С каждым днем цифровое мошенничество становится все более изощренным и пугающим.
Злоумышленники пытаются обманом заставить людей скомпрометировать данные их организаций. И главная проблема здесь — низкий уровень информационной культуры и цифровой грамотности среди сотрудников компаний. Кроме того, у линейных руководителей и топ-менеджмента зачастую отсутствует понимание масштабов распространения фишинговых писем и вирусов-шифровальщиков.
В этой статье мы поговорим о фишинге и вирусах-шифровальщиках, обсудим основные моменты, которые необходимо знать для безопасности активов компании.
Фишинг
Фишинг (phishing) — набор методик, которые используют злоумышленники, чтобы украсть информацию сотрудников: логин и пароль корпоративной почты, данные кредитных карт, конфиденциальную информацию о компании.
Эти техники отличаются от других вариантов взлома подходом к взаимодействию с жертвой. Цель фишинга — заставить получателя электронной почты поверить в то, что информация в теле письма важная (например, из банка или от контрагента) и перейти по ссылке либо загрузить вредоносное вложение. Злоумышленники маскируются под доверенных лиц (часто — руководителей) или компании, с которыми жертва взаимодействует в реальной жизни и на работе. Это может быть ваш начальник, ваш банк или компания, чье программное обеспечение вы используете.
Возможно, одна из самых серьезных фишинговых атак в истории произошла в 2016 году, когда российским хакерам удалось заставить председателя предвыборной кампании Хиллари Клинтон Джона Подесту предоставить пароль к его личной учетной записи Gmail. Как хакеры это сделали? Отправили электронное письмо с предупреждением, что его пароль был скомпрометирован и он должен немедленно его изменить. Кликнув на ссылку в письме, Джон Подеста попал на поддельную страницу входа в систему. Это классический ход.
Но мошенники постоянно оттачивают мастерство, тестируют различные темы массовых рассылок и дергают за новые ниточки. В период пандемии их было немало: в мошеннических спам-кампаниях предлагали чудодейственные лекарства от covid-19, появились фейковые ресурсы по продаже железнодорожных и авиабилетов. Фишинговые страницы курьерских служб доставки, например, в странах СНГ, Западной Европы и США за 2020 год нанесли ущерб в размере более чем $6,2 млн.
В период напряженной обстановки в мире атакующие могут добиться максимального отклика от своих жертв.
Обычно для того, чтобы сотрудник открыл вложение письма, в теме говорится о чем-то важном: «Зарплата», «Компенсации и жалобы», «Штраф». Заголовки таких писем находят отклик в сознании людей: заставляют проявить интерес, иногда рассеивают внимание или наводят панику.
Для понимания тактики мошенников давайте изучим темы писем, чаще всего используемые в фишинге.
1. Ваш аккаунт был взломан
Злоумышленник отправляет угрожающее фишинговое письмо о компрометации данных сотрудника. Пример группового электронного письма он нашел в открытом доступе — возможно даже, на веб-сайте компании и использовал его для целевой атаки. В этом случае содержание письма играет не такую большую роль, как акцент на том, что произошла чрезвычайная ситуация, которую сотрудник захочет исправить в кратчайшие сроки. Перейдет по ссылке и на «здоровый»/защищенный корпоративный компьютер загрузит вредоносное ПО или поделится реальными данными на фишинговой странице смены пароля, созданной злоумышленником.
Рекомендация: не нужно слепо следовать указаниям в почте, особенно тем, что побуждают выполнять действия здесь и сейчас. Проверьте адрес отправителя, перейдите на официальный сайт компании, которая отправила письмо, и измените свои данные в личном кабинете или обратитесь в группу поддержки сервиса.
2. Запрос на оплату
В таком письме содержится достаточно информации о изученной злоумышленником организации/компании, чтобы заставить задуматься даже самых искушенных в фишинге получателей. Ключ к тому, чтобы не попасть в эту ловушку, — знать процессы вашей компании и уметь замечать аномалии.
3. Благотворительное пожертвование
Здесь мошенник рассчитывает на жадность и доверчивость получателя. Тема раздачи чего-либо бесплатно весьма широко распростраена. Главное, что нужно помнить: если в письме вам что-то навязывают или присылают то, к чему вы не имеете отношения — лучше отправить такое письмо в отдел безопасности с предупреждением о возможном спаме и попросить занести адрес отправителя в спам-лист.
Данные методы атаки позволяют обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают поступки, нужные атакующему.
Для того чтобы информация об интернет-мошенничестве закрепилась не только в теории, но и на практике, в компании можно проводить периодические проверки цифровой грамотности сотрудников: опросы, тесты, имитации фишинговых рассылок. В начале года отдел информационной безопасности ООО «СИГМА» провел такое обучение, использовав пример рассылки на актуальную тему бесплатной вакцинации, сделанной в стилистике портала госуслуг. Для проверки внимательности сотрудников и их осведомленности в сфере информационной безопасности, в частности фишинга, была допущена ошибка в адресе неизвестного отправителя no-reply@gosuslugE.ru, а также не был скрыт ip-адрес ссылки для перехода.
.jpeg)
Рис. 1. Пример фишингового письма на тему бесплатной вакцинации компании ООО «СИГМА» для тестирования сотрудников
.jpeg)
Рис. 2. Признаки фишингового письма
Вирусы-шифровальщики
Фишинг и программы шифровальщики тесно переплетены между собой и помогают друг другу в эффективных методах атак и на людей, и на крупные компании. Сегодня почти каждая четвертая атака совершается с применением этих вредоносных программ, а уровень сумм, которые требуют вымогатели в обмен на похищенные данные, в 2020 году составил в среднем $1,2 млн.
Шифровальщики (вирусы-вымогатели/ransomware) — вредоносная программа, которая попадает на ваш PC и шифрует важные для вас данные (документы, фото и прочее). Затем создатели шифровальщика требуют выкуп за расшифровку данных, иначе они будут навсегда уничтожены. Атакам вирусов-шифровальщиков подвержены не только отдельные пользователи, но и производственные, банковские сети. Например, в феврале 2021 года две крупные электроэнергетические компании Бразилии — Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) — были атакованы вирусами ransomware.
В мире информационной безопасности известна своей безжалостностью группировка Maze, она провела уже более 150 целевых атак на ключевые секторы экономики.
Один из новых шифровальщиков, Egregor, с сентября 2020 года успел атаковать 69 компаний в США, Франции, Италии, Германии и Великобритании. Также есть вероятность, что перед шифрованием похищенные данные будут опубликованы в свободном доступе — это может скомпрометировать компанию и привести к достаточно весомому материальному и репутационному ущербу.
Из-за невнимательного поведения пользователя PC вирус может зашифровать информацию на сетевых ресурсах компании. Восстановить файлы будет невозможно, а корпоративные сервисы станут недоступны.
Директора ИT и менеджмент информационной безопасности компании должны ставить высокий приоритет осведомленности сотрудников. Взаимодействие специалистов по информационной безопасности с командами HR и PR поможет в реализации, обучения, агитации, тестирования сотрудников в ненавязчивой форме. Перечисленные мероприятия помогут в изучении превентивных мер защиты от атак программ-вымогателей и фишинга.
Для того чтобы не только обезопасить себя, но и сохранить целостность и конфиденциальность информации компании необходимо:
-
знать, что бывают документы word и таблицы excel с вредоносными макросами;
-
не открывать неизвестные вложения из писем, посланных не от сотрудников вашей организации;
-
если письмо знакомого отправителя выглядит подозрительно — следует связаться с ним по телефону, прежде чем переходить по сомнительным ссылкам;
-
не бояться и сообщать о компрометации данных, подозрительных письмах в отдел информационной безопасности своей организации;
-
поддерживать версию своего браузера в актуальном состоянии, постоянно устанавливая последние обновления;
-
обращать внимание на адрес в адресной строке страницы, на которой вы в данный момент находитесь — ведь адрес http://facebook.sait.com является фишинговой составляющей сайта sait.com;
-
уметь выявлять поддельные или вредоносные электронные письма и сайты — признаками подделки могут быть опечатки, грамматические ошибки, неправильные названия и логотипы известных учреждений — хотя этот способ работает не всегда, поскольку некоторые мошенники используют качественные копии легальных электронных писем, сайтов и платформ, применяемых официальными организациями; лучше всего перепроверить информацию на официальных сайтах и в социальных сетях;
-
в архивах, которые вы скачиваете из недоверенных источников, очень часто могут лежать шифровальщики. Для сохранения своей безопасности всегда стоит проверять архивы. Можно использовать разные онлайн-сервисы. Несколько примеров: https://unzip-online.com/en; https://www.virustotal.com/gui/
В целом, ИТ-руководителям нужно постоянно держать тему информационной безопасности и осведомленности сотрудников в фокусе внимания и задействовать для ее решения не только ИТ-инструменты и регламенты, но и средства корпоративных коммуникаций: например, совместно с HR и PR-службами можно организовать внутренние мероприятия, публикации на корпоративных ресурсах. Это поможет сотрудникам понять важность темы и получить больше знаний, благодаря которым они сами начнут более внимательно относиться к данным и работе с ними. Перечисленные принципы цифровой грамотности помогут обезопасить ваши активы и сохранить репутацию на цифровом рынке.
Статья опубликована в журнале "ИТ-Менеджер", июнь 2021 года