Itt egy kis ízelítő az évek során látott népszerű adathalász e-mailekből. Amint láthatja, a kiberbűnözők sokféle megközelítést alkalmaznak, és ezek folyamatosan fejlődnek.
Noha gyakorlatilag lehetetlen lenne egy aktuális és teljesen átfogó archívumot vezetni ezekről a példákról, nagyon jó ötlet naprakészen tartani, hogy mi van a piacon, hogy az adathalász-támadások kevésbé valószínűek legyenek.
Klasszikus adathalász e-mailek
Technikai támogatási csalások
Az elmúlt néhány évben az online szolgáltatók fokozták biztonsági játékukat azzal, hogy üzeneteket küldenek az ügyfeleknek, ha szokatlan vagy aggasztó tevékenységet észlelnek a felhasználók fiókjain. Nem meglepő, hogy a rosszfiúk ezt kihasználják. Sokan rosszul vannak megtervezve, rossz nyelvtannal stb., de mások elég legitimnek tűnnek ahhoz, hogy valaki rákattintson, ha nem figyel oda nagyon:
Megfigyelhető ez a hamis Paypal biztonsági közlemény, amely a potenciális jeleket figyelmezteti a számlájukon végzett “szokatlan bejelentkezési tevékenységre”:
A linkek fölött lebegve elég lenne, hogy ne egy hitelesítő adatokat lopó weboldalon kössön ki.
És itt egy hamis Microsoft-értesítés, amely szinte teljesen megegyezik a Microsoft “Szokatlan bejelentkezési tevékenységről” szóló valódi értesítésével:
Ez az e-mail egy hamis 1-800-as telefonszámra irányítja a felhasználókat ahelyett, hogy a hitelesítő adatokkal való adathalászatra rúgná őket.
Veszélyes csatolmányok
A .HTML csatolmányok rejtett veszélyei
A rosszindulatú .HTML csatolmányokat nem látjuk olyan gyakran, mint a .JS vagy .DOC fájlok csatolmányait, de több okból is kívánatosak. Először is, kicsi az esélye a vírusirtók észlelésének, mivel a .HTML fájlokat nem szokták e-mailben terjedő támadásokkal összefüggésbe hozni. Másodszor, a .HTML csatolmányokat gyakran használják a bankok és más pénzügyi intézmények, így az emberek megszokták, hogy ilyeneket látnak a postaládájukban. Íme néhány példa a hitelesítő adatokat tartalmazó adathalász levelekre, amelyeket ezzel a támadási vektorral láttunk:
Macros With Payloads
Az adathalász e-mailekben található rosszindulatú makrók az elmúlt évben egyre gyakoribbá váltak a zsarolóprogramok terjesztésében. Ezek a dokumentumok túl gyakran gond nélkül átjutnak a vírusirtó programokon. Az adathalász e-mailek a címzett számára a sürgősség érzetét keltik, és ahogy az alábbi képernyőképen látható, a dokumentumok végigvezetik a felhasználókat a folyamaton. Ha a felhasználók nem engedélyezik a makrókat, a támadás sikertelen.
Social Media Exploits
Rosszindulatú Facebook-üzenetek
Sok Facebook-felhasználó kapott üzeneteket Messenger-fiókjában más, már ismerős felhasználóktól. Az üzenet egyetlen .SVG (Scaleable Vector Graphic) képfájlból állt, amely nevezetesen megkerülte a Facebook fájlkiterjesztések szűrőjét. A fájl megnyitására kattintó felhasználók egy hamisított Youtube-oldalra lettek átirányítva, amely két Chrome-bővítmény telepítésére szólította fel a felhasználókat, amelyek állítólag az oldalon található (nem létező) videó megtekintéséhez szükségesek.
A legtöbb felhasználó számára a két Chrome-bővítmény arra szolgált, hogy a kártevő korlátozott mértékű önterjesztést tegyen lehetővé, kihasználva a “böngésző hozzáférését a Facebook-fiókhoz, hogy titokban üzenetet küldjön az összes Facebook-barátjának ugyanazzal az SVG képfájllal.”
A beágyazott Javascript néhány felhasználó PC-jén a Nemucod , egy trójai letöltő programot is letöltött és elindított, amely hosszú múltra tekint vissza a legkülönfélébb rosszindulatú hasznos terhek letöltésében a fertőzött PC-ken. Azok a felhasználók, akiknek nem volt szerencséjük a rosszindulatú szkript ezen változatával találkozni, azt látták, hogy a Locky ransomware túszul ejtette a számítógépüket.
LinkedIn adathalász támadások
A LinkedIn már évek óta az online csalások és adathalász támadások középpontjában áll, elsősorban azért, mert rengeteg adatot kínál a vállalatok alkalmazottairól. A rosszindulatú szereplők ezeket az adatokat bányásszák ki, hogy azonosítani tudják a potenciális célpontokat az üzleti e-mail kompromittáló támadásokhoz, beleértve az átutalási és W-2 szociális mérnöki csalásokat, valamint számos más kreatív trükköt. Íme néhány példa, amelyet a KnowBe4 Phish Alert gombon keresztül láttunk:
Az egyik esetben egy felhasználó arról számolt be, hogy egy szokásos Wells Fargo hitelesítő adatokkal kapcsolatos adathalászatot kapott a LinkedIn InMailen keresztül:
Megjegyzendő, hogy ez a bizonyos InMail látszólag egy hamis Wells Fargo fiókból származik. A mellékelt link egy meglehetősen tipikus hitelesítő adathalászathoz vezet (amelyet egy rosszindulatú tartományban tárolnak, amelyet azóta levettek):
Úgy tűnik, hogy a rosszfiúk egy hamis Wells Fargo profilt hoztak létre, hogy hitelesebbnek tűnjenek.
Egy másik hasonló adathalász a LinkedIn-en kívüli e-mail fiókra érkezett:
Ez az e-mail a LinkedIn-en keresztül érkezett, ahogyan az e-mail láblécében található számos linkhez használt URL is (“Válasz”, “Nem érdekel”, “Wells LinkedIn profiljának megtekintése”):
Az URL-eket nyilvánvalóan maga a LinkedIn generálta automatikusan, amikor a rosszindulatú szereplők a LinkedIn üzenetküldő funkcióit használták a csalás létrehozásához, amely a célpont külső e-mail fiókját érte el (szemben az InMail dobozával, mint a fent tárgyalt első csalás esetében).
Vezérigazgatói csalások
Itt egy példa arra, hogy egy KnowBe4-ügyfél vezérigazgatói csalás célpontjává vált. Az alkalmazott kezdetben válaszolt, majd emlékezett a képzésére, és inkább jelentette az e-mailt a Phish Alert gomb segítségével, figyelmeztetve ezzel az informatikai osztályát a csalási kísérletre.
Amikor az alkalmazott nem folytatta az átutalást, újabb e-mailt kapott a rosszfiúktól, akik valószínűleg azt hitték, hogy fizetésnap van:
Top-klikkelt adathalász e-mail témák
A KnowBe4 minden negyedévben három különböző kategóriában jelenti a legtöbbet kattintott adathalász e-maileket tárgysor szerint: Ezek az eredmények azon felhasználók millióitól származnak, akik a Phish Alert gombra kattintva valódi adathalász e-maileket jelentenek, és lehetővé teszik csapatunk számára az eredmények elemzését. A legutóbbi negyedév, valamint az összes korábbi negyedév eredményei a KnowBe4 oldalon találhatók.
Kapcsolódó oldalak: Adathalász technikák, Gyakori adathalász átverések, Mi az adathalászat