Фишинг до сих пор остается самым дешевым и эффективным способом проникновения внутрь информационного периметра безопасности. В отличие от ряда других инструментов, он нацелен на взаимодействие с самой уязвимой частью системы – человеком.
На данный момент существует два принципиально различных подхода к проведению атак. В первом случае злоумышленники действуют по принципу «ковровых бомбардировок», рассылая опасную корреспонденцию всем подряд. Расчёт идет на невнимательность и неуемное любопытство пользователей, бессистемно кликающих по ссылкам и запускающих вложения.
Второй тип атак более коварен. Под прицел попадают конкретные организации и работники. Злоумышленники тщательно готовятся и собирают информацию, чтобы внезапный удар гарантированно достиг цели.
Разведка – ключевой элемент таргетированного фишинга. На первом этапе хакерам необходима база email-адресов потенциальной компании-жертвы. Добыть их достаточно просто: вся информация легко гуглится в открытых источниках. Например, нигерийская преступная группировка London Blue, использовала коммерческие сайты генерации лидов для получения сведений о директорах и работниках финансовых департаментов. Социальные сети – бесценный кладезь данных, которым с удовольствием пользуются хакеры. Изучив профили Facebook и Linkedin можно легко составить портрет организационной структуры практически любой компании.
Фишинг, нацеленный на ТОПов, в англоязычной прессе получил название «whaling» — «охота на китов», ведь целью становится по-настоящему крупная рыба. Исследования демонстрируют, что руководители не просто чаше других получают опасные послания, но и охотно клюют на наживку. Около 75% всевозможных директоров и линейных руководителей без раздумий открывают вредоносное письмо.
Согласно последнему отчету Symantec, фишинг является основным вектором атаки: 71% организаций сталкивались с утечкой данных из-за нахлынувшей волны таргетированного спама. При этом 53% компаний отметили, что подвергаются попыткам взлома от 1 до 5 раз в квартал.
Столь высокая эффективность достигается методами социальной инженерии: модели поведения потенциальных жертв тщательно изучаются, а реакции – фиксируются. Чтобы повысить «легитимность» письма, хакеры не только могут подготовить «фейковые» страницы в интернете, но и совершить звонок по телефону или одному из мессенджеров. Подобные вербальные коммуникации становятся спусковым крючком, мотивирующим работника к взаимодействию с посланием. Благодаря заранее проведенной разведке и неплохим знаниям в сфере психологии, «рыбаки» могут легко выдать себя за крупных клиентов, представителей компании-партнера, или даже руководителя фирмы, в которой работает незадачливый сотрудник-жертва.
Для эффективного противодействия атакам компаниям необходимо использовать совокупность технических и человеческих ресурсов. Стандартный набор из антивируса и спам-фильтра уже давно неспособен справиться с проблемой. Ведь основной удар будет нанесен не по программным средствам защиты, а по «человеческому фактору».
Для начала необходимо взять под контроль почту сотрудников и вести круглосуточный мониторинг переписки. Реагировать стоит на любое подозрительное событие.
Следующий эшелон защиты – анализ коммуникаций в мессенджерах и по телефону. Ведь если опасное письмо затерялось в почтовом ящике, а сотрудник не спешит его открывать, злоумышленники обязательно попробуют подтолкнуть цель к нужным действиям. Сделать это можно исключительно при помощи непосредственного контакта. Любой подозрительный звонок, письмо и сообщение лучше подвергнуть тщательной проверке: лишняя осторожность еще никому не вредила.
Следующий этап – контроль веб-серфинга и перехват трафика в локальной сети. Посещение сомнительного ресурса или внезапный всплеск перемещаемых данных являются прямым сигналом о возникшей опасности: ваша система или находится на грани взлома, или хакеры уже резвятся на внутренних просторах фирмы.
Завершающий этап – аналитика и управление рисками. Предиктивная оценка ситуации поможет заранее предугадать, на какой элемент системы будет нацелено нападение. А, кроме того, позволит обнаружить неэффективные или небезопасные рабочие процессы.
Легко сказать «не открывайте опасное письмо», но крайне сложно идентифицировать угрозу, находящуюся прямо перед носом. Непосредственное взаимодействие руководства с подчиненными, использование современных комплексов защиты данных и адаптация моделей работы под требования информационной безопасности — залог снижения риска утечки данных.
