CSO: как распознать и предотвратить фишинговую атаку

0
15

Фишинг — это кибератака, которая использует замаскированную электронную почту в качестве оружия, пишет CSO. Цель состоит в том, чтобы обмануть получателя электронной почты, заставив его поверить, что сообщение — это то, что ему нужно — например, запрос от банка или записка от кого-то из компании, — и щелкнуть ссылку или загрузить вложение.

Что действительно отличает фишинг, так это форма, которую принимает сообщение: злоумышленники маскируются под некое доверенное лицо, часто реальное, или компанию.

Некоторые фишинговые мошенники преуспели в своем деле:

  • Одна из самых серьезных фишинговых атак в истории произошла в 2016 году, когда хакерам удалось заставить председателя кампании Хиллари Клинтон Джона Подеста применить свой пароль Gmail.
  • Изначально считалось, что атака — массовый взлом аккаунтов — в ходе которой были опубликованы интимные фотографии ряда знаменитостей, была результатом отсутствия безопасности на серверах Apple iCloud, но на самом деле оказалась итогом ряда успешных попыток фишинга.
  • В 2016 году сотрудники Университета Канзаса ответили на фишинговое электронное письмо и передали доступ к информации о депозите, в результате чего они потеряли заработную плату.

Что такое набор для фишинга?

Наличие так называемого набора для фишинга позволяет киберпреступникам, даже с минимальными техническими навыками, запускать фишинговые кампании. Набор для фишинга объединяет ресурсы и инструменты фишингового сайта, которые необходимо установить только на сервере. После установки злоумышленнику нужно лишь отправить электронные письма потенциальным жертвам. Наборы фишинга, а также списки рассылки доступны в даркнете.

11.jpg (118 KB)

Анализ фишинговых наборов позволяет группам безопасности отслеживать, кто их использует. "Одна из самых полезных вещей, которую мы можем извлечь из анализа наборов фишинга, — это то, куда отправляются учетные данные. Отслеживая адреса электронной почты, мы соотносим участников с конкретными кампаниями. Хакеры обычно используют заголовок "От" как подпись, что позволяет нам находить несколько наборов, созданных одним автором", — поделился старший инженер по исследованиям и разработкам в Duo Labs Джордан Райт.

Типы фишинга

Если среди фишинговых атак есть общий знаменатель, это маскировка. Злоумышленники подделывают свой адрес электронной почты так, что кажется, будто он исходит от кого-то другого, создают поддельные веб-сайты, похожие на те, которым доверяет жертва, и использует иностранные наборы символов для маскировки URL-адресов.

Есть несколько различных способов разбить атаки на категории. Один из них — цель попытки фишинга. Как правило, фишинговая кампания пытается заставить жертву сделать одно из двух:

Передать конфиденциальную информацию. Эти сообщения направлены на то, чтобы обмануть пользователя и раскрыть важные данные — часто имя пользователя и пароль, которые злоумышленник может использовать для взлома системы или учетной записи. Классическая версия этого мошенничества включает в себя отправку электронного письма, похожего на сообщение крупного банка; рассылая спам миллионам людей, злоумышленники гарантируют, что по крайней мере некоторые из получателей будут клиентами этого банка. Жертва нажимает на ссылку в сообщении и попадает на вредоносный сайт, похожий на веб-страницу финучреждения, а затем вводит свое имя пользователя и пароль. Атакующий теперь может получить доступ к аккаунту жертвы.

Загрузить вредоносное ПО. Подобно большому количеству спама, эти типы фишинговых писем направлены на заражение компьютера жертвы вредоносным ПО. Часто сообщения имеют "мягкую направленность" — они могут быть отправлены сотруднику отдела кадров с приложением, которое, например, является резюме соискателя. Эти вложения часто представляют собой ZIP-файлы или документы Microsoft Office с вредоносным встроенным кодом.

22.jpg (225 KB)

Целевой фишинг – фишеры определяют свои цели (иногда применяя информацию с сайтов, таких как LinkedIn) и используют поддельные адреса для отправки электронных писем, которые похожи на те, что приходят от сотрудников. Например, такая фишинговая атака может быть направлена на кого-то в финансовом отделе, а хакер в этом случае будет выдавать себя за менеджера, требующего крупный банковский перевод в короткие сроки.

"Whale phishing" — является одной из форм фишинг-атаки, нацеленной на руководителей. Именно члены правления компаний считаются особенно уязвимыми: они имеют большой авторитет в компании, но, поскольку они не работают полный рабочий день, они часто используют личные адреса электронной почты для деловой переписки, которая не имеет защиты, предлагаемой корпоративной электронной почтой.

Как предотвратить фишинговую атаку

Лучший способ научиться распознавать фишинговые письма — это изучать примеры. Их можно найти на веб-сайте, поддерживаемом отделом технологических услуг Университета Лихай, где они хранят галерею фишинговых писем, полученных студентами и сотрудниками.

Есть ряд рекомендаций, придерживаясь которых вы сможете предотвратить фишинговую атаку:

  • Всегда проверяйте правильность написания URL-адресов в ссылках электронной почты, прежде чем нажимать или вводить конфиденциальную информацию.
  • Следите за переадресацией URL, где вас отправляют на другой сайт с идентичным дизайном.
  • Если вы получили электронное письмо от известного вам источника, но оно кажется подозрительным, свяжитесь с этим источником с помощью нового сообщения, а не просто нажмите "Ответить".
  • Не публикуйте в социальных сетях личные данные, такие как ваш день рождения, планы на отпуск, ваш адрес или номер телефона.

Если вы работаете в отделе ИТ-безопасности своей компании, вы можете принять упреждающие меры для защиты организации, в том числе:

  • Проверка входящей электронной почты, безопасности каждой ссылки, на которую переходит пользователь.
  • Проверка и анализ веб-трафика.
  • Ручное тестирование вашей организации, чтобы найти слабые места и использовать результаты для обучения сотрудников.
  • Награда за хорошее поведение, возможно, путем демонстрации "улова дня", если кто-то обнаружит фишинговое письмо.

33.jpg (297 KB)