KR. Labs Research
Як перевірити посилання на фішинг
Головна » Кібербезпека

Як перевірити email-листа на фішинг і віруси?

Час читання: 14 хвДата публікації: Дата оновлення: Кібербезпека Переглядів: 1 382

Ваші поштові скриньки, мабуть, не раз наповнювалися дивними листами з пропозиціями отримати винагороду, завантажити файл чи документ або взяти участь у вікторині. У більшості випадків це були фішингові листи, метою яких є змусити користувача перейти за шкідливим посиланням, а потім перехопити його дані та зламати систему. За статистикою, 80% інтернет-користувачів стають жертвами фішингу. У цьому матеріалі поговоримо про те, як перевірити посилання на фішинг та якими інструментами користуватися.

ЗМІСТ
  1. Що таке фішинг і як він працює?
  2. Як розпізнати фішингову атаку і не потрапити на ґачок?
  3. Як аналізувати email-заголовки електронного листа?
  4. Сервіси для ідентифікації, аналізу та протидії фішинговим ресурсам

Що таке фішинг і як він працює?

Фішинг — це форма кібератаки, яка з допомогою соціальної інженерії, шляхом обману доставляє жертві URL-посиланя, які перенаправляють на фальшиві ресурси, контролюються зловмисниками і мімікрують під легітимні. Назва походить від англійського слова “phishing” (риболовля), що метафорично відображає спробу «закинути вудочку» для захоплення на “крючок” якомога більшої кількості жертв. Для масованої розсилки зловмисники використовують переважно скомпрометовані (зламані) поштові сервери. Успішність атак значною мірою залежить від використання технік соціальної інженерії, які покладаються на довіру, необізнаність та неуважність користувачів.

Канали доставки фішингових посилань:

  • Електронна пошта (email phishing);
  • Соціальні мережі/форуми/дошки оголошень;
  • Онлайн-месенджери;
  • SMS/MMS-повідомлення (smishing);
  • QR-коди (qr phishing).

Основні техніки, що використовуються у фішингових атаках:

  1. Email Spoofing (підробка електронної пошти)
    Зловмисники видають себе за легітимного відправника, змінюючи поле From. Хоча відображається правдоподібна адреса, справжня IP-адреса та хост сервера залишаються в заголовках листа. Цей прийом створює ілюзію надійності й може спонукати користувача виконати небезпечні дії.
  2. Текстсквоттінг
    Цей метод експлуатує неуважність користувачів, підмінюючи одну чи кілька літер у назві справжнього домену. Зловмисником реєструється фальшивий домен і з нього розсилається email-повідомлення. В полі відправника вказується, наприклад, замість mail@leon.net використовується mail@1eon.net. Замість літери l тут використано цифру 1 з метою, щоб жертва не помітила дрібних розбіжностей, вважаючи домен справжнім.
  3. Реверс-шелл
    Користувач завантажує файл із шкідливим скриптом, який налагоджує зворотне з’єднання з атакуючим сервером. Найчастіше це можуть бути виконувані файли (exe, bat, sh, py, rb), документи (pdf, doc, xls, ppt), архіви (zip, 7z, rar),  зображення (gif, jpg, ico). Надалі через шелл зловмисник може отримати доступ до файлової системи і виконувати віддалене виконання коду.

Цілі і мета фішингових атак:

Основна мета зловмисників — обманом змусити користувача:

  • перейти за шкідливим посиланням;
  • завантажити файл з вірусом або шкідливим програмним забезпеченням;
  • відкрити підроблений сайт і ввести конфіденційні дані.

Далі, за допомогою спеціальних скриптів і мережевих технологій, зловмисники можуть:

  • викрасти або перехопити облікові дані;
  • отримати несканкціонований доступ до пристрою і облікових записів користувача;
  • викрасти фінансову та конфіденційну інформацію.

Види фішингових атак:

  • Точкова (цілеспрямована) фішингова атака (spear phishing) – це тип атаки, коли зловмисники націлені на конкретного користувача. Вони проводять OSINT-розвідку з відкритих джерел – “пробивають” жертву по базам і електронним реєстрам, досконало вивчають зв’язки і вподобання, складають психологічний портрет. Їх завдання зібрати якомога більше інформації та підібрати правильну тактику, стратегію. До прикладу, один з моїх знайомих колись цікавився комп’ютерним дизайном. Зловмисник знайшов його старі резюме і сторінки у соцмережах, проаналізував та почав надсилати персональні пропозиції безкоштовно взяти участь у щорічній виставці для молодих дизайнерів, прикриваючись брендом однієї маловідомої французької компанії з провінційного містечка.
  • Масована фішингова атака (mass phishing) – це тип атаки, коли зловмисники формують цілий перелік електронних адрес і з допомогою автоматизованих засобів здійснюють розсилку email-повідомлень, які містять фішингові посилання або шкідливі файли. При цьому використовуються анонімні або зламані поштові сервери. Також може застосовуватись техніка email spoofing – коли зловмисник надсилає повідомлення від імені електронної адреси справжньої компанії, використовуючи вразливості цільового MAIL-сервера. Таким чином, користувач думає, що отримав справжнього листа, але насправді це лист від звловмисника.

Поширені сценарії фішингових атак:

  • Фейкові повідомлення від імені провайдера. Повідомляється про нібито блокування доменного імені. Мовляв, у вас є 24 години, щоб негайно перейти по посиланню і проплатити. Неуважний користувач вірить і переходить на фішинговий ресурс, який виконує запрограмовану фішером зловмисну дію. Наприклад, перехоплення введених даних, cookie-браузера, визначення геолокаці/IP-адреси, і т.д.
  • Фейкові повідомлення від імені банку. Повідомляється про нібито блокування коштів. Мовляв, необхідно актуалізувати дані. Жертва переходить по пропонованому посиланню, яке вже містить вбудований шкідливий скрипт (пейлоад, експлойт). Надалі будь-які введені користувачем дані – тут же відправляються на сервер зловмиснику.
  • Фейкові голосування. Пишуть зі зламаного облікового запису друга, родича чи просто незнайомої особи й просять перейти за посиланням і проголосувати (за нього, його дитину, учня і т.д.). Часто-густо відправляють голосові повідомлення або фото, щоби увійти в довіру. Наївний користувач переходить і потрапляє на сторінку авторизації сервісу, де потрібно ввести облікові дані та код доступу з SMS. Після введення, зловмисник бере обліковий запис жертви під свій контроль.
  • Фейкові партнери. Пишуть зі зламаних або неіснуючих електронних адрес, пропонуючи нібито співпрацю, яка насправді базується на викраденні коштів або іншій шахрайській схемі. Фішингове посилання може також вести на завантаження файлу, нібито договору, який маскується під справжній документ зі зловмисним бекдором.
  • Фейкові клієнти. Аналогічно пишуть зі зламаних або неіснуючих електронних адрес. Отримують потрібну їм інформацію, після чого або зникають, або атакують.
  • Фейкові рекрутери. Пропонують нібито роботу з метою отримати персональні дані. Користувачу пропонується заповнити форму, анкету або надіслати резюме, щоб повідомити дані про себе.
  • Фейкові шукачі роботи. Просяться взяти їх на роботу з метою влитися в корпоративну систему, отримати службові конфіденційні дані або інтегрувати бекдор.
  • Фейкові виплати від держави. Фішингове посилання веде на фальшивий сайт, який маскується під офіційний. Користувач добровільно вводить свої платіжні, ідентифікаційні дані, які відправляються хакеру.
  • Фейкові винагороди. Користувачу приходить лист нібито він переміг у лотереї або вікторині і його чекає приз, подарунок, винагорода. Насправді за цим стоїть продумана шахрайська схема з виманюванням грошей.
  • Фейкова OLX-доставка. Фішингове посилання замасковане під посилання на отримання коштів за замовлений товар у популярному маркетплейсі. Користувач потрапляє на підроблений сайт-зеркало, який повністю імітує оригінальний. Він вводить банківські реквізити, дані картки, включаючи CVV-код. Оплата нібито не проходить і жертві пропонується звернутися в чат технічної підтримки, але насправді її дані вже потрапили до шахраїв.
  • Фейкові повідомлення про віруси. Власнику сайту регулярно відправляється повідомлення нібито від його хостинг-провайдера, що на його сервері або сайті знайдено вірус. Пропонується перейти за посиланням, щоб скористатися безкоштовними послугами видалення. Інакше дані “будуть втрачені”.
  • Фейкові повідомлення про зламаний обліковий запис. Від імені соцмережі або іншого сервісу в якому ви зареєстровані, відправляється повідомлення з закликом вжити термінових дій, адже ваш акаунт перебуває під загрозою. Зловмисники закликають перейти за посиланням, яке містить шкідливий код або веде на фальшивий сайт з метою викрадення облікових даних.
ЧИТАЙТЕ ТАКОЖ:  Що робити, якщо ваш акаунт зламали?
Схема фішингової атаки
Приклади фішингової атаки.
Ще один приклад фішингового листа. Зловмисник видає себе за службу підтримки банку “Райффайзен” і закликає користувача перейти за посиланням, щоб оновити дані. Хоча в листі є явна розбіжність – домен відправника не належить банку. Але завдяки максимально схожому оформленню, користувач може через втому або неуважність не помітити й перейти за посиланням, яке веде на фішинговий сайт.

👉 Більше прикладів та сценаріїв фішингу>>

Як розпізнати фішингову атаку і не потрапити на ґачок?

Ознаки фішингового email-листа:

  • Підозріле тіло електронного листа. Граматичні і орфографічні помилки, неправильна побудова речень. Груба, неохайна верстка листа, текст збитий в “купу”. Автоматичний переклад або текст згенерований AI-ботом.
  • Терміновість, заклик до дій. Можуть фігурувати такі слова як “Invoice”, “Suspended”, “Blocked”. Повідомлення нібито від банків, провайдерів, друзів, родичів, колег, співробітників. Наглість, хамство, залякування, психологічний тиск, примушення до чогось. Неправдоподібні пропозиції, дивний зміст. Зловмисники можуть представлятися партнерами, клієнтами, колегами, благодійниками, добродіями, друзями, начальниками і т.д. Фішингові листи намагаються маніпулювати свідомістю і змусити людину здійснити необгрунтовану дію.
  • Довгі URL-посилання з підозрілими параметрами, яких можуть бути закодовані шкідливі JS-скрипти та сценарії для перехоплення даних.
  • Посилання ведуть на сторонні ресурси з сумнівною репутацією. Часто шкідливі домени можуть мати дивні довгі імена, наприклад: le0n-tecn5.fld.page.dev і т.д.
  • Короткі URL-посилання (shortlink), які маскуються під файлообмінник чи хмарний сервіс, наприклад OneDrive, Google Drive, iCloud, Dropbox, Mediafire та інші.
  • Підозрілі вкладення, які видають себе за законні pdf або doc документи. Можуть містити шкідливий код.

Поради інформаційної безпеки щодо захисту від фішингових атак:

  1. Завжди використовувати VPN – на рівні пристрою/операційної системи/браузера;
  2. Не підключатися до незнайомих публічних Wi-Fi точок доступу;
  3. Не переходити по невідомим URL-посиланням. Користуватись спеціальними сервісами для їх перевірки (див. вище);
  4. Не відвідувати сумнівні сайти з незахищеним HTTP-з’єднанням;
  5. Не завантажувати файли з невідомих джерел;
  6. Не встановлювати зламані (Crack/Nulled) ігри, додатки, застосунки, плагіни;
  7. Перевіряти контрольні суми файлів, які завантажуєте;
  8. Використовувати унікальні паролі більше 10 знаків з символами верхнього та нижнього реєстру, які складно підібрати. Використовувати різні паролі для різних систем, пристроїв, облікових записів;
  9. Вчасно оновлювати програмне забезпечення, здійснювати аудит і резервне копіювання;
  10. Встановити антивірусний сканер і фаєрвол (Firewall) в системі. Для Windows: Malwarebytes Windows Firewall Control (by BiniSoft), Portmaster. Для Linux: CSF, UFW, Snort, ClamAV. Для Android: VirusTotal Mobile, ESET Mobile Security, Bitdefender Mobile Security.
  11. Встановити надійний інтернет-браузер з відповідними налаштуваннями та розширеннями безпеки: Firefox з arkenfox.js, LibreWolf, Brave, Ungoogled, TOR.
  12. Провести конфігурацію файлу /etc/hosts, додавши в нього для блокування список потенційно шкідливих доменів і URL-адрес. Готовий список можна вивантажити з репозиторію GitHub.
  13. Для власників поштових серверів: рекомендується провести ретельне налаштування безпеки свого поштового сервера і унеможливити хакерські атаки, наприклад: DNS/EMAIL-spoofing, Open Email Relay, спам “від себе до себе”, bruteforce. Використовувати протоколи з TLS/SSL-шифруванням: SMTPS, IMAPS, POP3S. Додати підписи авторизації для поштового сервера: SPF, DMARC, DKIM. Розгорнути надійний поштовий клієнт з підтримкою PGP-шифрування. Встановити необхідні модулі для перевірки вхідної пошти на сервері, наприклад SpamAssasin. Використовувати складні паролі для доступу до поштової скриньки.
ЧИТАЙТЕ ТАКОЖ:  OSINT інструменти для пошуку та аналізу даних по email

👉 Повний список порад з операційної безпеки.

Як аналізувати email-заголовки електронного листа?

Якщо лист здається підозрілим, перш за все слід почати з перегляду та аналізу його поштових заголовків – Email Headers. Це вихідний код електронного листа, який містить усі технічні відомості і деталі відправленого листа, зокрема у ньому вказані сервери, протоколи відправки/отримання електронної пошти, метадані. Все це допоможе перевірити та ідентифікувати відправника.

Переглянути вихідні заголовки можна у будь-якому поштовому клієнті. Наприклад в GMAIL достатньо відкрити лист та натиснути “Переглянути оригінал” (Show original):

Аналіз поштових заголовків (email headers)
Приклад заголовків електронного email-листа.

Варто звернути увагу на наступні заголовки:

  • Received –  один з найважливіших email-заголовків, з якого дізнаємося найважливіші дані: IP-адреса сервера та доменне ім’я відправника, протоколи передачі даних, програмне забезпечення. Зазначу, що заголовків Receiced в одному листі може бути декілька, в залежності від кількості вузлів відправки;
  • Authentication-Results –  результати перевірок автентифікації листа. Тут можуть бути присутні різні значення (dkim=fail, dkim=pass), що вказують на валідність цифрового підпису;
  • DKIM-Filter – інформація про використання фільтра для перевірки автентичності підпису відправника, наприклад OpenDKIM;
  • DKIM-Signature – головний цифровий підпис листа (сигнатура), який засвідчує автентичність та легітимність домену відправника. Може бути застосований зловмисниками навмисно, щоб обійти папку “Спам”;
  • Received-SPF  – додатковий цифровий підпис SPF, який засвідчує автентичність домену відправника. Аналогічно, може бути використаний з метою обійти антиспам-фільтри;
  • Delivered-To – технічний заголовок, який показує фактичну кінцеву адресу електронної пошти, на яку було доставлено листа;
  • From – логічний заголовок, в якому вказується адреса відправника. Дуже часто цей заголовок підробляють, атакуючи може підставити будь-яку електронну адресу, тому необхідно спершу аналізувати заголовок Received;
  • To – логічний заголовок, в якому вказується адреса одержувача або одержувачів (якщо відправник вказав декілька електронних адрес). Теж можна підробити;
  • Subject – логічний заголовок з темою листа;
  • Reply-To – адреса для отримання відповіді. Часто тут може бути вказана зовсім інша адреса, ніж та з якої було відправлено листа. На це також варто звертати увагу;
  • Return-Path – вказує на адресу відправника, яка використовується для обробки невдалих доставок. Наприклад, якщо лист не дійшов до адресата, або був заблокований, тоді на цю адресу прийде звіт;
  • References – посилання на попередні листи в ланцюжку;
  • User-Agent – заголовок, що вказує на клієнтське програмне забезпечення або веб-інтерфейс, за допомогою якого було створено або відправлено лист. Наприклад, Roundcube Webmail;
  • X-Mailer – назва поштового клієнта, з якого було відправлено листа;
  • Message-ID – унікальний ідентифікатор повідомлення, який генерується поштовим сервером або клієнтом;
  • Organization – містить інформацію про організацію, від імені якої відправлено лист
  • MIME-type – версія стандарту MIME для формату листа, що дозволяє надсилати мультимедійний вміст. Зловмисники можуть маніпулювати цим заголовком;
  • MIME-version – визначає версію стандарту MIME (Multipurpose Internet Mail Extensions), який використовується для структурування електронного листа;
  • Content-Type – заголовок, що визначає тип вмісту листа. Іноді зловмисники можуть його змінити, щоб прикріпити шкідливий файл, ввести в оману поштовий клієнт або антивірусні системи і виконати його. Наприклад, вказавши тип файлів php (x-php) або інші нестандартні значення;
  • Content-Transfer-Encoding – вказує метод кодування вмісту листа, щоб забезпечити його правильну передачу мережею. Якщо вміст зашифровано (наприклад, у форматі base64), антивірус або поштовий сервер можуть не одразу розпізнати шкідливі вкладення;
  • Priority – вказує пріоритет листа, який задається відправником. Деякі поштові клієнти використовують цей заголовок для позначення листа, наприклад зірочкою або виділенням. Зловмисники можуть маркувати лист як “високий пріоритет”, щоб привернути увагу одержувача;
  • X-Custom-Header – нестандартний (кастомний) заголовок, доданий сервером, програмним забезпеченням або відправником для певної мети. Може містити ідентифікатори для відстеження без дозволу одержувача або використовуватись для приховування, маркування шкідливого вмісту.
ЧИТАЙТЕ ТАКОЖ:  Історія шифропанків та їх роль в становленні криптотехнологій. Загадка Сатоші Накамото.

👉 З повним списком email-заголовків можна ознайомитись тут.

Ви також можете окремо вивантажити електронного листа та зберегти форматі .eml, натиснувши на кнопку “Завантажити оригінал” (Download original). Пізніше його можна повторно прочитати у будь-якому поштовому клієнті, наприклад Mozilla Thunderbird чи Microsoft Outlook.

Аналізатори email заголовків і листів:

  • Google Admin Toolbox: messageheader – аналізатор заголовків листа від Google.
  • Mailheader.org – якісний аналізатор заголовків, показує детальну технічну інформацію по маршруту листа.
  • mailMeta – утиліта командного рядка для аналізу email-заголовків.
  • MXTOOLBOX – популярний сервіс для аналізу поштових серверів.
  • PhishTool – форензик-сервіс для аналізу електронного листа на фішинг.
  • ConvertCsv – онлайн-сервіс, визначає URL-адреси із тіла листа.
  • MailMeta – консольний аналізатор email-заголовків.
  • WhatMail – консольний аналізатор email-заголовків.
  • EmailAnalyzer – ще один консольний аналізатор email-заголовків.

Сервіси для ідентифікації, аналізу та протидії фішинговим ресурсам

Валідатори для перевірки легітимності email адрес:

Спеціалізовані онлайн-сервіси для перевірки посилань на фішинг і віруси:

  • URLexctractor – збирає усі URL-посилання з будь-якого файлу.
  • VirusTotal — чудовий сервіс для перевірки шкідливих URL-адрес та файлів. Перевірка здійснюється по базі з 50 незалежних джерел. Є окрема версія у вигляді програмидодатку для браузера та застосунку для Android.
  • HybridAnalysis — авторитетний онлайн-інструмент від американської компанії з кібербезпеки CrowdStrike. Містить усе необхідне, включаючи віртуальну пісочницю для тестування шкідливих додатків. Я з його допомогою виявив не одне шпигунське ПЗ. На виході отримаємо детальний звіт, який приходить на email.
  • JoeSandbox — сервіс подібний до HybridAnalysis, містить чимало корисних опцій, функцій, налаштувань.
  • ANY.RUN — популярний інтернет-майданчик для моніторингу та тестування кіберзагроз. З його допомогою можна запустити одноразову віртуальну машину та протестувати в real-time режимі дію шкідливого ПЗ чи посилання. При цьому глядачами стають інші користувачі сервісу.
  • CyberGordon – сервіс перевірки репутації доменів, веб та IP-адрес, надаэ комплексну інформацію по загрозам та ризикам, які присутні в посиланні.
  • URLVOID – популярний сервіс для перевірки репутації веб-сайтів та визначення шкідливих доменів.
  • URLhaus – база даних шкідливих URL-адрес, фішингових та фальшивих сторінок, веб-ресурсів.
  • unfurl – аналізатор URL-адрес.
  • urlquery – онлайн-пісочниця для веб-браузера, яка підсумовує дії, які виконує браузер під час відвідування вказаного посилання, дозволяє виявити та проаналізувати malware-активність.
  • Lookyloo – ще одна онлайн-пісочниця.
  • Wheregoes – онлайн-сервіс для перевірки редіректів.
  • CheckShortURL – сервіс для перевірки коротких URL-посилань.
  • Rex Swains HTTP Viewer – сервіс аналізує HTTP-запити за вказаним посиланням.
  • Cisco Talos File Reputation – перевірить шкідливе вкладення на зараженість, потрібно вказати хеш-суму SHA-256.

Чорні списки та інші сервіси для боротьби з фішинговими ресурсами:

Ви також можете відправити нам email-заголовки фішингового листа на експертизу: security[@]kr-labs.com.ua

Автор: © Konrad Ravenstone, KR. Laboratories Research

Mail Server Phishing Threat Intelligence
Konrad Ravenstone// про автора

Кібермольфар, хакер, лінуксоїд, дослідник безпеки в KR. Labs Research

Сподобалася стаття? Поділитися в соцмережах:
KR. Labs Research
Вам також може сподобатися
Кібербезпека 157
Malware Development: Створення, шифрування і розгортання троянських додатків в Windows
Ця стаття є логічним продовженням попередніх публікацій циклу Red Team –  “Техніки маскування файлів:
Gmail like SMTP server
Адміністрування 196
Як перетворити Gmail на власний поштовий SMTP-сервер?
Часто розробникам і сисадмінам для різних задач потрібні SMTP-сервери. Наприклад, для прийому і розсилки
Кібербезпека 231
Злам VPS-серверів Hikka в Telegram через RCE
Про цю вразливість, а точніше цілий її ланцюжок, в інфраструктурі юзербота Hikka, який працює
Доставка шкідливого навантаження з допомогою Cloudflare Tunnel
Кібербезпека 369
Як розгорнути локальний сервер на домені Cloudflare Tunnel для доставки файлів?
Безкоштовний сервіс Cloudflared (Cloudflare Tunnel) може бути корисним як для девелоперів, так і дослідників
Рекомендоване:
Поговоримо про основи тестування на проникнення. Що таке пентест? Хто…