Як перевірити URL-адресу на фішинг і віруси?

Що таке фішинг і як він працює?

Давайте, для початку, розберемося, що воно узагалі таке “фішинг”, звідки взявся цей термін та що являє собою фішингова атака.

Фішинг (phishing) — це тип кібератаки, коли основним способом для зламу та компрометації пристрою чи системи користувача є фішингові посилання – URL-адреси, які містять зловмисні функції та параметри й переспрямовують користувачів на підроблені фішингові сайти, де зловмисники перехоплюють їх дані. Фішингові посилання доставляються різноманітними каналам електронного зв’язку: email, онлайн-месенджери, SMS/MMS-повідомлення.

В основі фішингової атаки лежить соціальна інженерія — це галузь інформаційної безпеки, яка вивчає соціологію та психологію. З її допомогою можна провести профайлінг користувача, скласти психологічний портрет, дослідити поведінку, вивчити інтереси та захоплення, спрогнозувати майбутні дії та наміри. Зловмисники активно застосовують соціальну інженерію, аби ввести користувача в оману, заманити в пастку та проникнути в систему. Більшість фішингових атак розраховані на неуважність і необізнаність користувача.

Фішингова атака може бути двох видів:

◉ Точкова (цілеспрямована) фішингова атака – це тип атаки, коли зловмисники націлені на конкретну електронну адресу користувача. Вони проводять OSINT-розвідку з відкритих джерел – “пробивають” жертву по всім можливим каналам зв’язку, базам даним, джерелам (соцмережі, месенджери, email), щоби зібрати якомога більше інформації та підібрати правильну тактику. Приклад: один з моїх знайомих колись цікавився комп’ютерним дизайном. Зловмисник знайшов його старі резюме і сторінки у соцмережах, проаналізував та почав надсилати персональні пропозиції безкоштовно взяти участь у щорічній виставці для молодих дизайнерів, прикриваючись брендом однієї маловідомої французької компанії з провінційного містечка.

◉ Масова фішингова атака – це тип атаки, коли зловмисники формують перелік електронних адрес і з допомогою автоматизованих засобів здійснюють розсилку email-повідомлень. При цьому використовуються анонімні або зламані поштові сервери. Також може застосовуватись техніка email spoofing – коли зловмисник надсилає повідомлення від імені електронної адреси справжньої компанії, використовуючи вразливості її MAIL-сервера. Таким чином, користувач думає, що отримав справжнього листа. Приклад: користувачу приходить повідомлення з електронної адреси його провайдера про блокування доменного імені, мовляв, потрібно негайно перейти по посиланню і проплатити. Неуважний користувач відкриває таке посилання й потрапляє на “вудочку”. Щоби визначити підроблену email-адресу, треба завжди перевіряти вихідний код та заголовки email-листа.

Сервіси для перевірки заголовків Email Headers:

• Google Admin Toolbox: messageheader
• Mailheader.org
• mailMeta
• MXTOOLBOX

Email-валідатори для перевірки справжності електронних адрес:

• 2ip.ua: Email check
• emailrep.io
• hunter.io
• zerobounce.net
• mailboxplayer
• EML Reader
• EML Viewer
• msgeml.com

Сценарії та вектори фішингових атак

При переході по фішинговому посиланню можливі наступні сценарії:

• фішингове посилання містить шкідливі URL-параметри (payloads) або JavaScript-код, який виконується при переході на вразливий або підроблений сайт, далі авторизаційні дані користувача відсилаються на зловмисний сервер;
• фішингове посилання веде на фальшивий сайт, який маскується під офіційний. Наприклад, сторінка входу в персональний онлайн-кабінет популярного сервісу або соцмережу. Користувач вводить облікові дані і потрапляє в фейковий акаунт. Зловмисник отримує автентифікаційні дані облікового запису;
• фішингове посилання замасковане під посилання на онлайн-оплату в платіжному сервісі. Користувач потрапляє на веб-сторінку з підробленою формою для вводу платіжних даних. Він вводить їх, ніби-то оплачує покупку, а його банківські реквізити, дані картки, включаючи CVV-код насправді потрапляють до шахраїв;
• фішингове посилання веде на завантаження файлу, який маскується під документ чи фото. Як тільки користувач завантажує його на свій пристрій, зловмисне ПЗ (троян, руткіт, шелл або бекдор) проникає в систему і бере під контроль усі системні ресурси і процеси. Надалі зловмисник просто віддалено керує системою користувача. Може організувати ботнет, провести DDOS-атаку з його IP-адреси.

Як розпізнати фішинг?

Ознаками фішингового листа є:

• фішингові листи, зазвичай, розсилаються зі скомпрометованих, вразливих поштових серверів, неіснуючих або підроблених email-адрес. Зловмисники можуть намагатися скористатись банальною неуважністю користувача і підробити в назві домену всього лиш одну літеру, наприклад відправити не з оригінального mail@leon[.]net, а фальшивого mail@1eon[.]net. Або зареєструвати новий домен з такою ж назвою та відправити з нього повідомлення;
• груба, неохайна верстка листа та штучний, згенерований AI-ботом текст або автоматично перекладений, що часто рясніє граматичними, орфографічними помилками;
• фішингові листи завжди закликають до дії, вводять в оману неправдоподібними пропозиціями (по роботі чи партнерству), імітують повідомлення від банків, провайдерів, друзів, родичів, колег, співробітників, начальників і т.д.;
• фішингові посилання можуть бути згенеровані з допомогою коротких URL (shortlink url) або маскуватися під файлообмінник чи хмарний сервіс, наприклад OneDrive, Google Drive, iCloud, Dropbox, Mediafire тощо;
• можуть містити динамічні URL-параметри для відстеження і збору сенситивних даних: ідентифікаторів, сесій, токенів, cookie (CID, SID, RESID, AUTHKEY);
• ведуть на свіжостворені сайти і свіжозареєстровані домени з низьким рейтингом та відсутнім HTTPS.

Які основні способи захисту від фішингу?

1. Завжди використовувати VPN – на рівні пристрою/операційної системи/браузера.
2. Не підключатися до незнайомих публічних Wi-Fi точок доступу.
3. Не переходити по невідомим URL-посиланням.
4. Не відвідувати сумнівні сайти із незахищеним HTTP-з’єднанням.
5. Не завантажувати файли з невідомих джерел.
6. Не встановлювати зламані (Crack/Nulled) програми, ігри, додатки, застосунки, плагіни.
7. Вчасно оновлювати програмне забезпечення.
8. Встановити антивірусний сканер і фаєрвол (Firewall). Для Windows: Malwarebytes Windows Firewall Control (by BiniSoft), Portmaster. Для Linux: CSF, UFW, Snort, ClamAV. Для Android: VirusTotal Mobile, ESET Mobile Security, Bitdefender Mobile Security.
9. Встановити надійний інтернет-браузер з відповідними налаштуваннями та розширеннями безпеки: Firefox з arkenfox.js, LibreWolf, Brave, Ungoogled, TOR.
10. Для корпоративних користувачів, компаній – рекомендується провести ретельне налаштування безпеки поштового сервера і унеможливити хакерські атаки, наприклад: DNS/EMAIL-spoofing, Open Email Relay, спам “від себе до себе”, bruteforce. Використовувати мережеві порти лише з TLS/SSL-шифруванням: SMTPS, IMAPS, POP3S. Додати підписи авторизації для поштового сервера: SPF, DMARC, DKIM. Розгорнути надійний поштовий клієнт з підтримкою PGP-шифрування. Встановити необхідні модулі для перевірки вхідної пошти на сервері, наприклад SpamAssasin. Використовувати складні паролі для доступу до поштової скриньки.

Додатково можна провести конфігурацію файлу /etc/hosts, додавши в нього для блокування список потенційно шкідливих доменів і URL-адрес. Готовий список можна вивантажити з репозиторію GitHub.

👉 Читайте вичерпне керівництво: Безпека в інтернеті: основні поради й правила.

Як перевірити URL-адресу на фішинг?

Спеціалізовані онлайн-сервіси для аналізу шкідливих посилань:

• VirusTotal — чудовий сервіс для перевірки шкідливих URL-адрес та файлів. Перевірка здійснюється по базі з 50 незалежних джерел. Є окрема версія у вигляді програми, додатку для браузера та застосунку для Android.
• HybridAnalysis — авторитетний онлайн-інструмент від американської компанії з кібербезпеки CrowdStrike. Містить усе необхідне, включаючи віртуальну пісочницю для тестування шкідливих додатків. Я з його допомогою виявив не одне шпигунське ПЗ. На виході отримаємо детальний звіт, який приходить на email.
• JoeSandbox — сервіс подібний до HybridAnalysis, містить чимало корисних опцій, функцій, налаштувань.
• ANY.RUN — популярний інтернет-майданчик для моніторингу та тестування кіберзагроз. З його допомогою можна запустити одноразову віртуальну машину та протестувати в real-time режимі дію шкідливого ПЗ чи посилання. При цьому глядачами стають інші користувачі сервісу.
• CyberGordon – сервіс перевірки репутації доменів, веб та IP-адрес, надаэ комплексну інформацію по загрозам та ризикам, які присутні в посиланні.
• URLVOID – популярний сервіс для перевірки репутації веб-сайтів та визначення шкідливих доменів.
• URLhaus – база даних шкідливих URL-адрес, фішингових та фальшивих сторінок, веб-ресурсів.
• Scanurl – ще один сервіс для перевірки посилань на фішинг і віруси.
• unfurl – сервіс, який допоможе розшифрувати посилання з URL-параметрами.
• urlquery – онлайн-пісочниця для веб-браузера, яка підсумовує дії, які виконує браузер під час відвідування вказаного посилання, дозволяє виявити та проаналізувати malware-активність.
• Lookyloo – ще одна онлайн-пісочниця.
• Wheregoes – онлайн-сервіс для перевірки редіректів.
• CheckShortURL – сервіс для перевірки коротких URL-посилань.
• Rex Swains HTTP Viewer – сервіс аналізує HTTP-запити за вказаним посиланням.

Читайте також: Як виявляти фішингові домени та як поскаржитись на фішинговий сайт?