Фішингові атаки є одними із найбільш розповсюдженіших кіберзлочинів. За даними компанії Tessian, в середньому за минулий 2021 рік користувачі на робочих місцях отримали 14 шкідливих електронних листів. В окремих галузях, до прикладу, у роздрібній торгівлі, цей показник значно вищий, тут він складає 49 небезпечних мейлів.
Дослідження ESET та IBM показують зростання кількості фішингових атак з року в рік. При цьому експерти відзначають їх високий рівень успішності – за даними CISCO співробітники 86% компаній хоча б один раз реагували на фішингові посилання.
Суть фішингу полягає у спробі зловмисника отримати доступ до конфіденційних даних користувача або змусити жертву виконати певні дії, вигідні організатору атаки.
Даними, які хоче захопити фішер, можуть бути логін і пароль доступу до певного акаунту, дані банківської карти, інша персональна інформація. Буває, що жертву переконують, що до неї звернувся представник певної компанії (або співробітник своєї ж структури) і саме йому вона віддає авторизаційні дані (логін/пароль) чи здійснює банківський переказ.
Фішингові атаки умовно можна розділити в залежності від цільової аудиторії, тобто жертви, на яку націлена атака, або від платформи, що використовується для її організації (пошта, голосові повідомлення, SMS).
Давайте розберемося детальніше.
E-mail-фішинг
Традиційний метод, який першим спадає на думку, коли мова заходить про фішинг. Суть атак цього виду полягає в розсиланні зловмисниками небезпечних листів, що як правило містять посилання на сайт-підробку, на якому жертва вводить дані, і які перехоплює зловмисник. Людина натискає на посилання, яке скорочене або візуально схоже на лінк-оригінал, переходить по ньому і бачить сайт, що практично не відрізняється від відомого їй веб-ресурсу. Далі користувач вводить дані, які опиняються в руках зловмисника. Другий розповсюджений метод маніпуляції – це коли мейл містить вкладення під паролем і власне зловмисник в тілі листа надає пароль і просить відкрити архів. В 99% випадків в архіві буде вірус, який не розпізнався системами безпеки як раз через те, що він був зашифрований під паролем.
Прикладів такого фішингу є дуже багато, а електронна пошта стала одним із найбільш популярних векторів атак такого типу. Зменшити масштаби шахрайства допоможе високий рівень кібергігієни співробітників - організація повинна навчити працівників коректно реагувати на посилання від незнайомих відправників – фактично повідомляти службу кібербезпеки про потенційну загрозу. Більше про важливість кібергігієни для бізнесу читайте за посиланням.
Разом з тим, повністю захиститися від фішингових атак через пошту майже неможливо. Особливо, якщо мова йде про комунікацію фінансових, маркетингових фахівців чи спеціалістів з продажів, які часто отримують повідомлення з лінками та вкладеними файлами від часто нових відправників.
Зловмисники можуть ховати небезпечні посилання під скороченими посиланнями (bit.ly), що значно ускладнює їх ідентифікацію.
До прикладу, в рамках недавньої фішингової кампанії українцям пропонувалося перейти на копію Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування. Справжня адреса такого сайту - portal.nazk.gov.ua, а фішингова - portal.nazk.org.ua. То ж не дивно, що багато користувачів вводили свої реєстраційні дані на сайті-підробці.
Персоналізований фішинг (Spear phishing)
Класичний E-mail-фішинг передбачає розсилку однакових листів величезній кількості отримувачів із сподіванням, що хтось відреагує. Інший тип фішингу – персоналізовані повідомлення. В них відправники намагаються ідентифікувати отримувача, принаймні, звертаються до нього по імені. На їх думку, такий підхід підвищить ймовірність зворотної реакції – люди швидше і краще реагують, коли бачать, що лист надісланий персонально їм.
Більше про використання інструментів соціальної інженерії кіберзлочинцями читайте за посиланням.
Китобійний промисел (Whaling або CEO fraud)
Це іще більш досконала атака і вона передбачає, що автори фішингу будуть видавати себе за керівника бізнесу. Зловмисники використовують соціальні мережі або корпоративний веб-сайт, щоб знайти дані про генерального директора чи іншого керівника. Потім вони видають себе за цю особу, використовуючи схожу адресу електронної пошти – надсилають листа із проханням перерахувати кошти чи переглянути важливий документ. Наприклад, у 2015 році компанія Ubiquiti Networks Inc. перехувала зловмисникам понад $40 млн в результаті фішингової Whaling-атаки. Електронні листи, надіслані нібито від вищого керівництва, містили вказівки співробітникам пересилати кошти з дочірньої компанії в Гонконзі на рахунки, що належать третім особам. Насправді ж кошти отримали зловмисники.
Звісно такий тип атаки передбачає набагато складнішу підготовку, адже вона є таргетованою, але тим не менш ви будете здивовані тим обʼємом інформації, яку можна знайти ледь не про будь-яку людину у відкритих джерелах.
Вішинг (Vishing)
Мета вішингу – така сама, як і інших типів фішингових атак. Єдина відмінність полягає в тому, що в її організації використовуються голосові повідомлення. Ці атаки добре відомі українцям, адже більшість отримувала дзвінок з нібито банку із попередженням про те, що їх карти буцім-то заблоковані.
За кордоном дзвінки можуть бути, наприклад, від представників великої технологічної компанії, наприклад, від Microsoft. І їх ініціатор повідомляє про виявлений вірус, для усунення якого потрібно встановити антивірус. Можуть емулюватися дзвінки із служби підтримки головного офісу, в яких пропонується встановити оновлення на комп’ютер (яке насправді є вірусом з віддаленим контролем). Зловмисники можуть представлятися співробітниками податкової служби або кредитної компанії.
Смішинг (Smishing)
Це такий самий фішинг, лише абонента намагаються дістати через СМС-повідомлення. Іноді за посиланням, яке надсилається в СМС, знаходиться вірус. Буває, що розсилка СМС містить номер телефону, за яким пропонується зателефонувати, після чого зловмисники використовують вішинг – голосовий фішинг.
Інші інструменти фішингових шахрайств
Часом здається, що фантазії авторів фішингу буквально немає меж і вони використовують практично всі канали комунікації, які дозволяють дістатися до кінцевого користувача.
Наприклад, фішинг пошукової системи (або SEO-фішинг) – це ситуація, коли зловмисники виводять на перші позиції пошукових систем небезпечні сайти, або, як варіант, купують рекламу для таких ресурсів. Наприклад, саме через рекламу сайтів-підробок ресурсу blockchain.info зловмисники змогли видурити великі суми у криптовалюті.
Pop-up-фішинг передбачає розміщення небезпечних посилань у спливаючих вікнах.
Активно використовують зловмисники і соцмережі, такі кампанії ще називають рибалковим або Angler-фішингом. У цьому випадку зловмисники намагаються обдурити жертву через персональні повідомлення у соцмережах. До прикладу, саме завдяки Angler-фішингу можуть зламувати Instagram-акаунти та вимагати суттєвий викуп за їх повернення.
Як запобігти фішингу?
Хоча фішинг досить відома практик, зловмисники постійно вигадують все нові способи шахрайства і експлуатують вразливі теми, що робить його особливо небезпечним. До прикладу, українська команда реагування на комп'ютерні надзвичайні події України (CERT-UA) періодично розповідає про розсилки небезпечних листів із посиланнями на підроблені сайти, в яких фігурує тематика війни.
Тому боротьба з фішингом має бути комплексною і враховувати як технічні рішення, так і організаційні заходи.
1. Навчання
Першою лінією оборони будь-якої організації є люди. Саме тому таким важливим є регулярне проведення навчань і тренінгів із кібергігієни, адже по мірі того, як зловмисники вдосконалюють свої методології, користувачі повинні дізнаватися про них і не лише слухати теоретичні лекції, але й тренуватися на прикладах й розпізнавати фішингові листи. Більше про проєкти з підпищення кібергігієни від ISSP та Міжнародної Кібер Академії читайте тут.
2. Фільтрація електронної пошти
Використання в компанії правильно налаштованих потужних антиспам-системи та шлюзів безпеки електронної пошти і мережевого трафіку допоможе заблокувати отримання деяких особливо небезпечних листів, що знизить ризик їх отримання співробітниками компанії.
3. Інструменти обмеження доступу до інтернету
Використання списків контролю доступу (access control lists - ALC) — це іще один спосіб зменшити ризики, пов’язані зі шкідливими веб-сайтами. За допомогою цих інструментів можна обмежити доступ співробітників до певних веб-сайтів і веб-додатків.
4. Політика щодо багатофакторної аутентифікації
Щоб посилити захист пристроїв та акаунтів, в компанії варто запровадити обов’язкову багатофакторну аутентифікацію і, можливо, перейти на використання апаратних токенів для захисту особливо важливих акаунтів. Двофакторна автентифікація фактично є must have вже кілька останніх років.
5. Постійний моніторинг мережевого середовища та регулярні оцінки стану кібербезпеки компанії за допомогою власного SOC (Security Operations Center, Центр управління безпекою) або ж із залученням зовнішнього підрядника.
Що робить SOC? Допомагає компаніям і організаціям покращувати можливості моніторингу своєї ІТ-інфраструктури для виявлення прихованих аномалій поведінки, раннього виявлення загроз та реагування на інциденти. Тобто якщо жертва фішингу вже все ж таки попалася на гачок, то аномальну поведінку її компʼютера або облікового запису має виявити SOC. Більше про функціонал нашого Центру можна дізнатися за посиланням.
6. Політики щодо оновлень безпеки
Багато фішингових атак використовують вразливості, які можна легко усунути простим встановленням оновлення до програм. Відповідно, існування політик оновлення ПЗ зменшить ризик того, що фішингові атаки будуть успішними.
7. Регулярне резервне копіювання даних
Існування та регулярне оновлення резервних копій значно знизить наслідки успішної фішингової (і не тільки) атаки. Політика щодо резервування стане у пригоді і в результаті проблем з пристроями, на яких може зберігатися особливо цінна інформація.
А наскільки Ваша компанія готова протидіяти фішинговим атакам? Хотіли б пройти Phishing Security Test?
Звертайтесь до нас, ми допоможемо info@issp.com.
Σχόλια