Ця сторінка доступна рідною мовою. Перейти на українську

Фішинг з юридичним присмаком: як не втрапити на гачок?

12.30, 7 червня 2019
3042
0

Автор: Руслан Яременко, керуючий партнер ІТ-компанії “Airvice Consulting”

Фішинг - вид інтернет-шахрайства, який використовує соціальну інженерію та масові розсилки спеціально сформованих електронних листів для отримання (вивудження) користувацьких даних або завантаження на пристрої більш небезпечних шкідливих програм.

12 травня антивірусними компаніями Fortinet та Sophos була зафіксована масштабна фішингова атака, з використанням близько 100 000 бізнесових email адрес. Особливістю цієї атаки було те, що листи були сформовані так, нібито їх відправниками були юридичні фірми. Вони містили повідомлення про позов щодо отримувача і пропонували негайно ознайомитися із вкладеним у електронний лист документом MS Word, що був захищений паролем 123456. Як водиться, цей документ MS Word містив спеціальний троян (App Dropper - Крапельниця), який при відкритті документа завантажував (підкидав) на комп'ютер/смартфон жертви інше шкідливе ПЗ (на кшталт, ransomware - шифрувальник-здирник).

Звичайно ж, проти підготовленого на спеціалізованому безпековому семінарі користувача така фішингова атака не спрацює. На семінарі вчать розпізнавати фішингові листи та розказують, як правильно діяти, аби не стати їх жертвою. Та непідготовлену середньостатистичну людину не збентежать ані граматичні/орфографічні помилки у листі, ані наївний та неприпустимо простий пароль 123456 на вкладений документ MS Word.

Масштаби постраждалих все ще уточнюються, та вже зрозуміло, що їх буде багато, оскільки більшість відомих антивірусних засобів виявилися неспроможними ідентифікувати атаку навіть через 10 днів після її початку. Постраждалі юридичні компанії вже виявлені і в Україні.

Як вберегтися від подібних фішингових атак?

Користувачам, при отриманні листів подібного вмісту, радимо:

- обов'язково перевіряйте адресу відправника. Більшість комерційних організацій, тим паче юридичні фірми, як правило, не використовують для листування з клієнтами безкоштовні поштові сервіси, на кшталт, ukr.net, gmail.com, outlook.com, yahoo.com та ін. А от спамери та інші кіберзловмисники якраз ними, в основному, і користуються. Тому, отримавши сумнівного листа з безкоштовного поштового сервісу, радимо придивитися до нього уважніше і не поспішати відповідати чи відкривати вкладення;

- листи від юридичних компаній ніколи не містять погроз, мають правильну граматику/орфографію та коректний підпис: ім'я, посада, компанія, адреса, номер телефону для зв'язку, відмова від відповідальності (disclaimer), тощо. Якщо ці дані неповні або відсутні, довіряти такому листу не варто;

- якщо в тексті листа від невідомого відправника у явному вигляді пропонують відкрити вкладення чи перейти за посиланням на невідомий сайт, не робіть цього. Скоріш за все, це призведе до завантаження вірусу на ваш пристрій та зараження;

- якщо вкладення (файл чи архів) мають пароль, який повідомляється у тексті цього ж листа, скоріш за все, у вкладенні вірус. Правильно налаштовані поштові системи не пропускають запаролені файли, так як не можуть перевірити їх вміст антивірусом;

- уважно придивіться до розширення файлу у вкладенні. Дуже часто файли вірусу маскують під документи MS Word, MS Exell, PDF, тощо. Наприклад: Dogovir.doc.exe або Pozov.pdf.scr. Це не документи, це виконувані файли з вірусом. Видаліть цей лист;

- якщо в темі листа від невідомого відправника повідомляється про позов до суду, важливу подію з новин (катастрофу, трагедію, весілля відомих осіб, інформацію про політиків, тощо), або вам повідомляють про неочікуваний виграш або спадок від невідомого далекого родича, і лист має вкладений файл, то краще одразу видаліть цей лист. Скоріш за все, у вкладенні вірус;

- якщо в тексті листа від невідомого відправника вам представилися представником банку (страхової компанії) і просять переслати ваші особисті дані, паролі чи пін-код, або пропонують перейти за посиланням на сайт банку/страховика, не робіть цього. Співробітники таких установ ніколи не будуть питати у вас персональні відомості у листі чи телефоном, а заходити на сайт банку краще ввівши його адресу у веб-оглядач вручну самостійно;

- якщо у полях 'To' і 'From' отриманого листа однакова адреса, то це фішінговий лист. Видаліть його не відкриваючи;

- якщо відправник листа з іншої країни, написаний на іноземній мові, або має багато синтаксичних/орфографічних помилок, то скоріш за все, це фішінговий лист. Не відповідайте на нього і видаліть не відкриваючи;

Для бізнесу рекомендацій більше. Виконати їх складніше і це потребує додаткових фінансових витрат. Оскільки бізнес не тільки може отримати підроблені листи, він ще й може стати їх джерелом через неправильний вибір поштової системи або її некоректне налаштування. Компаніям потрібно захистити не тільки своїх співробітників і свої дані від знищення вірусами, а й свою репутацію перед поточними і потенційними клієнтами. Бо розсилка спаму чи вірусів з адрес компанії своїм клієнтам, у тому числі і потенційним, є неприпустимою і може привести до їх втрати. Чи захочуть замовники працювати з юридичною компанією, яка стала причиною зараження їх комп'ютерів та втрати їх корпоративних даних? Навряд чи.

Тому бізнесу, для нормальної роботи корпоративної поштової системи та боротьби з спамом та фішингом, радимо наступне:

- не використовуйте для ведення бізнесу безкоштовні поштові сервіси на кшталт, ukr.net, gmail.com, outlook.com, yahoo.com та ін. Їх використовують кіберзловмисники для розсилки спаму та вірусів. Тому ваш важливий лист клієнту може запросто опинитися у папці СПАМ, або взагалі буде відкинутий поштовим сервісом отримувача, як небажаний. Це неприпустимо;

- при налаштуванні корпоративної поштової системи обов'язково використовуйте вбудовані механізми захисту, як то DKIM, SPF, DMARK та інші. Їх призначення унеможливити підробку відправника листів;

- використовуйте тільки захищений доступ (SSL) до своєї поштової скриньки. Це унеможливить перехоплення ваших листів і витік конфіденційної інформації, яку ви пересилаєте своїм респондентам;

- використовуйте для корпоративної поштової системи ваш корпоративний домен, на якому налаштований ваш корпоративний сайт. Це значно підвищить довіру отримувача (і його поштової системи) до вашого листа та вкладених документів, і зменшить вірогідність потрапляння у папку СПАМ. Це особливо важливо, коли цей лист перший і відправлений потенційному клієнту;

- остерігайтесь використовувати власні сервери з безкоштовними поштовими системами, на кшталт, sendmail, exim, postfix, dovecot, тощо, через обмеженість їх функціоналу і складність налаштування. Не зважаючи на удавану дешевизну рішення, бо непотрібно придбавати ліцензії, буде проблема в складності налаштування, обмежених безпекових можливостях і необхідності постійного технічного обслуговування (як фізичного сервера, так і безкоштовних програм на ньому). Але ще більша проблема буде в ІТ-спеціалісті, бо для правильного налаштування «безкоштовного» поштового сервера необхідна висока кваліфікація, інакше злам та розсилка спаму/вірусів будуть лише питанням часу. А коли ваш ІТ-шник звільниться, підтримка та подальша нормальна робота вашого корпоративного поштового серверу взагалі буде під серйозним питанням. Ви готові так ризикувати своїм бізнесом?

- ніколи не розміщуйте у відкритому вигляді на своєму корпоративному сайті ваші e-mail адреси, і не використовуйте їх для реєстрації на сумнівних сайтах. Інакше ваші корпоративні e-mail дуже швидко поповнять бази кіберзловмисників, а значить ви будете отримувати все більше фішингових та спам розсилок у свої скриньки, тим самим наражаючи на небезпеку зараження свої ІТ-системи та дані;

- використовуйте «хмарні» поштові сервіси G-Suite, Office 365, тощо. На мою думку, при теперішній кількості кіберзагроз, це найкращий варіант для бізнесу. «Хмарні» поштові сервіси мають дуже високу захищеність, яку забезпечує немаленька команда висококваліфікованих дипломованих спеціалістів. Вони мають вбудовані механізми захисту листів від підробки, антивірусний, антиспам та антифішинговий захист. Висока кваліфікація ІТ-шника потрібна тільки на етапі базового налаштування, а для подальшого використання (додавання чи видалення поштових скриньок, створення/редагування груп розсилок) достатньо просто розуміти принципи роботи сучасних веб-інтерфейсів. Більше не потрібні сервери в офісі, коштовні ліцензії, немає залежності від ІТ-спеціаліста, повна свобода і захищеність для бізнесу;

Хочеться також дещо сказати про месенджери. Наразі багато хто бачить їх конкурентами поштових систем і вважає, що месенджери в майбутньому витіснять пошту з корпоративного використання. Та цього не станеться. І ось чому.

Месенджери дуже легко налаштовуються, призначені для коротких текстових повідомлень, оперативного уточнення питань і часто використовуються виключно на мобільних гаджетах. Це справді дуже зручно, дістати телефон, задати в месенджер коротке питання і коли у людини буде час, вона дасть таку ж коротку відповідь. Можна також швидко перекинути документ чи фото. Інша справа, коли потрібно переслати не 5-10 слів, а 5-10 речень з вкладеними документами, та ще й посилаючись на попередні листи і домовленості. Читати такі великі тексти у сматрфоні не зручно. Ще складніше з пошуком. І справа не тільки в тому, що в деяких месенджерах він, скажемо прямо, незручний.

Коли вам потрібно підняти переписку з клієнтом 3-річної давності і коли ви взагалі не пам'ятаєте, з ким конкретно ви тоді контактували, то зробити це в месенджері буде дуже важко, якщо взагалі можливо. Зате зробити це в пошті просто, особливо якщо ваш респондент використовує свій корпоративний домен, а не безкоштовний. Ще одна складність - це можливість у месенджері видалити не тільки свою копію повідомлення, а ще й копію свого респондента. Зробити таке з мейлом не вийде, у вас завжди буде своя копія листа. Ну і не варто забувати, що не всім співробітникам надаються службові телефони, багато хто користуються власними. Тому при звільненні, компанія втрачає всю переписку з клієнтом.

Теж саме станеться і при втраті чи викраденні смартфону. А от службовий мейл, це власність компанії і з нього регулярно робляться резервні копії. І при втраті телефону чи звільненні співробітника, його мейл залишається в компанії і нічого не втрачається. Тому месенджери варто розглядати не як заміну пошти, а як додатковий оперативний канал комунікації.

Та повернемося до фішингу. Так, він присутній і в месенджерах. І для них немає нормальних антиспам та антифішингових рішень, що дозволяють захистити користувача. Є тільки можливість заблокувати відправника. Тоді як для мейлів такі рішення є в достатній кількості. Тому месенджери, на мою думку, приречені пройти такий самий шлях розвитку, як і поштові системи. Інакше фішингові, вірусні та спам розсилки в месенджерах перетворять роботу користувачів на пекло.

Корпоративна пошта ще довго залишиться головним каналом комунікації з контрагентами, і від правильного вибору і налаштування поштової системи залежить, чи буде це ваша конкурентна перевага чи причина вашого постійного головного болю та проблем. Зрозуміло, що не всі зможуть зробити правильний вибір самотужки. У такому випадку, краще зверніться за допомогою до професіоналів. Оплата їх послуг буде все одно дешевша, аніж репутаційні втрати всього лише від однієї фішингової розсилки своїм клієнтам.

Нагадаємо, перевірити вашого контрагента на благонадійність і здійснювати його подальший моніторинг можна за допомогою сервісу CONTR AGENT від ЛІГА:ЗАКОН. Ви можете перевірити контрагента, який вас цікавить, прямо зараз, оформивши заявку на тестовий доступ до сервісу.

Безпека підприємства, алгоритми дій для бізнесу та єдине інформаційне поле для всіх фахівців - обирайте системи ЛІГА:ЗАКОН для всієї компанії таотримуйте подарунки!

Підпишіться на розсилку
Щопонеділка отримуйте weekly-digest про ключові події бізнесу
Залиште коментар
Увійдіть, щоб залишити коментар
УВІЙТИ
На цю ж тему