Фишинг: как корпоративным клиентам не попасться на удочку мошенников
Утечка корпоративных данных может обернуться катастрофой для бизнеса любого уровня и сферы деятельности. Мошенники придумывают все более изощренные способы воздействия на информационные структуры компаний и психологическое состояние сотрудников. Исключить кибератаки практически невозможно, однако их количество (а следовательно, и вероятность потери данных) можно сократить.
Фишинговые рассылки: кто в зоне риска
Письма от мошенников могут прийти как физическим лицам, так и на адреса компании, поэтому в зоне риска все пользователи всемирной паутины. Термин «фишинг» происходит от английского слова fishing (только пишется, как phishing), что в переводе означает «рыбная ловля». Образно выражаясь, мошенник является рыбаком, который закинул удочку, а все остальные — рыбкой, которая на эту удочку может попасться.
Фишинговое мошенничество направлено на то, чтобы злоумышленник получил конфиденциальные данные пользователя (номера дебетовых и кредитных карт, паспортные данные, логины и пароли к различным сервисам в интернете и прочую информацию). На сегодняшний день фишинг становится все более популярной киберугрозой во всем мире. От года к году количество атак увеличивается.
Наиболее подвержены риску ключевые секторы экономики.
Оборонно‑промышленный комплекс и промышленное производство. В данном контексте перед мошенниками стоит задача перевода предприятий в неработоспособное состояние с целью прекращения производственной деятельности.
Финансовый сектор, включая банковские учреждения. Эти организации являются хранителями значительных денежных ресурсов и обширных массивов личной информации клиентов.
Средства массовой информации, в том числе медийные платформы и новостные порталы. Эти ресурсы тоже становятся «лакомым куском» для киберпреступников, поскольку при получении доступа к ним можно быстро распространить недостоверную информацию на широкую аудиторию.
Социальная инженерия: игра на эмоциях
В последнее время все чаще обсуждается проблема социальной инженерии — это метод воздействия на психологию человека с целью получения личной информации или доступа к конфиденциальным данным. Такой подход может маскироваться под благородные намерения — например, воздействовать на эмоции и эмпатию, чтобы стимулировать пожертвования в пользу якобы нуждающихся людей. В результате, стремясь помочь, люди могут неосознанно раскрыть свои личные данные или перевести средства на фиктивные счета.
Еще один способ психологического давления — рассылка «тревожных» сообщений, в которых содержатся угрозы о распространении личной информации владельца, способной опозорить его (например, фотографии в обнаженном виде, которые могут быть созданы с помощью искусственного интеллекта). Также встречаются рассылки от несуществующих государственных силовых органов с сообщениями о якобы совершенных преступлениях или от банков с новостями о просроченных кредитах.
Социальная инженерия также представляет угрозу для корпоративной безопасности, поскольку атаки могут быть направлены на сотрудников компаний. По данным исследований компании Positive Technologies, специализирующейся на информационной безопасности, в 2023 году социальная инженерия стала причиной почти половины успешных кибератак (43%), большая часть которых осуществлялась через электронную почту, СМС‑сообщения, социальные сети и мессенджеры.
Поддельные сайты: отвлечение внимания
Фишинговые атаки включают в том числе отправку сообщений по электронной почте или через мессенджеры от имени разных организаций: государственных и банковских структур, популярных интернет‑магазинов и других. Основная цель киберпреступников — побудить получателя перейти по предоставленным в письме ссылкам. Для этого они используют индивидуальный подход, анализируя предпочтения пользователей и направляя им сообщения с предложениями, которые максимально соответствуют их интересам.
В последнее время все чаще появляются разговоры о том, что западные компании, ушедшие с российского рынка в 2022 году, могут вернуться. Несмотря на то, что официальных заявлений пока не было, мошенники могут воспользоваться ситуацией и предложить купить товары иностранных брендов по предзаказу.
В свете этих угроз компаниям и частным лицам необходимо проявлять повышенную бдительность при взаимодействии с электронной корреспонденцией. Важно проверять адрес отправителя и содержание письма на предмет грамматических ошибок и несоответствий в логике предложений, поскольку такие письма могут быть сгенерированы нейросетью. Также лучше избегать перехода по подозрительным ссылкам.
Согласно исследованию SECURELIST by Kaspersky, среди популярных методов обмана выделяются следующие:
- поддельные сайты для путешественников для бронирования мест для проживания;
- поддельные сайты для корпоративного доступа сотрудников туристических компаний;
- поддельные сайты социальных сетей (WhatsApp, Telegram и прочих);
- рассылка писем от неизвестных прежде богатых родственников или о поиске наследников, которыми являетесь именно вы.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Как защитить бизнес от кибератак
Единственный способ оградить информационную структуру компании — защита по всем фронтам. Комплексный подход включает следующие шаги.
Использование последней версии лицензионной операционной системы на компьютерах или мобильной технике. Производители регулярно выпускают обновления безопасности — это некие «заплатки», которые закрывают потенциальные или существующие уязвимости в операционной системе. Использование устаревших версий ведет к существенному риску, так как такие системы со временем перестают поддерживаться производителем и не имеют требуемой защиты от современных методов взлома.
Использование антивирусной программы, которая регулярно обновляется. Для этого программа должна быть лицензионной (у пользователя должен иметься электронный ключ, предоставляющий регулярные обновления антивирусных баз). В данном случае лучше выбрать отечественные решения — например, Kaspersky, Dr.Web, Pro32.
Использование программ, которые являются личным «банком» паролей. Примером такой программы может служить «Пассворк» или Kaspersky Password Manager. Категорически нельзя сохранять пароли на рабочем столе компьютера или в других местах в открытом виде (под «открытым видом» подразумевается запись паролей в обычных текстовых файлах).
Установка фаерволов (firewall — в переводе «огненная стена»). Это интернет‑фильтры, предназначенные для предотвращения атак из сети. Как правило, такие программы сейчас входят даже в антивирусные решения.
Использование современных браузеров. У них есть встроенные механизмы определения поддельных сайтов. Когда пользователь осуществляет переход на такие страницы, они информируют об этом или даже полностью блокируют возможность такого перехода. Сюда же добавляются и интернет‑фильтры (например, в составе продуктов Kaspersky), которые встраиваются в браузер и также защищают от вредоносных сайтов в интернете.
Обучение сотрудников кибергигиене. Согласно статистике, которую приводит Phishman, примерно 80% фишинговых атак происходят по вине пользователей. Поэтому бизнесу нужно образовывать людей в этом направлении и проводить в компаниях периодические тренировки. Хорошим вариантом будем программное решение Phishman. Это программный комплекс российской разработки (что немаловажно), который направлен на тестирование и обучение сотрудников основам информационной безопасности.
Грамотный подход к отражению фишинговых атак позволит обезопасить информационную структуру компании и избежать потери как корпоративных, так и персональных данных, а следовательно, избежать штрафов и репутационных потерь.
Как рассчитать затраты на внедрение систем информационной безопасности
В компаниях следует использовать большое количество различных средств обеспечения информационной безопасности и не ограничиваться только базовыми решениями. Однако часто возникает вопрос, каких финансовых ресурсов потребует внедрение.
Эффективность информационной безопасности напрямую связана с масштабом бизнеса и его деятельностью. При этом немаловажной составляющей в расчете затрат на обеспечение защиты данных является численный состав коллектива. Например, малый бизнес, который специализируется на продажах и имеет в штате до десяти сотрудников, может обойтись базовым пакетом мер: установка антивирусных программ, менеджеров паролей, систем двухфакторной аутентификации и сетевых фаерволов. Общая стоимость таких решений может варьироваться в пределах до 200 тысяч рублей.
В то же время компания аналогичного размера, предоставляющая облачные услуги и владеющая дорогостоящей серверной инфраструктурой, сетевым оборудованием и системами хранения данных, сталкивается с необходимостью более высоких уровней защиты. Это связано с обработкой большого объема конфиденциальных данных клиентов. В таких условиях затраты на информационную безопасность могут достигать нескольких миллионов рублей.
Да уж, это то ещё зло. Раньше эти все рассылки были такие примитивные, что я искренне не понимал, кто может на это вообще вестись, а теперь бывает сам далеко не сразу замечаю, что меня пытаются обмануть. Ну и почты наши, которыми мы все пользуемся, очень прокачались в фильтрации спама. Уже многие левые письма не проходят через спам фильтры.