Фишинг: как не попасться на «удочку»

В 2022 году мировые аналитики зафиксировали более 255 млн фишинговых атак, что на 61% превзошло показатель 2021 года. При этом в российском сегменте интернета в прошлом году выявлено свыше 18 000 фишинговых сайтов, что на 15% больше, чем годом ранее. Обострение геополитической ситуации стало стимулом для фишинга не только ради наживы, но и с целью просто навредить российскому бизнесу и гражданам — уверен Павел Яшин, руководитель службы информационной безопасности iiii Tech. О современных видах фишинга и возможностях защиты, он рассказал в своем авторском материале. 

Виды фишинга 

Для начала стоит дать определение фишингу, который появился гораздо раньше, чем интернет. Дословный перевод с английского — «рыбная ловля», что означает попытку вынудить человека совершить какое-либо действие в пользу мошенников на базе его пороков. К ним можно отнести жадность — желание получить легкую прибыль, что и обещают «ловцы», любопытство — интерес к любой информации о коллегах, звездах, выигрышах. Оперируя подобными обещаниями, фишинговые мошенники получают «рыбу» — выгоду в виде персональных данных, номеров банковских карт и счетов или просто возможность внедриться в персональный компьютер или корпоративную сеть и навредить. При этом злоумышленник может маскироваться под надежный источник — крупную компанию или участника корпоративной сети.

Каждый из нас встречался с фишингом в том или ином виде. И, конечно, если вам на корпоративную почту придет письмо с нерабочей информацией («Вы выиграли приз!», например), то вы не обратите на это внимание. Как же фишинг проникает в корпоративную жизнь и действует не против физического лица, а против целой компании?

Фишинг можно разделить на два типа — таргетированный (целевой, обращенный к определенным лицам или категориям людей) и массовый (атака на максимальное количество пользователей без разбора). К первому виду относятся такие виды фишинга, как 

• spear phishing — нацелен на определенных сотрудников в специально выбранных компаниях;
• whaling (уэллинг) — похож на первый вид, только вместо рядовых сотрудников используется в отношении топ-менеджеров компаний: генеральный директор, финансовый директор или любой руководитель высокого уровня, имеющий доступ к более конфиденциальным данным или коммерческой тайне.

По каналам атаки фишинг также может классифицироваться на:

• почтовый фишинг — атака при помощи электронных писем, содержащих призыв к срочному действию: например, информация о том, что почтовый ящик взломан и для его восстановления необходимо как можно быстрее перейти по ссылке и сменить пароль. Разумеется, ссылка приведет пользователя на вредоносный сайт, несмотря на то, что хакер прислал письмо под видом легитимной личности или организации.
• vishing (вишинг), более известный, как voice phishing (голосовой фишинг) — происходит при помощи телефонных звонков. Обычно это автоматическое голосовое сообщение якобы от государственной организации (банк, служба судебных приставов, ГИБДД). Злоумышленники сообщают, что абонент задолжал крупную сумму денег, или у него истек срок действия автостраховки, кредитной карты, тем самым вынуждая оппонента предоставить личную информацию: данные банковской карты или номер страховки для идентификации, прежде чем получить дополнительную информацию и предпринять какие-либо действия, чтобы исправить ситуацию. 

Доходит до того, что пользователю могут позвонить мошенники с номера другого абонента, где изменен код или цифра «0» на букву «О». И тогда в отношении последнего может быть заведено уголовное дело по статье «Мошенничество». Успокаивает в этом случае лишь тот факт, что оператор связи обязан предоставить правоохранительным органам распечатку всех звонков абонента в качестве доказательства, что вишинг совершался не им.

• smishing (смишинг), где для атаки используются смс-сообщения, а не электронная почта, но текст отправляется также от лица легитимной компании, например, с известного номера Сбербанка «900». В тексте зашита вредоносная ссылка под видом сертификата на дополнительные бонусы «СберСпасибо» или купона на скидку в «СберМаркет». Таким образом, пользователь попадает на фишинговый сайт, даже не предполагая подвоха. 
• фишинг в социальных сетях — обычно используется в  Facebook, Instagram, LinkedIn (организации, запрещенные в России), где массово рассылаются сообщения, например, от мнимой службы поддержки, где требуется указать свои логин и пароль от аккаунта во избежании его блокировки, или угрозы распространить некую компрометирующую информацию. То есть, используются поддельные личности и профили. 
• pharming (фарминг). В этом формате цель злоумышленников —  DNS-серверы (серверы доменных имен) Перенаправляя пользователей на вредоносные сайты, они получают их персональные данные. 

Признаки фишинга

Лучшая возможность защитить себя от фишинговой атаки — знать ее признаки. Разумеется, специальные встроенные системы защиты от фишинговых писем в большинстве случаях справляются со своей задачей и отправляют подобные обращения в папку «Спам». Однако злоумышленники с каждым годом становятся хитрее и умудряются обойти даже самые актуальные технологии информационной безопасности. Поэтому «последним рубежом» перед атакой «рыбака» становится пользователь, который должен распознать фишинг по следующим «симптомам»:

• в письме требуют подтвердить персональную информацию (логин/пароль, номер телефона, ФИО, номер банковской карты или ее пин-код);
• письмо выглядит подлинно, но его содержание совершенно неожиданно. Например: «Вы выиграли миллион», «Против Вас заведено уголовное дело», «Ваш страховой полис ликвидирован», «Ваш почтовый ящик взломан» — любой текст, который должен вызвать эмоцию и побудить к немедленным действиям;
• ошибки в оформлении: грамматика и пунктуация, отсутствие адреса отправителя, бессмысленный набор букв в теме письма, использование при рассылки от имени компании личного e-mail. Так как фишинг, в основном, имеет массовый охват, мошенники не уделяют должного внимания оформлению, используют шаблоны, ботов для написания текста, картинки из даркнета;
• ошибки в ссылке для перехода или картинке, нажав на которую, пользователь попадает на фишинговый сайт: в адресе ссылок необычные символы, например, устаревший символ «@», вложенные файлы имеют непонятное расширение или название;
• ограничение по времени: призыв сделать что-либо «немедленно», «как можно скорее», «в течение часа» — сменить пароль, разблокировать аккаунт, подтвердить личность и т.д;
• маскировка под органы власти: письма от имени ГИБДД, полиции, Госуслуг, ФССП, Пенсионного фонда. Данный сценарий чаще всего используется в уэллинге.  Сотрудник компании может получить письмо, в котором будет очень грамотно и логично написано о составе преступления, необходимости содействия и просьба позвонить по определенному номеру. Далее в дело вступают телефонные мошенники, которые представляются сотрудниками органов и даже способны приехать в офис для личной беседы.

Чаще всего для фишинга в 2022 году хакеры использовали такие компании, как «Сбер», «Авито», Ozon, «Додо Пицца», «Красное и Белое», «Альфабанк», ВТБ, Blablacar, «Столото», «МВидео» и «Эльдорадо». На имитацию этих брендов пришлось до 80% от всех выявленных поддельных сайтов, ориентированных на российскую аудиторию. Клиентам сети ресторанов и алкомаркетов злоумышленники предлагали призы по результатам несуществующих розыгрышей, например. 

Цена вопроса

Согласно статистике, средний чек убытков от фишинга одного сотрудника компании составляет 100-150 долларов. Но иногда такие атаки похожи не на «ловлю рыбы», а на «китобойный промысел» — таргетированный фишинг, который занимает гораздо более длительное время. Начинается все с грамотно оформленного письма, потом может быть телефонный звонок, заказное письмо по почте и даже личная встреча. Такой подход дороже и сложнее для злоумышленника, но вместе с тем и в несколько раз прибыльнее в случае успеха. Для этого «рыбаку» надо хорошо знать потенциальную «жертву». Например, я лично сталкивался с подобной атакой: получил на корпоративную почту судебное письмо практически неотличимое от оригинала. То есть «ловец» не только знал место моего трудоустройства, но и те факты, что я взаимодействую с судами — не в качестве ответчика, а в роли истца, имею автомобиль и оплачиваю штрафы.

Для корпоративного сегмента издержки от фишинга могут быть гораздо масштабнее. При этом атаки редко бывают разовыми — обычно это несколько этапов, а цель заключается не в получении прибыли, а во внедрении в ИТ-систему компании с целью навредить. Особенно, сейчас, в условиях нестабильной геополитической ситуации. Согласно открытым источникам, средние расходы бизнеса на восстановление после атаки вирусов-вымогателей в мире в годовом исчислении в 2020 году составляли 761 106 долларов, в следующем — 1,85 млн долларов. Средний размер «прибыли» фишинговых злоумышленников превысил отметку в 170 000 долларов и только 8% компаний смогли полностью вернуть украденные данные после взлома с использованием фишинга. 29% организаций удалось восстановить не больше 50% информации.

Как не попасться на «удочку»?

Важно понимать, что не всегда нужно отвечать на письма, пока не проверишь их подлинность. Они могут выглядеть очень достоверно, например, в бухгалтерию пришел счет с адреса реального поставщика компании, на его фирменном бланке, с подписью и печатью. Все было, как обычно, кроме реквизитов. Мошенники выбрали идеальное время — конец года, много срочных платежей, — и использовали базу контактов контрагентов той же компании, на которую совершили атаку. 

Если все-таки перешли по ссылке или картинке, указанной в письме, проверьте сайт: на фишинговых площадках в адресной строке, где http, не хватает буквы «s», что сигнализирует о том, что у ресурса нет сертификата, он небезопасен и никаких данных на этом сайте оставлять нельзя, даже если уже перешли по этой ссылке. Обращайте внимание на написание адреса сайта: зачастую название почти идентично легитимной компании, например, alfabank.ru — официальный сайт, аlfabank.k.ru — фишинговый. 

Хороший вариант обезопасить себя — проверить ссылку на специальных сервисах: AVG Threatlabs, Kaspersky VirusDesk, Google Transparency Report, ScanURL, PhishTank, Urlvoid.com. 

Способы защиты

Антивирусное программное обеспечение, в том числе, от российских разработчиков, остается одним из самых эффективных средств защиты от фишинга и спама. Но с учетом развития мастерства хакеров, обойти можно любые технические средства защиты: использование разных паролей, многофакторную аутентификацию, специальные «песочницы» в почтовых сервисах. 

Поэтому основным оплотом защиты от рисков фишинга становятся пользователи — сотрудники корпораций и физические лица, так как принцип воздействия фишинговых алгоритмов в данном случае не отличается. Единственное преимущество корпоративных пользователей — возможность обучения способам защиты от фишинговых атак. Курсы могут быть разработаны как внутренними специалистами по информационной безопасности, так и специальными образовательными учреждениями. Также специалисты ИБ могут самостоятельно практиковать фишинговые «учения»: своими силами организовывать «рыбную ловлю» и приучать сотрудников правильно на нее реагировать. Или собирать данные о предотвращенных акциях фишинга, чтобы аргументировать руководителю или собственнику бизнеса необходимость инвестировать в дополнительную защиту от фишинга. 

Главный же принцип: досчитайте до 50 до того, как сделать что-либо автоматически. Знакомый вид электронного письма не должен позволить пользователю выполнить стандартное действие, не вчитываясь. Будьте бдительны: все ли в порядке с адресами, подписями, нет ли в письме подозрительных вложений, настойчивого призыва их открыть и поскорее ввести свои данные? 

Помните, что есть перечень данных, которые никто не имеет права у вас запрашивать: яркий пример — это CVV-код с оборотной стороны банковской карты. Но одновременно с этим у некоторых сервисов есть данные, которыми злоумышленники могут не располагать, — например, ФИО. Поэтому, если пришло не персонализированное письмо — стоит задуматься о том, кто его прислал. Но даже упоминание личной информации, например, обращение по имени, не гарантирует полной безопасности. При возникновении любого рода сомнений нужно связаться с самой компанией-отправителем (отдельным письмом или по телефону) и проверить подлинность сообщения.