Социальная инженерия – один из самых эффективных инструментов киберпреступников. По статистике центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком», 70% атак на инфраструктуру компании начинаются именно с фишинга, то есть с прямого воздействия на человека.
Флешка с сюрпризом
Иногда для организации атак в корпоративной среде хакеры применяют заражённые съёмные устройства, чтобы получить доступ к ценным конфиденциальным данным компании через компьютер сотрудника. Последнему могут подбросить флешку («классика жанра» – прислать букет с приложенной флешкой представительнице прекрасного пола). Съёмный носитель может содержать якобы крайне любопытные файлы (например, «Приказ о премировании_список» или «Сотрудники на сокращение»). При их открытии активируется скрипт-код, запускающий вирус на компьютере жертвы. Если цель злоумышленника – остановить работу, то он может подбросить специальное устройство, которое при подключении к компьютеру вызовет резкий перепад напряжения, превратив его в бесполезный «кирпич».
Wi-Fi: доступный и опасный
Киберпреступники используют специальные программы для перехвата трафика от ближайших точек доступа и могут увидеть информацию, которую человек передаёт с устройства. Например, логины, пароли и данные банковской карты, если пользователь решает оплатить что-то онлайн, подключившись к незащищённому паролем Wi-Fi.
Также хакеры часто провоцируют устройство пользователя подключиться к поддельной сети, разворачивая подставную Wi-Fi-точку с внушающим доверие названием. Например, правдоподобное «Metro_Wi-Fi» (хотя официальная сеть метрополитена называется «MT_FREE»). При подключении хакеры перебрасывают пользователя на фишинговую страницу, где надо авторизоваться, например, через аккаунт в социальной сети. Когда жертва вводит логин и пароль, эта информация попадает к злоумышленникам.
Эксперты «Ростелекома» напоминают: для передачи данных лучше всегда пользоваться мобильным Интернетом и не держать постоянно включённой функцию «Wi-Fi» на устройстве. Если же избежать публичного Wi-Fi не удаётся, то надо выбрать безопасное подключение (то есть через пароль), а при работе на корпоративном ноутбуке следует использовать VPN – шифрование каналов связи.
Вирус почтой
Самым популярным инструментом злоумышленников остаётся фишинговая рассылка на личную или корпоративную электронную почту писем, которые содержат либо файлы с вредоносным ПО, либо ссылки на поддельные ресурсы, где жертву вынуждают под различными предлогами оставить свои данные. Многим кажется, что на их компьютере нет ценной информации. Но если преступник получил доступ хотя бы к одному корпоративному компьютеру, это может обернуться серьёзными последствиями для всей компании. Во-первых, вероятна утечка данных. Злоумышленники могут скопировать клиентские базы и, например, выставить их на продажу в теневом сегменте Интернета или получить доступ к банковским данным и вывести деньги со счетов компании или отдельных сотрудников и клиентов. Во-вторых, в заражённом письме может содержаться вирус-шифровальщик, который способен парализовать работу организации.
Чтобы повысить шансы на успех, киберпреступники используют психологические приёмы и специально выбирают такие темы, которые вызывают наибольший отклик. Например, страх («Ваш компьютер заражён, пройдите по ссылке, чтобы скачать антивирус»), жадность («Пройдите по ссылке и получите скидку 50% на новый iPhone») и даже раздражение («Отписаться от рассылки можно, пройдя по ссылке»).
Выявить опасное письмо не так сложно. Для этого нужно внимательно проверять адрес отправителя: его домен должен совпадать с доменом организации, от имени которой пришло письмо. Также обратите внимание на тему и текст письма. Если вас просят срочно что-то сделать (скачать приложенный файл или перейти по ссылке), если прикреплённый файл имеет расширение .exe, .zip, .js, .scr, если адрес ссылки не совпадает с её текстом, если вы не ожидали подобного письма, а отправителя не знаете – всё это косвенно указывает на попытку фишинга.
Сайты-ловушки
Попасть на фишинговый сайт человек может разными путями: через ссылку в письме, в сообщении через мессенджер или на другом сайте, а также при регистрации в неблагонадёжном приложении. В 2020-м злоумышленники начали активно продвигать ссылки на такие сайты через социальные сети и контекстную рекламу. Такие ловушки помогают киберпреступникам выманивать учётные и банковские данные.
Прежде чем перейти на неизвестный сайт, посмотрите на всплывающий текст при наведении курсора на гиперссылку (если адрес очень длинный, то его можно скопировать в блокнот, кликнув правой кнопкой мышки на ссылку). Не переходите по ссылке, если адрес не имеет отношения к тексту письма. Например, в сообщении предлагают «скачать документ» в известном облаке, а реальный адрес – длинный, сложный и с другим доменом.
В последние годы длинные ссылки заменяют сжатыми URL-адресами. Такой короткий адрес позволяет злоумышленникам скрыть, куда он ведёт на самом деле. Чтобы узнать это, можно воспользоваться функцией предпросмотра, которую предоставляют службы сокращения ссылок. Например, у сервиса TinyURL – для этого нужно поставить слово preview перед адресом (www.preview.tinyurl.com/проверяемый_адрес), у сервисов Bitly и Goo.gl нужно поставить знак плюса в конце (www.bitly.com/проверяемый_адрес+ или www.goo.gl/проверяемый_адрес+). В результате отобразится исходная ссылка назначения, которую можно скопировать в блокнот и изучить.
Когда сайт открыт, посмотрите на адресную строку. Если она начинается с «http», то информацию, которой обменивается ваш компьютер с сайтом, легко можно «перехватить». Значок замка слева от адреса и «https» в начале означают, что соединение шифруется. Хотя и в этом случае ещё неизвестно, в чьи руки в итоге попадёт трафик.
Выявить мошенников можно, внимательно посмотрев на название ресурса. Хакеры часто заменяют буквы в адресе сайта похожими символами (faceb00k.ru вместо facebook.ru или avlto вместо avito).
Нельзя молчать
Если вы на работе столкнулись с непонятным письмом, подозрительным сайтом или другими странностями, обязательно сообщите об этом в службу безопасности и ИТ-отдел, сделайте скриншот всего, что видите на экране. Не стоит выключать или перезагружать компьютер, пока проблема не будет решена и полностью устранена.
Работодателям же стоит постоянно тренировать киберграмотность своих сотрудников. По оценке «Ростелекома», каждый восьмой пользователь, который не проходит регулярное обучение, поддаётся на социальную инженерию. А ошибка одного сотрудника, который потерял бдительность буквально на минуту, в итоге может стоить его работодателю бизнеса.
