Фишинг

Фишинг представляет собой метод социальной инженерии, который злоумышленники используют для сбора информации или доставки вредоносного программного обеспечения, выдавая себя за компетентную организацию или друга. Цель фишинга — заставить пользователей перейти по ссылке, открыть вложение или раскрыть конфиденциальную информацию, например, персональные данные, банковские и кредитные реквизиты или пароли. Злоумышленники будут использовать электронную почту, мгновенные сообщения, социальные сети и даже телефонные звонки, чтобы атаковать отдельных людей. Фишинг может произойти так на работе, так и вне ее.

Недавние отраслевые отчеты показывают, что до 94% организаций становятся жертвами фишинговых атак¹ и что от 22% до 36% всех утечек данных связаны с фишингом². Согласно отчету ФБР об интернет-преступлениях за 2021 год, в 2021 году жертвами фишинговых атак стали 323 972 человека³.

Идентификация фишинговых атак и защита от них

Как вы можете узнавать о фишинговых атаках и защищаться от них? Существует пять распространенных признаков фишинговой атаки, в том числе:

1. Это слишком хорошо, чтобы быть правдой.
   
   • Точно так же, как продавец на автостоянке, который пытается продать вам лимон; если предложение слишком хорошо, чтобы быть правдой, обычно так оно и есть.
2. Возникает явное ощущение срочности.
   
   • Если есть сильное ощущение срочности, скорее всего, это фишинговое мошшеничество. Злоумышленники создают атмосферу срочности, чтобы обманом заставить вас отреагировать на их предложение и принять его, вместо того, чтобы логически обдумать его. Надежные организации предоставляют своим клиентам достаточно времени, чтобы позаботиться о своих учетных записях, и никогда не попросят вас раскрыть ваши персональные данные по электронной почте. Если у вас есть сомнения, посетите источник напрямую, вместо того чтобы нажимать на ссылку, предоставленную в электронном письме.
3. Поддельные гиперссылки.
   
   • Злоумышленники используют поддельные гиперссылки или гиперссылки с URL-адресом, отличным от заявленного на ссылке, чтобы заставить людей нажать на ссылку и перейти на опасные сайты. (Например: zionzbank.com, а не zionsbanks.com). Если сомневаетесь, наведите курсор на ссылку, чтобы увидеть поддлинный URL-адрес.
4. Случайные или неожиданные вложения
   
   • Если вы видите вложение, которого не ожидали или которое не имеет смысла, не открывайте его! Злоумышленники часто загружают во вложения программы-вымогатели или другие вредоносные программы, которые немедленно начинают атаковать вашу систему.
5. Необычный отправитель.
   
   • Если что-то кажется необычным или странным, независимо от того, знаком вам человек или нет, не открывайте это. Злоумышленники часто создают учетные записи электронной почты на имя кого-то из ваших знакомых, чтобы его имя отображалось в строке «От».

Другие формы фишинга

Хотя чаще всего предложения приходят в виде электронного письма, фишинг может применяться разными способами. Ниже приведены сценарии, демонстрирующие различные фишинговые атаки. Несмотря на то, что эти истории являются вымышленными, они подчеркивают реальные стратегии и методы, используемые злоумышленниками.

• Джон не узнал номер телефона, но все равно ответил на звонок. Звонивший представился представителем его банка. Звонивший звучал профессионально и срочно нуждался в подтверждении подозрительной активности на банковском счете Джона. Джон быстро предоставил свою информацию, и ему сказали, что проблема решена. Он занимался своими делами, но позже понял, что стал жертвой атаки вишинга.

  • Вишинг: Разновидность фишинга, вишинг (голосовой фишинг) использует телефонные звонки, чтобы обманом заставить вас раскрыть личную информацию.

• Стефани услышала, как звонит ее телефон, и увидела текстовое сообщение, которое, по всей видимости, было от ее оператора мобильной связи. В сообщении содержалось предупреждение о просроченном счете и угроза прекратить обслуживание, если она не осуществит немедленный платеж. В сообщении была ссылка, которая привела ее на страницу оплаты. Она ввела данные своей карты, радуясь, что решила проблему. Позже она поняла, что ее карта была использована мошенническим путем. Она стала жертвой нападения смишинга.

  • Смишинг: Смишинг (SMS-фишинг) включает в себя SMS или текстовые сообщения, которые подталкивают вас к раскрытию конфиденциальной информации.

• Джонатан просматривал веб-сайт и увидел рекламу бесплатного товара. Ему оставалось лишь оплатить доставку и обработку заказа. Желая воспользоваться этим ограниченным по времени торговым предложением, он перешел по ссылке на веб-сайт, где ввел свои данные. Товар не прибыл в ожидаемые сроки, и когда Джонатан попытался связаться с компанией, он не смог найти никакой информации ни о компании, ни о приобретенном им товаре. Он попался на приманку.

  • Приманка: Приманка — это особая форма социальной инженерии, при которой злоумышленник обещает что-то в обмен на небольшую плату. Обычно это слишком хорошо, чтобы быть правдой, и цель таких действий — заполучить вашу финансовую и личную информацию.

• Джули увидела плакат, идя по улице. В рекламе предлагались билеты со скидкой на предстоящий местный концерт, на который она давно хотела попасть. Она быстро отсканировала QR-код на плакате, который направил ее на сайт для приобритения билетов. Поскольку билеты были почти распроданы, Джули поспешила с покупкой билета. Когда позднее в тот же день она не смогла получить доступ к билету, она поняла, что стала жертвой квишинговой атаки.

  • Квишинг: эта форма фишинга с использованием QR-кодов (QR-фишинг) для обмана людей с целью получения конфиденциальной информации, загрузки вредоносного программного обеспечения на их устройства или кражи финансовой информации. Поддельный QR-код сканируется и перенаправляет пользователей на вредоносный веб-сайт, предназначенный для кражи учетных данных или компрометации учетных записей и устройств.

Дополнительные советы по защите от фишинга

Двухэтапная аутентификация

Чтобы обезопасить себя от фишинговых атак или других форм кражи учетных данных, убедитесь, что в ваших учетных записях включена многофакторная аутентификация (например, двухэтапная проверка). Кроме того, вы можете включить оповещения о безопасности, которые будут уведомлять вас, если ваша учетная запись используется на чужом компьютере или устройстве.

Будьте внимательны к социальным сетям

Фишинговые атаки чаще всего отправляются по электронной почте, но они могут происходить в любой учетной записи, в которой есть функция обмена сообщениями, включая социальные сети. Независимо от того, где вы вошли в систему, обращайте внимание на распространенные признаки фишинговых атак!

Что делать, если вы стали жертвой

Если вы подозреваете, что стали жертвой фишинговой атаки, важно действовать быстро, чтобы свести к минимуму возможные последствия. Во-первых, смените все пароли, которые могли быть скомпрометированы. Позаботьтесь о том, чтобы пароль был надежен и уникален – о том, как создавать надежные пароли, читайте здесь. Если вы еще этого не сделали, обязательно включите многофакторную или двухфакторную аутентификацию (MFA/2FA) на затронутых устройствах и учетных записях. Полезно проверить свой компьютер или устройство на наличие вирусов или вредоносных программ. Если вы предоставили какую-либо финансовую информацию, свяжитесь со своим банком или эмитентом карты и предупредите их о возможности мошенничества. Наконец, следите за своими учетными записями на предмет несанкционированных или подозрительных действий.

Вы – щит

Важнейшей защитой от фишинговых атак является просвещение и бдительность. Если вы научитесь распознавать распространенные тактики, используемые злоумышленниками, и будете бдительны, это поможет вам не попасться на эти уловки. Помните: всегда проверяйте подлинность запросов на предоставление личной информации, будьте осторожны с необычными запросами или коммерчискиими предложениями, которые слишком хороши, чтобы быть правдой, и не поддавайтесь ощущению срочности. Вы – лучший щит для обеспечения безопасности вашей информации.

Примеры фишинга из реальной жизни

Фишинг: https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-phishing/the-top-5-phishing-scams-of-all-times/

Вишинг: https://www.terranovasecurity.com/blog/examples-vishing

Смишинг: https://caniphish.com/what-is-smishing#Examples

Наживка: https://www.palisade.email/resources-post/understanding-what-a-baiting-attack-is-examples-and-protection

Квишинг: https://www.hbs.net/blog/quishing/