При фишинговой атаке злоумышленники пытаются обманом получить у вас чувствительную информацию. Их цель — украсть логины и пароли, данные кредитных карт и чувствительную корпоративную информацию. Также злоумышленники могут заразить компьютеры вредоносными программами.
Фишинг — это попытка кражи данных через подключенные устройства. Атака может быть проведена вручную или с помощью инструмента, который автоматизирует процесс. Это также может быть комбинация: скрипт прокладывает дорогу хакеру, который завершает атаку вручную.
Впервые термин «фишинг» появился в 1994 г., когда группа молодых людей вручную получала номера кредитных карт от ничего не подозревающих пользователей AOL. В 1995 г. для автоматизации процесса группировка создала программу AOHell.
С тех пор хакеры продолжают изобретать новые способы получать информацию у всех, кто подключен к интернету. Было создано несколько программ и типов вредоносного ПО, которое используется по сей день. Некоторые из этих инструментов были разработаны с единственной целью — тестирования на проникновение, или «взлома по разрешению». Однако, если такой инструмент имеется, злоумышленники могут применять его в преступных целях.
За годы, прошедшие с тех пор, злоумышленники сумели создать вредоносные программы специально для фишинга. Например, PhishX — инструмент для кражи банковских данных. С помощью PhishX злоумышленники создают фальшивый веб-сайт банка, похожий на легитимный. Они настраивают страницу со своим номером телефона и адресом электронной почты. Нажав на кнопку «Связаться с нами» вы напрямую связываетесь со злоумышленниками.
Пример инструмента для фишинга через электронную почту, который изначально создавался для тестирования на проникновение, — приложение Phishing Frenzy. Phishing Frenzy оказалось очень удобным в использовании, и его применяют многие хакеры.
Еще один инструмент для фишинга — Swetabhsuman8. Он позволяет злоумышленникам создать поддельную страницу регистрации для взлома аккаунтов Instagram. Если вы попытаетесь войти в систему с этой страницы, злоумышленники получат ваш идентификатор пользователя и пароль.
Чтобы завладеть вашими данными, злоумышленники также создают колл-центры, подключенные к номеру телефона, который они указывают в своих письмах, СМС или на поддельных веб-сайтах.
Чтобы получить максимальную выгоду, современные киберпреступники-вымогателинацеливаются на крупные предприятия. Они, как правило, сначала постепенно захватывают сеть жертвы, сегмент за сегментом, а затем начинают атаку с помощью программы-вымогателя. Этот тип многоэтапной атаки часто начинается с единственного фишингового письма.
Хотя существует много разных фишинговых атак, фишинг через электронную почту остается самым распространенным и узнаваемым. Этот метод атаки усовершенствовался, получив несколько новых вариантов: направленный фишинг (spear phishing), уэйлинг (whaling) и атаки «с лазерным прицелом» (laser-guided attacks). Фишинговые атаки также распространились за пределы электронной почты на другие платформы: СМС, социальные сети и прочие.
Типы фишинговых атак
Хакеры часто используют онлайн-среду с преступными намерениями. Чтобы красть чувствительные данные, они создают поддельные веб-сайты или фальшивые страницы входа в систему. Кроме получения номеров ваших кредитных карт, доступа к банковским счетам и к учетным данным соцсетей, злоумышленники нацеливаются на ваших друзей или коллег в социальных сетях. Когда преступник получает доступ к вашему аккаунту в социальной сети, он из него отправляет прямые фишинговые сообщения вашим подписчикам, друзьям и коллегам. За последнее десятилетие сильно выросла популярность социальных сетей, поэтому этот метод стал очень распространенным
Есть много способов защититься от него. Первое и самое важное — соблюдать осторожность.
Во-вторых, нужно защитить свои учетные записи. Символов в пароле должно быть не менее двадцати, а лучше больше. Вам не обязательно использовать в пароле все четыре варианта (прописные и строчные буквы, цифры, символы). Два или три из этих варианта достаточно, но при создании нового пароля не копируйте старый. Многие люди испытывают сложности при запоминании пароля. Создайте один длинный пароль, который вы запомните. Остальные сохраните в менеджере паролей, например, LastPass или Password Safe.
В-третьих, и это очень важно, для всех ваших учетных записей нужно включить двухфакторную аутентификацию (2FA). Даже если единственный предлагаемый на сайте вариант — получать СМС с одноразовым кодом доступа, это все равно лучше, чем просто пароль.
Хотя Национальный Институт стандартов и технологий (NIST) рекомендует отказаться от использования SMS-сообщений в двухфакторной аутентификации. Оптимальное решение — использовать специальные приложения для создания одноразовых паролей, например, Google Authenticator, Microsoft Authenticator, LastPass Authenticator и т. п. Проверьте, доступны ли такие способы аутентификации в вашей учетной записи.
Чтобы ничего не упустить, используйте программные инструменты: межсетевые экраны, антивирусы, защиту от вредоносных программ и антифишинг. Продуманно выбирайте браузер. Может ли он защитить от попыток фишинга? Есть ли возможность добавлять плагины? Если нет, то лучше перейти на более безопасный браузер.
Кроме того, организации также должны следовать следующим рекомендациям: