ИП-шники и не догадывались: ваши коллеги уже на крючке фишинга

📊 ZEL-Услуги ➡ Инфоблок ➡ Статьи

Всплеск фишинговых атак произошёл во время ажиотажа вокруг коронавирусных новостей этой весной. Буквально оказались в опасности ИП-шники и их простые сотрудники, которые имеют доступ к рабочим компьютерам, CMS сайтов, корпоративным устройствам и сервисам.

→ Советы IT-ветерана по обнаружению мошенников среди ИТ-подрядчиков в условиях COVID-19

Научитесь в несколько шагов защищать свой бизнес, используя критические стратегии противодействия цифровым мошенникам.

Владельцы небольшого бизнеса, неопытные предприниматели, низкодоходные компании, благотворительные организации — теперь это основная «пища» кибермошенников.

Почему в опасности ИП и какие конкретно угрозы ожидать?

Поисковая система Google фиксирует увеличение фишинговых сайтов на 350% за период январь-май 2020-го года (более 522 000 ресурсов). Угроза подлинная — 22% опрошенных уже попались.

⚠ Любой вменяемый айтишник сейчас прекрасно понимает — без меры для защиты себя, бизнеса и персональных данных можно здорово встрять.

Фишинговый сайт — это быстро развёрнутый злоумышленниками интернет-ресурс в целях кражи информации. В некоторых случаях они работают в паре с вредоносными файлами, которые должны попасть на компьютер или телефон жертвы при посещении фишингового веб-сайта.

Копирование сайта — один из популярных методов обогащения за счёт ваших клиентов.

Пример обычной угрозы ИП из-за фишинга

Киберпреступник создаёт копию сайта вашей компании (интернет-магазина, сервиса) с подставными реквизитами. Всё в точности похоже на реальный ресурс.

Мошенник уводит ничего не подозревающих ваших клиентов и принимает от них платежи вместо вас. Потенциальная жертва также может вводить реквизиты банковской карточки с CVV/CVC-кодом, буквально отдавая злоумышленнику все ценные данные для кражи средств.

Угроза ИП очевидна — помимо потери потенциальной прибыли, с претензиями придётся столкнуться вам, доказывая свою непричастность. Такие клиенты уже не вернутся, имея столь негативный опыт.

Пример фишингового сайта, дублирующего официальный сайт «Госуслуги» для незаконного сбора персональных данных.

В большинстве же ситуаций загруженный на компьютер или телефон вредоносный код запускает процесс шифрования данных жертвы. На экране появляется требование заплатить выкуп для разблокировки. Иногда шифрование носит временный характер, например, пока не закончится копирование информации с компьютера.

Извлечём урок: не доверяйте своим подрядчикам ценные пароли и доступы, если не уверены в их способности противостоять фишинговым атакам.

Критические стратегии защиты от фишинговой угрозы ИП

Чтобы защитить себя и свой бизнес от фишинговых веб-сайтов, вам необходимо применять многосторонний подход. Запомните эти эффективные практики.

1. Обучите сотрудников

Они работают с данными вашей компании? Расскажите им о рисках фишинговых сайтов. Сделайте новостную рассылку или организуйте тренинг. Найдите способ поговорить со своими коллегами так, чтобы они знали о мерах защиты общего дела от злоумышленников.

2. Запретите переходить по ссылкам в письмах

Наймите системного администратора. Он сможет настроить корпоративную почту так, чтобы переходить из писем можно было только на разрешённые интернет-ресурсы.

Не нажимайте на ссылки в письмах от неизвестных отправителей! Киберпреступники используют фишинговые электронные письма для направления пользователей на свои сайты. При любых сомнениях, свяжитесь с автором письма и убедитесь, что ссылка безопасна.

3. Инвестируйте в высокотехнологичную защиту

Используйте средства кибербезопасности. В самом деле, на дворе 2020-й год — даже в маленьких компаниях давно используют централизованную антивирусную защиту.

Это инструмент блокировки вредоносных веб-сайтов и приложений внутри всей корпоративной сети. Он не даёт вашим компьютерам выполнять известные алгоритмы и защищают сеть превентивными методами.

Историй жертв фишинговых сайтов так много, что в новости они попадают регулярно.

4. Проверяйте ваш фирменный сайт на копии

Чем длиннее адрес вашего сайта, тем проще его подделать. Крупные предприниматели и ИП для защиты персональных данных регистрируют на себя все похожие домены с учётом вероятных ошибок в написании. С таких «ошибочных» адресов они делают редиректы на свой основной сайт.

💡 Например, наберите в адресной строке браузера «microsft.com» с опечаткой и вы попадёте на «microsoft.com» — способ эффективный.

Мера недорогая для небольших компаний с редкими непопулярными адресами. Хотя, например, «Яндекс» тоже инвестирует в такую защиту от мошенников. Но при переходе на «yandeks.ru» вы попадаете на продажу домена — очевидно, цену владелец гнёт слишком большую даже для такого магната. А вот с «yandx.ru» переадресация уже правильная.

5. Научитесь и научите сотрудников опознавать фишинг

Будьте в курсе признаков фишинг-сайта. Они могут включать в себя ошибочные названия компаний или благотворительных организаций, а также формы с запросом информации, которую вы обычно не предоставляете.

⚠ Например, фишинговый веб-сайт, пытающийся украсть банковские данные, может запросить имя пользователя, пароль, CVV/CVC- и PIN-код. Реальный веб-сайт банка запрашивает только ваше имя пользователя и пароль.

Киберпреступник — это не крутой парень в очках, как все привыкли думать, а незаурядный мошенник, который применяет общедоступные схемы обмана.

***

Теперь вы знаете, какие цифровые опасности ИП распространяются в интернете последние месяцы. И узнали, что посоветовать своей команде, как им стать внимательнее по отношению к веб-сайтам, с которыми они работают.

Работайте со специалистами по кибербезопасности, чтобы избежать ИТ-инцидентов и простоев бизнеса. Защитите корпоративную сеть, ведь от неё в конечном итоге зависят ваши клиенты, деньги, данные, бизнес и репутация.

Получите консультацию у наших экспертов для помощи в экстренных ситуациях (уже попались на фишинговые уловки и получили блокировку компьютера/телефона), либо хотите сделать первоклассную превентивную защиту офиса от внешних ИТ-угроз.