29 мая 11.00
Вебинар "Безопасное хранение цифрового контента с помощью отечественной DAM-платформы"
 

Фишинговые атаки: бизнес-риски и методы защиты

Фишинговые атаки: бизнес-риски и методы защиты
Время на прочтение: 5 минут

Продолжаем рассказывать о прикладных аспектах информационной безопасности. В прошлый раз говорили о брутфорсе. Сегодня на очереди фишинг. Разберем основные типы фишинговых атак и дадим рекомендации, как защитить корпоративные аккаунты от фишинга.

Что такое фишинг

Классический фишинг — обман пользователя, с целью получить логин/пароль, номер счета, CVC банковской карты через подставные сайты. Пользователь переходит по ссылке из e-mail или мессенджера и вводит на мошенническом сайте свои учетные данные. Данные попадают к злоумышленникам и потом используются для кражи аккаунта или денег, шантажа или промышленного шпионажа.

Типы фишинговых атак

Киберпреступники, специализирующиеся на фишинге, никогда не бьют наудачу. У них четко сегментированная целевая аудитория, поэтому атаки принято классифицировать по объектам фишинга.

Массовая атака

Атака нацеливается на круг пользователей определенных платежных систем, банковских сервисов, ФНС, органов исполнительной власти, служб доставки, онлайн-кинотеатров. Письмо замаскировано под e-mail реальной организации. Обычно его внешний вид точно копирует интерфейс оригинала, а содержание побуждает перейти по ссылке или кнопке. Киберпреступники проявляют чудеса социальной инженерии — используют громкие новостные инфоповоды и базовые психологические триггеры (любопытство, страх, раздражение, жадность, срочность).

«Уведомление о наличии задолженности. Перейдите по ссылке, чтобы оплатить задолженность»
«Уважаемый клиент! Проверьте данные во вложении и подтвердите возврат переплаты по кредиту»
«Уважаемый пользователь, в Вашем аккаунте обнаружена подозрительная активность. Обновите настройки безопасности в течение 24 часов, в противном случае Ваш аккаунт будет заблокирован».

При переходе из письма на внешний сайт пользователь попадает на подменную страницу. Визуально максимально похожую на оригинальный ресурс. Дальше — по стандартной схеме: ввод идентификационных данных → передача данных мошенникам → потеря денег или угон аккаунтов.

Другой вариант фишинга— получение письма с зараженным вложением. Все хорошо знают базовое правило «не открывать вложение в письме от незнакомого адресата», но адресат-то выглядит знакомым, поэтому вложение открывают и вместе с ним в компьютер попадает вредоносная программа. Если это инфостиллер LokiBot, он крадет учетные данные почтового клиента и приложений FTP. Если банковский троян Buhtrap — получает удаленный доступ к счету и выводит с него деньги.

Сервис защиты периметра сети NGFW
Две недели бесплатного тест-драйва

Поисковый или веб-фишинг

Фишинговые атаки этого типа нацелены на людей, которые ищут конкретную информацию. Допустим, бухгалтер ищет в Яндексе форму уведомления о едином налоговом платеже, и переходит по третьей или четвертой ссылке в выдаче. Если по этому адресу хакеры разместили страницу-подделку, при регистрации аккаунта они могут украсть чувствительные данные пользователя или загрузить на его устройство вредоносный код. Обычно сайты-подделки маскируются под известные отраслевые ресурсы.

Целевая атака

Здесь целью киберпреступников становятся сотрудники конкретной организации, а иногда и конкретного отдела. Отправителем письма, начиненного фишинговой ссылкой или зловредом, обычно указывается кто-то из руководства, клиент, поставщик или партнер. Доверенный или авторитетный человек.

Например, сотрудники компании могут получить e-mail от главного специалиста по информационной безопасности с просьбой обновить корпоративный мессенджер по ссылке. Или руководитель отдела сбыта получает письмо от одного из поставщиков с просьбой ознакомиться с обновленным прайсом. В обоих случаях письмо откроют без опасений.

В таком письме настоящим будет почти все (имя, должность, оформление, какие-то известные внутри компании факты), кроме адреса отправителя. Он может быть почти идентичен настоящему, отличаясь всего одним символом в домене.

Целевой фишинг значительно опасней массового. Даже если проникновение вируса в  сеть удается предотвратить, сам факт получения письма — тревожный звоночек: кто-то специально собирает информацию о жертве, изучает состав партнеров и клиентов, тратит время и деньги на аренду похожего домена, копирование манеры обращения.

И если для массового фишинга основной целью становится кража денег, то целевая атака — это в основном про доступ к потенциально интересной корпоративной информации. Письма чаще всего заражаются зловредом, который после проникновения в сеть быстро распространяется по системе. Здесь он либо собирает информацию и отправляет ее на удаленный сервер хакеров, либо помогает злоумышленникам получить стабильный удаленный доступ в сети компании. Опасно и то, и другое.

Каналы фишинговых атак

Основным каналом атак остается электронная почта, однако год от года растет фишинговая активность в мессенджерах и социальных сетях. В 2021 году более 80% фишинговых ссылок через месседжеры распространялись по WhatsApp, 10% через Viber и 7% через Telegram.

Самой уязвимой категорией пользователей являются сотрудники компаний, которые используют популярные мессенджеры для личных и рабочих коммуникаций.

Здесь работает та же схема мошенничества, только адаптированная под сервисы обмена сообщениями. По данным «Лаборатории Касперского», большая часть краж касается аккаунтов. Их угоном занимаются боты, действуя через подменные страницы с имитацией полей ввода данных.

Как обезопасить компанию от фишинговых атак

Фишинг основан на социальной инженерии, а ПО от человеческой доверчивости пока не разработали. Это значит, что основная роль в защите бизнеса от фишинга отводится сотрудникам:

  • Повышать осведомленность персонала о методах и векторах атак,
  • Проводить обязательный вводный курс по информационной безопасности для всех новых сотрудников,
  • Периодически оценивать уровень защищенности с помощью учебных атак,
  • Актуализировать знания и навыки персонала с помощью тренингов, тематических рассылок, методических курсов.

Из технических средств защиты имеет смысл использовать дополнительные средства фильтрации почтового трафика и контента, например решение Secure Mail Gateway из пакета Kaspersky Security для почтовых серверов. Неплохие результаты показывают  системы Brand Protection, которые проверяют новые домены на схожесть с оригинальным и автоматически сканируют содержимое сайта. Обязательно поддерживать актуальность антивирусного ПО для сети и конечных устройств — оно поможет обнаружить зловреда, если адресат открыл зараженное вложение.

В конечном итоге, лучше всего срабатывает концепция предотвращения и реагирования, когда превентивные организационные мероприятия дополняются техническими мерами защиты.

Новые статьи и анонсы вебинаров в нашем Телеграм-канале