Как проверить URL на фишинг и вирусы: реальный кейс

Как проверить URL на вирусы

На днях, после длительного затишья, на мой электронный ящик снова посыпались “забавные” письма со спамом. В силу своего опыта, я сразу же понял, что это фишинговая атака и навсегда заблокировал отправителей. Но как быть рядовым пользователям?? Ведь по статистике, ежедневно на email приходят тысячи фишинговых ссылок. Согласно отчету PhishMe, 90% пользователей до сих пор переходят по ним. Фишинг и социальная инженерия все еще являются серьезной проблемой и угрозой, это один из наиболее ярких видов интернет-мошенничества и кибератаки. Как всегда, я решил поделиться с вами инструментами из своего арсенала. Не поленился и собрал список самых лучших, на мой взгляд, онлайн-сервисов для проверки URL (ссылок) на фишинг, вирусы, спам и другие угрозы.

Что такое фишинг?

Фишинг (с англ. phishing – “ловля рыб, выуживание”) – вид кибер-атаки и техника интернет-мошенничества, основанная на отправке электронных писем и социальной инженерии, целью которой является получение конфиденциальных данных пользователя и дальнейший взлом его аккаунта.

Принцип фишинговой атаки: Мошенники массово (или целенаправленно) рассылают электронные письма с личными или служебными сообщениями, предложениями, представляясь от чужого лица (брендами, компаниями, родственниками, друзьями, сотрудниками, партнерами и т.д.). Для отправки писем используются поддельные сервера и домены, часто замаскированные под оригинальные. В письме они призывают пользователя к действию – перейти по указанному URL-адресу (фишинговая ссылка). Как только пользователь переходит по этой фишинговой ссылке и попадает на поддельную страницу: А) его cookie (данные аутентификации) перехватываются злоумышленниками; Б) скачивается вирусный файл – Троян, который незаметно выполняет вредоносные действия и саморазмножается. В итоге, аккаунт/система пользователя скомпротерированы и, по сути, взломаны.

Как проверить URL на фишинг и вирусы: реальный кейс

Особенности фишинговых ссылок:

  1. могут быть замаскированны под ссылку, которая ведет на популярный сервис, например OneDrive, Google Drive и .т.д;
  2. могут создаваться с помощью сервисов сокращенных URL (short URL) – пользователь в таком случае не знает куда ведет ссылка;
  3. могут содержать вредоносные параметры URL, например разные идентификаторы, сессии, токены и другие данные аутентификации, которые потом передаются мошенникам;
  4. могут вести на вредоносный, или якобы оригинальный веб-сайт, на котором уже зарегистрирована жертва, например поддельная страница входа в Instagram (так-называемое “фишинговое зеркало”).
На заметку: Первая фишинг атака исследована в 1987 году, а в 1996 году появился сам термин – фишинг. Для того чтобы убедить жертву перейти по вредоносному URL, злоумышленники используют социальную инженерию – различные заготовленные фразы, например: “Внимание! Ваш аккаунт заблокирован. Срочно перейдите по указанной ссылке, чтобы посмотреть детали”, “Пользователь такой-то перечислил вам сумму такую-то. Пожалуйста, подтвердите вашу платежную информацию…”, “Здравствуйте, уважаемый такой-то! Я Ваш бизнес-партнёр, в письме предложение такое-то, от которого вы не сможете отказаться. Переходите по ссылке, чтобы ознакомиться. Моё предложение будет в силе еще столько-то часов/дней” и так далее. Все эти сообщения рассчитаны на невнимательность, незнание основ информационной/компьютерной гигиены и безопасности. Аналогичные приемы давно применяются мошенниками из другой “оперы” – телефонными аферистами.

Пример фишингового письма:

Пример фишингового письма
Типичный пример фишингового письма. Найдите 5 отличий: 1) Заголовок письма абсолютно несуразный, не имеет ничего общего с содержимым письма; 2) Домен фишинговый, ведет на незащищенный сайт. Если проверить IP-адрес и DNS, то сразу ясно, что он входит в черные списки и с него рассылается спам. Во-вторых, какой нормальный бизнес-партнёр возьмет такой идиотский никнейм “muhasebe”? 3) Тело письма. Оно склеено из разных предложений, которые никак не вяжутся между собой (“судове випробування”), но зато мошенники не поленились добавить в конце призыв к действию – якобы ждут ответа и что-то обещают. 4) Ссылка. Она состоит из таких URL-параметров как: CID, RESID и AUTHKEY. Что это?? А это и есть “куки” – данные аутентификации, которые передаются по ссылке. 5) Прикрепленный файл. Чтобы наивный пользователь думал, что ему действительно отправили какое-то КП – в письмо вставили поддельный скриншот – якобы сгенерированное самим Гуглом превью документа ;) Невнимательный сотрудник, у которого нет времени разбираться, в 60% случаев клюнет на это и будет взломан.

Защититься от фишинга могут помочь:

  • установленный брандмауэр (фаервол) на уровне интернет-сети/операционной системы;
  • антивирусный сканер со специальным модулем “Антивор и антифишинг”;
  • надежный браузер, оптимизированный под анонимный серфинг в интернете (Brave или Firefox с плагинами);
  • автопроверка всех входящих писем на уровне почтовика (email-клиента);
  • вместо DNS провайдера – использовать безопасный Clouflare DNS;
  • установить VPN;

Но, к сожалению, все эти способы защиты не всегда гарантируют безопасность. Фишеры научились использовать современные технологии (DMARC, SPF, DKIM подписи) и обходить защиту. Благодаря этому их письма не попадают в “СПАМ” и приходят по адресу. Защититься можно только одним способом – включать мозги, внимательно читать и проверять все ссылки на безопасность (safe) с помощью специальных онлайн-сервисов. Далее и пойдет о них речь.

VirusTotal

Популярный онлайн-сервис для проверки разного типа URL и файлов на вредоносность. Пользоваться сервисом очень удобно – переходим на официальный сайт, копируем вредоносный URL (Ctrl+C), вставляем в поле (Ctrl+V), нажимаем Enter:

How scan URL in Virus total

На выходе получаем отчет, который состоит из проверок в различных сервисах. VirusTotal универсален тем, что прогоняет ссылку сразу по более 200-там антивирусных баз. Если находит где-то уязвимость – в чек-листу будет отмечено красным “Malicious”. Нахождение в 2-3х базах уже свидетельствует о вредоносности объекта, а значит по такой ссылке нельзя переходить:

Как проверить URL на фишинг и вирусы: реальный кейс

В отчете VirusTotal также показываются интересные подробности:

  • Код ответа, который отдает сервер при переходе по вредоносной ссылке (это может быть ответ 200 или 301й редирект);
  • Кодировка страницы, на которую ведет ссылка;
  • Значки со ссылками на операции: “Обновить”, “Построить визуальную модель угрозы” (пригодится для построения отчета);
  • Дополнительные вкладки:
    • Detection – проверка по чек-листу антивирусных баз;
    • Details – все детали и подробности, включая шифрование и HTTP-заголовки;
    • Links – исходящие ссылки, найденные на странице, куда ведет ссылка;
    • Community – зарегистрированный пользователь может оставить комментарий по вредоносной ссылке;

Как проверить URL на фишинг и вирусы: реальный кейс

Как проверить URL на фишинг и вирусы: реальный кейс

VirusTotal также доступен в виде десктоп-приложения, расширения браузера, intelligence-сервисов и мобильного приложения:

VirusTotal Mobile
VirusTotal Mobile
Developer: FunnyCat
Price: Free

Обязательно установите себе набор утилит VirusTotal, чтобы получить базовую “привывку” от фишинга!

Hybrid Analysis

В принципе на VirusTotal можно было бы и заканчивать этот обзор – он показал, что ссылка является вредоносной. Плюс фаервол и антивирус должны блокировать переход по таким ссылкам. Но бывают разные ситуации, когда ничего из этого не установлено на пользовательской машине, а VirusTotal показывает, что ссылка частично заражена (сработала только 1 база). Или вам просто недостаточно полученных данных и вы хотите покопаться глубже, поэкспериментировать, проанализировать объект с разных сторон, идентифицировать цепочку угрозы, понять какие последствия будут, если все-таки перейти по ссылке…

Тут пригодится замечательный онлайн-сервис Hybrid Analysis, созданный известной американской компанией по компьютерной безопасности Crowd Strike. Инструмент является мощным универсальным средством для проверки заражённых, вредоносных файлов и URL. От VirusTotal отличается тем, что помимо стандартной проверки по базам, предоставляет еще и песочницу (Sandbox), которая точно поможет смоделировать угрозу.

Как проверить URL на фишинг и вирусы: реальный кейс

Итак, регистрируемся в сервисе, вставляем фишинговую ссылку в поле URL и нажимаем на кнопку “Analyze”. Появится окно с условиями – соглашаемся и нажимаем “Continue”. Далее нам предложат выбрать какую операционную систему будем использовать в качестве “песочницы”. Можно также перейти в “Runtime Options” и задать различные настройки сканирования.

Как проверить URL на фишинг и вирусы: реальный кейс

Как проверить URL на фишинг и вирусы: реальный кейс

Жмем “Generic Public Report” (сгенерировать отчет) и запускаем анализ. Отчет придет на ваш email. То, что будет в нем – обещаю, позволит совсем иначе посмотреть на тему фишинговой атаки:

Как проверить URL на фишинг и вирусы: реальный кейс

Итак, из отчета HybridAnalysis видно, что перед нами совсем небезобидная ссылка, а серьезная угроза с негативными последствиями для компьютеров под управлением операционных систем Windows, а именно:

  • Фишинговая ссылка под видом облачного сервиса OneDrive ведет на скачивание исполняемого EXE-файла;
  • Этот файл является вирусом типа “Trojan” и принадлежит к семейству Kryptik.ZXG;
  • НО вирус поражает только 32-битные системы – пользователям Linux и обладателям 64-разрядных ОС нечего бояться;
  • Точность анализа: 100 из 100, несмотря на то, что сканирование по базам VirusTotal давало жалких 3% (!);

Теперь вбиваем в поиске Google название этого вируса и смотрим, что это такое и “с чем его едят”:

Как проверить URL на фишинг и вирусы: реальный кейс

Из Threat Encyclopedia узнаем, что:

Kryptik – тип вредоносного ПО, которое выполняет различные действия без ведома пользователя. Эти действия обычно включают в себя установление подключений удаленного доступа, захват ввода с клавиатуры, сбор системной информации, загрузку / загрузку файлов, размещение других вредоносных программ в зараженной системе, выполнение атак типа «отказ в обслуживании» (DoS) и запуск / завершение процессов.

Как проверить URL на фишинг и вирусы: реальный кейс

Покопавшись еще в интернете я нашел, что этот вредонос использует антиэмуляцию, антиотладку и обфускацию кода для затруднения анализа. Распространен по всему миру. Плюс от себя добавлю, что у него ярко определенное название “Криптик”, вероятно был создан где-то на просторах бывшего СНГ и как-то связан с вирусами-шифровальщиками (этот ресурс подтвердил мою догадку). Ярким примером вируса-шифровальщика является вирус “Trojan.Petya“, который в 2016-м проник в инфраструктуру Украины именно через фишинговую атаку. Так что выводы делайте сами, какие последствия могут иметь “безобидные” ссылки:

Как проверить URL на фишинг и вирусы: реальный кейс
Сообщение пользователя о вирусе Kryptik на форуме антивируса ESET NOD.

В email-отчете, который прислал HybridAnalysis, будет также ссылка на полный отчет в веб-версии. Давайте откроем и посмотрим:

Как проверить URL на фишинг и вирусы: реальный кейс

По каждому пункту в отчете масса интересной, полезной информации. Реверс-инженерам на заметку. Если открыть вкладку Sandbox – там будет подробный отчет по моделированию угрозы, со всеми логами и запротоколированными действиями вируса. Даже показано название компилятора  – чем собирали, “паковали” этот вирус:

Как проверить URL на фишинг и вирусы: реальный кейс

Интересно, что в Диспетчере задач Windows этот вирус скрывался под пустым именем:

Как проверить URL на фишинг и вирусы: реальный кейс

Как видим, сервис HybridAnalysis предоставил абсолютно все доказательства, что это опасная фишинговая ссылка, которая ведет на скачивание трояна-шифровальщика, известного под разными именами:

Как проверить URL на фишинг и вирусы: реальный кейс

JoeSandBox

Еще один функциональный сервис, который представляет собой 2-в-1: сканер и песочницу для проверки вредоносных объектов:

Как проверить URL на фишинг и вирусы: реальный кейс

Сервис поддерживает разные платформы (OS Windows, Linux, Android, macOS, iOS) и способы проверки (через файл, ссылку, команду терминала). Я выбрал проверку на платформе. По умолчанию в качестве песочницы он использует сборку Windows 10 64 bit v1803, поэтому показал мне, что, все чисто. А вредонос работает только на 32-разрядных системах Windows:

Как проверить URL на фишинг и вирусы: реальный кейс

Но уникальность JoeSandBox в том, что он предоставляет даже видеоотчет с деревом процессов:

Как проверить URL на фишинг и вирусы: реальный кейс

Разных фишек в сервисе много, но всю мощь анализа можно ощутить только в коммерческом использовании – некоторые опции в бесплатном режиме недоступны:

Как проверить URL на фишинг и вирусы: реальный кейс

Как проверить URL на фишинг и вирусы: реальный кейс

JoeSandbox также можно использовать в виде расширения для сканера уязвимостей Rapid 7. C остальными продуктами можно ознакомиться на официальном сайте.

AnyAppRun

Как проверить URL на фишинг и вирусы: реальный кейс

AnyAppRun – это популярная онлайн-площадка для мониторинга и проверки киберугроз. Особенность и отличие сервиса в том, что он позволяет каждому зарегистрированному пользователю создать публичный таск (задание) на проверку того или иного файла/URL с применением песочницы – тестовой операционной системы (в бесплатном режиме доступны только 32-битные). “Песочницу” можно сконфигурировать до самых деталей: настройки сети, компоненты, патчи Windows, браузеры и многое другое.

Как проверить URL на фишинг и вирусы: реальный кейс

После запуска задания, его выполнение можно отследить в режиме реального времени:

Как проверить URL на фишинг и вирусы: реальный кейс

AnyAppRun дал мне основательно понять как работает фишинговая схема: сначала открывается ссылка, по ней скачивается архив в формате tgz.gz, в архиве лежит вредоносный exe-файл со странным названием “Запит на цитату”. Если открыть файл – запустятся процессы и троян начнет действовать.

Как проверить URL на фишинг и вирусы: реальный кейс

Как проверить URL на фишинг и вирусы: реальный кейс

Детально на этом сервисе останавливаться не буду, так как понадобиться отдельная статья, чтобы описать все его возможности. Но думаю суть его понятна.

Другие сервисы для проверки безопасности URL

Эти сервисы уступают по функционалу HybridAnalysis и JoeSandbox, но могут пригодиться для подготовки развернутого отчета и дополнительной проверки:

  • DR.WEB URL Check – чекер фишинговых ссылок от популярного антивируса;
  • URLvoid – проверяет по базам;
  • URLhaus – проверяет по базам;
  • Maltiverse – проверяет по базам;
  • ScanUrl – онлайн-чекер URL;
  • Unfurl – расшифровывает длинные URL-адреса с параметрами;
  • CheckShortUrl – проверяет сокращенные URL;
  • WhereGoes – отличный сервис для проверки URL, который дает возможность отследить все редиректы, если они есть;
  • Google Safe Browsing – иногда помогает помочь понять, как видит тот или иной сайт Google;
Как проверить URL на фишинг и вирусы: реальный кейс
Wheregoes наглядно продемонстрировал как работает фишинговая ссылка: при переходе по ней передались куки и сработал постоянный 302-й редирект на другой URL – источник с файлом.

Кому и куда писать, если вы попались на “удочку”?

Если вы все-таки по неосторожности и невнимательности стали жертвой фишинговой атаки, ваш компьютер пострадал, пострадали другие пользователи, а данные были уничтожены и банальная “переустановка” не помогла – сразу же звоните или пишите в Группу оперативного реагирования на киберинциденты (Cybersecurity Incident Response Team).

Ссылки подаю ниже:

Как проверить URL на фишинг и вирусы: реальный кейс

голосов
Рейтинг статьи
Подписка на сайт KRV

Получайте регулярные обновления на почту!   


Author
Konrad Ravenstone/ автор статьи
Специалист по информационной и компьютерной безопасности. Системный интегратор, администратор. Занимаюсь комплексным обслуживанием веб-сайтов и IT инфраструктуры. Подробнее>>
Поделиться материалом в соцсетях:
KRV — IT блог о веб-технологиях, и не только
0 комментариев
Встроенные отзывы
Просмотреть все комментарии
0
Оставьте свой комментарийx
()
x