Фішинг у 2021 році: як запобігти викраденню даних користувачів та бізнесу?

Фішинг вважається чи не найдавнішим інтернет-промислом: де є особисті дані, там є й інтерес в їх розкритті. Процеси автоматизуються, з’являються готові набори інструментів для злому, а до боротьби з цією проблемою підключаються державні служби. Чим небезпечний фішинг і як максимально застрахувати себе від витоку особистих даних розповімо у статті.

Фішинг — головна небезпека в соціальних мережах

Слово «фішинг» (англ. Phishing) перекладається як «рибний лов» або «вивудження». Так називають один з прийомів соціальної інженерії з викрадення даних користувача, логінів і паролів від облікових записів і платіжних систем. Гачком з наживкою тут служить зазвичай підроблена сторінка з формами введення даних, а здобиччю — інформація, яку нікому не слід розголошувати.

Шахраї максимально точно імітують сайти, соціальні мережі, онлайн-магазини, поштові вебклієнти. Користувач вводить і розкриває свій логін і пароль, після чого його перекидає на справжню сторінку, тому крадіжка залишається непомітною, а компанія, від імені якої діяв шахрай, отримає збиток для бренду.

Міжнародна компанія CERT-GIB, що спеціалізується на кібербезпеці, виявила в даркнеті готові набори для створення фішингових сторінок. Раніше хакерам потрібно було більше часу і ресурсів, щоб відтворити сайт. Сьогодні фішинг-кіт дозволяє розгорнути нову фішингову сторінку за хвилини.

Фішинг-кіти продаються у вигляді наборів готових інструментів, за допомогою яких створюються і запускаються фальшиві вебсторінки, що копіюють сайти конкретних організацій.

Всього було виявлено 260 таких комплектів, що імітують ресурси різних компаній. Їх небезпека не тільки в автоматизації процесу злому, але і в його спрощенні. Такими наборами може користуватися і недосвідчений користувач без знання програмування.

Боротися з фішингом можна, якщо підвищити власну грамотність: більше уваги до деталей і дбайливе ставлення до менеджменту приватних даних, будь то зберігання паролів або інших доступів до інформації.

Чим небезпечний фішинг?

Перше, за що візьметься шахрай — облікові записи в соціальних мережах: Facebook, Instagram, Twitter. В руках зловмисників виявляються всі ваші листування, відправлені та отримані файли, а також база підписників.

Тут відкривається простір для різних видів шантажу, публікації провокаційної інформації та знову соціальної інженерії: прикриваючись вашою особистістю, шахрай зв’яжеться з кожним зі списку контактів — так може бути запущена ланцюгова реакція скам-активностей.

Найпростіший і популярний випадок — з облікового запису вашого друга може прийти повідомлення з проханням грошової позики, голосування в конкурсі, посиланням на «смішне відео».

Шахрай проведе розсилку по ваших підписниках від вашого імені. У разі успіху він отримає нові логіни та паролі, і далі продовжить розширювати фішингову мережу з метою пошуку наживи та нових даних. Нерідко такі розсилки відбуваються в нічний час — шахраї часто працюють по аутсорс з інших країн.

  1. По-перше, на іноземних фрилансерах можна заощадити, особливо на «сірих» і «чорних» замовленнях. По-друге, інша юрисдикція ускладнює процес пошуку шахрая правоохоронними органами.
  2. Другий напрямок — інтернет-магазини, кінотеатри, служби доставки, таксі. Тут метою стають дані, що дозволяють отримати доступ до прив’язаних банківських карт. Згідно з дослідженням Group-IB, у 2020 році такі сервіси стали метою в 30,7% випадків атак. Окрему увагу зловмисники приділяють фінансовим установам — на них припадає трохи більш як 20% від усіх фішингових атак.
  3. Третій напрям — поштові сервіси та, перш за все, облікові записи Google. Отримання доступу до Google ID або Apple ID відкриває шахраям максимум інформації на ваших пристроях, включаючи файли, що зберігаються в хмарних сервісах. Отримавши доступ до iCloud, злочинець не тільки отримає доступ до фотографій і документів — у нього буде контроль над вашою цифровою особистістю і, наприклад, доступам до збережених паролів від інших сервісів.

Хто в зоні ризику?

Всі, у кого є доступ до Інтернету. Відновити обліковий запис або заблокувати банківську карту можна швидко і без шкоди. При цьому зловмисник може встигнути провести транзакцію з вашого рахунку або вивантажити з листування особисті або навіть компрометуючі вас дані.

Тут підключається шантаж і вимагання викупу: ми всі пам’ятаємо скандальні «зливи» adult-фото з iCloud знаменитостей або вимагання грошей за знищення копії невиданих музичних релізів.

Облікові записи з потужним соціальним капіталом використовуються для розміщення шахрайських пропозицій, посилань, за якими може перейти лояльна аудиторія відомого блогера. І, більш того, ввести свої платіжні дані, паролі, забезпечивши шахраїв новою цінною інформацією.

У зоні ризику знаходяться і ті, хто вводить платіжні дані в онлайн-магазинах: помилившись з вікном введення, не перевіривши адресу в браузері, ви ризикуєте відправити гроші шахраєві. Тим більше, що існують сервіси, які імітують помилку транзакції з метою її повторення, наприклад, щоб провести транзакцію два рази поспіль.

Для бізнес-акаунтів збиток від фішингу може негативно вплинути на репутацію бренду. Такий тип зломів може бути цікавий конкурентам, щоб скомпрометувати вас, створити провокацію, отримати якусь важливу інформацію під грифом комерційної таємниці в корисливих цілях.

Як бізнес страждає від фішингу?

Фішинг — інструмент створення репутаційних ризиків. Якщо атака була спланована конкурентом, він може опублікувати деструктивну для бренду інформацію. Також бізнес-аккаунт можна використовувати, наприклад, для розміщення посилань на фішингові сайти, на яких вводяться платіжні дані.

Факт злому досить швидко розкриється, але від репутаційних втрат це не позбавить: обліковий запис потрапить в бан, ви втратите час і гроші.

Інший ризик, часто недооцінений, — отримання контролю над обліковими записами ваших співробітників. Шахраї можуть дізнатися з листувань конфіденційну інформацію або почати розсилати повідомлення, що підривають репутацію від імені одного з колег або менеджерів. Навіть якщо запобігати поширенню такої інформації документально на увазі NDA контрактів, в мінус спрацює швидкість атаки — як то кажуть, інтернет пам’ятає все.

Серйозність бізнес-ризиків від фішингу підтверджують опитування компанії GreatHorn: користувачі не можуть ідентифікувати до 50% фішингових атак. Захиститися від них складно: тут людський фактор перемагає технології.

Які схеми фішингу популярні в 2021 році

Фішинг — багато в чому психологічна маніпуляція з використанням технік social engineering і рішень по веброзробці. Потрапивши на підроблений ресурс людину переконають за допомогою «знайомого» дизайну без будь-яких підозр ввести свій логін і пароль.

Поширена ситуація — на пошту приходить лист від технічної підтримки Instagram. Лист за своїм змістом і оформленням буде максимально ідентичний розсилці сервісу.

Ось деякі варіанти ситуацій, якими користуються шахраї:

  • повідомлення про зафіксовану спробу входу з незвичайного місця;
  • фіксація порушення авторських прав, при якій дається 24 години на подачу апеляції, в іншому випадку обліковий запис блокується;
  • вимога про введення своїх даних для верифікації (частіше пропонують користувачам з великою аудиторією;
  • лист з технічної підтримки інтернет-магазину;
  • для Google — лист з вимогою зміни пароля через підозрілу спробу входу.

Часто зловмисники грають на почуттях і емоціях: в чатах месенджерів регулярно з’являються повідомлення з проханням підтримати дитину знайомого у творчому конкурсі. Головне — створити конверсію в натисканні посилання і її поширення від однієї людини по ланцюжку його друзів і контактів.

При переході на сторінку голосування пропонується ввести логін і пароль сторінки, схожою на головну Instagram, після чого обліковий запис виявляється зламаним.

Одна зі свіжих схем використовує розсилку фейкових пропозицій по роботі з метою видобутку даних у тих, хто реєструється на LinkedIn. За допомогою парсера з анкет претендентів зловмисники дізнаються назву посади жертви, наприклад, «Event-менеджер з релокації», і відправляє їй фішинговий лист від імені LinkedIn.

До нього прикріплюється ZIP-архів, названий, наприклад, «ваш контракт із зазначенням суми». Коли користувач відкриває пропозицію, на його комп’ютер встановлюється шкідлива програма malware, яка буде показувати в браузері знову ж шахрайські банери, схожі на типовий pop-up, на який користувач міг підписатися, наприклад, на сайті новин.

Як уберегтися від фішинг-атак

  1. Впровадити ритуали соціальної гігієни. Як тільки ви дізналися, що дані «пішли» або потенційно могли бути знайдені третьою стороною, як можна швидше міняйте паролі від соціальних мереж, пошти, платіжних сервісів.
  2. Будьте уважні. Уникайте поспіху в момент введення логіна, пароля і платежів. Перевірте адресний рядок, придивіться до елементів дизайну. Якщо щось бентежить, краще звернутися в технічну підтримку ресурсу.
  3. Ніколи не використовуйте однакові паролі. Правило «1 пароль, 1 сервіс» допоможе перервати запущений фішинг-ланцюжок з перевірки відповідності ваших логіна і пароля іншим популярним сервісам. Сьогодні фішинг використовує автоматичні сервіси, що дозволяють дуже швидко перевірити, куди ще можуть підійти ваші дані.
  4. Використовуйте двофакторну ідентифікацію. Якщо ваші логін і пароль потраплять до рук хакерів, для входу буде потрібно ввести отриманий на телефон код, або використовувати додатковий додаток. Особливо ретельно потрібно вибудовувати захист навколо поштової скриньки та облікового запису Google/iCloud — через них шахраї отримають доступ до всього вашого життя.
  5. Не довіряйте сумнівним пропозиціям і посиланням. Посилання, приховане сервісом коротких URL, подібним bit.ly, може привести до шахраїв. Конкурс, в якому швидше за все не бере донька ваших друзів, навряд чи є правдою. І, нарешті, стилістика повідомлень вашої колеги в чаті змінилася на незвичну — можливо, це привід їй зателефонувати.

Знизити ймовірність стати жертвою фішингу можна, якщо додати до своїх ритуалів і звичок більше сумнівів і дотримуватися своєрідної онлайн-гігієни

Не вірити дивно вигідним пропозиціям, знижкам, а також сумнівним магазинам. Загалом, техніка працює просто — не заходити в «погані райони», не вірити незнайомцям і двічі, а то і тричі, перевіряти мережеву локацію, в якій ви вирішите розплатитися карткою.

БІЛЬШЕ ЦІКАВОГО:

Читайте также:

Поради від Google у День безпечного Інтернету

Що потрібно знати про нові функції конфіденційності в iOS 14

Як запобігти витоку персональних даних в даркнет

Про еволюцію кіберзагроз в промислових ІТ-середовищах