Close

Як перевірити URL-адресу на фішинг і віруси?

Ваші поштові скриньки, мабуть, не раз наповнювалися дивними листами з пропозиціями отримати винагороду, завантажити документ або взяти участь у вікторині. У більшості випадків це були фішингові листи, метою яких є змусити користувача перейти за шкідливим посиланням, перехопити дані та зламати систему. За статистикою, 80% інтернет-користувачів стають жертвами фішингу. У цій статті поговоримо про те, як перевірити посилання на фішинг та якими інструментами користуватися.

Зміст статті

Що таке фішинг і як він працює?

Давайте, для початку, розберемося, що воно узагалі таке “фішинг”, звідки взявся цей термін та що являє собою фішингова атака.

Фішинг (phishing) — це тип кібератаки, коли основним способом для зламу та компрометації пристрою чи системи користувача є фішингові посилання – URL-адреси, які містять зловмисні функції та параметри й переспрямовують користувачів на підроблені фішингові сайти, де зловмисники перехоплюють їх дані. Фішингові посилання доставляються різноманітними каналам електронного зв’язку: email, онлайн-месенджери, SMS/MMS-повідомлення.

В основі фішингової атаки лежить соціальна інженерія — це галузь інформаційної безпеки, яка вивчає соціологію та психологію. З її допомогою можна провести профайлінг користувача, скласти психологічний портрет, дослідити поведінку, вивчити інтереси та захоплення, спрогнозувати майбутні дії та наміри. Зловмисники активно застосовують соціальну інженерію, аби ввести користувача в оману, заманити в пастку та проникнути в систему. Більшість фішингових атак розраховані на неуважність і необізнаність користувача.

Троянський кінь

Фішингова атака може бути двох видів:

  • Точкова (цілеспрямована) фішингова атака – це тип атаки, коли зловмисники націлені на конкретну електронну адресу користувача. Вони проводять OSINT-розвідку з відкритих джерел – “пробивають” жертву по всім можливим каналам зв’язку, базам даним, джерелам (соцмережі, месенджери, email), щоби зібрати якомога більше інформації та підібрати правильну тактику. Приклад: один з моїх знайомих колись цікавився комп’ютерним дизайном. Зловмисник знайшов його старі резюме і сторінки у соцмережах, проаналізував та почав надсилати персональні пропозиції безкоштовно взяти участь у щорічній виставці для молодих дизайнерів, прикриваючись брендом однієї маловідомої французької компанії з провінційного містечка.
  • Масова фішингова атака – це тип атаки, коли зловмисники формують перелік електронних адрес і з допомогою автоматизованих засобів здійснюють розсилку email-повідомлень. При цьому використовуються анонімні або зламані поштові сервери. Також може застосовуватись техніка email spoofing – коли зловмисник надсилає повідомлення від імені електронної адреси справжньої компанії, використовуючи вразливості її MAIL-сервера. Таким чином, користувач думає, що отримав справжнього листа. Приклад: користувачу приходить повідомлення з електронної адреси його провайдера про блокування доменного імені, мовляв, потрібно негайно перейти по посиланню і проплатити. Неуважний користувач відкриває таке посилання й потрапляє на “вудочку”. Щоби визначити підроблену email-адресу, треба завжди перевіряти вихідний код та заголовки email-листа.

Сервіси для перевірки заголовків Email Headers:

Email-валідатори для перевірки справжності електронних адрес:

Сценарії та вектори фішингових атак

При переході по фішинговому посиланню можливі наступні сценарії:

  • Фішингове посилання містить шкідливі URL-параметри (payloads) або JavaScript-код, який виконується при переході на вразливий або підроблений сайт, далі авторизаційні дані (наприклад, cookie) користувача відсилаються на зловмисний сервер;
  • Фішингове посилання веде на фальшивий сайт, який маскується під офіційний. Наприклад, сторінка входу в персональний онлайн-кабінет популярного сервісу або соцмережу. Користувач вводить облікові дані і потрапляє в фейковий акаунт. Зловмисник отримує автентифікаційні дані облікового запису;
  • Фішингове посилання веде під видом голосування за когось на зловмисний сайт/додаток, який потребує введення облікових даних і коду підтвердження для продовження. Користувач вводить їх, нібито голосує, після чого його дані авторизації, наприклад сесійні кукі або токени, потрапляють до зловмисників. Далі вони зможуть повністю заволодіти акаунтом жертви;
  • Фішингове посилання замасковане під посилання на онлайн-оплату в платіжному сервісі. Користувач потрапляє на веб-сторінку з підробленою формою для вводу платіжних даних. Він вводить їх, ніби-то оплачує покупку, а його банківські реквізити, дані картки, включаючи CVV-код насправді потрапляють до шахраїв;
  • Фішингове посилання веде на завантаження файлу, який маскується під документ чи фото, які містять зловмисний код. Як тільки користувач завантажує їх на свій пристрій, зловмисне ПЗ (троян, руткіт, реверс-шелл або бекдор) проникає в систему й бере під контроль усі ресурси та процеси системи жертви. Надалі зловмисник просто віддалено керує операційною системою користувача. У подальшому хакер через шкідливе ПЗ може організувати ботнет і провести DDOS-атаку з IP-адреси жертви.

Фішингова атака

Як розпізнати фішинг?

Ознаками фішингового листа є:

  • Фішингові email-листи, зазвичай, розсилаються зі скомпрометованих (похаканих) поштових серверів або підроблених email-адрес (техніка email spoofing). Зловмисники можуть намагатися скористатись банальною неуважністю користувача і підробити в назві домену всього лиш одну літеру, наприклад відправити не з оригінального mail@leon.net, а фальшивого mail@1eon.net (замість літери l використана одиниця 1). Або зареєструвати новий домен з такою ж назвою й відправити з нього повідомлення. Все розраховано на хитрощі і банальну неуважність;
  • Груба, неохайна верстка листа, штучний, згенерований AI-ботом текст, автоматично перекладений текст, що часто рясніє граматичними, орфографічними помилками;
  • Фішингові листи завжди закликають до дії, вводять в оману неправдоподібними пропозиціями (по роботі чи партнерству), імітують повідомлення від банків, провайдерів, друзів, родичів, колег, співробітників, начальників і т.д.;
  • Фішингові посилання можуть бути згенеровані з допомогою коротких URL (shortlink url) або маскуватися під файлообмінник чи хмарний сервіс, наприклад OneDrive, Google Drive, iCloud, Dropbox, Mediafire чи інші;
  • Можуть містити динамічні URL-параметри для відстеження і збору сенситивних даних: ідентифікаторів, сесій, токенів, cookie (CID, SID, RESID, AUTHKEY);
  • Ведуть на свіжостворені сайти і свіжозареєстровані домени з низьким рейтингом та відсутнім HTTPS. Часто шкідливі домени можуть мати дивні довгі імена, наприклад: le0n-tecn5.fld.page.dev і т.д.

Приклад фішингового листа

Які основні способи захисту від фішингу?

  1. Завжди використовувати VPN – на рівні пристрою/операційної системи/браузера.
  2. Не підключатися до незнайомих публічних Wi-Fi точок доступу.
  3. Не переходити по невідомим URL-посиланням.
  4. Не відвідувати сумнівні сайти з незахищеним HTTP-з’єднанням.
  5. Не завантажувати файли з невідомих джерел.
  6. Не встановлювати зламані (Crack/Nulled) програми, ігри, додатки, застосунки, плагіни.
  7. Вчасно оновлювати програмне забезпечення.
  8. Встановити антивірусний сканер і фаєрвол (Firewall). Для Windows: Malwarebytes Windows Firewall Control (by BiniSoft), Portmaster. Для Linux: CSF, UFW, Snort, ClamAV. Для Android: VirusTotal Mobile, ESET Mobile Security, Bitdefender Mobile Security.
  9. Встановити надійний інтернет-браузер з відповідними налаштуваннями та розширеннями безпеки: Firefox з arkenfox.js, LibreWolf, Brave, Ungoogled, TOR.
  10. Провести конфігурацію файлу /etc/hosts, додавши в нього для блокування список потенційно шкідливих доменів і URL-адрес. Готовий список можна вивантажити з репозиторію GitHub.
  11. Для власників серверів – рекомендується провести ретельне налаштування безпеки поштового сервера і унеможливити хакерські атаки, наприклад: DNS/EMAIL-spoofing, Open Email Relay, спам “від себе до себе”, bruteforce. Використовувати мережеві порти лише з TLS/SSL-шифруванням: SMTPS, IMAPS, POP3S. Додати підписи авторизації для поштового сервера: SPF, DMARC, DKIM. Розгорнути надійний поштовий клієнт з підтримкою PGP-шифрування. Встановити необхідні модулі для перевірки вхідної пошти на сервері, наприклад SpamAssasin. Використовувати складні паролі для доступу до поштової скриньки.

👉 Читайте також керівництво: Безпека в інтернеті: основні поради й правила.

Як перевірити URL-адресу на фішинг?

Спеціалізовані онлайн-сервіси для аналізу шкідливих посилань:

  • VirusTotal — чудовий сервіс для перевірки шкідливих URL-адрес та файлів. Перевірка здійснюється по базі з 50 незалежних джерел. Є окрема версія у вигляді програмидодатку для браузера та застосунку для Android.
  • HybridAnalysis — авторитетний онлайн-інструмент від американської компанії з кібербезпеки CrowdStrike. Містить усе необхідне, включаючи віртуальну пісочницю для тестування шкідливих додатків. Я з його допомогою виявив не одне шпигунське ПЗ. На виході отримаємо детальний звіт, який приходить на email.
  • JoeSandbox — сервіс подібний до HybridAnalysis, містить чимало корисних опцій, функцій, налаштувань.
  • ANY.RUN — популярний інтернет-майданчик для моніторингу та тестування кіберзагроз. З його допомогою можна запустити одноразову віртуальну машину та протестувати в real-time режимі дію шкідливого ПЗ чи посилання. При цьому глядачами стають інші користувачі сервісу.
  • CyberGordon – сервіс перевірки репутації доменів, веб та IP-адрес, надаэ комплексну інформацію по загрозам та ризикам, які присутні в посиланні.
  • URLVOID – популярний сервіс для перевірки репутації веб-сайтів та визначення шкідливих доменів.
  • URLhaus – база даних шкідливих URL-адрес, фішингових та фальшивих сторінок, веб-ресурсів.
  • Scanurl – ще один сервіс для перевірки посилань на фішинг і віруси.
  • unfurl – сервіс, який допоможе розшифрувати посилання з URL-параметрами.
  • urlquery – онлайн-пісочниця для веб-браузера, яка підсумовує дії, які виконує браузер під час відвідування вказаного посилання, дозволяє виявити та проаналізувати malware-активність.
  • Lookyloo – ще одна онлайн-пісочниця.
  • Wheregoes – онлайн-сервіс для перевірки редіректів.
  • CheckShortURL – сервіс для перевірки коротких URL-посилань.
  • Rex Swains HTTP Viewer – сервіс аналізує HTTP-запити за вказаним посиланням.

Перевірка на фішинг

Ви також можете відправити фішингове посилання нам на експертизу: security@kr-labs.com.ua

Читайте також:

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

5 1 голос
Рейтинг статті
Підписатися
Сповістити про
guest
0 Коментарі
Старіші
Новіші Найпопулярніші
Вбудовані Відгуки
Переглянути всі коментарі
0
Поставте запитання й отримайте відповідь!x
Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію
Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!