თემები

მყარი საფუძველი: პროფილების და მოწყობილობების უშიშარყოფა

ფიშინგი: საყოველთაო საფრთხე მოწყობილობების და პროფილებისათვის

ბოლო განახლება: 2022 წ. ივლისი

ფიშინგი მსოფლიოში წარმოადგენს ორგანიზაციებზე თავდასხმის ყველაზე უფრო გავრცელებულ და ეფექტურ მეთოდს. მეთოდი გამოიყენება, როგორც ყველაზე უფრო გამოცდილი სახელმწიფო სამხედრო სამსახურების, ისე თაღლითების მიერ. ფიშინგს, მარტივად რომ ვთქვათ, ადგილი აქვს, როცა მეტოქე ცდილობს მოტყუებით გაგაზიარებინოთ ინფორმაცია, რომელიც შესაძლოა გამოყენებული იქნას თქვენს ან თქვენი ორგანიზაციის წინააღმდეგ. ფიშინგი შესაძლოა ელ-ფოსტით, ტექსტური შეტყობინებებით/SMS-ი (რომელსაც ხშირად SMS-ფიშინგს ან „სმიშინგს“ უწოდებენ), WhatsApp-ის მსგავსი შეტყობინების აპებით, სოციალურ მედიაში შეტყობინებებით ან პოსტებით ან სატელეფონო ზარებით (რომელსაც ხშირად ხმოვან ფიშინგს ან „ვიშინგს“ უწოდებენ). ფიშინგური შეტყობინებებით შესაძლოა ეცოდონ ჩაგაწერინონ სენსიტიური ინფორმაცია (მაგ. პაროლები) ყალბ ვებგვერდზე, რათა მიიღონ წვდომა პროფილზე, გთხოვონ გააზიაროთ პირადი ინფორმაცია (მაგ. საკრედიტო ბარათის ნომერი) ზეპირად ან ტექსტურად ან დაგარწმუნონ ჩამოტვირთოთ საზიანო პროგრამა (საზიანო პროგრამული უზრუნველყოფა), რომელმაც შესაძლოა მოახდინოს თქვენი მოწყობილობის ინფიცირება. არატექნიკური მაგალითის სახით, ყოველდღიურად მილიონობით ადამიანი იღებს ყალბ ავტომატურ სატელეფონო ზარს, სადაც ეუბნებიან, რომ გატეხილია მათი საბანკო ანგარიში ან რომ მოპარულია მათი პირადობა - ყველა მათგანის მიზანია აიძულონ გაუთვითცნობიერებელი პირი გააზიაროს სენსიტიური ინფორმაცია.

 ფიშინგი და სამოქალაქო საზოგადოება

Image of phishing email to Tibetan civil society

მახვილგონივრულ, პერსონალიზებულ ფიშინგურ შეტევებს ყოველდღიურად ადგილი აქვს სამოქალაქო საზოგადოების ჯგუფებზე მთელს მსოფლიოში.

ასეთი შეტევის ერთი მაგალითი მოცემულია The Citizen Lab-ის 2018 წ. ანგარიშში თვალყურის დევნება ბიუჯეტზე: ტიბეტური საზოგადოების წევრ სამიზნეებში ფიშინგის შეტევა. ეს მეტად იაფი და მარტივია - თუმცა, წარმოუდგენლად ეფექტური - ფიშინგური შეტევა მიმართული იყო ტიბეტში ადამიანის უფლებადამცველების და სხვა აქტივისტების წინააღმდეგ. შეტევა დაიწყო ფიშინგური ელ-შეტყობინებით (იხ. მარცხნივ) Gmail-ის სტანდარტული მისამართიდან, რომელიც შეიცავდა მხოლოდ ბმულს გამოსახულებით ფაილზე. დაწკაპუნების შემდეგ ბმულს სამიზნე გადაჰყავდა Google-ის ელ-ფოსტის სისტემაში ყალბ შესასვლელთან (იხ. შუაში), რომელიც გამოიყენებოდა პროფილის წვდომის პარამეტრების მოსაპარად. თუ მსხვერპლი შეიტანდა პარამეტრებს ყალბ გვერდზე, მისი პროფილი მარტივად იქნებოდა გატეხილი. საკუთარი მომხმარებლის სახელის და პაროლის ყალბ გვერდზე ჩაწერის შემდეგ მსხვერპლი გადამისამართდებოდა გამოსახულებაზე (იხ. მარჯვნივ), რომელზეც ნაჩვენები იყო ტიბეტში შეხვედრის დელეგატები. გამოსახულება გამოყენებული იყო სატყუარად, რათა ფიშინგის სამიზნეს დაეჯერებინა, რომ შევიდნენ Google-ში საკუთარ რეალურ პროფილზე და შემცირებულიყო შესაძლო ეჭვები ელ-შეტყობინების ნამდვილი საზიანო ხასიათის შესახებ.

როგორ შეგვიძლია ფიშინგის იდენტიფიკაცია?

ფიშინგი შესაძლოა ავბედითად და აღმოსაჩენად შეუძლებლად ჟღერს, თუმცა, არსებობს რამდენიმე მარტივი ნაბიჯი, რომელიც შესაძლოა გადადგას ყველამ თქვენს ორგანიზაციაში შეტევების უმეტესობისაგან დასაცავად. ფიშინგისაგან დაცვის ქვემოთ მოცემული რჩევები მოდიფიცირებული და აღებულია Freedom of the Press Foundation-ის მიერ შემუშავებული ფიშინგის სიღრმისეული სახელმძღვანელოდან, უნდა გაეცნოს თქვენს ორგანიზაციას (და სხვა კონტაქტებს) და უნდა ინტეგრირდეს თქვენს უსაფრთხოების გეგმაში:

ხანდახან, ველი „ვისგან“ გატყუებთ

გაითვალისწინეთ, რომ თქვენი ელ-შეტყობინებების ველი „ვისგან“ შესაძლოა იყოს გაყალბებული, რათა შეგიყვანოთ შეცდომაში. ფიშერებისათვის ჩვეული ამბავია შეადგინონ ელ-ფოსტის მისამართი, რომელიც თქვენთვის ნაცნობია და ლეგიტიმურად გამოიყურება, თუმცა, მცირედ დამახინჯებულია. მაგალითად, შესაძლოა, მიიღოთ ელწერილი ვიღაცისაგან მისამართით „[email protected]" ნაცვლად „[email protected]”-ისა. ყურადღება მიაქციეთ ზედმეტ „O“-ს „google“-ში. ასევე შესაძლოა იცნობდეთ ვინმეს ელ-ფოსტის მისამართით „[email protected]”, თუმცა, მიიღოთ ფიშინგ ელ-შეტყობინება იმიტატორისაგან მისამართიდან „[email protected]” - ერთადერთი განსხვავებაა ასოების შეუმჩნეველი ცვლილება ბოლოში. მუდამ გადაამოწმეთ, რომ იცნობთ ელ-შეტყობინების გამომგზავნ მისამართს ელ-შეტყობინების გახნამდე. მსგავსი კონცეფცია ეხება ფიშინგს ტექსტის, ზარების თუ მესინჯერი აპების საშუალებით. თუ მიიღებთ შეტყობინებას უცნობი ნომრიდან, დაფიქრდით ორჯერ პასუხის გაცემამდე ან შეტყობინებაზე ინტერაქციამდე.

უფრთხილდით დანართებს

დანართებში შესაძლოა იყოს საზიანო პროგრამა ან ვირუსი, რომლებიც, ჩვეულებრივ, თან სდევს ფიშინგ ელ-შეტყობინებებს. დანართებიდან საზიანო პროგრამის თავიდან აცილების საუკეთესო მეთოდია მათი არასდროს ჩამოტვირთვა. როგორც წესი, ნუ გახსნით რომელიმე დანართს დაუყონებლივ, განსაკუთრებით, თუ ისინი მიიღეთ თქვენთვის უცნობი ადამიანებისაგან. თუ შესაძლებელია, სთხოვეთ პიროვნებას, რომელმაც გამოგიგზავნათ დოკუმენტი გადაიტანოს ტექსტის ასლი ელწერილში ან გააზიაროს დოკუმენტი Google Drive-ის ან Microsoft OneDrive-ის მსგავსი სერვისის საშუალებით, რომლებსაც გააჩნია საკუთარ პლატფორმებზე ატვირთული თითქმის ყველა დოკუმენტის ვირუსზე სკანირება. დანერგეთ დანართების მიმართ უნდობლობის ორგანიზაციული კულტურა.

თუ დანართი აუცილებლად უნდა გახსნათ, ის უნდა გაიხსნას მხოლოდ უსაფრთხო გარემოში (იხ. სექცია „ღდამატებით“ ქვემოთ), სადაც შესაძლოა საზიანო პროგრამა ვერ გადავიდეს თქვენს მოწყობილობაზე.

თუ იყენებთ Gmail-ს და მიიღებთ დანართს ელ-შეტყობინებით, მისი თქვენს კომპიუტერში ჩამოტვირთვის და გახსნის ნაცვლად უბრალოდ დააწკაპუნეთ დართულ ფაილზე და წაიკითხეთ „preview”-ი თქვენს ბრაუზერში. აღნიშნული ნაბიჯი საშუალებას მოგცემთ გაეცნოთ ფაილის ტექსტს და შინაარსს მისი ჩამოტვირთის და მისთვის თქვენს კომპიუტერში შესაძლო საზიანო პროგრამის ჩატვირთვის გარეშე. ეს კარგი მეთოდია word-ის, PDF-ის და სლაიდებით პრეზენტაციების ფაილებისთვისაც კი. თუ გესაჭიროებათ დოკუმენტის რედაქტირება, გახსენით ფაილი ქლაუდ-პროგრამით, როგორიცაა Google Drive-ი და მოახდინეთ ფაილის კონვერტაცია Google Doc-ად ან Google Slides-ად.

თუ იყენებთ Outlook-ს, შეგიძლიათ მსგავსად წინასწარ იხილოთ დანართები მათი Outlook-დან ჩამოტვირთვის გარეშე. თუ გესაჭიროებათ დანართის რედაქტირება, გახსენით ის OneDrive-ში, თუ ის ხელმისაწვდომია თქვენთვის. თუ იყენებთ Yahoo Mail-ს, ქმედითია იგივე კონცეფცია. ნუ ჩამოტვირთავთ დანართებს, არამედ წინასწარ იხილეთ ისინი ვებ ბრაუზერის საშუალებით. მიუხედავად იმისა თუ რა ინსტრუმენტებია თქვენთვის ხელმისაწვდომი, საუკეთესო მიდგომაა უბრალოდ არასდროს ჩამოტვირთოთ დანართები, რომლებიც უცნობია ან რომლებსაც არ ენდობით და მიუხედავად იმისა რამდენად მნიშვნელოვნად შესაძლოა გამოიყურებოდეს დანართი, არასდროს გახსნათ რაიმე თქვენთვის უცნობი ან მანამდე გამოუყენებელი ფაილის;

ფიშინგისაგან დაცვა თქვენი ორგანიზაციისათვის

თუ თქვენი ორგანიზაცია იყენებს კორპორაციულ Microsoft 365-ს ელ-შეტყობინებებისათვის და სხვა აპლიკაციებს, თქვენმა დომენის ადმინისტრატორმა უნდა შეიმუშაოს უსაფრთხო დანართების პოლიტიკა სახიფათო დანართებისაგან თავის დასაცავად. თუ იყენებთ კორპორაციულ Google Workspace-ს (მანამდე ცნობილი, როგორც GSuite-ი), არსებობს მსგავსად ეფექტური ოფცია, რომელიც უნდა შეიმუშაოს თქვენმა ადმინისტრატორმა და მას Google Security Sandbox-ი ეწოდება. უფრო გამოცდილ ინდივიდუალურ მომხმარებლებს შეუძლიათ იფიქრონ რთული სენდბოქს პროგრამების გამართვაზე, როგორიცაა Dangerzone-ი ან, მათთვის, ვისაც აქვთ Windows 10-ის პრო- ან კორპორაციული ვერსია, Windows Sandbox-ი.

კიდევ ერთი გასათვალისწინებელი მოწინავე ოფციაა თქვენს ორგნიზაციაში დომენის დასახელების დაცული სისტემის (DNS-ი) გაფილტვრის სერვისი. ორგანიზაციებს შეუძლიათ გამოიყენონ ხსენებული ტექნოლოგია, რათა დაბლოკონ მასალა შემთხვევით დაშვებული ან ინტერაქციაში მოხვედრილი საზიანო კონტენტიდან, რაც იძლევა ფიშინგისაგან დაცვის დამატებით შრეს. ახალი სერვისები, როგორიცაა Cloudflare’s Gateway-ი, აძლევს ასეთ შესაძლებლობებს ორგანიზაციებს დიდი თანხების მოთხოვნის გარეშე (Gateway-ი, მაგალითად, უფასოა 50-მდე მომხმარებლის შემთხვევაში). დამატებითი უფასო ინსტრუმენტები, მათ შორის, Global Cyber Alliance-ის კომპლექტის Quad9-ი გეხმარებათ დაბლოკოთ წვდომა ცნობილ დავირუსებულ ან სხვა საზიანო პროგრამების მომცველ გვერდებზე და შესაძლოა დააყენოთ ხუთ წუთზე ნაკლებ დროში.

ფრთხილად დაწკაპუნებისას

სკეპტიკურად შეაფასეთ ბმულები ელწერილებში ან სხვა ტექსტურ შეტყობინებებში. ბმულები შესაძლოა შენიღბული იყოს საზიანო ფაილების ჩამოსატვირთად ან გადაგიყვანოთ ყალბ გვერდებზე, სადაც შესაძლოა გთხოვონ პაროლის ან სხვა სენსიტიური ინფორმაციის მიწოდება. კომპიუტერთან მიმართებაში არსებობს მარტივი ეშმაკობა იმაში დასარწმუნებლად, რომ ელ-შეტყობინებაში ან შეტყობინებაში მოცემული ბმული გადაგაგზავნით ნავარაუდევ ადგილას: გამოიყენეთ მაუსი და მიიტანეთ ბმულზე დაწკაპუნებამდე და ნახეთ თქვენი ბრაუზერის ფანჯრის ძირში რეალური URL (იხ. სურათი ქვემოთ).

Outlook inbox photo

უფრო რთულია ბმულების შემოწმება მობილური აპარატით მიღებულ ელ-შეტყობინებაში მათზე შემთხვევით დაწკაპუნების გარეშე - ამიტომ იყავით ყურადღებით. შეგიძლიათ შეამოწმოთ ბმულის დანიშნულების პუნქტი სმარტფონების უმეტესობაში ბმულზე ხანგრძლივი დაჭერით (შეკავებით) მანამ, სანამ არ გამოჩნდება სრული URL-ი.

SMS-ით და მესინჯერით ფიშინგისას შემოკლებული ბმულები მეტად გავრცელებული პრაქტიკაა URL-ის დანიშნულების პუნქტის შესანიღბად. თუ ხედავთ მოკლე ბმულს (მაგ., bit.ly-ი ან tinyurl.com-ი) ნავვლად სრული URL-ის, არ დააწკაპუნოთ მასზე. თუ ბმული მნიშვნელოვანია, გადაიტანეთ მისი ასლი URL-ის გამაფართოებელში, როგორიცაა https://www.expandurl.net/, რათა ნახოთ შემოკლებული URL-ის რეალური დანიშნულების პუნქტი. გარდა ამისა, ნუ დააწკაპუნებთ თქვენთვის უცნობი ვებგვერდების ბმულებზე. ეჭვის შემთხვევაში მოიძიეთ გვერდი ბრჭყალებში გვერდის დასახელებით (მაგ.: “www.badwebsite.com”-ი), რათა ნახოთ არის თუ არა ის ლეგიტიმური გვერდი. ასევე შეგიძლიათ გაატაროთ პოტენციურად საეჭვო ბმულები VirusTotal-ის URL-ის სკანერში. ეს არაა 100 პროცენტიანი გარანტია, თუმცა, სიფრთხილის მისაღებად ღირებული ნაბიჯია.

და ბოლოს, თუ დააწკაპუნებთ შეტყობინებაში მოცემულ ნებისმიერ ბმულზე და გთხოვენ შეხვიდეთ რომელიმე სისტემაში, არ გააკეთოთ ეს, სანამ არ იქნებით 100 პროცენტით დარწმუნებული, რომ ელ-შეტყობინება ლეგიტიმურია და გადაგაგზავნით შესაფერის გვერდზე. არაერთი ფიშინგური შეტევა გაწვდით ბმულებს, რომლებიც გადაგაგზავნით Gmail-ის, Facebook-ის თუ სხვა პოპულარული ვებგვერდების სისტემაში შესვლის ყალბ გვერდებზე. ნუ წამოეგებით ანკესზე. მუდამ შეგიძლიათ გახსნათ სხვა ბრაუზერი და თავად პირდაპირ გადახვიდეთ ნაცნობ გვერდზე, როგორიცაა Gmail.com, Facebook.com და სხვა, თუ გსურთ ან გესაჭიროებათ სისტემაში შესვლა. ეს ასევე მიგიყვანთ კონტენტამდე, უსაფრთხოდ – რა თქმა უნდა, თუ ის იყო ლეგიტიმური.

როგორ მოვიქცეთ ფიშინგური შეტყობინების მიღებისას?

თუ ვინმე თქვენს ორგანიზაციაში მიიღებს არასასურველ დანართს, ბმულს, გამოსახულებას ან სხვა მხრივ საეჭვო შეტყობინებას ან ზარს, მნიშვნელოვანია, რომ მან დაუყონებლივ აცნობოს მის შესახებ თქვენს ორგანიზაციაში IT-ის უსაფრთხოებაზე პასუხისმგებელ პირს. თუ არ გყავთ ასეთი პირი, უნდა გამოყოთ ასეთი პირი უსაფრთხოების თქვენი გეგმის შემუშავების პროცესში. პერსონალს ასევე შეუძლია აცნობოს ელ-შეტყობინების, როგორც სპამის ან ფიშინგის შესახებ უშუალოდ Gmail-ში ან Outlook-ში.

უმნიშვნელოვანესია იქონიოთ გეგმა, თუ როგორ უნდა მოიქცეს პერსონალი ან მოხალისეები, როდესაც მიიღებენ შესაძლო ფიშინგ შეტყობინებას. გარდა ამისა, გირჩევთ მიიღოთ ფიშინგთან ბრძოლის ხსენებული აღიარებული მეთოდიკა - არ დააწკაპუნოთ საეჭვო ბმულებზე, თავი აარიდოთ დანართებს და შეამოწმოთ მისამართი ველში „ვისგან“ - და გაუზიაროთ ისინი მათ, ვინც მუშაობს თქვენთან, სასურველია ფართოდ გამოყენებული საკომუნიკაციო არხებით. ხსენებული უჩვენებს, რომ ზრუნავთ ხალხზე, რომელთანაც ხართ კომუნიკაციაში და ახალისებს კულტურას თქვენს საზოგადოებაში ფიშინგის საფრთხის გაცნობიერებით. თქვენი უსაფრთხოება დამოკიდებულია ორგანიზაციებზე, რომლებსაც ენდობით და პირიქით. უკეთესი მეთოდიკა იცავს ყველას.

გარდა ზემოთ მოცემული რჩევების პერსონალისა და მოხალისეებისათვის გაზიარებისა, ასევე შეგიძლიათ დანერგოთ ფიშინგის იდენტიფიკაცია Google Phishing Quiz-ით. ასევე დაბეჯითებით გირჩევთ გამართოთ პერსონალის რეგულარული ტრენინგი ფიშინგის საკითხებზე, რათა შემოწმდეს ინფორმირებულობა, ხოლო ხალხი იყოს ფხიზლად. აღნიშნულ ტრენინგს შესაძლოა მიეცეს ოფიციალური სახე, როგორც რეგულარულად ორგანიზებული შეხვედრების ნაწილი ან გაიმართოს უფრო არაოფიციალურ ატმოსფეროში. მნიშვნელოვანია, რომ მთელი ორგანიზაცია კომფორტულად გრძნობდეს თავს ფიშინგის შესახებ კითხვების დასმისას, მის თაობაზე ინფორმირებისას (მაშინაც კი, როცა გრძნობენ, რომ შესაძლოა დაუშვეს შეცდომა, როგორიცაა ბმულზე დაწკაპუნება) და რომ შეეძლოს დაგეხმაროთ თქვენი ორგანიზაციის დაცვაში ხსენებული ძლიერი გავლენის და საფრთხის მაღალი ალბათობისაგან.

ფიშინგი

  • აწარმოეთ პერსონალის რეგულარული ტრენინგი მასზედ, თუ რა არის ფიშინგი, როგორ ამოვიცნოთ ის და დავიცვათ მისგან თავი, მათ შორის, ფიშინგი ტექსტურ შეტყობინებებში, მესინჯერებში და სატელეფონო ზარებში და არა მხოლოდ ელ-შეტყობინებებში.
  • ხშირად შეახსენეთ პერსონალს იმ აღიარებული მეთოდების შესახებ, როგორიცაა:
    • ნუ ჩამოტვირთავთ უცნობ ან პოტენციურად საეჭვო დანართებს.
    • შეამოწმეთ ბმულის URL-ი დაწკაპუნებამდე. ნუ დააწკაპუნებთ უცნობ ან პოტენციურად საეჭვო ბმულებზე.
    • ნუ მიაწვდით სენსიტიურ ან პირად ინფორმაციას ელ-ფოსტით, ტექსტით ან ტელეფონის ზარით უცნობ ან დაუდასტურებელ მისამართებს ან ხალხს.
  • წაახალისეთ ფიშინგის შესახებ რეპორტინგი.
    • დაადგინეთ დარეპორტების მექანიზმი და ორგანიზაციაში ფიშინგზე პასუხისმგებელი პირი.
    • წაახალისეთ რეპორტინგი და ნუ დასჯით წარუმატებლობისას.