Что такое фишинг и как его используют мошенники в интернете - разоблачение
Сегодня, с изменением того, как люди теперь работают, многие сотрудники работают полностью удаленно, фишеры и хакеры используют все возможные средства для эксплуатации уязвимостей, которые могут быть в системах безопасности. Поэтому вопрос осведомленности пользователей о возможных фишинговых атаках стоит как никогда остро.
Что такое фишинг
Фишинг — это тип кибератаки, при которой преступники используют электронную почту, мгновенные сообщения или SMS, чтобы обманом заставить людей отказаться от личных данных, обычно путем нажатия вредоносной ссылки. Благодаря развитию технологий, фишинговые электронные письма становятся все более убедительными, поэтому этот вид киберпреступности набирает обороты.
Фишинг — это также инструмент, который хакеры используют для запуска атак программ-вымогателей, в результате которых организации блокируют доступ к файлам и требуют выкуп за доступ. А фишинговые атаки попытка обмануть сотрудников с целью свободно предоставить данные, такие как имена пользователей, пароли, реквизиты банковского счета и информации о сети.
Как и почему проводится фишинговая атака?
Фишинг обычно включает следующие шаги:
Киберпреступник использует рассылку спама и массовую рассылку для сбора адресов электронной почты от клиентов или сотрудников законной компании.
Затем фишер выдает себя за компанию в цифровом виде. Скорее всего, это будет связано с клонированием их веб-сайта и имитацией официальных адресов электронной почты.
Атака начинается с сообщения жертве, предлагая ей передать информацию на веб-сайт или адрес электронной почты самозванца, например, войдя в систему.
Затем личная информация используется для совершения кражи личных данных, мошенничества или для других злонамеренных целей.
Фишинг становится все более распространенным явлением в деловом мире, тем более что многие компании сейчас работают с данными. Целью фишинга обычно является получение финансовой выгоды - хакер может использовать данные, чтобы вывести деньги с ваших счетов или продать их конкурентам в темной сети.
Это не всегда так - корпоративный фишинг иногда используется как метод «хактивизма», практика, при которой хакеры крадут данные, чтобы выявить сбои в ИТ-инфраструктуре компании или выразить неприятие деловой активности. Иногда фишинг также используется для корпоративного шпионажа.
Фишинговые атаки делятся на несколько типов и разновидностей, которые в большинстве случаев могут пересекаться друг с другом.
Типы фишинга
В зависимости от массовости атаки выделяют:
Массовый фишинг - один из наиболее распространенных типов фишинга, используемых хакерами просто потому, что это быстро и легко.
Киберпреступники отправят один и тот же сконструированный формат множеству целей в надежде, что кто-то из них попадется на «крючок». Это обычное электронное письмо, которое отправляется множеству людей и обычно содержит вредоносную ссылку или вложение, побуждающее человека щелкнуть вредоносный контент, поскольку, по их мнению, он из надежного источника. Контент выглядит законным, поскольку злоумышленники полагаются на методы спуфинга, чтобы информация выглядела достоверной. Заголовки электронной почты будут созданы для имитации официального брендинга организаций, чтобы пользователи не сомневались в подлинности контента. Если пользователь считает, что предоставленная информация является подлинной, и переходит к щелчку по содержимому в электронном письме, это может привести к взлому и краже данных или к получению файлов злоумышленником.
Хотя этот метод не является очень сложным подходом, это атака, на которую люди, к сожалению, все равно попадаются, и злоумышленники все еще часто получают финансовую выгоду.
Целевой фишинг или «удар копьем» (Spear Phishing). Обобщенный термин «фишинг» относится к киберпреступникам, которые случайным образом ищут потенциальную уловку с минимальными усилиями по планированию. Spear Phishing действует как полная противоположность и фокусируется на стратегическом планировании на период в несколько месяцев, чтобы получить более эффективный и успешный улов. Это относится к моменту, когда киберпреступники становятся все более продвинутыми в своих методах, тратя больше времени на одну конкретную организацию или отдельную цель, которая связана с «копьем» в названии. Если киберпреступники тратят больше времени на сбор информации об одной организации или человеке, то это обычно означает, что они будут нацелены на высокодоходный бизнес, от которого можно получить больше.
Эти типы атак обычно очень успешны, так как зависят от количества времени, которое злоумышленники тратят на создание каждого своего движения, чтобы убедиться, что каждый шаг правильный, прежде чем начать атаку. Spear Phishing — это более сложная версия обычной фишинговой атаки, поскольку она требует больше знаний и возможностей.
Разновидности фишинга
В зависимости от используемых методов и уловок фишинг можно разделить на следующие разновидности.
Vishing
Вишинг (термин происходит от сочетания слов «фишинг» и «голос»)— это когда мошенник использует голосовые сообщения или телефонные звонки, чтобы попытаться украсть личные данные и финансовую информацию, такую как ваш PIN-код, и данные карты.
Вишинг — это, в частности, использование службы VOIP (голосовая связь по Интернет-протоколу или Интернет-телефония), которая позволяет мошенникам общаться со своими потенциальными жертвами с помощью автоматических голосовых сообщений и клавиатуры телефона.
Вишеры могут создавать поддельные профили идентификаторов вызывающих абонентов, чтобы их номер телефона казался законным, а запросы на вишер звучали срочно, чтобы жертва паниковала и заставляла действовать бездумно.
Примеры вишинга:
- Ваш банковский счет был взломан.
Вам звонят с номера телефона известного банка. Когда вы ответите, вы услышите запись, в которой говорится, что ваш банковский счет был взломан, и вам нужно позвонить по бесплатному номеру телефона, чтобы сбросить данные безопасности. Позвонив по этому номеру, вы услышите еще одно автоматическое сообщение с запросом на клавиатуре телефона номера вашего банковского счета, защитного кода или других личных данных.
- Вы имеете право на получение ссуды.
Вам предлагают кредит или условия кредита слишком хороши, чтобы быть правдой (так, вероятно, и есть), и чтобы получить деньги, вам просто нужно внести предоплату или предоставить свои данные безопасности.
- Вы должны вернуть деньги.
Вы получаете сообщение о том, что вам необходимо вернуть деньги. Обычно это человек, утверждающий, что он из доверенной организации. Если вы согласитесь - обычно нажав номер на телефоне - вы будете перенаправлены к агенту колл-центра, который попытается обмануть вас или украсть вашу информацию.
- Не упустите эту инвестиционную возможность.
Автоматическое голосовое сообщение сообщает вам об инвестиционной возможности, которая слишком хороша, чтобы от нее отказаться. Вам будет предложено перевести деньги для инвестирования в компанию или услугу, которых не существует.
- Вы выиграли приз.
Жертвы слышат автоматическое голосовое сообщение о бесплатном предложении или призах и им просто нужно оплатить почтовые расходы, погашение или административные сборы, чтобы потребовать. Часто бывает крайний срок, когда люди спешат передать данные своей карты.
Что можно сделать
Если вы получили неожиданный телефонный звонок с автоматическим ответом, положите трубку, найдите подлинные контактные данные компании в Интернете и проверьте, был ли звонок законным. Если это так, компания сможет помочь вам, а если это была попытка вишинговой атаки, уведомление компании позволит им принять меры, и вы защитите себя от мошенничества.
Smishing
Термин smishing состоит из слов «SMS» и «фишинг». Подобно фишингу, киберпреступники выдают себя за представителей надежной компании или организации. Однако вместо электронной почты злоумышленники при SMS-фишинге используют SMS (службу коротких сообщений) - другими словами, текстовые сообщения - для того, чтобы убедить жертву раскрыть информацию об учетной записи или бессознательно установить вредоносное ПО и трояны .
Даже если определение smishing может показаться небольшим риском, идентифицировать фишинговое SMS может быть сложно. Киберпреступники намеренно играют с эмоциями жертвы, чтобы заставить ее принять иррациональные решения.
Смешеры разработали разные способы работы, чтобы получить доступ к данным пользователей смартфонов. Однако основная модель обычно та же: мошенник выдает себя за представителя компании или знакомого и рассказывает историю, цель которой - убедить жертву раскрыть свои личные данные или загрузить вредоносное программное обеспечение. Этот элемент необходим для успешного мошенничества и называется социальной инженерией. Злоумышленник пытается установить доверительные отношения, чтобы эмоционально заманить жертву в ловушку. Предполагается, что целевой человек почувствует, что сейчас самое время бросить осторожность и следовать инструкциям мошенника.
Примеры смишинга:
- Фишинговое SMS-сообщение со ссылкой для скачивания вредоносного ПО.
Классическим примером SMS-фишинга является короткое текстовое сообщение, написанное таким образом, что предполагает, что его может написать друг. Сообщение должно вызывать любопытство. Он может попросить получателя щелкнуть ссылку, содержащуюся в SMS. Как только человек нажимает на ссылку, он невольно запускает автоматическую загрузку в фоновом режиме своей операционной системы, которая дает злоумышленнику доступ к смартфону. Профессиональные смешеры овладели искусством скрывать такие загрузки, и пользователи их вообще не заметят. В результате их личные данные будут переданы без их ведома.
- SMS перенаправляет на поддельную форму
Тактика электронного фишинга направляет людей на веб-сайт, содержащий форму для заполнения. Smishing работает аналогичным образом: преступники отправляют текст со ссылкой, которая, в свою очередь, перенаправляет получателя на форму. Когда они вводят свои личные данные, они будут отправлены непосредственно мошеннику. Этот прием популярен среди злоумышленников, пытающихся получить информацию о банковском счете или кредитной карте пользователя. SMS обычно указывает на (поддельную) проблему безопасности, которая предположительно требует, чтобы получатель немедленно ввел свои данные, чтобы исправить проблему.
- Удар копьем с использованием информации о человеке.
С ударом копья цель атакует конкретного человека. С этой целью злоумышленники оценивают профиль жертвы, например, в социальных сетях, и на этой основе создают специальные фишинговые текстовые сообщения, которые содержат личные данные и, таким образом, идеально подходят для жертвы. Как и в случае целевого фишинга, который использует персонализированные электронные письма, этот метод позволяет злоумышленнику повысить степень доверия к нему.
- Смишер выдает себя за сотрудника службы поддержки клиентов.
SMS-фишинг также используется для перенаправления жертв на горячую линию предполагаемой компании. В текстовом сообщении получателю предлагается связаться с горячей линией поддержки клиентов по указанному номеру. Как только мошенник окажется на линии, он попытается получить информацию от вызывающего абонента. Преимущество мошенников здесь заключается в их повышенном авторитете. Многие люди обоснованно не верят в необходимость вводить личные данные в онлайн-форму. Непрямой путь через респектабельности телефон горячей линии.
Как предотвратить атаку
Методы SMS-фишинга всегда сосредоточены на насущной проблеме или событии, требующем немедленных действий или внимания со стороны жертвы. Вот почему никогда не следует реагировать на текстовое сообщение импульсивно, а вместо этого тщательно проверять его содержимое.
Whaling
Волинг или «Китобойный промысел» (под названием подразумевается охота на «большую рыбу»)— это узконаправленная фишинговая атака, нацеленная на руководителей высшего звена, маскирующаяся под законную электронную почту. Волинг — это мошенничество с использованием цифровых технологий, основанное на социальной инженерии, призванное побудить жертв совершить второстепенное действие, например, инициировать банковский перевод средств.
Китобойный промысел не требует обширных технических знаний, но может принести огромную прибыль. Таким образом, это один из самых больших рисков, с которым сталкивается бизнес. Финансовые учреждения и платежные сервисы являются наиболее целевыми организациями, однако сайты облачных хранилищ и файловых хостов, онлайн-сервисы и сайты электронной коммерции подвергаются большей части атак.
Как работает волинг
К сожалению, китобойные нападения слишком часто бывают очень успешными. Недавно игрушечный гигант Mattel стал жертвой атаки, в результате которой они потеряли колоссальные три миллиона долларов. Высший финансовый директор получил электронное письмо с просьбой о переводе денег от своего нового генерального директора. На самом деле письмо было от киберпреступника, который выдавал себя за него.
Волинг атаки не требуют высокого уровня технических знаний, поскольку киберпреступники прекрасно знают, что многие сотрудники могут быть не столь бдительны при работе из дома. Такие преступники просто проводят небольшое исследование компании, обычно используя социальные сети или собственный веб-сайт компании, чтобы узнать, кто из контактов высокого уровня.
Волинг нацеливается на высокопоставленных сотрудников, отправляя им электронное письмо или сообщение, которое, как представляется, от генерального директора, директора или другого высокопоставленного руководителя бизнеса.
Сообщение всегда будет содержать персонализированную информацию, будет передавать ощущение срочности и часто будет написано тем же тоном, что и язык, используемый компанией.
Во время нападения китобоев жертву обычно просят выполнить одно из следующих действий:
- Щелкните ссылку - жертва обычно попадает на мошеннический веб-сайт или, возможно, загружает на свое устройство вредоносное ПО.
- Делитесь конфиденциальными данными или информацией - обычно это данные компании, касающиеся сотрудников, клиентов или высокопоставленных лиц.
- Перевод денег - прямым банковским переводом киберпреступникам или путем предоставления реквизитов банка или кредитной карты.
Как защитится от нападения
Китобойные атаки настолько успешны, потому что они персонализированы и обычно кажутся подлинными. Тем не менее, есть несколько способов определить нападения китобойного промысла:
- Дважды проверьте адрес электронной почты - на первый взгляд он может выглядеть идентично, но проверьте наличие двойных букв или цифр.
- Конфиденциальность. Если сообщение настаивает на сохранении конфиденциальности информации, это может быть признаком того, что «пришло из незаконного источника».
- Срочность. Если сообщение содержит такие фразы, как «срочно» или пытается заставить вас действовать быстро, это может быть явным признаком фишинга или волинга. Они хотят, чтобы вы действовали, не задумываясь и не рассматривая различные варианты.
- Различные банковские реквизиты. Если банковские реквизиты, на которые вас просят отправить средства, отличаются от зарегистрированных, будьте начеку.
- Серьезные последствия. Относитесь с подозрением к ультиматуму, например, к угрозе судебного иска, если вы не переведете деньги немедленно.
Важно, чтобы сотрудники были настороже, с подозрением относились ко всему необычному и задавались вопросом, являются ли электронные письма неожиданными и / или необычными. Вы также можете изменить процедуры в своем бизнесе, чтобы для подписания финансовых транзакций требовалось два человека. Это снизит вероятность успешных атак китобойных промыслов.
Сотрудники должны проявлять осторожность при размещении информации в своих учетных записях в социальных сетях. Киберпреступники могут использовать информацию о днях рождения, рекламных акциях, хобби и т. д.
Как не стать той самой «рыбой»
Иногда нужно быть осторожным с тем, что вы открываете, чтобы защитить себя от мошеннических писем. Обычно вы можете идентифицировать фишинговые сообщения электронной почты, поскольку они от неизвестных отправителей и адресованы обезличено, или содержат орфографические ошибки, скептические ссылки или онлайн-формы. Вот основные советы, как эффективно защитить себя от фишинговых атак:
- Проверьте имя и адрес отправителя.
Когда вы получаете официальное электронное письмо, которое якобы пришло от вашего банка или поставщика онлайн-услуг, вам следует сначала взглянуть на отправителя. Спросите себя: кто послал вам электронное письмо? Имеете ли вы какие-либо деловые связи с отправителем? Вы ли дали им свой адрес электронной почты? Посмотрите на полный адрес электронной почты и сравните его с другими сообщениями, которые вы могли получить от этой организации. Если есть какие-либо несоответствия, проявляйте осторожность.
- Проверьте заголовок
То, как к вам обращаются в электронном письме, может показать, законно оно или нет. Поставщики услуг, которые пишут своим клиентам, обычно обращаются к ним по имени. Мошенники не всегда знают имя получателя электронной почты, поэтому, если сообщение начинается с «Уважаемый господин или госпожа» или любого другого стандартного приветствия, вам следует задаться вопросом, почему ваш банк или предполагаемый деловой партнер в Интернете не знает вашего имени.
- Проверьте орфографию и грамматику
Если сообщение переполнено грамматическими и орфографическими ошибками, то совершенно очевидно, что его писал не сотрудник банка. Орфографические ошибки и неразборчивые абзацы ясно указывают на мошеннические электронные письма, которые были написаны на другом языке и затем автоматически переведены.
- Проверьте наличие потенциально мошеннических ссылок.
Это не обязательно плохой знак, если в электронном письме есть ссылка. Но прежде, чем щелкнуть по ней, вы должны убедиться, что она ведет на авторитетный сайт. Наведите указатель мыши на ссылку и посмотрите, какой веб-адрес отображается в нижнем левом углу окна браузера. Соответствует ли этот адрес URL-адресу поставщика услуг? Существуют ли какие-либо функции безопасности, такие как HTTPS , что означает безопасную передачу данных? Если вы сомневаетесь, стоит перестраховаться и не заходить на сайт.
- Не вводите данные по электронной почте
Ни один серьезный поставщик услуг не будет просить своих клиентов вводить свои данные по электронной почте. Соответствующая HTML-форма, в которой вам предлагается ввести данные для входа и пароли, является явным признаком фишингового электронного письма. PIN-коды и TAN также никогда не запрашиваются по телефону или по электронной почте. Вводите такие данные только на официальном сайте поставщика услуг, подлинность которых можно проверить с помощью сертификатов безопасности.
- Остерегайтесь вложений
Определенно есть повод для беспокойства, когда неожиданные сообщения имеют вложения. Обратите внимание на основное правило: если вы не знаете отправителя, не загружайте вложение. Он может содержать вредоносные программы, такие как вирусы или трояны, которые могут проникнуть на ваш компьютер и прочитать конфиденциальные данные. Совершение покупок в Интернете и осуществление банковских транзакций на вашем компьютере больше не будет безопасным.
- Не поддавайтесь давлению
Если электронное письмо требует от вас принятия срочных мер, будьте осторожны. Обманщики часто вытаскивают большие пушки, чтобы оказать давление на интернет-пользователей и заставить их принимать поспешные решения. Ни один уважаемый поставщик услуг не угрожает заблокировать вашу кредитную карту или отправить сборщиков долгов по электронной почте. Они также не требуют от вас ввода пароля или загрузки прикрепленного файла. В случае сомнений обратитесь на горячую линию поставщика услуг.
Методы технической защиты от фишинга
- Используйте DMARC
Протокол проверки подлинности сообщений, отчетности и соответствия на основе домена (DMARC) предназначен для защиты систем электронной почты от несанкционированного использования (или «подделки сообщений электронной почты»).
DMARC расширяет механизмы Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM), помогая обнаруживать поддельные адреса отправителей с помощью:
- подтверждение личности отправителя SPF и / или DKIM;
- инструктирования почтовой системы пользователя о том, как управлять неподтвержденными электронными письмами;
- запросов отчетов из системы электронной почты, чтобы показать происхождение электронной почты
- Убедитесь, что ваша система электронной почты настроена правильно
Большинство систем электронной почты либо имеют встроенную защиту, либо совместимы с рядом технологий фильтрации / блокировки от сторонних поставщиков, которые проверяют входящие электронные письма на предмет спама, фишинга и вредоносных программ. Это позволяет системе затем блокировать сообщения электронной почты, подозреваемые в фишинге, вместо того чтобы доставлять их в почтовый ящик пользователя.
- Защитите устройства от вредоносного ПО
Хотя в целом это хороший совет по безопасности - очень важно, чтобы все пользовательские устройства были хорошо защищены от вредоносных программ, - он применим и к фишингу.
Многие фишинговые электронные письма скрывают вредоносные программы внутри себя или на веб-сайтах, на которые они пытаются направить пользователя. В некоторых ситуациях это вредоносное ПО может выполнять часть (или всю) работу по сбору конфиденциальной информации, которую хотят злоумышленники.
- Защитите пользователей от посещения вредоносных веб-сайтов
Фишинговое письмо обычно побуждает пользователя посетить вредоносный веб-сайт, где злоумышленник попытается получить конфиденциальную информацию или развернуть вредоносное ПО.
Многие технологии фильтрации контента, особенно те, которые используются в школах, смогут предотвратить доступ пользователей к этим веб-сайтам так же, как они предотвращают доступ к веб-сайтам, содержащим другие типы неприемлемого контента.
Как и все другие технологические меры, он не может быть на 100% эффективным в 100% случаев, но, вероятно, поможет.
- Защитите учетные записи от неправомерного использования
Одна из частей конфиденциальной информации, которая обычно интересует злоумышленников, — это учетные данные для доступа к системам: имя пользователя и пароль.
Многофакторная аутентификация включает добавление по крайней мере еще одного фактора аутентификации к обычному процессу входа в систему с именем пользователя и паролем («что-то, что вы знаете»), где дополнительными факторами являются либо «то, что у вас есть» (например, одноразовый пароль, отправленный в SMS-сообщении ) или «что-то, что у вас есть» (например, отпечаток пальца).
Добавление многофакторной аутентификации обычно предполагает использование сторонней службы. Однако это может защитить учетные записи пользователей от несанкционированного доступа, даже если у злоумышленника есть имя пользователя и пароль.