Киберпаранойя 3.2 — пара слов про ссылочки

Казалось бы, ну кто в здравом уме ведется на этот банальный развод с переходом по ссылкам — это же только совсем глупые делают… Примерно так размышляет типичный ламер, переходя по этой самой ссылке. Ведь «глупые» — это «где-то там», а «тут» только умные, да? Впрочем, ладно бы все упиралось только в сам факт перехода, но многие до сих пор искренне считают, что если они не вводили никаких паролей, то и фишинга не было.

Особенно забавно, когда так думают те, кто сам пачками скупает логи под заливы. Причем именно логи, а не «типа самореги» — то есть о существовании куки-стиллеров такие ребятки знают. Но при этом почему-то уверены, что с ними этого не произойдет. Ну да ладно, оставим это на откуп их «осознанности». Мы же здесь собрались для того, чтоб поделиться инфой с теми ребятками, кто не в теме. Вы ведь не в теме, правда? А то товарищ майор просит уточнить…

Не только лишь «лишь»

А начнем, пожалуй, с повторения того, о чем только что говорили. Фишинг — это не только про письма да ссылки с фейковыми формами. В подавляющем большинстве случаев никакой формы вообще не будет — ибо зачем кибергопнику лишний раз обращать на себя внимание, чтобы вы вовремя успели забить тревогу? Банальный пример — катаете вы себе в свою Дотку, наяриваете глазами на скины Арканы (да, автор не знает, что Аркана — это не персонаж, а тип скинов). Зато он знает, как угнать у вас Аркану :D), и тут вжух — а скинов больше нет. При этом паролей вы не вводили. Да и вообще, у вас включена двухфакторка.

Вот только украденной сессии пофигу на то, есть ли у вас двухфакторка. Ведь авторизация происходит на этапе инициализации сессии. Как только сессия инициализирована, то ни двухфакторка, ни оповещение о входе уже не помогут — ведь и то и другое уже было совершено вами до кражи сессии. Если совсем по-простому, представьте, что вы купили новый замок и установили его в дверь. Так вот если сделать копию ключа — то дверь, внезапно, получится открыть. И тот факт, что вы перед открытием двери каждый раз оборачиваетесь, никак от этого не защитит. Пример максимально утрированный — зато доступный для понимания.

Ах да! Потеря скинов — это, конечно, ужасно, но так теряют не только скины в Доте (но и в CS GO :D), но и:

• Деньги с банковских счетов — да-да, есть способы заставить банк принять транзакцию без SMS-подтверждения. И это не какая-то экзотика. А если у хацкера завалялся кусочек мозга, он сделает все так, что вы оплатите ему товар, который он уже продал кому-то. И фиг потом его найдут.

• Крипту с криптокошельков — здесь все даже проще, чем с банками. А если учесть, что свой собственный криптостиллер сегодня вайб-кодит каждый второй школьник — остается лишь пожелать удачи в «защите капитала от инфляции». И да, про арбитраж трафика они в курсе.

• Нюдсы — причем не только те, что вам дороги, но даже те, что вы сами украли для перепродажи! Шутки шутками, но для многих тема болезненная. Вспомните, как бедного Дзюбу пришлось морально поддерживать всем миром. А ведь тысячи людей платят кибергопам в страхе, что их опубликуют.

• Всю инфу про ваш девайс — привет, пиксель на стероидах. Отличие от пикселя в том, что Meta* и так все про вас знает. И вы ей нафиг не впали. А вот школьник-кибергоп очень даже может заинтересоваться, увидев вашу RTX 5090, либо распиаренную платежку среди списка посещенных сайтов.

• Сохраненные пароли — вы же читали статью о том, почему автозаполнение нужно отключить, да? А те пароли, что уже были сохранены после прочтения, удалили? То-то же! :D А если серьезно, современные браузеры пылесосят инфу о вас не хуже пикселя. И достать ее совсем не сложно.

• Токены — собственно, ими обычно и угоняют скины в дотке. Да только авторизационные токены как технология используются много где. Жмакнули «авторизироваться через» на каком-то сайте? Поздравляем, всего скорее, вы подарите еще доступ к этому сайту в случае фишинга.

• Инфу о команде — даже обрывочная информация может стать тем самым фактором интереса, после которой за вашу команду возьмутся всерьез. Вплоть до физических похищений где-то в Таиланде — бабушки с миллионами не бесконечные, знаете ли…

• Инфу о связках — шутка ли, когда вам в РК засунут свою ссылку и вы будете лить траф в интересах тех, кто вас хакнул? Это как минимум может быть обидно! А как максимум, собрав сливки с вашего залива, от вашего имени еще и посрутся со всеми партнерами. Зачем? Потому что почему бы и да?

• Инфу обо всем — а еще в подавляющем большинстве случаев даже кусочек инфы очень упрощает дальнейшую обработку. Например, старый ваш никнейм где-то там может помочь найти ваш пароль по слитым базам. Ну или банальный взлом почты может помочь взломать еще кучу всего.

В общем, рассказывать о том, сколько всего можно наворотить, подсунув вам ссылочку, — можно бесконечно. Кстати, узнать ваше местоположение в большинстве случаев тоже можно. Исключение — жители Москвы с ее вечным спуфингом в «Шарик». Но это скорее аномалия, нежели исключение.

Меня не обмануть!

А вот и обмануть! Не станете же вы морозиться от менеджера, с которым несколько лет работаете, когда он скинет вам ссылку на новые условия залива. Да и предоставленные им промоматериалы, всего скорее, скачаете без задней мысли. А может, вы вообще медиа — и вам написал рекламодатель. Или наоборот — вам прислали документ с рекламным прайсом, который вы сами же запросили.

При чем тут все эти случаи? А при том, что вы не знаете — и не можете знать, — действительно ли на том конце тот, о ком вы думаете. Банально потому, что вашего собеседника могли взломать. А еще собеседник сам может не знать, что его взломали, и вполне искренне кидать вам, как ему кажется, абсолютно безопасный файл. А файлы, как мы знаем (мы же знаем?), позволяют куда больше, чем просто ссылки.

Думаете, вас спасет антивирус? Как бы не так — современные хацкеры осведомлены об их существовании и методах работы, что позволяет им умело прятать свои «шалости» прямо перед «глазами» АВ. Да что уж там — нередко именно антивирус становится целью заражения. Ведь это так удобно, когда и лаги, и вмешательства в работу других процессов можно просто списать на сканирование угроз. Да и гемор с удалением АВ редко вызывает подозрение.

Где еще может притаиться фишинг?

А притаиться он может много где, например:

• QR-коды — да-да, это те самые квадратики, который все мы так любим. Фишка в том, что заранее увидеть, куда именно приведет QR-код, невозможно. А значит, и подвоха вы не заметите. Особенно популярен QR-фишинг в разных офлайн-объявлениях. Да и наклеить поверх QR условного «Магнита» свой никто не мешает — лишь бы ловкости хватило.

• NFC — здесь даже взлома в классическом смысле нет. По сути, вы просто сами отправляете злоумышленникам то, что не собирались. Причем далеко не всегда даже замечая это. Поэтому если вы еще не отключили NFC — отключите его как можно скорее.

• Войти через — да, мельком про это уже было выше. Но лучше перебдеть, чем недобдеть. Так вот в идеале вообще не пользоваться этой штукой, но если пользуетесь, хотя бы читайте, что именно вы разрешаете. Иногда это банальный вход, а иногда — доступ к почте, контактам, серверам или еще чему-нибудь интересному.

• Безопасные сервисы — их опасность в их «безопасности». Люди тупо перестают анализировать ссылки, файлы, да и действия просто потому, что «ну это же известная платформа!» Вот только взламывают не только пользователей, но и сами сервисы, их рекламные кабинеты, саппортов и сотрудников. А иногда никакого взлома не надо — достаточно просто сделать качественный фейк интерфейса.

• Реклама — особенно часто такое встречается в крипте, софте и всяких «полезных сервисах для работы». Также в последнее время часто попадается в рекламе вакансий. Но в целом может быть в рекламе чего угодно. Потому что — почему бы и да? Тем более что реклама позволяет гибко настраивать ЦА и точечно воздействовать на боли, подталкивая к переходу, ну вы и сами в курсе :D

• Оставьте заявку / перезвоните нам — во-первых, это само по себе уже сбор персональных данных. И если вы думаете, что они не уйдут дальше платформы, — думайте :D Во-вторых, нередко после заполнения всей инфы от вас просят еще и ваши соцсети. При этом уже имея на руках потенциально полезную инфу. Ну и в-третьих, звонить после таких форм будут уже подготовленные «сотрудники сбербанка».

• Я не робот — капча давно перестала быть просто проверкой на человечность. Сегодня под видом «подтвердите, что вы не робот» могут попросить выполнить действия, которые вы в другой ситуации никогда не стали бы делать — вставлять что-то из буфера обмена, разрешать уведомления, открывать системное окно или еще какую-то дичь «для проверки безопасности». Особенно «конвертят» такие схемы через фейковые Cloudflare-проверки. Юзер видит знакомый интерфейс и послушно жмакает все что ему скажут.

• Буфер обмена (особенно в крипте) — скопировали адрес кошелька, вставили — готово, что может пойти не так? :D Ну… Например, то, что вредонос уже подменил содержимое буфера на нужный ему адрес. И заметить это сложно, потому что большинство людей проверяет максимум первые и последние символы. Особенно весело, когда такая подмена работает выборочно и активируется только при работе с криптой. А вы понимаете, что «что-то не так» лишь спустя несколько часов.

• Совместный доступ — «дай доступ посмотреть», «закинь меня редактором», «подключи к рабочему пространству» — звучит так типично, не правда ли? Вот только совместный доступ часто открывает куда больше возможностей, чем кажется. Особенно когда речь про облака, корпоративные сервисы, таблицы, Discord-сервера или рекламные кабы и т. д. Один лишний доступ — и кибергоп уже может собирать инфу, смотреть переписки, подсовывать файлы и еще много всякого веселого. Но самый сок, что часто доступы не отзывают даже спустя годы после увольнения.

Как защититься?

А защититься можно традиционно для нашей рубрики — никак. Ибо на каждое действие изобретается противодействие. В особенности актуально «никак», если вы хотите простое и шаблонное решение — тогда прям совсем никак. Но советы все же держите:

• Не тыкайте куда попало — особенно когда вас торопят. Чем активнее вас подгоняют, тем выше шанс, что это какой-то развод. Особенно если используются фразы в стиле «срочно посмотреть», «срочно подтвердить», «срочно проверить», иначе будет «пи*дец вселенского масштаба». Ситуации настолько срочные, что не терпят пары часов, — это настолько редкий «зверь», что далеко не в каждом лесу водится. В том смысле что если вы менеджер, а не ИБшник, то «ААА, ДЕДЛАЙН БЫЛ 5 МИНУТ НАЗАД» — это почти всегда преувеличение.

• Проверяйте не только ссылку — в особенности если ее прислал кто-то, кто не обменивается с вами ссылками каждые 5 минут. Постарайтесь ненавязчиво спросить что-то, что знал бы ваш визави, но не знал бы хацкер. Это не панацея, так как толковый кибергоп подготовится, но иногда помогает.

• Не скачивайте файлы — если вам присылают прайс файлом, просите, чтоб прислали текстом. Присылают промо архивом? Пусть шлют файлами. И так далее. Но если специфика вашей работы подразумевает регулярный файлообмен — заведите для этого отдельное железо. Ну либо работайте через «контейнеры». Не знаете, что это? Тогда заведите отдельное железо…

• Не авторизируйтесь через сторонние сервисы — никогда. Просто никогда этого не делайте. Все.

• Проверяйте реквизиты — каждый символ. По 10 раз. В особенности если речь о крипте. Ибо в случае с ней вы даже в полицию заявить не сможете.

Впрочем, все это, конечно, полумеры. А лучшим способом защиты от фишинга было, есть и будет — полное отключение от интернета :D И это не шутка…

Саммари

Надеемся, наша статья помогла вам понять, что фишинг — это не только про ссылочки в почте и что никакого простого и универсального решения нет. И технически быть не может. Лучшая (но не абсолютная) защита — это повышение компетенций в сфере кибербеза и паранойя по поводу и без.

* Meta признана экстремистской и запрещена на территории РФ.