Несколько месяцев назад на украинском IT-портале DOU сотрудники корпорации EPAM опубликовали статью, рассказывающую о социальной инженерии, фишинге и о том, как им противостоять. Мы сделали для вас перевод этого материала, поскольку тема кибербезопасности актуальна всегда, и особенно сейчас, когда карантинные меры в связи с COVID-19 заставляют бизнес переводить своих сотрудников на удаленный режим работы.
О том, чем может помочь провайдер инфраструктурных услуг при организации удаленного офиса вашей компании, чтобы избежать простоев бизнеса, мы рассказали в материале «Как быстро и безопасно организовать удаленную работу офиса». В ней вы найдете критерии, которым должен соответствовать поставщик инфраструктурных сервисов, чтобы клиент получил ожидаемое качество услуг.
Слово авторам:
«Когда речь идет о безопасности, мы, работающие в IT-сфере, можем пренебречь ее правилами в угоду удобству [решения]. Знаем об этом, потому что работаем в IT давно. Эта статья поможет вам вспомнить слегка подзабытые практики безопасности в интернете, а может, и найти что-нибудь новое в мире кибербезопасности. Кроме того, в статье будет много примеров фишинговых писем и несколько реальных историй о компаниях, допустивших потерю данных своих клиентов.
Как часто вы обращаете внимание на наличие HTTPS на вебстранице? Вы используете многофакторную аутентификацию? Обращаете внимание на поле «отправитель» в рекламной рассылке в почте?
В наше время тренинги по Security awareness (обучение мерами информационной безопасности) – привычная рутина для IT-специалистов, большинство из нас проходит их по несколько раз в год. Именно по этой причине многие сотрудники IT воспринимают подобные тренинги как пустую трату времени, ведь на них рассказывается «о том, что и так понятно». Мы же постараемся показать security awareness с иной стороны, менее официозно, не «для галочки», а, как говорится, для людей.
Одной из наиболее серьезных угроз для компаний, как и для обычных пользователей, является социальная инженерия. Выражаясь кратко, социальная инженерия – это техника, которая вынуждает человека совершить такие действия, которых он совершать не должен. В этом случае целью злоумышленника является именно человек (не слишком внимательный или образованный), а заставить его нажать нужную ссылку или запустить вредный исполняемый файл – гораздо проще, чем, например, обойти всю систему защиты компании целиком, со всеми ее антивирусами, файерволлами и SIEM-системами. А учитывая то, что после недавних случаев с громкими кибератаками компании стали выделять солидные бюджеты на обеспечение кибербезопасности, задача добраться до критически важной информации внутри хорошо защищенной организации будет требовать почти нереальных затрат сил, финансов и времени.
Несколько лет назад в шоу Джимми Киммела провели эксперимент: людей на улице спрашивали о надежности их паролей к личным аккаунтам с целью их компрометации. Результаты эксперимента ошарашивают: огромное количество незнакомцев охотно шла навстречу интервьюерам и легко делилось своими паролями от соцсетей и почтовых ящиков. Этот случай – яркое свидетельство того, что выманить пароль у пользователя гораздо проще, чем кажется. И еще, что порой люди не придерживаются, казалось бы, совершенно очевидных правил безопасности и защиты своей частной жизни.
Фишинг
Фишинг является наиболее ярким примером реализации социальной инженерии. Ниже приводим пример фишингового письма, в котором присутствуют сразу несколько характерных признаков того, что это письмо не было отправлено с честными намерениями:

Мошенническое письмо, имитирующее системное сообщение с Amazon.
Проанализируем очевидные признаки того, что полученное письмо – фейк.
- Фишинговый почтовый домен. Первое, что бросается в глаза, - ненастоящий почтовый домен: в слове Amazon не хватает буквы «а» в начале.
- Деперсонализированное (безадресное) обращение. В этом письме, которое должно быть адресным, поскольку речь идет о конкретном случае (подозрение на взлом аккаунта), не указано имя или никнейм адресата – злоумышленник его вряд ли знает.
- Подозрительная ссылка или вложенный файл. Самое главное – фишинговая ссылка, перейдя по которой пользователь, скорее всего, должен ввести свои учетные данные будто бы для аутентификации. Другой фишинговый сценарий, не менее популярный, предусматривает вложение в виде документа, таблицы или какого-либо файла, способного выполнять вредоносный код.
Главный фактор, способствующий успешному фишингу, – это невнимательность пользователя. Однако, помимо этого, злоумышленник может оперировать целым спектром манипулирования человеческими эмоциями и потребностями.
Желание легкой наживы или жадность. Неожиданный выигрыш в лотерее?

Это письмо отправил совсем не CEO Google.
А как насчет удвоения суммы биткоинов? Верите, что так бывает?

Вряд ли вы отправляли такой запрос...
Тревога. Согласитесь, никого не оставит равнодушным известие, что в вашем аккаунте на PayPal или онлайн-банкинге замечена подозрительная активность. Если вы получили такое письмо, лучше зайти на официальный сайт или в мобильное приложение.

Не спешите отчаиваться – проверьте вначале свой аккаунт на официальном сайте.

Стрелкой отмечена ссылка на фейковую фишинговую страницу.
Любопытство. Еще одна человеческая слабость, ведь разве вам не будет интересно заглянуть в секретную зарплатную ведомость, оправленную вам по ошибке, или полюбоваться фотографиями с корпоратива, куда вы не смогли попасть?

Тут нет ничего, что стоило бы вашего внимания. Не открывайте эти файлы!
Симпатия. В наше время можно нарваться на рекрутеров ІТ-компаній где угодно, даже в Tinder. Так разве что-то мешает попробовать подобные платформы и для фишинга?

Это совсем не флирт!
Бонус-трек. Бывало и такое:

Считаете себя любимчиком спецслужб? Оставьте свои мечты конспирологам, это их территория :)

Да неужели!
Итак, выводы отсюда следующие:
- Не кликайте, куда не следует!
- Не открывайте, не нажимайте, не запускайте подозрительные файлы, ссылки и программы.
- Подозрительными могут быть те файлы или ссылки, которых вы не ждете.
Утечка данных
Еще одна киберугроза, с которой сталкивается современный бизнес, это утечки данных (Data leakage). Утечка данных – это несанкционированная передача данных за пределы организации, которой они принадлежат, либо же просто попадание таких данных в открытый доступ. За тем, насколько часто происходят утечки чувствительной информации, можно следить вживую: например, в твиттере по хэштегам #leakage или #databreach можно найти несколько свежих утечек данных, которые произошли за сегодня.
Давайте вспомним наиболее громкие случаи утечки данных, произошедшие в прошлом году.
Facebook. В апреле 2019 года исследовательская группа из UpGuard обнаружила сразу два набора данных, в одном из которых находилось свыше 540 миллионов записей: лайки, комментарии, имена аккаунтов, Facebook ID и т.д. В другом датасете находились фото, посты и пароли пользователей от приложения, которое использовало фейсбук. По словам экспертов из UpGuard, пароли стороннего приложения вполне могли быть идентичными паролям к Facebook-аккаунтам.
В целом апрель прошлого года для компании Фейсбук выдался нелегким, поскольку, помимо упомянутого случая с утечкой персональных данных пользователей соцсети, в том же месяце Фейсбук признался, что на протяжении долгого времени сохранял пользовательские пароли к аккаунтам в Instagram в незашифрованном виде, что является ярким примером того, «как не нужно хранить пароли пользователей».
First American Financial Corp. Одна из крупнейших компаний США, позиционирующая себя как третья сторона в операциях с недвижимостью, оставила в открытом доступе примерно 885 миллионов записей, которые в мае 2019 года обнаружил эксперт Брайан Кребс. Самый старый документ в этой подборке был датирован 2003 годом, а самый новый – 2019. Позже корпорация исправила проблему и удалила датасет.

Абсолютно вся личная информация о клиенте – в открытом доступе.
Capital One. Банковский холдинг, специализирующийся на кредитных картах, банковских и депозитных счетах, в июле 2019 года заявил, что данные примерно 100 миллионов жителей Соединенных Штатов и 6 миллионов жителей Канады похищены хакерами. То есть, если вы завели счет в Capital One в период между 2005 и 2019 годами, то и ваши данные, скорее всего, попали в руки злоумышленников. Утраченные данные содержали номера социального страхования, номера банковских счетов, имена и фамилии, домашние адреса, почтовые индексы, даты рождения и email-адреса клиентов. Несмотря на огромное количество утраченных данных, Capital One заявил, что ни один кредитный счет или пароль не скомпрометирован, а значит, никто не пострадал. Позже, по подозрению в совершении этой атаки на данные банка, ФБР арестовало 33-летнюю жительницу Сиэттла Пейдж Томпсон, вина которой была доказана в результате выявления следов данных Capital One на ее девайсах. Приговор суда: пять лет тюремного заключения и $250 тыс. штрафа.
Adobe. В октябре 2019 года от массовой утечки данных пострадала компания Adobe. В результате атаки в руки злоумышленников попала информация около 2,9 миллионов пользователей сервисов Adobe. Информация, полученная хакерами, включала в себя Adobe ID пользователей, зашифрованные пароли, имена и фамилии, зашифрованные номера кредитных карт. В этом случае расследование ФБР не выявило виновников утечки. В свою очередь, корпорация Adobe пообещала всем пользователям, чьи данные были скомпрометированы, бесплатный год подписки на сервисы Adobe.
Из всех перечисленных случаев можно сделать четкий вывод: утечки данных происходят и практически никто от них не застрахован. Можно ли полностью обезопасить себя от подобных нежелательных казусов? Ответ – нет.
Однако существует несколько простых советов, которые позволят пользователям чуть-чуть больше чувствовать себя в безопасности и (возможно) уберегут от чрезмерной паранойи в интернете.
Как минимизировать киберугрозы
Для начала можно поинтересоваться, не был ли замечен ваш email в одной из известных утечек данных. Для таких целей австралийский эксперт по безопасности, а по совместительству еще и региональный директор Microsoft Inc., Трой Хант разработал сервис Have i been pwned?. HIBP был создан как бесплатный ресурс, чтобы любой пользователь мог быстро выяснить, есть ли аккаунты, связанные с вашим email, скомпрометированные или замеченные в известных утечках данных.
Все, что вам нужно сделать, используя этот сервис, – просто ввести свой email в поле поиска. После этого ресурс ответит, был ли введенный адрес электронной почты замечен в инцидентах, связанных с утечками информации.

Проверьте, не стали ли вы жертвой утечки данных.
В том случае, если ваш email все-таки обнаружился в списках утраченных данных, имеет смысл сразу поменять пароль пораженной учетной записи. Кроме того, никогда не будет лишним включить двухфакторную аутентификацию везде, где это можно [в Gmail, например. – комм. SIM-Networks].
Еще одна важная вещь, о которой все (ну, или почти все) знают, но не все, вероятно, используют, – менеджер паролей. В целях безопасности всегда стоит сложные, длинные и, что самое главное, разные для всех ресурсов пароли. Очевидно, что запомнить такое количество сложных паролей физически невозможно, и потому менеджер паролей становится уже не опциональным софтом, а жизненно-важной утилитой. На сегодняшний день на рынке менеджеров паролей представлен целый ряд решений с разнообразным дополнительным функционалом.
Из решений open-source можно выделить KeePass – утилиту, которая будет хранить ваши пароли локально в зашифрованной базе данных.
Из коммерческих решений можно выбрать 1Password – за 3 доллара в месяц вы получите поддержку всех популярных платформ (приложения для iOS и Android) и неограниченное количество паролей для хранения. А в менеджере паролей от Dashlane, помимо защищенного хранилища паролей, как дополнительный функционал предлагается даже VPN.
Подведем итоги
А вместо вывода предлагаем вам несколько советов, соблюдение которых в целом способно повысить уровень вашей личной безопасности и приватности в интернете.
Совет 1: Не кликайте на незнакомые ссылки, не открывайте и не запускайте аттачменты в подозрительных электронных письмах. Да, как бы очевидно это ни звучало, но на самом деле идентифицировать реальное фишинговое письмо не всегда просто.
Совет 2: Прочитайте памятку, как не стать кибержертвой (на английском языке).
Совет 3: По возможности в неизвестных сетях используйте прокси или VPN.
Совет 4: Время от времени проверяйте свой email-адрес с помощью сервиса haveibeenpwned.com.
Совет 5: Пользуйтесь менеджерами паролей. 3 доллара в месяц – не такая уж высокая цена за безопасность ваших персональных данных.
Совет 6: Используйте многофакторную аутентификацию, как минимум, на наиболее важных сервисах, которыми пользуетесь (электронная почта, интернет-банкинг и т.п.)
Как видим, когда речь идет о безопасности, советы могут быть очень простыми и очевидными. Но это только на первый взгляд. Мы верим, что, прилежно следуя рекомендациям даже этой, базовой, памятки, вы сможете сделать свое пребывание в интернете более приватным и безопасным».
Оригинальная статья с оригинальными иллюстрациями находится здесь.
Слово SIM-Networks:
Описанные в этой статье правила и советы, несмотря на кажущуюся простоту, очень действенны. А главное – они универсальны: им необходимо следовать, работая и в офисе, и дома, и в удаленном режиме в период карантиннной изоляции. Им нужно следовать всегда, чтобы ваши личные и служебные аккаунты находились в полной безопасности.
Если вам необходимо настроить VPN, организовать безопасное RDP-подключение или перенести весь ваш офлайн-офис в безопасную облачную среду, обращайтесь прямо сейчас – специалисты SIM-Networks помогут вам.