Ця сторінка доступна рідною мовою. Перейти на українську

Фишинг с юридическим привкусом: как не попасть на крючок?

12.30, 7 июня 2019
3109
0

Автор: Руслан Яременко, управляющий партнер ИТ-компании “Airvice Consulting”

Фишинг - вид интернет-мошенничества, который использует социальную инженерию и массовые рассылки специально сформированных электронных писем для получения (выуживания) пользовательских данных или загрузки на устройства более опасных вредоносных программ.

12 мая антивирусными компаниями Fortinet и Sophos была зафиксирована масштабная фишинговая атака, с использованием около 100 000 бизнес email адресов. Особенностью этой атаки было то, что письма были сформированы так, как будто их отправителями были юридические фирмы. Они содержали уведомление об иске к получателю и предлагали немедленно ознакомится с вложенным в электронное письмо документом MS Word, который был защищен паролем 123456. Как водится, этот документ MS Word содержал специальный троян (App Dropper - Капельница), который при открытии документа загружал (подбрасывал) на компьютер/смартфон жертвы другое вредоносное ПО (вроде, ransomware - шифровальщик-вымогатель).

Конечно же, против подготовленного на специализированном семинаре по безопасности пользователя, такая фишинговая атака не сработает. На семинаре учат распознавать фишинговые письма и рассказывают, как правильно действовать, чтобы не стать их жертвой. Но неподготовленного среднестатистического человека не смутят ни грамматические/орфографические ошибки в письме, ни наивный и недопустимо простой пароль 123456 на вложенный документ MS Word.

Масштабы пострадавших все еще уточняются, но уже понятно, что их будет много, так как большинство известных антивирусных средств оказались неспособными идентифицировать атаку даже через 10 дней после ее начала. Пострадавшие юридические компании уже обнаружены и в Украине.

Как уберечься от подобных фишинговых атак?

Пользователям, при получении писем подобного содержания, советуем:

- обязательно проверяйте адрес отправителя. Большинство коммерческих организаций, тем более юридические фирмы, как правило, не используют для переписки с клиентами бесплатные почтовые сервисы, такие как, ukr.net, gmail.com, outlook.com, yahoo.com и подобные. А вот спамеры и другие киберпреступники, как раз ими, в основном, и пользуются. Поэтому, получив сомнительное письмо с бесплатного почтового сервиса, советуем присмотреться к нему внимательнее и не спешить отвечать или открывать вложения;

- письма от юридических компаний никогда не содержат угроз, имеют правильную грамматику/орфографию и корректную подпись: имя, должность, компания, адрес, номер телефона для связи, отказ от ответственности (disclaimer), и тому подобное. Если эти данные неполные или отсутствуют, доверять такому письму не стоит;

- если в тексте письма от неизвестного отправителя в явном виде предлагают открыть вложение или перейти по ссылке на неизвестный сайт, не делайте этого. Скорее всего, это приведет к загрузке вируса на ваше устройство и заражению;

- если вложения (файл или архив) имеют пароль, который сообщается в тексте этого же письма, скорее всего, во вложении вирус. Правильно настроенные почтовые системы не пропускают запароленые файлы, так как не могут проверить их содержание антивирусом;

- внимательно присмотритесь к расширению файла во вложении. Очень часто файлы вируса маскируют под документы MS Word, MS Exell, PDF, и тому подобные. Например: Dogovir.doc.exe или Pozov.pdf.scr. Это не документы, это исполняемые файлы с вирусом. Удалите это письмо;

- если в теме письма от неизвестного отправителя сообщается об иске в суд, важном событии из новостей (катастрофа, трагедия, свадьба известных личностей, информация о политиках, и тому подобное), или вам сообщают о неожиданном выигрыше или наследстве от неизвестного дальнего родственника, и письмо имеет вложенный файл, то лучше сразу удалите это письмо. Скорее всего, во вложении вирус;

- если в тексте письма от неизвестного отправителя вам представились представителем банка (страховой компании) и просят переслать ваши личные данные, пароли, пин-код, или предлагают перейти по ссылке на сайт банка/страховщика, не делайте этого. Сотрудники таких организаций никогда не будут спрашивать у вас персональные сведенья в письме или по телефону, а заходить на сайт банка лучше введя его адрес в веб-обозреватель вручную самостоятельно;

- если в полях 'To' и 'From' полученного письма одинаковый адрес, то это фишинговое письмо. Удалите его не открывая;

- если отправитель письма из другой страны, письмо написано на иностранном языке, или имеет много синтаксических/орфографических ошибок, то скорее всего, это фишинговое письмо. Не отвечайте на него и удалите не открывая;

Для бизнеса рекомендаций больше. Выполнить их сложнее и это требует дополнительных финансовых затрат. Так как бизнес не только может получать поддельные письма, он еще может стать их источником из-за неправильного выбора почтовой системы или ее некорректной настройки. Компаниям нужно защитить не только своих сотрудников и свои данные от уничтожения вирусом, но и свою репутацию перед текущими и потенциальными клиентами. Потому что рассылка спама или вирусов с адресов компании своим клиентам, в том числе и потенциальным, недопустима и может стать причиной их потери. Захотят ли заказчики работать с юридической компанией, которая стала причиной заражения их компьютеров и потери их корпоративных данных? Вряд ли.

Поэтому бизнесу, для нормальной работы корпоративной почтовой системы и борьбы со спамом и фишингом, советуем следующее:

- не используйте для ведения бизнеса бесплатные почтовые сервисы вроде, ukr.net, gmail.com, outlook.com, yahoo.com и подобные. Их используют киберпреступники для рассылки спама и вирусов. Поэтому ваше важное письмо клиенту может запросто оказаться в папке СПАМ, или вообще будет отброшено почтовым сервисом получателя, как нежелательное. Это недопустимо;

- при настройке корпоративной почтовой системы обязательно используйте встроенные механизмы защиты, такие как DKIM, SPF, DMARK и другие. Их предназначение сделать подделку отправителя писем невозможной;

- используйте только защищенный доступ (SSL) к своему почтовому ящику. Это сделает невозможным перехват ваших сообщений и утечку конфиденциальной информации, которую вы пересылаете своим респондентам;

- используйте для корпоративной почтовой системы ваш корпоративный домен, на котором настроен ваш корпоративный сайт. Это сильно повысит доверие получателя (и его почтовой системы) к вашему письму и вложенным документам, и уменьшит вероятность попадания в папку СПАМ. Это особенно важно, когда это письмо первое и отправлено потенциальному клиенту;

- опасайтесь использовать собственные сервера с бесплатными почтовыми системами, такими как, sendmail, exim, postfix, dovecot, и подобные, из-за ограниченности их функционала и сложности настройки. Не взирая на кажущуюся дешевизну решения, потому что не нужно покупать лицензии, будут проблемы со сложностью настройки, ограниченными возможностями безопасности и необходимостью постоянного технического обслуживания (как физического сервера, так и бесплатных программ на нем). Но еще большая проблема будет в ИТ-специалисте, потому что для правильной настройки «бесплатного» почтового сервера нужна высокая квалификация, иначе взлом и рассылка спама/вирусов будут всего лишь вопросом времени. А когда ваш ИТ-шник уволится, поддержка и дальнейшая работа вашего корпоративного почтового сервера вообще будет под серьезным вопросом. Вы готовы так рисковать своим бизнесом?

- никогда не размещайте в открытом виде на своем корпоративном сайте ваши e-mail адреса, и не используйте их для регистраций на сомнительных сайтах. Иначе ваши корпоративные e-mail очень быстро пополнят базы киберпреступников, а значит вы будете получать все больше фишинговых и спам рассылок в свои ящики, тем самым подвергая опасности заражения свои ИТ-системы и данные;

- используйте «облачные» почтовые сервисы G-Suite, Office 365, и им подобные. По моему мнению, при теперешнем количестве киберугроз, это лучший вариант для бизнеса. «Облачные» почтовые сервисы имеют очень высокую защищенность, которую обеспечивает немаленькая команда высококвалифицированных дипломированных специалистов. Эти системы имеют встроенные механизмы защиты писем от подделки, антивирусную, антиспам и антифишинговую защиту. Высокая квалификация ИТ-шника нужна только на этапе базовой настройки, а для дальнейшего использования (добавление или удаление почтовых ящиков, создание/редактирование групп рассылок) достаточно просто понимать принципы работы современных веб-интерфейсов. Больше не нужны сервера в офисе, дорогие лицензии, нет зависимости от ИТ-специалиста, полная свобода и защищенность для бизнеса.

Хочется также кое-что сказать о мессенджерах. Сейчас многие видят их конкурентами почтовых систем и считают, что мессенджеры в будущем вытеснят почту из корпоративного использования. Но этого не случится. И вот почему.

Мессенджеры очень легко настраиваются, предназначены для коротких текстовых сообщений, оперативного уточнения вопросов и часто используются исключительно на мобильных гаджетах. Это на самом деле очень удобно, достать телефон, задать в мессенджер короткий вопрос и когда у человека будет время, он даст такой-же короткий ответ. Можно также быстро перебросить документ или фото. Другое дело, когда нужно переслать не 5-10 слов, а 5-10 предложений с вложенными документами, и еще ссылаясь на предыдущие письма и договорённости. Читать такие большие тексты в смартфоне не удобно. Еще сложнее с поиском. И дело не только в том, что в некоторых мессенджерах он, прямо скажем, неудобен.

Когда вам нужно поднять переписку с клиентом 3-х летней давности и когда вы вообще не помните, с кем конкретно вы тогда контактировали, то сделать это в мессенджере будет очень тяжело, если вообще возможно. Зато сделать это в почте просто, особенно если ваш респондент использует свой корпоративный домен, а не бесплатный. Еще одна сложность - это возможность в мессенджере удалить не только свою копию сообщения, а еще и копию респондента. Сделать такое с мейлом не выйдет, у вас всегда будет своя копия письма. Ну и не стоит забывать, что не всем сотрудникам предоставляются служебные телефоны, многие пользуются своими. Поэтому при увольнении, компания потеряет все переписку с клиентом.

Тоже самое произойдет и при утере или краже смартфона. А вот служебный мейл, это собственность компании и с него регулярно делаются резервные копии. И при утере телефона или увольнении сотрудника, его мейл остается в компании и ничего не потеряется. Поэтому мессенджеры стоит рассматривать не как замену почте, а как дополнительный оперативных канал коммуникации.

Но вернемся к фишингу. Да, он присутствует и в мессенджерах. И для них нет нормальных антиспам и антифишинговых решений, которые позволяют защитить пользователя. Есть только возможность заблокировать отправителя. Тогда как для почты таких решений предостаточно. Поэтому мессенджеры, по моему мнению, обречены пройти такой же путь развития, как и почтовые системы. Иначе фишинговые, вирусные и спам рассылки в мессенджерах превратят работу пользователей в ад.

Корпоративная почта еще долго останется основным каналом коммуникации с контрагентами, и от правильного выбора и настройки почтовой системы зависит, будет ли это ваше конкурентное преимущество или причина вашей постоянной головной боли и проблем. Понятно, что не все смогут сделать правильный выбор самостоятельно. В таком случае, лучше обратитесь за помощью к профессионалам. Оплата их услуг будет все равно дешевле, чем репутационные потери всего лишь от одной фишинговой рассылки своим клиентам.

Напомним, проверить вашего контрагента на благонадежность и осуществлять его дальнейший мониторинг можно с помощью сервиса CONTR AGENT от ЛІГА:ЗАКОН. Вы можете проверить контрагента, который вас интересует, прямо сейчас, оформив заявку на тестовый доступ к сервису.

Безопасность предприятия, алгоритмы действий для бизнеса и единое информационное поле для всех специалистов - выбирайте системы ЛІГА:ЗАКОН для всей компании и получайте подарки!

Подпишитесь на рассылку
Получайте по понедельникам weekly-digest о ключевых событиях бизнеса
Оставьте комментарий
Войдите, чтобы оставить комментарий
Войти
На эту тему