23
Пн, дек

Как не стать следующей жертвой фишинга

В то время как компьютерные системы имеют брандмауэры и средства защиты от вредоносных программ, один пользователь с действительными учетными данными может пройти через все эти меры безопасности.


Мы все хорошо знакомы с фишинговыми электронными письмами и атаками социальных инженеров, потому что сейчас они стали обычным явлением. Редко проходит день, когда мы не получаем мошеннического телефонного звонка или не находим множество «фишнговых» электронных писем.

Атаки социальной инженерии, такие как фишинг, вероятно, будут успешными, потому что человеческая природа включает в себя «допущение истины», которое позволяет нам жить в организованных обществах. Без врожденного предположения о правдивости наших взаимоотношений с другими людьми все группы людей быстро рухнут в хаос.

Эффективно, но опасно

К сожалению, для каждых 99 из 100 человек, кто научился не доверять этому предположению правды, есть еще один человек, который еще не получил «прививку» от атак социальной инженерии. Если вы когда-нибудь думали про себя: «Как эти мошенники зарабатывают на жизнь? Разве они все еще не знают, что мы разбираемся в этих атаках? ». Ответ заключается в том, что злоумышленникам все равно, 99 из 100 человек защищены от их атак. Они готовы забросить широкую сеть в поисках этого слабого звена.

Атаки социальной инженерии также приводят к огромным последствиям и затратам. В то время как компьютерные системы имеют брандмауэры, средства защиты от вредоносных программ и многие другие технические средства контроля, один пользователь с действительным именем пользователя и паролем может проходить сквозь эти средства защиты и получать доступ к конфиденциальной информации и системам, будь то личная информация человека или интеллектуальная собственность корпорации.

Учитывая уровень успеха социальной инженерии и высокую эффективность подготовленной атаки, мало кто сомневается в том, почему она так популярна.

Поэтому неудивительно, что атаки социальной инженерии, похоже, на подъеме. Поскольку современные компании осуществляют значительный объем коммуникаций по электронной почте и телефону, они представляют собой желанные цели для вымогателей. В частности, страховщики курируют конфиденциальную информацию о клиенте, поэтому злоумышленник, который нарушает систему страховщика, может собирать информацию, которую он ищет об одном конкретном клиенте или даже конфиденциальные данные о нескольких организациях, прилагая усилия, необходимые для совершения только одного нарушения.

Мобильные устройства усиливают угрозу

Традиционно атаки социальной инженерии выполнялись против базовой сетевой инфраструктуры агентства или страховщика. Но с распространением смартфонов, удаленного доступа, облачных вычислений и социальных / деловых сетей атаки теперь направлены на отдельных сотрудников. Как только  компрометация отдельного сотрудника завершена, злоумышленник пытается проникнуть в информационную систему компании.

Двумя наиболее эффективными атаками социальной инженерии являются фишинг и вишинг. Фишинг - это просто целенаправленная атака по электронной почте, при которой мошенник пытается отправить нам письмо на актуальную тему или раскрыть некоторые инсайдерские знания, а также подделывает действующий адрес электронной почты компании в попытке повысить доверие к своему сообщению.

Обычные сценарии, используемые фишерами, включают в себя исправления безопасности, опросы, действия по выставлению счетов или оплате, возможности трудоустройства, письма соискателей и другие, казалось бы, затрагивающие своевременные или актуальные проблемы. Основная задача - заставить жертву щелкнуть ссылку на вредоносный веб-сайт, открыть вредоносное вложение или разгласить учетные данные пользователя.

Вишинг - это основанная на телефоном разговоре техника фишинга. Часто используется в сочетании с подменой идентификатора вызывающего абонента, вишинг чрезвычайно распространен. В то время, как проверенные и отработаные сценарии вишинга, такие как звонок от представителя технической поддержки Microsoft, налогового инспектора и других проверяющих организаций, довольно часто используемые ранее, уже не актуальны к настоящему времени, последние и самые большие атаки вишинга используют сценарии, которые сложнее обнаружить. Часто используется собственное цифровое присутствие жертвы, чтобы придать авторитет звонку. Казалось бы, безобидные сценарии или призывы к действиям, подобные этим, являются одними из текущих любимых вариантов атакующих:

«Я из отдела обслуживания клиентов компании ХХХ, и я звоню по поводу предоставления вам бонусной карты…»
«Ваша (кредитная, дебетовая и т. д.) в компании ХХХ была скомпрометирована…»
«Ваша учетная запись в ХХХ Банке проявляет потенциально мошенническую активность…»

Как только они обманывают жертву в разговоре, то принятие отправленной по электронной почте «подарочной карты» в качестве жеста от доброго представителя службы поддержки клиентов кажется удивительным кусочком манны небесной, но до тех пор, пока жертва не откроет вложение подарочной карты только для того, чтобы дать установить контроль над своим компьютером.

Как защитить свой бизнес

Очевидно, что самая важная вещь, которую все фирмы могут сделать, чтобы не стать следующей жертвой фишинга, - это всегда быть бдительным. Следите за ключевыми признаками атак социальной инженерии, такими как:

Удаление имени;
Получение контроля над компьютером;
Комплименты, лесть или флирт;
Обещания вознаграждений; или
Ничего необычного.

Обратите внимание на поле «От» для входящих писем. Получено ли письмо именно из правильного почтового домена? Как насчет того, чтобы нажать кнопку «Отправить» и проверить поле «Кому»? Отвечает ли сообщение на тот же адрес электронной почты, с которого, как утверждается, оно было отправлено? (Подсказка: если адреса «От» и «Кому» не совпадают, то происходит что-то подобное фишингу.)

Кроме того, технические средства контроля могут помочь предотвратить или ограничить воздействие фишинг-атаки. Попросите ваш ИТ-отдел внедрить, а затем протестировать запреты на подделку адресов электронной почты и вредоносные входящие вложения и ссылки. По возможности используйте многофакторную аутентификацию для доступа к электронной почте и надежные пароли.

Для желающих регулярно обновляйте телефоны и приложения для сообщений. Отключите скрипты в мобильных браузерах и не доверяйте вызывающему абоненту, когда речь идет о просьбах, требующих подтверждения в письменном виде. Кроме того, с помощью новых приложений с использованием искусственного интеллекта злоумышленники могут воспроизводить известные голоса, поэтому также не следует доверять ранее надежному распознаванию голоса человеческим ухом.

Эти тактики и стратегии, включенные в комплексную программу управления рисками информационной безопасности, могут снизить как вероятность успешного фишинга, так и влияние успешной фишинг-кампании.

Подготовлено порталом Allinsurance.kz