Как это происходит
Опасность фишинговых атак в том, что они нацелены не на технические уязвимости, а на человека — и часто выглядят как обычные рабочие запросы или оповещения. Чтобы стать жертвой, не обязательно посещать подозрительные сайты или скачивать фильмы с торрентов. Достаточно, например, открыть электронное письмо от якобы своего провайдера или банка и сделать то, о чем просят мошенники: обновить учетную запись, подтвердить банковский перевод, разблокировать карту, оформить возврат средств и т. п. По ссылке из письма человек попадает на поддельную интернет-страницу, которую почти не отличить от настоящей, и введенные данные оказываются у мошенника.
Мастера фишинга 2020
1. Группа RedCurl
Летом этого года была раскрыта мошенническая схема хакерской группы RedCurl, которая за три года совершила более двадцати кибератак на коммерческие организации в России, Украине, Великобритании, Канаде, Германии и Норвегии.
Преступники использовали фишинговые письма: сотрудники компаний получали электронное письмо якобы от HR-отдела о ежегодных премиях. При этом для большей достоверности письма содержали подпись, логотип, поддельное доменное имя компании.
При открытии документов и переходе по ссылка на компьютере жертвы запускался троян, который далее по внутренней сети заражал компьютеры других сотрудников. Процесс контролировался RedCurl через облако: анализируя список файлов и офисных документов пользователей, злоумышленники похищали информацию, представляющую коммерческую тайну, персональные данные и пароли сотрудников. Параллельно подменялись файлы на сетевых хранилищах организации, и при их скачивании сотрудник заражал очередной компьютер в корпоративной сети.
2. Массовый взлом Twitter-аккаунтов
Середина июля была отмечена масштабным взломом Twitter-аккаунтов известных личностей: Илон Маск, Билл Гейтс, Барак Обама и многие другие «предлагали» своим подписчикам перевести им деньги в биткоинах, чтобы удвоить эту сумму. Со 130 взломанных аккаунтов злоумышленникам удалось привлечь $121 000. В ситуацию пришлось вмешаться администрации соцсети, чтобы оперативно удалить мошеннические твиты и восстановить доступ владельцев к личным и корпоративным страницам.
Взлом организовала группа подростков, использовавшая классические методы социальной инженерии. Они звонили сотрудникам компаний-жертв и, представляясь коллегами из техподдержки, просили предоставить данные для входа в админку.
3. Деньги как приманка
В 2020 году снова стала популярной схема мошенничества с обещанием легких денег. Представителям малого и среднего бизнеса приходит электронное уведомление о зачислении на их внутренний бухгалтерский счет достаточно большой суммы. Информация по переводу лежит по ссылке в Google Docs.
Обращаясь к ней, пользователь перенаправляется на мошеннический ресурс, где ему предлагается создать личный кабинет, указав имя, фамилию и пароль. Целью этих действий является усыпить бдительность посетителя и создать видимость того, что всё происходящее легально и безопасно. В завершении пользователя просят оплатить 390 рублей за обязательную «идентификацию», которую нужно пройти согласно «постановления европейского протокола». Эти деньги и являются конечной целью мошенников. В данном случае преступники берут числом — спам-рассылка ежедневно попадает в ящики тысяч пользователей, немалая часть из которых и ведется на эту незамысловатую уловку.
4. Не по телефону, так по почте
По-прежнему активно используется схема обращения от «службы безопасности банка», причём не только по телефону. Под предлогом защиты средств жертве по электронной почте направляется скан письма с номером «безопасного счета», на который рекомендуется перевести деньги. Наличие логотипа банка и других атрибутов повышает доверие к сообщению, увеличивая эффективность схемы.
Подобные обманы с использованием фальшивых писем от имени служб безопасности были зафиксированы в Сбербанке, Росбанке и Ак Барс Банке.
5. Заплати налоги и спи спокойно
В конце июля пользователи начали получать достаточно качественную подделку писем от имени ФНС. В результате подмены технических заголовков пользователи видели в адресе отправителя настоящую почту налоговой службы info@nalog.ru, хотя рассылка отправлялась с других адресов. Получателю предлагалось явиться в «Главное Управление ФНС России» для «дачи показаний по движению денежных средств», но перед этим надо было распечатать и заполнить документы из вложения. Для дополнительной мотивации злоумышленники ссылались на статьи УК РФ и грозили преследованием в случае неявки.
При распаковке архива с документами из вложения на компьютер жертвы загружалась модифицированная легитимная программа для удалённого доступа RMS, в результате чего злоумышленники получали полный доступ к устройству.
Как защититься от фишинга
1. Внимательно проверяйте адреса электронной почты и ссылки
Внимательно изучите адрес отправителя, убедитесь, что это не «подделка» известных провайдеров, интернет-магазинов и т. п. — об этом вам скажут продублированные или поменянные местами буквы в домене электронного адреса (ozonn.ru, ammazon.com, wildberreis.ru и т. д.). Перезвоните отправителю на личный номер, чтобы проверить — на самом деле он отправлял вам письмо?
2. Не верьте обещаниям легкого заработка
Если вы не ожидаете переводов — скорее всего, это обман. Если вы работаете с переводами, обратите внимание на побуждение к срочным, немедленным действиям — это должно вас также насторожить и стать поводом для дополнительной проверки.
3. Кладите трубку и звоните сами
Помните, что сотрудники банков и других поставщиков услуг не будут запрашивать у вас полный номер карты, код из сообщения и тем более пароль от учетной записи. В любой непонятной ситуации кладите трубку и сами перезванивайте в ваш банк.
4. Пользуйтесь антивирусом и другими средствами защиты
Обновляйте операционную систему, все программы и пользуйтесь платным антивирусом. Держите почту у проверенных крупных провайдеров электронной почты, которые используют свои инструменты защиты и фильтруют входящие сообщения. Включите двухфакторную аутентификацию в почте и других аккаунтах.
5. Предупрежден — значит вооружен
Так как фишинг и другие подобные атаки направлены на человека, то и лучшая защита от них — через знания и навыки безопасной работы. Наиболее надежный способ — следить за всеми трендами и учиться распознавать мошеннические уловки на практике.
Сегодня обучение сотрудников через практические тренировки навыков — пока в новинку, более того, сами компании делают в первую очередь акцент на техническую защиту. Но практика показывает, что даже три имитированные атаки повышают внимательность сотрудников и снижают число потенциальных жертв в несколько раз.
