Pikšķerēšana

Ievads par pikšķerēšanu

Pikšķerēšana ir sociālās inženierijas veids. Atšķirībā no citiem kiberuzbrukumiem, kas ir tieši vērsti pret tīkliem un resursiem, sociālās inženierijas uzbrukumos tiek izmantotas cilvēciskas kļūdas, viltus stāsti un spiediena taktikas, lai manipulētu ar upuriem, liekot tiem netīšām kaitēt sev vai savai organizācijai. Tipiskā pikšķerēšanas mēģinājumā noziedznieks izliekas par kādu, kam upuris uzticas, piemēram, par kolēģi, priekšnieku, autoritāti vai pazīstama zīmola pārstāvi. Noziedznieks nosūta ziņu, liekot cietušajam apmaksāt rēķinu, atvērt pielikumu, noklikšķināt uz saites vai veikt kādu citu darbību.

Pikšķerēšanas uzbrukumu attīstība un ietekme

Termins “pikšķerēšana”, kas tagad ir kibernoziegumu sinonīms, radies, pateicoties Pensilvānijā kāda pusaudža izstrādātajai programmai AOHell. Šī agrīnā ļaunprātīgā programmatūra bija vērsta pret AOL (America Online), kas bija populārs tiešsaistes pakalpojums interneta pirmsākumos, izmantojot mehānismus, lai nozagtu kredītkaršu informāciju un uzlauztu paroles, tādējādi izraisot AOL pakalpojumu darbības traucējumus. Programma AOHell lika pamatus automatizētai pikšķerēšanas programmatūrai, ietekmējot turpmākās pikšķerēšanas metodes, tostarp tās, ko izmantoja Warez kopiena – grupa, kas nodarbojās ar uzlaušanu un pirātiskas programmatūras koplietošanu.

Krāpšanas sākumposms

Warez kopienai tiek piedēvēti pirmie organizētie pikšķerēšanas uzbrukumi, kas sākās 1996. gadā. Tie bija vērsti pret AOL lietotājiem, izmantojot algoritmu, lai ģenerētu nejaušus kredītkaršu numurus. Kad viņi atrada derīgu numuru, viņi izveidoja īstus AOL kontus, lai apkrāptu citus lietotājus. Šī sākotnējā pikšķerēšanas shēma pārtapa sarežģītākā sociālās inženierijas taktikā, uzbrucējiem uzdodoties par AOL darbiniekiem, lai iegūtu sensitīvu informāciju.

Pēc šiem pirmajiem krāpšanas gadījumiem pikšķerēšanas taktika strauji pārgāja uz e-pastu. Sākotnējās pikšķerēšanas e-pasta vēstules bija gan nepārliecinošas shēmas, piemēram, ar viltotiem Nigērijas prinčiem, gan sarežģītāki mēģinājumi, piemēram, 2003. gada Mimail vīruss. Mimail vīruss tika izplatīts ar e-pasta vēstules starpniecību, kas apgalvoja, ka ir no PayPal, un aicināja lietotājus atjaunināt kredītkartes datus. Daudzi lietotāji, maldināti pārliecinošā PayPal logotipa, ievadīja savus akreditācijas datus ļaunprātīgā tīmekļa vietnē.

Uz cilvēku vērsti draudi

Pikšķerēšana ir īpaši bīstama, jo tā izmanto cilvēka psiholoģiju, nevis tehnoloģiskās ievainojamības. Uzbrucējiem bieži vien nav nepieciešams tieši uzlauzt sistēmas vai pārspēt kiberdrošības rīkus. Tā vietā viņi maldina personas ar autorizētu piekļuvi sensitīvai informācijai, liekot tām neapzināti palīdzēt uzbrukumā.

Pikšķerētāji var būt gan individuāli krāpnieki, gan organizēti noziedzīgi grupējumi, kas pikšķerēšanu var izmantot dažādiem ļaunprātīgiem mērķiem, tostarp identitātes zādzībai, kredītkaršu krāpšanai, naudas zādzībai, izspiešanai, kontu pārņemšanai un spiegošanai. Pikšķerēšanas uzbrukumu mērķi ir privātpersonas, korporācijas un valsts iestādes. Zīmīgs piemērs ir pikšķerēšanas uzbrukums Hilarijas Klintones 2016. gada ASV prezidenta vēlēšanu kampaņai, kad Krievijas hakeri izmantoja viltotu paroles atjaunošanas e-pastu, lai nozagtu tūkstošiem e-pastu. Pat kampaņas IT palīdzības dienests tika apmānīts ar viltotajiem e-pastiem.

Mūsdienu pikšķerēšanas metodes

Pikšķerēšana ir ievērojami attīstījusies, izmantojot dažādas saziņas metodes un sarežģītus paņēmienus, lai maldinātu mērķauditoriju. Mūsdienu pikšķerēšanas mēģinājumi var ļoti precīzi imitēt likumīgus uzņēmumus, tāpēc tos ir grūti atklāt bez rūpīgas izpētes.

Daži mūsdienu pikšķerēšanas paņēmieni:

• Pikšķerēšana: tā notiek, izmantojot sociālos plašsaziņas līdzekļus, izmantojot viltotus URL, īsziņas vai viltotus profilus, lai iegūtu konfidenciālu informāciju. Uzbrucēji var arī izmantot sociālo mediju profilus, lai iegūtu personisku informāciju un pastiprinātu manipulācijas.
• Klonēšana un domēna spoofing: Uzbrucēji izveido e-pasta vēstules, kas ļoti līdzinās likumīgajām, izmantojot precīzas ziņojumu kopijas vai viltojot domēnu nosaukumus, lai e-pasta vēstules izskatītos īstas. Viņi bieži uzdodas par lieliem, labi zināmiem uzņēmumiem, lai piespiestu lietotājus izpaust personisko informāciju.
• Šī metode apvieno pikšķerēšanu ar īsziņu sūtīšanu, nosūtot viltotas īsziņas, lai iegūtu informāciju, piemēram, kredītkaršu numurus vai paroles.
• Ļoti mērķtiecīga pikšķerēšana – pikšķerēšana, kuras mērķis ir iegūt detalizētu informāciju, lai izveidotu personalizētus e-pasta ziņojumus, kas šķietami nāk no uzticamiem avotiem.
• Vaļu medības: Šis pikšķerēšanas veids ir vērsts uz augstākā līmeņa darbiniekiem vai augsta ranga personām, bieži vien izmantojot sarežģītu sociālo manipulāciju un izlūkdatu vākšanu.
• Višingošana: Višingēšana, kas apvieno pikšķerēšanu un VoIP (Voice over Internet Protocol), ietver krāpnieciskus tālruņa zvanus, kuru mērķis ir iegūt konfidenciālu informāciju.

Kopumā pikšķerēšana ir attīstījusies no tādām agrīnām programmām kā AOHell līdz sarežģītām shēmām, kas ietver dažādas saziņas metodes. Draudi joprojām ir būtiski, jo tie izmanto cilvēka psiholoģiju, tāpēc ir svarīgi, lai indivīdi un organizācijas saglabātu modrību un būtu informēti par šīm pastāvīgi mainīgajām taktikām.