Фишинговые письма и утечка данных. Как избежать проблем безопасности в интернете



Что такое фишинг





Несколько месяцев назад на украинском IT-портале DOU сотрудники корпорации EPAM опубликовали статью, рассказывающую о социальной инженерии, фишинге и о том, как им противостоять. Мы сделали для вас перевод этого материала, поскольку тема кибербезопасности актуальна всегда, и особенно сейчас, когда карантинные меры в связи с COVID-19 заставляют бизнес переводить своих сотрудников на удаленный режим работы.


О том, чем может помочь провайдер инфраструктурных услуг при организации удаленного офиса вашей компании, чтобы избежать простоев бизнеса, мы рассказали в материале «Как быстро и безопасно организовать удаленную работу офиса». В ней вы найдете критерии, которым должен соответствовать поставщик инфраструктурных сервисов, чтобы клиент получил ожидаемое качество услуг.


Слово авторам:


«Когда речь идет о безопасности, мы, работающие в IT-сфере, можем пренебречь ее правилами в угоду удобству [решения]. Знаем об этом, потому что работаем в IT давно. Эта статья поможет вам вспомнить слегка подзабытые практики безопасности в интернете, а может, и найти что-нибудь новое в мире кибербезопасности. Кроме того, в статье будет много примеров фишинговых писем и несколько реальных историй о компаниях, допустивших потерю данных своих клиентов.


Как часто вы обращаете внимание на наличие HTTPS на вебстранице? Вы используете многофакторную аутентификацию? Обращаете внимание на поле «отправитель» в рекламной рассылке в почте?


В наше время тренинги по Security awareness (обучение мерами информационной безопасности) – привычная рутина для IT-специалистов, большинство из нас проходит их по несколько раз в год. Именно по этой причине многие сотрудники IT воспринимают подобные тренинги как пустую трату времени, ведь на них рассказывается «о том, что и так понятно». Мы же постараемся показать security awareness с иной стороны, менее официозно, не «для галочки», а, как говорится, для людей.


Одной из наиболее серьезных угроз для компаний, как и для обычных пользователей, является социальная инженерия. Выражаясь кратко, социальная инженерия – это техника, которая вынуждает человека совершить такие действия, которых он совершать не должен. В этом случае целью злоумышленника является именно человек (не слишком внимательный или образованный), а заставить его нажать нужную ссылку или запустить вредный исполняемый файл – гораздо проще, чем, например, обойти всю систему защиты компании целиком, со всеми ее антивирусами, файерволлами и SIEM-системами. А учитывая то, что после недавних случаев с громкими кибератаками компании стали выделять солидные бюджеты на обеспечение кибербезопасности, задача добраться до критически важной информации внутри хорошо защищенной организации будет требовать почти нереальных затрат сил, финансов и времени.


Несколько лет назад в шоу Джимми Киммела провели эксперимент: людей на улице спрашивали о надежности их паролей к личным аккаунтам с целью их компрометации. Результаты эксперимента ошарашивают: огромное количество незнакомцев охотно шла навстречу интервьюерам и легко делилось своими паролями от соцсетей и почтовых ящиков. Этот случай – яркое свидетельство того, что выманить пароль у пользователя гораздо проще, чем кажется. И еще, что порой люди не придерживаются, казалось бы, совершенно очевидных правил безопасности и защиты своей частной жизни.


Фишинг

Фишинг является наиболее ярким примером реализации социальной инженерии. Ниже приводим пример фишингового письма, в котором присутствуют сразу несколько характерных признаков того, что это письмо не было отправлено с честными намерениями:



Пример фишинга
Мошенническое письмо, имитирующее системное сообщение с Amazon.



Проанализируем очевидные признаки того, что полученное письмо – фейк.


  1. Фишинговый почтовый домен. Первое, что бросается в глаза, - ненастоящий почтовый домен: в слове Amazon не хватает буквы «а» в начале.

  2. Деперсонализированное (безадресное) обращение. В этом письме, которое должно быть адресным, поскольку речь идет о конкретном случае (подозрение на взлом аккаунта), не указано имя или никнейм адресата – злоумышленник его вряд ли знает.

  3. Подозрительная ссылка или вложенный файл. Самое главное – фишинговая ссылка, перейдя по которой пользователь, скорее всего, должен ввести свои учетные данные будто бы для аутентификации. Другой фишинговый сценарий, не менее популярный, предусматривает вложение в виде документа, таблицы или какого-либо файла, способного выполнять вредоносный код.

Главный фактор, способствующий успешному фишингу, – это невнимательность пользователя. Однако, помимо этого, злоумышленник может оперировать целым спектром манипулирования человеческими эмоциями и потребностями.



Желание легкой наживы или жадность. Неожиданный выигрыш в лотерее?



Пример фишинга
Это письмо отправил совсем не CEO Google.



А как насчет удвоения суммы биткоинов? Верите, что так бывает?



Пример фишинга
Вряд ли вы отправляли такой запрос...



Тревога. Согласитесь, никого не оставит равнодушным известие, что в вашем аккаунте на PayPal или онлайн-банкинге замечена подозрительная активность. Если вы получили такое письмо, лучше зайти на официальный сайт или в мобильное приложение.



Пример фишинга
Не спешите отчаиваться – проверьте вначале свой аккаунт на официальном сайте.




Фишинг в СМС
Стрелкой отмечена ссылка на фейковую фишинговую страницу.


Любопытство. Еще одна человеческая слабость, ведь разве вам не будет интересно заглянуть в секретную зарплатную ведомость, оправленную вам по ошибке, или полюбоваться фотографиями с корпоратива, куда вы не смогли попасть?



Фишинговые файлы
Тут нет ничего, что стоило бы вашего внимания. Не открывайте эти файлы!



Симпатия. В наше время можно нарваться на рекрутеров ІТ-компаній где угодно, даже в Tinder. Так разве что-то мешает попробовать подобные платформы и для фишинга?



Фишинг в тиндере
Это совсем не флирт!



Бонус-трек. Бывало и такое:



Сообщения от злоумышленников
Считаете себя любимчиком спецслужб? Оставьте свои мечты конспирологам, это их территория :)




Сообщения от злоумышленников
Да неужели!



Итак, выводы отсюда следующие:


  • Не кликайте, куда не следует!
  • Не открывайте, не нажимайте, не запускайте подозрительные файлы, ссылки и программы.
  • Подозрительными могут быть те файлы или ссылки, которых вы не ждете.


Утечка данных

Еще одна киберугроза, с которой сталкивается современный бизнес, это утечки данных (Data leakage). Утечка данных – это несанкционированная передача данных за пределы организации, которой они принадлежат, либо же просто попадание таких данных в открытый доступ. За тем, насколько часто происходят утечки чувствительной информации, можно следить вживую: например, в твиттере по хэштегам #leakage или #databreach можно найти несколько свежих утечек данных, которые произошли за сегодня.


Давайте вспомним наиболее громкие случаи утечки данных, произошедшие в прошлом году.


Facebook. В апреле 2019 года исследовательская группа из UpGuard обнаружила сразу два набора данных, в одном из которых находилось свыше 540 миллионов записей: лайки, комментарии, имена аккаунтов, Facebook ID и т.д. В другом датасете находились фото, посты и пароли пользователей от приложения, которое использовало фейсбук. По словам экспертов из UpGuard, пароли стороннего приложения вполне могли быть идентичными паролям к Facebook-аккаунтам.


В целом апрель прошлого года для компании Фейсбук выдался нелегким, поскольку, помимо упомянутого случая с утечкой персональных данных пользователей соцсети, в том же месяце Фейсбук признался, что на протяжении долгого времени сохранял пользовательские пароли к аккаунтам в Instagram в незашифрованном виде, что является ярким примером того, «как не нужно хранить пароли пользователей». 


First American Financial Corp. Одна из крупнейших компаний США, позиционирующая себя как третья сторона в операциях с недвижимостью, оставила в открытом доступе примерно 885 миллионов записей, которые в мае 2019 года обнаружил эксперт Брайан Кребс. Самый старый документ в этой подборке был датирован 2003 годом, а самый новый – 2019. Позже корпорация исправила проблему и удалила датасет.



Слив персональных данных в интернет
Абсолютно вся личная информация о клиенте – в открытом доступе.



Capital One. Банковский холдинг, специализирующийся на кредитных картах, банковских и депозитных счетах, в июле 2019 года заявил, что данные примерно 100 миллионов жителей Соединенных Штатов и 6 миллионов жителей Канады похищены хакерами. То есть, если вы завели счет в Capital One в период между 2005 и 2019 годами, то и ваши данные, скорее всего, попали в руки злоумышленников. Утраченные данные содержали номера социального страхования, номера банковских счетов, имена и фамилии, домашние адреса, почтовые индексы, даты рождения и email-адреса клиентов. Несмотря на огромное количество утраченных данных, Capital One заявил, что ни один кредитный счет или пароль не скомпрометирован, а значит, никто не пострадал. Позже, по подозрению в совершении этой атаки на данные банка, ФБР арестовало 33-летнюю жительницу Сиэттла Пейдж Томпсон, вина которой была доказана в результате выявления следов данных Capital One на ее девайсах. Приговор суда: пять лет тюремного заключения и $250 тыс. штрафа. 


Adobe. В октябре 2019 года от массовой утечки данных пострадала компания Adobe. В результате атаки в руки злоумышленников попала информация около 2,9 миллионов пользователей сервисов Adobe. Информация, полученная хакерами, включала в себя Adobe ID пользователей, зашифрованные пароли, имена и фамилии, зашифрованные номера кредитных карт. В этом случае расследование ФБР не выявило виновников утечки. В свою очередь, корпорация Adobe пообещала всем пользователям, чьи данные были скомпрометированы, бесплатный год подписки на сервисы Adobe. 


Из всех перечисленных случаев можно сделать четкий вывод: утечки данных происходят и практически никто от них не застрахован. Можно ли полностью обезопасить себя от подобных нежелательных казусов? Ответ – нет.


Однако существует несколько простых советов, которые позволят пользователям чуть-чуть больше чувствовать себя в безопасности и (возможно) уберегут от чрезмерной паранойи в интернете.



Как минимизировать киберугрозы

Для начала можно поинтересоваться, не был ли замечен ваш email в одной из известных утечек данных. Для таких целей австралийский эксперт по безопасности, а по совместительству еще и региональный директор Microsoft Inc., Трой Хант разработал сервис Have i been pwned?. HIBP был создан как бесплатный ресурс, чтобы любой пользователь мог быстро выяснить, есть ли аккаунты, связанные с вашим email, скомпрометированные или замеченные в известных утечках данных.


Все, что вам нужно сделать, используя этот сервис, – просто ввести свой email в поле поиска. После этого ресурс ответит, был ли введенный адрес электронной почты замечен в инцидентах, связанных с утечками информации.




Проверка надежности адреса электронной почты
Проверьте, не стали ли вы жертвой утечки данных.



В том случае, если ваш email все-таки обнаружился в списках утраченных данных, имеет смысл сразу поменять пароль пораженной учетной записи. Кроме того, никогда не будет лишним включить двухфакторную аутентификацию везде, где это можно [в Gmail, например. – комм. SIM-Networks].


Еще одна важная вещь, о которой все (ну, или почти все) знают, но не все, вероятно, используют, – менеджер паролей. В целях безопасности всегда стоит сложные, длинные и, что самое главное, разные для всех ресурсов пароли. Очевидно, что запомнить такое количество сложных паролей физически невозможно, и потому менеджер паролей становится уже не опциональным софтом, а жизненно-важной утилитой. На сегодняшний день на рынке менеджеров паролей представлен целый ряд решений с разнообразным дополнительным функционалом.


Из решений open-source можно выделить KeePass – утилиту, которая будет хранить ваши пароли локально в зашифрованной базе данных.


Из коммерческих решений можно выбрать 1Password – за 3 доллара в месяц вы получите поддержку всех популярных платформ (приложения для iOS и Android) и неограниченное количество паролей для хранения. А в менеджере паролей от Dashlane, помимо защищенного хранилища паролей, как дополнительный функционал предлагается даже VPN.


Подведем итоги

А вместо вывода предлагаем вам несколько советов, соблюдение которых в целом способно повысить уровень вашей личной безопасности и приватности в интернете.


Совет 1: Не кликайте на незнакомые ссылки, не открывайте и не запускайте аттачменты в подозрительных электронных письмах. Да, как бы очевидно это ни звучало, но на самом деле идентифицировать реальное фишинговое письмо не всегда просто.


Совет 2: Прочитайте памятку, как не стать кибержертвой (на английском языке).

Совет 3: По возможности в неизвестных сетях используйте прокси или VPN.


Совет 4: Время от времени проверяйте свой email-адрес с помощью сервиса haveibeenpwned.com.


Совет 5: Пользуйтесь менеджерами паролей. 3 доллара в месяц – не такая уж высокая цена за безопасность ваших персональных данных.


Совет 6: Используйте многофакторную аутентификацию, как минимум, на наиболее важных сервисах, которыми пользуетесь (электронная почта, интернет-банкинг и т.п.)


Как видим, когда речь идет о безопасности, советы могут быть очень простыми и очевидными. Но это только на первый взгляд. Мы верим, что, прилежно следуя рекомендациям даже этой, базовой, памятки, вы сможете сделать свое пребывание в интернете более приватным и безопасным».


Оригинальная статья с оригинальными иллюстрациями находится здесь.


Слово SIM-Networks:


Описанные в этой статье правила и советы, несмотря на кажущуюся простоту, очень действенны. А главное – они универсальны: им необходимо следовать, работая и в офисе, и дома, и в удаленном режиме в период карантиннной изоляции. Им нужно следовать всегда, чтобы ваши личные и служебные аккаунты находились в полной безопасности.


Если вам необходимо настроить VPN, организовать безопасное RDP-подключение или перенести весь ваш офлайн-офис в безопасную облачную среду, обращайтесь прямо сейчас – специалисты SIM-Networks помогут вам.

Понравилась статья? Поделитесь ею в социальных сетях!

close