темы

Прочная основа: защита учетных записей и устройств

Фишинг: распространенная угроза для устройств и учетных записей

Последнее обновление: июль 2022 г.

Фишинг является наиболее распространенным и эффективным методом атаки на организации по всему миру. Этим методом пользуются как специализированные государственные военные организации, так и мелкие мошенники. Попросту говоря, фишинг – это попытка противника обманным путем заставить вас поделиться информацией, которая может быть использована против вас или вашей организации. Фишинг может осуществляться с помощью электронной почты, текстовых сообщений/SMS (SMS-фишинг, или «смишинг»), приложений для обмена сообщениями, например WhatsApp, сообщений или публикаций в социальных сетях или телефонных звонков (голосовой фишинг, или «вишинг»). Фишинговые сообщения могут быть направлены на то, чтобы вынудить пользователя ввести конфиденциальную информацию (например, пароли) на фальшивом веб-сайте для получения доступа к учетной записи, попросить его озвучить или написать личную информацию (например, номер кредитной карты) или убедить загрузить вредоносные программы (вредоносное программное обеспечение), которые могут заразить устройство. Нетехнический пример: каждый день миллионы людей получают мошеннические автоматические телефонные звонки, сообщающие, что их банковский счет взломан или личные данные украдены. Цель всего этого – обманом вынудить неосмотрительных людей сообщить конфиденциальную информацию.

 Фишинг и гражданское общество

Image of phishing email to Tibetan civil society

Организации гражданского общества ежедневно становятся целями изощренных персонализированных фишинговых атак по всему миру.

Одна из таких атак освещена в отчете The Citizen Lab за 2018 год, Шпионаж за бюджетом: внутри фишинговой операции, направленной против тибетской общины. Эта очень недорогая и простая, но при этом невероятно эффективная фишинговая атака была направлена против тибетских правозащитников и других активистов. Атака началась с фишингового электронного письма (слева), отправленного со стандартного адреса Gmail и содержавшего только ссылку на файл изображения. При нажатии на ссылку пользователь попадал на фальшивую страницу входа в электронную почту Google (по центру), которая использовалась для кражи учетных данных. Собственноручное введение учетных данных пользователями на фальшивой странице значительно упростило взлом их учетных записей. После указания своего имени пользователя и пароля на фальшивом сайте жертвы перенаправлялись на страницу с фотографией делегатов собрания тибетской общины (справа). Эта фотография являлась приманкой, целью которой было заставить жертвы фишинга поверить, что они действительно вошли в свою учетную запись Google, и снизить вероятность подозрений относительно вредоносного характера электронного письма.

Как распознать фишинг?

Фишинг может казаться чем-то зловещим и неуловимым, однако существует ряд простых шагов, которые может предпринять каждый сотрудник вашей организации, чтобы обезопасить себя от большинства атак. Следующие советы по защите от фишинга представляют собой измененные и дополненные рекомендации из «Полного руководство по фишинговым атакам», созданного Freedom of the Press Foundation. Мы рекомендуем вам поделиться этими рекомендациями со всеми сотрудниками вашей организацией (а также другими контактными лицами) и включить их в ваш план обеспечения безопасности:

Иногда поле «от» вам лжет

Имейте в виду, что поле «от» в электронных письмах может содержать фальшивую информацию, чтобы обмануть вас. Как правило, чтобы обмануть вас, фишеры создают адрес электронной почты, который очень похож на настоящий, хорошо вам знакомый, но содержит незначительные ошибки. Например, вы можете получить электронное письмо, в котором указан адрес отправителя «[email protected]» вместо «[email protected]». Обратите внимание на лишнюю букву «о» в слове «google». Или, например, у вас есть знакомый с адресом электронной почты «[email protected]», а фишинговое электронное письмо приходит от мошенника с адреса «[email protected]». Единственное отличие заключается в незначительном изменении последних букв. Прежде чем продолжить, обязательно перепроверьте, знаком ли вам адрес отправителя электронного письма. Принципы осуществления фишинга с помощью текстовых сообщений, звонков и приложений для обмена сообщениями являются аналогичными. Получив сообщение с незнакомого номера, дважды подумайте, стоит ли отвечать или как-либо взаимодействовать с сообщением.

Остерегайтесь вложений

Вложения могут содержать вредоносные программы и вирусы и, как правило, присутствуют в фишинговых электронных письмах. Самый эффективный способ уберечься от вредоносных программ во вложениях – никогда не загружать их. Возьмите себе за правило не открывать сразу никаких вложений, особенно если они содержатся в письмах от незнакомых людей. По возможности попросите отправителя документа скопировать и вставить текст в само электронное письмо или поделиться документом через такие службы, как Google Drive или Microsoft OneDrive, в которых предусмотрена встроенная функция проверки на вирусы большинства документов, загружаемых на их платформы. Создайте в организации культуру, не поощряющую использование вложений.

Если же вам абсолютно необходимо открыть вложение, делайте это только в безопасной среде (см. раздел «Дополнительно» ниже), в которой невозможно развертывание потенциальных вредоносных программ.

Если вы используете Gmail и получили электронное письмо с вложением, то вместо того чтобы загружать его и открывать на своем компьютере, просто нажмите на прикрепленный файл и ознакомьтесь с ним в окне «предварительного просмотра» в браузере. Эта функция позволит вам просмотреть текст и содержимое файла, не загружая его и не позволяя ему загрузить на ваш компьютер потенциальные вредоносные программы. Это отлично работает с текстовыми документами, PDF-файлами и даже презентациями в виде слайд-шоу. Если документ необходимо отредактировать, попробуйте открыть файл с помощью облачных служб, например Google Drive, и преобразовать файл в формат Google Doc или Google Slides.

Если вы используете Outlook, вы можете аналогичным образом просматривать вложения, не загружая их из веб-клиента Outlook. Если вложение необходимо отредактировать, попробуйте открыть его в OneDrive, если у вас есть такая возможность. Для пользователей Yahoo Mail применим тот же принцип. Не загружайте вложения, а просматривайте их в веб-браузере. Независимо от имеющихся в распоряжении инструментов, лучше всего просто никогда не загружать незнакомые или не вызывающие доверия вложения. И невзирая на то, насколько важным может казаться вложение, никогда не открывать файлы незнакомого вам типа, которые вы не можете распознать и не планируете использовать. 

защита от фишинга для вашей организации

Если в вашей организации для работы с электронной почтой и другими приложениями используется Microsoft 365, администратор домена должен настроить Правило безопасных вложений чтобы обезопасить сотрудников от вредоносных вложений. Для корпоративных пользователей Google Workspace (ранее известного как Gsuite) предусмотрена аналогичная эффективная функция под названием Google Security Sandbox, параметры которой также должен настроить администратор.. Отдельные, более продвинутые, пользователи могут попробовать использовать более сложные программы-песочницы, например Dangerzone или Windows Sandbox для пользователей версии Pro либо Enterprise ОС Windows 10.

Еще один вариант, внедрение которого можно рассмотреть организации, – это служба фильтрации для системы доменных имен (DNS). Организации могут использовать эту технологию, чтобы заблокировать сотрудникам возможность случайного доступа или взаимодействия с вредоносным контентом, обеспечив таким образом дополнительный уровень защиты от фишинга. Новые службы, например Gateway от Cloudflare предоставляют такие возможности организациям, не требуя больших денежных вложений (Gateway, к примеру, предоставляется бесплатно для 50 пользователей). Дополнительные бесплатные инструменты, в том числе Quad9 от Global Cyber Alliance Toolkit, помогут заблокировать доступ к известным сайтам, содержащим вирусы или другие вредоносные программы, и внедряется меньше чем за пять минут.

Переходите по ссылкам с осторожностью

Скептически относитесь к ссылкам в электронных письмах или других текстовых сообщениях. Ссылки могут быть замаскированы для загрузки вредоносных файлов или перехода на фальшивые сайты, где может потребоваться предоставить пароли или другую конфиденциальную информацию. При работе за компьютером существует простой способ убедиться, что ссылка в электронном письме или сообщении направит вас именно туда, куда должна: прежде чем нажать на ссылку, наведите на нее курсор мыши и посмотрите в нижнюю часть окна браузера, где отобразится фактический URL-адрес (см. изображение ниже).

Outlook inbox photo

Проверить ссылки в электронном письме на мобильном устройстве, не нажав на них случайно, сложнее, так что будьте осмотрительны. На большинстве смартфонов можно проверить назначение ссылки, нажав и удерживая ссылку, пока не появится полный URL-адрес.

При осуществлении фишинга с помощью SMS или приложений для обмена сообщениями нередко используются сокращенные ссылки, чтобы скрыть назначение URL-адреса. Никогда не нажимайте на сокращенную ссылку (например, bit.ly или tinyurl.com), получив ее вместо полного URL-адреса. Если ссылка представляет важность, скопируйте ее в расширитель URL-адресов, например https://www.expandurl.net/, чтобы проверить фактическое назначение сокращенного URL-адреса. Кроме того, рекомендуется не переходить по ссылкам на незнакомые веб-сайты. Если вы в чем-то сомневаетесь, выполните поиск сайта, указав его в кавычках (например: «www.badwebsite.com»), и вы увидите, является ли этот веб-сайт легальным. Вы также можете пропускать потенциально подозрительные ссылки через сканер URL-адресов VirusTotal. Это не гарантирует 100-процентную точность, но является хорошей мерой предосторожности.

Наконец, если вы все-таки нажмете на ссылку из сообщения и вас попросят войти в систему, не делайте этого, если не уверены на 100 процентов, что электронное письмо является легальным и действительно перенаправит вас на соответствующий сайт. В ходе фишинговых атак нередко используются ссылки на фальшивые страницы входа в Gmail, Facebook или другие популярные сайты. Не переходите по ним. Вы всегда можете открыть новую страницу в браузере и перейти непосредственно на известный сайт типа Gmail.com, Facebook.com и т. д., если возникло желание или необходимость войти в систему. Это также поможет вам безопасно ознакомиться с контентом, если он является, в первую очередь, легальным.

Что делать при получении фишингового сообщения?

Если в вашей организации кто-либо получил нежелательное вложение, ссылку, изображение или иное подозрительное сообщение или звонок, следует незамедлительно сообщить об этом ответственному за ИТ-безопасность в организации. Если в вашей организации такой специалист не предусмотрен, следует включить соответствующую должность при разработке плана обеспечения безопасности. Получив такое электронное письмо, сотрудники также могут сообщить о спаме или фишинге непосредственно в Gmail или Outlook.

Крайне важно предусмотреть план действий сотрудников или волонтеров на случай получения потенциально фишингового сообщения. Кроме того, мы рекомендуем использовать следующие передовые методы защиты от фишинга: не нажимать на подозрительные ссылки, избегать вложений, проверять адрес в строке «от» и делиться информацией с коллегами, предпочтительно через общий коммуникационный канал. Такое поведение демонстрирует вашу заботу о людях, с которыми вы общаетесь, и способствует развитию корпоративной культуры, поощряющей бдительность и осведомленность об опасностях фишинга. Ваша безопасность зависит от тех организаций, которым вы доверяете, и наоборот. Передовой опыт защищает всех.

Помимо того, чтобы поделиться приведенными выше советами со всеми сотрудниками и волонтерами, вы также можете попрактиковаться в выявлении фишинга с помощью фишинговый тест Google. Мы также настоятельно рекомендуем проводить регулярные тренинги по фишингу с сотрудниками, чтобы проверять их осведомленность и поддерживать бдительность. Такие тренинги можно оформить как часть регулярных организационных совещаний или проводить их в более неформальной обстановке. Важно, чтобы все в организации чувствовали себя комфортно, задавая вопросы о фишинге, сообщая о фишинге (даже если считают, что могли совершить ошибку, например, перейдя по ссылке), и чтобы каждый мог помочь защитить организацию от возможных последствий и вероятных угроз.

Фишинг

  • Регулярно рассказывайте сотрудникам о фишинге, методах его обнаружения и защиты от него, включая фишинг с помощью текстовых сообщений, приложений для обмена сообщениями и телефонных звонков, а не только электронной почты.
  • Почаще напоминайте сотрудникам о передовых методах, например:
    • Не загружать неизвестные или потенциально подозрительные вложения.
    • Не загружать неизвестные или потенциально подозрительные вложенияПроверять URL-адрес ссылки, прежде чем нажимать на нее. Не переходить по неизвестным или потенциально подозрительным ссылкам.
    • Не предоставлять конфиденциальную или личную информацию по электронной почте, в текстовых сообщениях или по телефону неизвестным либо неподтвержденным адресам или людям.
  • Призывать сотрудников сообщать о фишинге.
    • Создать в своей организации механизм фишинговой отчетности и назначить ответственное лицо в организации.
    • Поощрять сообщения, а не наказывать за ошибки.