Фишинг: как не попасться на удочку
Изображение: recraft
Фишинг – один из самых распространенных видов кибермошенничества, при котором злоумышленники выманивают конфиденциальные данные методами социальной инженерии. С развитием технологий эти атаки становятся все более изощренными, но, зная основные правила безопасности, вы можете надежно защитить себя и компанию.
Что такое фишинг и почему он опасен?
Фишинг (от английского fishing – «рыбная ловля, выуживание») – это вид интернет-мошенничества, целью которого является получение доступа к вашим личным данным: логинам, паролям, номерам банковских карт, паспортным данным и другой конфиденциальной информации.
Мошенники создают почти идеальные копии писем от банков, платежных систем, социальных сетей и других организаций, которым люди склонны доверять. В таких письмах содержится просьба «подтвердить учетную запись», «проверить подозрительную активность» или «восстановить доступ», а ссылка ведет на фишинговый сайт, внешне неотличимый от настоящего. Как только вы вводите свои данные на такой странице, они сразу попадают в руки преступников.
Основная опасность фишинга заключается в использовании методов социальной инженерии. Злоумышленники играют на человеческих эмоциях: страхе, жадности, любопытстве или чувстве долга. Они создают иллюзию срочности, чтобы вы действовали быстро, не успев заметить подвох.
Успешная фишинговая атака может привести к прямому хищению денег, краже личных данных, доступу к вашим аккаунтам, а в корпоративной среде к утечке коммерческой информации и репутационным потерям.
Распространенные виды фишинговых атак
Фишинг направлен не только на массовые атаки граждан, но и на атаки сотрудников различных компаний с целью получения персональных данных. Злоумышленники постоянно развивают методы атак. Их можно разделить на несколько основных видов:
- Массовый почтовый фишинг: рассылка однотипных писем большому количеству пользователей. Расчет здесь идет на то, что некоторая часть сотрудников компании среагирует на фишинговые письма и злоумышленник сможет получить доступ к информации. Письма в таких случаях персонализируются, а злоумышленники стараются собирать информацию о жертвах из социальных сетей и открытых источников.
- Whaling: атака на топ-менеджеров и руководителей компаний с целью получить доступ к конфиденциальной информации или финансам, к которым они имеют доступ.
- Smishing: данный тип фишинговой атаки реализуется через SMS-сообщения. Часто это сообщения о взломе или о смене тарифов и подобные сообщения, содержащие ссылку для «подтверждения данных».
- Vishing: фишинг по телефону. Мошенник, представляясь сотрудником банка или техподдержки, под предлогом проверки безопасности пытается выведать у вас конфиденциальные данные.
Это, как правило, звонки от федеральной налоговой службы, почты, мобильного оператора, полиции и прочих служб. В таких звонках на жертву давят ограниченным временем, угрозами штрафов и последствиями, требуя сообщить код здесь и сейчас. Причем код не всегда помогает им войти, особенно когда они пытаются выяснить номера документов, например СНИЛС.
Однако далее после звонка жертве приходит SMS с уведомлением о «взломе госуслуг» или другого сервиса со ссылкой для смены пароля или предотвращения входа злоумышленника. По данной ссылке, как правило, открывается фишинговый сайт, похожий на страницу входа в личный кабинет сервиса, и после ввода идентификационной информации данные утекают злоумышленникам.
- Фарминг: более сложный метод, при котором пользователь перенаправляется на поддельный сайт даже при вводе правильного адреса в браузере. Это достигается за счет взлома DNS-серверов или изменения файлов на самом компьютере жертвы.
Как защититься: практические шаги
Защита от фишинга должна быть многоуровневой, сочетающей технические средства и осведомленность пользователя.
Критическое мышление и проверка
Срочность и эмоции: Любое сообщение, создающее искусственное чувство срочности или страха («аккаунт будет заблокирован!»), – повод насторожиться. Не поддавайтесь панике.
Проверка ссылок: Не кликайте по ссылкам в письмах напрямую. Наведите курсор на ссылку (на мобильном устройстве сделайте долгое нажатие), чтобы увидеть настоящий URL-адрес. Обращайте внимание на опечатки в доменных именах (например, rnicrosoft.com с заменой «m» на похожий набор символов «rn»).
Официальные каналы: Если получили подозрительное уведомление от банка или сервиса, зайдите в личный кабинет, вручную набрав адрес в браузере, или позвоните по официальному номеру из договора.
Технические средства защиты
Менеджер паролей: Сервисы наподобие Keeper или Kaspersky Password Manager не только хранят пароли, но и помогают выявлять фишинговые сайты. Если менеджер не подставляет сохраненный пароль на «банковском» сайте, значит, адрес сайта не совпадает с сохраненным, и это явный сигнал опасности.
Многофакторная аутентификация (MFA): Это самый важный шаг для защиты аккаунтов. Даже если мошенники украдут ваш логин и пароль, без одноразового кода из приложения-аутентификатора или SMS они не смогут войти. Для максимальной защиты важных аккаунтов (например, почты или соцсетей) используйте аппаратные ключи безопасности (YubiKey, Google Titan). Они физически не передадут данные фишинговому сайту.
Антивирус и защита браузера: Современные антивирусы и встроенные защитные механизмы браузеров (как в Яндекс Браузере) могут блокировать переход на известные фишинговые ресурсы и загрузку вредоносных объектов.
Культура безопасности
Никогда не раскрывайте личную информацию: Легитимные компании никогда не запрашивают ваши пароли, полные данные карты или ПИН-коды по электронной почте, в мессенджерах или по телефону.
Осторожность с вложениями: Не открывайте вложения в письмах от неизвестных отправителей. Даже файлы в формате PDF, Word или MP3 могут нести угрозу.
Обучение и регулярное резервное копирование: Будьте в курсе новых угроз. Регулярно создавайте резервные копии важных данных на внешнем носителе или в облачном хранилище. Это спасет вас в случае успешной атаки с использованием программ-вымогателей.
Что важно сделать для защиты сотрудников от фишинга и частые ошибки
В рамках аудита мы часто проводим опрос пользователей на предмет знания правил информационной безопасности. Важно отметить, что проверка направлена именно на базовые знания, и мы выявили несколько наиболее популярных ошибок и уязвимых мест сотрудников:
- Отделы, не относящиеся к ИТ/ИБ, чаще всего в зоне риска. Именно такие отделы, как правило, проваливают тесты противодействия фишингу или совершают ошибки. Важно периодически проводить обучения для сотрудников бухгалтерии, маркетинга, службы связи с клиентами, финансовых и других отделов, не относящихся к ИТ/ИБ, объясняя, что такое фишинг и какие методы используют злоумышленники, как их распознать и как от них защититься;
- Не сообщать о фишинговых письмах и звонках. Часто при опросе сотрудники отвечают «удалю письмо», «отправлю в спам», «сброшу звонок». Данная реакция говорит о том, что сотрудник вроде не среагировал на фишинг, но и никому о нем не сообщил. Необходимо донести до сотрудников, что крайне важно информировать ИТ/ИБ или руководство о подобных письмах или звонках. Это помогает вовремя распознать именно массовую фишинговую атаку и защитить свои данные.
- «Я не знаю, что такое фишинг». Часто сотрудники знают, как создавать сложные пароли, как обращаться с конфиденциальной информацией, но нередко вообще не слышали о понятии фишинга.
- Работа в общественных местах. Не редкость, когда сотруднику вынужденно необходимо поработать в аэропорту, на вокзале, в кафе или в другом общественном месте. В таких случаях важно уведомить сотрудников не подключаться к открытым общественным сетям Wi-Fi, так как зачастую злоумышленники создают такие сети намеренно, для кражи данных.
Фишинг – это не просто спам в почте и звонки, а реальная угроза финансовой и цифровой безопасности. Однако как показывает практика, осведомленность и бдительность пользователей являются самым мощным оружием против злоумышленников.
Выработайте у сотрудников привычку критически оценивать каждое полученное сообщение, не поддаваться провокациям и используйте современные средства защиты. И помните: безопасность ваших систем в значительной степени находится в руках ваших сотрудников.
