ДоменыХостинг и серверыSSL-сертификатыСайтыПочтаБонусыБлогСервис

Уроки безопасности от RU-CENTER: как защитить свою компанию от фишинга

18 сентября 2020

Если вам приходили письма о баснословных выигрышах или звонили подозрительные сотрудники банка, чтобы узнать код из СМС, знайте: это фишинг, попытка украсть ваши данные или деньги с помощью вредоносных ссылок. Он может касаться как физического лица, так и больших компаний и иметь серьёзные последствия.

Мы написали лонгрид о том, как действуют мошенники и что делать, чтобы не попасть в их ловушки. В конце вы найдёте список рекомендаций, как обезопасить себя и своих сотрудников.

Что такое фишинг

«Фишинг» — это калька с английского слова phishing, состоящего из слов fishing (рыбная ловля, выуживание) и password (пароль). Это один из самых распространённых видов интернет-мошенничества, где цель — получить идентификационные данные.

Действия мошенников могут привести к последствиям разной степени тяжести: от невинного баннера на персональном компьютере до потери контента компании без возможности восстановить его.

Основная цель фишинга — украсть что-то ценное и использовать себе во благо либо скомпрометировать или обрушить чужой бизнес. 

Что обычно становится целью фишеров:

  • персональные данные, в том числе паспортные;
  • всевозможные логины и пароли;
  • коды доступа;
  • данные для входа в личные кабинеты;
  • реквизиты банковских карт или счетов;
  • личная переписка;
  • служебная информация;
  • базы данных;
  • информация, представляющая коммерческую тайну, и пр.

Кого атакуют фишеры и как часто 

Масштабы фишинговых атак набирают обороты с каждым годом. Согласно исследованию Positive Technologies, в первом квартале 2020 года киберинцидентов стало больше на 20% по сравнению с предыдущим кварталом. Многие мошенники решили сыграть на главном страхе 2020 года — коронавирусе: с этой темой было связано примерно 13% фишинговых атак.

Мы писали отдельную статью о том, как на фоне пандемии мошенники обманывают людей. Помимо прочих ловушек и схем, в списке опасностей есть и рассылки с фишинговыми ссылками.

Ещё одно исследование провели эксперты «Лаборатории Касперского». Они выяснили, что в первом квартале 2020 года больше всего фишинговых атак пришлось на организации категории «Онлайн-магазины» — 18,12%. Диаграмма показывает, как распределились остальные проценты:

Данные исследования «Лаборатории Касперского»

Виды фишинга

Если вы услышите от кого-то слово «смишинг» или «вишинг», знайте: человек не смеётся над вами. Ведь и то, и другое — разные формы фишинга. Разберёмся в терминологии.

По целям атак фишинг делится:

  • на Целевой (англ. spear phishing) — атаки на физических лиц.
  • Уэйлинг (англ. whaling — китовый промысел) — фишинг по-крупному. Здесь главная цель — «киты» крупных компаний, высокопоставленные лица.

По каналам атак фишинг делится на:

  • Собственно фишинг (англ. phishing) — рассылка сообщений с заражёнными или фейковыми сайтами. Это общий для всех видов фишинга термин. 
  • Вишинг (англ. voice+phishing=vishing) — атаки с помощью телефонных звонков.
  • Смишинг (англ. sms+phishing=smishing) — атаки через СМС.
  • Фарминг (англ. pharming) — секретное перенаправление пользователя на заражённый сайт без его ведома. 
  • Рассылка мошеннических сообщений в соцсетях.

Разберём виды фишинга и выясним, как защитить от него сотрудников и компанию в целом.

Фишинговые письма

На вашу почту приходит странное письмо, которое сообщает о выигрыше, просит срочно куда-то перейти и внести свои данные и т. д. Так мошенники играют на эмоциях: неожиданной радости, страхе, любопытстве.

Многие такие «письма счастья» попадают в папку «Спам», но некоторые ухитряются проскакивать во входящие. Нельзя полностью полагаться на антиспам-систему почты, нужно всегда быть начеку.

Признаки фишингового письма

  • Нет имени отправителя и контактных данных.
  • Адрес отправителя состоит из бессмысленного набора букв.
  • Письмо от крупной организации, но на её настоящем сайте нет адреса этого отправителя.
  • Отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной: gmail.com, mail.ru.
  • При наведении курсора на кнопку или ссылку в письме, в левом нижнем углу страницы отображается не тот адрес.
  • В адресе ссылки есть необычные символы, например, @.
  • У вложенных файлов неизвестное расширение и/или непонятное название.
  • Ссылки не вставлены в текст, а замаскированы изображениями, кнопками, яркими картинками и QR-кодами.

О чём обычно пишут в фишинговых рассылках

Расскажем о темах вредоносных писем. Это далеко не полный список возможных сценариев-ловушек: мошенники очень изобретательны и постоянно придумывают новые способы выманить ваши данные. Вредоносные кнопки и ссылки в таких письмах либо запускают вирусы, либо ведут на страницы, где вы сами вводите важные данные.

  1. Кто-то взломал вашу почту и узнал пароль / Мы обнаружили подозрительные или мошеннические действия в вашей учётной записи / Кто-то изменил настройки безопасности вашей почты.
  2. Ваша учётная запись заблокирована или отключена / Вы добавлены в чёрный список: мы поняли, что вы мошенник или бот!
  3. Вам важный документ из налоговой, полиции, кредитной организации и т. п. К письму прикреплены файлы, имеющие неизвестные расширения и странные названия.
  4. Письмо от вашего коллеги/партнёра с документами или «важными рабочими» ссылками. 
  5. Вы выиграли приз! Перейдите по ссылке, чтобы узнать условия получения и/или доставки.
  6. Вы не погасили кредит — дело передаётся в суд.

Самое главное правило

Не переходите по ссылкам в подобных письмах, не нажимайте на картинки, как бы привлекательно они ни выглядели, не вводите свои данные на неизвестных страницах.

Фишинговые сайты

Ссылки в фишинговых письмах обычно ведут на вредоносные сайты. 

Какие сайты обычно подделывают:

  • банков и микрофинансовых организаций;
  • платёжных сервисов;
  • поисковиков и почтовых сервисов;
  • страницы с формами авторизации и оплаты интернет-магазинов;
  • авиакомпаний и др.

Как распознать фишинговый сайт

  • HTTP вместо HTTPS в адресе сайта

Это значит, что сертификата безопасности у сайта нет и соединение небезопасно. Если вы попали на сайт банка и видите в адресе HTTP, это повод усомниться в подлинности страницы. К сожалению, сейчас мошенник может легко получить бесплатный SSL-сертификат для своего фишингового сайта. Это в очередной раз доказывает, что серьёзная компания не станет пользоваться бесплатным сертификатом, а приобретёт его у проверенных поставщиков. 

  • Странное или подозрительное доменное имя

Чтобы сбить с толку жертву, мошенники регистрируют доменные имена, похожие на названия крупных организаций. Но, если присмотреться, нестыковки будут очевидны: достаточно посмотреть на домен второго уровня. Например, вместо https://alfabank.ru фишинговый сайт будет называться http://alfabank.k.ru. Если сомневаетесь, найдите в поиске оригинальный сайт и сравните адреса — так вы поймёте, попали ли вы к мошенникам.

  • Ошибки, опечатки, странности в дизайне и вёрстке

На странице всё «прыгает» и наезжает друг на друга, где-то не хватает текста, а где-то целые предложения написаны капсом. Грубые орфографические ошибки перемежаются с призывами зайти, ввести, нажать и купить. Как правило, такие сайты являются фишинговыми — крупные организации, под которые маскируются мошенники, не могут позволить себе выглядеть так небрежно.

Вы всегда можете проверить подозрительный сайт на подлинность и наличие вирусов и спама. Воспользуйтесь подходящим вам сервисом, например:

  • AVG Threatlabs,
  • Kaspersky VirusDesk,
  • Google Transparency Report,
  • ScanURL,
  • PhishTank,
  • Urlvoid.com и др.

Фишинговые звонки: вишинг

Как работает вишинг, голосовой метод фишинга:

  • Вам звонит «сотрудник банка» или службы безопасности, рассказывает о подозрительных операциях по вашей карте и предлагает назвать данные из СМС. Настоящий сотрудник банка так делать не будет: это мошенники.
  • Если вы давали объявление о продаже, например, на «Авито», вам наверняка звонили «покупатели» и просили данные вашей карты, чтобы перечислить предоплату. Это тоже одна из схем вишинга.

Фишинг через СМС: смишинг

Как обычно выглядит такой вид фишинга:

  • Вам приходит сообщение или электронное письмо, где сообщают о проблеме: что-то не так с вашей картой или идентификационными данными, кто-то пытался списать деньги с вашего счёта и т. п. Чтобы выяснить, в чём дело, вам нужно позвонить по указанному в сообщении номеру. 
  • Вам пришла СМС от неизвестного со ссылкой: скорее всего, это мошенники. Не переходите по ссылкам из сообщений!
  • СМС приходит якобы от сотрудника компании, госуслуг или налоговой, но номер не официальный, а частный. Не верьте сообщению: это мошенники.

Фишинг в соцсетях

Как обычно выглядит:

  • Вам приходит личное сообщение, которое призывает посмотреть провокационное видео с вами в главной роли, узнать что-то интересное, проголосовать или оставить комментарий. Мошенник присылает ссылку и хочет, чтобы вы по ней перешли. Там вы оставляете ваши данные или получаете вирус на устройство.
  • Мошенники взламывают сообщества крупных компаний, размещают записи с вредоносными ссылками на стене и собирают урожай данных с подписчиков компании.
  • Вам пишет «администратор» группы, в которой вы состоите, и сообщает, что вы выиграли приз. Но, чтобы его получить, вы должны оплатить страховку или доставку. Это мошенники, ничего не платите, не отвечайте на сообщения и заблокируйте пользователя.
  • Ну и самое распространённое: вам пишет знакомый и просит в долг или проголосовать за него в конкурсе талантов или детского рисунка. Не отвечайте на сообщения, сразу же позвоните этому человеку и выясните, он ли написал вам в соцсети.

Виды кибератак на компании

Атака компании через сотрудников

Схема проста: мошенники запускают рассылку на сотрудника крупной компании, а тот, забыв о безопасности, например, переходит с рабочего устройства по вредоносной ссылке. Ваш сотрудник может попасть в любую ловушку из тех, которые мы описывали выше, и случайно дать злоумышленникам доступ к корпоративным аккаунтам и информации. Чтобы этого не произошло, обучайте сотрудников, проводите тренинги по компьютерной безопасности. И обязательно раздайте им памятку из окончания этой статьи.

Трояны-шифровальщики и другие трояны

Это особо опасные вирусы, которые проникают в систему разными способами, в том числе через фишинговые рассылки. Так мошенники охотятся в основном на корпоративных клиентов, крупные компании или государственные организации. Троян попадает в компьютер и зашифровывает всё его содержимое, после чего мошенники требуют выкуп за восстановление информации.

Кейлоггеры

Эти вирусы считывают информацию, которую вы вводите с помощью клавиатуры, и могут украсть множество самых разных данных. Кейлоггеры можно занести, перейдя по ссылке из фишингового письма, а также используя непроверенный антивирусом физический носитель: флешку или диск. 

Атаки на облачные хранилища

Так как многие крупные компании пользуются облачными сервисами типа Google Диска или Dropbox, мошенники начали атаковать и их. Много информации, корпоративные данные, базы и персональные сведения — всё оказалось под угрозой. Чаще всего пользователя обманом ведут на фишинговый сайт, полностью имитирующий страницу входа в личный кабинет, где человек вводит свои данные доступа.

Уголовная ответственность за фишинг

В Уголовном кодексе РФ не упоминается фишинг в качестве технического состава преступления. Но мошенников, пойманных на этом нарушении, всё же наказывают по статье 159.6 УК РФ: Мошенничество в сфере компьютерной информации.

Что ждёт преступника:

  • штраф — до 120 тыс. руб. или в размере заработной платы или иного дохода за период до года;
  • обязательные работы — до 360 часов;
  • исправительные работы — до года;
  • ограничение свободы — до двух лет;
  • принудительные работы — до двух лет;
  • арест — до четырёх месяцев.

Если мошенничество совершила группа лиц по предварительному сговору, их ждёт более серьёзное наказание:

  • штраф — до 300 тыс. руб. или в размере заработной платы или иного дохода за период до двух лет;
  • обязательные работы — до 480 часов;
  • исправительные работы — до двух лет;
  • принудительные работы — до пяти лет с ограничением свободы на срок до года или без такового;
  • лишение свободы — до пяти лет с ограничением свободы на срок до года или без такового.

Подробнее о том, что ждёт фишеров и других кибермошенников, можно узнать в статье 159.6 УК РФ.

Программы для защиты ваших данных

Антивирусы

Установка антивируса — обязательное условие безопасности ваших личных устройств и устройств вашей компании. Во всех крупных антивирусах есть встроенная проверка на фишинг, достаточно только её настроить и включить. Установите лицензионное антивирусное ПО на ваш смартфон и ПК и обеспечьте все рабочие компьютеры этой защитой. И не забывайте о своевременном обновлении. 

Можно выбрать любой подходящий по стоимости и функционалу антивирус: Bitdefender Antivirus Plus, Antivirus Kaspersky и многие другие.

Сервис «Мониторинг бренда»

Защититься от фишинга и воровства вашего контента поможет «Мониторинг бренда» — сервис позволяет быстро отслеживать название вашего коммерческого обозначения в чужих доменных именах и сообщает о совпадениях. Так вы сможете вовремя находить сайты, использующие ваш бренд в мошеннических целях. 

«Мониторинг бренда» защищает:

  • от фишинга,
  • переманивания клиентов,
  • подделки ваших товаров,
  • мошеннических схем,
  • киберсквоттинга,
  • воровства контента.

Данные об упоминаемости во всех доменных зонах обновляются ежедневно, а список можно выгружать в Excel. Подробнее о других возможностях сервиса и подключении можно прочитать на странице сервиса «Мониторинг бренда».

Как не попасться на фишинг. Меры безопасности в компании

  1. Самое, на наш взгляд, важное: относитесь к кибератакам серьёзно сами и научите этому всех ваших сотрудников.
  2. Используйте для аккаунтов компании только двухфакторную аутентификацию. Это метод идентификации пользователя по двум типам параметров. Например, сначала нужно ввести логин и пароль, а после — код из СМС или электронной почты. Реже — биометрические данные или специальный USB-ключ.
  3. Для особенно важных аккаунтов, например, для доступа в системы ЭДО и бухгалтерские программы используйте eToken — материально существующий защитный ключ.
  4. Переведите ваш сайт на защищённый протокол: HTTPS. Лучше использовать платный SSL-сертификат, это минимизирует риски взлома. Подробнее о SSL-сертификатах мы писали в статье «Я занимаюсь бизнесом и совсем не понимаю, что такое SSL-сертификаты».
  5. Когда заливаете контент на сайт или создаёте резервную копию данных сайта, используйте зашифрованный протокол SFTP вместо открытого FTP.
  6. Удаляйте все неактуальные и неиспользуемые аккаунты.
  7. Используйте сервисы для защиты бизнеса, о них мы говорили выше.
  8. Регулярно обновляйте пароли от почтовых аккаунтов сотрудников, корпоративных аккаунтов.
  9. Запретите сотрудникам держать пароли на виду.
  10. Регулярно следите за бекапами всего вашего контента, особенно информации на сайте и в облачных хранилищах.
  11. Моментально реагируйте даже на малейшие намёки на подозрительную активность: меняйте пароли, блокируйте мошенников и проводите глубокую антивирусную проверку.

Радикальные меры

Они подойдут далеко не всем, но успешно применяются некоторыми компаниями.

  • Закрыть доступ к соцсетям на рабочих устройствах.
  • Заблокировать все дисководы и USB-разъёмы рабочих компьютеров.

Что делать, если вы всё-таки попались

Итак, мошенники всё-таки убедили вас: вы попались на их удочку. Что вы можете сделать:

  • Запустите проверку антивируса на компьютере и смартфоне.
  • Как можно скорее смените украденный пароль. Если используете его для нескольких аккаунтов, поменяйте пароль и для них тоже.
  • Настройте двухфакторную аутентификацию.
  • Если сообщили данные своей карты или код из СМС, позвоните в банк по телефону, указанному на вашей карте. Её заблокируют, чтобы защитить от кражи денег, и проверят потенциально опасные операции.

Если хотите уберечь других пользователей от действий мошенников, сообщите об их действиях. Как это сделать:

  • Напишите о злоумышленниках в Google и Яндекс.
  • Найдите владельца хостинга с помощью сервиса WHOIS и сообщите о мошенничестве. 
  • Найдите сайт, который скопировали злоумышленники, и напишите администраторам оригинального сайта через контакты на странице.
  • Напишите в Роскомнадзор, МВД и другие государственные организации. Инструкции и ссылки можно найти на сайте Роскомнадзора

Правила для сотрудников: чек-лист

Советуем отправить и/или распечатать и раздать этот чек-лист всем сотрудникам вашей компании.

В первую очередь, защитите ваши соцсети

  • Не переходите по подозрительным ссылкам.
  • Не вводите данные от страницы на сторонних ресурсах.
  • Не давайте ваш смартфон посторонним.

Общие правила

  • Если в соцсети вам пишут с аккаунта банка или другой организации, проверьте аккаунт на официальном сайте или по телефону банка/компании. Если такого аккаунта там нет, не отвечайте на сообщения и заблокируйте подозрительный аккаунт.
  • Не доверяйте в соцсетях тем, кто просит у вас деньги, даже если просьба пришла от вашего друга. Позвоните тому, с чьей страницы пришло сообщение, и уточните, действительно ли ему нужны деньги. Если нет — не отвечайте мошеннику, заблокируйте его и пожалуйтесь в службу безопасности соцсети.
  • Проверяйте все файлы, которые приходят в личных сообщениях. Если прикреплена книга, но с расширением .exe, это странно — не открывайте файл.
  • Периодически проверяйте, когда последний раз ваш аккаунт был активен. Если появились подозрения, завершите все активные сеансы и смените пароль.

«ВКонтакте»

«Фейсбук»

«Инстаграм»

Вы получили странное письмо 

  • Не переходите по ссылкам в письмах от незнакомцев, не нажимайте на картинки и кнопки.
  • Если отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной, например, mail.ru или gmail.com, не открывайте письмо.
  • Не верьте в обещания внезапных выигрышей и не попадайтесь на попытки вас запугать. 
  • Не открывайте вложенные файлы из писем незнакомцев, как бы заманчиво они ни выглядели. Не скачивайте файлы типа *.exe, *.scr, *.bat, *.vbs.
  • Увидели странный адрес в письме, например, с ошибкой в доменном имени, — удалите письмо.

Вам звонит странный человек

Он может представиться сотрудником банка, покупателем, который хочет приобрести вашу вещь по объявлению, представителем компании, сообщающим о крупном выигрыше и т. п. 

  • Не сообщайте никому данные вашей банковской карты, особенно CVC-код, особенно по телефону незнакомцу.
  • Если вам уже пришло СМС с кодом, не сообщайте его никому, особенно «сотруднику банка» — настоящие банковские служащие не будут спрашивать у вас такие данные.
  • Закончите разговор. Если человек представился сотрудником банка, позвоните в ваш банк, обрисуйте ситуацию и сообщите телефонный номер мошенника для проверки.

Вы попали на подозрительный сайт

  • Не переходите по ссылкам, не нажимайте на подозрительные и кричащие картинки и кнопки.
  • Не верьте обещаниям внезапных выигрышей и не попадайтесь на попытки вас запугать.
  • Если сайт неопрятный, кричащий, с грубыми ошибками в текстах и большим количеством уведомлений, всплывающих окон и призывов перейти или оставить данные, скорее всего, сайт фишинговый. Закройте вкладку и не возвращайтесь на него.
  • Прежде чем ввести свои данные на сайте, убедитесь, что это нужный сайт: клоны иногда выглядят очень похожими на оригинал. Проверьте адрес несколько раз. Если что-то в нём вас смущает — закройте вкладку.
  • Регистрируйтесь и покупайте только на сайтах с SSL-сертификатами безопасности и двухфакторной аутентификацией. Чтобы зайти в личный кабинет, вас проверят по двум параметрам: помимо логина и пароля у вас спросят, например, код из СМС.
  • Если перед адресом сайта вы видите HTTP, а не HTTPS и ваш браузер сообщает о ненадёжности страницы — он прав. Сайты без SSL-сертификатов лучше обходить стороной.

Рекомендации не только для работы

  • Не указывайте личную информацию в открытых источниках. Адреса, даты рождения, номера телефонов: ваши и членов вашей семьи. 

Почему: всё это может помочь мошенникам узнать пароль или секретное слово, взломать ваши аккаунты и получить доступ к деньгам и данным.

  • Меняйте пароли не реже, чем раз в полгода. «Я вообще не меняю пароли, и меня ни разу не взломали. Зачем начинать?» — спросите вы, и это будет ошибка выжившего. 

Почему: так вы усложните работу преступникам, ведь никто не знает, когда на его деньги и данные может начаться охота.

  • Не используйте одинаковые пароли для всех ваших аккаунтов. Не давайте мошенникам ключ от всех дверей.

Почему: мошенник, узнавший пароль от одного вашего аккаунта, сразу же попробует открыть этим ключом остальные ваши кабинеты — и он подойдёт. Не рискуйте всем и проявите фантазию, придумывая новые комбинации.

  • Используйте режим инкогнито в браузере, когда работаете за чужим компьютером, заходите в свои аккаунты и вводите личную информацию. 

Почему: когда вы закроете вкладку браузера, ваши пароли и данные не сохранятся, а выход из всех аккаунтов произойдёт автоматически.

  • Включите двухфакторную аутентификацию во всех ваших аккаунтах.

Почему: такой тип защиты надёжнее убережёт вас от атак мошенников — чтобы взломать ваш аккаунт, им придётся преодолеть двойной барьер. И это будет непросто.

  • Установите антивирус на все ваши устройства.

Почему: осмотрительность — это хорошо, но техническая защита — ещё лучше.

Рекомендуем