Мошенники получают нужные им данные напрямую у своих жертв, выманивая пароли в общении или предлагая страницы-обманки. Поэтому самое уязвимый момент в кибербезопасности любой компании — ее сотрудники.
Фишинг нацелен на получение идентификационных данных пользователей, как правило, логинов и паролей к банковским картам и учетным записям. В случае с атаками на компанию — на получение данных для доступа к базам данных фирмы.
«Злоумышленники давят на самые сильные эмоциональные рычаги: страх или любопытство. В такие моменты человек перестает рационально воспринимать ситуацию, действует быстро и необдуманно, а когда осознает происходящее — уже поздно», — прокомментировал Sibnet.ru директор по информационной безопасности Awillix, этичный хакер Александр Герасимов.
Фишинг-схемы
Так как фишинг простой и распространенный способ получения первичного доступа во внутреннюю сеть компании, то это целая индустрия, где есть место и мелким мошенникам, и серьезным хакерским группировкам.
Злоумышленники часто используют фишинговые методы (сайты-обманки). В самом безобидном случае человеку предлагают ссылку на клон реально существующего ресурса. Например, концертного комплекса. Купив на таком сайте билет, пользователь самостоятельно переводит деньги мошенникам.
Переход по ссылке на фишинговый сайт с формой авторизации грозит более серьезными последствиями — потерей конфиденциальных данных, доступа к своим аккаунтам в социальных сетях и платежных данных банковских карт.
Чтобы убедить пользователей перейти по ссылке на фишинговый сайт, мошенники применяют методы социальной инженерии. Например, самой массированной атакой на клиентов ретейла в 2021 году стала вирусная рассылка, в которой предлагались розыгрыши от имени ретейлеров «Красное & белое», «Дикси», «Ашан», «О'Кей», Wildberries.
Чтобы получить «приз», жертвам предлагали переслать ссылку на сайт двадцати знакомым. Так они не только сами попадали в ловушку мошенников, но и невольно становились соучастником аферы.
Атака на компании
«С помощью фишинговых сайтов злоумышленники атакуют и компании. Например, могут создавать двойники корпоративной почты или файлового хранилища, чтобы пользователь ввел свой логин и пароль. Цель атаки — проникнуть внутрь системы любой ценой», — сказал эксперт.
Злоумышленники могут представляться доверенными лицами или отделами компании, чтобы сотрудник выполнил нужные мошенникам действия. Например, сотруднику может прийти письмо от «директора по персоналу», как будто отправленное по ошибке, вместе с ссылкой на файл со списком сотрудников, попавших под сокращение в следующем месяце.
При этом файл будет необходимо скачать якобы с корпоративного файлобменника, для чего авторизоваться и ввести свои корпоративные учетные данные.
Перейдя по ссылке из любопытства или из-за страха, работник попадает на привычную ему страницу авторизации в корпоративной системе и вводит свои учетные данные, а на самом деле это будет фишинговая страница, которая откроет хакерам доступ во внутреннюю сеть или в корпоративные облачные сервисы.
«В среднем, по нашей статистике, не менее 10% получателей вводят логин и пароль к корпоративным ресурсам, перейдя по ссылке из фишингового письма. Но встречаются и более страшные цифры 40-50%», — отметил специалист.Когда в компании работает отдел информационной безопасности, то чаще всего фишинговые рассылки быстро обнаруживают и блокируют фишинговые сайты — они перестают открываться из офиса. Но сотрудники могут начать открывать эти ссылки с телефонов, сфотографировав QR-код с экрана, на котором открыто фишинговое письмо.
Как победить мошенников
Лучшая защита от фишинговых атак — внимательность. Нужно относиться подозрительно к ссылкам и любым предложениям из рассылки по e-mail или в мессенджерах, которые побуждают совершить какое-то действие с данными.
Если в сообщении требуют авторизоваться с использованием корпоративных данных, то нужно обратить внимание на адрес отправителя и адрес корпоративного ресурса. Они могут не сильно отличаться от настоящих, например, только одной буквой.
«Сотрудников необходимо этому обучать. Нужно объяснять, как происходит взлом, как действуют злоумышленники, как они готовятся к фишингу, какие есть виды атак, как определить фишинговый сайт или письмо. Увидев, как это работает, люди ведут себя более грамотно – узнают фишинговые письма и сообщают ИТ-специалистам», — посоветовал Герасимов.
Раз в квартал можно проводить тестирование, например, рассылку писем с разными сюжетами, разными методами. По итогам смотреть аналитику и с теми, кто перешел по ссылке, ввел данные и так далее, проводить дополнительное обучение.
