Уроки безопасности от RU-CENTER: как защитить свою компанию от фишинга

<100 full reads
236 story viewsUnique page visitors
<100 read the story to the endThat's 27% of the total page views
2,5 minutes — average reading time

Блог RU-CENTER

Уроки безопасности от RU-CENTER: как защитить свою компанию от фишинга

Если вам приходили письма о баснословных выигрышах или звонили подозрительные сотрудники банка, чтобы узнать код из СМС, знайте: это фишинг, попытка украсть ваши данные или деньги с помощью вредоносных ссылок. Он может касаться как физического лица, так и больших компаний и иметь серьёзные последствия.

Мы написали лонгрид о том, как действуют мошенники и что делать, чтобы не попасть в их ловушки. В конце вы найдёте список рекомендаций, как обезопасить себя и своих сотрудников.

Что такое фишинг

«Фишинг» — это калька с английского слова phishing, состоящего из слов fishing (рыбная ловля, выуживание) и password (пароль). Это один из самых распространённых видов интернет-мошенничества, где цель — получить идентификационные данные.

Действия мошенников могут привести к последствиям разной степени тяжести: от невинного баннера на персональном компьютере до потери контента компании без возможности восстановить его.

Основная цель фишинга — украсть что-то ценное и использовать себе во благо либо скомпрометировать или обрушить чужой бизнес.

Что обычно становится целью фишеров:

  • персональные данные, в том числе паспортные;
  • всевозможные логины и пароли;
  • коды доступа;
  • данные для входа в личные кабинеты;
  • реквизиты банковских карт или счетов;
  • личная переписка;
  • служебная информация;
  • базы данных;
  • информация, представляющая коммерческую тайну, и пр.

Кого атакуют фишеры и как часто

Масштабы фишинговых атак набирают обороты с каждым годом. Согласно исследованию Positive Technologies, в первом квартале 2020 года киберинцидентов стало больше на 20% по сравнению с предыдущим кварталом. Многие мошенники решили сыграть на главном страхе 2020 года — коронавирусе: с этой темой было связано примерно 13% фишинговых атак.

Мы писали отдельную статью о том, как на фоне пандемии мошенники обманывают людей. Помимо прочих ловушек и схем, в списке опасностей есть и рассылки с фишинговыми ссылками.

Ещё одно исследование провели эксперты «Лаборатории Касперского». Они выяснили, что в первом квартале 2020 года больше всего фишинговых атак пришлось на организации категории «Онлайн-магазины» — 18,12%. Диаграмма показывает, как распределились остальные проценты:

Данные исследования «Лаборатории Касперского»
Данные исследования «Лаборатории Касперского»
Данные исследования «Лаборатории Касперского»

Виды фишинга

Если вы услышите от кого-то слово «смишинг» или «вишинг», знайте: человек не смеётся над вами. Ведь и то, и другое — разные формы фишинга. Разберёмся в терминологии.

По целям атак фишинг делится:

  • на Целевой (англ. spear phishing) — атаки на физических лиц.
  • Уэйлинг (англ. whaling — китовый промысел) — фишинг по-крупному. Здесь главная цель — «киты» крупных компаний, высокопоставленные лица.

По каналам атак фишинг делится на:

  • Собственно фишинг (англ. phishing) — рассылка сообщений с заражёнными или фейковыми сайтами. Это общий для всех видов фишинга термин.
  • Вишинг (англ. voice+phishing=vishing) — атаки с помощью телефонных звонков.
  • Смишинг (англ. sms+phishing=smishing) — атаки через СМС.
  • Фарминг (англ. pharming) — секретное перенаправление пользователя на заражённый сайт без его ведома.
  • Рассылка мошеннических сообщений в соцсетях.

Разберём виды фишинга и выясним, как защитить от него сотрудников и компанию в целом.

Фишинговые письма

На вашу почту приходит странное письмо, которое сообщает о выигрыше, просит срочно куда-то перейти и внести свои данные и т. д. Так мошенники играют на эмоциях: неожиданной радости, страхе, любопытстве.

Многие такие «письма счастья» попадают в папку «Спам», но некоторые ухитряются проскакивать во входящие. Нельзя полностью полагаться на антиспам-систему почты, нужно всегда быть начеку.

Признаки фишингового письма

  • Нет имени отправителя и контактных данных.
  • Адрес отправителя состоит из бессмысленного набора букв.
  • Письмо от крупной организации, но на её настоящем сайте нет адреса этого отправителя.
  • Отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной: gmail.com, mail.ru.
  • При наведении курсора на кнопку или ссылку в письме, в левом нижнем углу страницы отображается не тот адрес.
  • В адресе ссылки есть необычные символы, например, @.
  • У вложенных файлов неизвестное расширение и/или непонятное название.
  • Ссылки не вставлены в текст, а замаскированы изображениями, кнопками, яркими картинками и QR-кодами.

О чём обычно пишут в фишинговых рассылках

Расскажем о темах вредоносных писем. Это далеко не полный список возможных сценариев-ловушек: мошенники очень изобретательны и постоянно придумывают новые способы выманить ваши данные. Вредоносные кнопки и ссылки в таких письмах либо запускают вирусы, либо ведут на страницы, где вы сами вводите важные данные.

  • Кто-то взломал вашу почту и узнал пароль / Мы обнаружили подозрительные или мошеннические действия в вашей учётной записи / Кто-то изменил настройки безопасности вашей почты.
  • Ваша учётная запись заблокирована или отключена / Вы добавлены в чёрный список: мы поняли, что вы мошенник или бот!
  • Вам важный документ из налоговой, полиции, кредитной организации и т. п. К письму прикреплены файлы, имеющие неизвестные расширения и странные названия.
  • Письмо от вашего коллеги/партнёра с документами или «важными рабочими» ссылками.
  • Вы выиграли приз! Перейдите по ссылке, чтобы узнать условия получения и/или доставки.
  • Вы не погасили кредит — дело передаётся в суд.

Самое главное правило

Не переходите по ссылкам в подобных письмах, не нажимайте на картинки, как бы привлекательно они ни выглядели, не вводите свои данные на неизвестных страницах.

Фишинговые сайты

Ссылки в фишинговых письмах обычно ведут на вредоносные сайты.

Какие сайты обычно подделывают:

  • банков и микрофинансовых организаций;
  • платёжных сервисов;
  • поисковиков и почтовых сервисов;
  • страницы с формами авторизации и оплаты интернет-магазинов;
  • авиакомпаний и др.

Как распознать фишинговый сайт

● HTTP вместо HTTPS в адресе сайта

Это значит, что сертификата безопасности у сайта нет и соединение небезопасно. Если вы попали на сайт банка и видите в адресе HTTP, это повод усомниться в подлинности страницы. К сожалению, сейчас мошенник может легко получить бесплатный SSL-сертификат для своего фишингового сайта. Это в очередной раз доказывает, что серьёзная компания не станет пользоваться бесплатным сертификатом, а приобретёт его у проверенных поставщиков.

● Странное или подозрительное доменное имя

Чтобы сбить с толку жертву, мошенники регистрируют доменные имена, похожие на названия крупных организаций. Но, если присмотреться, нестыковки будут очевидны: достаточно посмотреть на домен второго уровня. Например, вместо https://alfabank.ru фишинговый сайт будет называться http://alfabank.k.ru. Если сомневаетесь, найдите в поиске оригинальный сайт и сравните адреса — так вы поймёте, попали ли вы к мошенникам.

● Ошибки, опечатки, странности в дизайне и вёрстке

На странице всё «прыгает» и наезжает друг на друга, где-то не хватает текста, а где-то целые предложения написаны капсом. Грубые орфографические ошибки перемежаются с призывами зайти, ввести, нажать и купить. Как правило, такие сайты являются фишинговыми — крупные организации, под которые маскируются мошенники, не могут позволить себе выглядеть так небрежно.

Вы всегда можете проверить подозрительный сайт на подлинность и наличие вирусов и спама. Воспользуйтесь подходящим вам сервисом, например:

  • AVG Threatlabs,
  • Kaspersky VirusDesk,
  • Google Transparency Report,
  • ScanURL,
  • PhishTank,
  • Urlvoid.com и др.

Фишинговые звонки: вишинг

Как работает вишинг, голосовой метод фишинга:

  • Вам звонит «сотрудник банка» или службы безопасности, рассказывает о подозрительных операциях по вашей карте и предлагает назвать данные из СМС. Настоящий сотрудник банка так делать не будет: это мошенники.
  • Если вы давали объявление о продаже, например, на «Авито», вам наверняка звонили «покупатели» и просили данные вашей карты, чтобы перечислить предоплату. Это тоже одна из схем вишинга.

Фишинг через СМС: смишинг

Как обычно выглядит такой вид фишинга:

  • Вам приходит сообщение или электронное письмо, где сообщают о проблеме: что-то не так с вашей картой или идентификационными данными, кто-то пытался списать деньги с вашего счёта и т. п. Чтобы выяснить, в чём дело, вам нужно позвонить по указанному в сообщении номеру.
  • Вам пришла СМС от неизвестного со ссылкой: скорее всего, это мошенники. Не переходите по ссылкам из сообщений!
  • СМС приходит якобы от сотрудника компании, госуслуг или налоговой, но номер не официальный, а частный. Не верьте сообщению: это мошенники.

Фишинг в соцсетях

Как обычно выглядит:

  • Вам приходит личное сообщение, которое призывает посмотреть провокационное видео с вами в главной роли, узнать что-то интересное, проголосовать или оставить комментарий. Мошенник присылает ссылку и хочет, чтобы вы по ней перешли. Там вы оставляете ваши данные или получаете вирус на устройство.
  • Мошенники взламывают сообщества крупных компаний, размещают записи с вредоносными ссылками на стене и собирают урожай данных с подписчиков компании.
  • Вам пишет «администратор» группы, в которой вы состоите, и сообщает, что вы выиграли приз. Но, чтобы его получить, вы должны оплатить страховку или доставку. Это мошенники, ничего не платите, не отвечайте на сообщения и заблокируйте пользователя.
  • Ну и самое распространённое: вам пишет знакомый и просит в долг или проголосовать за него в конкурсе талантов или детского рисунка. Не отвечайте на сообщения, сразу же позвоните этому человеку и выясните, он ли написал вам в соцсети.

Виды кибератак на компании

Атака компании через сотрудников

Схема проста: мошенники запускают рассылку на сотрудника крупной компании, а тот, забыв о безопасности, например, переходит с рабочего устройства по вредоносной ссылке. Ваш сотрудник может попасть в любую ловушку из тех, которые мы описывали выше, и случайно дать злоумышленникам доступ к корпоративным аккаунтам и информации. Чтобы этого не произошло, обучайте сотрудников, проводите тренинги по компьютерной безопасности. И обязательно раздайте им памятку из окончания этой статьи.

Трояны-шифровальщики и другие трояны

Это особо опасные вирусы, которые проникают в систему разными способами, в том числе через фишинговые рассылки. Так мошенники охотятся в основном на корпоративных клиентов, крупные компании или государственные организации. Троян попадает в компьютер и зашифровывает всё его содержимое, после чего мошенники требуют выкуп за восстановление информации.

Кейлоггеры

Эти вирусы считывают информацию, которую вы вводите с помощью клавиатуры, и могут украсть множество самых разных данных. Кейлоггеры можно занести, перейдя по ссылке из фишингового письма, а также используя непроверенный антивирусом физический носитель: флешку или диск.

Атаки на облачные хранилища

Так как многие крупные компании пользуются облачными сервисами типа Google Диска или Dropbox, мошенники начали атаковать и их. Много информации, корпоративные данные, базы и персональные сведения — всё оказалось под угрозой. Чаще всего пользователя обманом ведут на фишинговый сайт, полностью имитирующий страницу входа в личный кабинет, где человек вводит свои данные доступа.

Уголовная ответственность за фишинг

В Уголовном кодексе РФ не упоминается фишинг в качестве технического состава преступления. Но мошенников, пойманных на этом нарушении, всё же наказывают по статье 159.6 УК РФ: Мошенничество в сфере компьютерной информации.

Что ждёт преступника:

  • штраф — до 120 тыс. руб. или в размере заработной платы или иного дохода за период до года;
  • обязательные работы — до 360 часов;
  • исправительные работы — до года;
  • ограничение свободы — до двух лет;
  • принудительные работы — до двух лет;
  • арест — до четырёх месяцев.

Если мошенничество совершила группа лиц по предварительному сговору, их ждёт более серьёзное наказание:

  • штраф — до 300 тыс. руб. или в размере заработной платы или иного дохода за период до двух лет;
  • обязательные работы — до 480 часов;
  • исправительные работы — до двух лет;
  • принудительные работы — до пяти лет с ограничением свободы на срок до года или без такового;
  • лишение свободы — до пяти лет с ограничением свободы на срок до года или без такового.

Подробнее о том, что ждёт фишеров и других кибермошенников, можно узнать в статье 159.6 УК РФ.

Программы для защиты ваших данных

Антивирусы

Установка антивируса — обязательное условие безопасности ваших личных устройств и устройств вашей компании. Во всех крупных антивирусах есть встроенная проверка на фишинг, достаточно только её настроить и включить. Установите лицензионное антивирусное ПО на ваш смартфон и ПК и обеспечьте все рабочие компьютеры этой защитой. И не забывайте о своевременном обновлении.

Можно выбрать любой подходящий по стоимости и функционалу антивирус: Bitdefender Antivirus Plus, Antivirus Kaspersky и многие другие.

Сервис «Мониторинг бренда»

Защититься от фишинга и воровства вашего контента поможет «Мониторинг бренда»— сервис позволяет быстро отслеживать название вашего коммерческого обозначения в чужих доменных именах и сообщает о совпадениях. Так вы сможете вовремя находить сайты, использующие ваш бренд в мошеннических целях.

«Мониторинг бренда» защищает:

  • от фишинга,
  • переманивания клиентов,
  • подделки ваших товаров,
  • мошеннических схем,
  • киберсквоттинга,
  • воровства контента.

Данные об упоминаемости во всех доменных зонах обновляются ежедневно, а список можно выгружать в Excel. Подробнее о других возможностях сервиса и подключении можно прочитать на странице сервиса «Мониторинг бренда».

Как не попасться на фишинг. Меры безопасности в компании

  • Самое, на наш взгляд, важное: относитесь к кибератакам серьёзно сами и научите этому всех ваших сотрудников.
  • Используйте для аккаунтов компании только двухфакторную аутентификацию. Это метод идентификации пользователя по двум типам параметров. Например, сначала нужно ввести логин и пароль, а после — код из СМС или электронной почты. Реже — биометрические данные или специальный USB-ключ.
  • Для особенно важных аккаунтов, например, для доступа в системы ЭДО и бухгалтерские программы используйте eToken — материально существующий защитный ключ.
  • Переведите ваш сайт на защищённый протокол: HTTPS. Лучше использовать платный SSL-сертификат, это минимизирует риски взлома. Подробнее о SSL-сертификатах мы писали в статье «Я занимаюсь бизнесом и совсем не понимаю, что такое SSL-сертификаты».
  • Когда заливаете контент на сайт или создаёте резервную копию данных сайта, используйте зашифрованный протокол SFTP вместо открытого FTP.
  • Удаляйте все неактуальные и неиспользуемые аккаунты.
  • Используйте сервисы для защиты бизнеса, о них мы говорили выше.
  • Регулярно обновляйте пароли от почтовых аккаунтов сотрудников, корпоративных аккаунтов.
  • Запретите сотрудникам держать пароли на виду.
  • Регулярно следите за бекапами всего вашего контента, особенно информации на сайте и в облачных хранилищах.
  • Моментально реагируйте даже на малейшие намёки на подозрительную активность: меняйте пароли, блокируйте мошенников и проводите глубокую антивирусную проверку.

Радикальные меры

Они подойдут далеко не всем, но успешно применяются некоторыми компаниями.

  • Закрыть доступ к соцсетям на рабочих устройствах.
  • Заблокировать все дисководы и USB-разъёмы рабочих компьютеров.

Что делать, если вы всё-таки попались

Итак, мошенники всё-таки убедили вас: вы попались на их удочку. Что вы можете сделать:

  • Запустите проверку антивируса на компьютере и смартфоне.
  • Как можно скорее смените украденный пароль. Если используете его для нескольких аккаунтов, поменяйте пароль и для них тоже.
  • Настройте двухфакторную аутентификацию.
  • Если сообщили данные своей карты или код из СМС, позвоните в банк по телефону, указанному на вашей карте. Её заблокируют, чтобы защитить от кражи денег, и проверят потенциально опасные операции.

Если хотите уберечь других пользователей от действий мошенников, сообщите об их действиях. Как это сделать:

  • Напишите о злоумышленниках в Google и Яндекс.
  • Найдите владельца хостинга с помощью сервиса WHOIS и сообщите о мошенничестве.
  • Найдите сайт, который скопировали злоумышленники, и напишите администраторам оригинального сайта через контакты на странице.
  • Напишите в Роскомнадзор, МВД и другие государственные организации. Инструкции и ссылки можно найти на сайте Роскомнадзора.

Правила для сотрудников: чек-лист

Советуем отправить и/или распечатать и раздать этот чек-лист всем сотрудникам вашей компании.

В первую очередь, защитите ваши соцсети

  • Не переходите по подозрительным ссылкам.
  • Не вводите данные от страницы на сторонних ресурсах.
  • Не давайте ваш смартфон посторонним.

Общие правила

  • Если в соцсети вам пишут с аккаунта банка или другой организации, проверьте аккаунт на официальном сайте или по телефону банка/компании. Если такого аккаунта там нет, не отвечайте на сообщения и заблокируйте подозрительный аккаунт.
  • Не доверяйте в соцсетях тем, кто просит у вас деньги, даже если просьба пришла от вашего друга. Позвоните тому, с чьей страницы пришло сообщение, и уточните, действительно ли ему нужны деньги. Если нет — не отвечайте мошеннику, заблокируйте его и пожалуйтесь в службу безопасности соцсети.
  • Проверяйте все файлы, которые приходят в личных сообщениях. Если прикреплена книга, но с расширением .exe, это странно — не открывайте файл.
  • Периодически проверяйте, когда последний раз ваш аккаунт был активен. Если появились подозрения, завершите все активные сеансы и смените пароль.

«ВКонтакте»

«Фейсбук»

«Инстаграм»

Вы получили странное письмо

Не переходите по ссылкам в письмах от незнакомцев, не нажимайте на картинки и кнопки.

  • Если отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной, например, mail.ru или gmail.com, не открывайте письмо.
  • Не верьте в обещания внезапных выигрышей и не попадайтесь на попытки вас запугать.
  • Не открывайте вложенные файлы из писем незнакомцев, как бы заманчиво они ни выглядели. Не скачивайте файлы типа *.exe, *.scr, *.bat, *.vbs.
  • Увидели странный адрес в письме, например, с ошибкой в доменном имени, — удалите письмо.

Вам звонит странный человек

Он может представиться сотрудником банка, покупателем, который хочет приобрести вашу вещь по объявлению, представителем компании, сообщающим о крупном выигрыше и т. п.

  • Не сообщайте никому данные вашей банковской карты, особенно CVC-код, особенно по телефону незнакомцу.
  • Если вам уже пришло СМС с кодом, не сообщайте его никому, особенно «сотруднику банка» — настоящие банковские служащие не будут спрашивать у вас такие данные.
  • Закончите разговор. Если человек представился сотрудником банка, позвоните в ваш банк, обрисуйте ситуацию и сообщите телефонный номер мошенника для проверки.

Вы попали на подозрительный сайт

  • Не переходите по ссылкам, не нажимайте на подозрительные и кричащие картинки и кнопки.
  • Не верьте обещаниям внезапных выигрышей и не попадайтесь на попытки вас запугать.
  • Если сайт неопрятный, кричащий, с грубыми ошибками в текстах и большим количеством уведомлений, всплывающих окон и призывов перейти или оставить данные, скорее всего, сайт фишинговый. Закройте вкладку и не возвращайтесь на него.
  • Прежде чем ввести свои данные на сайте, убедитесь, что это нужный сайт: клоны иногда выглядят очень похожими на оригинал. Проверьте адрес несколько раз. Если что-то в нём вас смущает — закройте вкладку.
  • Регистрируйтесь и покупайте только на сайтах с SSL-сертификатами безопасности и двухфакторной аутентификацией. Чтобы зайти в личный кабинет, вас проверят по двум параметрам: помимо логина и пароля у вас спросят, например, код из СМС.
  • Если перед адресом сайта вы видите HTTP, а не HTTPS и ваш браузер сообщает о ненадёжности страницы — он прав. Сайты без SSL-сертификатов лучше обходить стороной.

Рекомендации не только для работы

  • Не указывайте личную информациюв открытых источниках. Адреса, даты рождения, номера телефонов: ваши и членов вашей семьи.

Почему: всё это может помочь мошенникам узнать пароль или секретное слово, взломать ваши аккаунты и получить доступ к деньгам и данным.

  • Меняйте пароли не реже, чем раз в полгода. «Я вообще не меняю пароли, и меня ни разу не взломали. Зачем начинать?» — спросите вы, и это будет ошибка выжившего.

Почему: так вы усложните работу преступникам, ведь никто не знает, когда на его деньги и данные может начаться охота.

  • Не используйте одинаковые паролидля всех ваших аккаунтов. Не давайте мошенникам ключ от всех дверей.

Почему: мошенник, узнавший пароль от одного вашего аккаунта, сразу же попробует открыть этим ключом остальные ваши кабинеты — и он подойдёт. Не рискуйте всем и проявите фантазию, придумывая новые комбинации.

  • Используйте режим инкогнитов браузере, когда работаете за чужим компьютером, заходите в свои аккаунты и вводите личную информацию.

Почему: когда вы закроете вкладку браузера, ваши пароли и данные не сохранятся, а выход из всех аккаунтов произойдёт автоматически.

  • Включите двухфакторную аутентификацию во всех ваших аккаунтах.

Почему: такой тип защиты надёжнее убережёт вас от атак мошенников — чтобы взломать ваш аккаунт, им придётся преодолеть двойной барьер. И это будет непросто.

  • Установите антивирус на все ваши устройства.

Почему: осмотрительность — это хорошо, но техническая защита — ещё лучше.

Подписывайтесь на наш блог на сайте nic.ru