Одним із найпопулярніших видів кіберзлочинів є фішинг. Незважаючи на це, ці атаки досі становлять серйозну загрозу багатьом організаціям. Причиною цього є широке використання та витонченість фішингових кампаній.
Фішинг – це вид кібератаки, спрямований на отримання доступу до конфіденційної інформації користувачів (дані для входу в систему (логін/пароль), дані банківських карток (CVV, ПІН-код картки тощо), пароль підтвердження операцій, адреса електронної пошти, фінансовий номер телефону, кодове слово та відповіді на секретні запитання та інша банківська інформація).
Для такої атаки злочинці використовують методи соціальної інженерії. Вони підробляють електронні листи, оголошення або сайти для максимальної схожості з тими, яким вже довіряють користувачі. Так, кіберзлочинці можуть надіслати листа нібито від банку, де обслуговується клієнт, і змусити його надати інформацію про свій банківський рахунок. При відкритті такого листа та переході за шкідливим посиланням користувач потрапляє на підроблений, але максимально відповідний справжньому, сайт. Найчастіше зловмисники підробляють фінансові організації, електронні листи від колег, сайти аукціонів, соціальні мережі та системи онлайн платежів. Фішингові листи також можуть містити вкладення для встановлення шкідливого ПЗ (програми-вимагачі, програми для отримання несанкціонованого доступу до системи та отримання конфіденційної інформації тощо).
Для спрощення здійснення фішингових кампаній є набір для фішингу. Це набір інструментів, які відображають законні сайти (Microsoft, Google, Apple, PayPal тощо). Після встановлення такого набору на сервер і придбання доменного ім’я для фішингового сайту можна починати атаку листами для досягнення злочинних цілей. Фішингові набори доступні для покупки в даркнеті.
- Цілі фішингу:
- Збір конфіденційної інформації: підозрілі листи, метою яких є за допомогою обману змусити жертву розкрити облікові дані для входу до системи та/або надати персональну інформацію;
- Встановлення шкідливого ПЗ: листи із зараженими посиланнями або прикріпленими файлами із зараженим ПЗ.
Типи фішингових атак:
- Цільовий фішинг – це цілеспрямована атака на отримання та використання особистої інформації жертви за допомогою електронного листа або повідомлення. Кіберзлочинці використовують особисту інформацію жертви у фішинговому повідомленні, що робить атаки успішними;
- Вішинг (голосовий фішинг) – атака за допомогою телефонного дзвінка з метою виманювання банківської інформації, реквізитів банківських карток, інших конфіденційних даних, а також переказу коштів на рахунок зловмисників;
- Смішинг – фішинг через СМС, яке містить посилання або номер телефону. Для збільшення бажання перейти за посиланням або зателефонувати злочинці посилюють відчуття терміновості;
- Клонінг фішингу – це тип фішингу, при якому повністю клонується раніше доставлений електронний лист від законного джерела та додається шкідливий зміст (вкладення, посилання);
- Фішинг китів – цільовий фішинг, спрямованим на керівників вищої ланки (члени правління, фінансовий директор та інші особи, які мають доступ до чутливої інформації);
- Маніпуляції з посиланнями – це форма фішингу, за якої шкідливе посилання виглядає так, ніби воно належить законній організації;
- Ухилення фільтра – це форма фішингу з використанням зображення для уникнення антифішингових фільтрів;
- Підробка веб-сайтів – форма фішингу, за якої злочинці використовують команди javascript для зміни адреси URL, на яку вони ведуть;
- Прихована переадресація – форма фішингу, при якій посилання має вигляд легітимної, при цьому перенаправляє жертву на сайт фішера;
- Tabnabbing – атака, при якій використовуються неактивні вкладки для виманювання персональних, реєстраційних даних та паролів на популярні веб-сайти;;
- Фармінг – атака, яка перенаправляє користувачів із законного сайту на фішинговий сайт, навіть при правильному введенні доменного ім’я.
Основне завдання фішингу – максимально замаскуватися під законну компанію, співробітника чи колегу, що ускладнює можливість визначити справжність листів, повідомлень та дзвінків. Однак, існують певні індикатори, що вказують на спроби фішингу:
- Використання піддоменів, помилки в URL-адресах;
- Використання Gmail або іншого постачальника безкоштовних адрес електронної пошти замість корпоративної пошти; доменне ім’я не співпадає з невірно наданим доменом;
- Повідомлення викликає почуття страху та невідкладності;
- Повідомлення містить запит на перевірку персональної інформації (дані для входу в банк, логін та паролі для входу в соціальні мережі або інші системи);
- Орфографічні та граматичні помилки у тексті повідомлення;
- Повідомлення містить незвичне вкладення, яке може бути шкідливим ПЗ або програмою-вимагачем;
- Знайоме ім’я відправника, однак зазвичай ви не спілкуєтеся або не маєте спільних посадових обов’язків із ним;
- Розбіжність URL-адреси в електронному листі з URL-адресою невірно представленої організації;
- Повідомлення містить неправдиву інформацію про виграш у лотереї або змаганнях, у яких ніколи не брали участь.
Популярність та високий відсоток успіху фішингових атак збільшує потребу у методах їх запобігання. Найкращим способом запобігти фішингу є вивчення прикладів спроб фішингу та проведення навчання співробітників.
Для запобігання спробам фішингових атак персонал повинен:
- Ідентифікувати фішингові атаки;
- Бути обережним зі спливаючими вікнами;
- Бути обережним з переходом за посиланням, яке містить електронний лист;
- Переконатися, що посилання ведеться за правильною адресою;
- Переконайтеся, що SSL-сертифікат веб-сайту дійсний та відповідає домену;
- Отримати підтвердження від колеги або керівника про надсилання підозрілого листа;
- Остерігатися перенаправлень на інші сайти з ідентичним дизайном;
- Перевірити URL-адресу перед введенням конфіденційної інформації;
- Не розкривати персональну інформацію, яка може бути використана для цільового фішингу та фішингу китів (наприклад, дата народження, адреса, номер телефону тощо);
- Перевіряти листи, що вказують на терміновість;
- Уникати завантаження вкладень з електронних листів, якщо немає впевненості про їхню справжність;
- Перевіряти посилання;
- Використовувати двофакторну автентифікацію.
Для запобігання попаданню фішингових листів до працівників слід використовувати:
- Антивірусне ПЗ;
- Десктопні брандмауери;
- Мережеві брандмауери;
- Антишпигунське ПЗ;
- ПЗ для захисту від шкідливих програм;
- Фільтр пошти;
- Шлюзи інформаційної безпеки;
- Спам-фільтри;
- Браузери, які попереджають користувачів про шахрайські сайти;
- Двофакторну автентифікацію;
- Менеджер паролів.
