Вы только что получили электронное письмо с просьбой войти в свою банковскую учетную запись, профиль в социальной сети или административную учетную запись, например консоль Windows? Если сообщение вызывает у вас сомнения и вас просят отправить данные доступа, будьте бдительны! Это может быть попытка фишинга ваших данных, т.е. фишинга.
Что такое фишинг?
Фишинг - это попытка фишингового доступа к данным, например, к банковским счетам, административным консолям внутренних систем компании, учетным записям социальных сетей, дискам виртуальной памяти и т. Д. Мошенники обычно выдают себя за известные компании, чтобы получить данные для входа. Они используют, среди прочего, элементы социальной инженерии и готовые электронные письма, обманчиво похожие на их оригиналы с просьбой войти в учетную запись.
Неосведомленные жертвы угрозы заходят через специально созданное электронное письмо на фальшивый веб-сайт и предоставляют там данные для входа. Часто случается, что жертвы не знают о фишинге своих данных, потому что созданный веб-сайт в режиме реального времени входит в систему с использованием данных, предоставленных пользователем, а затем отправляет их обратно в уже реальную зарегистрированную панель. Это не меняет того факта, что у третьей стороны с этого момента есть данные для входа в нашу учетную запись, что может привести, например, к переводу наших денег в другой конец света, получению доступа к внутренним файлам и документам организации или краже идентификационной информации профиля в социальных сетях.
Какие компании чаще всего претендуют на фишинговые письма?
Согласно отчету Vade Secure, бренд Microsoft чаще всего используется для фишинговых атак. Отчет показывает, что из года в год атаки под брендом технологического гиганта увеличивались на целых 15,5%. Это связано с большим доверием, признанием и сферой деятельности Microsoft.
Эта компания, кажется, является естественной целью хакерских атак, учитывая факт узнаваемости бренда и количество учетных записей пользователей в Outlook и Office 365. Учетные записи Microsoft являются очень ценной целью, поскольку их приобретение может открыть путь для входа во всю внутреннюю структуру организации на основе решений. Microsoft.
Одной из наиболее часто используемых схем для проведения атаки является сценарий отправки электронного письма с информацией, например, об истечении срока службы Microsoft или проблемах, связанных с учетной записью Office 365. Почта содержит ссылку, которая ведет на фальшивый веб-сайт. Незнакомый пользователь вводит данные для входа, тем самым предоставляя доступ к учетной записи злоумышленникам. На этом этапе хакер может использовать взломанную учетную запись, чтобы увеличить масштаб атаки на других пользователей или захватить данные или ресурсы организации.
Опасен ли фишинг для частных лиц?
Ответ на этот вопрос очень прост, конечно, это так! Давайте пропустим известную проблему использования фишинговых методов для захвата частных банковских счетов для перевода денег. Сосредоточьтесь на менее известной проблеме кражи и использования пользовательских профилей в социальных сетях.
В настоящее время более 4,3 миллиарда человек имеют доступ к Интернету, из которых почти 3,5 миллиарда пользуются социальными сетями - это составляет почти 45% населения мира. Только в 2018 году рост пользователей социальных сетей увеличился на 9%, то есть на 280 миллионов пользователей. Согласно отчету Digital 2019 в Польше, более 18 миллионов пользователей используют сайты социальных сетей, что составляет 47% населения, и каждый пользователь имеет в среднем 7,3 аккаунта на различных платформах социальных сетей.
С одной стороны, эти данные показывают, какую важную роль играют социальные сети в современных обществах, с другой - они показывают, насколько опасными могут оказаться попытки фишинга, направленные на учетные записи пользователей.
Фишинговые атаки на пользователей Facebook
Достаточно упомянуть, что только в 2018 году фишинговые атаки, имитирующие бренд Facebook, увеличились на 176%, что делает этот тип атаки третьим по популярности способом фишинга. Взлом на ваш аккаунт в Facebook несет в себе очень высокий риск в виде:
- Использование социальной инженерии и доверие других пользователей сети в нашем профиле для вымогательства денег;
- Несанкционированный доступ к отправленным фотографиям и сообщениям, который может угрожать конфиденциальности переписки;
- Публикация нежелательных материалов и контента на главном новостном канале;
- Используйте аккаунт для выражения нежелательных мнений и комментариев и т. Д.
Принятие учетной записи в социальных сетях - это не только риск потери контроля над профилем. Из-за повсеместной возможности входа в другие приложения и программы через Facebook существует высокий риск расширения масштабов атаки. Адриен Жандре, главный архитектор решений безопасности Vade Secure, сказал:
Фишинг с использованием Microsoft Office 365 является воротами для огромного количества корпоративных данных, а доступ к учетным данным для входа в Facebook угрожает значительной части конфиденциальной личной информации пользователя. Тот факт, что мы видели так много людей, выдающих себя за эти два бренда, означает, что практически все пользователи и организации электронной почты должны быть начеку.
Что делать, чтобы не стать жертвой фишинга?
Почему фишинговые атаки так популярны? Потому что они работают (к сожалению, многие пользователи по-прежнему подвержены действиям на границе социальной инженерии) и очень дешевы в реализации.
На самом деле, никакое решение не заблокирует 100% угроз, поэтому вам нужно быть готовым к неожиданностям. Первый и самый важный шаг - это обучение конечных пользователей, чтобы сотрудники могли сами обнаруживать фишинговые письма. - Адриен Жандре, эксперт Vade Secure
В ситуации, когда мы получаем электронное письмо, которое вызывает у нас сомнения, стоит подумать, прежде чем нажимать на подозрительную ссылку. Рекомендуется связаться или проверить через веб-сайты, принадлежащие контактирующим организациям, действительно ли отправленное сообщение от них. В критических ситуациях, требующих быстрых действий, стоит получить доступ к страницам входа непосредственно из браузера, не используя ссылки-ссылки, пришитые в полученном электронном письме.
Также стоит подумать об установке дополнительных средств защиты от фишинга , таких как Bitdefender Antivirus Plus или ESET NOD 32 , которые укрепят защиту как корпоративных, так и частных пользователей.