Oto mała próbka popularnych wiadomości phishingowych, które widzieliśmy na przestrzeni lat. Jak widać, istnieje wiele różnych podejść stosowanych przez cyberprzestępców, które stale ewoluują.
Pomimo że praktycznie niemożliwe byłoby prowadzenie aktualnego i w pełni wyczerpującego archiwum tych przykładów, warto być na bieżąco z tym, co się dzieje, aby zmniejszyć prawdopodobieństwo ataków phishingowych.
Klasyczne e-maile phishingowe
Oszustwa związane z pomocą techniczną
W ciągu ostatnich kilku lat dostawcy usług online zwiększyli swoje bezpieczeństwo, informując klientów o wykryciu nietypowej lub niepokojącej aktywności na kontach użytkowników. Nic dziwnego, że źli ludzie wykorzystują to na swoją korzyść. Wiele z nich jest źle zaprojektowanych, z błędną gramatyką itp., ale inne wyglądają na wystarczająco uzasadnione, aby ktoś mógł na nie kliknąć, jeśli nie zwracał na nie uwagi:
Rozważmy to fałszywe powiadomienie bezpieczeństwa Paypal, ostrzegające potencjalne znaki o „nietypowej aktywności logowania” na ich kontach:
Naciskanie na linki wystarczyłoby, abyś nie skończył na stronie wykradającej dane.
A oto fałszywe powiadomienie Microsoftu, niemal identyczne w wyglądzie z rzeczywistym powiadomieniem od Microsoftu dotyczącym „Nietypowej aktywności logowania”:
Ten e-mail kieruje użytkowników do fałszywego numeru 1-800 zamiast do strony wyłudzającej dane uwierzytelniające.
Zainfekowane załączniki
Ukryte zagrożenia związane z załącznikami .HTML
Złośliwe załączniki .HTML nie są tak często spotykane jak załączniki .JS czy .DOC, ale są pożądane z kilku powodów. Po pierwsze, istnieje mała szansa na wykrycie przez antywirusa, ponieważ pliki .HTML nie są powszechnie kojarzone z atakami przenoszonymi przez pocztę elektroniczną. Po drugie, załączniki .HTML są powszechnie używane przez banki i inne instytucje finansowe, więc ludzie są przyzwyczajeni do oglądania ich w swoich skrzynkach pocztowych. Oto kilka przykładów phishingu z wykorzystaniem tego wektora ataku:
Makra z ładunkami płatnymi
Złośliwe makra w phishingowych wiadomościach e-mail stały się w zeszłym roku coraz częstszym sposobem dostarczania ransomware. Dokumenty te zbyt często bez problemu omijają programy antywirusowe. Wiadomości phishingowe dają odbiorcy poczucie pilności, a jak widać na poniższym zrzucie ekranu, dokumenty prowadzą użytkownika przez cały proces. Jeśli użytkownicy nie włączą makr, atak nie powiedzie się.
Social Media Exploits
Złośliwe wiadomości na Facebooku
Kilku użytkowników Facebooka otrzymało wiadomości na swoje konta w Messengerze od innych, znanych im już użytkowników. Wiadomość składała się z pojedynczego pliku graficznego .SVG (Scaleable Vector Graphic), który, co ciekawe, omijał filtr rozszerzeń plików Facebooka. Użytkownicy, którzy kliknęli na plik, aby go otworzyć, zostali przekierowani na fałszywą stronę Youtube, która nakłaniała użytkowników do zainstalowania dwóch rozszerzeń Chrome, rzekomo potrzebnych do obejrzenia (nieistniejącego) filmu na stronie.
Dla większości użytkowników dwa rozszerzenia Chrome’a były używane, aby umożliwić złośliwemu oprogramowaniu ograniczony stopień samodzielnego rozprzestrzeniania się poprzez wykorzystanie „dostępu przeglądarki do konta na Facebooku w celu potajemnego wysłania wiadomości do wszystkich znajomych na Facebooku z tym samym plikiem obrazu SVG.”
Na komputerach niektórych użytkowników wbudowany Javascript pobierał i uruchamiał również Nemucod , trojana downloadera z długą historią ściągania szerokiej gamy złośliwych ładunków na zagrożone komputery. Użytkownicy, którzy nie mieli szczęścia natknąć się na tę wersję złośliwego skryptu, widzieli, że ich komputery stały się zakładnikami oprogramowania Locky ransomware.
Ataki phishingowe LinkedIn
LinkedIn od kilku lat jest obiektem oszustw online i ataków phishingowych, głównie ze względu na bogactwo danych, jakie oferuje na temat pracowników korporacji. Złośliwi aktorzy wykorzystują te dane do identyfikowania potencjalnych celów ataków na biznesową pocztę elektroniczną, w tym przelewów bankowych oraz oszustw socjotechnicznych typu W-2, jak również wielu innych kreatywnych podstępów. Oto kilka przykładów, które widzieliśmy dzięki przyciskowi ostrzegania o phishingu KnowBe4:
W jednym przypadku użytkownik zgłosił otrzymanie standardowego phishingu z danymi uwierzytelniającymi Wells Fargo poprzez LinkedIn’s InMail:
Zauważ, że ten konkretny InMail wydaje się pochodzić z fałszywego konta Wells Fargo. Dostarczony odsyłacz prowadzi do dość typowego phishingu na dane uwierzytelniające (hostowanego na złośliwej domenie, która została usunięta):
Wygląda na to, że złoczyńcy założyli fałszywy profil Wells Fargo, próbując nadać mu bardziej autentyczny wygląd.
Inny podobny phishing został dostarczony na konto e-mail spoza LinkedIn:
Ta wiadomość e-mail została dostarczona za pośrednictwem LinkedIn, podobnie jak adresy URL użyte do kilku linków zawartych w stopce tej wiadomości („Odpowiedz”, „Nie jestem zainteresowany”, „Zobacz profil Wellsa na LinkedIn”):
Te adresy URL zostały w oczywisty sposób automatycznie wygenerowane przez sam LinkedIn, gdy złośliwi aktorzy wykorzystali funkcje wiadomości LinkedIn do wygenerowania tego phisha, który trafił na zewnętrzne konto e-mail znaku (w przeciwieństwie do jego skrzynki InMail, jak to miało miejsce w pierwszym phishu omówionym powyżej).
Oszustwo CEO
Oto przykład klienta KnowBe4, który stał się celem oszustwa CEO. Pracownik początkowo odpowiedział, ale potem przypomniał sobie o swoim szkoleniu i zamiast tego zgłosił wiadomość za pomocą przycisku Phish Alert Button, alarmując dział IT o próbie oszustwa.
Kiedy pracownikowi nie udało się zrealizować przelewu, otrzymał kolejny e-mail od złych ludzi, którzy prawdopodobnie myśleli, że to dzień wypłaty:
Top-Clicked Phishing Email Subjects
KnowBe4 co kwartał raportuje o najczęściej klikanych e-mailach phishingowych według linii tematycznej w trzech różnych kategoriach: tematy związane z mediami społecznościowymi, tematy ogólne oraz „In the Wild” – wyniki te są zbierane od milionów użytkowników, którzy klikają na swój Phish Alert Button, aby zgłosić prawdziwe e-maile phishingowe i pozwalają naszemu zespołowi na analizę wyników. Wyniki z ostatniego kwartału oraz wszystkich poprzednich kwartałów można znaleźć na stronie KnowBe4.
Powiązane strony: Techniki phishingu, Najczęstsze oszustwa phishingowe, Czym jest phishing