Уроки безопасности от RU-CENTER: как защитить свою компанию от фишинга

Если вам приходили письма о баснословных выигрышах или звонили подозрительные сотрудники банка, чтобы узнать код из СМС, знайте: это фишинг, попытка украсть ваши данные или деньги с помощью вредоносных ссылок. Он может касаться как физического лица, так и больших компаний и иметь серьёзные последствия.

Мы написали лонгрид о том, как действуют мошенники и что делать, чтобы не попасть в их ловушки. В конце вы найдёте список рекомендаций, как обезопасить себя и своих сотрудников.

Что такое фишинг

«Фишинг» — это калька с английского слова phishing, состоящего из слов fishing (рыбная ловля, выуживание) и password (пароль). Это один из самых распространённых видов интернет-мошенничества, где цель — получить идентификационные данные.

Действия мошенников могут привести к последствиям разной степени тяжести: от невинного баннера на персональном компьютере до потери контента компании без возможности восстановить его.

Основная цель фишинга — украсть что-то ценное и использовать себе во благо либо скомпрометировать или обрушить чужой бизнес.

Что обычно становится целью фишеров:

персональные данные, в том числе паспортные;
всевозможные логины и пароли;
коды доступа;
данные для входа в личные кабинеты;
реквизиты банковских карт или счетов;
личная переписка;
служебная информация;
базы данных;
информация, представляющая коммерческую тайну, и пр.

Кого атакуют фишеры и как часто

Масштабы фишинговых атак набирают обороты с каждым годом. Согласно исследованию Positive Technologies, в первом квартале 2020 года киберинцидентов стало больше на 20% по сравнению с предыдущим кварталом. Многие мошенники решили сыграть на главном страхе 2020 года — коронавирусе: с этой темой было связано примерно 13% фишинговых атак.

Мы писали отдельную статью о том, как на фоне пандемии мошенники обманывают людей. Помимо прочих ловушек и схем, в списке опасностей есть и рассылки с фишинговыми ссылками.

Ещё одно исследование провели эксперты «Лаборатории Касперского». Они выяснили, что в первом квартале 2020 года больше всего фишинговых атак пришлось на организации категории «Онлайн-магазины» — 18,12%. Диаграмма показывает, как распределились остальные проценты:

Данные исследования «Лаборатории Касперского»

Виды фишинга

Если вы услышите от кого-то слово «смишинг» или «вишинг», знайте: человек не смеётся над вами. Ведь и то, и другое — разные формы фишинга. Разберёмся в терминологии.

По целям атак фишинг делится:

на Целевой (англ. spear phishing) — атаки на физических лиц.
Уэйлинг (англ. whaling — китовый промысел) — фишинг по-крупному. Здесь главная цель — «киты» крупных компаний, высокопоставленные лица.

По каналам атак фишинг делится на:

Собственно фишинг (англ. phishing) — рассылка сообщений с заражёнными или фейковыми сайтами. Это общий для всех видов фишинга термин.
Вишинг (англ. voice+phishing=vishing) — атаки с помощью телефонных звонков.
Смишинг (англ. sms+phishing=smishing) — атаки через СМС.
Фарминг (англ. pharming) — секретное перенаправление пользователя на заражённый сайт без его ведома.
Рассылка мошеннических сообщений в соцсетях.

Разберём виды фишинга и выясним, как защитить от него сотрудников и компанию в целом.

Фишинговые письма

На вашу почту приходит странное письмо, которое сообщает о выигрыше, просит срочно куда-то перейти и внести свои данные и т. д. Так мошенники играют на эмоциях: неожиданной радости, страхе, любопытстве.

Многие такие «письма счастья» попадают в папку «Спам», но некоторые ухитряются проскакивать во входящие. Нельзя полностью полагаться на антиспам-систему почты, нужно всегда быть начеку.

Признаки фишингового письма

Нет имени отправителя и контактных данных.
Адрес отправителя состоит из бессмысленного набора букв.
Письмо от крупной организации, но на её настоящем сайте нет адреса этого отправителя.
Отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной: gmail.com, mail.ru.
При наведении курсора на кнопку или ссылку в письме, в левом нижнем углу страницы отображается не тот адрес.
В адресе ссылки есть необычные символы, например, @.
У вложенных файлов неизвестное расширение и/или непонятное название.
Ссылки не вставлены в текст, а замаскированы изображениями, кнопками, яркими картинками и QR-кодами.

О чём обычно пишут в фишинговых рассылках

Расскажем о темах вредоносных писем. Это далеко не полный список возможных сценариев-ловушек: мошенники очень изобретательны и постоянно придумывают новые способы выманить ваши данные. Вредоносные кнопки и ссылки в таких письмах либо запускают вирусы, либо ведут на страницы, где вы сами вводите важные данные.

Кто-то взломал вашу почту и узнал пароль / Мы обнаружили подозрительные или мошеннические действия в вашей учётной записи / Кто-то изменил настройки безопасности вашей почты.
Ваша учётная запись заблокирована или отключена / Вы добавлены в чёрный список: мы поняли, что вы мошенник или бот!
Вам важный документ из налоговой, полиции, кредитной организации и т. п. К письму прикреплены файлы, имеющие неизвестные расширения и странные названия.
Письмо от вашего коллеги/партнёра с документами или «важными рабочими» ссылками.
Вы выиграли приз! Перейдите по ссылке, чтобы узнать условия получения и/или доставки.
Вы не погасили кредит — дело передаётся в суд.

Самое главное правило

Не переходите по ссылкам в подобных письмах, не нажимайте на картинки, как бы привлекательно они ни выглядели, не вводите свои данные на неизвестных страницах.

Фишинговые сайты

Ссылки в фишинговых письмах обычно ведут на вредоносные сайты.

Какие сайты обычно подделывают:

банков и микрофинансовых организаций;
платёжных сервисов;
поисковиков и почтовых сервисов;
страницы с формами авторизации и оплаты интернет-магазинов;
авиакомпаний и др.

Как распознать фишинговый сайт

HTTP вместо HTTPS в адресе сайта

Это значит, что сертификата безопасности у сайта нет и соединение небезопасно. Если вы попали на сайт банка и видите в адресе HTTP, это повод усомниться в подлинности страницы. К сожалению, сейчас мошенник может легко получить бесплатный SSL-сертификат для своего фишингового сайта. Это в очередной раз доказывает, что серьёзная компания не станет пользоваться бесплатным сертификатом, а приобретёт его у проверенных поставщиков.

Странное или подозрительное доменное имя

Чтобы сбить с толку жертву, мошенники регистрируют доменные имена, похожие на названия крупных организаций. Но, если присмотреться, нестыковки будут очевидны: достаточно посмотреть на домен второго уровня. Например, вместо https://alfabank.ru фишинговый сайт будет называться http://alfabank.k.ru. Если сомневаетесь, найдите в поиске оригинальный сайт и сравните адреса — так вы поймёте, попали ли вы к мошенникам.

Ошибки, опечатки, странности в дизайне и вёрстке

На странице всё «прыгает» и наезжает друг на друга, где-то не хватает текста, а где-то целые предложения написаны капсом. Грубые орфографические ошибки перемежаются с призывами зайти, ввести, нажать и купить. Как правило, такие сайты являются фишинговыми — крупные организации, под которые маскируются мошенники, не могут позволить себе выглядеть так небрежно.

Вы всегда можете проверить подозрительный сайт на подлинность и наличие вирусов и спама. Воспользуйтесь подходящим вам сервисом, например:

AVG Threatlabs,
Kaspersky VirusDesk,
Google Transparency Report,
ScanURL,
PhishTank,
Urlvoid.com и др.

Фишинговые звонки: вишинг

Как работает вишинг, голосовой метод фишинга:

Вам звонит «сотрудник банка» или службы безопасности, рассказывает о подозрительных операциях по вашей карте и предлагает назвать данные из СМС. Настоящий сотрудник банка так делать не будет: это мошенники.
Если вы давали объявление о продаже, например, на «Авито», вам наверняка звонили «покупатели» и просили данные вашей карты, чтобы перечислить предоплату. Это тоже одна из схем вишинга.

Фишинг через СМС: смишинг

Как обычно выглядит такой вид фишинга:

Вам приходит сообщение или электронное письмо, где сообщают о проблеме: что-то не так с вашей картой или идентификационными данными, кто-то пытался списать деньги с вашего счёта и т. п. Чтобы выяснить, в чём дело, вам нужно позвонить по указанному в сообщении номеру.
Вам пришла СМС от неизвестного со ссылкой: скорее всего, это мошенники. Не переходите по ссылкам из сообщений!
СМС приходит якобы от сотрудника компании, госуслуг или налоговой, но номер не официальный, а частный. Не верьте сообщению: это мошенники.

Фишинг в соцсетях

Как обычно выглядит:

Вам приходит личное сообщение, которое призывает посмотреть провокационное видео с вами в главной роли, узнать что-то интересное, проголосовать или оставить комментарий. Мошенник присылает ссылку и хочет, чтобы вы по ней перешли. Там вы оставляете ваши данные или получаете вирус на устройство.
Мошенники взламывают сообщества крупных компаний, размещают записи с вредоносными ссылками на стене и собирают урожай данных с подписчиков компании.
Вам пишет «администратор» группы, в которой вы состоите, и сообщает, что вы выиграли приз. Но, чтобы его получить, вы должны оплатить страховку или доставку. Это мошенники, ничего не платите, не отвечайте на сообщения и заблокируйте пользователя.
Ну и самое распространённое: вам пишет знакомый и просит в долг или проголосовать за него в конкурсе талантов или детского рисунка. Не отвечайте на сообщения, сразу же позвоните этому человеку и выясните, он ли написал вам в соцсети.

Виды кибератак на компании

Атака компании через сотрудников

Схема проста: мошенники запускают рассылку на сотрудника крупной компании, а тот, забыв о безопасности, например, переходит с рабочего устройства по вредоносной ссылке. Ваш сотрудник может попасть в любую ловушку из тех, которые мы описывали выше, и случайно дать злоумышленникам доступ к корпоративным аккаунтам и информации. Чтобы этого не произошло, обучайте сотрудников, проводите тренинги по компьютерной безопасности. И обязательно раздайте им памятку из окончания этой статьи.

Трояны-шифровальщики и другие трояны

Это особо опасные вирусы, которые проникают в систему разными способами, в том числе через фишинговые рассылки. Так мошенники охотятся в основном на корпоративных клиентов, крупные компании или государственные организации. Троян попадает в компьютер и зашифровывает всё его содержимое, после чего мошенники требуют выкуп за восстановление информации.

Кейлоггеры

Эти вирусы считывают информацию, которую вы вводите с помощью клавиатуры, и могут украсть множество самых разных данных. Кейлоггеры можно занести, перейдя по ссылке из фишингового письма, а также используя непроверенный антивирусом физический носитель: флешку или диск.

Атаки на облачные хранилища

Так как многие крупные компании пользуются облачными сервисами типа Google Диска или Dropbox, мошенники начали атаковать и их. Много информации, корпоративные данные, базы и персональные сведения — всё оказалось под угрозой. Чаще всего пользователя обманом ведут на фишинговый сайт, полностью имитирующий страницу входа в личный кабинет, где человек вводит свои данные доступа.

Уголовная ответственность за фишинг

В Уголовном кодексе РФ не упоминается фишинг в качестве технического состава преступления. Но мошенников, пойманных на этом нарушении, всё же наказывают по статье 159.6 УК РФ: Мошенничество в сфере компьютерной информации.

Что ждёт преступника:

штраф — до 120 тыс. руб. или в размере заработной платы или иного дохода за период до года;
обязательные работы — до 360 часов;
исправительные работы — до года;
ограничение свободы — до двух лет;
принудительные работы — до двух лет;
арест — до четырёх месяцев.

Если мошенничество совершила группа лиц по предварительному сговору, их ждёт более серьёзное наказание:

штраф — до 300 тыс. руб. или в размере заработной платы или иного дохода за период до двух лет;
обязательные работы — до 480 часов;
исправительные работы — до двух лет;
принудительные работы — до пяти лет с ограничением свободы на срок до года или без такового;
лишение свободы — до пяти лет с ограничением свободы на срок до года или без такового.

Подробнее о том, что ждёт фишеров и других кибермошенников, можно узнать в статье 159.6 УК РФ.

Программы для защиты ваших данных

Антивирусы

Установка антивируса — обязательное условие безопасности ваших личных устройств и устройств вашей компании. Во всех крупных антивирусах есть встроенная проверка на фишинг, достаточно только её настроить и включить. Установите лицензионное антивирусное ПО на ваш смартфон и ПК и обеспечьте все рабочие компьютеры этой защитой. И не забывайте о своевременном обновлении.

Можно выбрать любой подходящий по стоимости и функционалу антивирус: Bitdefender Antivirus Plus, Antivirus Kaspersky и многие другие.

Как не попасться на фишинг. Меры безопасности в компании

Самое, на наш взгляд, важное: относитесь к кибератакам серьёзно сами и научите этому всех ваших сотрудников.
Используйте для аккаунтов компании только двухфакторную аутентификацию. Это метод идентификации пользователя по двум типам параметров. Например, сначала нужно ввести логин и пароль, а после — код из СМС или электронной почты. Реже — биометрические данные или специальный USB-ключ.
Для особенно важных аккаунтов, например, для доступа в системы ЭДО и бухгалтерские программы используйте eToken — материально существующий защитный ключ.
Переведите ваш сайт на защищённый протокол: HTTPS. Лучше использовать платный SSL-сертификат, это минимизирует риски взлома. Подробнее о SSL-сертификатах мы писали в статье «Я занимаюсь бизнесом и совсем не понимаю, что такое SSL-сертификаты».
Когда заливаете контент на сайт или создаёте резервную копию данных сайта, используйте зашифрованный протокол SFTP вместо открытого FTP.
Удаляйте все неактуальные и неиспользуемые аккаунты.
Используйте сервисы для защиты бизнеса, о них мы говорили выше.
Регулярно обновляйте пароли от почтовых аккаунтов сотрудников, корпоративных аккаунтов.
Запретите сотрудникам держать пароли на виду.
Регулярно следите за бекапами всего вашего контента, особенно информации на сайте и в облачных хранилищах.
Моментально реагируйте даже на малейшие намёки на подозрительную активность: меняйте пароли, блокируйте мошенников и проводите глубокую антивирусную проверку.

Радикальные меры

Они подойдут далеко не всем, но успешно применяются некоторыми компаниями.

Закрыть доступ к соцсетям на рабочих устройствах.
Заблокировать все дисководы и USB-разъёмы рабочих компьютеров.

Что делать, если вы всё-таки попались

Итак, мошенники всё-таки убедили вас: вы попались на их удочку. Что вы можете сделать:

Запустите проверку антивируса на компьютере и смартфоне.
Как можно скорее смените украденный пароль. Если используете его для нескольких аккаунтов, поменяйте пароль и для них тоже.
Настройте двухфакторную аутентификацию.
Если сообщили данные своей карты или код из СМС, позвоните в банк по телефону, указанному на вашей карте. Её заблокируют, чтобы защитить от кражи денег, и проверят потенциально опасные операции.

Если хотите уберечь других пользователей от действий мошенников, сообщите об их действиях. Как это сделать:

Напишите о злоумышленниках в Google и Яндекс.
Найдите владельца хостинга с помощью сервиса WHOIS и сообщите о мошенничестве.
Найдите сайт, который скопировали злоумышленники, и напишите администраторам оригинального сайта через контакты на странице.
Напишите в Роскомнадзор, МВД и другие государственные организации. Инструкции и ссылки можно найти на сайте Роскомнадзора.

Правила для сотрудников: чек-лист

Советуем отправить и/или распечатать и раздать этот чек-лист всем сотрудникам вашей компании.

В первую очередь, защитите ваши соцсети

Не переходите по подозрительным ссылкам.
Не вводите данные от страницы на сторонних ресурсах.
Не давайте ваш смартфон посторонним.

Общие правила

Если в соцсети вам пишут с аккаунта банка или другой организации, проверьте аккаунт на официальном сайте или по телефону банка/компании. Если такого аккаунта там нет, не отвечайте на сообщения и заблокируйте подозрительный аккаунт.
Не доверяйте в соцсетях тем, кто просит у вас деньги, даже если просьба пришла от вашего друга. Позвоните тому, с чьей страницы пришло сообщение, и уточните, действительно ли ему нужны деньги. Если нет — не отвечайте мошеннику, заблокируйте его и пожалуйтесь в службу безопасности соцсети.
Проверяйте все файлы, которые приходят в личных сообщениях. Если прикреплена книга, но с расширением .exe, это странно — не открывайте файл.
Периодически проверяйте, когда последний раз ваш аккаунт был активен. Если появились подозрения, завершите все активные сеансы и смените пароль.

«ВКонтакте»

Прочитайте, как обезопасить аккаунт «ВКонтакте».
Настройте двухфакторную аутентификацию.
Если вас взломали, попробуйте восстановить доступ к странице.

Вы получили странное письмо

Не переходите по ссылкам в письмах от незнакомцев, не нажимайте на картинки и кнопки.
Если отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной, например, mail.ru или gmail.com, не открывайте письмо.
Не верьте в обещания внезапных выигрышей и не попадайтесь на попытки вас запугать.
Не открывайте вложенные файлы из писем незнакомцев, как бы заманчиво они ни выглядели. Не скачивайте файлы типа *.exe, *.scr, *.bat, *.vbs.
Увидели странный адрес в письме, например, с ошибкой в доменном имени, — удалите письмо.

Вам звонит странный человек

Он может представиться сотрудником банка, покупателем, который хочет приобрести вашу вещь по объявлению, представителем компании, сообщающим о крупном выигрыше и т. п.

Не сообщайте никому данные вашей банковской карты, особенно CVC-код, особенно по телефону незнакомцу.
Если вам уже пришло СМС с кодом, не сообщайте его никому, особенно «сотруднику банка» — настоящие банковские служащие не будут спрашивать у вас такие данные.
Закончите разговор. Если человек представился сотрудником банка, позвоните в ваш банк, обрисуйте ситуацию и сообщите телефонный номер мошенника для проверки.

Вы попали на подозрительный сайт

Не переходите по ссылкам, не нажимайте на подозрительные и кричащие картинки и кнопки.
Не верьте обещаниям внезапных выигрышей и не попадайтесь на попытки вас запугать.
Если сайт неопрятный, кричащий, с грубыми ошибками в текстах и большим количеством уведомлений, всплывающих окон и призывов перейти или оставить данные, скорее всего, сайт фишинговый. Закройте вкладку и не возвращайтесь на него.
Прежде чем ввести свои данные на сайте, убедитесь, что это нужный сайт: клоны иногда выглядят очень похожими на оригинал. Проверьте адрес несколько раз. Если что-то в нём вас смущает — закройте вкладку.
Регистрируйтесь и покупайте только на сайтах с SSL-сертификатами безопасности и двухфакторной аутентификацией. Чтобы зайти в личный кабинет, вас проверят по двум параметрам: помимо логина и пароля у вас спросят, например, код из СМС.
Если перед адресом сайта вы видите HTTP, а не HTTPS и ваш браузер сообщает о ненадёжности страницы — он прав. Сайты без SSL-сертификатов лучше обходить стороной.