Hitech logo
TODO:
2 октября 2020 г., 12:31

Обучен, значит вооружен: самые опасные случаи фишинга в 2020 году

Самым действенным и распространенным видом атак в 2020 году остается фишинг — не технические, а психологические атаки на людей. С помощью таких атак киберпреступникам удается получить пароли, данные платежных карт, доступ к аккаунтам в почте и социальных сетях. Фишинговые схемы позволяют не только украсть данные у пользователя, но и обеспечить первоначальный несанкционированный доступ к внутренним системам организации, где работает жертва.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Как это происходит

Опасность фишинговых атак в том, что они нацелены не на технические уязвимости, а на человека — и часто выглядят как обычные рабочие запросы или оповещения. Чтобы стать жертвой, не обязательно посещать подозрительные сайты или скачивать фильмы с торрентов. Достаточно, например, открыть электронное письмо от якобы своего провайдера или банка и сделать то, о чем просят мошенники: обновить учетную запись, подтвердить банковский перевод, разблокировать карту, оформить возврат средств и т. п. По ссылке из письма человек попадает на поддельную интернет-страницу, которую почти не отличить от настоящей, и введенные данные оказываются у мошенника.

Мастера фишинга 2020

1. Группа RedCurl

Летом этого года была раскрыта мошенническая схема хакерской группы RedCurl, которая за три года совершила более двадцати кибератак на коммерческие организации в России, Украине, Великобритании, Канаде, Германии и Норвегии.

Преступники использовали фишинговые письма: сотрудники компаний получали электронное письмо якобы от HR-отдела о ежегодных премиях. При этом для большей достоверности письма содержали подпись, логотип, поддельное доменное имя компании.

При открытии документов и переходе по ссылка на компьютере жертвы запускался троян, который далее по внутренней сети заражал компьютеры других сотрудников. Процесс контролировался RedCurl через облако: анализируя список файлов и офисных документов пользователей, злоумышленники похищали информацию, представляющую коммерческую тайну, персональные данные и пароли сотрудников. Параллельно подменялись файлы на сетевых хранилищах организации, и при их скачивании сотрудник заражал очередной компьютер в корпоративной сети.

2. Массовый взлом Twitter-аккаунтов

Середина июля была отмечена масштабным взломом Twitter-аккаунтов известных личностей: Илон Маск, Билл Гейтс, Барак Обама и многие другие «предлагали» своим подписчикам перевести им деньги в биткоинах, чтобы удвоить эту сумму. Со 130 взломанных аккаунтов злоумышленникам удалось привлечь $121 000. В ситуацию пришлось вмешаться администрации соцсети, чтобы оперативно удалить мошеннические твиты и восстановить доступ владельцев к личным и корпоративным страницам.

Взлом организовала группа подростков, использовавшая классические методы социальной инженерии. Они звонили сотрудникам компаний-жертв и, представляясь коллегами из техподдержки, просили предоставить данные для входа в админку.

3. Деньги как приманка

В 2020 году снова стала популярной схема мошенничества с обещанием легких денег. Представителям малого и среднего бизнеса приходит электронное уведомление о зачислении на их внутренний бухгалтерский счет достаточно большой суммы. Информация по переводу лежит по ссылке в Google Docs.

Обращаясь к ней, пользователь перенаправляется на мошеннический ресурс, где ему предлагается создать личный кабинет, указав имя, фамилию и пароль. Целью этих действий является усыпить бдительность посетителя и создать видимость того, что всё происходящее легально и безопасно. В завершении пользователя просят оплатить 390 рублей за обязательную «идентификацию», которую нужно пройти согласно «постановления европейского протокола». Эти деньги и являются конечной целью мошенников. В данном случае преступники берут числом — спам-рассылка ежедневно попадает в ящики тысяч пользователей, немалая часть из которых и ведется на эту незамысловатую уловку.

4. Не по телефону, так по почте

По-прежнему активно используется схема обращения от «службы безопасности банка», причём не только по телефону. Под предлогом защиты средств жертве по электронной почте направляется скан письма с номером «безопасного счета», на который рекомендуется перевести деньги. Наличие логотипа банка и других атрибутов повышает доверие к сообщению, увеличивая эффективность схемы.

Подобные обманы с использованием фальшивых писем от имени служб безопасности были зафиксированы в Сбербанке, Росбанке и Ак Барс Банке.

5. Заплати налоги и спи спокойно

В конце июля пользователи начали получать достаточно качественную подделку писем от имени ФНС. В результате подмены технических заголовков пользователи видели в адресе отправителя настоящую почту налоговой службы info@nalog.ru, хотя рассылка отправлялась с других адресов. Получателю предлагалось явиться в «Главное Управление ФНС России» для «дачи показаний по движению денежных средств», но перед этим надо было распечатать и заполнить документы из вложения. Для дополнительной мотивации злоумышленники ссылались на статьи УК РФ и грозили преследованием в случае неявки.

При распаковке архива с документами из вложения на компьютер жертвы загружалась модифицированная легитимная программа для удалённого доступа RMS, в результате чего злоумышленники получали полный доступ к устройству.

Как защититься от фишинга

1. Внимательно проверяйте адреса электронной почты и ссылки

Внимательно изучите адрес отправителя, убедитесь, что это не «подделка» известных провайдеров, интернет-магазинов и т. п. — об этом вам скажут продублированные или поменянные местами буквы в домене электронного адреса (ozonn.ru, ammazon.com, wildberreis.ru и т. д.). Перезвоните отправителю на личный номер, чтобы проверить — на самом деле он отправлял вам письмо? 

2. Не верьте обещаниям легкого заработка

Если вы не ожидаете переводов — скорее всего, это обман. Если вы работаете с переводами, обратите внимание на побуждение к срочным, немедленным действиям — это должно вас также насторожить и стать поводом для дополнительной проверки.

3. Кладите трубку и звоните сами

Помните, что сотрудники банков и других поставщиков услуг не будут запрашивать у вас полный номер карты, код из сообщения и тем более пароль от учетной записи. В любой непонятной ситуации кладите трубку и сами перезванивайте в ваш банк.

4. Пользуйтесь антивирусом и другими средствами защиты

Обновляйте операционную систему, все программы и пользуйтесь платным антивирусом. Держите почту у проверенных крупных провайдеров электронной почты, которые используют свои инструменты защиты и фильтруют входящие сообщения. Включите двухфакторную аутентификацию в почте и других аккаунтах. 

5. Предупрежден — значит вооружен

Так как фишинг и другие подобные атаки направлены на человека, то и лучшая защита от них — через знания и навыки безопасной работы. Наиболее надежный способ — следить за всеми трендами и учиться распознавать мошеннические уловки на практике. 

Сегодня обучение сотрудников через практические тренировки навыков — пока в новинку, более того, сами компании делают в первую очередь акцент на техническую защиту. Но практика показывает, что даже три имитированные атаки повышают внимательность сотрудников и снижают число потенциальных жертв в несколько раз. 

Точка зрения автора колонки может не совпадать с мнением редакции.