Практически ни одна современная кибератака не обходится без приемов фишинга. Статистика, собранная исследователями и специалистами по безопасности, демонстрирует: если злоумышленник разошлет 10 писем, найдется минимум один пользователь, который прочтет сообщение, перейдет по ссылке или запустит вредоносное содержимое. Эксперты компании «Стахановец» подсказывают, как защититься от утечки информации в случае кибератаки.
Фишинг — это не просто рассылка, это целое искусство манипуляции жертвой. Его эффективность достигается благодаря 7 основным приемам, позволяющим просачиваться внутрь периметра безопасности организации.
Программный комплекс для контроля сотрудников
1. Масштабная рассылка писем
Базовый вид фишинга. Стратегия заключается в массовой рассылке тщательно замаскированных писем, кажущихся похожими на уведомления государственных регуляторов, сообщения из банка или службы поддержки электронных сервисов. Угрозу обычно представляет вредоносное вложение, либо ссылка, ведущая на сайт — сборщик паролей.
Это самый распространённый тип атаки, требующий минимального времени на подготовку операции. Успех достигается за счет масштабности рассылки, включающей в себя не одну тысячу адресатов. Основная ставка делается на невнимательность пользователей, бездумно открывающих содержимое писем.
2. Бей и беги
Благодаря этому приему злоумышленники легко обходят любые спам-фильтры. Вместо того чтобы использовать одну почту и один IP-адрес для атаки, хакеры готовят целый набор «запасных».
С каждого IP-адреса уходит небольшое количество писем, и, благодаря этому фильтры, алгоритмы которых реагируют на массовые однотипные сообщения, полученные с одного домена или IP, своевременно не распознают угрозу. Но, даже если антиспам, электронным мозгом или благодаря вмешательству зоркого сисадмина «сообразит» заблокировать входящий поток, это вряд ли поможет. Ведь следующая порция вредоносных писем отправится в компанию уже с другого IP.
3. Целенаправленные атаки
Целевой фишинг, получивший в англоязычной прессе название «spear phishing» — это довольно сложная операция, соединяющая в себе приемы социальной инженерии и рассылку.
Вместо того чтобы отправлять сотни писем и надеяться на невнимательность сотрудников, хакеры точечно выбирают цели, гарантированно обладающие доступом к нужной информации. Попасть под прицел может ведущий специалист компании, инженер, руководитель отдела продаж, системный администратор, бухгалтер, секретарь или обычный менеджер.
Обычно злоумышленники долго изучают поведение жертвы перед отправкой «письма с сюрпризом» и стараются действовать небанально, максимально персонализируя наживку. Например, отправляют расписание мероприятий на конференции, на которую недавно зарегистрировалась жертва.
Для придания дополнительной достоверности может использоваться реальный краденый почтовый ящик, принадлежащий какой-либо компании или должностному лицу.
4. Охота на китов
У кого есть ключ от всех дверей в компании? Правильно, у собственника или представителя топ-менеджмента. Идея охоты на большую рыбу, по-английски whaling, заключается в том, чтобы не терять время на постепенное проникновение внутрь периметра системы безопасности с использованием данных работников, а пойти ва-банк, получив коды доступа первого лица фирмы.
Этот вид фишинга — венец креатива. Он объединяет в себе не только филигранно подготовленное персонализированное сообщение, но и трудную многочасовую работу социальных инженеров. Жертва разбирается по косточкам, изучается распорядок дня, круг общения, сфера интересов. Если цель — босс международной компании, в ход могут пойти предварительные атаки на кого-либо из списка его контактов, чтобы незаметно похитить почтовый ящик или пополнить базу знаний о привычках и модели поведения добычи.
Финальное фишинговое письмо может быть замаскировано подо что угодно, начиная от корреспонденции от партнеров и заканчивая ответом одного из сотрудников компании, который выполнил распоряжение шефа и прислал документ на утверждение.
Как только у гидры отсечена одна голова, на ее месте тут же вырастают две новые, да еще и обладающие повышенным иммунитетом против имеющихся в наличии средств защиты. К несчастью, эта аналогия отлично характеризует современные фишинговые атаки, которые могут быть как максимально примитивными и дешевыми, так и сложными и дорогими. Объединяет их одно — жуткая эффективность.
5. Взлом почтовых ящиков
Чью просьбу сотрудник не сможет проигнорировать? Письмо, полученное от непосредственного руководителя, в подавляющем большинстве случаев является прямым указанием к действию. Хакеры, прекрасно зная модели поведения офисных тружеников, разработали двухуровневую систему фишинговой атаки. Фаза первая — взлом и похищение почты кого-либо из руководящего состава. Фаза вторая — отправка письма с указаниями работнику. А чтобы сотрудник лично не поинтересовался у шефа легитимностью приказа, подобные операции лучше всего проводить, когда руководитель в отпуске. Это значительно повышает шансы на успех.
Обычно такие схемы используются для финансовых махинаций, например перевода средств на подставные счета, реже — для кражи ценной информации и саботажа.
6. Клонирование
Клонирование – неотъемлемая часть любых фишинговых атак. Самый простой вариант — маскировка всех составляющих сообщения под уведомления, которые регулярно получают работники компании. Применяется такой вариант для массовой рассылки зараженных писем. Выявить «приятный сюрприз», попавший в почту, крайне сложно и больше напоминает игру «найди пять отличий», ведь разница между письмом из банка и фальшивкой может быть в одной букве электронной почты. А найти различия в url-адресах, вшитых в тело сообщения, практически невозможно.
Более сложный вариант предполагает предварительное хищение почтовых ящиков и их дальнейшее использование для вредоносной рассылки.
Клонирование уже давно превратилось из отдельного направления взлома в обыденную составляющую фишинговых атак, ставших благодаря этому приему, максимально эффективными.
7. Телефонный фишинг
Voice fishing, он же vishing, в переводе на русский — телефонный фишинг, новый инструмент, позволяющий легко манипулировать незадачливыми пользователями. Как и в случае с обычным фишингом, хакеры могут пойти простым или сложным путем. Массовый вариант – запись сообщения и автоматические звонки, обычно маскирующиеся под уведомления от банков.
«Персонализированный» вариант — работнику позвонит специалист по социальной инженерии, предварительно изучивший модель поведения и круг интересов своей жертвы. Цель такого звонка — убедить выполнить определенную последовательность действий: например, открыть письмо и запустить вложение или перейти по ссылке.
Что делать?
Современный фишинг — это сложный комплекс инструментов и действий, направленных на подавление периметра информационной безопасности, и ему не могут в одиночку противостоять антивирусные системы. Хотя бы потому, что хакеры всегда наносят удар по самому слабому звену любой системы защиты — человеку.
Для успешного противодействия необходимо создавать эшелонированный периметр безопасности, включающий в себя антивирусные системы и комплексы, анализирующие действия пользователей.
Метод 1. Контроль почты. Любая фишинговая атака начинается с письма. Причем письмо обязательно будет тщательно замаскировано под послание от вышестоящего руководства, организации-партнера, клиента или уведомление от госструктур и контролирующих органов.
Обычно угрозу в письме представляет именно ссылка, которая ведет на вредоносный сайт. Дальше все зависит от мастерства и подготовки хакеров. Например, на сайте может прятаться вредоносный код. Нередко внешний вид ссылки и сайта «подделывают» под какую-либо банковскую или учетную систему. Незадачливый пользователь, не видя подвоха, вводит свои регистрационные данные, которые тут же оказываются в руках у злоумышленников.
Независимо от вариаций возможного нанесения вреда, необходим трехэтапный контроль переписки. Первый — анализ адресата, именно благодаря сходным с оригинальными электронными ящиками госструктур, руководителей или партнеров по бизнесу, злоумышленникам удается манипулировать персоналом. Электронная система контроля должна отслеживать переписку и в случае возникновения опасности, начинать бить тревогу.
Второй — анализ контента. Содержащие вирус вложения и странные ссылки должны тщательно отслеживаться. Стоит отметить, что фишинговая атака обычно сопровождается массовой рассылкой писем, содержащих одинаковые заголовки и сходный контент. Современные системы защиты данных умеют выявлять подобные всплески вредоносной активности и адекватно реагировать на них.
Для руководителя есть еще один немаловажный бонус использования подобных программных комплексов. Часто утечки информации происходят именно через электронную почту. Кроме того, полезно проанализировать коммуникации персонала как внутри коллектива, так и с партнерами извне. К несчастью, случаи ненормативного общения или искажения информации происходят регулярно.
Ну и третий эшелон — использование так называемой песочницы для запуска подозрительных вложений. Это специальная выделенная среда, которая служит для безопасного исполнения программ.
Метод 2. Анализ трафика в режиме реального времени. Если все-таки фишинговое письмо просочилось внутрь организации, без интеллектуального анализа трафика в режиме реального времени не обойтись. Системы, обладающие такими возможностями, отслеживают опасные ссылки и блокируют клики по ним. Если, несмотря на все ухищрения, бойкий пользователь все же смог перейти на опасный сайт, система оповестит ответственное лицо, которое сможет своевременно принять меры. Это позволит не допустить заражение, либо, говоря о сайтах ворующих логины и пароли, своевременно обновить коды доступа к ресурсам.
Метод 3. Поведение пользователей. Важный элемент любой информационной защиты – мониторинг, анализ и контроль поведения пользователей. «Умные» системы контроля персонала умеют не только отслеживать активность в режиме реального времени, но и выявлять возможные рисковые ситуации. Например, если секретарь Маша бездумно открывает все письма подряд, даже те, что рекламируют сомнительные БАДы, а менеджер Вова пытается запустить странное вложение, несмотря на крики и протесты антивируса, система выявит риски и уведомит руководителя. Останется ликвидировать потенциальные угрозы, модифицировав поведение «человеческого фактора» до приемлемого с точки зрения машины. То есть подготовить и обучить персонал.
Фишинг — компьютерная чума XXI века, в беспрерывной войне с которой победу пока одерживают отнюдь не компании. И немудрено: простая и быстрая атака, не требующая особых материально-технических средств с завидной регулярностью проходит сквозь все системы защиты и лишь единицы могут эффективно противостоять подобному воздействию. В итоге, компании несут убыток, теряют терабайты информации и приостанавливают свою деятельность на часы, дни, а иногда даже недели, а хакеры потирают руки, ведь они, как всегда, в выигрыше.
Метод 4. Моделирование реальных ситуаций. Прочитав лекцию о киберугрозах и фишинге, проведя контрольный тест-опрос руководитель с высокой степенью вероятности не добьется ничего, кроме впустую потраченного времени. Учиться необходимо на практике. Самый лучший способ закрепления правильного поведения – моделирование реальной ситуации и анализ правильных действий и совершенных ошибок.
Для проведения подобных мероприятий необязательно тормозить работу всей компании, достаточно выбрать несколько фокус-групп из разных департаментов. В следующий раз участниками эксперимента станут их коллеги или работники, неверно отреагировавшие на угрозу.
Далее, необходимо подготовить минимальную базу для атаки: подходящую электронную почту и письмо с вредоносным вложением или ссылкой. Не стоит пренебрегать излюбленным хакерским приемом — социальной инженерией. Для правдоподобности стоит изучить профили «жертв» в социальных сетях и снабдить послание определенными личными данными.
Письмо-приманка может быть как «деловым», замаскированным под уведомление из банка или от государственных органов, так и личным, содержащим информацию о скидках на билеты любимой футбольной команды.
Если сотрудник «клюнул» на приманку, стоит отправить ему сообщение с информацией о том, что же только что произошло. Например, необдуманные действия привели к заражению системы компании или краже паролей.
Следующий этап — дебрифинг, проще говоря «разбор полетов», сбор и анализ статистических данных: сколько работников из фокус-группы действовали неверно; экстраполяция статистики на всю компанию; разработка методичек и инструкций.
Метод 5. Помощь отдела маркетинга. Практически в каждой организации есть специально обученные люди, в задачи которых входит общение с аудиторией. Это отдел маркетинга. Не стоит пренебрегать их возможностями. Привлечение маркетологов к обучению персонала внутри компании дает максимальный эффект. Они смогут разработать стратегии общения с коллективом, основанные на разнообразных вариантах доведения информации, таких как вебинары, внутрикорпоративные рассылки, методички, должностные инструкции или визуализированные буклеты.
Несмотря на трудоемкость процесса, не стоит пренебрегать всеми возможностями. Как утверждают ведущие эксперты по информационной безопасности, все инвестиции в защиту данных окупаются ровно за одну атаку. И компании, своевременно не подготовившиеся к такому развитию событий, могут это легко подтвердить.
Метод 6. Поощрение правильных действий. Американский и европейский бизнес пришел к выводу, что самым действенным средством обучения является материальное стимулирование. Сотрудников, адекватно прореагировавших в процессе симуляции фишинговой атаки, стоит поощрить премией.
Нелишним будет предусмотреть всевозможные поощрения для работников, обнаруживших реальную угрозу. Подобный подход позволяет добиться серьезного отношения к возможным рискам и дает отличный стимул сотрудникам внимательно изучать материалы по кибербезопасности.