Як зловмисники збирають інформацію для цільового фішингу

Аналізуючи цільові атаки за останній десяток років, фахівці Касперського постійно натикаються на ту саму історію: «Жертва відкрила фішингове лист, і тут почалося!». Чому ж цільові фішингові листи так ефективні? І тому, що вони, зазвичай, складено з урахуванням особливостей конкретної жертви. Як джерело інформації часто використовуються їхні особисті сторінки у соціальних мережах. І тут постає законне питання: як зловмисники знаходять потрібні облікові записи?

Насправді це все залежить від того, наскільки публічна у передбачуваної жертви посада. Якщо у когось контактні дані опубліковані на корпоративному сайті, та ще й з посиланням на профіль у LinkedIn, з детальною біографією, то накопати дані по ньому досить просто. Якщо зловмиснику відома лише адреса електронної пошти, то його завдання ускладнюється. Ну а якщо він просто сфотографував вас, хто входить в офіс компанії, на яку веде полювання, то шансів знайти ваш профіль у соцмережах і того менше.

Ми вирішили провести невеликий експеримент і пошукати інформацію за уривчастими даними. Взяли кількох колег із різним ступенем активності в соціальних мережах і спробували знайти їх за допомогою популярних інструментів для пошуку, доступних широкому колу користувачів.

Пошук фото

Так, відразу скажемо, сценарій не найпоширеніший. Ми припускаємо, що зловмисник сидів біля прохідної та непомітно фотографував усіх, у кого на перепустці був логотип певної компанії, а потім почав шукати відповідну жертву для цільового фішингу. З чого він почне?

Два роки тому ми вже писали про сервіс FindFace. З'ясувалося, що за певних умовах та наявності декількох якісних фотографій жертви сервіс дозволяє досить швидко знайти відповідний зображенню обліковий запис у соціальній мережі. З липня минулого року цей проект закрито для випадкового користувача. Його творці зайнялися розробкою рішень для держави та бізнесу, і тепер він доступний лише за певну плату. Втім, творці сервісу спочатку казали, що публічна версія — це лише «демонстратор можливостей».

Але зовсім списувати з рахунків цей сервіс не варто. Деколи для організації цільової атаки зловмисники готові вкластися у додаткові інструменти. Все залежить від цілей. Хоча, зрозуміло, такий варіант залишить певний слід.

Пошук по фото цілком доступний як сервіси від Яндекса і Google. Є навіть варіант встановлення розширення для браузера «пошук по фото», який самостійно шукає фотографії у різних пошукових сервісах. Однак тут слід розуміти, що для нормальних результатів потрібно шукати фотографію, яка вже була опублікована в мережі. Тобто для нашого сценарію цей варіант не застосовується. Хіба що офіційна фотографія була опублікована на сайті — але їх рідко публікують без додаткових даних (імені та прізвища).

Ми все одно випробували цей варіант пошуку, і виявилося, що Яндекс непогано вміє знаходити профілі в мережі VK (ми без проблем змогли знайти трьох піддослідних із десяти). А ось Google лише визначив нашого добровольця як джентльмена (хоча саме це фото стоїть на аватарі у Facebook та інших соціальних мережах). Отже, сфотографувавши вас, зловмисникам навряд чи вдасться дістатися вашого профілю без доступу до платних сервісів розпізнавання осіб.

Ім'я та прізвище

Просто ввести ім'я та прізвище до рядку пошуку — перше, що спадає на думку, коли потрібно знайти когось у мережі. Зрозуміло, ефективність такого пошуку залежить від поширеності імені. Знайти необхідного Івана Петрова може бути завданням не з легких. А ось людину з прізвищем «Лур'є» (не можна сказати, що найрідкісніше, але все-таки не надто поширене прізвище) Google знаходить досить швидко.

Яндекс пішов ще далі і пропонує спеціалізований сервіс: Яндекс.Люди. Тут можна налаштувати фільтри пошуку за віком, проживанням, вузом та компанією. Перелік соціальних мереж, якими шукає цей сервіс, вражає

До речі, ви знали, що деякі соціальні мережі дозволяють переглянути профіль людини без реєстрації?

Пошта та телефон

Як бути, якщо ми знаємо лише пошту чи телефон людини? Можна піти прямим шляхом і пошукати соціальними мережами, перевіряючи кожну, одну за одною. Але є й сервіси-агрегатори, які самі збирають потрібні дані. Найпопулярнішим з них є Pipl, який здатний за номером телефону або адресою електронної пошти знайти посилання на сторінки користувача в соцмережах, а також видати коротку інформацію про нього: де народився, де навчався, де зараз працює. Якщо вірити заявам розробників сервісу, вони володіють інформацією про понад 3 мільярди людей!

За допомогою цього сервісу нам вдалося добути посилання хоча б на один з облікових записів користувача п'яти піддослідних з десяти. А в деяких випадках навіть вдалося отримати персональний нікнейм.

Нікнейм

Деякі люди використовують у мережі єдиний нікнейм і для особистої, і для корпоративної адреси електронної пошти. Або реєструються на ресурсах під звичним нікнеймом та використовують корпоративну адресу. Отримавши його, зловмисники можуть знайти ще більше інформації про намічену жертву.

Це можна зробити за допомогою ресурсів типу Namechk або KnowEm. Перший може визначити наявність імені облікового запису більш ніж у сотні сервісів. Другий – перевіряє понад 500 ресурсів. Звичайно, якщо даний нікнейм не відноситься до розряду унікальних, то немає гарантії, що всіма виявленими сервісами користується одна і та сама людина. Але роботу зловмисникам він все одно полегшує.

Які висновки з усього цього випливають і що робити?

Як бачите, щоб зібрати дані про жертву і з'ясувати, чим вона живе і цікавиться, не потрібно мати видатних навичок або мати доступ до складних сервісів. Тому поряд з підвищенням поінформованості про фішингові методи також порекомендуйте співробітникам дотримуватися кількох простих правил:

1. Не реєструйтесь у соціальних мережах телефоном або поштою, які вказуєте у публічному доступі.
2. Не використовуйте одну й ту саму фотографію і в особистому профілі, і в робочих облікових записах.
3. Використовуйте різні нікнейми, щоб інформація про один профіль не дозволяла знайти інший.
4. Не полегшуйте життя зловмисникам та не публікуйте в соціальних мережах зайву інформацію про себе.

Ну й найголовніше: робочі комп'ютери співробітників мають бути надійно захищені повнофункціональним захисним рішенням із ефективною антифішинговою технологією. Щоб їх можна було захистити, навіть якщо вони необачно тицьнули на фішингове посилання. Таким, наприклад, як Kaspersky Endpoint Security для бізнесу.

Інші новини