Фишинг – одна из главных угроз информационной безопасности, с которой сталкиваются интернет-пользователи. Сегодня мы поговорим о том, какими могут быть такие атаки и как не стать их жертвой.
Рассылки от имени известных компаний
Довольно часто целью злоумышленников становятся пользователи и клиенты конкретной компании. В таких случаях преступники могут связываться с людьми от лица представителей бренда и убеждать их перейти по ссылке на поддельный сайт, на котором пользователей обманом заставляют ввести данные от своих учетных записей.
В случае финансовых сервисов, получив доступ к счетам жертв, взломщики спокойно похищают их деньги. Такие атаки случаются регулярно. Типичный сценарий был реализован пару лет назад в отношении пользователей популярного онлайн-криптокошелька MyEtherWallet. Они получили письмо, в котором им сообщали о том, что компания проводит обновление ПО, учетные записи заблокированы, и для восстановления доступа нужно перейти по ссылке.
После клика на эту ссылку открывался сайт идентичный оригинальному myetherwallet.com. Единственное отличие – вместо последней буквы «t» в URL использовался похожий на нее символ «ţ» в кодировке Unicode.
Заметить столь незначительные детали бывает непросто, поэтому следует всегда сохранять бдительность. Также нужно критически подходить к содержанию писем, отправленных якобы от лица известной компании. Если у вас появились сомнения в правдивости полученного сообщения, стоит сразу же связаться с компанией по указанным на официальном сайте каналам. И сам сайт нужного вам сервиса стоит занести в закладки, а не переходить на него по ссылкам из писем.
Атаки через рабочий email
Использование поддельных доменов – самый простой, хоть и действенный метод фишинга. Однако существуют и более продвинутые техники. Одна из них – использование для атаки рабочих email-ящиков сотрудников компаний. В таких случаях обычно целью злоумышленников является как раз организация. Чтобы закрепиться в ее инфраструктуре они могут рассылать письма якобы от имени знакомых сотрудникам контрагентов или коллег.
В темах таких писем могут быть слова, вроде «премия», «поощрение», «повышение зарплаты», «отпуск» – они вызывают немедленный интерес многих работников, которые скачивают прикрепленные к письму вредоносные файлы.
Группировку Cobalt3 использовала в качестве исходного вектора заражения инфраструктуры именно такие фишинговые письма. Причем рассылались они в том числе от лица сотрудников реальных банков и компаний-интеграторов, инфраструктуру которых взламывали предварительно именно для доступа к электронной почте. Сообщения обычно приходили в рабочее время и выглядели максимально правдоподобно.
Чтобы не стать жертвой такой атаки и не впустить преступников в сеть компании-работодателя, нужно анализировать каждое полученное письмо. Должны ли вам присылать списки сотрудников с указанием зарплат? Почему письмо попало именно к вам? Если у вас возникают хотя бы малейшие сомнения, скачивать приложенный файл не нужно, вместо этого следует показать письмо сотруднику ИТ-департамента или отдела ИБ.
Атаки на профили в соцсетях
Не только электронная почта становится инструментом злоумышленников. Все чаще фиксируются случаи атак на профили в социальных сетях. Здесь жертвами тоже могут выступать сотрудники заинтересовавшей хакера компании. Тогда если ему удастся заразить устройство, с которого он затем подключится, например, к Wi-Fi в офисе, это позволит проникнуть внутрь корпоративную сеть.
Недостаточно осведомленные в вопросах ИБ пользователи нередко обсуждают в соцсетях рабочие вопросы и даже обмениваются конфиденциальными документами. Что еще хуже – иногда работники используют один и тот же или незначительно измененный пароль для доступа и к профилю в соцсети, и к корпоративным ресурсам.
Этим пользуются злоумышленники, вроде группировки SongXY, которая в 2017 году принимала участие в атаках на промышленную отрасль и государственные учреждения стран СНГ. Злоумышленники искали профили сотрудников в социальных сетях и отправляли им сообщения.
Согласно исследованию Positive Technologies, боле 70% сотрудников в ходе проектов по анализу защищенности вступали в переписку с потенциальным злоумышленником, а 21% перешли по предлагаемой ссылке.
В данном случае для повышения уровне безопасности стоит следовать простым правилам: соцсети не стоит использовать для обсуждения рабочих вопросов, особенно с незнакомцами, также это не лучший инструмент для пересылки конфиденциальных файлов.
Телефонный фишинг
Злоумышленники атакуют частных пользователей и сотрудников компаний не только в интернете. Одним из самых простых и эффективных инструментов социальной инженерии остается телефон.
В интернете можно найти множество историй, когда клиентам финансовых организаций звонили якобы от лица компании и выпытывали данные для доступа к счету или просили продиктовать код из СМС-сообщения. Офисных работникам могут позвонить по телефону якобы сотрудники техподдержки, которые попросят либо учетные данные от различных программ, либо будут настаивать на переходе по ссылке.
Классический пример — звонок рано утром в воскресенье с просьбой срочно явиться на работу, либо передать «инженеру» логин и пароль от компьютера, чтобы он все смог сделать самостоятельно.
В данном случае атакующий пытается смутить жертву, и пользуясь замешательствам узнать нужные ему данные или заставить выполнить целевые действия. Необходимо всегда помнить о возможности таких атак, и не торопиться выполнять указание «представителя банка» или «сотрудника техподдержки» – обычно они не имеют права запрашивать логины и пароли или диктовать данные, вроде одноразовых кодов из СМС.