Tady je malá ukázka populárních phishingových e-mailů, se kterými jsme se v průběhu let setkali. Jak můžete vidět, existuje mnoho různých přístupů, které kyberzločinci použijí, a ty se neustále vyvíjejí.
Ačkoli by bylo prakticky nemožné udržovat aktuální a zcela vyčerpávající archiv těchto příkladů, je opravdu dobré mít aktuální informace o tom, co je k dispozici, aby se pravděpodobnost phishingových útoků snížila.
Klasické phishingové e-maily
Podvody s technickou podporou
Poskytovatelé online služeb v posledních několika letech zintenzivňují svou bezpečnostní hru a zasílají zákazníkům zprávy, když zjistí neobvyklou nebo znepokojivou aktivitu na účtech svých uživatelů. Není překvapením, že toho ve svůj prospěch využívají padouši. Mnohé z nich jsou navrženy špatně, se špatnou gramatikou apod. ale jiné vypadají dostatečně legitimně na to, aby na ně někdo mohl kliknout, pokud by nedával pozor:
Považte toto falešné bezpečnostní oznámení společnosti Paypal varující potenciální značky před „neobvyklou aktivitou při přihlašování“ na jejich účtech:
Přejetí přes odkazy by stačilo k tomu, abyste neskončili na webové stránce kradoucí přihlašovací údaje.
A tady je falešné oznámení společnosti Microsoft, které je vzhledově téměř totožné se skutečným oznámením společnosti Microsoft týkajícím se „neobvyklé přihlašovací aktivity“:
Tento e-mail odkazuje uživatele na falešné číslo 1-800, místo aby je nakopl k phishingu přihlašovacích údajů.
Infikované přílohy
Skryté nebezpečí příloh .HTML
Škodlivé přílohy .HTML nejsou vidět tak často jako přílohy souborů .JS nebo .DOC, ale jsou žádoucí z několika důvodů. Zaprvé je zde nízká pravděpodobnost detekce antivirem, protože soubory .HTML nejsou běžně spojovány s útoky přenášenými elektronickou poštou. Za druhé, přílohy .HTML běžně používají banky a další finanční instituce, takže lidé jsou zvyklí je ve svých e-mailových schránkách vídat. Zde je několik příkladů pověřovacích phishů, které jsme zaznamenali s využitím tohoto vektoru útoku:
Makra s payloadem
Škodlivá makra ve phishingových e-mailech jsou v posledním roce stále častějším způsobem doručování ransomwaru. Tyto dokumenty příliš často bez problémů procházejí antivirovými programy. Phishingové e-maily obsahují pocit naléhavosti pro příjemce a jak můžete vidět na níže uvedeném snímku obrazovky, dokumenty uživatele postupně provedou celým procesem. Pokud uživatelé makra nepovolí, je útok neúspěšný.
Škodlivé zprávy na Facebooku
Několik uživatelů Facebooku obdrželo na svůj účet v aplikaci Messenger zprávy od jiných uživatelů, které již znají. Zpráva se skládala z jediného obrázkového souboru .SVG (Scaleable Vector Graphic), který zejména obešel filtr přípony souborů na Facebooku. Uživatelé, kteří na soubor klikli, aby jej otevřeli, byli přesměrováni na podvrženou stránku Youtube, která uživatele vyzvala k instalaci dvou rozšíření Chrome údajně potřebných k zobrazení (neexistujícího) videa na stránce.
Pro většinu uživatelů byla použita dvě rozšíření Chrome, která umožnila malwaru omezenou míru samopropagace tím, že využila „přístupu prohlížeče k vašemu účtu na Facebooku, aby všem vašim přátelům na Facebooku tajně poslala zprávu se stejným obrazovým souborem SVG.“
Na počítačích některých uživatelů vložený Javascript také stáhl a spustil Nemucod , trojský stahovač s dlouhou historií stahování nejrůznějších škodlivých zátěží na napadených počítačích. Uživatelé, kteří neměli to štěstí a setkali se s touto verzí škodlivého skriptu, se dočkali toho, že se jejich počítače staly rukojmím ransomwaru Locky.
LinkedIn phishingové útoky
LinkedIn je již řadu let středem zájmu online podvodů a phishingových útoků, především kvůli množství údajů, které nabízí o zaměstnancích ve firmách. Zlomyslní aktéři z těchto dat těží potenciální značky pro útoky kompromitující firemní e-maily, včetně podvodů s bankovními převody a sociálním inženýrstvím W-2, jakož i řady dalších kreativních lstí. Zde je několik příkladů, které jsme zaznamenali prostřednictvím tlačítka Phish Alert společnosti KnowBe4:
V jednom případě uživatel nahlásil, že obdržel standardní phish s pověřeními společnosti Wells Fargo prostřednictvím služby LinkedIn InMail:
Všimněte si, že tento konkrétní InMail zřejmě pochází z falešného účtu Wells Fargo. Dodaný odkaz vede na poměrně typický phish s přihlašovacími údaji (umístěný na škodlivé doméně, která byla mezitím stažena):
Vypadá to, že padouši založili falešný profil Wells Fargo ve snaze vypadat autentičtěji.
Další podobný phish byl doručen na e-mailový účet mimo LinkedIn:
Tento e-mail byl doručen prostřednictvím LinkedIn, stejně jako adresy URL použité pro několik odkazů obsažených v zápatí tohoto e-mailu („Odpovědět“, „Nemám zájem“, „Zobrazit profil Wells na LinkedIn“):
Tyto adresy URL byly zjevně automaticky vygenerovány samotnou společností LinkedIn, když škodliví aktéři použili funkce zasílání zpráv společnosti LinkedIn k vygenerování tohoto phishingu, který zasáhl externí e-mailový účet dotyčného (na rozdíl od jeho schránky InMail, jako tomu bylo v případě prvního phishingu popsaného výše).
Podvody na generální ředitele
Tady je příklad zákazníka společnosti KnowBe4, který se stal cílem podvodu na generální ředitele. Zaměstnanec nejprve reagoval, pak si vzpomněl na své školení a místo toho e-mail nahlásil pomocí tlačítka upozornění na phish, čímž upozornil své IT oddělení na pokus o podvod.
Když zaměstnankyně neprovedla bankovní převod, dostala další e-mail od padouchů, kteří si pravděpodobně mysleli, že je den výplaty:
Top-Clicked Phishing Email Subjects
KnowBe4 každé čtvrtletí informuje o nejčastěji klikaných phishingových e-mailech podle předmětu ve třech různých kategoriích: Tyto výsledky jsou shromažďovány od milionů uživatelů, kteří kliknou na své tlačítko Phish Alert Button, aby nahlásili skutečné phishingové e-maily, a umožňují našemu týmu analyzovat výsledky. Výsledky za poslední čtvrtletí a všechna předchozí čtvrtletí najdete na webu KnowBe4.
Související stránky: Techniky phishingu, Běžné phishingové podvody, Co je phishing