Имейл фишингът е една от най-разпространените форми на фишинг. Съществуват обаче редица по-малко известни техники, които много пъти се пренебрегват или подценяват, но все по-често се използват от нападателите. Нека разгледаме накратко някои от основните от тях:
SEO отравяне
Всеки месец се появяват буквално хиляди нови фишинг уебсайтове, много от които са оптимизирани за SEO (оптимизация за търсачки), за да бъдат лесно открити от потенциалните жертви в резултатите от търсенето. Например, ако някой потърси „download photoshop“ или „paypal account“, има вероятност да се натъкне на фалшив подобен уебсайт, създаден, за да подмами потребителите да споделят данни или да получат достъп до злонамерено съдържание. Друг по-малко известен вариант на тази техника е превземането на бизнес обява в Google. Измамниците просто похищават данните за контакт от легитимни фирми в Google, като карат нищо неподозиращите жертви да се свържат с тях под претекст, че общуват с упълномощен представител.
Измами с платени реклами
Измамите с платени реклами са популярна техника сред хакерите и измамниците. Нападателите използват дисплейна реклама, платена реклама за кликване и реклама в социалните мрежи, за да популяризират своите реклами и да таргетират потребителите, като карат жертвите да посещават злонамерени уебсайтове, да изтеглят злонамерени приложения или неволно да споделят идентификационни данни. Някои лоши типове дори стигат дотам, че вграждат зловреден софтуер или троянски кон в тези реклами (т.нар. malvertising), за да фишират потребителите.
Фишинг в социалните медии
Съществуват редица начини, по които заплахите се насочват към жертвите в популярните платформи на социалните медии. Те могат да създават фалшиви акаунти, да имитират доверени контакти, известни личности или политици с надеждата да примамят потребителите да се включат в тяхното злонамерено съдържание или съобщения. Те могат да пишат коментари към легитимни публикации и да насърчават хората да кликват върху злонамерени връзки. Могат да пласират приложения за игри и залагания, анкети и викторини, приложения за астрология и гадаене, финансови и инвестиционни приложения и други, за да събират лична и чувствителна информация от потребителите. Могат да изпращат съобщения, които да насочват потребителите да влизат в злонамерени уебсайтове. Те могат да създават дълбоки фалшификати, за да разпространяват дезинформация и да всяват смут.
Фишинг с QR код
Така нареченият „куишинг“ е използването на QR кодове. Измамниците са открили иновативни начини за използване на тази безконтактна технология. Атакуващите поставят злонамерени QR кодове върху плакати, менюта, листовки, публикации в социалните медии, фалшиви депозитни разписки, покани за събития, паркинги и други места, като подвеждат потребителите да ги сканират или да извършат онлайн плащане. Изследователите отбелязват 587% ръст на атаките с quishing през последната година.
Фишинг с мобилни приложения
Фишингът с мобилни приложения е вид атака, която е насочена към жертвите чрез използване на мобилни приложения. По принцип измамниците разпространяват или качват зловредни приложения в магазините за мобилни приложения и чакат жертвите да ги изтеглят и използват. Това може да бъде всичко – от легитимно изглеждащо приложение до приложение-копие, което краде лични данни или финансова информация; дори може да се използва за незаконно наблюдение. Наскоро изследователи идентифицираха над 90 зловредни приложения в Google Play, които са били изтеглени в над 5,5 милиона пъти.
Фишинг с обратно обаждане
Както подсказва името, фишингът с обратно повикване е техника за социално инженерство, при която нападателите насърчават потребителите да наберат обратно номер на измамен кол център или бюро за помощ. Въпреки че типичните измами с обратно обаждане включват използването на електронна поща, съществуват редица варианти, при които нападателите използват хитри начини да накарат хората да се обадят обратно. Например нападателите използват формуляри на Google, за да заобиколят фишинг филтрите и да доставят на жертвите фишинг съобщения. Когато жертвите отворят тези доброкачествени на вид формуляри, те виждат телефонен номер, на който трябва да се обадят. Известно е също, че измамниците изпращат SMS съобщения на жертвите или оставят съобщения на гласовата поща, за да насърчат жертвите да се обадят обратно.
Фишинг атаки в облака
Тъй като организациите все повече разчитат на облачни хранилища и услуги, киберпрестъпниците започнаха да използват облака за извършване на фишинг атаки и атаки със социален инженеринг. Има многобройни примери за облачно базирани атаки – нападателите изпращат фишинг съобщения до потребителите на Microsoft Teams и Sharepoint, използват Google Drawings, за да подмамят потребителите да кликнат върху злонамерени връзки; те използват облачни услуги за съхранение като Amazon и IBM, за да хостват уебсайтове, съдържащи спам URL адреси, и да ги разпространяват чрез текстови съобщения, злоупотребяват с Microsoft Sway, за да доставят фишинг QR кодове, и т.н.
Атаки за инжектиране на съдържание
Софтуерът, устройствата, приложенията и уебсайтовете често страдат от уязвимости. Нападателите използват тези уязвимости, за да инжектират злонамерено съдържание в кода или съдържанието, да манипулират потребителите да споделят чувствителни данни, да посетят злонамерен уебсайт, да направят заявка за обратно повикване или да изтеглят зловреден софтуер. Например представете си, че злосторник използва уязвим уебсайт и актуализира хипервръзките в страницата „Свържете се с нас“. След като посетителите попълнят формуляра, те се сблъскват със съобщение и последващи действия, които включват връзки към вреден файл за изтегляне или представят телефонен номер, контролиран от хакерите. По същия начин нападателите използват уязвими устройства (като IoT), за да използват техните възможности за изпращане на съобщения и уведомления, за да изпращат фишинг съобщения на потребителите.
Степента, в която нападателите се занимават със социално инженерство и се насочват към потребителите, е тревожна. С добавянето на инструменти с изкуствен интелект към техния арсенал се очаква тези атаки да станат още по-интензивни и сложни. Само чрез осигуряване на постоянно обучение по сигурността и прилагане на редовни програми за повишаване на осведомеността организациите могат да развият устойчивостта, необходима за защита срещу тези измами със социален инженеринг, като гарантират, че служителите ще останат предпазливи и способни да защитят чувствителната информация, финансовите активи и репутацията на бизнеса.
Автор: Стю Шауърмен, основател и главен изпълнителен директор на KnowBe4, Inc., която е домакин на платформа за обучение по повишаване на осведомеността за сигурността и симулиране на фишинг с над 65 000 организации и повече от 60 милиона потребители. Сериен предприемач и експерт по сигурността на данните с 30-годишен стаж в ИТ индустрията, той е съосновател на Sunbelt Software, софтуерна компания за борба със зловреден софтуер, която е придобита през 2010 г. Автор е на четири книги, включително „Cyberheist: The Biggest Financial Threat Facing American Businesses“.