Как избежать уловок фишеров

Помните, как некогда полстраны «заряжала» банки с водой якобы позитивной энергии через кинескопы телевизоров по команде Аллана Чумака? Это, пожалуй, самый яркий пример, пришедший мне в голову для объяснения того, что такое социальная инженерия и что с ее помощью можно сделать на простом примере.

Или вспомним историю, когда в преддверии Олимпийских игр в Париже около двухсот тысяч человек попались на уловки со скидками сотен фейковых сайтов, куда болельщиков приводила таргетированная реклама, доход фишеров тогда составил порядка 15 млн евро. К слову сказать, эти поддельные домены оказались едва ли не полными клонами официальных сайтов.

Потому нелишне будет знать, на какие уловки порой идут мошенники, и понимать, что им противопоставить, об этом и расскажу подробнее.

Так почему человек легко поддается манипуляциям?

Ответ кроется в психологических механизмах, делающих нас уязвимыми. Видов атак с использованием социальной инженерии немало, а цель одна — получить выгоду путем обмана.

Вызывая доверие, взаимность, сочувствие, вгоняя нас в страх, упирая на срочность, разжигая любопытство, играя на жадности или тщеславии, мошенники стремятся нас развести. Здесь главная задача — сыграть на чувствах и слабостях человека, заинтересовать, пообещать выгоду или заставить растеряться или испугаться (к примеру, сообщением: «ваш пароль успешно изменен» и человек кликает по ссылке не подумав). Потом, пока потенциальная жертва не успела «опомниться», — побудить совершить любые неосторожные действия: ввести по ссылке свои учетные данные, код из SMS и т.д.

 Например, под тем или иным благовидным предлогом убедить расстаться с деньгами: взять кредит, перевести средства «на безопасный счет» или пусть даже в «безопасную сейфовую ячейку» Банка России, не подозревая, что никаких «безопасных счетов» и «сейфовых ячеек» не существует.

Киберпреступники используют широкую вариацию различных приемов, а подготовка к обману иногда может занимать довольно продолжительное время. Такие атаки проходят в несколько этапов: подготовка, установление контакта, сама атака, прекращение контакта.

Вот лишь несколько недавних примеров. Как сообщает ТГ-канал «Вестник киберполиции России», по SMS пользователю может прийти предложение восстановить, допустим, карту Visa и MasterCard с таким примерно содержанием: «Вашу карту MasterCard 546792***4128 можно восстановить. Процедура займет пару минут, инструкция по ссылке». Далее если человек по такой ссылке переходит и вводит данные действующей карты, то теряет деньги и личные данные. Еще появилась такая схема: после звонка мошенника человек начинает искать в интернете информацию, как от этого защититься, заходит на сайты и форумы, посвященные этой теме, участвует в обсуждениях и там нарывается на злоумышленников. Те убеждают, что ему, к примеру, следует срочно «спасти деньги» и дают инструкции, следуя которым жертва теряет свои денежные средства. Сейчас также под видом ИИ-приложения DeepSeek в сети распространяется стилер Poseidon, ссылку на такой фейковый ресурс можно получить, кликнув на соответствующую рекламу, а в результате при попытке его загрузки получить целевой троян.

Фишинг остается эффективной фишкой, а человек по-прежнему — самое слабое звено в системе защиты любой компании, которому порой не хватает осведомленности, внимательности и осторожности.

Так как защититься от атак с использованием методов социальной инженерии гражданам и компаниям?

На мой взгляд, главный шаг в защите сотрудников и организаций — это их систематическое информирование как о типах атак, так и о том, какие приемы используют злоумышленники для получения важных данных.

Взять за практику проверять источники информации, игнорировать файлы от неизвестных отправителей, не переходить по рекламным ссылкам, не делиться без крайней необходимости конфиденциальными данными и, конечно, обращаться за помощью к специалистам по безопасности при подозрении на фишинг.

Если есть хоть малейшее сомнение, проверять URL-адрес письма или на который ведет ссылка. Сделать это можно, например, с помощью сервиса WHOIS. Указав URL-адрес, можно узнать возраст домена, если это недавно зарегистрированный ресурс, то уже это должно насторожить, с большой долей вероятности это может быть сайт-однодневка или мошеннический ресурс.

В качестве профилактики полезно давать возможность сотрудникам регулярно проходить курсы по цифровой гигиене, а потом проверять полученные знания, например, проводя учебные фишинговые атаки. Например, под праздник это может оказаться письмо партнера с подарками, путь к которым — переход по вредоносной ссылке, или, допустим, псевдо-hr может прислать письмо со списком сотрудников, подлежащих мобилизации, или письмо с предложением посмотреть обновленный корпоративный портал, для входа на который надо будет ввести свои учетные данные. Всех тех, кто на это попадается, снова обучать.

Также полезным будет регулярно с привлечением внешних экспертов проводить социотехническое исследование в рамках тестирования на проникновение.

В целях профилактики можно устраивать и «полевые занятия», например, разбросав флеши по офису или использовать их в качестве подарка. Только пятая часть сотрудников, как показывает наша практика, принесет их в службу безопасности, остальные постараются их подключить к своему устройству дома или на работе, рискуя занести с него тот или иной зловред.

Стоит ввести в практику и двухфакторную аутентификацию для подтверждения личности сотрудника. Особенно это актуально для людей, работающих на удаленке. Все это позволит ограничить возможности использования скомпрометированных учеток.

Кроме того, регулярно использовать почтовый антивирус и регулярно обновлять используемое ПО и ОС, чтобы закрыть обнаруженные уязвимости.

Знание — сила

Аппетиты кибермошенников по всему миру растут, и наша страна не исключение: среднее количество создаваемых фишинговых сайтов на один бренд, по данным F6, за прошлый год увеличилось на 52,15% по сравнению с предыдущим.

Нам остается принять как данность, что с фишинга начинается большая часть современных кибератак: по разным оценкам порядка 60–80%. Приемы злоумышленников постоянно меняются, придумываются все новые схемы развода, поскольку, став известными, они уже не приносят былой выгоды. Нам же остается включать критическое мышление, осознанность и повышать свою осведомленность.