теми

Міцна основа: захист облікових записів і пристроїв

Фішинг: поширена загроза для пристроїв та облікових записів

Останнє оновлення: липень 2022 року

Фішинг є найпоширенішою та найефективнішою атакою на організації в усьому світі. Цей метод використовується як дрібними шахраями, так і найбільш просунутими військовими спеціалістами на державному рівні. Простими словами фішинг трапляється, коли супротивник намагається обманом змусити вас надати інформацію, що може бути використана проти вас або вашої організації. Фішинг може відбуватися через електронні листи, текстові повідомлення/SMS (SMS-фішинг або «смішинг»), програми для обміну повідомленнями, як-от WhatsApp, повідомлення чи публікації в соціальних мережах або телефонні дзвінки (голосовий фішинг або «вішинг»). Фішингові повідомлення спонукають вас ввести конфіденційну інформацію (наприклад, паролі) на підробленому вебсайті, щоб отримати доступ до облікового запису, просять надати особисту інформацію (наприклад, номер кредитної картки) голосовим або текстовим повідомленням, або переконують вас завантажити шкідливу програму (шкідливе програмне забезпечення), яке може заразити ваш пристрій. В якості нетехнічного прикладу: щодня мільйони людей отримують фальшиві автоматичні телефонні дзвінки, в яких їм повідомляється, що їхній банківський рахунок зламано або що їхню особисту інформацію викрадено, – для того, щоб обманом змусити необізнаних людей поділитися конфіденційною інформацією.

 Фішинг і громадянське суспільство

Image of phishing email to Tibetan civil society

Складні, персоналізовані фішингові атаки щодня спрямовані на групи громадянського суспільства по всьому світу.

Один із прикладів такої атаки наведено в звіті The Citizen Lab за 2018 рік Шпигунство за бюджетні кошти: секрети фішингової операції, націленої на представників тибетського суспільства. Ця дуже недорога і проста, але неймовірно ефективна фішингова атака була спрямована проти тибетських правозахисників та інших активістів. Атака почалася з фішингового електронного листа (показаного ліворуч), надісланого зі стандартної адреси Gmail, що містив лише посилання на файл зображення. Після натискання посилання спрямовує ціль на підроблену сторінку входу в електронну пошту Google (на зображенні посередині), що використовується для викрадення логіну й паролю облікового запису. Якби жертви надали облікові дані на підробленій сторінці, їхні облікові записи було б легко зламано. Після введення імені користувача та пароля на підробленому вебсайті жертви перенаправляються на зображення (показане праворуч) делегатів на тибетській зустрічі. Зображення було додано як приманка, щоб змусити об’єктів фішингу повірити, що вони зайшли у свій справжній обліковий запис Google, і зменшити будь-які можливі підозри щодо шкідливого характеру електронного листа.

Як виявити фішинг?

Метод фішингу може здатися зловісним і таким, що неможливо виявити, але є кілька простих кроків, які кожен у вашій організації може вжити, щоб захиститися від більшості атак. Наведені нижче поради щодо захисту від фішингу підготовлено на основі поглибленого посібника з фішингу, розробленого Freedom of the Press Foundation. З ними слід ознайомити співробітників вашої організації (й інших контактних осіб) та інтегрувати їх у ваш план безпеки:

Іноді поле «від» містить фальшиві дані

Майте на увазі, що поле «від» у ваших електронних листах може бути підробленим або зміненим, щоб обдурити вас. Зазвичай фішери використовують адресу електронної пошти, що дуже схожа на звичайну, яка знайома вам, лише з невеликою орфографічною помилкою, щоб обдурити вас. Наприклад, ви можете отримати електронний лист від особи з адресою «[email protected]», а не «[email protected]». Зверніть увагу на кілька додаткових «О» у слові «google». Ви також можете знати особу з електронною адресою «[email protected]», але отримати фішинговий електронний лист від імітатора, який зареєстрував адресу «[email protected]» — єдиною відмінністю є ледь помітна зміна літери в кінці слова. Перш ніж відкривати листа, завжди перевіряйте, чи знаєте ви адресу відправлення електронної пошти. Такий самий підхід використовується для викриття фішингу за допомогою текстових повідомлень, дзвінків або програм для обміну повідомленнями. Якщо ви отримали повідомлення з невідомого номера, подумайте двічі, перш ніж відповідати на повідомлення або натискати на вкладення в ньому.

Остерігайтеся вкладень

Вкладення можуть містити шкідливі програми та віруси, та зазвичай супроводжують фішингові електронні листи. Найкращий спосіб уникнути шкідливих програм із вкладених файлів — ніколи їх не завантажувати. Візьміть собі за правило не відкривати одразу будь-які вкладення, особливо якщо вони надходять від людей, яких ви не знаєте. За можливості, попросіть особу, яка надіслала вам документ, скопіювати та вставити текст в електронний лист або поділитися документом через такі служби, як Google Drive або Microsoft OneDrive, які мають вбудовану антивірусну перевірку більшості документів, завантажених на їхні платформи. Створіть організаційну культуру, в якій вкладення до електронних листів не заохочуються.

Якщо вам обов’язково потрібно відкрити вкладення, його слід відкривати лише в безпечному середовищі (див. розділ «Вищий рівень» далі), в якому потенційна шкідлива програма не зможе бути запущена на вашому пристрої.

Якщо ви використовуєте Gmail і отримуєте вкладення в електронному листі, замість того, щоб завантажувати його та відкривати на своєму комп’ютері, просто клацніть вкладений файл і прочитайте його в режимі «попереднього перегляду» у вебоглядачі. Цей крок дозволяє переглядати текст і вміст файлу без завантаження й можливості запуску шкідливої програми на вашому комп’ютері. Такий метод добре діє для документів Word, PDF-файлів і навіть презентацій із показом слайдів. Якщо вам потрібно відредагувати документ, ви можете відкрити файл у хмарній програмі, як-от Google Drive, і перетворити файл на Google Doc або Google Slides.

Якщо ви використовуєте Outlook, ви також можете попередньо переглядати вкладення, не завантажуючи їх із вебклієнта Outlook. Якщо вам потрібно відредагувати вкладення, спробуйте відкрити його в OneDrive, якщо він встановлений у вас. Якщо ви використовуєте Yahoo Mail, застосовуйте той самий метод. Не завантажуйте вкладення, а перегляньте їх у вебоглядачі. Незалежно від того, які інструменти є у вашому розпорядженні, найкращим підходом є просто ніколи не завантажувати вкладення від осіб, яких ви не знаєте або яким не довіряєте. Незалежно від того, наскільки важливим здається вкладення, ніколи не відкривайте щось із типом файлу, який ви не впізнаєте або не маєте наміру використовувати. 

Захист від фішингу для вашої організації

Якщо ваша організація використовує корпоративну версію Microsoft 365 для електронної пошти та інших програм, адміністратор домену повинен налаштувати Політику безпечних вкладень для захисту від небезпечних вкладень. Якщо ви використовуєте корпоративну версію Google Workspace (раніше відому як GSuite), в ньому є так само ефективна функція, яку ваш адміністратор повинен налаштувати, під назвою Google Security Sandbox. Більш досвідчені користувачі можуть розглянути можливість налаштування ізольованого програмного середовища просунутого рівня, як-от Dangerzone або, для версії Windows 10 Pro чи Enterprise, Windows Sandbox.

Ще один просунутий варіант, який можна розглянути для застосування у вашій організації, — це служба фільтрації безпечної системи доменних імен (DNS). Організації можуть використовувати цю технологію для блокування дій персоналу для попередження випадкового доступу або взаємодії із шкідливим вмістом, що забезпечує додатковий рівень захисту від фішингу. Нові служби, як-от Gateway від Cloudflare надають такі можливості організаціям, не вимагаючи великих сум грошей (програма Gateway, наприклад, безкоштовна для 50 користувачів). Додаткові безкоштовні інструменти, в тому числі Quad9 із Global Cyber Alliance Toolkit, допоможе вам заблокувати доступ до відомих сайтів, які містять віруси чи інші шкідливі програми, і можуть бути встановлені менше ніж за п’ять хвилин.

Натискайте обережно

Скептично ставтеся до посилань в електронних листах чи інших текстових повідомленнях. Посилання можуть бути замасковані для завантаження шкідливих файлів або переходу на підроблені сайти, що можуть вимагати від вас надати паролі чи іншу конфіденційну інформацію. Коли ви користуєтеся комп’ютером, існує простий трюк, щоб переконатися, що посилання в електронному листі чи повідомленні спрямує вас туди, куди потрібно: наведіть вказівник миші на посилання, перш ніж натиснути на нього, і подивіться внизу вікна вебоглядача, щоб побачити фактичну URL-адресу (див. зображення нижче).

Outlook inbox photo

Перевірити посилання в електронному листі на мобільному пристрої, не натиснувши випадково, складніше, тому будьте обережні. Ви можете перевірити, куди веде посилання, на більшості смартфонів, довгим натисненням (утриманням) посилання, доки не з’явиться повна URL-адреса.

У разі фішингу через SMS і програми обміну повідомленнями скорочені посилання є дуже поширеною практикою, що використовується для маскування цільової URL-адреси. Якщо ви бачите коротке посилання (наприклад, bit.ly або tinyurl.com) замість повної URL-адреси, не натискайте на нього. Якщо посилання важливе, скопіюйте його в розширювач URL-адрес, наприклад https://www.expandurl.net/, щоб побачити, куди фактично веде скорочена URL-адреса. Крім того, не натискайте посилання на вебсайти, незнайомі вам. Якщо ви сумніваєтеся, виконайте пошук сайту, взявши назву сайту в лапки (наприклад: «www.badwebsite.com»), щоб перевірити, чи це справжній вебсайт. Також можна запускати потенційно підозрілі посилання у сканері URL-адрес VirusTotal. Сканер не забезпечує 100-відсоткової точності, але є хорошим запобіжним заходом.

Нарешті, якщо ви клацнете на посилання в повідомленні й вас попросять увести облікові дані на якомусь вебсайті, не робіть цього, якщо ви не впевнені на 100 відсотків, що електронний лист є непідробленим і спрямовує вас на відповідний вебсайт. Багато фішингових атак надають посилання, що спрямовують на підроблені сторінки входу в Gmail, Facebook або на інші популярні вебсайти. Не ведіться на це. Ви завжди можете відкрити новий вебоглядач і самостійно перейти безпосередньо на відомий сайт, як-от Gmail.com, Facebook.com тощо, якщо хочете чи вам потрібно ввійти на них. Це також безпечно спрямує вас до вмісту, – якщо він був непідробленим від початку.

Що робити в разі отримання фішингового повідомлення?

Якщо будь-хто у вашій організації отримує небажане вкладення, посилання, зображення, інше підозріле повідомлення чи дзвінок, важливо негайно повідомити про це спеціалісту з ІТ-безпеки вашої організації. Якщо у вас немає такої особи, слід призначити її під час розроблення плану безпеки. Співробітники також можуть повідомити про електронний лист як про спам або фішинг безпосередньо в Gmail або Outlook.

Дуже важливо мати план того, що повинні робити співробітники або волонтери, якщо/коли вони отримають можливе фішингове повідомлення. Крім того, ми рекомендуємо скористатися найкращими методами фішингу — не натискати на підозрілі посилання, уникати вкладень і перевіряти адресу «від». Поділіться цими порадами з іншими людьми, з якими ви працюєте, бажано через широко використовуваний канал зв’язку. Це покаже, що ви дбаєте про людей, з якими спілкуєтеся, і заохочуєте впровадження культури у своїх мережах для усвідомлення небезпеки фішингу. Ваша безпека залежить від організацій, яким ви довіряєте, і навпаки. Кращі методи захищають усіх.

Окрім того, щоб поділитися наведеними вище порадами з усіма співробітниками та волонтерами, ви також можете потренуватися розпізнавати фішинг за допомогою Тесту фішингу від Google. Ми також наполегливо рекомендуємо організовувати регулярні тренінги з фішингу з персоналом, щоб перевірити обізнаність і заохотити людей бути пильними. Таке навчання може проводитися формально у формі регулярних організаційних зустрічей або більш неформально. Важливо, щоб усі в організації відчували себе комфортно, коли вони ставлять запитання про фішинг, повідомляють про фішинг (навіть якщо вони вважають, що могли зробити помилку, наприклад, натиснувши посилання), і що кожен може допомогти захистити вашу організацію від цієї загрози високого ризику і високої ймовірності.

Фішинг

  • Регулярно навчайте персонал тому, що таке фішинг, як його виявити та захиститися від нього, зокрема фішинг у текстових повідомленнях, програмах для обміну повідомленнями та телефонних дзвінках, а не лише в електронній пошті.
  • Часто нагадуйте персоналу про найкращі практики, як-от:
    • Не завантажувати невідомі або потенційно підозрілі вкладення.
    • Перевіряти URL-адресу посилання, перш ніж клацнути її. Не натискати на невідомі або потенційно підозрілі посилання.
    • Не надавати секретну чи конфіденційну інформацію в електронних листах, текстових повідомленнях або телефонних дзвінках невідомим чи непідтвердженим адресам або людям.
  • Заохочувати повідомляти про фішинг.
    • Створити в організації механізм звітності та призначити особу для отримання повідомлень про фішинг.
    • Винагороджувати за повідомлення, а не карати за невдачу.