Защита от фишинга. Как распознать мошенничество и минимизировать риски
Фишинг (от англ. phishing) — это способ получить личные данные пользователей обманным путем. Преступников, использующих этот метод, называют фишерами.
Изначально фишингом считались письма, содержащие вредоносное программное обеспечение или ссылку на мошеннический сайт. Теперь в подобных схемах используется не только электронная почта — это могут быть:
- мошеннические СМС (смишинг),
- сообщения в мессенджерах или социальных сетях,
- поддельные сайты и реклама в интернете,
- телефонные звонки (вишинг),
- комбинации перечисленных способов.
В ходе нападения злоумышленники пытаются манипулировать человеком или выдать себя за тех, кому он доверяет. Вот примеры, как мошенники могут играть на разных чувствах:
- Страх. В сообщении говорится, что компьютер заражен и заблокирован, необходимо пройти по ссылке.
- Невнимательность. Пользователь получает письмо якобы от известной компании, которое содержит ошибки в адресе:
sbernbank.ru,gmall.com. - Жадность. Мошенники предлагают скидку 50% при оплате прямо сейчас.
- Раздражение. Нужно перейти по ссылке, чтобы отписаться.
- Желание помочь. Сотруднику приходит сообщение: «Кажется, ваш коллега потерял свои вещи. Дайте мне его номер телефона».
- Авторитет, срочность. Якобы органы власти требуют срочно погасить задолженность по кредиту.
Среди возможных сценариев фишинга существует два основных. Они также могут дополняться различными техниками социальной инженерии.
Запуск вредоносного вложения. Пользователь получает сообщение со ссылкой для скачивания или вложением. Чаще всего это файл Microsoft Word, который якобы содержит важную информацию: договор, платежное поручение, коммерческое предложение или другой документ. В этом файле находится макрос — программа на языке Visual Basic. Обычно ее используют для автоматизации рутинных задач в продуктах Microsoft Office, однако злоумышленники адаптируют ее под свои цели. Они добавляют в макрос вредоносный код, который позволяет получить необходимые привилегии в системе и развить атаку. Чтобы осуществить задуманное, злоумышленнику нужно лишь спровоцировать пользователя запустить макрос.
Вредоносные файлы распространяют и через сайты. В этом случае мошенники заманивают пользователя на ресурс, где предлагают что‑то скачать, например важное обновление или бесплатную утилиту. Такие программы могут взломать компьютер или зашифровать все файлы и потребовать выкуп.
Ввод учетных данных на сайте. Фишеры используют, например, контекстную рекламу, сообщения в мессенджерах или электронной почте, в которых содержится прямая ссылка на поддельный сайт компании либо на страницу с автоматической переадресацией. В тексте мошенники говорят о срочности действия, пугают последствиями либо пытаются заинтересовать пользователя — с помощью психологических приемов побуждают человека открыть ссылку на поддельный внешний ресурс. Это может быть имитация веб‑версии почты или интернет‑банка. Верстка такого сайта полностью копируется с официального, а его доменное имя зачастую отличается только на один символ. На поддельной странице есть форма для ввода персональных данных. Такие сайты пытаются получить доступ к конфиденциальной информации пользователя: они могут запрашивать логин и пароль, данные банковской карты, адрес электронной почты или номер телефона.
Комбинации техник. Преступники могут использовать несколько методов, чтобы повысить эффективность своих действий. Например, сделать рассылку по работникам, а затем позвонить с просьбой срочно перейти по ссылке. Доля открытия фишинговых ссылок возрастает в три раза, если к обычной рассылке добавить телефонные звонки
Фишинг можно разделить на простой и целевой.
Простой фишинг — это массовая рассылка по имеющейся базе. Получатели не всегда оказываются клиентами компании, от лица которой делается рассылка, поэтому такой вид фишинга называют spray and pray — рассылай и молись. Мошенники отправляют электронные письма от имени банка, интернет‑магазина или поставщика сервиса. Или создают поддельную учетную запись организации в соцсети и рассылают сообщения внутри платформы либо в мессенджерах.
Целевой фишинг по определению имеет более узкую направленность: фишеры рассылают письма конкретным сотрудникам или отделам в выбранных компаниях. В таких рассылках содержится больше деталей о работе, создающих впечатление реального сообщения. Например, специалист может получить сообщение о проблеме с корпоративным аккаунтом якобы от коллег из службы безопасности, которые просят войти в систему, введя личные данные по фишинговой ссылке. Часто сотрудники не замечают ничего плохого и вводят свои пароли, предоставляя мошенникам права доступа к инфраструктуре.
Whaling, или охота на крупную рыбу, — еще более узкий вариант целевого фишинга. В этом случае злоумышленники пытаются достать всю возможную информацию о руководителях организации и отправляют письма от их лица. Иногда мошенники могут взломать почту начальника и использовать ее, но чаще — имитируют адрес, заменяя символ.
Любой бизнес рискует стать жертвой фишеров: отрасль, размер и сложность системы безопасности не играют роли. Киберпреступники могут использовать фишинг даже в случае с предприятиями, устойчивыми к киберугрозам: проще получить личные данные обманом, чем пытаться взломать многоуровневую систему защиты.
41% атак начинался с фишинга в 2021 году
Например, в 2019 году норвежская металлургическая компания Norsk Hydro потеряла почти 66 млн евро из‑за атаки с программой-шифровальщиком. Злоумышленники проникли в сеть за несколько месяцев до инцидента с помощью фишингового письма. Вредоносное ПО было вложено в электронное сообщение от имени реального клиента Norsk Hydro и подписано легитимным сертификатом.
Пострадать от фишинга можно не только в ситуации, когда атакуют вас. Если мошенники будут обманывать людей от имени организации, жертвы завалят службу поддержки жалобами, начнут писать негативные отзывы или отказываться от услуг. Следующий пример показывает важность защиты от фишинга не только внутри периметра, но и за его пределами.
Злоумышленники размещали на площадке объявлений поддельные публикации о продаже товаров и отправляли покупателей на фишинговые страницы оплаты. Пользователи сочли, что обман происходит на стороне площадки, и подали на ее владельцев в суд. Компания запретила обмен неофициальными ссылками на своем сайте, но мошенники нашли способ обойти эту меру, переводя диалог с пользователями в социальные сети. В результате того, что компания не отслеживала фишинговые ресурсы и неэффективно противодействовала киберпреступникам, отток клиентов вырос в 10 раз.
Фишеры главным образом целятся в сотрудников, работающих с финансами, коммерческой тайной или персональными данными клиентов и партнеров компании. Такие атаки грозят убытками, утечкой информации и ударом по репутации.
По результатам нашего исследования, 68% сотрудников, занимающихся продажами, открывают фишинговые сообщения. Вредоносные рассылки бывают настолько продуманными, что даже эксперты по кибербезопасности могут поддаться на уловку — треть сотрудников открыли письма.
Каждый пятый HR и каждый седьмой бухгалтер переходят по фишинговой ссылке. Кроме того, 20% бухгалтеров открывают вредоносные вложения. А чаще всего это делают аналитики — в четверти случаев. При этом для компрометации всей компании будет достаточно, если хотя бы один из тысячи сотрудников откроет письмо, перейдет по ссылке или скачает вредоносное вложение.
Решающую роль в защите от фишинга играет обучение: именно человеческий фактор — причина 88% инцидентов с утечками данных
А чтобы уменьшить риски, связанные с человеческим фактором, и оградить сотрудников от потенциальных угроз, нужно дополнить тренинги техническими средствами. Для этого можно использовать как встроенные, так и наложенные средства защиты электронной почты, которые включают антивирусную проверку вложений, антиспам‑решения, проверку почтовых адресов по базе индикаторов компрометации и так далее.
Кроме того, важно мониторить интернет, чтобы отслеживать случаи мошенничества от лица организации.
По нашей статистике, регулярные тренинги делают сотрудников в 9 раз устойчивее к фишингу.
Чтобы обучение киберграмотности было результативным, в нем должны сочетаться три компонента:
- Теоретические знания. Здесь важно донести до персонала, к каким последствиям могут привести нападения фишеров, как их распознать и что делать, если пришло фишинговое письмо.
- Задания для проверки усвоенного. Они обеспечивают быструю обратную связь и помогают увидеть пробелы в знаниях.
- Регулярные практические тренинги — например, учебные фишинговые рассылки. Тренировки, приближенные к жизни, помогают увеличить осведомленность работников и подготовить их к настоящим инцидентам. Если сотрудник не справился с тренировкой, он повторно проходит теоретический курс.
Вы можете проводить обучение своими силами. Для этого потребуется установить специальное ПО, придумать письма и сценарии, создать фишинговые вложения и страницы. Но эффективнее использовать уже имеющиеся решения, например BI.ZONE Security Fitness.
Готовые системы разработаны с учетом опыта противодействия кибератакам и помогут воссоздать ситуацию, приближенную к реальным условиям, когда мошенники используют разные каналы: email, мессенджеры, сайты, Wi‑Fi, звонки, СМС, USB‑носители. Также с помощью автоматизированных сервисов удобно собирать статистику и анализировать прогресс сотрудников.
Важно, чтобы все сотрудники знали основные признаки мошенничества и имели под рукой шпаргалку с правилами безопасности. Мы составили список вещей, на которые следует обращать внимание.
Электронная почта
- Электронный адрес отправителя. Обычно очень похож на настоящий, но отличается на один‑два символа. Например, ma1l вместо mail.
- Призыв к немедленным действиям. Фишинговые материалы побуждают пользователя срочно пройти по ссылке или открыть вложение. Также вам могут навязывать что‑то, к чему вы обычно не имеете отношения.
- Гиперссылка. Обращайте внимание на ее текст и URL. Наведите курсор на ссылку, не кликая по ней, и посмотрите, куда она ведет на самом деле.
- Расширение вложений. Часто фишинговые письма содержат файлы с расширениями
.zip/.js/.exe/.src. - Странная активность. Вложение просит включить поддержку макросов или отключить защищенный просмотр.
Соцсети
- Скрывайте информацию в соцсетях от посторонних, мошенники могут использовать ее.
- Настройте двухфакторную аутентификацию в своих аккаунтах.
- Обращайте внимание, если собеседник ведет себя неестественно. Такое поведение может означать, что его взломали. Например, кто‑то из друзей вдруг попросит перевести ему деньги или попытается узнать личную информацию.
Сайты
- HTTPS или иконка закрытого замка. Когда вводите личные данные на сайте, обращайте внимание на префикс. Если перед адресом стоит HTTP или открытый замок, значит, страница ненадежна.
- Ошибки и предупреждения безопасности. Обращайте внимание на уведомления безопасности во время загрузки сайта.
- Адрес страницы. Прежде чем ввести свои данные, убедитесь, что это тот самый сайт, ведь клоны бывают похожи на оригинал. Проверьте корректность написания несколько раз — в строке адреса не должно быть опечаток, например vandex вместо yandex.
- Дизайн. Посмотрите на оформление страницы. Часто фишинговые сайты выдают себя плохим дизайном, ошибками в тексте, множеством уведомлений и всплывающих окон. Форма для ввода данных может оказаться единственным работающим элементом.
- Контекстная реклама. Внимательно относитесь к контекстной рекламе: фишеры покупают верхние строчки поисковой выдачи.
- Кричащие картинки и кнопки. Задумайтесь, если вам обещают внезапный выигрыш или пытаются запугать.
Обо всех подозрительных вещах — ошибках, письмах, файлах — нужно обязательно сообщать сотрудникам отдела безопасности.
Если ограничиться средствами защиты, встроенными в браузер и почтовый сервер, то злоумышленники смогут протестировать механизмы перед нападением и обойти защиту. Лучший вариант — настроить несколько уровней безопасности, чтобы повысить шансы перехватить фишинговые письма. Для снижения рисков мы советуем внедрить решение по защите электронной почты, которое бы обнаруживало и фильтровало вредоносные сообщения, например BI.ZONE CESP.
С помощью подобного сервиса можно снизить вероятность кибератак. Хорошие решения для защиты почты способны:
- выявлять сложные атаки на основе исследования содержимого письма, проверки индикаторов и детектирования цифровых отпечатков устройств;
- оценивать репутацию отправителя и определять спам‑рейтинг письма;
- использовать антивирус для проверки содержимого;
- определять содержание текста, изображений и вложений;
- находить фишинговые ссылки с помощью анализа сайта, на который они ведут;
- задерживать и отсеивать сообщения, отправленные ботами;
- снижать нагрузку на почтовый сервер, фильтруя нежелательные письма до их поступления.
Если мошенники крадут деньги или личные данные пользователей, прикрываясь вашим брендом, это может повлечь репутационные и финансовые потери. В этом случае от фишинга чаще страдают крупные бренды: злоумышленникам удобнее действовать от имени компании, у которой много лояльных клиентов. К примеру, в 2021 году мошенники больше всего копировали Microsoft, Apple и Google
Чтобы защититься от подобных угроз, рекомендуем использовать сервисы класса digital risk protection. Например, платформа BI.ZONE Brand Protection ежедневно анализирует 12 миллионов источников в поиске фишинговых сайтов, имитирующих ресурсы компании‑клиента, и способна блокировать их. Такие решения помогают уменьшить юридические риски и сократить затраты на покрытие возможного ущерба от кибератаки.
Невозможно до конца защититься от фишинга, но можно сократить риски. Для этого следует применять комплексный подход:
- Обучать сотрудников и повышать их уровень киберграмотности. Ведь мы имеем дело с инструментом социальной инженерии, эксплуатирующим особенности психологии человека.
- Применять технические средства защиты. Но при этом помнить, что встроенные инструменты в одиночку неэффективны против направленных атак — лучше дополнять их системами многоуровневой защиты почты.
- Следить, не прикрываются ли вашим брендом мошенники. Такой фишинг не опасен с точки зрения взлома компании, но может создать угрозы для репутации и привести к финансовым потерям.