Лист з сюрпризом: все, що повинен знати бізнес про фішинг

27 травня 2021, 17:30
Читать новость на русском

В ідеальному світі на календарі немає понеділків, на дорогах – заторів, а у піці – ананасів. Конкуренти грають чесно, хакерів не існує, а фішинг – це щось про вудки й рибу, а не загрозу даними. Але ми, на жаль, живемо у іншій реальності.

Нас оточують загрози конфіденційних даних, і вони здатні нанести фатальну шкоду малому, середньому, так взагалі будь-якого бізнесу. Один із симптомів цієї хвороби – фішинг – коли співробітників обманом змушують "злити" конфіденційну інформацію.

Цікаво Смарт годинник Huawei Band 6 – огляд, характеристики і ціна

Ми зібрали найцікавіші питання та поставили їх інженерам з BAKOTECH – Філіпу Хмельову і Руслану Утченку. Відповіді на них ми запакували у лаконічну статтю для вашої зручності.

Фішинг простою мовою

Фішинг – це спосіб атаки, коли зловмисники використовують пошту для отримання доступу до інфраструктури компанії. Наприклад, менеджеру приходить лист нібито від особи чи організації, якій він довіряє, з проханням щось вислати, заповнити якусь форму, завантажити файл або щось у цьому роді. Нічого не підозрюючи, співробітник робить те, про йдеться у листі. Так хакер отримує конфіденційну інформацію або облікові дані, які потім використовуються для масштабної атаки.

Фішинг буває двох типів:

  • таргетований;
  • нетаргетований.

Перший небезпечніший, оскільки хакери вивчають свою ціль і готуються до атаки. Захиститися від нього вкрай складно – цільовий співробітник отримає лист, який не відрізнити від тих, що він отримує щодня. Візуально і за сенсом вони будуть ідентичні, можуть бути навіть застосовані особливості мови відправника, щоб написати максимально точний і правдоподібний лист.

Нетаргетований фішинг – більш простий вид атаки, коли лист підготовлено не так старанно. Його застосовують хакери-початківці, але від цього він не стає безпечнішим. У різних компаніях працюють співробітники, що не піддають отриману пошту детальному аналізу і просто роблять, що сказано у листі.


Фішинг небезпечний, попри його простоту / Фото Unsplash

Небезпека фішингу

Фішинг будь-якого типу й рівня заходить "на ура" через слабку цифрову підкованість фахівців, які отримують фішингові листи. За статистикою від компанії FireEye, 91% кібератак починаються саме з фішингу. В основному, метою фішингу є отримання логінів та паролів кудись в систему. У багатьох компаніях існує єдиний логін і пароль, під яким можна зайти в пошту, месенджер, CRM, хмару та базу даних.

Таким чином, отримавши доступ до системи, зловмисники отримують задуману вигоду:

  • крадуть гроші;
  • інформацію про корпоративну діяльність;
  • документацію;
  • платіжні дані;
  • або просто "ламають" інфраструктуру на замовлення конкурентів.

Наприклад, у 2010 році Іран оголосив про відновлення своєї ядерної програми, внаслідок якої планував збагачувати уран і створювати ядерну зброю. В результаті кібератаки США, яким дуже не сподобалася ця новина, обладнання, задіяне у процесі збагачення, буквально вибухнуло. Система, що керує цим обладнанням, була заражена вірусом, який вносив свої корективи в налаштування.

А тепер уявіть, що працюючий на якійсь АЕС співробітник, слабо перевіряє свої листи і такий вірус потрапив в інфраструктуру атомної електростанції і отримав доступ до ОТ-системи, через яку керують реактором.

До теми Без домашнього маркетингу та з фокусом на команді: 5 порад, як вивести стартап за кордон - Новини технологій

Трохи статистики

Тут наведемо дані щодо фішингових досліджень від компанії F5 за 2020 рік.

Найбільш використовувана тема фішингових листів. Зрозуміло, COVID-19. Зловмисники використовували вакцинацію, статистику по коронавірусу й інші пов'язані з темою дані, щоб зіграти на емоціях і відсутності інформації у людей.

Методи фішингу. Використовувалися як цільові, так і напів- і нецільові атаки. Кількісно переважає останній тип атак.

Цілі фішингу. Найчастіше фішингові атаки ставили за мету збір облікових даних і фінансове шахрайство. Якщо з другим все зрозуміло, то перший тип цілей може бути куди небезпечніше – отримавши доступ до облікового запису, зловмисники крадуть цінні дані у компаній.


Спеціальне ПЗ та служба безпеки ідеальний варіант захисту від фішингу / Фото Unsplash 

Найбільш популярна платформа для атаки. Office365. Через єдину систему з логіном і паролем, зловмисники, отримуючи доступ до пошти, з великою ймовірністю також мають доступ до OneDrive і Sharepoint, де зберігаються всі дані компанії.

Кількість викрадених даних карт, які прив'язані до персональних даних. З 2016 р. сім провідних банків світу "втратили" дані 44000 карт, 98% з них давали доступ до персональних даних клієнтів.

Захист від фішингу

Захиститися від фішингу можна на рівні софту для кібербезпеки і на рівні відділу інформаційної безпеки та співробітників.

Перший варіант – використання різних антивірусів і систем для захисту поштових клієнтів. Такі програми сканують вміст – перевіряють контент, вкладені файли, аналізують посилання. Якщо там є шкідливі програми – лист буде заблоковано, якщо иу листі є посилання на сайт-одноденку з незрозумілою репутацією – його буде заблоковано. А навіть якщо і вкладення в листі й буде відкрито, то файл буде запущений в ізольованому середовищі, де немає доступу до інфраструктури, а всі макроси і скрипти будуть заблоковані для виконання.

Це реалізовано за допомогою поштових шлюзів, вони є першим ступенем захисту. Далі у ланцюжку стоїть користувач, який довіряє або не довіряє листу. Якщо він відкриває файл – у справу вступає антивірус, а якщо переходить за посиланням – веб-шлюз, який аналізує це посилання.

Але все це майже марно, якщо не провести роботу зі співробітниками. Служба безпеки повинна пропрацювати тему захисту від фішингу, пояснивши, що це таке і як від цього захиститися.


Служба безпеки повинна працювати зі співробітниками / Фото Unsplash

У першу чергу, необхідно включити критичне мислення і ставити під сумнів все одержане. Дивіться на текст листа – часто він написаний з банальними помилками. Зрозуміло, якщо від державних організацій прийшов такий безграмотний лист, то це обман. Навряд чи там дозволять собі тримати співробітника, який банально не вміє писати.

Також перевіряйте посилання. Вони маскуються під посилання ресурсів, до яких ми звикли, але все ж зробити їх ідентичними неможливо. Так, наприклад, замість accounts.google у вас буде посилання ще з якоюсь припискою. Також у посиланнях часто замінюють символи на схожі, наприклад, маленьку букву "L" на велику "i" (l і I).

У крайніх випадках, якщо сумніваєтеся, надсилайте ці листи у відділ безпеки або системним адміністраторам. Вони точно добре поінформовані про можливі атаки і тому точно розберуться, чи безпечний лист ви отримали.

Не пропустіть "Найкращий роботодавець 2020": EY провела дослідження привабливості компаній ІТ-галузі

Висновки

Фішинг – вкрай небезпечний, хоч і вважається "дитячим" способом шахрайства. Це погано. Але практично будь-який фішинг розіб'ється об цифрову підкованість і інформованість фахівців. Це добре. Навчіть своїх співробітників не вестися на усе підряд і будьте уважні самі: це не вбереже від всіх бід, але значно підвищить шанси не стати жертвою.