Що таке фішинг і чому він небезпечний для компаній

Спеціально для PORTATELE фахівці компанії BAKOTECH розповіли про загрози для компаній і сценарії витоку даних.

«Фішинг» — гарна назва, яка несе за собою великі проблеми. Це одна з найстаріших видів кібератак, що виникла ще в 1990-х роках, і вона досі залишається однією з найпоширеніших і шкідливих, оскільки фішингові повідомлення і методи стають все більш витонченими.

Фішингові атаки станом на сьогодні є одними з найбільш поширених проблем безпеки, з якими стикаються як рядові користувачі інтернет-павутини, так і компанії, які ведуть фінансові операції. Для отримання доступу до паролів, банківських карток або іншої конфіденційної інформації, шахраї використовують електронну пошту, соціальні мережі, телефонні дзвінки та будь-які інші форми зв’язку, які вони можуть використовувати для крадіжки цінних даних. Бізнес, звичайно ж, є їх найбільшою ціллю.

Через коронавірус чимало працівників не просто стали працювати вдома, а перенесли в онлайн значну та важливу частину свого життя: відпочинок, ділові листування, паролі від сервісів та платіжні дані. Водночас цю цінну інформацію намагаються отримати зловмисники та «заробити» на цьому.

Кількість атак на робітників, що працюють віддалено, зросла на 250% у порівнянні з минулим роком. Частіше за все люди самостійно віддають доступ до коштів чи приватної інформації, і шахраям навіть не потрібно намагатися зламувати сервіси та платформи, над захистом яких працює чимало спеціалістів. Шахраї надсилають посилання на фішинговий сайт, а далі вже справа техніки — переконати користувача віддати свої дані.

За даними Української міжбанківської асоціації членів платіжних систем ЄМА, у 2020 році українці втратили на фішинг-атаках 252 мільйони гривень. А загалом у 2020 році у світі було втрачено 32,4 мільярда доларів через обман в мережі.
Китобійний промисел

Китовий фішинг, або китобійний промисел, — це форма цільового фішингу, націленого на дуже велику рибу — керівників компаній, топ-менеджерів та власників компаній, які вважаються особливо вразливими.

Електронні листи складені так, щоб вони виглядали з надійного і знайомого для вас джерела (уряд, юристи, відділ кадрів, банк і т. д.) І часто люди автоматично натискають на шкідливе посилання. Якщо прицілилися в вас, то вам прийде такий лист який ви звикли бачити щодня: з тими ж шрифтами, імейлом і вкладеннями.

Збір достатньої кількості інформації, щоб обдурити дійсно важливу ціль, може зайняти час, але це може дати високу віддачу. Зазвичай у шахраїв всього кілька хвилин, щоб заманити, зачепити й зловити жертву, а потім використовувати цей успіх для ширшої кібератаки на ваш бізнес.
Як відбуваються фішинг-атаки

Найпоширеніші типи фішингу, які беруть на озброєння шахраї це:

• Розсилають сайти-підробки через електронну пошту або в месенджерах;
• створюють сайт-підробку напередодні подій, пов’язаних з масовим ажіотажем: старт продажів нових моделей iPhone чи онлайн-розпродажі;
• створюють сайт-підробку, який має той же інтерфейс, що в оригінала, і схожий домен, щоб ввести користувачів в оману. Наприклад, diia.gov.ua та dia.com.ua — різні домени, хоча візуально не відрізняються;
• розсилають вірусний файл, який при відкритті починає шпигувати за жертвою — збирати дані та відправляти на пристрої шахраям.

В цілому воно виглядає так:

Вибір жертви: шахрай запускає фішингову кампанію або для випадкових одержувачів електронної пошти (часто отриманих в результаті попереднього витоку даних), або націлену на конкретну компанію або галузь. У цьому випадку ваш співробітник компанії випадково отримує фішинговий лист.

Установка наживки: співробітник відкриває фішинговий лист і бачить переконливе повідомлення про те, що документ повинен бути завантажений з відомого додатка для обміну файлами. Це переконливо, тому що співробітник використовує додаток для обміну документами як усередині організації, так і за її межами з постачальниками компанії. В електронному листі міститься логотип програми, щоб воно виглядало правдоподібно. Крім того, відправник виявляється начальником, що представляє «цільовий фішинг», — електронний лист, який видає себе за людину з метою примусити одержувача виконати бажану дію.

Захоплення цілі: співробітник неймовірно зайнятий в цей день і натискає на шкідливе посилання, щоб впоратися з цим останнім завданням у своєму переповненому розкладі. Посилання виводить їх на підроблений вебсайт, де їх просять ввести облікові дані для входу. Вони їх вводять і відкривають документ, який містить приховані шкідливі програми.

Здійснення зловмисних дій: шкідливе ПЗ завантажується на їх пристрій, а потім швидко поширюється через мережу компанії, дозволяючи шахраям вкрасти облікові та конфіденційні дані. У якийсь момент атаки на екранах співробітників починають з’являтися повідомлення про вимагання, і всі операції припиняються.

Показовий випадок стався, коли правоохоронці затримали мешканця Тернопільщини, який розробив фішинговий пакет і спеціальну адміністративну панель до нього, які були націлені на вебресурси банків та їхніх клієнтів. Ця адмінпанель дозволяла контролювати облікові записи користувачів та їхні платіжні дані. Від цих фішингових атак постраждали фінансові установи 11 країн, а збитки сягнули десятків мільйонів доларів.

Але найчастіше саме буденні фішинг атаки приносять найбільше репутаційної шкоди. Наприклад, нещодавно кіберфахівці Держспецзв’язку виявили, як на електронні адреси держорганів України приходили листи нібито від «Нова Пошта». Листи містили підтвердження відправки вантажу і заклик перейти по посиланню для перевірки деталей, а за ним знаходився архів зі шкідливим ПО Agent Tesla.

Чому фішинг все ще працює

Всі ми знаємо, що в уривчастих електронних листах не можна переходити за посиланнями або відкривати вкладення. Проте, фішинг залишається прибутковим вектором атаки для шахраїв. Це тому, що зловмисники стали більш майстерними в тому, щоб видавати себе за іншу особу і використовувати у своїх інтересах нашу завантажену роботу. Як люди, ми уразливі для короткочасних помилок в судженнях, тому що ми використовуємо різні додатки та програми, такі як групові чати, відеоконференції й електронні листи, щоб зосередитися на звичайних робочих завданнях. Фішинговий лист, який здається відповідним під час завантаженого робочого процесу, може просто прослизнути в момент багатозадачності.

Втрата даних — головний удар

Після того, як жертва фішингу попалася на приманку, шахрай може:

• Керувати пристроєм жертви за допомогою шкідливого ПО.
• Отримати доступ до облікового запису для крадіжки даних або фінансів.
• Отримати доступ до електронної пошти й контактів жертви, щоб націлитися на керівників компанії або інших співробітників.
• Поширювати шкідливі програми, включаючи програми-вимагачі, на інші пристрої в тій же мережі.
• Отримати доступ до інших систем, даним або інтелектуальної власності компанії.

Коли успішна фішингова кампанія перетворюється в успішну кібератаку, вплив на бізнес може бути руйнівним, включаючи втрату даних, злом облікових записів або облікових даних, а також атаки програм-вимагачів, число яких зростає експоненціально.

П’ять найдорожчих фішингових атак, які досягли успіху

⦁ Facebook і Google

Facebook і Google були обмануті на 100 мільйонів доларів в 2013-2015 роках через розширену фішинг-кампанію. Фішер відправив серію підроблених рахунків компанії, що видавала себе за тайваньскую компанію Quanta. Зрештою шахрайство було виявлено, і в результаті судового розгляду Facebook і Google змогли повернути 49,7 мільйона доларів з вкрадених у них 100 мільйонів доларів.

⦁ Crelan Bank

Бельгійський банк Crelan став жертвою шахрайства з використанням корпоративної електронної пошти, яке обійшлося компанії приблизно в 75,8 мільйона доларів. Фішингова атака Crelan Bank була виявлена в ході внутрішнього аудиту.

⦁ FACC

Австрійський виробник аерокосмічних деталей FACC також втратив значну суму грошей через шахрайство з використанням корпоративної електронної пошти. У 2016 році організація оголосила про атаку і втратила 61 мільйон доларів на банківському рахунку, контрольованому зловмисником. Ця організація вирішила звільнити та порушити судовий позов проти свого генерального директора та фінансового директора і зажадала відшкодування збитків в розмірі 11 мільйонів доларів від двох керівників через те, що вони не змогли належним чином впровадити заходи безпеки.

⦁ Лабораторії Апшера-Сміта

Лабораторія Апшера-Сміта стала жертвою атаки з використанням корпоративної електронної пошти на фармацевтичну компанію з Міннесоти у 2014 році, в результаті якої шахраї збагатились на понад 39 мільйонів доларів.

⦁ Ubiquiti Networks

Ubiquiti Networks — компанія, що займається комп’ютерними мережами, що базується в США, стала жертвою атаки з використанням корпоративної електронної пошти, яка обійшлася компанії в 46,7 мільйона доларів у 2014 році.

Як захистити свій бізнес від фішингових атак

Щоб захистити свій бізнес від збитків під час успішної фішингової атаки, найкраще застосувати різнобічний підхід. По-перше, доцільно звернутися до фахівців з інформаційної безпеки, які вивчають поведінку людей під час фішингових атак і шахрайських інцидентів. По-друге, регулярно пропонуйте працівникам навчання та інформацію щодо боротьби з фішингом, щоб допомогти їм розпізнати фішинг-кампанії та не стати жертвами шахраїв.

По-третє, припустимо, що помилки все-таки трапляються, і хтось із компанії випадково натисне на шкідливе посилання, відкриє шкідливе вкладення або надасть облікові дані для входу на підроблений сайт. Щоб зменшити шкоду від успішної спроби фішингу, переконайтеся, що антиспам та антивірусне програмне забезпечення на пристроях співробітників оновлено та відповідає протоколам інформаційної безпеки.

І на завершення, захистіть трафік у своїй мережі, щоб додатково зменшити ризик фішингу. А якщо ви впевнені, що дня X для вашої компанії не оминути, подумайте про шляхи для відступу. Створіть надійні системи безпеки як на технічному, так і на організаційному рівні. Серед яких, наприклад, політика резервного копіювання та відновлення даних.

Дотримуючись цих простих кроків, ви зможете розвинути культуру інформаційної безпеки, знизити ризики і не стати жертвою фішингової кампанії.