Фішинг. Чи так страшний чорт, як його малюють, і як зрозуміти, що ви на гачку?

Нещодавно отримав листа від друга приблизно такого змісту: «О боже, це твоє відео? Ось глянь за цим посиланням => (посилання на невідомій ресурс)». Раніше він ніколи не надсилав подібних повідомлень, то ж це одразу викликало підозри. Цей випадок наштовхнув мене на те, щоб більш детально розповісти про види фішингових атак і що робити, якщо ви опинилися на гачку.

На початку розповіді приведу трохи статистичних даних. Минулого року компанія Tripwire провела опитування учасників конференції RSA Security, в якому учасникам пропонували оцінити актуальність фішингових атак. З двохсот спеціалістів безпеки, що взяли участь в опитуванні більше половини (58%) заявили, що порівняно з минулим роком кількість подібних атак збільшилася, тому питання захисту від фішингових атак залишається актуальним.

Термін «Фішинг (Phishing)» закріпився за сукупністю технік соціальної інженерії, метою яких є неправомірне отримання чутливих даних, таких як паролі, номери платіжних карток тощо. Етимологія слова відсилає до англійського слова fishing (риболовля), оскільки жертва опиняється «на гачку» по аналогії з рибою. Наразі фішинг поділяється на кілька категорій:

Odoo text and image block
1.    Vishing (voice+phishing) - це фішинг, здійснений за допомогою телефонних дзвінків. Більшість із читачів, мабуть, знайомі зі старою схемою «Мамо, я в поліції». Але проаналізувавши дані, доступні в соціальних мережах або електронних дошках об’яв, зловмисники можуть змоделювати дзвінок так, що він не викличе жодних підозр.

2.    Smishing (SMS+Phishing) – фішинг за допомогою СМС. Може виглядати як фейкове повідомлення про блокування банківської картки або замовлення в інтернет-магазині з посиланням.

3.    Search Engine Phishing. Фішинг у пошуковій системі, що полягає у створенні фейкової веб-сторінки, яка просувається по певних ключових словах. Раніше це був дуже популярний вид фішингу, зараз він менш розповсюджений через санкції пошукових систем.

4.    Spear Phishing (фішинг списом). На відміну від традиційного фішингу, який передбачає відправлення електронних листів мільйонам невідомих користувачів, цей вид атак має сфокусовану дію, а листи ретельно направлені на конкретного користувача або групу користувачів. Такі атаки є більш складними і несуть вищий ризик, оскільки зловмисники під час підготовки до них проводять детальне дослідження профілів користувачів та їхньої організації, використовуючи відкриті джерела інтернету (профілі у соціальних мережах, веб-сайт компанії, онлайн-каталоги тощо).

5.    Whaling. Механіка «китобійного промислу» схожа на фішинг списом. Різниця в тому, що зловмисники поцілюють у більш велику рибу. Мішенню для них стають керівники вищої ланки, «кити» на жаргоні кіберзлочинців.

Odoo CMS - a big picture

Приклад фішингу в пошукових системах

Оскільки найбільш поширеною фішинговою механікою є листування, то розглянемо її більш детально. Основною метою таких листів є отримання коштів чи конфіденційної інформації шахрайським шляхом, а також доступу до користувацького пристрою через виконання шкідливого коду.

Більшість шахрайських листів з повідомленням про злам аккаунту та вимагання коштів не несуть значної небезпеки і розраховані на випадкового та недосвідченого користувача.

Значно більшу небезпеку становлять листи, ретельно замасковані під реальні Інтернет сервіси з проханням перейти за посиланням та авторизуватись. Отримання такого листа є сигналом про те, що проти вас особисто чи вашого роботодавця розпочато атаку і треба вжити захисних заходів. Якщо зловмисники попадуть в внутрішню мережу, то зупинити їхню активність буде вже значно складніше. Крім того, якщо фішингові листи приходять на особисту поштову скриньку, то в небезпеці опиняються персональні дані, що належать вам чи вашим близьким. Як вони будуть використовуватися зловмисниками, можна лише здогадуватися. Багато хто з користувачів вважають, що небезпечними для компаніями є лише фішингові листи, отримані на корпоративну пошту, але це не так. Шкідливому коду все одно, звідки його принесли, після того, як його було запущено на пристрої в корпоративній мережі. Тому будьте уважними щодо підозрілих повідомлень завжди, навіть якщо їх було надіслано на особисту пошту чи на месенджер.


Odoo CMS - a big picture

Приклад фішингового сайту

З видами фішингових повідомлень і небезпекою, яку вони несуть, ніби розібралися. Нижче наведу правила, які допоможуть вам не стати жертвою фішингової атаки.

1.    Уважно переглядайте електронні листи та не переходьте за посиланнями в тілі листа, не відкривайте вкладені файли та не розпаковуйте архіви.

2.    Якщо приходять повідомлення від інтернет-сервісів, якими ви користуєтесь, особливо ті, що вимагають негайних дій, уважно перевіряйте адресу відправника і URL посилання. Замість переходу за посиланням краще зайдіть до особистого кабінету в сервісі через пряму адресу.

3.    Якщо ви отримали підозрілого листа від вашого знайомого, рекомендуємо зв’язатися з ним для уточнення.

4.    Не відповідайте на підозрілі листи. Відповіддю, ви підтвердите, що ваш e-mail «живий». Не грайте на руку зловмисникам.

5.    Користуйтеся антивірусним ПЗ та за його допомогою перевіряйте підозрілі листи і прикріплені файли.

6.    Не передавайте свій пароль від електронної пошти третім особам: при реєстрації, заповненні форм, на прохання для уточнення інформації.

7.    Використовуйте цифрові підписи під час користування поштою.

8.    Надсилайте хеш суми файлів при листуванні іншими каналами.

9.    Якщо є підозра, що ваші облікові дані потрапили до рук зловмисників, треба терміново змінити ключі доступу до акаунтів. Загалом, краще прийняти за правило змінювати паролі принаймні раз на рік та слідкувати, щоб ваші ключі мали високий рівень захисту. Це можна перевірити на спеціальних онлайн-ресурсах.

Отже, в першу чергу, безпека ваших особистих даних або даних компанії залежить від вашої уваги. Якщо ви виявили підозрілу активність не варто панікувати. Краще уявити себе героєм, що рятує світ попередивши розвиток нової кібератаки.