По сообщениям азербайджанских СМИ, одним из основных видов кибермошенничества в стране является фишинг. Причем по ряду данных, атаки с использованием фишинга составляют 91% от общего числа кибератак. Отмечается, что зачастую пользователи не могут отличить мошенническое сообщение от обычной «электронной почты». Из-за низкой цифровой грамотности сотрудники компаний часто проходят по фишинговым ссылкам, используют ненадежные пароли. При этом проблему нельзя назвать новой: согласно исследованию «Лаборатории Касперского», 52% компаний по всему миру считают наибольшей угрозой системе корпоративной безопасности самих сотрудников.
«Современным сотрудникам нужно владеть не только базовыми знаниями компьютера и умением работать в различных программах, но и знать азы кибергигиены. Из-за пренебрежения знаниями в информационной безопасности, люди по-прежнему остаются самым слабым звеном в цепочке информационной безопасности, а атаки злоумышленников становятся все успешнее. Возможно, риски попадания на удочку злоумышленников можно будет предотвращать с большим успехом, если сотрудники научаться работать по алгоритму: “получил письмо – проверь, не фишинг ли это”», – говорит Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.
Чтобы повысить свой уровень цифровой грамотности и предотвратить риск кибератак на пользователей и на бизнес, стоить разобраться – что такое фишинг и в какой форме он может встретиться вам?
Фишинг (от английского phishing, от fishing – «рыбная ловля») – вид интернет-мошенничества, цель которого – получить идентификационные данные пользователя (пароли, номера кредитных карт и банковских счетов). Пользователям на почту приходят поддельные письма от банков, брендов, провайдеров, платежных систем и других организаций с просьбой по какой-либо причине срочно передать / обновить личные данные.
Почтовый фишинг: самый распространенный тип фишинга, когда злоумышленники выдают себя за легитимную компанию и отправляют массовую рассылку на все имеющиеся у них адреса электронных почт. В последнее время встречается все реже, так как не приносит большой конверсии.
Целевой фишинг: нацелен на конкретных людей внутри компании. Получив данные из разных каналов о потенциальной жертве, злоумышленники отправляют персонализированное деловое письмо якобы от партнера или клиента. К жертве обращаются по имени, скидывают ей ссылку на «важный документ», скачать который можно перейдя по ссылке и оставив данные на поддельной странице. При этом от мошенников не застрахованы и руководители: попытки обмануть топ-менеджеров компании называют «охотой на кита».
Business Email Compromise или BEC-атаки: атаки, которые связаны с компрометацией корпоративной переписки. Злоумышленник получает доступ к учетной записи руководителя компании или отдела, и отправляет письма «своим» подчиненным, выдавая себя за сотрудника. Одна из целей – убедить жертву сделать банковский перевод, например, чтобы оплатить счет.
Фишинг не в почте: мошенники могут использовать SMS, мессенджеры и социальные сети для рассылки фишинговых ссылок. Принцип действия такой же, что и при «почтовом» фишинге. Злоумышленники могут даже рассылать голосовые сообщения от якобы от банка или гос. Учреждения, сообщая, что вы задолжали крупную сумму или имеете неоплаченный штраф. Чтобы получить подробности, вас попросят подтвердить свою личность и озвучить данные банковской карты.
Для эффективной защиты от фишинга «Лаборатория Касперского» рекомендует:
Обращать внимание на элемент срочности: часто злоумышленники стремятся создать стрессовую ситуацию, в которой жертва без лишних вопросов выполнит все пункты письма. Это проще сделать, когда жертва доверяет письму.
Развивать критическое мышление: внимательно относиться к любым письмам. Даже из любопытства не переходить по ссылкам и не отвечать на неизвестные или подозрительные сообщения. Не открывать файлы, присланные в электронных письмах от неизвестных исполнителей.
Оставлять меньше цифровых следов: не публиковать личный или рабочий адрес электронной почты на общедоступных интернет-ресурсах (или делать это в графическом виде). Не писать в социальных сетях подробности из рабочей или личной жизни.
Обучать сотрудников цифровой грамотности: хранить конфиденциальные данные только в надёжных облачных сервисах с включённой аутентификацией; использовать легитимное ПО, скачанное с официальных ресурсов. Помочь повысить киберграмотность сотрудников может, например, платформа Kaspersky Automated Security Awareness Platform.
Показать, что знания в кибербезопасности – действительно полезный навык: тренинги по кибербезопасности для сотрудников зачастую бывают скучными и «для галочки». Постарайтесь сделать обучение персонала увлекательным, максимально полезным. Снабдите сотрудников знаниями, которыми те захотят поделиться с друзьями, детьми, родителями. Проведите мастер-классы с разборами кейсов: «я получил подозрительное электронное письмо», «мне написал юрист и просит перевести деньги в течение 5 минут» и так далее.