Фішинг: як не потрапити на гачок до шахраїв?
Незважаючи на те, що більшість організацій приділяє достатньо уваги політиці інформаційної безпеки, багато співробітників все ще не знають, як розпізнати загрозу. Сьогодні фішинг – це не просто черговий лист сумнівного змісту в вашій робочій пошті. Технології фішинг-атак постійно вдосконалюються і набувають різних форм: від дзвінків до спливаючого вікна в браузері. Згідно зі звітом про кібербезпеки Verizon, відправляючи 10 фішингових листів, зловмисник має 90%-й шанс того, що мінімум одна людина попадеться на гачок. Слід також враховувати, що не всі фішинг-шахраї працюють однаково – багато хто з них наперед знають поведінку і звички своїх потенційних жертв, тому навчати користувачів розпізнати можливу загрозу стає все важче.
Давайте розберемося, чим представлений фішинг сьогодні і як його розпізнати.
Традиційний e-mail фішинг
Найбільш поширена і відома форма фішингу, яка представляє собою електронний лист зі шкідливим вмістом (посилання, документ і т.д.), зазвичай маскується під справжній – зловмисники можуть використовувати колись відправлені реальні листи як основу для фішинг-листів. Нерідко шкідливі листи маскуються під повідомлення від звичних для користувача сервісів, наприклад, повідомлення від PayPal про необхідність зміни пароля або лист від Office 365 про чергове оновлення.
Фішинг отримав свою назву через схожість з принципом традиційної рибалки: зловмисники ловлять випадкових жертв на лист-наживку. Як і в рибалці, ідея фішингу може реалізовуватися різними методами, наприклад, фішинг-атака на працівників конкретної організації (в окремих випадках – керівника), нагадує риболовлю з гарпуном – точкове попадання гарантує великий улов для «рибалки». Такі атаки найбільш успішні, оскільки зловмисники готуються до них особливим чином: ретельно збирають інформацію про потенційну жертву, вивчають коло її потенційних інтересів.
BEC: прикидаючись генеральним директором
BEC (з англ. Business email compromise) – один з різновидів фішинг-атаки, коли зловмисник відправляє повідомлення від особи керівника, намагаючись змусити працівника, клієнта або постачальника перевести кошти або відправити конфіденційну інформацію злочинцям.
На відміну від традиційних фішингових атак, які націлені на велику кількість людей в компанії, BEC-атаки сфокусовані на певних осібах у відділах фінансів чи бухгалтерії. Як правило, спершу злочинець компрометує обліковий запис електронної пошти старшого виконавчого або фінансового співробітника за допомогою стандартного фішингу. Потім зловмисник відстежує активність електронної пошти з зараженого комп'ютера протягом певного періоду, збираючи необхідну інформацію про процеси всередині компанії. Останнім етапом в даній схемі є відправка підробного e-mail повідомлення зі скомпрометованого ящика, що дозволяє легко обходити заходи інформаційної захисту всередині організації.
Клон-фішинг: небезпечний близнюк
За принципом дії багато в чому схожий з попереднім різновидом фішингу. Даний спосіб передбачає створення майже ідентичною копії реального повідомлення від скомпрометованого користувача, з метою обдурити жертву: лист відправляється з адреси, що відповідає законному відправнику і тіло повідомлення виглядає так само, як і попереднє повідомлення. Єдина відмінність між справжнім і неправдивим повідомленням полягає в тому, що вкладення або посилання в реальному були замінені шкідливими.
Комбінований фішинг
Передбачає створення підробної сторінки офіційного сайту (наприклад, банку), з пропозицією користувачеві самостійно ввести необхідні шахраям дані: логін і пароль облікового запису або дані банківської картки.
Спливаючі вікна
Один із різновидів фішингу, в якому зазвичай задіяні сторінки блокування браузера або спливаючі вікна. Небезпечний тим, що користувач часто не помічає небезпеки і «ведеться» на вказівки шахраїв, виконуючи їх вимоги. Наприклад, в разі помилкового блокування браузера, зловмисники часто пропонують звернутися в службу техпідтримки за номером, вказаним в вкладці.
Вішинг: фішинг по телефону
«Vishing» буквально розшифровується як «голосовий фішинг», це – використання телефону і можливостей VoIP-телефонії для здійснення атаки. Як правило, жертва отримує виклик з голосовим повідомленням, замаскованим під повідомлення від фінансової установи. У повідомленні вас під хибним приводом можуть попросити озвучити конфіденційну інформацію (наприклад, PIN-код кредитної картки).
Фармінг
Фармінг (англ. Pharming) – один з найбільш небезпечних різновидів сучасного фішингу, при якомувідбувається приховане перенаправлення на несправжню IP-адресу за допомогою шкідливої програми. Для здійснення атаки зловмисники можуть втрутитись в налаштування DNS-сервера, змінювати HOSTS-файл, а також реєструвати підробний DHCP-сервер. На сьогодні універсального засобу захисту від фармінга не існує, проте достатньо дотримуватися базових вимог інформаційної безпеки: своєчасно оновлювати антивірус, відключити можливість попереднього перегляду повідомлень електронної скриньки, не переходити за сумнівними посиланнями і не завантажувати підозрілі вкладення на робочий комп'ютер.
Як не стати жертвою шахраїв?
На жаль, користувачі недооцінюють ризики фішинг-атак, тому керівництву необхідно приділити особливу увагу питанню навчання працівників. Організуйте навчальні заходи з розпізнавання фішинг-загроз для співробітників із залученням фахівців інформаційної безпеки, а також перегляньте внутрішню політику захисту інформації вашої організації. Пам'ятайте, що з кожним роком фішинг-атаки стають все винахідливішими і технічно досконалішими, тому критично важливо йти в ногу з часом і не економити на посиленні заходів із захисту головного активу будь-якого бізнесу – інформації.