Фишинг изменился: почему одной внимательности сотрудников уже недостаточно

Фишинг (от английского fishing — «рыбная ловля, выуживание») — это вид интернет-мошенничества, целью которого является получение доступа к вашим личным данным: логинам, паролям, номерам банковских карт, паспортным данным и другой конфиденциальной информации.

Мошенники создают почти идеальные копии писем от банков, платежных систем, социальных сетей и других организаций, которым люди склонны доверять. В таких письмах содержится просьба «подтвердить учетную запись», «проверить подозрительную активность» или «восстановить доступ», а ссылка ведет на фишинговый сайт, внешне неотличимый от настоящего. Как только вы вводите свои данные на такой странице, они сразу попадают в руки преступников.

Основная опасность фишинга заключается в использовании методов социальной инженерии. Злоумышленники играют на человеческих эмоциях: страхе, жадности, любопытстве или чувстве долга. Они создают иллюзию срочности, чтобы вы действовали быстро, не успев заметить подвох.

Успешная фишинговая атака может привести к прямому хищению денег, краже личных данных, доступу к вашим аккаунтам, а в корпоративной среде к утечке коммерческой информации и репутационным потерям.

Фишинг направлен не только на массовые атаки граждан, но и на атаки сотрудников различных компаний с целью получения персональных данных. Злоумышленники постоянно развивают методы атак. Их можно разделить на несколько основных видов:

• Массовый почтовый фишинг: рассылка однотипных писем большому количеству пользователей. Расчет здесь идет на то, что некая часть сотрудников компании среагируют на фишинговые письма и злоумышленник сможет получить доступ к информации. Письма в таких случаях персонализируются, а злоумышленники стараются собирать информацию о жертвах из социальных сетей и открытых источников.
• Whaling: атака на топ-менеджеров и руководителей компаний с целью получить доступ к конфиденциальной информации или финансам, к которым они имеют доступ.
• Smishing: данный тип фишинговой атаки реализуется через SMS-сообщения. Распространенным являются сообщения о взлому или сообщения, направленные на распространение волнующей жертву фишинга информации, изменения тарифов и подобные сообщения, содержащие ссылку для «подтверждения данных».
• Vishing: фишинг по телефону. Мошенник, представляясь сотрудником банка или техподдержки, под предлогом проверки безопасности пытается выведать у вас конфиденциальные данные.

Как правило – это те самые звонки от федеральной налоговой службы, почты, мобильного оператора, полиции и прочие службы. Как правило в таких звонках на жертву давят ограниченным временем, штрафами и последствиями, когда необходимо сообщить код здесь и сейчас. Причем зачастую не всегда код действительно может помочь им для входа, особенно когда они пытаются выяснить номера документов, например СНИЛС.

Однако, далее после звонка жертве приходит SMS с уведомлением о «взломе госуслуг» или другого сервиса со ссылкой для смены пароля или предотвращения входа злоумышленника. По данной ссылке как правило открывается фишинговый сайт, похожий на страницу входа в личный кабинет для сервиса, после ввода идентификационной информации данные утекают злоумышленникам.

• Фарминг: более сложный метод, при котором пользователь перенаправляется на поддельный сайт даже при вводе правильного адреса в браузере. Это достигается за счет взлома DNS-серверов или изменения файлов на самом компьютере жертвы.

Защита от фишинга должна быть многоуровневой, сочетающей технические средства и осведомленность пользователя.

Срочность и эмоции: любое сообщение, создающее искусственное чувство срочности или страха («аккаунт будет заблокирован!»), — повод насторожиться. Не поддавайтесь панике.

Проверка ссылок: не кликайте по ссылкам в письмах напрямую. Наведите курсор на ссылку (на мобильном устройстве сделайте долгое нажатие), чтобы увидеть настоящий URL-адрес. Обращайте внимание на опечатки в доменных именах (например, rnicrosoft.com с заменой «m» на похожий набор символов «rn»).

Официальные каналы: если получили подозрительное уведомление от банка или сервиса, зайдите в личный кабинет, вручную набрав адрес в браузере, или позвоните по официальному номеру из договора.

Менеджер паролей: сервисы наподобие Keeper или Kaspersky Password Manager не только хранят пароли, но и помогают выявлять фишинговые сайты. Если менеджер не подставляет сохраненный пароль на «банковском» сайте, значит, адрес сайта не совпадает с сохраненным, и это явный сигнал опасности.

Многофакторная аутентификация (MFA): это самый важный шаг для защиты аккаунтов. Даже если мошенники украдут ваш логин и пароль, без одноразового кода из приложения-аутентификатора или SMS они не смогут войти. Для максимальной защиты важных аккаунтов (например, почты или соцсетей) используйте аппаратные ключи безопасности (YubiKey, Google Titan). Они физически не передадут данные фишинговому сайту.

Антивирус и защита браузера: современные антивирусы и встроенные защитные механизмы браузеров (как в Яндекс Браузере) могут блокировать переход на известные фишинговые ресурсы и загрузку вредоносных объектов.

Никогда не раскрывайте личную информацию: легитимные компании никогда не запрашивают ваши пароли, полные данные карты или ПИН-коды по электронной почте, в мессенджерах или по телефону.

Осторожность с вложениями: не открывайте вложения в письмах от неизвестных отправителей. Даже файлы в формате PDF, Word или MP3 могут нести угрозу.

Обучение и регулярное резервное копирование: будьте в курсе новых угроз. Регулярно создавайте резервные копии важных данных на внешнем носителе или в облачном хранилище. Это спасет вас в случае успешной атаки с использованием программ-вымогателей

В рамках аудита мы часто проводим опрос пользователей на предмет знания правил информационной безопасности. Важно отметить, что проверка направлена именно на базовые знания и мы выявили несколько наиболее популярных ошибок и уязвимых мест сотрудников:

• Отделы, не относящиеся к ИТ/ИБ чаще всего в зоне риска. Именно такие отделы как правило проваливают тесты противодействия фишингу или совершают ошибки. Важно периодически проводить обучения для сотрудников бухгалтерии, маркетинга, связи с клиентами, финансов и других отделов, не относящихся к ИТ/ИБ, объясняя, что такое фишинг и какие методы используют злоумышленники, как их распознать и как от них защититься;
• Не сообщать о фишинговых письмах и звонках. Часто при опросе сотрудники отвечают «удалю письмо», «отправлю в спам», «сброшу звонок». Данная реакция говорит о том, что сотрудник вроде не среагировал на фишинг, но и никого о нем не уведомил. Необходимо донести до сотрудников, что крайне важно информировать ИТ/ИБ или руководство о подобных письмах или звонках. Это помогает вовремя распознать именно массовую фишинговую атаку и защитить свои данные.
• «Я не знаю, что такое фишинг». Часто сотрудники знают, как создавать сложные пароли, как обращаться с конфиденциальной информацией, но нередко вообще не слышали о понятии фишинга.
• Работа в общественных местах. Не редкость, когда сотруднику вынужденно необходимо поработать в аэропорту, на вокзале, в кафе или ином общественном месте, чаще вынуждено. В таких случаях важно уведомить сотрудников не подключаться к открытым общественным сетям Wi-Fi, так как зачастую злоумышленники создают такие сети намеренно, для кражи данных.

Фишинг — это не просто спам в почте и звонки, а реальная угроза финансовой и цифровой безопасности. Однако, как показывает практика, осведомленность и бдительность пользователя являются самым мощным оружием против злоумышленников.

Выработайте у сотрудников привычку критически оценивать каждое полученное сообщение, не поддаваться на провокации и используйте современные средства защиты. И помните: безопасность ваших систем в значительной степени находится в руках ваших сотрудников.