Более 2 млн. сайтов, под разными предлогами выманивающие персональные данные или номера банковских карт. 18 млн. мошеннических писем, циркулирующих по Интернету каждые сутки. Регулярные SMS с предложением перейти по ссылке, чтобы посмотреть фото знойных красавиц. И, конечно, звонки от “службы безопасности банка”. Эти и другие механики фишинговых атак наверняка хорошо знакомы каждому читателю нашего блога.
Кто становится жертвой фишеров? Даже совсем скромное представление о кибербезопасности заставляет думать по-снобски. В первую очередь в голову приходит собирательный образ бухгалтерши в возрасте, которая кликнула по ссылке от якобы контрагента и оставила на веб-странице банковские реквизиты компании. Или светлый лик юной барышни на позиции офис-менеджера, которая решила сэкономить деньги компании, расплатилась корпоративной кредиткой за мебель с огромной скидкой и оставила данные магазину, которого реально не существует. А может, мы представляем затюканного сотрудника отдела продаж, получившего гневное письмо от контрагента с требованием срочно погасить задолженность до передачи дела в арбитражный суд, и оплатившего “претензии” через финотдел.
Эта предвзятость в оценке “собирательного облика” жертв фишинга мешает не только нам. Собственники бизнесов, генеральные директора и просто топ-менеджеры считают себя заговоренными. Они уверены, что высокий статус точно не сделает их жертвой интернет-мошенников. Очень зря. Среди киберпреступников крепнет и оттачивается практика охоты на крупную рыбу. Практикующие так называемый “вэйлинг” киберпреступники умны, изобретательны и обладают феноменальными способностями втираться в доверие. Что хуже всего,
каждая успешная атака несет настолько серьезный материальный и репутационный урон, после которого организации, быть может, уже не суждено подняться.
Целевая атака на топа или вовсе владельца бизнеса — штука нетиповая. Поэтому хакеры со специализацией на вэйлинге — элита киберпреступности. Чтобы быть успешным в таком своеобразном ремесле, необходимо быть в большой степени перфекционистом, чтобы учесть максимум деталей и не упустить важных мелочей. Каждой атаке предшествует длительная — иногда по нескольку месяцев — “домашняя работа”. Хакер педантично собирает максимум информации о жертве и тщательно ее анализирует. В фокус интереса данные о профессиональной и личной жизни. Как и прежде, методы хакеров-"китобоев” базируются на эмоцональном отклике жертвы. Но для получения нужного результата злоумышленники играют намного тоньше и изысканнее, чем делают это в рамках массовых фишинговых атак.
Скажем, в 2008-м году, в разгар мирового финансового кризиса, топы ряда крупных финансовых организаций в западной части США получили по электронной почте ссылку якобы на скан повестки в окружной суд Сан-Диего и на инструкцию, как подготовиться к заседанию суда присяжных. Хакерам надо отдать должное: они идеально попали с выбором момента и информационной повестки. Время было непростое, банки рушились один за другим, в суды обращались разгневанные вкладчики и инвесторы, а линейных руководителей и даже “топов” власти пачками приглашали в качестве свидетелей.
Машина американского правосудия работала на полную мощность, чтобы защитить граждан. Возможно, именно поэтому электронная форма повестки, которая наверняка вызвала бы вопросы в “мирный период”, не озадачила объект атаки в этот раз. Скачав липовый скан, каждая жертва получила на свой компьютер клавиатурного шпиона и троян-бэкдор, через который можно было захватить контроль над ПК. Сколько данных таким образом получили злоумышленники, и были ли потом эти данные использованы для успешных атак, — загадка.
Другая стратегия — полностью мимикрировать под жертву и в один прекрасный момент украсть деньги со счета его компании — требует повышенной эмпатии: без нее не обойтись, когда тебе предстоит (пусть и по электронной почте) сыграть другого человека так, чтобы адресат ничего не заподозрил. Здесь “домашнее задание”, выполняемое хакером, ничуть не менее обширно. Помимо всего прочего прорабатывается круг общения топа — как внутри компании, так и вне ее. Случается, что хакеры вербуют “крота”. Такой агент помогает достать контакты нужных для осуществления атаки менеджеров внутри фирмы, или просто устанавливает ПО, скажем, на компьютер или смартфон личного помощника руководителя. Обычно у ассистентов есть право отправлять письма от имени босса.
Если получить контроль над почтой удалось, то полдела сделано. Дальше начинает работать талант или навык мимикрии. Кульминация наступает, когда финансовый директор с электронного адреса президента компании сообщение о необходимости перевода круглой суммы на конкретные реквизиты якобы нового бизнес-партнера. Горе тому исполнителю, который не догадается запросить устное подтверждение перевода: деньги нельзя будет вернуть ни под каким видом.
Будем реалистами: искоренить целевой фишинг невозможно. Но противостоять ему вполне реально. Вот советы “топам”, которые в той или иной степени снизят вероятность пасть жертвой “китобоев”.
Следует помнить: большинство фишинговых атак завершаются призывом к действию. Обычно этот призыв претворяется неким эмоциональным письмом, на которое так и хочется отреагировать немедленно. Любая ссылка в почте должна насторожить. Лучше перепроверить. Для этого скопируйте ее, перенесите в адресную строку браузера и тщательно изучите URL — это действительно нужный адрес, или он просто похож?
“Срочно!”, “Опасно!”, “Суперважно!” — большинство злоумышленников играют на эмоциях и сулят практически апокалипсис из-за вашего бездействия прямо здесь и сейчас. Стоп! Но вы генеральный или кто?! В вашей организации любой “мотивационный пендель” — только ваша прерогатива. Так что выдохните, включите критическое мышление и отнеситесь к любому истеричному email-призыву с хладнокровием.
Ваш финансовый директор просит подтверждения через ДБО перевести серьезную сумму на оффшорный счет? Руководитель отдела внезапно обращается с инициативой выложить базу клиентов в публичное облако? Если что-то кажется подозрительным, лучше позвонить менеджеру, от которых исходят запросы. Пусть ваш финдир или главный по продажам считают вас немного параноиком, зато деньги и данные компании всегда будут в целости.
Состояние “душа нараспашку” — трендовое явление среди высших руководителей, которым важно работать с персональным брендом и капитализировать собственную публичность. Между тем, фишеры часто используют личную информацию из учетных записей социальных сетей, таких как Facebook, Twitter или LinkedIn. Вот почему важно не переборщить и найти правильный баланс между градусом публичности и разумной приватностью. Мы рекомендуем посоветоваться с экспертами, чтобы понять, какие данные имеет смысл публиковать, а о каких необязательно знать даже вашему ближайшему кругу френдов на Facebook.
Толковый курс по противодействию фишингу — отличная инвестиция в кибербезопасность. Сотрудники точно скажут за нее спасибо, потому что эти знания пригодятся не только в офисе, но и в жизни вне работы. Не пренебрегайте курсами сами. Исследования показывают, что обучение снижает риски от фишинговых атак на 60%.
Честно говоря, мы считаем ключевым именно заключительный тезис, поскольку верим: ни совершенные инструменты по противодействию атакам, ни самый компетентный в мире ИБ-директор, ни крутейший искусственный интеллект “под капотом” приложений и систем для обеспечения кибербезопасности не защитит вас лучше, чем правильный образ мышления. Поэтому в дополнение к передовым ИБ-решениям из портфеля AggreGroup мы рекомендуем проявлять внимательность, осторожность и критическое мышление. Только так “китобой” обойдут вас стороной.
>>>Spin Technologies. Мощная защита от кибермошенников<<<
>>>MDaemon Security Gateway. Ваша почта в безопасности<<<