Чем лучше вы проинформированы, тем сложнее вас обмануть. Вместе с Microsoft рассказываем всё, что вам нужно знать о фишинге.
Что такое фишинг и чем он опасен
Фишинг — это распространённый вид кибермошенничества, целью которого является компрометация учётных записей и перехват контроля над ними, кража данных кредитных карт или любой другой конфиденциальной информации.
Чаще всего злоумышленники используют электронную почту: например, рассылают письма от имени известной компании, заманивая пользователей на её фальшивый сайт под предлогом выгодной акции. Жертва не распознаёт подделку, вводит логин и пароль от своего аккаунта, и таким образом пользователь сам передаёт данные мошенникам.
Пострадать может каждый. Автоматизированные фишинговые рассылки чаще всего ориентированы на широкую аудиторию (сотни тысяч или даже миллионы адресов), но встречаются и атаки, направленные на конкретную цель. Чаще всего в качестве таких целей выступают топ‑менеджеры или другие сотрудники, у которых есть привилегированный доступ к корпоративным данным. Такую персонифицированную стратегию фишинга называют вейлингом (англ. whaling), что переводится как «ловля китов».
Последствия фишинговых атак бывают сокрушительными. Мошенники могут прочитать вашу личную переписку, разослать фишинговые сообщения вашему кругу контактов, снять деньги с банковских счетов и вообще действовать от вашего имени в широком смысле. Если вы управляете бизнесом, то рискуете ещё больше. Фишеры способны украсть корпоративные секреты, уничтожить важные файлы или слить данные ваших клиентов, что ударит по репутации компании.
Согласно отчётуPhishing Activity Trends Report Антифишинговой рабочей группы, только за последнюю четверть 2019 года специалисты по кибербезопасности обнаружили более 162 тысяч мошеннических сайтов и 132 тысяч email‑рассылок. За это время жертвами фишинга стали около тысячи компаний со всего мира. Остаётся только гадать, сколько атак не было обнаружено.
Эволюция и виды фишинга
Термин «фишинг» произошёл от английского слова fishing («рыбалка»). Этот вид мошенничества действительно напоминает ловлю рыбы: злоумышленник забрасывает наживку в виде поддельного сообщения или ссылки и ждёт, пока пользователи не клюнут.
Но на английском «фишинг» пишется немного иначе: phishing. Вместо буквы f используется диграф ph. По одной версии, это отсылка к слову phony («обманщик», «жулик»). По другой — к субкультуре ранних хакеров, которых называли phreakers («фрикеры»).
Считается, что впервые термин «фишинг» публично использовали в середине 1990‑х годов на конференциях Usenet. В то время мошенники начали первые фишинговые атаки, их целью были клиенты американского интернет‑провайдера AOL. Злоумышленники рассылали сообщения с просьбой подтвердить учётные данные, выдавая себя за сотрудников компании.
С развитием интернета появлялись всё новые виды фишинговых атак. Мошенники начали подделывать целые сайты и освоили разные каналы и сервисы коммуникации. Сегодня можно выделить такие разновидности фишинга.
- Email‑фишинг. Мошенники регистрируют почтовый адрес, похожий на адрес известной компании или знакомого выбранной жертвы, и рассылают с него письма. При этом по имени отправителя, оформлению и содержимому поддельное письмо может быть почти идентичным оригиналу. Только внутри есть ссылка на фейковый сайт, заражённые вложения или прямая просьба выслать конфиденциальные данные.
- СМС‑фишинг (смишинг). Эта схема аналогична предыдущей, но вместо email используется СМС. Абонент получает от неизвестного (обычно короткого) номера сообщение с запросом конфиденциальных данных или со ссылкой на поддельный сайт. К примеру, злоумышленник может представиться банком и запросить проверочный код, который вы получили ранее. На самом деле код нужен мошенникам, чтобы взломать ваш банковский аккаунт.
- Cоцмедиа‑фишинг. С распространением мессенджеров и социальных сетей фишинговые атаки наводнили и эти каналы. Злоумышленники могут связаться с вами через поддельные или взломанные аккаунты известных организаций либо ваших друзей. В остальном принцип атаки не отличается от предыдущих.
- Телефонный фишинг (вишинг). Мошенники не ограничиваются текстовыми сообщениями и могут вам позвонить. Чаще всего для этой цели используют интернет‑телефонию (VoIP). Звонящий может выдать себя, к примеру, за сотрудника службы поддержки вашей платёжной системы и запросить данные для доступа к кошельку — якобы для проверки.
- Поисковый фишинг. Столкнуться с фишингом можно прямо в поисковой выдаче. Достаточно кликнуть по ссылке, которая ведёт на поддельный сайт и оставить на нём личные данные.
- Pop‑up фишинг. Злоумышленники часто используют всплывающие окна (pop‑up). Посетив сомнительный ресурс, вы можете увидеть баннер, который обещает некую выгоду — например, скидки или бесплатные товары — от имени известной компании. Перейдя по этой ссылке, вы попадёте на сайт, который контролируют злоумышленники.
- Фарминг. Не связанной напрямую с фишингом, но также весьма распространённой атакой является фарминг. В этом случае злоумышленник подделывает данные DNS, автоматически перенаправляя пользователя вместо оригинальных сайтов на поддельные. Жертва не видит никаких подозрительных сообщений и баннеров, что повышает эффективность атаки.
Фишинг продолжает эволюционировать. Например, мошенники научились лучше маскировать вредоносные материалы в поисковой выдаче: в топ выводят легитимные ссылки, которые ведут пользователя к фишинговым сайтам с помощью множества переадресаций.
Кроме того, злоумышленники начали автоматически генерировать фишинговые ссылки и точные копии электронных писем на качественно новом уровне, который позволяет эффективнее обманывать пользователей и обходить средства защиты.
Как защититься от фишинга
Повышайте свою техническую грамотность. Как говорится, кто предупреждён, тот вооружён. Изучайте информационную безопасность самостоятельно или обращайтесь к экспертам за консультациями. Даже просто уверенные знания основ цифровой гигиены могут уберечь от множества неприятностей.
Соблюдайте осторожность. Не переходите по ссылкам и не открывайте вложения в письмах от неизвестных собеседников. Внимательно проверяйте контактные данные отправителей и адреса посещаемых сайтов. Не отвечайте на просьбы выдать личные данные, даже когда сообщение выглядит правдоподобно. Если у вас запрашивает информацию представитель компании, лучше позвоните в её кол‑центр и сообщите о ситуации. Не кликайте по всплывающим окнам.
Применяйте пароли с умом. Используйте уникальный и надёжный пароль для каждого аккаунта. Подпишитесь на сервисы, которые предупреждают пользователей, если пароли от их учётных записей появляются в Сети, и сразу же меняйте код доступа, если он оказался скомпрометированным.
Настройте многофакторную аутентификацию. Эта функция защищает аккаунт дополнительно, например, с помощью одноразовых паролей. В этом случае каждый раз при входе в учётную запись с нового устройства, помимо пароля, придётся вводить четырёх- или шестисимвольный код, присланный вам по СМС или сгенерированный в специальном приложении. Это может показаться не очень удобным, зато такой подход защитит вас от 99% распространённых атак. Ведь если мошенники украдут пароль, они всё равно не смогут войти без проверочного кода.
Используйте средства беспарольного входа. В тех сервисах, где это возможно, следует вообще отказаться от использования паролей, заменив их на аппаратные ключи безопасности или аутентификацию через приложение на смартфоне.
Используйте антивирусное ПО. Своевременно обновляемый антивирус отчасти поможет защитить компьютер от вредоносных программ, которые перенаправляют на фишинговые сайты или воруют логины и пароли. Но помните, что главная ваша защита — это всё-таки соблюдение правил цифровой гигиенты и следование рекомендациям по кибербезопасности.
Если вы руководите бизнесом
Для владельцев бизнеса и руководителей компаний также будут полезны следующие советы.
Обучайте сотрудников. Объясните подчинённым, каких сообщений стоит избегать и какую информацию нельзя отправлять по email и другим каналам связи. Запретите сотрудникам использовать корпоративную почту в личных целях. Проинструктируйте их по поводу работы с паролями. Также стоит продумать политику хранения писем: к примеру, в целях безопасности можно удалять сообщения старше определённого срока.
Проводите учебные фишинговые атаки. Если хотите проверить реакцию сотрудников на фишинг, попробуйте сымитировать атаку. К примеру, зарегистрируйте почтовый адрес, похожий на свой, и отправьте с него письма подчинённым с просьбой сообщить вам конфиденциальные данные.
Выберите надёжную почтовую службу. Бесплатные email‑провайдеры слишком уязвимы для деловой переписки. Компаниям стоит выбирать только защищённые корпоративные сервисы. К примеру, пользователям почтовой службы Microsoft Exchange, входящей в пакет Office 365, доступна комплексная защита от фишинга и других угроз. Чтобы противостоять мошенникам, Microsoft ежемесячно анализирует сотни миллиардов писем.
Наймите эксперта по кибербезопасности. Если позволяет бюджет, найдите квалифицированного специалиста, который обеспечит постоянную защиту от фишинга и других киберугроз.
Что делать, если вы стали жертвой фишинга
Если есть основания считать, что ваши данные попали в чужие руки, действуйте незамедлительно. Проверьте свои устройства на вирусы и смените пароли от аккаунтов. Сообщите сотрудникам банка, что ваши платёжные данные могли украсть. При необходимости проинформируйте клиентов о возможной утечке.
Чтобы такие ситуации не повторялись, выбирайте надёжные и современные сервисы для организации совместной работы. Лучше всего подойдут продукты со встроенными механизмами защиты: работать будет максимально удобно и не придётся рисковать цифровой безопасностью.