Что такое фишинг и как избежать атаки?

Вопреки распространенному мнению, большинство кибератак основаны не на том, что какой-то удаленный злоумышленник «взламывает себе путь к мейнфрейму» как это показывает зачастую Голливуд. Большинство атак происходит из-за того, что небрежные сотрудники оставляют дверь открытой для злоумышленников, чтобы они могли ворваться и забрать то, что они хотят. 

Многие из этих атак основаны на «социальной инженерии» для получения доступа к системам, данным и деньгам. Социальная инженерия — это использование обмана, чтобы заставить людей отказаться от своей ценной информации или предоставить к ней доступ злоумышленникам.

Думайте об этом как о мошенничестве для взлома. Фишинг является одной из самых популярных форм социальной инженерии, и сегодня мы рассмотрим конкретный тип: целевой фишинг.

Мы пройдемся:

• Что такое фишинг?
• Что такое целевой фишинг?
• Как избежать целевого фишинга
• Кто является целью целевого фишинга?
• Ресурсы и советы по защите от целевого фишинга

Что такое фишинг?

Фишинг — это метод кибератаки с использованием социальной инженерии, в котором используется электронная почта или другие средства онлайн-коммуникации — чаще всего электронная почта — для обмана жертв, заставляющих их переходить по вредоносным ссылкам. Это действие приводит к передаче конфиденциальной информации и / или предоставлению злоумышленникам шлюзов для внедрения вредоносного программного обеспечения. 

Чтобы максимизировать количество жертв, злоумышленники обычно рассылают фишинговые сообщения большому количеству целей. Эти злоумышленники используют упоминания известных брендов или общие срочные проблемы, чтобы завоевать доверие и побудить к действиям, направленным на получение информации от намеченных целей.

Например, популярная фишинговая схема использует название авторитетного банка в атакующем электронном письме и утверждает, что возникла проблема с вашей учетной записью. 

В электронном письме вам предлагается щелкнуть ссылку, чтобы решить проблему, которая затем предлагает любое количество результатов, например:

• Ссылка ведет на поддельную целевую страницу, имитирующую страницу рассматриваемого бренда, которая предлагает ввести конфиденциальную информацию для входа или другую идентифицирующую информацию.
• Ссылка начнет загрузку файла вредоносных программ, программ-вымогателей, шпионских программ, червей или троянов.
  

Пример фишингового письма. Обратите внимание на длинный и не относящийся к делу адрес отправителя, а также неработающее изображение и слово «Чейз», написанное с маленькой буквы.

Эти типы атак появляются не только в электронных письмах, но и в сообщениях социальных сетей, комментариях на форумах и многих других способах общения в Интернете.

Что такое целевой фишинг?

Итак, что же отличает целевой фишинг? Основное различие между ними заключается в цели. 

В то время как фишинг основан на отправке большого количества сообщений как можно большему количеству получателей, целевой фишинг — это целенаправленная атака на отдельную цель через тщательно продуманный поток сообщений.

Как избежать целевого фишинга?

Как и в случае большинства угроз кибербезопасности, самое важное, что вы можете сделать, чтобы избежать нарушений целевого фишинга, — это научить своих сотрудников обнаруживать и избегать попыток фишинга. 

По данным Security Boulevard, примерно 98% кибератак основаны на социальной инженерии, при этом 43% специалистов по информационным технологиям (ИТ) стали жертвами социальной инженерии только за последний год. 

При таком количестве атак, основанных на манипулировании персоналом в вашей организации, крайне важно, чтобы ваши сотрудники были обучены обнаруживать попытки фишинга и целевого фишинга, а также знать, что делать при получении таких сообщений. Вот основные правила.

Подтвердите адрес электронной почты отправителя.

Это один из самых простых способов проверить, получено ли сообщение из законного источника. Злоумышленники целевого фишинга обычно пытаются выдать себя за доверенное лицо, например генерального директора или менеджера компании, чтобы получить информацию от цели. 

Если адрес электронной почты или сообщение кажутся сомнительными, проверьте, является ли он официальным адресом отправителя, сверив его с записями компании или со своим почтовым ящиком.

Проверьте содержимое сообщения.

Содержимое сообщения — еще один потенциальный красный флаг при работе с адресными фишинговыми электронными письмами. Эти электронные письма иногда плохо написаны, содержат идентифицирующую информацию, которую вы можете найти в Интернете, а иногда даже содержат устаревшие графические изображения компании, которые призваны обмануть вас, заставив поверить в то, что электронное письмо является настоящим. 

Эти целевые фишинговые электронные письма делают странные запросы информации, которая никогда не запрашивалась ранее, например статусы платежей или контактную информацию.

Проверьте строки темы.

Строки темы — отличное место для поиска предупреждающих знаков о попытках фишинга. Некоторые злоумышленники используют такие слова, как «срочно», чтобы побудить к действию, или включают «RE:» в строку темы, чтобы обмануть цель, заставив ее думать, что между вами продолжается разговор.

Сомнительные ссылки и вложения.

Целевые фишинговые атаки часто основаны на доставке вредоносного ПО по электронной почте. Эти электронные письма содержат подсказки для нажатия на ссылки, и как только вы это сделаете, вы потенциально подвергнете себя опасности загрузить вредоносные файлы. 

Существует множество служб проверки ссылок, таких как ScanURL.net (нужно отключить антибанер, чтобы работал корректно сервис) и PhishTank (сервис ограничивает доступ со стран СНГ, используйте VPN), которые будут искать всевозможные подозрительные материалы. Детальнее, мы уже рассматривали полезные способы, как проверить письмо на фишинг и скрытые угрозы.

Антифишинговое программное обеспечение.

Знание — сила в предотвращении атак целевого фишинга. Когда ваш персонал является вашим самым слабым звеном, важно регулярно обучать персонал. Обязательно включите это обучение при составлении плана цифровой безопасности.

Всегда есть вероятность, что злоумышленник проскользнет сквозь щели и возьмет верх над кем-то в вашей организации. Вот почему важно инвестировать в антифишинговое программное обеспечение как вторую линию защиты от злоумышленников, использующих в своих интересах ваших сотрудников.

Антифишинговое программное обеспечение предназначено для обнаружения попыток фишинга и активного предотвращения этих процессов. При выборе антифишингового решения необходимо иметь ввиду несколько ключевых характеристик:

• Спам-фильтры. Поставщики электронной почты, такие как Microsoft Outlook и Gmail, имеют свои собственные встроенные спам-фильтры, но даже они не могут остановить каждую хитрую попытку попасть в почтовый ящик сотрудника. Дополнительный спам-фильтр, обеспечиваемый антифишинговым программным обеспечением, помогает отлавливать те электронные письма, которые прорываются.
• Системы идентификации файлов: ваше антифишинговое программное обеспечение должно иметь возможность сканировать электронные письма на наличие вредоносных файлов, чтобы предотвратить непреднамеренные загрузки.
• Сканирование ссылок: вредоносное ПО и веб-сайты для извлечения данных обычно встроены в ссылки. Ваше антифишинговое программное обеспечение должно иметь возможность сканировать и предотвращать переход пользователей по опасным ссылкам.
• Интеграция: Любое стоящее антифишинговое программное обеспечение должно быть способно интегрироваться с некоторыми из самых популярных офисных инструментов, используемых для передачи информации, такими как Office 365, G-Suite и Slack.
  

Независимо от того, с каким поставщиком программного обеспечения вы работаете, эти функции являются минимальными ставками для предотвращения целевых фишинговых атак. Все, что меньше, оставляет вас и вашу организацию потенциально уязвимыми для новых и неизвестных раннее онлайн-преступников. Хорошей новостью является то, что многие варианты антивирусного программного обеспечения включают функции защиты от фишинга.

В Украине, можно использовать комплесное програмное обеспечение компании eset.

• Для малого бизнеса
• Для среднего бизнеса
• Для корпораций
• Для государственных структур

Кто является наиболее вероятным объектом целевого фишинга?

Хотя важно, чтобы вся ваша организация была осведомлена об опасностях целевого фишинга и методах предотвращения таких атак, есть определенные бизнес процессы и ключевые сотрудники в них, которые с большей вероятностью будут атакованы, например:

• Помощники руководителей. Помощники являются основной целью целевых фишинговых атак, поскольку в их повседневной работе происходит много дел, и они могут пропустить тщательно структурированную атаку. Эти помощники являются ценными целями, поскольку они регулярно имеют доступ ко всем видам информации, включая способы оплаты, планы командировок руководителей, данные о сотрудниках, и курируют зачастую во многих различных отделах организации. Эти виды целей особенно уязвимы в начале, поскольку они имеют так много доступа к информации и очень мало понимают, как все работает в этой конкретной организации. Вновь нанятых помощников необходимо знакомить с передовыми методами предотвращения целевых фишинговых атак.
• Персонал по продажам: Работа в сфере продаж — это быстро меняющаяся роль с регулярными возможностями общения с людьми, не относящимися к бизнесу. Ожидается, что сотрудники отдела продаж будут действовать быстро и получат доступ к большому количеству интеллектуальной собственности, что делает их идеальными целями для целевых фишинговых атак. Злоумышленники стремятся использовать их готовность общаться с внешним персоналом, чтобы получить доступ к вашей организации и расширяться оттуда.
• Финансовый персонал: те люди в вашей организации, которые имеют доступ к финансовой информации, обязательно станут мишенью для попыток целевого фишинга. Уровень личной информации и конфиденциальных данных компании делает их ценной добычей для любого хакера, которому посчастливится застать одного врасплох.
• Человеческие ресурсы: так же, как финансы, человеческие ресурсы (HR) переполнены информацией, позволяющей установить личность, и, поскольку они получают значительный поток сообщений со всей организации, умные хакеры рассматривают их как точку доступа к более ценным данным компании.
• Руководители высшего звена: получить доступ к руководителям высшего звена сложнее, потому что доступ к ним охраняется «привратниками», такими как помощники руководителя, и усиленными усилиями по кибербезопасности, но это возможно. Некоторые хакеры, достаточно умные, чтобы получить доступ через генерального директора или финансового директора (CFO), получают доступ к горам ценной информации.
  

Хотя не исключено, что злоумышленник может нацелиться на главного технолога (CTO), директора по информационной безопасности (CISO) или другого ИТ-персонала из-за имеющегося у них доступа, эти атаки не так распространены из-за того, что они знают направления и стратегии атаки. С точки зрения злоумышленника, зачем тратить усилия на трудную цель, когда неопытный помощник или продавец предлагает путь наименьшего сопротивления?

Образование и защита – это ключи безопасности.

Нарастающие угрозы могут показаться непреодолимыми, но будьте уверены, что все они основаны на одних и тех же идеях. Хакеры хотят получить наибольшую отдачу за наименьшее количество усилий и воздействия. 

Чтобы остановить большинство атак, вам необходимо предпринять необходимые шаги для обучения своих сотрудников и предоставить правильные программные инструменты для обеспечения компьютерной безопасности, необходимые для того, чтобы расстроить хакеров настолько, чтобы они обратили свое внимание на что-то другое.

Резервные копии – минимизация рисков и потерь.

Необходимо понимать, что нет 100 % защиты от всех угроз. Неизбежен и человеческий фаутор ошибки. Соответственно, для стабильной работы любых бизнес процессов, необходимо всегда иметь в постоянном доступе актуальную информацию. В данной случае, в случае сбоев, хакерских атак или потери любым другим образом важных данных ,может парализовать всю компанию или, даже уничтожить ее. Поэтому, стоит всегда заботиться о резервном копировании критически важных данных и хранении их в надежном месте. Чтобы не повторяться несколькол раз, на данную тему, есть полезная заметка, которая позволит организовать безопасное создание и хранение резервных копий.

Для тех, кто легкомыслено отноститься к цифровым угрозам, стоит ознакомиться с полезнгой подборкой фактов и статистики.

Виртуальный сервер VPN для вашего бизнеса – ворота в вашу компанию.

Атаки на RDP с последующим похищением, уничтожением, шифрованием данных компании, является актуальной проблемой по прежднему. Участились случаи, когда главная задача атакующих, полностью уничтожить данные. В этой ситуации, те руководители компаний, которые неоднократно выходили из положения при очередной атаке вирусов-шифровальщиков посредством оплаты выкупа за расшифрову или, использовали посредников, теперь могут попрощаться с данных способом. Это крайне актуально на данный момент для бизнеса в Украине. Повторюсь, что участились случаи полного уничтожения данных, без возможности восстановить их.

В данной ситуации, есть готовое решение для бизнеса, позволяющее организовать безопасную работу компании и защитить ИТ-инфраструктуру от угроз.

Будет полезно ознакомиться с подборкой материала на данную тему:

• Устанавливаем и настраиваем Cyberarms Intrusion Detection and Defense Software (IDDS).
• Защита RDP подключения от брутфорса при помощи IPBan. 
• Настройка RDP (защита от перебора паролей).

Источник информации про новые угрозы.

В Украине, есть центр Computer Emergency Response Team of Ukraine, которые сообщает в первую очередь про цифровые угрозы, нацеленные на пользователей, бизне и государственные структуры Украины. Самая новая и актуальная информация ,публикуется в разделе новостей.

 О любых киберинцидентах, вы можете сообщать в CERT-UA.

Данная информационная подборка, была создана в первую очередь для пользователей Украины. В целом же, информация применима в любом уголке планеты.