Павел Иевлев

Текст

Когда речь заходит об информационной безопасности, одной из самых острых остается проблема фишинга. Почему этот метод похищения данных так эффективен?

По данным компании Fishman, специализирующейся на корпоративной сетевой безопасности, 65–85% сотрудников компаний регулярно переходят по фальшивым ссылкам из почтовых рассылок, даже если они проходили инструктаж по безопасности. В частной переписке этот процент посчитать сложнее, но он, очевидно, еще выше. Это делает фишинг одним из самых эффективных способов похищения персональных данных, включая самые важные, типа финансовых.

Сейчас в контексте глобального кризиса интенсивность фишинговых атак кратно возросла. Люди ожидают писем из официальных источников, таких как экспертные организации, страховые компании или правительственные учреждения, что позволяет преступникам маскировать вредоносные рассылки, а общая нервозность информационного поля снижает критичность восприятия пользователей.

Так что такое «фишинг», и как на него не попасться?

Удочка для простаков

Фишинг пишется по-английски phishing, но происходит от fishing ― «рыбалка». Это практика рассылки электронных писем, чтобы заставить получателей нажать на вредоносную ссылку или скачать зараженное вложение. Чаще всего эти письма выглядят, как сообщения из вполне респектабельных источников: торговых компаний, банков, страховых, сотовых операторов, онлайн-магазинов и так далее. В корпоративной сфере это может быть даже более адресно (письма от сотрудников или команд в вашей собственной организации, например, из отдела кадров, от руководителя или даже генерального директора).

По данным Symantec каждое двухтысячное письмо является фишинговым, а это значит, что ежедневно совершается порядка 135 миллионов атак.

После открытия письма способы атаки и проникновения могут быть различными, и большинство очень просты. Они заключаются в том, чтобы замотивировать пользователя нажать на ссылку и ввести конфиденциальную информацию: логин-пароль от значимого сайта, данные почты, банковского аккаунта или кредитной карты. Для этого используется манипуляция с ссылками и подделка веб-сайтов. Самый распространенный способ ― привести жертву по визуально похожей ссылке на визуально похожий сайт, например, финансовых услуг, или магазина, где он введет логин-пароль, думая, что находится на оригинальном сайте. Даже домен будет выглядеть похоже, отличаясь одной-двумя буквами; создание таких мошеннических доменов, близких по написанию к известным сайтам, называется тайпсквоттингом.

Также к фишинговым письмам часто прикрепляют не вызывающий подозрений файл или добавляют ссылку, при нажатии на которую будет тайно загружено вредоносное ПО, которое внедрится в систему жертвы с целью кражи конфиденциальной информации. Не исключен и риск нарваться на шифровальщик-вымогатель, который заблокирует пользовательские данные с целью требования выкупа.

Почему это работает

Казалось бы, нет пользователя, который не знаком с предупреждением: «Никогда не переходите по ссылкам из подозрительных писем и не открывайте неизвестных вложений». Однако 91% киберпреступлений начинается именно с успешной фишинговой рассылки по электронной почте. Увы, самое слабое звено в кибербезопасности не серверы и фаерволлы, а люди.

Наиболее простой способ – «брать числом». Если разослать фишинговое электронное письмо по миллиарду адресов, то просто по закону больших чисел кто-то да клюнет, даже если манипуляция незамысловатая. КПД процесса низок, но и затраты небольшие. Однако куда более эффективны методы, построенные на социальной инженерии, такие, как адресный фишинг, клон-фишинг и уэйлинг.

Адресный фишинг нацелен на конкретных лиц. Он использует для кражи учетных данных адреса доверенных лиц или организаций пользователя. Для этого хакер заранее выясняет круг интересов и знакомых жертвы, благо, большинство пользователей сами охотно делятся этой информацией в соцсетях. Гораздо больше вероятность, что человек перейдет по ссылке в письме, присланным коллегой, чем из обезличенной рассылки. Остаётся только скопировать шаблон корпоративного письма и подставить визуально похожий адрес, что совсем несложно.

Разновидность адресного фишинга ― уэйлинг (дословно — «охота на китов», whaling). Уэйлинг специально направлен на ключевые фигуры в организации, которые получают письмо, отправленное якобы кем-то из вышестоящих руководителей или влиятельных лиц компании. Например, компания Mattel, выпускающая игрушки, пала жертвой такой атаки после того, как финансовый топ-менеджер получил электронное письмо с просьбой о переводе денег, отправленное мошенником от имени нового генерального директора. В результате компания потеряла почти 3 миллиона долларов. Чтобы уэйлинг увенчался успехом, злоумышленники должны очень хорошо изучить свою жертву, но это вложения, которые окупаются.

Клон-фишинг работает попроще, но не менее эффективно. Злоумышленники просто копируют реальное электронное письмо, которое ранее было отправлено легитимной организацией, но используют манипуляции со ссылками для подмены. Для этого нужно сперва получить оригинал письма, но это можно сделать множеством способов.

BEC-атаки

Это настолько эффективный и изощренный метод фишинга, что заслуживает отдельного упоминания. Business Email Compromise (BEC) ― это атака с использованием компрометации деловой переписки. Она не требует глубоких технических знаний, имеет высочайшую эффективность, защититься от нее традиционными средствами практически невозможно. По данным ФБР, ущерб от таких атак составляет несколько миллиардов долларов ежегодно.

BEC — фишинг, ориентированный главным образом на компании, работающие с иностранными поставщиками, а также предприятия, которые регулярно проводят безналичные платежи. Методика близка к традиционному «офлайновому» мошенничеству, поэтому противостоять ей техническими средствами невозможно.

Мошенники тщательно, иногда месяцами, собирают сведения о руководителях и бухгалтерах, выполняющих платежи, адреса электронной почты сотрудников, данные о контрагентах. Для этого используются как современные хакерские методики, так и древние как мир способы – подкуп сотрудников, внедрение в штат «крота». Это сложно и дорого, но и ставки высоки. Цель ― компрометировать учетные записи электронной почты руководителя, финансистов и бухгалтеров, получить доступ к переписке с контрагентами. Главная задача ― выяснить, каким образом в организации происходят финансовые транзакции, кто запрашивает перевод, кто его подтверждает, и кто непосредственно выполняет. Затем бухгалтеру приходит письмо о смене реквизитов контрагента, и очередной платеж уходит мошенникам.

Известны примеры, когда за одну успешную атаку компания теряла несколько миллионов долларов.

Антирыбалка

Как защититься от фишинга?

С одной стороны ― элементарно. Нет ничего проще: не открывайте подозрительные ссылки и вложения, всегда проверяйте адреса сайтов, на которых вводите данные.

С другой ― этот простой совет не работает. Любой человек может ошибиться, расслабиться, отвлечься ― и попасться на удочку.

Тем не менее, стоит перечислить то, чего вы однажды не сделаете и пострадаете:

· внимательно проверьте имя и домен, с которого отправляется электронное письмо, ― серьезные компании не пишут с бесплатной почты, а используют корпоративный домен;

· проверьте наличие явных орфографических ошибок в теме и тексте сообщения;

· проверьте поля «От» и «Кому». Если они обезличены («пользователю» или «клиенту») ― это массовая рассылка;

· не сообщайте свои учетные данные — законные отправители никогда их не попросят;

· подозрительно относитесь к требованиям «срочно» и «немедленно» ― они побуждают читателя действовать, не задумываясь;

· особое внимание нижнему колонтитулу ― он часто содержит явные признаки подделки, включая неверную дату регистрации или адрес, не соответствующий расположению настоящей компании;

· не открывайте вложения и не загружайте подозрительные ссылки, особенно сокращенные с помощью bit.ly или аналогичной службы.

Корпоративной защитой от фишинга должна заниматься служба безопасности компании, но знать об основных приемах полезно:

· установка фильтрующего шлюза, чтобы письма проходили проверку перед тем, как попадать в почтовые ящики сотрудников;

· аутентификация отправителя при помощи маркеров SPF/DKIM/DMARC (цифровая подпись, которая подтверждает подлинность отправителя);

· проверка на наличие индикаторов, характерных для фишинговых сообщений;

· анализ доменных имен на «сходство» с настоящими позволяющее программно отсекать подмену;

· использование баз и систем репутации доменов и IP-адресов отправителей, многие фишинговые адреса вносятся в «черный список»;

· для блокировки нестандартных и адресных атак применяются алгоритмы машинного обучения;

· и самое главное – постоянный инструктаж сотрудников, потому что именно они – слабое звено системы.

Будьте бдительны!

Читать на ЦО.РФ

DDoS – оружие сетевого терроризма  Что представляет собой одна из самых разрушительных технологий атаки на сайты

С конца февраля DDoS-атаки стали уникально массовым методом вредоносного воздействия на российские интернет-ресурсы. Почему именно DDoS?

Использованные источники: