Навіть якщо ви не дуже цікавитеся кібербезпекою та не особливо розбираєтеся в техніці, ви, напевно, чули про термін «фішинг». Але чи знаєте ви, як він працює та якими є найпоширеніші форми фішингу?
За приблизними оцінками, щодня розсилається близько 15 млрд спам-листів. В середньому один з кожних 99 електронних листів є фішинговою атакою, тобто загальний рівень атак становить трохи більше 1%. Водночас, саме фішинг є причиною близько 90% усіх зломів акаунтів! Ці цифри говорять про те, наскільки важливо знати, як працює фішинг і якими є найкращі методи захисту від нього.
У цій статті ми розглянемо різні форми фішингу, розкажемо про їх відмінності та поділимося прикладами фішингових листів, щоб допомогти вам зрозуміти все, що необхідно знати про цю кіберзагрозу.
Що означає фішинг?
Першим кроком у захисті від фішингу є розуміння того, що це таке та як він працює. Отже, що означає фішинг і як його уникнути? Простими словами, фішинг — це форма кібератаки за допомогою соціальної інженерії, яку зловмисники використовують для викрадення ваших особистих даних.
За своєю суттю фішинг є дуже простою формою атаки. Він фокусується на введенні цільової жертви в оману, видаючи себе за надійне джерело інформації. Довіряючи відправнику, жертва несвідомо заражає свій пристрій зловмисним програмним забезпеченням або ділиться конфіденційною інформацією, яку вона не хотіла б розкривати незнайомцям.
Залежно від серйозності фішингової атаки жертва може натрапити на дуже серйозні наслідки. Користувач може стати жертвою крадіжки особистих даних або втратити всі свої гроші. Крім того, фішинг зачіпає не лише окремих людей - це також поширене явище і в бізнесі.
Приклад фішингової атаки
Що таке е-мейл фішинг?
Більшість фішингових атак здійснюються через електронні листи, тому важливо виділити цей метод, щоб допомогти вам його розпізнати. Процес досить простий. Технології е-мейл фішингу включають зловмисників, які реєструють фейкові домени та створюють фейкові акаунти, схожі на ті, що надходять із законних джерел.
Наприклад, ви можете отримати електронний лист, який видає себе за агента служби підтримки вашого банку або представника, який закликає змінити пароль, натиснути посилання, щоб заповнити певну інформацію, або просто завантажити деякі вкладення з останніми оновленнями.
Багато людей, які нічого не підозрюють, вважають, що взаємодія з ним безпечна лише тому, що електронний лист надійшов із розпізнаваної адреси. Однак, щоб уникнути фішингу через посилання електронної пошти чи вкладення, завжди ретельно перевіряйте адресу електронної пошти відправника та переконайтеся, що електронний лист справжній.
Хоча цей приклад фішингу є найпоширенішим з тих, що впливають на користувачів онлайн, є багато інших видів фішингу, про які вам слід знати. Щоб допомогти вам розпізнати інші поширені види фішингу, давайте швидко окреслимо їх:
- Smishing - ця форма фішингу замінює спілкування електронною поштою на SMS. Вона полягає в тому, що зловмисники надсилають жертві подібне повідомлення з посиланням або вкладенням, спонукаючи їх натиснути вміст SMS.
- Vishing — як і попередня форма фішингу, це включає націлювання на телефон жертви, але цього разу через голосове повідомлення або дзвінок. Зловмисники залишають голосові повідомлення, намагаючись спонукати жертву розкрити цінну особисту чи фінансову інформацію
- Angler Phishing - цей тип фішингу стає все більш поширеним у сучасну еру соціальних мереж. Зловмисники маскуються під представників компанії або агентів служби підтримки клієнтів, щоб отримати особисту інформацію, облікові дані або інші дані інших користувачів соціальних мереж.
Що таке цільовий фішинг?
Цільовий фішинг (spear phishing) — це більш складний тип фішингу. На відміну від звичайного фішингу, який зазвичай охоплює широку аудиторію в надії захопити жертву, цільовий фішинг є набагато більш витонченим. У той час як звичайні фішингові атаки часто взаємодіють з тисячами одержувачів, цільові атаки не використовуються масово.
Натомість метою цільових фішингових атак є Ви як окрема особа. Перш ніж надіслати вам фішинговий електронний лист, зловмисники використовують соціальну інженерію, намагаючись дістати якомога більше інформації про вас, щоб створити враження, що вони вас добре знають.
Зважаючи на це, фішингові атаки найчастіше спрямовані на дуже конкретну мету. Найчастіше цільові взловмисники представляють себе як людину з вашого бізнесу чи особистого життя, просять надіслати їм гроші та надсилають начебто справжні інструкції з підключення.
Вейлінг vs Цільовий фішинг vs Фішинг
Крім фішингу, існує ще більш цілеспрямований тип атаки, який називається вейлінгом (whaling). Ця форма фішингу спрямована лише на генеральних директорів і співробітників високого рівня в корпоративному світі. Whaling-атаки часто вимагають від зловмисників ретельного дослідження та підготовки, щоб створити фішинговий лист, який матиме найкращі шанси на успіх.
Коротше кажучи, вейлінгові атаки працюють так само, як і звичайні фішингові, лише з більш конкретним приводом. Наприклад, кібер-злочинці видають себе за керівника або колегу-працівника та зазвичай просять про послугу або надають особі якусь можливість, що спонукає її взаємодіяти зі шкідливим електронним листом.
Приклади фішингових атак
Оскільки фішинг є чи не найпоширенішою загрозою в онлайн-світі, кількість прикладів фішингових атак незліченна. Маючи це на увазі, ми хочемо поділитися двома добре відомими фішинговими атаками, які відбулися за останні кілька років.
Цього року відбулася атака на облікові записи Microsoft 365 на основі тактики AITM (Adversary-in-the-Middle). Атака була настільки цілеспрямованою, що спрацювала навіть на облікових записах електронної пошти користувачів, у яких було ввімкнено двофакторну верифікацію.
Приклад фішингової атаки #1
Але це була далеко не єдина успішна масштабна фішинг-атака у 2023 році. Відома американська компанія Cloudflare також зазнала фішингової атаки, коли її співробітників обманом змусили ввести їхні робочі облікові дані на фішинговому сайті. Менш ніж за одну хвилину принаймні 76 співробітників Cloudflare отримали фішингове повідомлення, і багато з них стали жертвами шахрайства.
Приклад фішингової атаки #2
Як зупинити фішингову атаку?
Зупинити фішингову атаку складно, оскільки більшість людей помічають, що відбувається, лише коли стає надто пізно. Але існують деякі методи запобігання, які можна використовувати, щоб не стати жертвою фішингу. Ось чотири найкращі поради щодо запобігання фішинг-атак:
- Завжди перевіряйте, перш ніж натискати: Ця проста порада дуже допоможе вам. Завжди уважно аналізуйте вхідні повідомлення, перш ніж натискати на посилання чи вкладення. Не натискайте на те, у чому ви не впевнені на 100%.
- Зберігайте свою інформацію конфіденційною: Не розкривайте свою особисту інформацію без зайвої необхідності. Навіть якщо ви хочете увійти в акаунт або купити щось онлайн, не робіть це за допомогою електронної пошти чи SMS-посилань. Перейдіть на сайт джерела бехпоседньо через пошук або браузер.
- Підтримуйте все в актуальному стані: Стандартні веб-браузери та антивірусні програми регулярно випускають нові версії для усунення нових ризиків безпеці, тому переконайтеся, що не відкладаєте оновлення, коли з’являється відповідна нотифікація.
- Використовуйте ключі безпеки: Ключі безпеки, які відповідають стандартам FIDO U2F/FIDO2 - однозначно найкращий спосіб захистити себе від фішингу. Вони автоматично "розпізнають" справжність домену і усувають потребу вручну вводити паролі при вході в будь-які веб-сервіси. Відсутність паролів робить фішинг-атаку неможливою за своєю суттю.
Як захистити себе від фішингу?
У 2017 році Google запровадив нову вимогу, яка повністю нейтралізувала фішингові атаки на її співробітників. Маючи близько 140 000 співробітників, Google не зазнавала жодної фішингової атаки з 2017 року. Це може здатися дивом, але насправді це було реалізовано одним простим налаштуванням.
У 2017 році всі співробітники Google повинні були припинити використовувати паролі для входу. Навіть використання одноразових кодів було заборонено. Натомість кожен працівник Google мав почати використовувати фізичні ключі безпеки для доступу до облікових записів.
Представник Google сказав, що ключі безпеки тепер є основою для доступу до всіх облікових записів у Google.«У нас не було повідомлень або підтверджених захоплень облікових записів після впровадження фізичних ключів безпеки», сказав речник Google.
Звичайно, ці переваги та функції безпеки доступні не лише для великих технологічних компаній і організацій із величезними бюджетами. Кожен може отримати антифішингове програмне забезпечення безкоштовно або за мінімальною ціною та захистити себе від небезпеки фішингових атак.
У Hideez ми створили недорогий універсальний ключ безпеки, який достатньо зручний і надійний для захисту від різних типіа атак. Наш Hideez Key 4 може захистити вас від фішингу, атак "посередника", спуфінгу та будь-яких інших типів загроз, пов’язаних із паролями.
Найкраще те, що це не б'є по кишені, адже дане рішення доступне для малого бізнесу та окремих користувачів. Всього за $49 ви отримаєте повне рішення безпеки, що поєднує апаратні та програмні компоненти. Це включає апаратний менеджер паролів із функцією автозаповнення, надійний генератор паролів, ключ безпеки, що підтримує стандарти FIDO/U2F, і брелок RFID.
Усвідомлюючи кількість кібербезпекових загроз, які існують у сучасному ландшафті, ви не повинні залишати свою безпеку напризволяще. Зв’яжіться з нами зараз, щоб отримати безкоштовну пробну версію для підприємств!