Как не стать жертвой фишинга: рассказывает ИБ-эксперт компании Ксения Рысаева

В России выросло количество кибератак, в том числе участились случаи фишинга. В социальных сетях и мессенджерах татарстанцы получают различные сообщения от известных брендов с предложением поучаствовать в конкурсе, получить приз, купить товар по выгодной цене. Как распознать ловушку, к чему может привести переход по липовой ссылке и к каким новым уловкам прибегают мошенники — подробнее об этом в авторской колонке для «Реального времени» рассказывает руководитель группы аналитики Центра предотвращения киберугроз CyberART ГК Innostage Ксения Рысаева.

Какие цели преследует фишинг
Атаки с применением инструментов социальной инженерии (то есть способа получения необходимого доступа к информации, основанного на особенностях психологии людей) занимают лидирующие позиции среди прочих методов онлайн-мошенничества. В частности, злоумышленники применяют фишинговые рассылки. Их опасность заключается в том, что, во-первых, они направлены на обычных пользователей, которые, как правило, не озабочены вопросами информационной безопасности. Во-вторых, их довольно сложно распознать. Главная цель фишинга — получить идентификационные данные пользователей. Сюда относятся кражи логинов и паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

По способу распространения фишинг можно разделить на две категории:
– фишинговые рассылки, e-mail, SMS, сообщения в соцсетях;
– фишинговые сайты, копирующие оригинальный ресурс жертвы (банки, авиакомпании, интернет-магазины, предприятия, госучреждения и так далее).

Если рекомендаций по безопасной работе с почтой, мессенджерами написано много, то с веб-сайтами дела обстоят хуже. Главная цель фишинга — получить идентификационные данные пользователей.

Злоумышленники пользуются фиш-китами, или фишинговыми наборами
Один из распространенных приемов фишеров — создание копии легитимных страниц известных брендов или компаний. Как правило, злоумышленники заимствуют элементы дизайна настоящего сайта, поэтому пользователю бывает непросто отличить созданные ими страницы от оригинала. Web-адрес поддельного сайта часто можно принять за легитимный, так как мошенники включают в URL название компании или сервиса, который пытаются подделать.

Поскольку фишинговый сайт могут оперативно заблокировать или добавить в антифишинговые базы, злоумышленники заинтересованы в том, чтобы генерировать такие страницы быстро и в больших количествах. Создавать их каждый раз вручную долго, к тому же не все мошенники обладают навыками веб-разработки и администрирования сайтов. Поэтому популярностью среди злоумышленников пользуются фиш-киты, или фишинговые наборы, — своего рода конструкторы, состоящие из готовых шаблонов и скриптов, с помощью которых можно быстро и массово создавать фишинговые страницы. Фиш-киты довольно просты в использовании, поэтому их могут приобретать в том числе и неопытные фишеры, не обладающие особыми техническими навыками.

C 23 марта на электронную почту российских пользователей приходили сообщения якобы от лица представителей Минцифры и Роскомнадзора. В письмах содержалось предупреждение о незаконности использования запрещенных в России веб-сайтов, социальных сетей, мессенджеров и VPN-сервисов для обхода их блокировок. К посланию прилагался файл в формате RTF со списком запрещенных ресурсов. Эксперты выяснили, что при открытии документа на смартфоне, ПК или любом другом устройстве пользователя скачивается HTML-файл, который активирует скрипт, позволяющий мошенникам получить удаленный доступ к данным устройствам. Рассылка фишинговых писем была настроена в первую очередь на адреса электронных почтовых ящиков с доменами mail.ru, yandex.ru, mvd.ru, cap.ru и minobr-altai.ru.

19 апреля «Лаборатория Касперского» проинформировала о вредоносных рассылках, использующих названия известных вузов. Так, в Kaspersky зафиксировали нелегальное использование таких имен, как МГУ им. М. В. Ломоносова, Бухарестский университет, Рейнско-Вестфальский технический университет в Ахене, Университет Аристотеля в Салониках, Анкарский университет, Автономный университет штата Нуэво-Леон (Мексика), Католический университет Боливии. Письма были оформлены как деловое предложение, с которым получателю предлагалось ознакомиться, открыв прикрепленный архив или офисный документ с макросом, в которых использовалась уязвимость устаревших версий программ Microsoft Office.

С 1 июля аналитики Центра предотвращения киберугроз CyberART ГК Innostage фиксируют распространение вредоносной нагрузки на хосты пользователей web-сайтов под управлением CMS Bitrix. На зараженных сайтах в коде страницы появился вредоносный скрипт, который перенаправляет пользователей на одну из фишинговых страниц. Фактически хакеры могут использовать сайты на Bitrix для кражи учетных записей пользователей и данных платежных карт. Адреса меняются, но в известных случаях фишинг маскируется под личный кабинет Сбербанка, магазины Ozon или DNS.

Фиксировались перенаправления на фишинговые сайты ozon[.]ru[.]wb[.]org[.]ruada-rus[.]ru, ozon[.]ru[.]premium[.]pp[.]ru).

Одной из последних фишинговых кампаний в мировом сообществе была рассылка в WhatsApp от компании Heineken. К фишинговому сообщению в WhatsApp прикреплены изображение с охладителем пива и ссылка на фальшивый сайт конкурса компании. Фейковая страница требует личные данные (имена, адреса электронной почты и номера телефонов) желающих поучаствовать в розыгрыше выпивки.

Как не стать жертвой фишинга
Самое главное — быть внимательным к входящим сообщениям.
1. Обращайте внимание на визуальные отклонения в письме, это один из критериев фишингового послания.
2. Критически относитесь к ссылкам, полученным в письмах и сообщениях от незнакомцев, а также в «вирусных» сообщениях с просьбой переслать их определенному числу контактов. Проверяйте URL-адреса, чтобы увидеть, не перенаправляют ли они на неизвестный и/или подозрительный веб-сайт. Также в письме не должны содержаться грамматические и орфографические ошибки.
3. Используйте защитное решение, которое блокирует фишинговые ресурсы.
4. Чтобы защититься от фишинг-атак, пользователям следует избегать ответов на звонки с неизвестных телефонных номеров и не сообщать личную информацию по телефону.

Также есть несколько рекомендаций компаниям и их сотрудникам:
1. Если вы замечаете подозрительное поведение компьютера или подозрительное письмо в почте, незамедлительно сообщите об этом в службу информационной безопасности своей организации. Чем вы быстрее сообщите об этом, тем быстрее они смогут отреагировать.
2. Если вам приходит письмо с вложенным документом или ссылкой, которые вы совершенно не ожидаете от отправителя, прежде чем открывать вложения или переходить по ссылке, позвоните отправителю и уточните, действительно ли он отправил это письмо.
3. Соблюдайте цифровую гигиену:
   a) не храните логины, пароли и другую важную информацию в почте;
   б) не сохраняйте в браузере пароль от web-формы входа в почту.
4. Никогда не вводите свой корпоративный пароль на сторонних ресурсах, а если вас просят это сделать — уточните этот момент у службы информационной безопасности своей организации. Поверьте, они будут рады тому, что вы спросили это у них сейчас, а не пришли к ним, когда вас «взломали».
5. Никогда не сообщайте пароли по телефону, даже если звонящий представляется сотрудником вашей IT-службы или службы безопасности. Свяжитесь сами со службой безопасности и спросите, почему по телефону спрашивают ваш личный пароль.
6. Следите за появлением фиш-китов, нацеленных на пользователей или сотрудников.
7. Повышайте цифровую грамотность сотрудников, например, с помощью базового обучения сотрудников основам информационной безопасности.
8. Применяйте комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему информационной безопасности.

Источник публикации