Атака клонов: чем опасны фишинговые сайты. Фишинг образца 2020 года: как трансформировались фейки и как от них защититься
«Фишинг» в переводе с английского означает «рыбалка» и представляет собой некую последовательность действий интернет-мошенников, которая позволяет «подцепить на крючок» их жертв. Видов подобных атак существует много, и сложность в их предотвращении состоит в том, что фишинговые сайты практически неотличимы от оригинальных. Есть ли способ защититься от фишинга, спросил модератор, ведущий радиостанции «Коммерсантъ FM» Рамаз Чиаурели у участников конференции.
Способы фишинга постоянно трансформируются, тот фишинг, который был три года назад, сегодня уже неактуален, но общим остается одно — усыпление внимательности пользователя проходит под вывеской какой-либо организации, говорит директор по корпоративной безопасности Ozon Дмитрий Мананников. В фишинге влияние происходит на самого пользователя, которого в массе своей сложно воспитать, а однозначного инструмента борьбы на рынке не существует, поэтому пока история выглядит относительно непобедимой, полагает господин Мананников.
Банки практикуют комплексный подход к защите безопасности: это и антифрод-системы, и раннее антифрод-обнаружение, и информирование пользователей о мерах предосторожности и правилах работы с онлайн-банком, рассказывает руководитель группы мониторинга и предотвращения атак ИБ-отдела Райффайзенбанка Павел Нагин. Он рассказал о видах фишинговых атак. Это могут быть фишинговые рассылки с призывом перейти по ссылке, прежде, чем учетная запись будет заблокирована, или сообщением о крупном денежном переводе. Популярность набирает фишинг в e-commerce: мошенники покупают места в поисковой выдаче по популярным запросам и таким образом продают туры или товары. Еще один вид фишинга – объявления на торговых площадках, где мошенники предлагают товары по выгодной цене, для оплаты которых используются фишинговые страницы, имитирующие популярные платежные сервисы. В практике Райффазенбанка был также случай с якобы инвестиционным фондом банка, на котором мошенники даже разместили фейковые видеоотзывы, рассказывает господин Нагин.
Фишинг постоянно эволюционирует, поэтому самый действенный способ борьбы с ним – самообразование по части киберграмотности и повышение внимательности при посещении сайтов, полагает руководитель направления «Оценка защищенности» компании «Ростелеком-Солар» Алексей Гришин. При получении письма важно ответить себе на вопросы: ждали ли мы это письмо, понимаем ли тему, о которой идет речь, знаем ли отправителя, нет ли в письме определенных психологических триггеров. Обычно злоумышленники используют следующий набор триггеров: срочность (акция скоро закончится), авторитет (письмо из органов или от руководства), любопытство (списки на увольнение или какие-то фотографии, которые хочется посмотреть), раздражительность («если хотите отписаться от рассылки, перейдите по ссылке»), жалость и желание помочь. Важно научиться замечать подобное психологическое давление, подчеркивает господин Гришин.
Обучение пользователей – полезный инструмент, но нельзя назвать его самым эффективным, возражает бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. У злоумышленников уходит около двух минут, чтобы создать полный аналог сайта — есть готовые облачные сервисы, где любой желающий может нажать пару кнопок и получить копию любого сайта. Ежемесячно создается более полумиллиона фишинговых доменов, и только около 80% из них можно выявить на глаз по триггерам, рассуждает он. Кроме того, те же триггеры, которые используются в фишинговых письмах, есть и в рекламе, замечает господин Лукацкий. Ежемесячно находятся 9-11% пользователей, которые кликают по ссылкам в фишинговых письмах, и среди них бывают и специалисты по информационной безопасности, отмечает Алексей Лукацкий. Поэтому, помимо обучения пользователей, важен технический инструментарий – от настроек в браузере по борьбе с фишингом до полноценных инструментов, если речь идет о корпоративных пользователях. Причем, хорошо подготовленное фишинговое сообщение может обойти многие фильтры и поэтому ИБ-специалистам иногда остается ловить уже «зараженные» компьютеры, чтобы предотвратить утечку, отмечает эксперт.
Борьба с фишингом напоминает киберразведку: нужно быть в курсе трендов и предугадывать события, добавляет Павел Нагин. Ведь за фишинговыми сайтами стоят целые организации, где также есть специалисты по информационной безопасности – на такие ресурсы даже ставят анти-DDOS-сервисы, указывает он.
Чаще всего люди случайно попадают на поддельные сайты через контекстную рекламу или в результате ошибки при вводе слова в поиске, указывает консультант по информационной безопасности Palo Alto Networks Денис Батранков. Проблемой становится и то, что мошенники стали использовать не копию сайта, а proxy-сервера: то есть с виду это то же интернет-магазин, и он перенаправляет все действия на настоящий ресурс. То есть пользователь работает в настоящем магазине, а хакер перехватывает все его действия и данные. Важно обращать внимание на протокол https, напоминает господин Батранков, указывая, что мошенники обычно используют протокол http.
Однако сайт скопировать можно только внешне, но нельзя скопировать скрипты, которые в нем работают, поэтому решения по защите от фишинга существуют, уверен эксперт. Частным пользователям могут помочь плагины для браузера, в базу которых фишинговые сайты попадают быстрее, чем в случае встроенной в браузер защиты от фишинга. В случае кражи логина-пароля мошенниками защитить себя поможет настроенная заранее двухфакторная аутентификация, продолжает Денис Батранков. При этом важно читать смс-ки, которые приходят в качестве второго фактора аутентификации, так как прокси-трояны позволяют мошенниками заменить получателя платежа во время транзакции, подчеркивает он.
Новой «фишкой» в борьбе с фишингом стали аватары в интернет-банках или корпоративных магазинах, отмечает эксперт. Когда пользователь заходит на сайт, картинка подгружается с его компьютера, злоумышленник не может ее скопировать. Поэтому если ты попал на поддельный сайт, то аватарка на нем будет не твоя, поясняет господин Батранков.
Одним из самых эффективных способов борьбы с фишингом остается искусственный интеллект и machine learning, говорит Алексей Лукацкий: подобные сервисы анализируют инфраструктуру злоумышленников, предугадывают создание новых фишинговых доменов и сообщают об этом пользователю. Закрытие же доменов в интернете – достаточно бессмысленная задача, так как они прекращают использоваться быстрее, чем мы вносим их в черные списки, полагает он.
Овладев инструментами защиты от фишинга, можно получить ложное чувство защищенности в сети, тогда как в ней существует и много других опасностей, поэтому не стоит зацикливаться на фишинге — нужно развивать киберграмотность и в других направлениях, в заключение заметил Дмитрий Мананников. Нужно понимать, что фишинг опасен не сам по себе — он реализуется либо для кражи данных пользователей, либо для заражения компьютера пользователя, добавил Алексей Лукацкий. Поэтому если в компании и пропустили фишинговую атаку, то можно заблокировать результат этой атаки и остановить утечку информации, указывает он, подчеркивая, что фишинг – это комплексная проблема.