Не только нажива
Хотя финансовая выгода – король этого темного балета, иногда мотивация бывает иной. Представьте себе активиста или хакера-одиночку, который недоволен какой-то компанией или организацией. Его целью может быть не кража денег, а нанесение ущерба репутации, нарушение работы сервисов (что, впрочем, тоже ведет к финансовым потерям) или публикация украденных внутренних документов. Такой фишинг часто более целевой и изощренный, ведь атакующий хочет получить доступ к конкретным системам или данным конкретных людей. Его называют таргетированным фишингом или spear-phishing (от англ. spear – копье). Это уже не массовая рассылка по миллиону адресов в надежде, что кто-то клюнет, а тщательно срежиссированная атака на одного или нескольких заранее выбранных сотрудников компании.
Еще один мотив – это разведка. Государственные или полугосударственные группы могут использовать фишинг для сбора информации, проникновения в инфраструктуру стратегических предприятий или правительственных учреждений. Здесь деньги отходят на второй план, главное – получить точку опоры в системе противника. Обычному пользователю столкнуться с таким высокоуровневым шпионажем маловероятно, но если вы работаете в оборонной, энергетической или IT-сфере, вы можете невольно оказаться на пути такого «цифрового копья».
Что движет человеком по ту сторону экрана?
За всеми этими схемами стоят живые люди. Какие они? Часто мы представляем себе злобного гения в капюшоне, стучащего по клавиатуре в темной комнате. Реальность банальнее. Для многих это просто работа, часто единственный доступный способ заработка в регионах с высокой безработицей. Кто-то втягивается по незнанию, нанимаясь на якобы легальную работу по массовой рассылке писем. Кто-то видит в этом азартную игру или способ самоутвердиться, бросив вызов системам безопасности. А для кого-то это осознанный криминальный путь с минимальными, как им кажется, рисками: сидишь себе в другой стране, жмешь на кнопки, а деньги капают. Они редко задумываются о конкретных жертвах, о пенсионерке, потерявшей последние сбережения, или о предпринимателе, чей бизнес рухнул из-за взлома. Для них это просто цифры в таблице, «клики» и «конверсия».
Это хороший момент, чтобы остановиться и задуматься. Вспомните, как вы сами воспринимаете угрозы в интернете. Как абстрактные «хакеры» где-то далеко? Или как конкретных людей, которые целенаправленно хотят ваших денег или данных? Осознание, что по ту сторону монитора сидит такой же человек, со своими мотивами (пусть и неблаговидными), меняет восприятие. Вы перестаете быть безликой единицей в базе данных для рассылки, а становитесь осознанной целью, которую можно и нужно защищать. И первый шаг к защите – понимание, что именно им от вас нужно. В следующий раз, когда вам придет письмо с urgent-темой «Ваш аккаунт будет заблокирован!», спросите себя: а что тот, кто это написал, хочет получить? Ваши логин и пароль? Доступ к карте? Или просто хочет, чтобы вы запустили вредоносный файл? Ответ на этот вопрос часто делает всю схему прозрачной, как стекло.
Понимание мотивации атакующих снимает с фишинга ореол сложной магической технологии. Это не волшебство, а ремесло, часто конвейерное. И как у любого ремесла, у него есть экономика, спрос и предложение, свои «мастера» и «подмастерья». Зная, что движет теми, кто пытается вас обмануть, вы уже на полпути к тому, чтобы этот обман распознать. Вы не просто видите письмо, вы видите за ним цель. А когда видишь цель противника, его действия становятся куда более предсказуемыми. Давайте теперь разберемся, как именно эти предсказуемые действия выглядят в реальности и из каких кирпичиков строится сама фишинговая атака.
Жизненный цикл типичной атаки
Представьте себе производство фальшивой купюры. Это не сиюминутный порыв, а четко выверенный процесс: от поиска подходящей бумаги и краски до создания печатной формы и налаживания сбыта. Фишинговая атака устроена очень похоже – это цепочка взаимосвязанных этапов, которые злоумышленник проходит один за другим. Если мы поймем эту последовательность, этапы перестанут быть магическим ритуалом хакера из фильма, а станут понятной, хоть и неприятной, логической цепочкой. Давайте проследим за ней от первого до последнего шага, представив, что мы наблюдаем за работой условного ‘мастера’ по фишингу.