Письменный экзамен |
25.06.2020 |
|---|
Из года в год активность хакеров растёт, а пользователи сталкиваются со всё большим количеством киберугроз. И, несмотря на технический прогресс в вопросе защиты информации, остаётся главное «слабое звено» — сам человек.
Недаром один из наиболее популярных и эффективных инструментов злоумышленников — это фишинговые письма, телефонные звонки и сообщения в мессенджерах. Их используют для кражи персональных данных, конфиденциальной корпоративной информации, а также воровства денег. По оценке «Ростелекома», 30% пользователей, получив фишинговое письмо, открывают содержащееся в нем вложение, ещё 7% отправляют свои данные через веб-форму на сайте, на который их привела ссылка в полученном письме. Какие ловушки используют злоумышленники и как не стать их жертвой — разбираемся вместе с экспертами направления «Кибербезопасность» компании «Ростелеком».
В 2019 и начале 2020 года «Ростелеком» по запросу ряда компаний-заказчиков реализовал несколько проектов по анализу защищённости инфраструктуры. В рамках этой работы эксперты разослали более 9 тысяч писем, имитирующих фишинговую рассылку, на корпоративные почтовые ящики. Сценарии атак были проработаны совместно с руководством «атакуемых» компаний.
В итоге в каждой компании нашлись сотрудники, которые прошли по подозрительной ссылке в письме или открыли вложенный документ. А ведь если хакеру удаётся взломать хотя бы один компьютер корпоративной сети, то он может развить атаку во всей ИТ-инфраструктуре организации. И тогда ему становится доступна закрытая бизнес-информация и даже возможность удалённого управления сетью компании. Так же и с домашним компьютером: как только злоумышленник получает к нему доступ, он может распоряжаться данными большинства аккаунтов, которые использует человек.
Как работает фишинг
Основные каналы для фишинга — это электронная почта, телефонные звонки, мессенджеры, различные чаты в интернет-сервисах. В целом существует два типа фишинга — рассылка писем с вредоносными вложениями и распространение ссылок на поддельные ресурсы, где пользователь оставляет свои данные — в первую очередь, данные банковских карт.
Если человек, получив фишинговое письмо, попадается на уловки хакеров и открывает прикреплённый файл, на компьютер попадает вирусное ПО. Оно позволяет злоумышленнику получить удалённый доступ к компьютеру жертвы и всей информации, которая на нём хранится. В прикреплённом файле также может находиться вирус, который шифрует все данные на устройстве и требует деньги за разблокировку.
Во вложении может быть даже, на первый взгляд, безопасный документ Microsoft Office, который при этом содержит вредоносные макросы (обычно эти инструменты служат пользователям для автоматизации рутинных действий при работе с документами). Записанные хакерами макросы запускают загрузку вирусного ПО на компьютер в тот момент, когда жертва открывает присланный документ.
Ещё один вариант доставки вредоносного софта на компьютер — это ссылка для загрузки файла. Под каким-нибудь предлогом человека убеждают кликнуть по ней, после чего запускается скачивание вредоноса.
Второй тип фишинга — ссылка на поддельный сайт — используется, когда злоумышленников интересуют данные пользователя. Это могут быль логин и пароль от учётной записи на рабочем компьютере, которые станут отправной точкой для взлома компании, или от личной почты человека, его аккаунтов в социальных сетях и личных кабинетов на разных ресурсах. Но чаще всего хакеров интересуют данные банковских карт. Присланная в письме или личном сообщении ссылка, как правило, ведёт на сайт, который выглядит точь-в-точь как настоящий. Адреса таких мошеннических тоже очень похожи на реальные, но всё-таки они содержат едва заметные различия — например, вместо «l» будет буква «i», чтобы заметить подделку было сложнее. Такой сайт может «притворяться» онлайн-банком, интернет-магазином, соцсетью, почтовым сервисом. Всё что угодно, лишь бы «легенда» позволяла разместить на нем веб-форму для ввода данных, не вызывая подозрений. Разумеется, если человек попадётся на уловку и внесёт туда свои данные, они попадут напрямую в руки хакеров.
Эту схему, например, используют мошенники, которые промышляют на таких площадках, как Avito или «Юла». Они отправляют покупателю ссылку на поддельный сайт известной логистической компании, где просят оплатить товар и его доставку. Когда покупатель вводит данные карты на таком сайте, деньги безвозвратно списываются, а товар так и не приходит. Также злоумышленники до сих пор практикуют «щедрые розыгрыши» для привлечения жертв, когда для участия в лотерее человека просят оставить свои данные на неизвестном сайте.
В корпоративной среде хакеры могут побудить пользователя ввести логин и пароль от рабочей почты в веб-форму, например, под предлогом перезапуска системы и получить таким образом доступ в почту через веб-приложение (Outlook Web App).
Чему верят жертвы
Специалисты по кибербезопасности «Ростелекома» часто тестируют внимательность и киберграмотность сотрудников компаний по заказу их руководства. В ходе таких проектов они рассылают по компании «фишинговые» письма, которые позволяют отследить, кто повелся на уловку и открыл вложение потенциально вредоносного письма, а кто проявил бдительность. Обычно для этого используется два типа писем: со ссылкой на веб-форму для ввода данных и с прикрепленным документом Microsoft Office с вредоносными макросами.
Как же сделать такое письмо максимально достоверным и заставить пользователя кликнуть по ссылке или открыть вложение? Основной приманкой для жертвы является тема письма: она позволяет привлечь внимание к сообщению, отбросив сомнения в надёжности отправителя. Например, вот уже несколько месяцев актуальна тема COVID-19, и специалисты «Ростелекома» проверили, насколько сотрудники организаций склонны терять бдительность, получая письма на столь важную тему. В итоге письма якобы с памяткой о принимаемых в компании мерах защиты от корнавируса обманули более 15% получателей.
В целом меньше всего подозрений у пользователей вызывали письма с предложением корпоративных скидок от партнёров работодателя. Им поверили (то есть открыли вложение или заполнили веб-форму) 32% получателей. Предложение ознакомиться с «корпоративными документами» позитивно восприняли 29% человек, требование сменить пароль — 25%, ещё 6% открыли письма с темой «Розыгрыш призов среди сотрудников» и оставили свои данные онлайн.
При этом чем более персонализировано письмо, тем выше результативность атаки. Например, почти 100% пользователей совершали потенциально опасные действия при получении письма-обманки с достоверной и узко сформулированной рабочей темой якобы от коллеги или потенциального заказчика, направленного на малую группу получателей (до трёх человек). С увеличением количества адресатов письмо становится более обобщённым, что делает атаку менее эффективной. Так, при рассылках на группу до десяти человек, открыли письмо и совершили потенциально опасные действия уже 41% получателей. Рассылки на десять человек и более оказались эффективными в 23-24%.
Как не попасться на удочку
Основная проблема при работе с почтой — невнимательность. Все фишинговые письма, как правило, содержат ряд очевидных «тревожных звоночков»: неизвестный адрес отправителя, несуществующие контактные данные, побуждение к разглашению учётных данных, маскировка ссылок, искажённое доменное имя.
Ниже выделены признаки фишинга на примере письма, составленного экспертами «Ростелекома» в рамках одного из проектов по проверке защищённости компании (названия компаний, контактные данные и имена сотрудников изменены):
Поэтому, прежде чем открывать вложения или кликать на ссылки, стоит внимательно изучить письмо. Если ли в нём есть хоть какие-то из перечисленных выше признаков фишинга, то лучше перестраховаться. Например, проверить, соответствует ли телефон, сайт и адрес реальным контактам организации, указанной как отправитель. Или же перезвонить автору письма, если такая возможность есть. И конечно, если письмо, пришедшее на рабочую почту, вызывает сомнения, всегда можно (и нужно) обратиться за советом к ИБ- или ИТ-специалисту компании.
Если вы прошли по ссылке, обратите внимания на текст в адресной строке браузера. Точно ли он совпадает с именем сайта, на который вы планировали попасть? Также стоит убедиться в наличии «https» или иконки в виде замочка в адресной строке, так как крупные компании уже давно используют защищённый протокол, позволяющий шифровать трафик. Если этого нет, то сайт, скорее всего, разработан мошенниками.
Работодателям же стоит регулярно проводить тестовые рассылки на корпоративные почтовые ящики. А по итогам таких тестирований организовывать обучение сотрудников, объясняя им, как не попасться на удочку злоумышленников. «Ростелеком» регулярно проводит для компаний обучение основам киберграмотности. Как показывает практика, это существенно влияют на уровень защищённости организаций: эффективность атак с использованием социальной инженерии в таких компаниях снижается практически в два раза.
В 2019 и начале 2020 года «Ростелеком» по запросу ряда компаний-заказчиков реализовал несколько проектов по анализу защищённости инфраструктуры. В рамках этой работы эксперты разослали более 9 тысяч писем, имитирующих фишинговую рассылку, на корпоративные почтовые ящики. Сценарии атак были проработаны совместно с руководством «атакуемых» компаний.
В итоге в каждой компании нашлись сотрудники, которые прошли по подозрительной ссылке в письме или открыли вложенный документ. А ведь если хакеру удаётся взломать хотя бы один компьютер корпоративной сети, то он может развить атаку во всей ИТ-инфраструктуре организации. И тогда ему становится доступна закрытая бизнес-информация и даже возможность удалённого управления сетью компании. Так же и с домашним компьютером: как только злоумышленник получает к нему доступ, он может распоряжаться данными большинства аккаунтов, которые использует человек.
Как работает фишинг
Основные каналы для фишинга — это электронная почта, телефонные звонки, мессенджеры, различные чаты в интернет-сервисах. В целом существует два типа фишинга — рассылка писем с вредоносными вложениями и распространение ссылок на поддельные ресурсы, где пользователь оставляет свои данные — в первую очередь, данные банковских карт.
Если человек, получив фишинговое письмо, попадается на уловки хакеров и открывает прикреплённый файл, на компьютер попадает вирусное ПО. Оно позволяет злоумышленнику получить удалённый доступ к компьютеру жертвы и всей информации, которая на нём хранится. В прикреплённом файле также может находиться вирус, который шифрует все данные на устройстве и требует деньги за разблокировку.
Во вложении может быть даже, на первый взгляд, безопасный документ Microsoft Office, который при этом содержит вредоносные макросы (обычно эти инструменты служат пользователям для автоматизации рутинных действий при работе с документами). Записанные хакерами макросы запускают загрузку вирусного ПО на компьютер в тот момент, когда жертва открывает присланный документ.
Ещё один вариант доставки вредоносного софта на компьютер — это ссылка для загрузки файла. Под каким-нибудь предлогом человека убеждают кликнуть по ней, после чего запускается скачивание вредоноса.
Второй тип фишинга — ссылка на поддельный сайт — используется, когда злоумышленников интересуют данные пользователя. Это могут быль логин и пароль от учётной записи на рабочем компьютере, которые станут отправной точкой для взлома компании, или от личной почты человека, его аккаунтов в социальных сетях и личных кабинетов на разных ресурсах. Но чаще всего хакеров интересуют данные банковских карт. Присланная в письме или личном сообщении ссылка, как правило, ведёт на сайт, который выглядит точь-в-точь как настоящий. Адреса таких мошеннических тоже очень похожи на реальные, но всё-таки они содержат едва заметные различия — например, вместо «l» будет буква «i», чтобы заметить подделку было сложнее. Такой сайт может «притворяться» онлайн-банком, интернет-магазином, соцсетью, почтовым сервисом. Всё что угодно, лишь бы «легенда» позволяла разместить на нем веб-форму для ввода данных, не вызывая подозрений. Разумеется, если человек попадётся на уловку и внесёт туда свои данные, они попадут напрямую в руки хакеров.
Эту схему, например, используют мошенники, которые промышляют на таких площадках, как Avito или «Юла». Они отправляют покупателю ссылку на поддельный сайт известной логистической компании, где просят оплатить товар и его доставку. Когда покупатель вводит данные карты на таком сайте, деньги безвозвратно списываются, а товар так и не приходит. Также злоумышленники до сих пор практикуют «щедрые розыгрыши» для привлечения жертв, когда для участия в лотерее человека просят оставить свои данные на неизвестном сайте.
В корпоративной среде хакеры могут побудить пользователя ввести логин и пароль от рабочей почты в веб-форму, например, под предлогом перезапуска системы и получить таким образом доступ в почту через веб-приложение (Outlook Web App).
Чему верят жертвы
Специалисты по кибербезопасности «Ростелекома» часто тестируют внимательность и киберграмотность сотрудников компаний по заказу их руководства. В ходе таких проектов они рассылают по компании «фишинговые» письма, которые позволяют отследить, кто повелся на уловку и открыл вложение потенциально вредоносного письма, а кто проявил бдительность. Обычно для этого используется два типа писем: со ссылкой на веб-форму для ввода данных и с прикрепленным документом Microsoft Office с вредоносными макросами.
Как же сделать такое письмо максимально достоверным и заставить пользователя кликнуть по ссылке или открыть вложение? Основной приманкой для жертвы является тема письма: она позволяет привлечь внимание к сообщению, отбросив сомнения в надёжности отправителя. Например, вот уже несколько месяцев актуальна тема COVID-19, и специалисты «Ростелекома» проверили, насколько сотрудники организаций склонны терять бдительность, получая письма на столь важную тему. В итоге письма якобы с памяткой о принимаемых в компании мерах защиты от корнавируса обманули более 15% получателей.
В целом меньше всего подозрений у пользователей вызывали письма с предложением корпоративных скидок от партнёров работодателя. Им поверили (то есть открыли вложение или заполнили веб-форму) 32% получателей. Предложение ознакомиться с «корпоративными документами» позитивно восприняли 29% человек, требование сменить пароль — 25%, ещё 6% открыли письма с темой «Розыгрыш призов среди сотрудников» и оставили свои данные онлайн.
При этом чем более персонализировано письмо, тем выше результативность атаки. Например, почти 100% пользователей совершали потенциально опасные действия при получении письма-обманки с достоверной и узко сформулированной рабочей темой якобы от коллеги или потенциального заказчика, направленного на малую группу получателей (до трёх человек). С увеличением количества адресатов письмо становится более обобщённым, что делает атаку менее эффективной. Так, при рассылках на группу до десяти человек, открыли письмо и совершили потенциально опасные действия уже 41% получателей. Рассылки на десять человек и более оказались эффективными в 23-24%.
Как не попасться на удочку
Основная проблема при работе с почтой — невнимательность. Все фишинговые письма, как правило, содержат ряд очевидных «тревожных звоночков»: неизвестный адрес отправителя, несуществующие контактные данные, побуждение к разглашению учётных данных, маскировка ссылок, искажённое доменное имя.
Ниже выделены признаки фишинга на примере письма, составленного экспертами «Ростелекома» в рамках одного из проектов по проверке защищённости компании (названия компаний, контактные данные и имена сотрудников изменены):
Поэтому, прежде чем открывать вложения или кликать на ссылки, стоит внимательно изучить письмо. Если ли в нём есть хоть какие-то из перечисленных выше признаков фишинга, то лучше перестраховаться. Например, проверить, соответствует ли телефон, сайт и адрес реальным контактам организации, указанной как отправитель. Или же перезвонить автору письма, если такая возможность есть. И конечно, если письмо, пришедшее на рабочую почту, вызывает сомнения, всегда можно (и нужно) обратиться за советом к ИБ- или ИТ-специалисту компании.
Если вы прошли по ссылке, обратите внимания на текст в адресной строке браузера. Точно ли он совпадает с именем сайта, на который вы планировали попасть? Также стоит убедиться в наличии «https» или иконки в виде замочка в адресной строке, так как крупные компании уже давно используют защищённый протокол, позволяющий шифровать трафик. Если этого нет, то сайт, скорее всего, разработан мошенниками.
Работодателям же стоит регулярно проводить тестовые рассылки на корпоративные почтовые ящики. А по итогам таких тестирований организовывать обучение сотрудников, объясняя им, как не попасться на удочку злоумышленников. «Ростелеком» регулярно проводит для компаний обучение основам киберграмотности. Как показывает практика, это существенно влияют на уровень защищённости организаций: эффективность атак с использованием социальной инженерии в таких компаниях снижается практически в два раза.
Сергей Семёнов 
Метки: телекоммуникации
Поиск
11:48
Павел Малков рассказал о съёмках короткометражки в Рязанской области
09:57
В Рязани увеличат количество льготных поездок на общественном транспорте
14.11.2024 16:04
Свидетели по делу о закупке техники в Рязани озвучили новые подробности
14.11.2024 15:37
Ещё один подрядчик начал вывозить грунт со стройплощадки в Борках
14.11.2024 15:26
Экс-мэр Рязани Елена Сорокина дала показания в суде по делу о закупке коммунальной техники
14.11.2024 12:56
В Рязани вводится туристический налог
14.11.2024 12:20
В Сасовском округе обустроят нерегулируемые пешеходные переходы возле школ
14.11.2024 11:57
На работу вертолёта санавиации в Рязанской области потратят ещё 2,8 миллиона рублей
13.11.2024 21:31
Создано агентство по развитию Рязани
13.11.2024 15:56
В Рязанской области состоялся слёт юных волонтёров при поддержке РНПК
13.11.2024 13:23
Завод каменной ваты ТЕХНОНИКОЛЬ в Рязани приступает к установке постов мониторинга воздуха
13.11.2024 12:15
На ремонт участка канализации в центре Рязани потратят 41,4 миллиона рублей
13.11.2024 11:52
На установку и замену дорожных знаков в Рязани потратят 3,2 миллиона рублей
13.11.2024 11:40
На базе РГРТУ могут открыть проект «Передовые инженерные школы»
13.11.2024 10:20
Ростелеком: Компания предложила новые тарифы на услуги для дома и семьи, которые не изменятся никогда
13.11.2024 09:22
В Рязанской области объём промпроизводства вырос почти на 12%
12.11.2024 17:10
В Рязанской области установили нормативы затрат на ремонт и содержание дорог V категории
12.11.2024 15:22
Школа в Борках будет возведена за территорией бывшего шпалозавода
12.11.2024 14:04
В Рязани нашли подрядчика для строительства второй очереди кладбища «Преображенское»
12.11.2024 12:45
Производитель сельхозтехники из Китая планирует строительство завода в Рязанской области
12.11.2024 10:55
Ливнёвку в Московском районе Рязани оборудуют локальными очистными сооружениями
12.11.2024 09:52
Здание онкоцентра рязанской горбольницы №11 капитально отремонтируют
11.11.2024 16:08
Половину трудоспособного населения Рязанской области хотят обучить оказанию первой помощи
11.11.2024 13:04
В Рязанской области установили новый размер губернаторских стипендий одарённым детям
11.11.2024 12:27
Рязанская область заняла 51-место в рейтинге доступности ипотеки
