Поиск по сайту:

Объяснение фишинговых атак клонирования

Фишинговые атаки клонирования состоят из подделки подлинной формы входа в службу или приложение, заставляя жертву поверить, что она входит в законную форму, чтобы получить свои учетные данные.

Клон-фишинг, возможно, является наиболее известным методом хакерских атак на основе социальной инженерии. Одним из наиболее известных примеров такого типа атак является массовая рассылка сообщений по почте под видом сервиса или социальной сети. Сообщение побуждает жертву нажать на ссылку, указывающую на поддельную форму входа, визуальный клон настоящей страницы входа.

Жертва этого типа атаки нажимает на ссылку и обычно открывает фальшивую страницу входа и заполняет форму своими учетными данными. Злоумышленник собирает учетные данные и перенаправляет жертву на реальный сервис или страницу в социальной сети, при этом жертва не знает, что ее взломали.

Этот тип атаки был эффективен для злоумышленников, которые запускали массовые кампании по сбору большого количества учетных данных от небрежных пользователей.

К счастью, системы двухэтапной проверки нейтрализуют угрозы клонирования фишинга, но многие пользователи остаются в неведении и незащищенными.

Характеристики фишинговых атак клонирования

  • Клонированные фишинговые атаки направлены против нескольких целей, если атака направлена против конкретного человека, то мы подвергаемся фишинговой атаке Spear.

  • Подлинный веб-сайт или приложение клонируются, чтобы жертва поверила, что входит в подлинную форму.

  • После атаки жертва перенаправляется на настоящий сайт, чтобы избежать подозрений.

  • Уязвимостью, используемой в этих атаках, является пользователь.

Как защититься от атак Clone Phishing

Важно понимать, что фишинговые атаки нацелены не на уязвимости устройств, а на изобретательность пользователей. Хотя существуют технологические решения для борьбы с фишингом, безопасность зависит от пользователей.

Первая превентивная мера — настроить двухэтапную аутентификацию в сервисах и на веб-сайтах, которые мы используем. Применяя эту меру, хакеры не смогут получить доступ к информации жертвы, даже если атака увенчается успехом.

Вторая мера — узнать, как выполняются атаки. Пользователи должны всегда проверять целостность почтовых адресов отправителя. Пользователи должны обращать внимание на попытки имитации (например, заменяя O на 0 или используя сгенерированные комбинации клавиш).

Самая важная оценка должна быть на домене, с которым мы связаны, из сообщения, требующего от нас определенных действий. Пользователи должны подтвердить или опровергнуть подлинность веб-сайта, просто прочитав доменное имя. Большинство пользователей не обращают внимания на доменные имена. Опытные пользователи обычно подозревают непосредственно перед попыткой фишинга.

На следующих изображениях показано, как определить фишинговую атаку, увидев адресную строку URL. Некоторые хакеры даже не пытаются имитировать доменное имя клонированного сайта.

Подлинный сайт:

Клонирование фишинговой атаки:

Как видите, доменное имя было подделано, ожидая ничего не подозревающих пользователей.

Кроме того, существуют защитные службы для борьбы с фишингом. Эти параметры сочетают анализ почты и искусственный интеллект для сообщения о попытках фишинга. Некоторые из этих решений — PhishFort и Hornet Security Antiphishing.

Как хакеры проводят клонированные фишинговые атаки

Setoolkit — один из самых распространенных инструментов для выполнения различных типов фишинговых атак. Этот инструмент по умолчанию включен в дистрибутивы Linux, ориентированные на взлом, такие как Kali Linux.

В этом разделе показано, как хакер может выполнить фишинговую атаку клонирования за минуту.

Для начала давайте установим settoolkit, выполнив следующую команду:

[ENCODE]  git clone https://github.com/trustedsec/social-engineer-toolkit/ set/  [/ENCODE]

Затем войдите в заданный каталог с помощью команды cd (Изменить каталог) и выполните следующую команду:

[ENCODE] cd set   [/ENCODE]
[ENCODE] python setup.py -requirements.txt  [/ENCODE]

Чтобы запустить settoolkit, запустите:

[ENCODE] setoolkit [/ENCODE]

Примите условия использования, нажав Y.

Setoolkit — это полный инструмент для хакеров для проведения атак социальной инженерии. В главном меню будут отображаться различные типы доступных атак: 

Пункты основного меню включают в себя:

СОЦИАЛЬНЫЕ ИНЖЕНЕРНЫЕ АТАККИ: этот раздел меню содержит инструменты для векторов целевых фишинговых атак, векторов атак на веб-сайты, генератора заразных медиа, создания полезной нагрузки и прослушивателя, атаки массовой рассылки, вектора атаки на основе Arduino, точки беспроводного доступа. Вектор атаки, вектор атаки генератора QRCode, векторы атаки Powershell, сторонние модули.

ТЕСТ НА ПРОНИКНОВЕНИЕ: здесь вы можете найти Microsoft SQL Bruter, пользовательские эксплойты, вектор атаки SCCM, средство проверки по умолчанию Dell DRAC/Chassis, RID_ENUM — атака с перечислением пользователей, PSEXEC Powershell Injection.

СТОРОННИЕ МОДУЛИ: хакеры могут писать свои модули, доступен модуль для взлома Google Analytics.

Чтобы продолжить процесс клонирования фишинга, выберите первый вариант, нажав 1, как показано ниже:

Выберите третий вариант Метод атаки сборщика учетных данных, нажав 3. Этот параметр позволяет легко клонировать веб-сайты или настраивать поддельные формы для фишинга.

Теперь Setoolkit запрашивает IP-адрес или доменное имя устройства, на котором будет размещен клонированный сайт. В моем случае я использую свое устройство, я определяю свой внутренний IP-адрес (192.168.1.105), поэтому никто из моей локальной сети не сможет получить доступ к поддельному веб-сайту.

Затем Setoolkit спросит, какой веб-сайт вы хотите клонировать, в приведенном ниже примере я выбрал Facebook.com.

Как вы видите, любой, кто получит доступ к адресу 192.168.0.105, будет перенаправлен на фальшивую форму входа в Facebook. Купив аналогичный домен, хакеры могут заменить IP-адрес на доменное имя, такое как f4cebook.com, faceb00k.com и т. д.

Когда жертва пытается войти в систему, Setoolkit собирает имя пользователя и пароль. Важно помнить, что если у жертвы есть защита с двухэтапной проверкой, атака будет бесполезна, даже если жертва ввела свой логин и пароль.

Затем жертва перенаправляется на настоящий веб-сайт, он думает, что ему не удалось войти в систему, и успешно повторяет попытку, не подозревая, что его взломали. 

Описанный выше процесс занимает 2 минуты. Настройка среды (оффшорный сервер, похожее доменное имя) для злоумышленников сложнее, чем проведение самой атаки. Изучение того, как хакеры используют этот метод, — лучший способ осознать опасность.

Заключение

Как описано выше, клонированные фишинговые атаки выполняются легко и быстро. Злоумышленникам не нужны знания в области ИТ-безопасности или кодирования, чтобы запустить такую атаку против большого количества потенциальных жертв, собирающих их учетные данные.

К счастью, решение доступно каждому, достаточно включить двухэтапную аутентификацию во всех используемых сервисах. Пользователи также должны уделять особое внимание визуальным элементам, таким как доменные имена или адреса отправителей.

Защита от фишинговых атак с использованием клонов также является способом предотвращения других методов фишинговых атак, таких как целевой фишинг или фишинг с китом, атак, которые могут включать в себя методы фишинга с клонированием.

Статьи по данной тематике: