the field of digital offenses has been identified. The article shows the role ofphishing attacks as the main tool of cyberattacks, provides statistics on the spread ofphishing attacks. The authors of the article analyzed threats to the information security of users ofphishing sites, considered methods of recognizing phishing sites, presented methods of countering phishing, considered some rules of working on the network. Measures have been outlined to neutralize threats to information security during cyberattacks from phishing sites.

Keywords: phishing, phishing attack, threat model, cyber fraud, authentication, global Internet, user.

Основная часть

Фишинг в новейшей истории необходимо расценивать как значительную проблему в сфере компьютерных технологий, который является особым видом мошенничества.

Именно развитие глобальной сети Интернет дало сильный толчок продвижению сетевого мошенничества, и в настоящее время в уголовном законодательстве Российской Федерации не предусматривается ответственность за совершение таких деяний, как фишинг и социальная инженерия. Что же такое фишинг? Фишинг (англ. phishing, - рыбная ловля) - вид интернет-мошенничества, цель которого - получить идентификационные данные пользователей.

Особую популярность фишинг получил в 2020 г. с началом пандемии, связанной с COVID-19 [1]. Например, получение поддельных QR-кодов и сертификатов о вакцинации - частый метод обмана граждан, явившийся следствием введения некоторых привилегий для привившихся граждан, вследствие чего стали образовываться поддельные сайты Госуслуг, где пользователям предлагалось ввести свои персональные данные, которые попадали в руки злоумышленников.

Сегодня фишинг по-прежнему является актуальным средством проведения кибератак со стороны преступников. Последние тенденции говорят о том, что фишинг становится нацеленным на конкретные объекты. Это вызвано тем, что в таких атаках участвуют уже профессионалы, а целями являются финансовые институты (Spear phishing) и конкретные лица (Whaling).

В настоящее время в уголовном законодательстве Российской Федерации нормативно не установлена ответственность за совершение таких деяний, как фишинг и социальная инженерия.

В действующем УК РФ предусмотрена ответственность по ст. 159.6 Уголовного Кодекса РФ «Мошенничество в сфере компьютерной информации» [2]. Анализируя состав преступления, предусмотренный данной статьей, можно прийти к выводу, что объективная сторона фишинга полностью подпадает под компьютерные преступления. Состав мошенничества имеет место, когда потерпевшие добровольно, введенные в заблуждение о достоверности интернет-ресурса, перечисляют злоумышленникам денежные средства, выдают данные банковских карт. Кроме того, зачастую через такие сайты преступники получают денежные средства со счетов мобильных телефонов пользователей.

Пострадавшие от действий фишинг-мошенников могут предъявить к последним гражданские иски о возмещении убытков или морального вреда. Но в настоящее время такая практика по делам фишинговых сайтов довольно мала в связи с недостатком высококвалифицированных специалистов в области цифровых правонарушений. Главной проблемой является недостаток знаний и опыта в доведении таковых дел, как до суда, так и до обвинительного вердикта. Кроме нанесения вреда в сфере компьютерной информации правонарушения, связанные с фишингсайтами, можно квалифицировать и по ст. 180 УК РФ. В этом случае мошенники в целях введения жертвы в заблуждение, используют товарные знаки и иные средства индивидуализации известных брендов при создании ложных сайтов.

Таким образом, несмотря на отсутствие в законодательстве РФ прямого указания об ответственности за фишинг, существуют эффективные инструменты правового регулирования по такому виду мошенничества.

Человеческий фактор во все времена был слабым звеном в любой системе защиты. В настоящее время фишинг является наиболее популярным методом в социальной инженерии.

Многие организации к 2022 г. приобрели лучшие средства защиты информации (и даже успели заменить их на отечественные аналоги), но для борьбы с современными цифровыми атаками и предотвращения инцидентов технических средств и стандартных процессов недостаточно. Требуется дополнительный уровень защиты, основу которого составляют люди - рядовые сотрудники, разработчики ПО и даже клиенты организации.

По данным компании «Антифишинг», а также на базе открытых источников, за 2021 г. 30 % сотрудников открывали фишинговые письма, а 21 % переходили по ссылкам из таких писем, скачивали и открывали вложенные в письма программы.

Решить данную проблему помогает организация обучения сотрудников и целенаправленная тренировка навыков. Такие тренировки помогают формировать правильные реакции, необходимые для защиты организации от цифровых угроз.

Фишинг-атаки в правительственных организациях являются основной угрозой информационной безопасности.

Проникая в информационную систему компании, киберпреступник через вредоносный код или поддельные фишиноговые сайты может попадать во многие области этой корпоративной сети, включая области ограниченного доступа и поиска источников уязвимостей информационной системы.

Статистика последних нескольких лет показывает, что от фишинг-атак сильно страдает малый и средний бизнес. Связано это в первую очередь с началом пандемии COVID-19 и переходом большого количества организаций на удаленную работу, слабой защитой конечных пользователей, не проработанностью системы информационной безопасности, а также с ежегодным возрастанием спроса в области информационных технологий.

При этом до того, как будет осуществлена атака, компания может и не подозревать, что является мишенью. В большинстве случаев фишинговые мошенники получают доступ к важной сети компании, после чего подготавливается сама атака. Это указывает на недостаточно качественное обучение сотрудников основам информационной безопасности.

В данной связи целесообразным будет рекомендация государственным организациям по проведению обучения сотрудников по противодействию информационным угрозам, в том числе фишингу.

Основной целью фишинговой атаки последних лет является электронная почта - 96 %. Атака с помощью веб-сайта - 3 % и по телефону или SMS - 1 %. Исходя из данных, можно с уверенностью говорить об особой уязвимости веб-почты. Особо интересными целями у злоумышленников являются фишинговые атаки на Gmail и Outlook. Компрометация служебной электронной почты в начале 2020 г. увеличилась с 61 % до 72 %, при которой основным распространителем вредоносных ссылок стала веб-почта Gmail. Форматом распространения атак чаще всего являются исполняемые файлы Windows. Такой большой процент атак связан в первую очередь с большой популярностью компании Microsoft во всем мире, на долю которой приходится 43 % брендов мира в компьютерной сфере. Наиболее популярные вредоносные форматы файлов во вложениях это: EXE, RTF, DOC. Треть мошеннических сообщений, а именно 34 %, поступают не из внешних источников, а в результате сговора сотрудников или внешних подрядчиков, т. е. доверенных лиц, с мошенниками в обмен на деньги [3].

Одной из причин разрастания данной «болезни» является простота исполнения. Не нужно обладать глубокими знаниями в программировании, чтобы создать такой сайт. На просторах Интернета достаточно открытых источников, в которых подробно объясняют механику создания фишинг-сайтов. На примере одного из таких источников разберем механику их создания и работы.

Фишинг-сайты. Легко и быстро создаем фейк -- Lolz.guru описывает процесс создания следующим образом.

Злоумышленник копирует страницу популярного ресурса так, чтобы пользователь, зашедший по адресу фишинг-сайта, увидел привычную и знакомую форму входа и без лишних подозрений об адресе сайта ввел свой логин и пароль. Со стороны «начинки», а именно кода сайта, все также довольно просто, т. к. злоумышленник копирует с небольшими изменениями код оригинального ресурса, добавляя лишь скрипты для перехвата логина и пароля, введенные пользователем. После этого злоумышленнику остается лишь зарегистрировать и подключить к хостингу свой сайт с визуально максимально схожим с оригиналом адресом. Пожалуй, самой сложной частью останется то, каким способом будет преподнесен фальшивый адрес ресурса пользователю, с чем справляется социальная инженерия и определенные виды распространения фейков и паразитной информации.

Развитие IT-сферы по всему миру лишь набирает обороты. И как у любого аспекта жизни, здесь также существует оборотная сторона монеты. Постоянно множатся способы обогащения за счет обмана людей в информационной сфере.

Так, компанией Positive Technologies были исследованы схемы фишинга за 2021 г. и составлен список наиболее популярных киберпреступлений в этом направлении [4].

1. Коронавирусная тема. За последние годы именно пандемия COVID-19 глобально повлияла на информационную жизнь людей. Вследствие этого проявилось огромное количество «разводов» с использованием поддельных сайтов.

2. Фишинговые рассылки от, якобы, компаний и партнеров, заслуживших доверие граждан. По результатам работ по оценке осведомленности пользователей, люди в 2021 г. часто попадались на уловки, связанные с выплатами премий и зарплаты, улучшениями социального пакета [4] (54 % открытий), а также изменением условий банковского обслуживания (59 % случаев) [5]. Часто файлы, отправляемые письмом, содержат вредоносное программное обеспечение, запуск которого может нанести ущерб организации.

3. Новинки кино и ожидаемые сериалы. В период ярких премьер фильмов создаются сайты-близнецы, которые предлагают купить подписку на ожидаемую кинопремьеру и таким образом получают данные банковских карт граждан.

4. Аферы на спорте. Наиболее популярными за 2021 г. являлась онлайн-продажа фальшивых билетов на Чемпионат Европы по футболу.

5. Обещание определенных благ и компенсаций жертвам мошенников. При использовании репутации популярных брендов и компаний мошенники завлекают различными выплатами. Например, выдача кредита на выгодных условиях, при этом просят ввести учетные данные для входа в личный кабинет.

6. Почта. Фальшивые письма от сервисов доставки. Получателя просят внести небольшую сумму: как правило, оплату доставки или таможенной пошлины. Если пользователь соглашается внести деньги, он рискует не только этими деньгами, но и тем, что к его персональным данным получат незаконный доступ третьи лица.

7. Покупка билетов. Классический вариант мошенничества - заманивание выгодными акциями и скидками на туры, номера в отелях, билеты на все виды транспорта.

8. Фейковые знакомства. В последние годы стало популярным использование приложений для знакомства. Мошенники используют поддельные профили, назначая жертвам фейковые свидания, прося оплатить совместный досуг.

9. Подписки на сервисы. Такая схема заключается в рассылке писем, в которых предлагают оформить или продлить подписку на различных платформах с последующим развитием, в дальнейшем осуществляя атаки в разных направлениях.

10. Инвестиции. Злоумышленники создают фишинговые сайты, имитирующие информационные ресурсы известных компаний и брендов, предлагая пользователям заработать, например, на криптовалюте, нефти и газе. В этих целях могут создаваться целые инвестиционные платформы [6].

Существуют методы по распознаванию фишинговых сайтов.

Решить данную проблему помогает организация обучения сотрудников и целенаправленная тренировка навыков. Такие тренировки помогают формировать правильные реакции, необходимые для защиты организации от цифровых угроз.

Основная задача создателей ложных сайтов состоит в отвлечении пользователей от анализа страницы и поиска признаков подделки. Мошенники отслеживают популярные на данный момент темы или же просто воздействуют на человеческую жадность и невнимательность к деталям.

Мошенники могут сыграть и на чувстве страха. Например, предлагая удостовериться, числится ли банковская карта в списке украденных хакерами данных, для чего, естественно, просят сообщить номер карты, срок ее действия, имя и фамилию владельца, а также CVC2/CVV2 код. Не точное доменное имя - один из главных отличительных признаков подделки. Например, вместо «tinkoff.ru» можно увидеть «tinkof.ru».

Отсутствие SLL сертификата. SSL-сертификат - цифровой сертификат, удостоверяющий подлинность веб-сайта. Адреса сайтов, использующие SSL сертификат, начинаются с «https://», в то время как обычные сайты в начале адреса начинаются с «http://». Но такой способ распознавания не всегда является действенным, т. к. в настоящее время действительный SSL сертификат не составит труда получить для поддельного сайта.

Ошибки грамматики, орфографии, а также в дизайне сайта. Зачастую сайт-обманку можно различить по наличию грамматических и орфографических ошибок в тексте страницы. Кроме того, должны насторожить поехавшая верстка, бросающиеся в глаза цвета дизайна страницы, наличие посторонних элементов дизайна. Признаком фишинг-сайта может являться и тот факт, что форма для ввода данных находится на фоне устаревшего дизайна сайта. Если сайт выглядит подозрительно, стоит игнорировать и не вводить личные данные.

Как правило, именно в деталях разнятся сайт оригинальный и его подделка. Например, странные контакты, адрес размещения организации, отсутствие пользовательского соглашения либо его текст с присутствием информации, не относящейся к данному сайту.

При построении системы защиты от фишинговых атак пользователям, как и компаниям, необходимо первоначально исследовать информацию, имеющуюся в открытом доступе о самом объекте защиты. Так как именно эту информацию первоначально собирают преступники и на ее основе строят тактику проведения кибератаки. Анализ полученной информации позволит выделить направления возможных атак и реализовать соответствующие средства защиты.

При выборе защитных средств следует обратить внимание на ряд аспектов. Так, защищая электронную почту, необходимо выявлять следующие особенности работы компании: доступ к личной электронной почте у сотрудников компании с рабочего места (особенно, если подключение к ящику осуществляется через Web-почту), наличие у сотрудников мобильных устройств с возможностью подключения к корпоративной почте, наличие возможностей выхода в социальные сети с рабочего места и т. п.

Защита по вышеназванным аспектам реализуется на практике двумя линиями «обороны»: средства защиты электронной почты (SPF, DKIM) и средства контроля за доступом в Интернет. При этом выделяют локальную защиту и облачную. Указанные средства позволят эффективно блокировать переход по ссылкам.

И все же, техническая защита информации не всегда обеспечивает абсолютную надежность. Важным в системе обеспечения информационной безопасности является системное обучение пользователей или персонала компании. Здесь также стоит выделить некоторые правила работы в Сети.

1. Пользователь должен четко знать и усвоить, что переход на сайты, адреса которых пришли письмом из источников, не относящихся к доверенным, является прямой угрозой безопасности.

2. Заходя на сайт, на котором требуется вводить данные банковских карт, личные данные и т.п., обращать внимание на адресную строку и другие детали, которые могут вызвать подозрение.

3. Установить и регулярно обновлять антивирусное ПО.

4. Подбирать сложные пароли, а также не использовать одинаковые пароли в разных аккаунтах.

5. Использовать многофакторную аутентификацию. Например, использовать пароль и разовый код SMS-сообщения.

6. Быть осторожным при использовании общедоступных сетей Wi-Fi.

7. При вводе личных данных обращать внимание на защищенность соединения.

Индикатором безопасности является символ замка, находящийся слева от адресной строки браузера, который может иметь несколько видов:

- закрытый замок - признак защищенного соединения;

- перечеркнутый замок - признак того, что у сайта закончился срок действия сертификата безопасности и браузер не может установить с ним безопасное соединение;

- открытый замок - признак того, что соединение с сайтом не защищено [6].

Актуальность данной проблемы состоит в относительной простоте и минимуме затраченных ресурсов злоумышленниками по отношению нанесенного ущерба организации. Ущерб может быть как информационный, так и экономический или репутационный. Например, сотруднику компании приходит письмо на почту с ссылкой на сайт доверенного источника. Переходя на сайт, который схож с оригинальным сайтом партнера данной организации, сотрудник вводит логин и пароль от административной учетной записи, вследствие чего у злоумышленника оказывается доступ к учетной записи, что может нанести серьезный ущерб организации.

Кроме того, в случае отсутствия на компьютере сотрудника средств антивирусной защиты либо ее устаревшая или нелицензионная версия, появляется возможность внедрения в компьютерную систему вредоносных программ.

Для нивелирования таких угроз необходима наработка комплексной защиты в сфере информационной безопасности, а именно:

1) оснащение средств вычислительной техники актуальным защитным программным обеспечением;

2) обучение персонала и проведение инструктажей по вопросам информационной безопасности и компьютерной грамотности;

3) принцип доверия важных сведений ограниченному высококвалифицированному кругу лиц;

4) замыкание наиболее важных вопросов в области информационных технологий на руководителе организации и его первых помощников.

Следует выделить и еще одно направление борьбы с фишингом. Это работа, направленная на разделегирование (прекращение существования) работы финишговых сайтов. Полагаем, что данное направление сегодня необходимо особенно развивать. Смысл заключается в том, что на текущий момент в России правом разделегирования работы сайтов наделены только регистраторы доменов и ряд государственных и коммерческих структур (Генеральная прокуратура, Лаборатория Касперского, Лига безопасности Интернета, Центр реагирования на инциденты Банка России и др.). У части указанных юридических лиц есть соответствующие формы для обращений об обнаруженных фишинговых сайтах. В результате после проверки сообщения указный сайт может быть заблокирован в Сети. Безусловно, развитие данного направления и широкое вовлечение граждан в эту работу может значительно повысить эффективность борьбы с распространением фишинговых сайтов.

Таким образом, исследуемый вопрос показал серьезность воздействующих факторов и наносимого ущерба, как рядовым пользователям, так и целым организациям, а также важность информационной грамотности в целях противодействия кибермошенничеству, основным критерием которого в первую очередь является бдительность и знание основ противодействия фишингу.

Литература

1. Мошенничество в интернете [Электронный ресурс]. URL: https://www.kaspersky.ru/blog/ how-to-recognize-scam-online/20909/ (дата обращения 13.10.2022).

2. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ. Доступ из справ. правовой системы «КонсультантПлюс».

3. 26 статистических данных о фишинговых атаках, которые стоит учитывать [Электронный ресурс]. URL: https://it-partner.ru/articles/26-statisticheskikh-dannykh-o-fishingovykhatakakh-kotorye-stoit-uchityvat-v-2021-godu/ (дата обращения: 14.06.2022).

4. Positive Technologies - ведущий разработчик решений для информационной безопасности, MOEX: POSI [Электронный ресурс] URL: https://www.ptsecurity.com/ru-ru/research/analytics/10-populyarnyh-fishingovyh-tem-v-2021godu-po-versii-positive-technologies/ (дата обращения: 07.06.2022).

5. Хабр - ресурс для IT-специалистов / Фишинг-2021. Топ-10 самых популярных схем киберпреступлений [Электронный ресурс]. URL: https://habr.com/ru/company/pt/blog/649473/ (дата обращения: 07.06.2022).

6. Амурская правда - ежедневная общественно-политическая газета [Электронный ресурс]. URL: https://ampravda.ru/2018/04/28/ 081634.html (дата обращения: 07.06.2022).

7. Фишинговые сайты [Электронный ресурс]. URL: https://volgograd.megafon.ru/ bezopasnoe_obschenie/fraud_on_the_internet_ social_networks/fishingovye_sayty/ (дата обращения: 07.06.2022).

8. Энциклопедия Kaspersky [Электронный ресурс]. URL:https://encyclopedia.kaspersky.ru/ (дата обращения: 07.06.2022).

9. Сторчак С.А. Обзор антифишинговых технологий // Проблемы науки. 2019. № 6(42).

10. Отчет о кибербезопасности за 2021 г. специалистов Check Point [Электронный ресурс]. URL: https://www.checkpoint.com/solutions/ threat-intelligence-research/ (дата обращения: 07.06.2022).

11. Юсупов М.Ю., Путилов А.О. Фишинг как угроза конфиденциальности в сети // E-Scio. 2021. № 10(61).

Bibliography

1. Fraud on the Internet [Electronic resource]. URL: https://www.kaspersky.ru/blog/how-to-recognize-scam-online/20909/ (date of access: 13.10.2022).

2. Criminal Code of the Russian Federation № 63-FZ dated June 13, 1996. Access from the legal reference system «ConsultantPlus».

3. 26 Phishing Attack Statistics to Consider [Electronic resource]. URL: https://it-partner.ru/articles/26-statisticheskikh-dannykh-o-fishingovykhatakakh-kotorye-stoit-uchityvat-v-2021-godu/ (date of access: 14.06.2022).

4. Positive Technologies is a leading developer of information security solutions, MOEX: POSI [Electronic resource] URL: https://www.ptsecurity. com/ru-ru/research/analytics/10-populyamyh-fishingovyh-tem-v-2021 -godu-po-versii-positive-technologies/ (date of access: 07.06.2022).

5. Habr - a resource for IT specialists / Phishing2021. Top 10 most popular cybercrime schemes [Electronic resource]. URL: https://habr.com/ru/company/pt/blog/649473/ (date of access: 07.06.2022).

6. Amurskaya Pravda - a daily socio-political newspaper [Electronic resource]. URL: https:// ampravda.ru/2018/04/28/081634.html (date of access: 07.06.2022).

7. Phishing sites [Electronic resource]. URL: https://volgograd.megafon.ru/bezopasnoe_obschenie/ fraud_on_the_internet_social_networks/fishingovye_ sayty/ (date of access: 07.06.2022).

8. Encyclopedia Kaspersky [Electronic resource]. URL: https://encyclopedia.kaspersky.ru/ (date of access: 07.06.2022).

9. Storchak S.A. Review of anti-phishing technologies // Problems of Science. 2019. № 6(42).

10. Cybersecurity report for 2021 by Check Point specialists [Electronic resource]. URL: https:// www.checkpoint.com/solutions/threat-intelligenceresearch/ (date of access: 07.06.2022).

11. Yusupov M.Yu., Putilov A.O. Phishing as a threat to online privacy // E-Scio. 2021. № 10(61).

Размещено на Allbest.ru