Стоимость киберинцидента для компании может быть огромной и определять ее будущее. Думать только о затратах на временный простой компании — распространенная ошибка руководителей компаний, которые забывают о долгосрочном ущербе для своего имиджа, потере доверия клиентов, расходах на устранение последствий инцидента и внедрение решений, направленных на предотвращение угроза в будущем.

Одна из самых распространенных киберугроз — фишинг, на который приходится более половины (54,2%) всех киберинцидентов в стране. Поэтому стоит обратить на него внимание и понять, что это такое и к каким последствиям может привести.

Фишинг — это атака социальной инженерии, которая полагается на самое слабое звено защиты — людей. Это метод мошенничества, при котором преступник выдает себя за другое лицо или учреждение, чтобы получить конфиденциальную информацию (например, данные для входа), заразить компьютер вредоносным ПО или заставить жертву совершить определенные действия. Сама атака не требует передовых технических знаний или поиска уязвимостей в ИТ-системах. Атака чаще всего является массовой кампанией, но она также может быть направлена на конкретного человека или компанию — тогда речь идет о целевом фишинге — или на представителей высшего руководства.

Большинство фишинговых атак основаны на отправке по электронной почте ссылок на страницы, выдаваемые за настоящие веб-сайты.

В целях мошенничества злоумышленник создает реалистично выглядящую страницу (и часто копию страницы, которую он олицетворяет) и направляет жертву на эту страницу, слегка изменяя адрес страницы, например, доменное имя с опечаткой или отображая ссылка с правильным именем в сообщении электронной почты, но ведущая на поддельную страницу. Одним из видов финшинга является вишинг, при котором вместо сообщений электронной почты используется голосовое соединение, например, телефонное. Примером вишинга является атака, которая выдает себя за сотрудника ИТ и обманом заставляет пользователя открыть веб-сайт и установить с него вредоносное ПО.

Чаще всего личность жертвы крадется в результате фишинг-атаки, в основном, когда раскрываются данные для входа в систему жертвы — но это может быть полная потеря контроля над компьютером или всей ИТ-системой — в случае заражения вредоносным ПО. Ежедневно фишинговые атаки могут повлиять в рамках кампаний по захвату учетных записей пользователей в социальных сетях, интернет-магазинах и других веб-сайтах, например, клиентском портале поставщика телекоммуникационных услуг или онлайн-банке. В такой ситуации злоумышленники отправляют сообщения электронной почты тысячам пользователей с намерением заставить их войти на поддельный веб-сайт, который они контролируют. Жертва нажимает ссылку в электронном письме, которое ведет на поддельную страницу входа.

Если злоумышленнику удается убедить жертву войти на поддельный веб-сайт, злоумышленник получает данные для входа жертвы (логин, пароль) на веб-сайт, которым он выдает себя.

С этого момента злоумышленник может войти на сайт и выдать себя за жертву.

Пример сценария фишинг-атаки

Эта, казалось бы, безобидная атака может привести к плачевным последствиям. Например, можно представить сценарий, в котором жертва получает электронное письмо от ИТ-отдела, в котором говорится, что в удаленный доступ к электронной почте были внесены изменения. Чтобы проверить правильность работы системы электронной почты, пользователь должен щелкнуть ссылку, содержащуюся в сообщении, и войти в систему через веб-браузер. Сообщение выглядит аутентичным, и когда жертва нажимает на ссылку, открывается страница входа в систему, полностью напоминающая страницу входа известного пользователя для отправки по почте. Согласно инструкциям, жертва вводит свой логин и пароль и на этом этапе злоумышленники получают данные для входа в реальный почтовый ящик пользователя.

Следующие шаги злоумышленника могут быть разными, например, захват доступа к любому веб-сайту, на котором жертва использует захваченный почтовый ящик, но в случае целевого фишинга у злоумышленника может быть гораздо более изощренная цель, например, использование украденных данных с целью хищения средств. Если идет речь о целевой атаке, злоумышленник, который входит в почтовый ящик жертвы, может вести переписку с клиентами и поставщиками, может вести переписку с другими сотрудниками компании, которые могут неосознанно раскрывать конфиденциальную информацию.

Таким образом злоумышленник профилирует жертву и готовится к самой атаке. Эта фаза профилирования может длиться несколько дней, недель или даже месяцев.

Важно регулярно менять пароли к своей учетной записи в системе. Это практически единственный метод, который может остановить дальнейшее проникновение злоумышленника в среду компании. Злоумышленники это знают, поэтому они готовятся к надлежащей атаке быстро, эффективно и без всяких следов, потому что с точки зрения ИТ-системы учетная запись используется авторизованным пользователем. Кульминация наступает, когда злоумышленник отправляет клиенту поддельный счет из электронного ящика жертвы, в котором изменяется номер банковского счета, или отправляет срочное поручение на перевод финансовому директору в связи с завершением транзакции. Сообщение написано так, как пишет жертва, содержит все вложения, которые должны быть включены, и приходит из почтового ящика жертвы. У получателя нет причин не доверять такому сообщению. Более того, в случае, если сообщение исходит от президента или члена правления, никто не смеет подвергать сомнению команду, содержащуюся в сообщении. Так в крупных размерах воруют деньги.

В случае целевых атак можно столкнуться с принудительными переводами сотен тысяч рублей. Можно ли предотвратить такую потерю? Да, но первым шагом в предотвращении всегда является диагностика опасностей, аудит безопасности и понимание слабых сторон организации. Только тогда могут быть созданы организационные и технические механизмы, которые позволят реагировать на такие и подобные угрозы. Одна из мер, которую стоит рассмотреть, — это страхование от киберугроз, но это всего лишь дополнение к механизмам безопасности, которые в первую очередь должны создавать долгосрочное сопротивление угрозам.

Сегодня, в эпоху электронных коммуникаций, когда личность человека является цифровой, необходимо осознавать новые угрозы для пользователей и компаний. Недооценка проблемы — это зарыть голову в песок, потому что как динамика роста угроз за последнее десятилетие, так и степень автоматизации атак означают, что необходимо думать о киберугрозах и всячески им препятствовать.