Rose debug info
---------------

Блог Start X

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Что нужно знать о фишинге

Компания Cisco заявляет, что электронная почта — источник угрозы №1 в современном мире, а по данным Verizon отправка мошеннического письма становится самым простым и популярным способом взломать любую компанию.

Статья подготовлена для блога по управлению проектами

Сергей Волдохин
sv@antiphish.ru

Получается, работать с электронной почтой небезопасно?

В статье мы расскажем, как происходят такие атаки и что делать, чтобы не стать их жертвой.

Почему электронная почта?

Чтобы добраться до корпоративных систем с ценными данными — CRM, бухгалтерии или интернет-банка — мошенникам нужно:

  1. найти и взломать внутреннюю сеть компании, которая у многих компаний хорошо защищена или вообще недоступна извне, либо
  2. взломать хотя бы одного пользователя, у которого уже есть нужные доступы.

Второй вариант — проще и эффективнее: достаточно найти адреса электронной почты нескольких сотрудников и отправить им специально подготовленные письма.

Во вложении к таким письмам будет вредоносная программа, которая заражает компьютер и дает хакеру удаленный доступ, или шифрует все данные и требует выкуп. Такая же программа ждет пользователя по ссылке в письме. Часто никаких дополнительных действий не требуется: компьютер будет заражен сразу после клика.

Таким образом, чтобы взломать компанию мошенникам приходится решить несложную задачу: сделать так, чтобы получатель письма захотел открыть вложение или перешел по ссылке.

Как это работает?

Для этого мошенники стараются вызвать сильные эмоции: это позволяет на секунду отключить критическое мышление. Секунды вполне хватит, чтобы кликнуть по ссылке или открыть вложенный файл.

Страх

Сотруднику приходит мошенническое письмо «от банка». Ключевые слова: кредит, задолженность, судебный иск:

Источник: Тинькофф Журнал

Письмо составлено так, чтобы получатель захотел «ознакомиться с документами» и кликнул по одной или второй ссылке.

Другие примеры — письма «от контрагента», который просит погасить долг, прикладывает счет на оплату или высылает новый прайс-лист:

Источник: Антифишинг
Источник: Group-IB

Что сделает ваш бухгалтер, если получит такое письмо?

Страх + Авторитет

FinCERT — действующий отдел Центробанка РФ, который действительно информирует банки об инцидентах и угрозах в сфере информационной безопасности.

Хакеры организовали атаку от имени Центробанка, полностью скопировав формат электронного письма:

Источник: Лаборатория Касперского

Во вложении — .doc-файл с макросом, который запускает вредоносную программу.

Жадность

Почему бы не получить двадцать девять тысяч рублей, ведь все что нужно для этого — перейти по ссылке:

Источник: Тинькофф Журнал

Желание помочь или хорошо сделать свою работу

Оба следующих письма рассчитаны на то, что менеджер или сотрудник бухгалтерии захочет узнать подробности, посмотрит вложенные файлы или перейдет по ссылке:

Вместо настоящих документов в архиве может быть вредоносная программа:

Желание заработать

На зарплату сотрудника могут влиять объем продаж или количество принятых заказов. Такая мотивация сыграет на руку мошенникам:

Обе ссылки около «заявки» ведут на вредоносный файл.

Любопытство

Один из сотрудников компании RSA получил такое письмо и решил посмотреть вложенный «план набора» на 2011 год:

Источник: F-Secure Labs

Файл оказался вредоносным, в результате компания была взломана, а общий ущерб составил 66 миллионов долларов США.

Как защититься?

В любой современной компании должен быть минимальный набор средств защиты: антивирусы на рабочих станциях и антиспам-фильтрация на почтовых серверах.

К сожалению, технические средства не всегда могут защитить от подобных атак. Если ссылка в мошенническом письме ведет на сайт, которого еще нет в репутационных базах, а вредоносный файл разработан профессионалами, антивирус и антиспам не помогут.

В таких условиях можно рассчитывать только на правильные действия пользователей.

Хорошо, если сотрудники знают о проблеме и умеют реагировать на фишинговые письма. Как правило, те сотрудники, которые стали жертвами реальной атаки — самые защищенные, потому что на практике убедились, что будет, если кликнуть по ссылке или открыть вложенный вредоносный файл.

Чтобы защититься, мы рекомендуем:

  • регулярно обучать всех сотрудников: показывать актуальные примеры фишинга и объяснять, чем грозит письмо от неизвестного отправителя с непонятным вложением и ссылкой.
  • проверять навыки сотрудников: как они реагируют на учебные фишинговые письма? Открывают ли вложения, переходят по ссылкам? Если ваша компания проходит ежегодный “тест на проникновение”, обязательно дополните его сценариями атак на своих пользователей.

Выводы

  1. Одного письма достаточно, чтобы взломать компьютер сотрудника и всю компанию.
  2. Не открывайте вложения и не переходите по ссылкам, в которых не уверены.
  3. Обращайте внимание на свои эмоции: страх, авторитет или ощущение срочности — признаки мошеннического письма.
  4. Перезвоните отправителю и уточните, действительно ли он выслал вам этот счет, акт или договор?
  5. Обучайте своих пользователей основам информационной безопасности. Для начала можно переслать ссылку на эту статью.
  6. Тренируйте и контролируйте практические навыки противодействия фишингу.
 2389   2016   основы   статьи   фишинг

Как действуют хакеры

и что делать, чтобы не стать их жертвой

Вы приезжаете в отель и подключаетесь к местной беспроводной сети. На экране появляется окно с предложением обновить флеш-плеер, вы соглашаетесь. Обновление устанавливается, но компьютер уже не совсем ваш: теперь его контролируют профессиональные хакеры. Они скопируют ваши файлы и почту, сохранят пароли и смогут управлять компьютером так, что вы этого не заметите.

Сергей Волдохин
sv@antiphish.ru



Как это произошло?

В 2014 году Лаборатория Касперского рассказала о проекте Darkhotel —
серии целевых атак на руководителей компаний и предпринимателей в Японии, Китае, России и других странах.

Статья «APT-атака Darkhotel. История необычного гостеприимства»

Для взлома компьютеров неизвестные хакеры использовали как минимум четыре метода. Мы разберем эти методы и объясним, как не стать жертвой в подобных ситуациях.

Атаки через провайдера

Провайдер контролирует все, что вы смотрите в интернете и определяет, какие данные вы получите.

Обычно провайдеры передают то, что вы просили: по ссылке blog.antiphish.ru откроется наш блог, а по ссылке www.facebook.com — сайт социальной сети. Но провайдер может показать вам все, что захочет: например, рекламный ролик, как при подключении к беспроводной сети московского метро.

Как действуют хакеры. Хакеры из группы Darkhotel взламывали провайдеров и получали полный доступ к беспроводным сетям крупных отелей и бизнес-центров. Среди тех, кто подключался к этим сетям, они выбирали жертву и показывали ей всплывающее окно с предложением обновить флеш-плеер, гугл хром или другую программу. Вместе с настоящим обновлением запускалась троянская программа, и компьютер оказывался под контролем хакеров.

Как защититься. Старайтесь не пользоваться публичными сетями: вместо этого подключайтесь через смартфон или интернет-модем. LTE-соединение, тариф без роуминга или местная SIM-карта — и пароль от вайфай можно не спрашивать.

Если работаете через публичную сеть, постарайтесь защитить все данные, которые передаете. Сразу после выхода в интернет подключайтесь к корпоративному VPN: весь трафик будет зашифрован, а провайдер не сможет перенаправить вас на произвольный сайт.

Если нет VPN, используйте шифрованное соединение на сайтах, с которыми работаете. Для этого набирайте https:// перед адресом: например, https://www.antiphish.ru вместо www.antiphish.ru. Это не защитит от переадресаций, но поможет сохранить личные данные, которые вы вводите на сайте: логины, пароли, номера платежных карт.

Чтобы не вводить https вручную, используйте специальное расширение браузера

Мобильный интернет ? VPN ? HTTPS

Фальшивые обновления

Опытные пользователи знают, как важно вовремя обновлять операционную систему, браузер и другие программы. Можешеники пользуются этим и создают специальные сайты, где под видом обновлений предлагают скачать вирус или троянскую программу:


Для просмотра видео сайт требует обновить версию флеш-плеера
и даже предлагает скачать дистрибутив

Пользователи, которые знают об этой схеме, уходят с таких сайтов, а если обновление действительно нужно — скачивают дистрибутив с сайта производителя или обновляют программу встроенными средствами. Когда есть доступ в интернет, это легко сделать:


Обновление Гугл Хром встроенными средствами браузера.

Как действуют хакеры. В атаках Darkhotel у хакеров был доступ к инфраструктуре провайдера, поэтому предложение установить фальшивое обновление появлялось еще до подключения к интернету. Пойти на сайт производителя или проверить обновление встроенными средствами не получалось. Пользователи, которые соглашались на установку, запускали троянскую программу и сдавали компьютер хакерам.

Как защититься. Обновляйте программы автоматически, встроенными средствами: через центр обновлений или специальный пункт меню.

Если обновляетесь вручную, не соглашайтесь на обновления из неизвестных источников: скачивайте обновления только с сайта производителя. Дождитесь момента, когда окажетесь в собственной сети, или используйте VPN: без этого вас могут отправить на поддельный сайт.

Включите автообновления ? скачивайте дистрибутив
только с сайта производителя

Торренты

Загрузка вредоносных файлов через торренты может заразить даже ваш смартфон. Этот способ работает и для массового заражения компьютеров.

статья «У вас в смартфоне дыра»

Как действуют хакеры. Группа Darkhotel создавала специальные торрент-файлы с контентом, который мог заинтересовать жертв. Файлы скачивались в архиве, и для открытия предлагалось использовать специальную программу-распаковщик. Программа извлекала файлы, но при этом устанавливала и запускала троянскую программу:


Интересный контент по-азиатски: чтобы посмотреть аниме,
придется запустить троянскую программу.

Как защититься. Не ищите бесплатный контент, или хотя бы делайте это на известных вам сайтах. Проверяйте то, что загрузили: странно видеть в архиве программу, если вы скачивали фильм.

Не открывайте подозрительные файлы

Целевой фишинг

В 2015 году группа Darkhotel изменила тактику. Главным способом заражения стал целевой фишинг — рассылка специальных электронных писем тем, кого хакеры выбирали в качестве жертв.

Как действуют хакеры. Пользователи получали письмо с вложенным архивом, внутри которого была троянская программа. Хакеры пользовались техникой переименования файлов, в результате которой у файла менялось видимое расширение: вместо .exe или .scr (настоящие расширения) пользователи видели .jpg — поддельное расширение . Открыть файл с картинкой казалось безопасно.


По расширениям (.doc) и иконкам оба файла похожи на текстовые документы. На самом деле, один из них — программа.

Как защититься. Не открывайте вложения, которые пришли от неизвестных отправителей.

Если письмо важное и открыть вложение очень нужно, внимательно смотрите на содержимое. Для этого распакуйте архив в отдельную папку и выберите представление, в котором виден тип каждого файла, или посмотрите свойства файла:


Программа, похожая на текстовый документ.

Выводы

  1. Старайтесь не пользоваться публичными сетями, а если приходится —
    работайте через VPN.
  2. Заходите на все сайты через HTTPS-соединение.
  3. Включите автоматические обновления всех программ.
  4. Если обновляетесь вручную — скачивайте дистрибутивы только с сайта производителя.
  5. Проверяйте загруженные архивы. Файлы могут быть переименованы: используйте проводник, чтобы увидеть настоящий тип каждого файла.
  6. Не запускайте неизвестные программы, скринсейверы и любые файлы, в которых не уверены.

О компании «Антифишинг»

Мы обучаем сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии — в том числе те, которые применяет группа Darkhotel.

Напишите нам, чтобы проверить своих пользователей.

Источники изображений:

 791   2016   статьи   фишинг   целевые атаки
О компании Start X
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры атак для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Start X
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.




© Start X, 2016...2025 РСС
Движок — Эгея