Сегодня серьезную опасность для бизнеса представляет фишинг - подделка электронной почты с целью обмануть кого-либо, чтобы он раскрыл учетные данные, номера кредитных карт или другую конфиденциальную информацию. Конечно, фишинг является проблемой и для частных лиц, но злоумышленники чаще выбирают своей мишенью предприятия по той же причине, что и апокрифическая цитата Вилли Саттона о том, почему он грабит банки: "Потому что именно там деньги".
Другая причина, по которой компании все чаще попадают под удар, заключается в том, что у них есть несколько точек входа - злоумышленнику не нужно искать технически грамотного генерального директора, когда он может попасть внутрь, обманывая низко поставленного сотрудника в бухгалтерии. Поэтому обучение по выявлению попыток фишинга в масштабах всей компании абсолютно необходимо.
Вот несколько советов, которыми вы можете поделиться, как распознать мошеннические сообщения электронной почты. Если вы хотите, защитить себя и своих сотрудников от злоумышленников придерживайтесь тех советов которые вы сможете изучить ниже.
Остерегайтесь электронной почты с просьбой раскрыть информацию, щелкнуть ссылку или подписать документ
Первое, на что стоит обратить внимание, это на любое письмо, в котором вас просят сделать что-то, что может раскрыть личную информацию, открыть ваши учетные данные для входа, заставить вас подписать документ в Интернете или открыть вложение, которое может установить вредоносное ПО. Всякий раз, когда вы получаете такое сообщение неожиданно, будьте начеку.
Если вы считаете, что сообщение может быть законным, подтвердите запрос "вне диапазона", что означает использование другой формы связи. Например, если в сообщении электронной почты вас просят войти на ваш банковский счет "для проверки", позвоните в банк, используя номер телефона, полученный с его веб-сайта, а не номер телефона, указанный в сообщении электронной почты, и попросите связаться с менеджером счета или сотрудником службы безопасности.
Остерегайтесь электронной почты от отправителя, о котором вы никогда раньше не слышали
Это электронная почта, эквивалентная "чужой опасности". Если вы не знаете отправителя электронного письма с просьбой сделать что-то необычное, относитесь к нему с подозрением (и не делайте того, о чем он просит!). Конечно, это не означает, что вы должны быть полностью параноиком - бизнес подразумевает контакт с незнакомыми людьми, которые могут стать клиентами или партнерами, в конце концов, но люди, которые вам не знакомы, не должны просить о чем-то необычном.
Остерегайтесь электронной почты от крупных компаний, для которых вы являетесь анонимным клиентом
Злоумышленники часто подделывают электронную почту, поэтому она поступает от таких крупных компаний, как Apple, Google или PayPal. Эти компании полностью осведомлены об этой проблеме, и они никогда не посылают электронные письма с просьбой войти в свой аккаунт, обновить информацию о кредитной карте и т.д. (Если бы компания действительно нуждалась в том, чтобы вы сделали что-то подобное, она бы предоставила инструкции вручную, чтобы вы могли быть уверены, что не работаете над поддельным веб-сайтом, предназначенным для кражи вашего пароля).
Поскольку образцы электронной почты от крупных компаний легко получить, эти фишинговые атаки могут выглядеть как обычная электронная почта. За исключением необычного призыва к действию, они часто оказываются не совсем правильными. Если что-то кажется странным в электронном письме от крупной компании, это, вероятно, так.
Остерегайтесь электронной почты из надежного источника, запрашивающего конфиденциальную информацию
Наиболее опасной формой такой атаки является фишинг копьев, при котором атакующий сам выбирает своей мишенью вас. Специальная фишинговая атака включает в себя подделку электронной почты, чтобы выглядеть так, будто она исходит от надежного источника - вашего босса, коллеги, банка или крупного клиента. (Возможно, злоумышленник даже завладел учетной записью отправителя.) Затем в письме запрашивается, чтобы вы сделали что-то, что раскрывает конфиденциальную информацию или еще хуже. В одном известном инциденте с подводным ловом сотрудники сетевой компании Ubiquiti Networks были одурачены на 46,7 миллионов долларов на счета, контролируемые злоумышленниками.
Остерегайтесь электронной почты, содержащей многочисленные орфографические и грамматические ошибки
Многие фишинговые атаки происходят из-за рубежа, и злоумышленники из других стран редко правильно пишут на русском. Поэтому независимо от того, от кого исходит сообщение или о чем оно вас просят, его написание, грамматика и заглавные буквы могут быть написаны с ошибками, скорее всего это мошенники. (Это еще одна причина, по которой важно писать внимательно при отправке важных сообщений электронной почты - если вы неаккуратны, получатель может подумать, что сообщение фальшивое).
Один из лучших способов обучения сотрудников об опасностях фишинга заключается в тестировании осведомленности о безопасности, которое включает отправку собственных фишинговых сообщений сотрудникам и выяснение того, кто на это «клюнет». Опять же, если вам нужна помощь, вы всегда можете обратиться к профессионалам.