Фішинг-атака

Освіта
На читання 23 хв Оновлено
Зміст

Чи отримували ви коли-небудь листа або повідомлення, яке виглядало офіційним, але викликало сумніви?

Фішинг-атака – це метод шахрайства, коли зловмисники намагаються отримати конфіденційні дані користувача під виглядом надійної організації.

У цій статті ми розглянемо, як працює фішинг, які його основні ознаки та як убезпечити себе від таких загроз. Ви отримаєте поради, що допоможуть швидко розпізнавати підроблені повідомлення та уникати небезпечних дій.

Фішинг – це вид шахрайства в інтернеті, коли зловмисник намагається отримати доступ до персональних даних людини або організації з використанням підроблених листів або сайтів нібито від банків, магазинів чи інших компаній.

Методи захисту від фішингу різняться для простих громадян і організацій, однак у них є один спільний елемент. Йдеться про розпізнавання шкідливих листів і порталів, які є головним інструментом шахраїв.

Поняття фішингу

Фішинг (phishing, від fishing – рибна ловля, вивуджування) – одна з найпоширеніших форм інтернет-шахрайства, що націлена на отримання особистої інформації користувачів, як-от логіни та паролі від банківських карток, облікових записів та інших конфіденційних даних. Шахраї використовують різні хитрощі, щоб вивудити цінну інформацію зі своїх жертв.

Основним методом фішингу є масові розсилки електронних листів і повідомлень, які можуть мати вигляд справжніх повідомлень від відомих брендів, банків, соціальних мереж або інших онлайн-сервісів.

Ці повідомлення, зазвичай, містять логотип, текст і посилання на веб-ресурс, який може бути зовні не відрізняється від оригіналу. Користувачів заманюють на цей онлайн-портал, де їм пропонується, під різними приводами, ввести свої конфіденційні дані у відповідні поля. У результаті, шахраї отримують доступ до облікових записів і банківських рахунків потерпілих.

У 1996 році в новинній групі alt.online-service.America-Online на платформі Usenet з’явився термін «фішинг». Пов’язані з ним перші згадки відносяться до медійної компанії AOL.

Шахраї представлялися співробітниками AOL і зверталися до користувачів через програми миттєвого обміну повідомленнями, просячи надати їм паролі від їхніх акаунтів. Отримавши до них доступ, зловмисники використовували їх для розсилки спаму, наводячи хаос у мережі.

На початку 2000-х років фішингові атаки поширилися на платіжні системи, а 2006 року користувачі соціальної мережі MySpace стали жертвами такої атаки, і їхні реєстраційні дані було викрадено. Це показало, що фішинг стає дедалі складнішою і небезпечнішою проблемою для інтернет-користувачів.

Цілі фішингових атак можуть бути різноманітними й охоплювати як окремих приватних осіб, так і компанії загалом.

Не всі шахраї самі здійснюють переведення в готівку рахунків, до яких вони отримують доступ. Злом і зняття грошей з таких рахунків є складним процесом з практичної точки зору, і такі дії можуть привернути увагу правоохоронних органів. Тому частина шахраїв воліє продавати отримані конфіденційні дані іншим зловмисникам, які вже мають відпрацьовані схеми з переведення коштів у готівку.

У разі, коли фішингові атаки націлені на компанії, кіберзлочинці прагнуть отримати доступ до даних облікового запису конкретного співробітника, щоб потім здійснити розширену атаку на всю компанію.

Метою таких атак є не тільки отримання конфіденційних даних співробітника, а й використання їх для проникнення у внутрішні системи та мережі компанії. Це може призвести до серйозних наслідків, таких як витік важливої інформації, фінансові втрати або порушення репутації організації.

Види фішингу

Фішинг має багато форм, і зловмисники постійно вигадують нові способи обману користувачів. Щоб вчасно розпізнати небезпеку, варто розібратися у видах фішингових атак і зрозуміти, чим вони відрізняються між собою.

Поштовий фішинг

Зловмисники використовують хитрість, відправляючи користувачам електронні листи, які виглядають так, ніби вони походять від відомих брендів. Вони підробляють адресу відправника, щоб створити враження офіційності. Щойно одержувач натискає на посилання всередині листа, його перенаправляють на фальшивий веб-сайт або він завантажує шкідливий документ.

Один із варіантів поштового фішингу, відомий як клон-фішинг, ґрунтується на тому, що шахраї вивчають, якими програмами і магазинами ви регулярно користуєтеся, а потім надсилають листи, прикидаючись представниками цих брендів. Це дає їм змогу створити помилкове відчуття довіри і переконати вас виконати небажані дії.

Цільовий фішинг

Цей вид атаки відомий як «спірфішинг» (spear phishing). Кібершахраї спеціально націлюються на певну компанію і проводять детальне вивчення кількох співробітників, вивчаючи їхні акаунти в соціальних мережах або інформацію на сайті компанії.

Потім вони надсилають електронні листи цим співробітникам, прикидаючись колегами. У таких листах використовуються реальні імена, посади та номери робочих телефонів. Людина, отримуючи такий лист, думає, що це внутрішній запит і без підозр дотримується вказівок, що містяться в листі.

Прикладом наслідків такої атаки є випадок, що стався 2020 року з американською медичною компанією Elara Caring.

Унаслідок того, що зловмисники отримали доступ до акаунтів співробітників і почали надсилати фішингові повідомлення від їхнього імені, компанія була змушена припинити роботу на тиждень, щоб зупинити витік даних клієнтів. Після цієї атаки зловмисники успішно проникли в систему і отримали доступ до конфіденційної інформації про сто тисяч пацієнтів.

Одним із підвидів спірфішингу є «вейлінг» (whaling), що перекладається як «полювання на китів». Це специфічний вид цільового фішингу, спрямований на керівників і високопоставлених чиновників.

Телефонний фішинг

Існує різновид атак, який поділяється на два типи: вішинг і змішинг. Вішинг (vishing), також відомий як голосовий фішинг, передбачає проведення розмови телефоном між зловмисником і жертвою. Метою злочинця є змусити жертву розкрити конфіденційну інформацію, тиснучи на неї і створюючи відчуття терміновості.

Часто шахраї видають себе за співробітників банків, повідомляючи про підозрілі перекази або заявки на кредит. Вони погрожують блокуванням рахунку і вимагають від жертви повідомити смс-код або здійснити підозрілий переказ. За підсумком, люди можуть втратити всі свої накопичення.

Смішинг (smishing), зі свого боку, використовує СМС-повідомлення зі шкідливими посиланнями, замаскованими під купони або розіграші, замість телефонних дзвінків. Такі посилання можуть призвести до встановлення шкідливого програмного забезпечення на пристрій жертви або до перенаправлення на підроблений сайт, де шахраї можуть отримати доступ до конфіденційної інформації.

CEO-шахрайство

Шахраї використовують соціальні мережі та веб-сайти для отримання інформації про вище керівництво компанії, таких як генеральний директор або головний бухгалтер. Використовуючи підроблену поштову скриньку, вони потім розсилають листи від імені цих керівників іншим співробітникам, щоб виманити гроші або отримати конфіденційну інформацію.

Один із найгучніших випадків СЕО-шахрайства стався 2015 року, коли фінансовий відділ австрійсько-китайської аерокосмічної компанії FACC втратив 61 мільйон доларів унаслідок підступної атаки зловмисників.

Під виглядом гендиректора компанії, шахраї відправили фальшивий лист із вказівкою на переказ коштів на підконтрольний їм банківський рахунок. Цей епізод підкреслює необхідність обережності під час опрацювання електронної пошти, особливо коли йдеться про фінансові транзакції та конфіденційну інформацію.

Фішинг у соціальних мережах

Шахраї все частіше використовують соціальні мережі та месенджери для фішингу. Вони створюють підроблені акаунти, видають себе за знайомих жертви або компанії та надсилають повідомлення з посиланнями на підроблені сайти, щоб отримати особисту інформацію та дані.

Прикладом є шахрайство, спрямоване на користувачів Booking.com у 2018 році, коли хакери розсилали WhatsApp-повідомлення і вимагали оплатити проживання за підробленими рахунками. На жаль, такі види шахрайства можуть призвести до фінансових втрат для користувачів, як показують дані CNN: тільки за перший квартал 2021 року американці втратили 26 мільйонів доларів.

Веб-фішинг

Основний метод веб-фішингу – це підміна сайту, де хакери створюють сторінки-підробки, які майже не відрізняються від оригінальних сайтів, і отримують доступ до вашого облікового запису, коли ви вводите дані для входу. Хакери також можуть використовувати фармінг або злом системи доменних імен (DNS), щоб перенаправити вас на сторінку-підробку.

Інші методи веб-фішингу включають фішинг через пошукові системи, спливаючі вікна або повідомлення веб-браузера, які можуть призвести до завантаження шкідливого коду на ваш пристрій.

Злий двійник

Хакери можуть зловживати недостатнім захистом від відкритих Wi-Fi-мереж, створюючи підроблені точки доступу, які виглядають так само, як справжні точки доступу Wi-Fi. Однією з варіацій фішингу є «злий двійник», коли хакери симулюють точку доступу Wi-Fi, яку ви зазвичай використовуєте.

Такі атаки можуть бути особливо небезпечними для компаній, оскільки хакери можуть дізнатися, які сайти часто відвідують співробітники, і використати цю інформацію для злому системи безпеки.

У 2020 році було зафіксовано випадок злому мереж Міністерства внутрішніх справ США за допомогою такого типу атаки, хоча в цьому випадку хакери були етичними і допомогли управлінню генерального інспектора МВС усунути вразливості в системі безпеки.

Квішинг (Quishing): Фішинг з використанням QR-кодів

Користувачі все частіше стикаються з шахрайством, де зловмисники використовують QR-коди для виманювання даних. Це явище отримало назву квішинг (від англ. “QR” та “phishing”). Шахраї розміщують підроблені QR-коди в публічних місцях, наприклад, у кафе, ресторанах, на парковках або біля терміналів оплати.

Коли ви скануєте такий код, він перенаправляє вас на фішинговий сайт, який може бути ідентичний справжньому. Наприклад, ви можете потрапити на підроблений сайт банку, платіжної системи чи навіть відомої торгової мережі, де вас попросять ввести свої конфіденційні дані (логін, пароль, номер банківської картки).

Основна небезпека квішингу в тому, що користувач не бачить посилання, на яке він переходить, і не може візуально перевірити його на справжність. Шахраї користуються довірою людей, які звикли, що QR-коди є безпечним інструментом.

Щоб убезпечити себе від квішингу, дотримуйтесь таких простих правил:

  • Завжди перевіряйте QR-код на наявність ознак підробки. Він може бути наклеєний поверх справжнього, мати розмиту якість або виглядати незвично.
  • Перевіряйте адресу сайту після сканування коду. Звертайте увагу на помилки в назві та наявність протоколу захисту “https”.
  • Використовуйте застосунки з функцією розпізнавання шкідливих QR-кодів. Такі програми можуть попередити вас про можливу загрозу.

Фішинг з використанням ШІ та діпфейків

Штучний інтелект (ШІ) виводить фішинг на новий, небезпечніший рівень. Завдяки алгоритмам машинного навчання, шахраї можуть створювати повідомлення, які раніше було майже неможливо відрізнити від справжніх. Це стає можливим завдяки персоналізації та відсутності характерних ознак.

Надзвичайно переконливі підроблені листи

Раніше фішингові листи часто видавали граматичні та пунктуаційні помилки, що одразу вказувало на підробку. Тепер ШІ здатен генерувати текст, який ідеально імітує стиль мови конкретної людини чи організації. Зловмисники аналізують публічні листи або навіть електронну кореспонденцію, яку вони перехопили, і на основі цього створюють нові повідомлення.

Завдяки цьому підроблений лист від “вашого керівника” чи “бухгалтера” буде написаний бездоганно, з правильними зворотами та професійною термінологією, що значно знижує ймовірність того, що ви запідозрите щось недобре. Це і є головна мета — обійти “людський фактор” захисту.

Діпфейки: голосові повідомлення, що імітують голос керівника

Атаки з використанням діпфейків (deepfake) становлять особливу загрозу, особливо в контексті вішингу (голосового фішингу). ШІ може аналізувати зразки голосу людини, наприклад, з публічних відеозвернень, інтерв’ю чи онлайн-конференцій, і генерувати синтетичний голос, що ідеально імітує оригінал.

Уявіть ситуацію: вам надходить телефонний дзвінок, і ви чуєте голос вашого генерального директора. “Вкрай терміново, — говорить голос, — потрібно перевести кошти на цей рахунок, щоб закрити важливу угоду. Я зараз на зустрічі й не можу зробити це сам”.

Оскільки ви чуєте знайомий голос і розумієте “терміновість” ситуації, ви можете не задумуючись виконати вказівку. На жаль, це може виявитися фальшивкою, створеною ШІ, а кошти підуть на рахунок шахраїв.

Такі технології роблять звичайні правила перевірки (наприклад, перевірка правопису) неефективними, і вимагають нових підходів до безпеки, таких як постійне підтвердження важливих транзакцій через кілька каналів зв’язку.

Ознаки фішингового листа

Тема

Зловмисники використовують фішингові розсилки, щоб створити відчуття терміновості та змусити одержувачів швидко реагувати.

Вони можуть використовувати вирази, що нагадують про необхідність термінової дії, і також застосовувати тактику залякування, щоб викликати страх і занепокоєння. Фішингові листи часто містять посилання або файли, які можуть спричинити серйозні наслідки під час їхнього відкриття або натискання на них.

Відправник / поле «Від»

Шахраї використовують хитрість, щоб зробити електронний лист схожим на офіційний від відомої компанії, наприклад, від служби підтримки клієнтів.

Однак якщо придивитися, то можна помітити, що ім’я відправника та адреса електронної пошти є фальшивими і не належать справжній компанії. Такі шахрайські дії можуть призвести до серйозних наслідків для користувачів, тому важливо завжди перевіряти інформацію, перш ніж виконувати будь-які дії.

Одержувач / поле «Кому»

Найчастіше, кібершахраї використовують електронну пошту для надсилання фішингових повідомлень, які можуть бути неадресованими або знеособленими.

У них може бути використано загальне звернення, наприклад «дорогий користувач» або «шановний клієнт», щоб створити ілюзію, що повідомлення було надіслано від легітимної компанії. Ці повідомлення можуть містити небезпечні посилання або прохання про надання особистої інформації.

Тіло листа

У листах, схожих на фішинг, нерідко використовуються формулювання, які підкреслюють необхідність швидкої дії. Такі прийоми можуть змусити читача не роздумуючи перейти за посиланням або ввести свої особисті дані.

Крім цього, фішингові електронні листи часто містять помилки як у граматиці, так і в пунктуації. Такі помилки можуть слугувати ознакою того, що відправник не є офіційним представником компанії або організації, від імені якої лист було надіслано.

Шкідливе посилання

Шахраї намагаються використовувати підозрілі посилання, щоб обдурити своїх жертв. Вони часто представлені в скороченому вигляді з використанням сервісів для їх скорочення, наприклад bit.ly. Крім того, вони можуть бути відформатовані, щоб виглядати як оригінал від довіреної компанії і відповідати повідомленню фальшивого електронного листа.

Такі посилання можуть направляти користувача на підроблені веб-сайти, які можуть збирати конфіденційну інформацію або встановити шкідливе ПЗ на комп’ютер жертви.

Тактика залякування

Шахраї застосовують численні тактики, щоб змусити читачів потрапити в пастку. Однією з найефективніших є створення емоційного тиску на одержувача електронного листа.

Часто зловмисники використовують тактику залякування, погрожуючи, що станеться якийсь серйозний інцидент, якщо читач не вживе моментальних дій. Наприклад, фішинговий лист може містити погрози блокування акаунта або втрати даних, якщо одержувач не перейде за шкідливим посиланням у повідомленні.

Підпис наприкінці листа

Як і у випадку з привітанням, підпис наприкінці фішингового електронного листа часто є безособовим – зазвичай вказана загальна назва служби підтримки клієнтів, а не ім’я особи, і відповідна контактна інформація відсутня.

Нижній колонтитул листа

Підробка інформації в нижньому колонтитулі є одним із поширених прийомів у фішингових листах. Часто зловмисники використовують неправильну дату реєстрації авторського права або адресу, яка не відповідає місцю розташування справжньої компанії, щоб створити ілюзію легітимності та обдурити одержувача.

Але справжні компанії не допустять таких помилок у своїх електронних листах, тому потрібно бути дуже уважними і в разі сумнівів зв’язуватися з ними напряму для підтвердження автентичності повідомлення.

Як розпізнати фішинговий сайт

Для забезпечення безпеки під час використання веб-ресурсів слід виконати такі кроки:

  • Перевірити наявність SSL-сертифіката в адресному рядку сайту, відсутність літери «s» після протоколу HTTP може вказувати на небезпечний сайт.
  • Звернути увагу на тип SSL-сертифіката, оскільки шахраї можуть використовувати безкоштовні LE-сертифікати для підробки сайтів.
  • Перевірити доменне ім’я на наявність помилок і друкарських помилок, оскільки шахраї можуть використовувати подібні прийоми для створення підробок.
  • Перевірити вік і власника домену за допомогою Whois, якщо сайт належить великому бренду з багаторічною історією, це може вказувати на безпечний сайт.
  • Уважно вивчити зміст сайту, його текст, дизайн і картинки, щоб визначити, чи є сайт надійним.
  • Перевірити платіжні форми на запит даних банківської картки, логіна і пароля, такі запити можуть бути ознакою шахрайства. Якщо сайт виглядає підозріло, рекомендується закрити сторінку негайно.

Способи захисту від фішингу для фізичних осіб

Фішингові атаки найчастіше спрямовані саме на звичайних користувачів, які можуть необачно розкрити свої дані. Щоб уникнути ризиків, важливо знати прості та дієві способи захисту, які кожен може застосувати у повсякденному житті.

Перевірте джерело інформації

Надсилання особистої інформації та паролів електронною поштою може призвести до серйозних наслідків, включно з крадіжкою фінансових активів та особистих даних.

Якщо вам надходить електронний лист, що запитує подібну інформацію, не варто надсилати відповідь. Замість цього зв’яжіться з банком безпосередньо, щоб уточнити, чи запитували вони таку інформацію.

Потрібно бути обережним і не довіряти цим повідомленням на 100%, оскільки шахрайські листи можуть бути дуже переконливими.

Якщо ви не впевнені, краще ігнорувати лист і зв’язатися з банком безпосередньо.

Ніколи не переходьте на веб-сайт вашого банку, натискаючи на посилання в листах

Щоб не потрапити на підроблений сайт, не варто ризикувати і клікати на посилання в електронних листах.

Безпечніше вручну ввести адресу потрібного сайту в рядок браузера або скористатися заздалегідь збереженою закладкою в розділі Вибране. Це не тільки вбереже вас від шахрайства, а й допоможе заощадити час на переході до потрібного ресурсу.

Підвищіть рівень безпеки вашого комп’ютера

Збереження здорового глузду і володіння розсудливістю під час користування комп’ютером має таке саме значення, як і використання антивірусу, який здатен блокувати вірусні атаки.

Крім того, слід постійно оновлювати операційну систему і веб-браузери до останньої версії, оскільки це може допомогти захистити Ваш комп’ютер від нових видів загроз.

Вводьте ваші критичні дані тільки на безпечних веб-сайтах

Важливо розуміти, як визначити, наскільки безпечний той чи інший сайт.

Одним із способів є перевірка адресного рядка в браузері: на початку адреси сайту повинно стояти «https://», що означає використання безпечного протоколу передавання даних, а поруч із ним має з’явитися іконка замка, що вказує на захищеність сайту. Таким чином, перш ніж вводити свої особисті дані на сайті, необхідно обов’язково перевірити його безпеку.

Періодично перевіряйте ваші акаунти

Регулярна перевірка банківських рахунків важлива для забезпечення безпеки фінансів. Вона допоможе швидко помітити будь-які незвичайні дії та запобігти фінансовим втратам.

Слід бути уважним до підозрілих листів і повідомлень, які можуть надходити від банку або інших фінансових установ. У разі сумнівів, краще звернутися по допомогу до фахівців у банку.

Фішинг стосується не тільки онлайн-банків

Кіберзлочинці можуть використовувати різні види фішингу, щоб отримати доступ до особистих даних користувачів, включно з атаками на банківські системи та популярні онлайн-сервіси, такі як eBay і PayPal.

Остерігайтеся підозрілих посилань і запитів на введення особистих даних на таких сайтах, а також використовуйте надійні антивірусні програми та оновлюйте свої паролі та інші особисті дані регулярно.

Фішинг знає всі мови

Фішингові атаки можуть бути будь-якою мовою, і шахраї часто використовують погано написані або перекладені повідомлення. Незвичайна мова або сайт незнайомою мовою можуть бути ознакою того, що щось не так.

Якщо ви не знайомі з компанією або послугами, то повідомлення їхньою мовою має викликати підозру. Якщо ви виявили щось підозріле на сайті іншою мовою, будьте більш обережні у своїх діях.

Якщо є хоч найменші сумніви, не варто ризикувати

Один із найефективніших способів захисту від фішингу – це ігнорувати будь-які повідомлення або новини, які запитують ваші конфіденційні дані. Якщо ви не впевнені в автентичності повідомлення, краще видалити його і зв’язатися з представниками вашого банку для уточнення ситуації.

Саме вони можуть дати вам повну інформацію і підказати, що робити в конкретній ситуації. Такий підхід допоможе уникнути витоку ваших особистих даних і захистити вас від потенційних фінансових втрат.

Способи захисту від фішингу для організацій

Захистіть поштовий сервер

Захисні фільтри в браузерах і поштових клієнтах не можуть повністю захистити від фішингу, оскільки зловмисники знаходять способи їх обходу через сервіси розсилки.

Для захисту від фішингових атак необхідно встановити захисне рішення на поштовому шлюзі, таке як Kaspersky Security. Це дає змогу перевіряти посилання і файли в вхідній пошті та виявляти загрози, знижуючи ризик потрапляння фішингових листів у поштові скриньки співробітників.

Захистіть сервіси Microsoft Office

Зараз багато компаній відмовляються від розгортання своїх поштових серверів на користь хмарних, зокрема, MS Office 365. Однак дані облікових записів у Microsoft Office часто стають метою фішингових атак. Зламавши обліковий запис, зловмисники можуть отримати доступ до інших служб, таких як Outlook, One Drive або SharePoint, де можуть міститися конфіденційні дані.

Незважаючи на те, що співробітники можуть бути попереджені про необхідність перевірки повідомлень, вони можуть помилитися, клікнувши на шкідливе посилання поспіхом або переславши його колегам. Microsoft розробила свої власні захисні технології, однак вони не можуть гарантувати 100% захист. У зв’язку з цим, використання додаткових шарів захисту є обов’язковою умовою для підвищення безпеки та захисту від фішингу.

Навчіть співробітників

Хакери використовують безліч хитрощів у своїх атаках, щоб отримати доступ до конфіденційної інформації.

Вони можуть відправити шкідливе посилання в електронному листі, маскувати шкідливий файл під документ, а також підробляти СМС і телефонні дзвінки. Часто зловмисники використовують тактику фішингу, прикидаючись хостинг-провайдером або компанією-партнером, щоб отримати доступ до конфіденційних даних.

Проводьте навчальні фішингові розсилки

Навчання співробітників кібербезпеки необхідне для забезпечення безпеки компанії. У процесі навчання співробітники можуть отримати корисні знання про те, як виявляти і запобігати фішинговим атакам.

Але навчання не повинно залишатися тільки на папері – співробітники повинні мати можливість практикувати свої знання в реальному житті. Крім того, важливо розуміти, які теми були складними для співробітників, щоб додатково підготувати їх у цій галузі.

Тому важливо проводити детальний аналіз помилок, щоб співробітники могли зрозуміти, що вони роблять не так, і поліпшити свої навички. Щойно співробітники починають застосовувати отримані знання на практиці, вони стають більш впевненими у своїх здібностях і можуть ефективніше протистояти реальним атакам.

Залиште контакти фахівця, який допоможе з перевіркою підозрілих листів

Після навчання основ кібербезпеки ваші співробітники зможуть самостійно виявляти більшу частину фішингових листів. Наприклад, за візуальними ознаками, як-от дивна адреса відправника, помилки в тексті, неправильні логотипи компаній та інші. Але в деяких випадках лист може викликати підозри, але для ухвалення правильного рішення співробітнику може знадобитися допомога фахівця.

Тому непогано б зробити так, щоб йому не довелося в разі чого гарячково шукати потрібну адресу: одразу впишіть її в інструкцію для нових співробітників або залиште на видному місці на корпоративному інформаційному порталі.

Захистіть робочі станції

Навіть найдосвідченіший і найуважніший співробітник може попастися на виверти хакерів. Наприклад, фішингові посилання в електронних листах можуть прийти на особисту адресу співробітника або через месенджер, який не підконтрольний вашим системам безпеки. Тому необхідно забезпечити захист на кожній робочій станції, яка має доступ в інтернет.

У цьому разі, навіть якщо фішинговий лист потрапить до співробітника, і він клацне на посилання, воно буде заблоковане захисним рішенням. Таким чином, у вас буде додатковий шар захисту від можливих атак.

Не забудьте про мобільні пристрої

Часи віддаленої роботи підвищили загрозу безпеці компаній, зокрема і з боку мобільних пристроїв, які співробітники використовують для роботи і відпочинку. Особисті смартфони стали практично незамінними інструментами для читання пошти і документів, а також для ігор, перегляду відео та спілкування в месенджерах.

Але кожен відкритий на смартфон фішинговий лінк може стати вхідною точкою для кібератак на компанію. Тому для захисту мобільних пристроїв також необхідно використовувати Kaspersky Endpoint Security для бізнесу, який забезпечить надійний захист як на робочих станціях, так і на мобільних телефонах.

Підготуйтеся до атак

Кіберзлочинці продовжують вигадувати все нові й нові способи фішингу, тож навіть найобережніший та найпоінформованіший працівник може одного дня потрапити в пастку і мимоволі передати зловмисникам свої ключі від пошти або корпоративних сервісів. Однак, існують способи захисту, які допоможуть зменшити ризик витоку конфіденційної інформації:

  • Підключіть двофакторну аутентифікацію для всіх корпоративних сервісів. Це дасть змогу переконатися, що навіть якщо хакери отримають дані облікового запису або пароль від електронної пошти, вони не зможуть просто так увійти в систему.
  • Не використовуйте один і той самий пароль у кількох сервісах. Співробітникам слід використовувати унікальні методи захисту для кожного сервісу або пристрою, навіть якщо це незручно. Таким чином, якщо зловмисники отримають один пароль, це не дасть їм доступ до всіх інших ресурсів.
  • Дотримуйтеся політики мінімальних привілеїв. Якщо співробітники мають доступ тільки до необхідних ресурсів, то навіть якщо зловмисникам вдасться отримати контроль над обліковим записом, вони не зможуть завдати надто великої шкоди.

Профілактика фішингу

Організації можуть знизити ризик фішингу через технічні та «людські» методи контролю. Компанії повинні використовувати спам-фільтри, виявлення шкідливих програм і антивірус, проводити тести на фішингову симуляцію і навчати користувачів повідомляти про підозрілі листи.

Також важливо мати відкриті лінії зв’язку між співробітниками і керівництвом, щоб забезпечити допомогу в разі потреби. Служба безпеки повинна брати участь у захисті бізнес-процесів, щоб обмежити можливості зловмисників.

Компанії можуть знизити ризики, використовуючи кілька етапів авторизації та перевірку платежів телефоном. Вони також можуть використовувати окремі комп’ютери для електронної пошти та інтернету, а також для виставлення рахунків-фактур, щоб запобігти зараженню комп’ютерів шкідливими програмами.

Гучні фішингові атаки

У 2016 році сталася фішингова атака на штаб Гілларі Клінтон, що складалася з двох етапів.

Керівник виборчого штабу Демократичної партії США Джон Подеста отримав фішинговий лист із посиланням у березні 2016 року, і після того як він дослухався до інструкцій і надав хакерам доступ до своєї пошти без свого відома, кіберзлочинці створили пошту-підробку і відправили фальшиві листи з файлом, який містив заражене посилання, у квітні того ж року.

Коли жертви відкрили файл, їхні комп’ютери були заражені, і їхні особисті дані були вкрадені.

WikiLeaks отримав ці листи і опублікував їхній зміст, що призвело до відставки глави Національного комітету демократів США, Деббі Вассерман Шульц, а також до публікації компрометуючих листувань членів Демократичної партії США з питань ядерної енергетики, ЗМІ та зовнішньої політики Гілларі Клінтон.

Крім того, у 2014 році було вкрадено інтимні фото знаменитостей, таких як Дженніфер Лоуренс, Кейт Аптон і Ріанна шляхом злому їхніх хмарних сховищ смартфонів.

У 2016 році американський хакер Раян Коллінз був викритий в отриманні доступу до 50 акаунтів iCloud і 72 акаунтів GMail за допомогою фішингових сайтів, де жертви вказували свої дані для авторизації, і був засуджений до 18 місяців тюремного ув’язнення.

Ці випадки підкреслюють важливість забезпечення безпеки особистих даних і необхідність бути уважними в інтернеті.

Покарання за фішинг

У Кримінальному кодексі відсутня згадка про фішинг як технічний склад злочину. Однак, покарання може бути серйозним і залежить від кількості учасників злочину.

За вчинення його поодинці порушник може отримати штраф до 120 тис. грн або в розмірі своєї заробітної плати за рік, а також обов’язкові роботи або обмеження волі до двох років. Однак, якщо шахрайство скоєно групою осіб за попередньою змовою, покарання може бути серйознішим, включно зі штрафом до 300 тис. грн або розміром заробітної плати за два роки, і позбавленням волі на строк до п’яти років.

Підсумок

Сьогодні кібератаки є невід’ємною частиною нашого життя і запобігання шахрайству – це глобальне завдання для корпорацій і стартапів, які розробляють сервіси у фінансовій та e-commerce сферах.

Однак, користувачі також не повинні забувати про прості, але важливі запобіжні заходи, щоб уникнути потрапляння на гачок зловмисника.

Павлов Максим

Founder & CEO Onpage School

Оцініть автора
Onpage School
© 2018 - 2026 Onpage School, info@onpage.school.

ФОП Павлов Максим Вікторович, Україна, Київ, вул. Ярославів Вал 1/3.