Социальная инженерия – один из самых эффективных инструментов киберпреступников. По статистике центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком», 70% атак на инфраструктуру компании начинаются именно с фишинга, то есть с прямого воздействия на человека. При этом на крючок попадаются не только новички, но и грамотные пользователи, а иногда даже системные администраторы. Помимо фишинговых писем и звонков (эти инструменты уже хорошо известны), кибермошенники используют и менее популярные и очевидные ходы, к которым жертвы часто оказываются не готовы. Однако в случае с социальной инженерией действует правило: предупрежден, значит, вооружен. Ниже мы расскажем, какие способы используют злоумышленники и как не попасться на крючок.
Флешка с сюрпризом
Иногда для организации атак в корпоративной среде хакеры применяют зараженные съемные устройства. Этот способ позволяет злоумышленникам получить доступ к ценным конфиденциальным данным компании через компьютер сотрудника. Последнему могут специально подбросить флешку («классика жанра» – прислать букет с приложенной флешкой представительнице прекрасного пола). Съемный носитель может, например, содержать якобы безобидные, но крайне любопытные файлы (например, «Приказ о премировании_список» или «Сотрудники на сокращение»). Внешне такие файлы похожи на обычные документы .doc или .xls, но при их открытии активируется специальный скрипт-код, который может запустить вирус на компьютере жертвы.
Кроме того, существуют устройства, только внешне похожие на флешки. Если цель злоумышленника – остановить работу, а не украсть данные, то он может подбросить такое устройство, которое при подключении к компьютеру вызовет резкий перепад напряжения, превратив машину в бесполезный «кирпич».
Защитить себя здесь достаточно просто: не стоит подключать к компьютеру незнакомые носители данных. В крайнем случае можно обратиться в службу безопасности своей компании, чтобы она проверила, насколько «находка» безопасна.
Wi-Fi: доступный и опасный
Открытый общественный Wi-Fi может не только порадовать владельцев гаджетов бесплатным интернетом, но и принести им немало проблем. Киберпреступники используют специальные программы для перехвата трафика от ближайших точек доступа и могут увидеть всю информацию, которую человек передает с устройства. Например, логины, пароли и данные банковской карты, если пользователь решает оплатить что-то онлайн, подключившись к незащищенному паролем Wi-Fi.
Также хакеры часто провоцируют устройство пользователя подключиться к поддельной сети, разворачивая подставную Wi Fi-точку с внушающим доверие названием. Например, правдоподобное «Metro_Wi-Fi» (хотя официальная сеть метрополитена называется «MT_FREE») или привлекательное «Free_Wi-Fi» (особенно если других бесплатных сетей рядом нет). При подключении хакеры перебрасывают пользователя на фишинговую страницу, где надо авторизоваться, например, через аккаунт в социальной сети. Когда жертва вводит логин и пароль, эта информация попадает к злоумышленникам. Сайт, который открывается при попытке подключиться к сети, также может быть заражен вирусами.
Поэтому эксперты «Ростелекома» напоминают, что для передачи данных лучше всегда пользоваться мобильным интернетом, и не держать постоянно включенной функцию «Wi-Fi» на устройстве. Если же избежать публичного Wi-Fi не удается, то надо выбрать безопасное подключение (то есть через пароль), а при работе на корпоративном ноутбуке следует использовать VPN (то есть шифрование каналов связи). Тогда злоумышленники не смогут пройти дальше, в корпоративную сеть.
Неизвестный на проводе
Есть и более традиционный вид фишинга, при котором жертве даже не нужно включать компьютер. Речь про телефонные звонки, во время которых мошенники пытаются узнать у человека его персональные данные или другую конфиденциальную информацию. Как правило, это CVC-код банковской карты, логины и пароли от личных кабинетов. Злоумышленники используют специальные программы, чтобы на телефоне жертвы отобразился требуемый входящий номер, например, банка. При этом они пытаются играть на эмоциях («я звоню из банка, по вашей карте только что прошла подозрительная операция – возможно, у вас пытаются украсть деньги») и требуют срочных действий («немедленно продиктуйте код, который придет вам на телефон», «назовите кодовое слово, чтобы подтвердить вашу личность», «продиктуйте паспортные данные для сверки» и т.п.).
В подобных случаях лучше не совершать поспешных действий и положить трубку. Операции по карте вы можете посмотреть в личном кабинете, а при необходимости – найти официальные контакты банка или той организации, которой представились звонившие, и обратиться туда самостоятельно, чтобы уточнить информацию.
Вирус почтой
Однако самым популярным инструментом злоумышленников остается фишинговая рассылка на личную или корпоративную электронную почту. Это не удивительно, ведь электронная почта во многих компаниях до сих пор считается приоритетным средством коммуникации. Фишинговые письма содержат либо файлы с вредоносным ПО, либо ссылки на поддельные ресурсы, где жертву вынуждают под различными предлогами оставить свои данные.
Многим кажется, что на их компьютере нет какой-то ценной информации и атака на него бесполезна и не нужна злоумышленникам. Но это большое заблуждение. Если преступник получил доступ хотя бы к одному корпоративному компьютеру, он легко закрепится в сети организации. Это может обернуться серьезными последствиями не только для самого человека, но и для его компании. Какими именно? Во-первых, вероятна утечка данных. Злоумышленники могут скопировать клиентские базы и, например, выставить их на продажу в теневом сегменте интернета или просто получить доступ к банковским данным и вывести деньги со счетов компании или отдельных сотрудников и клиентов. Во-вторых, в зараженном письме может содержаться вирус-шифровальщик, который способен парализовать работу всей организации.
Например, в 2019 году из-за подобной атаки норвежской металлургической компании Norsk Hydro пришлось остановить работу нескольких заводов. Такие действия злоумышленников ведут к колоссальному финансовому ущербу и оттоку клиентов.
Атаки на личный ПК не менее опасны. Получив к нему доступ, злоумышленник сможет легко попасть в аккаунты пользователя в соцсетях, почту, открытые приложения, украсть оттуда данные, чтобы дальше совершать мошеннические действия от лица своей жертвы. И это далеко не единственный сценарий.
При этом хакеры, специализирующиеся на фишинге, работают «на объем» – им выгодно проводить массовые рассылки в расчете, что кто-нибудь на них клюнет. Чтобы повысить свои шансы на успех, киберпреступники используют психологические приемы и специально выбирают такие темы, которые вызывают наибольший отклик. Например, страх («Ваш компьютер заражен, пройдите по ссылке, чтобы скачать антивирус»), жадность («Пройдите по ссылке и получите скидку 50% на новый iPhone»), сочувствие («Нашему коллеге нужна помощь, скидываемся по ссылке») и даже раздражение («Отписаться от рассылки можно, пройдя по ссылке»).
С одной стороны, фишинг достаточно эффективный инструмент киберпреступников. С другой – выявить опасное письмо не так уж сложно. Для этого нужно внимательно проверять адрес отправителя: его домен должен совпадать с доменом организации, от имени которой пришло письмо. Также обратите внимание на тему и текст письма. Если вас просят срочно что-то сделать (скачать приложенный файл или перейти по ссылке), если прикрепленный файл имеет расширение .exe, .zip, .js, .scr, если адрес ссылки не совпадает с ее текстом, если вы не ожидали подобного письма, а отправителя не знаете – все это косвенно указывает на попытку фишинга.
Сайты-ловушки
Попасть на фишинговый сайт человек может разными путями: через ссылку в письме, в сообщении через мессенджер или на другом сайте, а также при регистрации в каком-нибудь неблагонадежном приложении. В 2020 злоумышленники начали активно продвигать ссылки на такие сайты через социальные сети и контекстную рекламу. Такие ловушки помогают киберпреступникам выманивать учетные и банковские данные. Но, как и фишинговые письма, поддельные ресурсы имеют свои отличительные особенности – главное вовремя обратить на них внимание, чтобы не стать жертвой мошенников.
Прежде чем перейти на неизвестный сайт, посмотрите на всплывающий текст при наведении курсора на гиперссылку (если адрес очень длинный, то его можно скопировать в блокнот, кликнув правой кнопкой мышки на ссылку). Не переходите по ссылке, если адрес не имеет отношения к тексту письма. Например, в сообщении предлагают «скачать документ» в известном облаке, а реальный адрес – длинный, сложный и с другим доменом.
В последние годы длинные ссылки используют все реже, заменяя их сжатыми URL-адресами с меньшим количеством символов. Это та же длинная ссылка, только преобразованная с помощью специального сервиса в более красивый и удобный формат. Например, их часто используют в Twitter, где длина сообщения ограничена. В то же время такой короткий адрес позволяет злоумышленникам скрыть, куда он ведет на самом деле. Чтобы узнать это, можно воспользоваться функцией предпросмотра, которую предоставляют некоторые службы сокращения ссылок. Например, у одного из самых популярных сервисов – TinyURL – для этого нужно поставить слово preview перед адресом (www.preview.tinyurl.com проверяемый_адрес), у сервисов Bitly и Goo.gl нужно поставить знак плюса в конце (www.bitly.com/проверяемый_адрес+ или www.goo.gl/проверяемый_адрес+). В результате вам отобразится исходная ссылка назначения, которую можно скопировать в блокнот и внимательно изучить.
Когда сайт уже открыт, посмотрите на адресную строку. Если она начинается с «http», то информация, которой обменивается ваш компьютер с сайтом, не шифруется, и ее можно легко «перехватить». Значок замка слева от адреса и «https» в начале означают, что соединение шифруется. Хотя и в этом случае еще неизвестно, в чьи руки в итоге попадет трафик.
Выявить мошенников можно, внимательно посмотрев на название ресурса. Хакеры часто заменяют буквы в адресе сайта похожими символами (faceb00k.ru вместо facebook.ru или avlto вместо avito). При мелком шрифте ссылки подмену заметить сложно.
Также обращайте внимание на контент. Киберпреступники редко тратят много времени на создание фишинговых сайтов, поэтому последние часто выглядят как дешевая подделка. Опечатки и неграмотный текст, плохое качество картинок, измененные или обрезанные логотипы указывают на фишинг.
Нельзя молчать
Как видите, раскусить мошенников совсем не сложно. Но важно не только вовремя заметить, но и сообщить «куда следует», чтобы пресечь попытки нанести ущерб кому-то еще. Например, в случае с подозрительными звонками «из банка» стоит известить об этом саму финансовую организацию.
В поисковых системах можно подать жалобу на поддельные сайты, а адрес почты или номер злоумышленника лучше добавить в «черный список» контактов.
Если же вы на работе столкнулись с непонятным письмом, подозрительным сайтом или еще какими-то странностями, не бездействуйте, а обязательно сообщите об этом в службу безопасности и ИТ-отдел своей компании, сделайте скриншот всего, что видите на экране, и отправьте фото специалистам. При этом не стоит выключать или перезагружать компьютер, пока проблема не будет решена и полностью устранена.
Работодателям же стоит постоянно тренировать киберграмотность своих сотрудников, организуя для них курсы по основам информационной безопасности. По оценке «Ростелекома», каждый восьмой пользователь, который не проходит регулярное обучение, поддается на социальную инженерию. А ошибка одного сотрудника, который потерял бдительность буквально на минуту, в итоге может стоить его работодателю бизнеса.
Автор: Алексей Гришин, руководитель направления «Оценка защищенности» компании «Ростелеком»