20 января, 2022
Охота на фишинг: сезон открыт. Теперь всего за несколько кликов.
Как-то раз после новогодних праздников очнулся опытный интернет-пользователь, заслуженный блогер и мастер поисковых машин Василий Пупкин чуть попозже (и не в самом приподнятом настроении духа), заставил своё тело сменить горизонтальную ориентацию в пространстве на чуть более вертикальную, погрузил ноги в шлёпки и отправился поправляться первой чашкой кофе. Но на пути к кофемашине его полный утренней неги взор упал на чуть мерцающий незалоченный после вчерашнего экран. И решил Василий – на беду свою! – зачем-то в нетвёрдом ещё сознании залезть обратно в почту-бложки и прочие чатики. «А что там новенького?» — попутал его чёрт в левое полушарие не до конца проснувшегося головного мозга. Шлёп-шлёп по клавишам, и аккурат на третьем касании отправился Василий в увлекательнейшее киберпутешествие на какой-то очередной зловредный фишинговый сайт. Всё бы ничего, используй он нормальное «патентованное средство» от интернет-паразитов (сами знаете какое). Ведь как «настоящий опытный пользователь» Василий был гарантированно защищён от всех цифровых напастей своей многолетне натруженной киберкармой – с гарантией! И потому просто для порядка держал в своём арсенале какую-то общедоступную вшигонялку, которая в этот самый важный момент его и не уберегла…
История длинная получается, посему сразу перейду к её эндшпилю.
«Не твой день сегодня, Василий!» — если говорить кратко. А подробнее: если считать по качеству и количеству проклятий и сквернословий, в то утро Василий использовал свой полугодовой запас. Но и это тоже не помогло. И смирился уже прокачанный интернет-ас с потерями, уже сам связался со службой безопасности своего банка, уже прикидывал, как он будет ручками восстанавливать всё и вся… – но больше всего в этот момент он ненавидел тех неведомых мерзавцев, которые устроили ему такое карнавальное утро, а также этот самый зловредный фишинговый сайт. И готов был он обещать горы золотые (как это часто в таких случаях и бывает) за то, чтобы прибить эту интернет-заразу, скормить вредоносную страницу бесам и дьяволам киберпространства, вызвать цифровых ангелов для предания анафеме… Ну, далее понятно. Кофе между тем он себе так и не заварил.
— Ну что, поможем Василию Пупкину?
— Да! — громко и хором закричали дети.
Но для этого надо прочитать немного технического текста, в котором описан замечательный инструмент решения этой неприятной проблемы. Текст не слишком занудный, посему все велкам ->
=======
Threat Intelligence (далее TI) – это набор важных сервисов, которые помогают ориентироваться в непростом ландшафте киберугроз и принимать решения для совершенствования защиты. Это сбор и анализ данных об эпидемиологической обстановке в корпоративной сети и за её пределами, профессиональные инструменты для расследования инцидентов, аналитические отчёты о новых целевых кибератаках и многое другое. Каждый разработчик корпоративных систем кибербезопасности имеет в своей продуктовой экосистеме такой «козырь», поскольку без него экосистема – всё равно, что стул без ножки. В любой момент можно упасть. И больно удариться.
C TI специалист может наблюдать за окрестностями своей киберкрепости (и даже заглядывать за горизонт), понимать, откуда идёт враг, как он экипирован, что у него на уме и в кармане, какие стратегии, тактики и разведданные он использует. Без этого, даже с лучшим вооружением и непробиваемыми стенами, крепость не защищена: возьмут не через ворота, а, например, подкопом или воздушным десантом. Совсем не смешно.
<рекламная пауза ON :)> Мы в «Лаборатории» начали развивать собственный TI-портал и в 2016 году. Доразвивались так, что в прошлом году аналитическое агентство Forrester признало нас одним из мировых лидеров. С Forrester согласно множество известных имён со всего мира – наших заказчиков (например, Telefonica, Мюнхенский аэропорт, Chronicle Security, CyberGuard Technologies), которые давно и успешно используют наши TI-сервисы. <рекламная пауза OFF>
В нашей TI-платформе особняком стоит сервис Digital Footprint Intelligence, «персонализированная аналитика киберугроз», далее DFI.
DFI – это составление широкого «цифрового портрета» организации (ресурсы сетевого периметра – IP-адреса, домены компании и используемые облачные и хостинг-провайдеры, а также сотрудники, ассоциированные бренды, дочерние организации и филиалы) и последующий мониторинг его использования в открытых источниках, даркнете и дипвебе, а также в нашей собственной базе знаний, содержащей сведения о почти тысячи целевых атак и различном вредоносном инструментарии.
Таким образом DFI выявляет уязвимости и потенциальные угрозы, утечки данных, признаки прошедших, текущих и даже планируемых атак. И выявляет очень даже неплохо: недавнее DFI-исследование на Ближнем Востоке выявило столько всего критического, чувствительного и дырявого, что
Но что делать, если сети притащили мертвеца лампочка DFI-мониторинга вдруг загорелась красным, сигнализируя о проблеме? Например, обнаружен фишинговый веб-сайт, который прикидывается вашей организацией и от её имени собирает у честных пользователей номера кредитных карточек? // Какими ещё уловками пользуются кибернегодяи — читайте в нашем исследовании о спаме и фишинге.
Стандартная процедура на этот случай – собрать доказательную базу нарушения, передать её в организацию, управляющую доменной зоной сайта, отслеживать процесс выполнения запроса и предоставлять дополнительные материалы. Это достаточно трудоёмкая задача, требующая выделенного специалиста, а то и целого отдела. При этом до 50% фишинговых страниц остаются активными даже спустя месяц. В общем, сложно и дорого, но деваться некуда.
Хотя нет, на самом деле есть куда деваться! Можно решить эту задачу «просто и дёшево» и без компромиссов в плане качества. На нашей TI-портфеле появился сервис «Takedown» — это «служба одного окна» по управляемому блокированию вредоносных, фишинговых и тайпсквоттинг-доменов.
Как только роботы DFI находят подобную кибератаку (а мы каждый день регистрируем более 15 000 фишинговых URL), пользователю достаточно сделать несколько кликов для создания запроса на блокировку сайта. Дальше события развиваются, как в заказе в онлайн-магазине: мы сами собираем доказательную базу, отправляем её компетентным организациям, отслеживаем выполнение запроса и информируем заказчика об этапах решения проблемы. За много лет работы мы наладили связи с регистраторами доменных имён, национальными и отраслевыми группами реагирования (CERT), международными киберполицейскими (INTERPOL, Europol) и другими ответственными организациями. Сейчас для нас процесс блокировки вредоносного сайта – отточенный до совершенства бизнес-процесс. Заказчик просто наблюдает выполнение заявки. Всё!
В среднем на блокирование вредоносного сайта у нас уходит несколько дней (в зависимости от доменной зоны, уровня домена и хостинг-провайдера). Вот так, за небольшое вознаграждение мы избавляем пользователей от сложной непрофильной работы, снижаем цифровые риски и позволяем штатным специалистам сосредоточиться на их приоритетных задачах.
И помогите Василию Пупкину хоть как-то отомстить глобальной сети за унизительное утро :)