- Специальный корреспондент
Что такое фишинг и как он работает. Какие виды фишинговых атак существуют: от классического клонирования до смишинга, фарминга и атак через соцсети. Кто чаще становится жертвой мошенников, как распознать фишинговые сайты и ссылки, а также как защитить свои данные. Практические рекомендации по защите от угроз в интернете.
Глобальная сеть определила новый вектор мирового развития. Вместе с безграничными возможностями, которые дарит интернет, появились и реальные угрозы — мошенничество, как одна из разновидностей социального процесса, плавно перешло из реальной жизни в виртуальную.
Мошенники используют разные каналы коммуникаций для поиска потенциальных жертв, а благодаря анонимности, физической удаленности не просто злоупотребляют доверием пользователей, а присваивают себе чужие аккаунты и похищают деньги.
Активно развивается социальная инженерия — вид мошенничества на основе манипулирования чужими мыслями и поступками. Социнжиниринг — это незаконное получение доступа к персональным данным.
Мошенник использует психологическую манипуляцию — отключает логику и критическое мышление, стараясь вызвать сильные эмоции: тревогу, страх, любопытство, радость. Перегружает жертву информацией и делает акцент на принятии срочного решения.
Рассмотрим один из самых популярных методов социальной инженерии — фишинг.
Первые признаки фишинга появились еще в 1987 г. в период зарождения киберзащиты. Позже, в девяностые, хакеры из США создали набор инструментов для взлома учетных записей с целью кражи персональных данных.
Так появился фишинг — интернет-мошенничество, основанное на введении пользователя в заблуждение путем направления ему фальшивой ссылки на сайт, визуально имитирующий реальный сайт банковского приложения, социальной сети, интернет-магазина — сервиса, который требует идентификации.
Задача фишера — заманить жертву на сайт-ловушку и выудить логины, пароли, номера банковских карт. Сам термин происходит от англ. «Fishing» (рыбалка) — хакер применяет метод, основанный на технике «отлова» потенциальной жертвы.
Вспомним COVID-19. После введения вакцины государство установило ряд преимуществ для привитых граждан. Ситуацией тут же воспользовались преступники: осенью 2020 года были зафиксированы десятки поддельных сайтов, на которых фишеры предлагали пользователям оформить якобы QR-коды о вакцинации. Также активизировались сервисы для «генерации сертификата» с обязательным вводом персональных данных.
Рисунок 1. Пример фальшивого сайта для генерации QR-кода
Главная цель фишинг атаки — украсть ценную информацию, получить доступ к аккаунтам. Киберпреступник может продать конфиденциальные данные третьим лицам, вывести денежные средства со счета, а может шантажировать, угрожая разместить в сети личные снимки.
Фишеры охотятся на разные социальные группы: от частных лиц до крупных компаний, потому целевые способы атаки связаны с размером бизнеса и популярностью личности.
Если цель мошенника — организация, преступник попытается заполучить данные учетной записи одного из сотрудников, чтобы в дальнейшем направить усиленную атаку на компанию в целом.
Мошенники разными способами пытаются завладеть идентификационными данными пользователей. К таким данным относятся номера телефонов, банковских карт, расчетного счета — все это нужно аферистам для кражи денег.
Например, на том конце провода преступники представляются сотрудниками службы безопасности банка. Мошенник сообщает, что к карте кто-то пытается привязать другой номер телефона. И чтобы этого не допустить, нужно совершить идентификационную операцию — перевод для подтверждения личности. Пользователь должен сказать «сотруднику банка» номер карты и код подтверждения из push-уведомления. Так доверчивые люди лишаются денег на банковских картах и счетах.
Есть и другие примеры. Человеку звонят якобы из Социального фонда России и сообщают, что прошлый работодатель не доплатил часть пенсии и сейчас можно ее восстановить. Мошенник на том конце провода предлагает записать человека на прием в СФР. Для этого человек должен сказать код для совершения действия на «Госуслугах», который придет по СМС. Ни в коем случае не сообщайте эту информацию, а лучше сразу положите трубку.
Вообще мошенники ежедневно придумывают новые схемы кражи денег. О них регулярно сообщают в СМИ и по телевидению. Жертвами становятся не только пенсионеры, но и молодые люди. Мошенники запугивают и давят морально, но всегда нужно сохранять самообладание, чтобы не попасться на уловки.
В частности, мошенникам нужны данные людей для шантажа. Так, известны случаи, когда жулики получали доступ к интимным фотографиям и видео знаменитостей. Чтобы личный архив не слили в сеть, знаменитость должна заплатить.
Стоит отменить, что жертвами мошенников могут стать не только известные личности, но и обычные люди. Преступники взламывают не только телефоны, но и аккаунты социальных сетей, облачные хранилища, тем самым получая доступ к конфиденциальным перепискам и важным документам. Фишинг в социальных сетях — это распространенное явление: мошенники завязывают переписки с жертвами, входят в доверие, стараются выудить личную информацию о человеке.
Целью мошенников могут стать и крупные компании. Например, преступники получают доступ к проекту или релизу и грозят слить его конкурентам или выложить в массовое поле, если компания не откупится.
Фишинг-атаки нередко встречаются в бизнесе, их могут использовать враждующие конкуренты. Они могут применять разные приемы — фишинговые письма, внедрение IT-специалистов в компанию конкурентов, хакерские атаки на информационные базы. Цель — не просто «насолить», а устранить конкурента с рынка, ослабить бизнес.
Во многих браузерах можно проверить, безопасна ли ссылка, по которой следует перейти. Но первая линия защиты от фишинга — осмотрительность и осторожность. Обнаружив подозрительное письмо в почтовом ящике или смс от службы поддержки банка, нужно понять, имеют ли они признаки мошенничества.
Клон-фишинг — самый распространенный вид почтового фишинга, когда преступники клонируют письмо реальной компании и направляют его потенциальной жертве с целью получения логина/пароля, номера счета, CVC банковской карты через подставные сайты. В итоге личная информация жертвы оказывается в руках мошенников, которые использовали прием клон-фишинга.
Пример почтового фишинга: мошенники направляют письмо сотруднику организации от имени руководителя с требованием перейти на какой-то ресурс. Обычно этот вид фишинга направлен на сотрудников компаний, у которых большие клиентские базы. Сотрудник переходит по ссылке из письма «руководителя» и, сам того не подозревая, сливает злоумышленникам данные клиентов.
«Приманка» — текстовое сообщение с просьбой нажать на ссылку. Вредоносная ссылка имитирует уведомление об аккаунте, сообщение о бесплатных подарках, срочное смс из службы поддержки с требованием написать на электронную почту, указанную в SMS, или перезвонить.
Цель — убедить жертву, что сообщение реально, получить конфиденциальные сведения и использовать их в мошеннических целях.
Во время звонка преступник сообщает потенциальной жертве о блокировке карт, аккаунтов и т. п. (вынуждает сообщить конфиденциальные данные). Мошеннический номер подделывают под реальный номер банка или госоргана, от имени которого поступает звонок.
Вишинг базируется на слабостях и ошибках, а не на уязвимости сервиса или устройства. Для разблокировки карты, восстановления доступа к аккаунтам мошенник просит назвать логин и пароль.
Помните: сотрудники банка никогда не запрашивают PIN-код и пароли от учетки.
Используя фишинг в социальных сетях, преступники тщательно планируют атаку, предварительно собирая информацию о жертве на сторонних сайтах. Типичный пример: мошенник знакомиться с жертвой с фальшивого аккаунта, выманивает необходимые сведения и манипулирует ими в дальнейшем. Либо отправляет жертве смс от какого-то сервиса или банка, чтобы получить логин и пароль для входа в систему, личную информацию, данные банковских карт.
Фишинговая атака с использованием системы доменных имен (DNS). Пользователь переходит на безопасный сайт, и ничего не подозревая, перенаправляется на вредоносный сервер с ложным IP-адресом — ценная информация жертвы похищается. Простыми словами, фарминг изменяет ключевые файлы на компьютере жертвы либо пользуется уязвимостью DNS-сервера.
В фишинговом сообщении содержится вредоносный код, изменяющий файлы на устройстве получателя. Данные файлы перенаправляются на поддельный сайт мошенников, которые активизируют вредоносное ПО на компьютер пользователя и похищают личные данные.
Преступники имитируют доступ к WI-FI в общественных местах — кафе, залах ожидания, аэропортах. Пользователи вводят свои учетные данные, после чего они перетекают мошенникам. Кроме этого, злоумышленникам становятся известны действия пользователей, авторизованных в фейковых точках доступа.
Порой отличить настоящую точку доступа от «злого двойника» очень сложно. Как это выглядит на практике? Человек приходит в кафе и подключается к WI-FI. Он уже не раз посещал это кафе и сеть не вызывает у него подозрений. Но в этот раз неподалеку сидит мошенник, который использует примем «злой двойник» и раздает трафик с хорошим сигналом. Пользователь переводит деньги другу через банковское приложение. Информация «оседает» у преступника, и он может совершать переводы от имени жертвы.
Рассылка писем привлекательного содержания на различные электронные адреса. Это сообщения о выигрыше в лотерею, финансовой помощи от государства, бесплатных услугах. Перейдя по ссылке, пользователь вводит свои данные, после чего они оказываются в руках мошенников.
Целевой фишинг (адресный). Под прицелом конкретная группа людей, обычно — владельцы бизнеса и публичные лица. Целевой фишинг подразумевает электронное письмо с личной информацией о жертве (ФИО, телефон, должность, данные о компании): мошенник старается войти в доверие, сформировать дружеские, партнерские отношения, чтобы получатель поверил в то, что связь с отправителем реальна. Жертва в таком случае добровольно расстанется с нужной информацией, что значительно увеличит шансы на успех атаки.
Целевой фишинг, как и классический, направлен на сбор персональных сведений. Под угрозой руководители и работники финансовых отделов, у которых есть доступ к конфиденциальной финансовой информации.
97% кибератак на корпоративные сети — это результат эффективного целевого фишинга (статистика института SANS). Финансовая информация ценна для преступников, потому бухгалтерские и аудиторские фирмы чаще остальных становятся объектами целевого фишинга.
Охота на китов («уэллинг» с англ. whaling, «китобойный промысел»). Метод фишинга, подразумевающий захват данных авторитетных должностных лиц: генеральных директоров и руководителей отделов, к которым условно можно применить термин «большая рыба» или «киты». Вредоносное письмо может содержать информацию о финансовых или юридических проблемах организации. Руководитель переходит по ссылке на страницу, где нужно ввести корпоративные данные, например ИНН или реквизиты банковского счета, оказываясь таким образом на крючке фишера.
Злоумышленники тратят немало времени, тщательно подбирая момент и инструменты для хищения персональных данных. Высокопоставленные лица имеют доступ к большому объему конфиденциальной информации, потому охота на «китов» несет большую угрозу. Уэллинг использует те же принципы, что и целевые фишинговые атаки, однако взломанная учетная запись руководителя более интересна преступникам, чем поддельная электронная почта.
Совершенствуются механизмы социальной инженерии, банковские операции уходят в цифровую реальность, увеличивается спрос интернет-ресурсов — все это привлекает фишеров, которые стремятся получить доступ к персональным данным.
Жертвами фишинга может стать каждый, но наиболее уязвимыми считаются:
Фишинговый сайт — обманчивый ресурс под видом законного ресурса, созданный с одной лишь целью: похитить личные данные. Зачастую выглядит очень похоже на настоящий сайт известных компаний, финансовых учреждений или популярных интернет-магазинов.
Фишинговые письма со ссылками на фишинговые сайты — это электронные письма, содержащие фальшивые веб-ссылки, которые выглядят как легальные, но переводят на мошеннические сайты.
И те и другие имеют признаки, которые помогут распознать фишинг:
Рисунок 2. Google просит сменить пароль. Понять, что ссылка переводит на фишинговую страницу, просто: почтовый сервис Google — , а не , указанный в ссылке. Домен следует проверить, например, в информационной системе Whois, чтобы разобраться, кому он принадлежит и как давно создан
Рисунок 4. Пример массового фишинга — в целях рассылки неограниченному кругу лиц преступники используют общее обращение.
Рисунок 5. На почтовый ящик пришло письмо с подозрительным вложением: велика вероятность, что оно содержит вредоносное ПО (вирусы или программы-вымогатели). Имейте в виду, единственный тип файла, безопасный для нажатия — это .txt
Рисунок 6. Письмо содержит устаревший логотип Google и довольно странный адрес в строке:
. Более того, сайт не имеет favicon — логотип, который присутствует на вкладке в браузере. Не соответствует реальной и форма ввода данных
Рисунок 8. Сообщение якобы от американской службы доставки
Мошенники постоянно совершенствуют технологии фишинга, чтобы украсть ваши данные.
Рассмотрим методы защиты от фишинга с позиции пользователя.
1. Если получили подозрительное письмо — сразу удалите. Если открыть вложение или нажать на ссылку в фишинговом письме, вирус тут же активируется. Некоторые почтовые клиенты поддерживают скрипты, потому можно заразиться, просто открыв сомнительное письмо.
2. Блокируйте отправителя. Когда почтовый клиент предусматривает возможность вручную блокировать отправителя, так и делайте. Отметив домен электронной почты отправителя, добавьте его в список заблокированных. В частности, это актуально, если электронным ящиком пользуется еще кто-то, кроме вас (например, член семьи), поскольку подозрительное письмо, не попавшее в спам, может открыть кто-то другой.
3. Прежде чем делиться конфиденциальной информацией, полагайтесь на здравый смысл. При получении сообщений от банка или крупной компании избегайте перехода по ссылкам в них; лучше вручную введите адрес сайта в браузере. Так вы проверите, что оказались на официальном ресурсе.
4. Остерегайтесь тревожных сообщений. Серьезные компании не запрашивают через электронную почту вашу личную информацию или данные учетной записи. Если получите подобное письмо, сразу удалите его и свяжитесь с компанией, чтобы убедиться в безопасности вашей учетной записи.
5. Не открывайте вложения из подозрительных писем. Особенно если они поступили от неизвестных отправителей и содержат файлы форматов Word, Excel, PowerPoint или PDF.
6. Не переходите по ссылкам из писем. Иначе это может привести к загрузке вредоносных программ. Будьте внимательны с письмами от поставщиков и других организаций: в таких случаях вручную входите на официальный сайт компании, чтобы проверить, какие данные они могут запрашивать у партнеров.
7. Обновляйте программное обеспечение и операционную систему вовремя. Программные продукты, особенно для Windows, часто становятся целью фишинга и других атак. Убедитесь в их надлежащей защите и своевременном обновлении.
С позиции организации выделим следующие методы защиты от фишинга:
1. Уникальные и сложные пароли помогут защитить учетные записи. Обновляйте их регулярно и не используйте один и тот же пароль в нескольких сервисах. Создавайте и храните пароли в специализированных менеджерах паролей.
2. Двухфакторная (2FA) или многофакторная аутентификация (MFA). Она означает несколько ключей для входа в систему (пароль, имя пользователя, отпечаток пальца, код доступа и др.). Дополнительный уровень проверки при переходе на подозрительные сайты обеспечит эффективный метод защиты от фишинговых атак.
3. Оперативное обновление операционной системы и ПО на всех корпоративных устройствах поможет закрывать уязвимости, которыми могут пользоваться злоумышленники.
4. Файервол. Блокирует опасные запросы и попытки загрузить вредоносное ПО сторонними устройствами.
В компаниях в целях обеспечения кибербезопасности должен стоять запрет перехода по внешним ссылкам электронной почты в корпоративной сети. Такой запрет обеспечивает файервол (с англ. firewall, «огненная стена») — программа, защищающая рабочий компьютер от сетевых угроз. Другое название — брандмауэр или межсетевой экран. Софт фактически экранирует вредоносные действия из интернета. Если файервол видит подозрительный трафик, она его заблокирует.
Вернемся к теме COVID-19: пандемия оказала серьезное влияние на бизнес — корпоративные рассылки часто включали в себя информацию о вирусе. Мошенники имитировали рабочую переписку: довольно успешной фишинговой атакой в России стал опрос о прохождении вакцинации от HR-службы. К концу 2021 года, около 70% сотрудников переходили по ссылке фишингового письма, 50% вводили данные от корпоративных учетных записей в фальшивую форму идентификации.
Рисунок 9. Пример популярной кибератаки в период коронавируса
Популярной темой фишинга становятся знакомства — люди уходят в режим онлайн и скачивают все больше приложений для общения. Однако мошенники тоже пользуются такими приложениями: регистрируют поддельные аккаунты и пишут доверчивым пользователям с целью получения личной информации либо денежных средств.
Преступники рассылали письма с требованием ознакомиться с материалами уголовного дела, используя домены, имитирующие официальные доменные имена органов следствия.
В письме говорилось, что получатель является свидетелем по некоему уголовному делу — нужно срочно сообщить о своем присутствии на суде. Письмо, естественно, содержало вредоносную ссылку, которая якобы вела на карточку дела, а на деле загружала вредоносное ПО.
Актуальная новость — также успешная тема для мошеннических действий. Каждая десятая атака на организацию содержит новость на злободневную тему: терроризм, Орудие, ядерная энергетика, протесты в мусульманских странах, обезьянья оспа (целевой фишинг на поставщиков медоборудования в Европе) и т.д.
Фишинг — опасный метод кибератаки. Страдают не только обычные пользователи, но и компании с мировым именем, поскольку мошенники выдают себя за известные бренды и правительственные органы.
Очень часто целью фишеров являются именно сотрудники организаций, так как с их помощью преступники могут проникнуть в инфраструктуру не только самой компании, но и в систему партнеров.
Мошенники используют манипуляцию: путем маскировки вирусных сообщений и программ там, где мы не всегда внимательны (например, в электронном ящике) заставляют сообщать личные данные. Обман, хитрость и ложное доверие — ключевые характеристики психологического аспекта фишинга. Сообщения, требующие небывалой срочности и представления личных данных в большинстве своем являются мошенническими.
Щелкнув ссылку, которая может загрузить вредоносное ПО или перевести на сайт-ловушку, вполне реально попрощаться со своими учетными записями. Чтобы не попасться на крючок, важно не спешить и внимательно изучать всевозможные ссылки, текстовые сообщения и адреса электронной почты отправителей — безопасность в цифровой реальности должна быть на первом месте.
Что такое фишинг
Глобальная сеть определила новый вектор мирового развития. Вместе с безграничными возможностями, которые дарит интернет, появились и реальные угрозы — мошенничество, как одна из разновидностей социального процесса, плавно перешло из реальной жизни в виртуальную.
Мошенники используют разные каналы коммуникаций для поиска потенциальных жертв, а благодаря анонимности, физической удаленности не просто злоупотребляют доверием пользователей, а присваивают себе чужие аккаунты и похищают деньги.
Активно развивается социальная инженерия — вид мошенничества на основе манипулирования чужими мыслями и поступками. Социнжиниринг — это незаконное получение доступа к персональным данным.
Мошенник использует психологическую манипуляцию — отключает логику и критическое мышление, стараясь вызвать сильные эмоции: тревогу, страх, любопытство, радость. Перегружает жертву информацией и делает акцент на принятии срочного решения.
Рассмотрим один из самых популярных методов социальной инженерии — фишинг.
Первые признаки фишинга появились еще в 1987 г. в период зарождения киберзащиты. Позже, в девяностые, хакеры из США создали набор инструментов для взлома учетных записей с целью кражи персональных данных.
Так появился фишинг — интернет-мошенничество, основанное на введении пользователя в заблуждение путем направления ему фальшивой ссылки на сайт, визуально имитирующий реальный сайт банковского приложения, социальной сети, интернет-магазина — сервиса, который требует идентификации.
Задача фишера — заманить жертву на сайт-ловушку и выудить логины, пароли, номера банковских карт. Сам термин происходит от англ. «Fishing» (рыбалка) — хакер применяет метод, основанный на технике «отлова» потенциальной жертвы.
Вспомним COVID-19. После введения вакцины государство установило ряд преимуществ для привитых граждан. Ситуацией тут же воспользовались преступники: осенью 2020 года были зафиксированы десятки поддельных сайтов, на которых фишеры предлагали пользователям оформить якобы QR-коды о вакцинации. Также активизировались сервисы для «генерации сертификата» с обязательным вводом персональных данных.
Рисунок 1. Пример фальшивого сайта для генерации QR-кода
Цели фишинга
Главная цель фишинг атаки — украсть ценную информацию, получить доступ к аккаунтам. Киберпреступник может продать конфиденциальные данные третьим лицам, вывести денежные средства со счета, а может шантажировать, угрожая разместить в сети личные снимки.
Фишеры охотятся на разные социальные группы: от частных лиц до крупных компаний, потому целевые способы атаки связаны с размером бизнеса и популярностью личности.
Если цель мошенника — организация, преступник попытается заполучить данные учетной записи одного из сотрудников, чтобы в дальнейшем направить усиленную атаку на компанию в целом.
Кража
Мошенники разными способами пытаются завладеть идентификационными данными пользователей. К таким данным относятся номера телефонов, банковских карт, расчетного счета — все это нужно аферистам для кражи денег.
Например, на том конце провода преступники представляются сотрудниками службы безопасности банка. Мошенник сообщает, что к карте кто-то пытается привязать другой номер телефона. И чтобы этого не допустить, нужно совершить идентификационную операцию — перевод для подтверждения личности. Пользователь должен сказать «сотруднику банка» номер карты и код подтверждения из push-уведомления. Так доверчивые люди лишаются денег на банковских картах и счетах.
Есть и другие примеры. Человеку звонят якобы из Социального фонда России и сообщают, что прошлый работодатель не доплатил часть пенсии и сейчас можно ее восстановить. Мошенник на том конце провода предлагает записать человека на прием в СФР. Для этого человек должен сказать код для совершения действия на «Госуслугах», который придет по СМС. Ни в коем случае не сообщайте эту информацию, а лучше сразу положите трубку.
Вообще мошенники ежедневно придумывают новые схемы кражи денег. О них регулярно сообщают в СМИ и по телевидению. Жертвами становятся не только пенсионеры, но и молодые люди. Мошенники запугивают и давят морально, но всегда нужно сохранять самообладание, чтобы не попасться на уловки.
Шантаж
В частности, мошенникам нужны данные людей для шантажа. Так, известны случаи, когда жулики получали доступ к интимным фотографиям и видео знаменитостей. Чтобы личный архив не слили в сеть, знаменитость должна заплатить.
Стоит отменить, что жертвами мошенников могут стать не только известные личности, но и обычные люди. Преступники взламывают не только телефоны, но и аккаунты социальных сетей, облачные хранилища, тем самым получая доступ к конфиденциальным перепискам и важным документам. Фишинг в социальных сетях — это распространенное явление: мошенники завязывают переписки с жертвами, входят в доверие, стараются выудить личную информацию о человеке.
Целью мошенников могут стать и крупные компании. Например, преступники получают доступ к проекту или релизу и грозят слить его конкурентам или выложить в массовое поле, если компания не откупится.
Устранение конкурента
Фишинг-атаки нередко встречаются в бизнесе, их могут использовать враждующие конкуренты. Они могут применять разные приемы — фишинговые письма, внедрение IT-специалистов в компанию конкурентов, хакерские атаки на информационные базы. Цель — не просто «насолить», а устранить конкурента с рынка, ослабить бизнес.
Виды фишинга
Во многих браузерах можно проверить, безопасна ли ссылка, по которой следует перейти. Но первая линия защиты от фишинга — осмотрительность и осторожность. Обнаружив подозрительное письмо в почтовом ящике или смс от службы поддержки банка, нужно понять, имеют ли они признаки мошенничества.
Классический (фишинг-клонирование)
Клон-фишинг — самый распространенный вид почтового фишинга, когда преступники клонируют письмо реальной компании и направляют его потенциальной жертве с целью получения логина/пароля, номера счета, CVC банковской карты через подставные сайты. В итоге личная информация жертвы оказывается в руках мошенников, которые использовали прием клон-фишинга.
Пример почтового фишинга: мошенники направляют письмо сотруднику организации от имени руководителя с требованием перейти на какой-то ресурс. Обычно этот вид фишинга направлен на сотрудников компаний, у которых большие клиентские базы. Сотрудник переходит по ссылке из письма «руководителя» и, сам того не подозревая, сливает злоумышленникам данные клиентов.
Смишинг (фишинг SMS)
«Приманка» — текстовое сообщение с просьбой нажать на ссылку. Вредоносная ссылка имитирует уведомление об аккаунте, сообщение о бесплатных подарках, срочное смс из службы поддержки с требованием написать на электронную почту, указанную в SMS, или перезвонить.
Цель — убедить жертву, что сообщение реально, получить конфиденциальные сведения и использовать их в мошеннических целях.
Голосовой (телефонный) фишинг
Во время звонка преступник сообщает потенциальной жертве о блокировке карт, аккаунтов и т. п. (вынуждает сообщить конфиденциальные данные). Мошеннический номер подделывают под реальный номер банка или госоргана, от имени которого поступает звонок.
Вишинг базируется на слабостях и ошибках, а не на уязвимости сервиса или устройства. Для разблокировки карты, восстановления доступа к аккаунтам мошенник просит назвать логин и пароль.
Помните: сотрудники банка никогда не запрашивают PIN-код и пароли от учетки.
Фишинг в соцсетях
Используя фишинг в социальных сетях, преступники тщательно планируют атаку, предварительно собирая информацию о жертве на сторонних сайтах. Типичный пример: мошенник знакомиться с жертвой с фальшивого аккаунта, выманивает необходимые сведения и манипулирует ими в дальнейшем. Либо отправляет жертве смс от какого-то сервиса или банка, чтобы получить логин и пароль для входа в систему, личную информацию, данные банковских карт.
Фарминг
Фишинговая атака с использованием системы доменных имен (DNS). Пользователь переходит на безопасный сайт, и ничего не подозревая, перенаправляется на вредоносный сервер с ложным IP-адресом — ценная информация жертвы похищается. Простыми словами, фарминг изменяет ключевые файлы на компьютере жертвы либо пользуется уязвимостью DNS-сервера.
В фишинговом сообщении содержится вредоносный код, изменяющий файлы на устройстве получателя. Данные файлы перенаправляются на поддельный сайт мошенников, которые активизируют вредоносное ПО на компьютер пользователя и похищают личные данные.
Злой двойник
Преступники имитируют доступ к WI-FI в общественных местах — кафе, залах ожидания, аэропортах. Пользователи вводят свои учетные данные, после чего они перетекают мошенникам. Кроме этого, злоумышленникам становятся известны действия пользователей, авторизованных в фейковых точках доступа.
Порой отличить настоящую точку доступа от «злого двойника» очень сложно. Как это выглядит на практике? Человек приходит в кафе и подключается к WI-FI. Он уже не раз посещал это кафе и сеть не вызывает у него подозрений. Но в этот раз неподалеку сидит мошенник, который использует примем «злой двойник» и раздает трафик с хорошим сигналом. Пользователь переводит деньги другу через банковское приложение. Информация «оседает» у преступника, и он может совершать переводы от имени жертвы.
Масштабы и объекты фишинга
Массовый
Рассылка писем привлекательного содержания на различные электронные адреса. Это сообщения о выигрыше в лотерею, финансовой помощи от государства, бесплатных услугах. Перейдя по ссылке, пользователь вводит свои данные, после чего они оказываются в руках мошенников.
Целевой
Целевой фишинг (адресный). Под прицелом конкретная группа людей, обычно — владельцы бизнеса и публичные лица. Целевой фишинг подразумевает электронное письмо с личной информацией о жертве (ФИО, телефон, должность, данные о компании): мошенник старается войти в доверие, сформировать дружеские, партнерские отношения, чтобы получатель поверил в то, что связь с отправителем реальна. Жертва в таком случае добровольно расстанется с нужной информацией, что значительно увеличит шансы на успех атаки.
Целевой фишинг, как и классический, направлен на сбор персональных сведений. Под угрозой руководители и работники финансовых отделов, у которых есть доступ к конфиденциальной финансовой информации.
97% кибератак на корпоративные сети — это результат эффективного целевого фишинга (статистика института SANS). Финансовая информация ценна для преступников, потому бухгалтерские и аудиторские фирмы чаще остальных становятся объектами целевого фишинга.
Охота на китов
Охота на китов («уэллинг» с англ. whaling, «китобойный промысел»). Метод фишинга, подразумевающий захват данных авторитетных должностных лиц: генеральных директоров и руководителей отделов, к которым условно можно применить термин «большая рыба» или «киты». Вредоносное письмо может содержать информацию о финансовых или юридических проблемах организации. Руководитель переходит по ссылке на страницу, где нужно ввести корпоративные данные, например ИНН или реквизиты банковского счета, оказываясь таким образом на крючке фишера.
Злоумышленники тратят немало времени, тщательно подбирая момент и инструменты для хищения персональных данных. Высокопоставленные лица имеют доступ к большому объему конфиденциальной информации, потому охота на «китов» несет большую угрозу. Уэллинг использует те же принципы, что и целевые фишинговые атаки, однако взломанная учетная запись руководителя более интересна преступникам, чем поддельная электронная почта.
Кто чаще становится жертвой фишинговых атак
Совершенствуются механизмы социальной инженерии, банковские операции уходят в цифровую реальность, увеличивается спрос интернет-ресурсов — все это привлекает фишеров, которые стремятся получить доступ к персональным данным.
Жертвами фишинга может стать каждый, но наиболее уязвимыми считаются:
- пенсионеры — зачастую подвержены внушению, менее остальных знакомы с информационными технологиями и способами интернет-мошенничества;
- должностные лица — работники компаний, особенно руководители высшего звена;
- неопытные пользователи — плохо знакомы с компьютерными технологиями, мало что знают о кибератаках и попросту не в состоянии распознать фишинговый сайт;
- те, кто пренебрегает дополнительными мерами безопасности — не используют сильные пароли, двухфакторную аутентификацию, антивирус;
- люди в состоянии стресса — переживают сильные эмоции, в силу чего не проявляют должного внимания.
Как распознать фишинговые сайты и ссылки
Фишинговый сайт — обманчивый ресурс под видом законного ресурса, созданный с одной лишь целью: похитить личные данные. Зачастую выглядит очень похоже на настоящий сайт известных компаний, финансовых учреждений или популярных интернет-магазинов.
Фишинговые письма со ссылками на фишинговые сайты — это электронные письма, содержащие фальшивые веб-ссылки, которые выглядят как легальные, но переводят на мошеннические сайты.
И те и другие имеют признаки, которые помогут распознать фишинг:
- Сообщение вызывает страх. Текст внушает чувство срочности, имеет тревожные, кричащие фразы, требующие действовать немедленно — нажать на кнопку, которая содержит ссылку на фишинговый сайт.
- Орфографические ошибки и опечатки — зачастую это намеренные ошибки в середине слов, посреди ссылки или замена буквы на похожую цифру. В то же время отсутствие ошибок не является подтверждением легитимности.
- Поле «кому» содержит несколько адресов, и все они кажутся случайными. Корпоративные СМС, как правило, направляются каждому получателю в отдельности.
- Открывающиеся страницы выглядят, как сайт, с которым вы знакомы, может всплывать окно с запросом персональных данных.
- В сообщениях есть просьба ввести персональные данные. Например, логин и пароль, реквизиты кредитных карт и др.
Рисунок 2. Google просит сменить пароль. Понять, что ссылка переводит на фишинговую страницу, просто: почтовый сервис Google — , а не , указанный в ссылке. Домен следует проверить, например, в информационной системе Whois, чтобы разобраться, кому он принадлежит и как давно создан
- Нет инициалов получателя. Используются общие фразы вроде «Дорогой друг», «Уважаемый клиент» или просто приветствие вместо имени получателя.
- В письме есть подозрительные ссылки и странные вложения.
- Встречаются наименования корпораций, устаревшие символы брендов.
- Фишинговые письма бывают слишком хороши. Вы якобы сорвали джекпот или выиграли небывалый приз.
- Сомнительный домен. Действительно ли американский сервер будет направлять письмо именно вам, еще и с китайского домена?
Рисунок 8. Сообщение якобы от американской службы доставки
Как защититься от фишинга
Мошенники постоянно совершенствуют технологии фишинга, чтобы украсть ваши данные.
Рассмотрим методы защиты от фишинга с позиции пользователя.
1. Если получили подозрительное письмо — сразу удалите. Если открыть вложение или нажать на ссылку в фишинговом письме, вирус тут же активируется. Некоторые почтовые клиенты поддерживают скрипты, потому можно заразиться, просто открыв сомнительное письмо.
2. Блокируйте отправителя. Когда почтовый клиент предусматривает возможность вручную блокировать отправителя, так и делайте. Отметив домен электронной почты отправителя, добавьте его в список заблокированных. В частности, это актуально, если электронным ящиком пользуется еще кто-то, кроме вас (например, член семьи), поскольку подозрительное письмо, не попавшее в спам, может открыть кто-то другой.
3. Прежде чем делиться конфиденциальной информацией, полагайтесь на здравый смысл. При получении сообщений от банка или крупной компании избегайте перехода по ссылкам в них; лучше вручную введите адрес сайта в браузере. Так вы проверите, что оказались на официальном ресурсе.
4. Остерегайтесь тревожных сообщений. Серьезные компании не запрашивают через электронную почту вашу личную информацию или данные учетной записи. Если получите подобное письмо, сразу удалите его и свяжитесь с компанией, чтобы убедиться в безопасности вашей учетной записи.
5. Не открывайте вложения из подозрительных писем. Особенно если они поступили от неизвестных отправителей и содержат файлы форматов Word, Excel, PowerPoint или PDF.
6. Не переходите по ссылкам из писем. Иначе это может привести к загрузке вредоносных программ. Будьте внимательны с письмами от поставщиков и других организаций: в таких случаях вручную входите на официальный сайт компании, чтобы проверить, какие данные они могут запрашивать у партнеров.
7. Обновляйте программное обеспечение и операционную систему вовремя. Программные продукты, особенно для Windows, часто становятся целью фишинга и других атак. Убедитесь в их надлежащей защите и своевременном обновлении.
С позиции организации выделим следующие методы защиты от фишинга:
1. Уникальные и сложные пароли помогут защитить учетные записи. Обновляйте их регулярно и не используйте один и тот же пароль в нескольких сервисах. Создавайте и храните пароли в специализированных менеджерах паролей.
2. Двухфакторная (2FA) или многофакторная аутентификация (MFA). Она означает несколько ключей для входа в систему (пароль, имя пользователя, отпечаток пальца, код доступа и др.). Дополнительный уровень проверки при переходе на подозрительные сайты обеспечит эффективный метод защиты от фишинговых атак.
3. Оперативное обновление операционной системы и ПО на всех корпоративных устройствах поможет закрывать уязвимости, которыми могут пользоваться злоумышленники.
4. Файервол. Блокирует опасные запросы и попытки загрузить вредоносное ПО сторонними устройствами.
В компаниях в целях обеспечения кибербезопасности должен стоять запрет перехода по внешним ссылкам электронной почты в корпоративной сети. Такой запрет обеспечивает файервол (с англ. firewall, «огненная стена») — программа, защищающая рабочий компьютер от сетевых угроз. Другое название — брандмауэр или межсетевой экран. Софт фактически экранирует вредоносные действия из интернета. Если файервол видит подозрительный трафик, она его заблокирует.
Самые популярные темы фишинговых атак
Вернемся к теме COVID-19: пандемия оказала серьезное влияние на бизнес — корпоративные рассылки часто включали в себя информацию о вирусе. Мошенники имитировали рабочую переписку: довольно успешной фишинговой атакой в России стал опрос о прохождении вакцинации от HR-службы. К концу 2021 года, около 70% сотрудников переходили по ссылке фишингового письма, 50% вводили данные от корпоративных учетных записей в фальшивую форму идентификации.
Рисунок 9. Пример популярной кибератаки в период коронавируса
Популярной темой фишинга становятся знакомства — люди уходят в режим онлайн и скачивают все больше приложений для общения. Однако мошенники тоже пользуются такими приложениями: регистрируют поддельные аккаунты и пишут доверчивым пользователям с целью получения личной информации либо денежных средств.
Преступники рассылали письма с требованием ознакомиться с материалами уголовного дела, используя домены, имитирующие официальные доменные имена органов следствия.
В письме говорилось, что получатель является свидетелем по некоему уголовному делу — нужно срочно сообщить о своем присутствии на суде. Письмо, естественно, содержало вредоносную ссылку, которая якобы вела на карточку дела, а на деле загружала вредоносное ПО.
Актуальная новость — также успешная тема для мошеннических действий. Каждая десятая атака на организацию содержит новость на злободневную тему: терроризм, Орудие, ядерная энергетика, протесты в мусульманских странах, обезьянья оспа (целевой фишинг на поставщиков медоборудования в Европе) и т.д.
Заключение
Фишинг — опасный метод кибератаки. Страдают не только обычные пользователи, но и компании с мировым именем, поскольку мошенники выдают себя за известные бренды и правительственные органы.
Очень часто целью фишеров являются именно сотрудники организаций, так как с их помощью преступники могут проникнуть в инфраструктуру не только самой компании, но и в систему партнеров.
Мошенники используют манипуляцию: путем маскировки вирусных сообщений и программ там, где мы не всегда внимательны (например, в электронном ящике) заставляют сообщать личные данные. Обман, хитрость и ложное доверие — ключевые характеристики психологического аспекта фишинга. Сообщения, требующие небывалой срочности и представления личных данных в большинстве своем являются мошенническими.
Щелкнув ссылку, которая может загрузить вредоносное ПО или перевести на сайт-ловушку, вполне реально попрощаться со своими учетными записями. Чтобы не попасться на крючок, важно не спешить и внимательно изучать всевозможные ссылки, текстовые сообщения и адреса электронной почты отправителей — безопасность в цифровой реальности должна быть на первом месте.
