Рубрикатор |
Статьи | ИКС № 4 2020 |
Яна АНДЖЕЛЛО | 25 сентября 2020 |
Предупрежден, значит вооружен
Как и во многих вопросах информационной безопасности, в борьбе с фишингом обучение и повышение уровня осведомленности сотрудников – важное звено системы защиты бизнеса.
Если вы слышали о фишинге, то знаете, что при этом типе мошенничества злоумышленник направляет вам фальшивое электронное письмо или сообщение, чтобы обманом побудить раскрыть важные данные (паспортные, платежные, пароли) для последующей кражи денежных средств.
Большинство из нас уверены, что никогда не попадутся на такую махинацию. Однако статистика говорит об обратном. Согласно сведениям Генпрокураторы РФ, в первом полугодии 2020 года почти 70% всех мошенничеств пришлись на обманные схемы с использованием интернета и мобильных средств связи. Большие объемы личной информации в открытом доступе, развитие и доступность новых технологий, эффективность и дешевизна такого вида атак – и фишинг сегодня представляет большую угрозу, чем когда-либо. Ваш бизнес и ваши сотрудники в любой момент могут оказаться в опасности.
История
Впервые слово «фишинг» было использовано в январе 1996 года группой хакеров, которые крали учетные записи и пароли America Online. Термин также был использован в журнале The Hacker Quarterly. По аналогии со спортивной рыбалкой интернет-мошенники пользовались приманкой, только электронной, устанавливая «крючки» для выуживания паролей и финансовых данных в море интернета, где плавали пользователи. И если в начале пользователей было не так много, то в течение следующего десятилетия с ростом популярности Глобальной сети и электронной почты у киберпреступников появились уже миллионы ничего не подозревающих жертв. Еще шире распространился фишинг в 2007 году, когда на рынке появились смартфоны, и пользователи получили постоянный доступ к e-mail.
Сегодня фишинг затрагивает не только электронную почту. Благодаря современным технологиям атаки приобретают разнообразные формы и осуществляются по разным каналам. В арсенале киберпреступников – SMS (смсинг), телефонные звонки (вишинг), мессенджеры, социальные сети, поддельные домены, а также инструменты для имитации голоса и другой биометрии. Например, в 2019 году впервые был использован голосовой дипфейк (подделка голоса). В компанию, ставшую жертвой мошенничества, позвонил якобы генеральный директор и дал указание сотрудникам срочно перевести 220 тыс. евро на указанный счет, что и было сделано.
Тренды
Большинство из нас знает, что нигерийским «принцам» доверять нельзя, но сочетание технологий и социальной инженерии породило фишинговые атаки, способные ввести в заблуждение даже сотрудника отдела безопасности. Обман строится на доверии пользователя, и главная задача преступника заключается в качественной имитации привычных жертве процессов: покупки товара или услуги, решения рабочих задач, выстраивания коммуникаций.
Появление социальных сетей существенно облегчило злоумышленникам поиск личной информации о потенциальной жертве, ее предпочтениях и слабых местах, на которой и выстраивается «легенда» обмана. Благодаря нехитрой процедуре сбора «цифрового анамнеза» мошенники создают персонализированную схему обмана, которая не вызовет ни малейшего подозрения. Злоумышленники могут подделывать стиль деловой переписки, манипулировать информацией о семейном положении и т.д. Многие отправители фишинговых писем искусно выдают себя за доверенное лицо или компанию. Так, во время отчетного периода мошеннические сообщения могут быть похожи на сообщения от Федеральной налоговой службы России.
Киберпреступники начали персонифицировать атаки. Теперь перед тем как провести атаку, они просят жертву заполнить несложную форму или документ и только после этого отправляют пользователя на фишинговый сайт. Зачастую такая активность кажется легитимной, что затрудняет ее обнаружение.
Злоумышленники научились маскировать поддельные веб-ресурсы фирменным стилем и аутентичной информацией, полученной из известных и надежных источников. Поэтому зачастую фишинговый сайт практически невозможно отличить от оригинального. Причем копированию подвергаются веб-ресурсы крупных и надежных компаний, например РЖД. Кроме того, согласно статистике PhishLabs, 58% всех фишинговых сайтов используют HTTPS, что снижает вероятность идентификации веб-сайта в качестве мошеннического, поскольку браузеры отмечают соединение как защищенное. Эта тактика стала эффективной мерой усыпления бдительности пользователя.
Независимо от того, насколько защищен ИБ-периметр организации технически, защитить его от людей невозможно. Для бизнеса сотрудники – весомый фактор риска, даже если они этого не хотят. Об этом говорят многочисленные исследования:
- 32% подтвержденных утечек информации связаны с фишингом (по данным отчета 2020 Data Dreach Investigation Report, подготовленного оператором Verizon);
- каждое 25-е письмо в деловой переписке – фишинговое (согласно оценкам компании Avanan);
- 90% фишинговых атак проходят через защищенные почтовые шлюзы (по данным компании TrendMicro);
- 37,9% пользователей не сдают учебные тесты на противодействие фишинговым атакам (информация из отчета 2020 Phishing By Industry Benchmarking компании KnowBe4).
- Преступники знают об этом и будут продолжать эксплуатировать неосведомленность сотрудников, используя фишинговые атаки и социальную инженерию.
Что делать?
В первую очередь бизнесу необходимо осознать и признать опасность социальной инженерии и человеческого фактора. После чего нужно спланировать комплекс мероприятий и выделить ресурсы для повышения осведомленности персонала.
Обучение сотрудников. Образованный сотрудник – надежная защита от фишинговых атак. Даже если у компании установлена лучшая в мире система обнаружения спама, фишинговые письма все равно пройдут. Кроме того, сотрудник может поставить под угрозу бизнес, если он станет жертвой телефонного мошенничества, использует зараженное устройство на работе или по неосторожности оставит свои данные на фишинговом сайте.
Инвестируйте время и ресурсы, чтобы обучать свой персонал не только распознавать фишинг, но и иметь представление о «компьютерной гигиене» в целом. Таким образом он сможет адекватно реагировать на угрозы и мошенничество, сохраняя ваш бизнес в безопасности.
Многие ИБ-компании предлагают курсы по антифишингу, и некоторые из них можно пройти бесплатно в варианте «промо». Помимо этого, компания может самостоятельно сформировать свод базовых правил и знакомить с ним новых сотрудников.
Тестовые атаки. Когда дело доходит до фишинга, опыт – лучший учитель. Если вы не хотите стать жертвой настоящей фишинговой атаки только для того, чтобы узнать, как она выглядит, то стоит провести тестовые атаки. Современные методы обучения включают в себя имитацию фишинговых атак.
Сейчас можно фишить своих сотрудников (конечно, не крадя их информацию) с помощью специализированных сервисов или решений. Хотя это может показаться бесчестным, имитация фишинговых атак – весьма эффективный способ дать сотрудникам практический опыт в выявлении и реагировании на мошенничество. В среднем нарушение конфиденциальности данных обходится малому бизнесу в $3 тыс. (или больше), поэтому имитация фишинговой атаки может быть ценной инвестицией, которая сэкономит деньги компании в долгосрочной перспективе.
Политика безопасности. Убедитесь, что в вашей компании реально действует хотя бы базовая политика безопасности. Установите принципы поведения сотрудников на рабочем месте и рядом с ним. Как допускается использовать корпоративные компьютеры? Запрещены ли какие-либо программные приложения или веб-сайты? Разрешено ли вы сотрудникам приносить с собой свои личные устройства?
Подумайте о том, кто и к каким типам информации имеет доступ, ограничьте доступ к конфиденциальным данным. Это поможет контролировать и защищать информацию от непреднамеренного разглашения или кражи.
Наконец то, о чем многие забывают: выпустите рекомендации, что делать в случае чрезвычайной ситуации. Если ваш бизнес действительно стал жертвой кибератаки, то сотрудники должны знать, как реагировать. Это поможет вам устранить проблему и минимизировать ущерб. Не забывайте о главном правиле – предупрежден, значит вооружен.
Яна Анджелло, менеджер по продукту Angara Professional Assistance
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!