Ежегодно фишинг-атаки приводят к значительным убыткам в секторе бизнеса.
Например, для Google и Facebook связанные с фишингом убытки превышают $100 млн. Бельгийский Creland Bank отдал киберпреступникам более $75 млн. А австрийский производитель комплектующих для аэрокосмических систем FACC потерял больше $61 млн. Что приводит к таким колоссальным убыткам? Каждая из этих компаний стала жертвой различных и дорого им обошедшихся фишинг-атак.
Что такое фишинг-атака?
Фишинг – это вид хакерской атаки, при которой мошенники пытаются уловками заставить пользователя выполнить те или иные действия. В большинстве случаев атака осуществляется посредством электронных писем, которые рассылаются в больших количествах для обмана ничего не подозревающих людей. Вы, должно быть, слышали о «нигерийских принцах», которые предлагают наследство или баснословные богатства за небольшую «комиссию».
Однако с тех пор, как его величество впервые появилось на просторах интернета, фишинг значительно преобразился. И сегодня существует масса разновидностей фишинг-атак, нацеленных на бизнес-сектор. Одни происходят через электронные письма и сайты, другие через СМС и телефонные звонки.
Цель таких атак – обманным путем заполучить личные данные человека для кражи денег с его счетов. Сегодня индустрия киберпреступлений достигла небывалых масштабов. Согласно отчетам Cybersecurity Ventures, в 2021 году глобальные убытки от действий хакеров составят $6 триллионов. Львиная доля из которых придется на фишинг.
Но что конкретно имеется в виду, когда речь заходит о фишинге? Какие типы атак используются для обмана пользователей каждый день?
Давайте разберемся.
10 типов фишинг-атак, которые могут навредить вашему бизнесу
Итак, мы составили список из 10 самых распространенных фишинг-атак. Его задача – познакомить вас с максимальным количеством мошеннических схем и в общих чертах описать принцип их работы, чтобы вы могли при случае их распознать и отличить от других типов мошеннических действий.
Список представлен в произвольном порядке, и опасность той или иной схемы никак не связана с её порядковым номером.
Что ж, раз с этим разобрались… Давайте приступать.
1. Поддельное деловое письмо
Первый тип фишинг-атак, о котором мы хотели бы поговорить, это поддельные деловые письма. Их злоумышленник отправляет менеджерам нижнего звена – обычно сотрудникам финансового или бухгалтерского отдела. При этом хакер подписывает письмо именем директора компании, члена совета директоров или высокопоставленного менеджера. Цель такого письма – обманом вынудить получателя перевести денежные средства на подложный счет. Только задумайтесь: согласно данным ФБР, ежегодно в одних только США такие атаки приводят к миллиардным убыткам.
2. Клон-фишинг
Суть клон-фишинга заключается в попытке использования настоящих писем и сообщений, которые жертва уже получала ранее, для создания их вредоносных версий. Для атаки составляется виртуальная реплика уже существующего сообщения – отсюда и название. Затем хакер отправляет поддельное письмо с правдоподобно выглядящего электронного адреса. Текст письма остается тот же, но вот только все ссылки и вложения в нем заменяются на вредоносные.
Киберпреступник часто объясняет повторную отсылку письма тем, что в прошлой версии он вставил неправильную ссылку, тем самым побуждая жертву перейти по новой ссылке. Казалось бы, такой обман довольно легко раскусить. Но на деле на эту удочку ловится немало неосторожных пользователей.
3. Подмена домена
Следующий тип атак заключается в подмене домена (адреса сайта). Обычно проводится через электронную почту или мошеннические сайты. Атака заключается в подмене хакером адреса компании или организации таким образом, чтобы:
Электронные письма выглядели так, будто их отправили с официального адреса компании;
Поддельный сайт выглядел как реальный сайт компании; в том числе такой сайт имеет URL-адрес, похожий на настоящий.
Как такое возможно? В случае атаки через почту, мошенник подделывает письмо, чтобы казалось, будто оно отправлено из официального ящика компании. Во втором случае, хакер сначала создает поддельный сайт, который выглядит максимально похоже на оригинальный (при этом адрес такого сайта незначительно отличается от настоящего; например, apple.co вместо apple.com).
4. Злой близнец
Судя по названию, можно подумать, что эта атака не слишком отличается от клон-фишинга. Но на самом деле разница довольно существенная. В отличие от предыдущих схем, «злой близнец» осуществляется через Wi-Fi. Для проведения атаки, создается поддельная точка доступа Wi-Fi, которая маскируется под настоящую. При подключении к ней, хакер получает доступ к личной или корпоративной информации без ведома пользователя. Ещё эту схему называют «Старбакс-атакой», так как мошенники часто маскируются под Wi-Fi кофеен.
Для подключения к поддельной точке доступа используется тот же SSID-идентификатор, что и к настоящей. И когда ничего не подозревающий посетитель входит в интернет, он тем самым открывает доступ к своим личным данным, паролям и кредитным картам.
5. HTTPS-фишинг
58% фишинговых сайтов используют протокол передачи данных HTTPS. Чтобы заманить жертву на такой сайт, мошенники рассылают электронные письма со ссылкой на него. Причем часто письмо не содержит ничего, кроме самой ссылки (она может быть как кликабельной, так и требовать копирования и вставки в адресную строку; последний вариант реже замечают спам-фильтры).
Зачем вообще переходить по таким ссылкам? Дело в том, что мошенники отправляют такие письма с адресов, похожих на почтовые ящики знакомых жертвы. Например, на почтовый ящик босса или коллеги. Различия могут быть минимальны, и невнимательный пользователь часто их не замечает.
6. Смишинг
СМС-фишинг (или «Смишинг») – это тип фишинг-атаки, фокусирующийся на СМС и мессенджерах. В частности, хакеры нередко шлют сообщения, маскирующиеся под маркетинговую рассылку от различных компаний. Таким образом мошенник обманом заставляет человека скачать вредоносное ПО по ссылке, представленной в сообщении. При этом в тексте сообщения обычно указывается нечто заманчивое, например, «перейдите по ссылке и получите купон на 20% скидку» или «получите шанс выиграть бесплатные билеты на шоу».
Хороший способ распознать поддельное сообщение – проверить номер, с которого оно было отправлено. И лучше вообще не отвечать на любые хоть немного подозрительные сообщения. Если вы не подписывались на уведомления или рассылку от компании, никогда не переходите по ссылкам, указанным в СМС. А если сомневаетесь, то вспомните наставление, которое родители и учителя давали вам в детстве: не разговаривайте с незнакомцами.
7. Спирфишинг
Спирфишинг (или «фишинг копьем») – это нацеленный тип атаки. В отличие от массово рассылаемых фишинговых писем, которые спамеры отправляют максимальному количеству людей, спирфишинг заключается в отправке индивидуализированных сообщений конкретному человеку или компании. Перед этим мошенник пытается узнать о жертве любую возможную информацию, а затем составляет заголовок и текст письма таким образом, чтобы человеку захотелось его открыть и перейти по ссылке или открыть вложения в нем.
Чем так опасен спирфишинг? Дело в том, что 91% от всех кибератак начинаются именно со спирфишинга. Когда человек переходит по подозрительной ссылке, на его компьютер устанавливается вредоносное или шпионское ПО, благодаря которому хакер получает доступ к информации и счетам жертвы. К сожалению, традиционные методы защиты редко помогают предотвратить подобные атаки, так как они всегда нацелены на конкретного человека, и спам-фильтры их попросту не замечают.
8. Вишинг
Мы уже рассказали что такое смишинг – атака посредством СМС. Примерно по тому же принципу работает и вишинг – голосовой фишинг (“voice phishing”). Хакер звонит жертве и просит жертву предоставить свою личную или финансовую информацию. Обычно для первоначального контакта используется система автоматического дозванивания, и если человек клюет на схему, то его уже подключают к мошеннику напрямую. Помимо телефонных звонков, для вишинга также используются мессенджеры, а также различные методы по подделке или маскировке номера телефона.
Такие атаки также предполагают применение различных методов т. н. социальной инженерии (предварительного добывания различных данных о жертве перед атакой). Затем эта информация используется для выманивания личных данных о человеке. Например, мошенник может прикинуться кем-нибудь другим – сотрудником вашего банка или, скажем, директором, который якобы работает в другом филиале вашей компании. Нередко с вас будут требовать несуществующие налоговые или кредитные задолженности, а также данные банковской карты под предлогом «проверки». Стоит ли говорить, что не стоит вестись у них на поводу. Сразу же прекращайте разговор при малейших подозрениях.
9. «Водопой»
Менее распространенный тип фишинг-атаки, вдохновленный типичной ситуацией в животном мире. Представьте себе стадо зебр или антилоп у водоема. Они осторожно подбираются ближе к воде, чтобы напиться. Одна зебра подходит слишком близко и отделяется от стада. И тут из-под поверхности воды выпрыгивает крокодил, хватает жертву и утаскивает её на дно.
И, как вы уже догадались, в этом сценарии потенциальной жертвой выступаете именно вы.
-
Хакер взламывает сторонний сайт
- Вы захотите на этот сайт и скачиваете вредоносное ПО
- ПО устанавливается на ваш компьютер
- Мошенник начинает собирать личные и финансовые данные
- Вирус распространяется на другие компьютеры.
«Водопой» вредит компаниям следующим образом:
-
Хакер узнает, какие сайты сотрудники организации посещают чаще всего;
- А затем заражает один из них вредоносным ПО.
Например, целью заражения может стать поставщик услуг, которыми часто пользуется ваша компания. При переходе на зараженный сайт на компьютер пользователя автоматически загружается вирус. Это даст хакеру доступ к серверам компании и хранящейся на них личной и финансовой информации.
Будут ли заходить на сайт другие люди, не имеющие отношения к компании? Вероятно. Но с точки зрения киберпреступников, это лишь щепки, которые летят при рубке леса.
10. Вэйлинг
Вэйлинг – это ещё одна форма спирфишинга. По сути, она представляет собой противоположность схемы с поддельным деловым письмом, описанной в первом пункте. Этот метод нацелен не на сотрудников нижнего звена, а на высокопоставленных директоров. Задача хакера – выманить из жертвы важную финансовую или корпоративную информацию. При этом цели проходят тщательный отбор по причине их высокого положения в компании. Проводится вэйлинг обычно через электронные письма или поддельные домены.
Как и при спирфишинге, изначально о цели собирается максимально возможный объем информации (обычно из социальных сетей). Как минимум, перед отправкой письма мошеннику нужно узнать имя жертвы, должность, основные интересы и круг знакомств. Так разговор будет выглядеть более натуральным.
Этим список разновидностей фишинг атак не исчерпывается (например, мы не поговорили о сноушуинге). Однако вариации мошеннических схем можно перечислять до бесконечности, потому давайте остановимся на десяти.
Как обезопасить себя от фишинг-атак
По-настоящему надежная и эффективная кибербезопасность состоит из нескольких слоев. Вот несколько вещей, которые вы можете сделать, чтобы ваша информация не попала в руки злоумышленников:
Обучите сотрудников правилам корпоративной безопасности
Это должно быть чем-то само собой разумеющимся, но повторить не будет лишним, так как это по-прежнему кажется камнем преткновения для некоторых предприятий: обучайте своих сотрудников. Всех и каждого, от уборщиц до исполнительных директоров.
Пользуйтесь сертификатами подписи электронной почты
Как мы упоминали ранеее, от фишинговых писем помогут защититься сертификаты подписи. Они также известны как S/MIME-сертификаты и используются для шифрования содержимого писем (и любых вложений), а также для цифровой подписи любых сообщений.
Ниже пример письма, которое мне отправил босс. Оно подписано электронным сертификатом:
Под именем отправителя есть специальная графа “Signed By”. В ней указан подтвержеднный электронный адрес отправителя. Если навести на него мышью, то появится сообщение «Проверенная цифровая подпись. Нажмите, чтобы увидеть подробности». При нажатии выскочит следующее окно:
При клике на кнопку «Детали», вы увидите более подробное описание слоев защиты цифровой подписи.
Другие советы по предотвращению фишинг-атак:
-
Менеджер паролей. Надежный менеджер паролей позволяет пользователям хранить и использовать сложные и разные пароли для каждого профиля без необходимости их запоминать.
- Двухфакторная аутентификация. При её включении, в систему можно войти только после успешного прохождения не менее двух следующих этапов:
- Ввод пароля или кодовая фраза;
- Подтверждение мобильным приложением, смарт-картой, личным жетоном и т. д.;
- Сканирование отпечатка пальца или сетчатки глаза.
- Инфраструктура политики отправителей. Это тип подтверждения электронной почты, который позволяет пользоваться электронным адресом только определенным людям.
- Подтверждение подозрительных сообщений по официальным каналам. Если вам поступил сомнительный звонок от сотрудника вашего банка, положите трубку и перепозвоните в банк по телефону, указанному на пластиковой карте. Если директор в электронном письме просит вас перевести ему деньги или передать важные данные, сначала свяжитесь с его помощником для уточнения деталей. Никогда не пользуйтесь контактной информацией, которую предоставляет вам потенциальный мошенник.
- Пользуйтесь безопасными сайтами с шифрованием. Убедитесь, что посещаемые вами сайты безопасны. Такой сайт использует протокол HTTPS вместо HTTP. А собственный сайт можно обезопасить с помощью сертификатов SSL/TLS, которые защищают данные, передаваемые между сервером и конечным пользователем.