Руководство по защите от фишинговых атак

На пути самосовершенствования в сфере цифровой безопасности вы можете столкнуться со злоумышленниками, которые будут пытаться подорвать ваши усилия. Когда злоумышленник отправляет на первый взгляд безобидную ссылку или электронное письмо (СМС, сообщение в мессенджере), но на самом деле там содержится что-то вредоносное, это называется «фишинг».

Фишинговая атака обычно осуществляется в форме сообщения, которое пытается убедить вас:

• перейти по ссылке,
• открыть документ,
• установить приложение на устройство
• ввести имя пользователя и пароль на сайте, который выглядит как подлинный.

Фишинговые атаки, как правило, направлены на то, чтобы обманом заставить вас выдать пароли или установить вредоносное ПО. После успешной атаки злоумышленники (фишеры) могут использовать вредоносное ПО для удаленного управления вашим устройством, кражи информации или слежки за вами.

Данное руководство поможет вам распознать фишинговые атаки и ознакомит с некоторыми практическими методами защиты от них.

Хотя в этом руководстве мы в основном говорим о фишинге с помощью электронной почты, те же методы применяются и ко звонкам, СМС или мессенджерам.

Типы фишинговых атак anchor link

Сбор паролей anchor link

Отправив вам ссылку на сайт-подделку, фишеры могут получить ваши пароли. Веб-адрес ссылки, указанной в сообщении фишера будет указывать на один сайт, но на самом деле приведет на другой. На компьютере вы можете увидеть адрес назначения ссылки, задержав над ней указатель мыши. Но и в этом случае вас можно ввести в заблуждение, если злоумышленник будет использовать похожие символы или наименования, отличающиеся от оригинальных на одну букву. Подобная ссылка приведет вас на сайт, который выглядит в точности как настоящий, скажем, Gmail или Dropbox. Мошеннические реплики сайтов зачастую выглядят почти как настоящие, что так и манит ввести свои учетные данные – логин и пароль. И если вы это сделаете, то отправите их напрямую злоумышленникам.

Поэтому перед вводом любого пароля взгляните на адресную строку браузера. Там будет указано настоящее доменное имя страницы. Если оно не совпадает с написанием необходимого сайта, ничего не вводите и закройте страницу! Помните о том, что наличие официального логотипа на сайте не является показателем подлинности сайта. Любой может скопировать и воспроизвести логотип и дизайн всего сайта на своей веб-странице и попытаться обмануть вас.

Чтобы ввести в заблуждение, некоторые фишеры используют адреса сайтов, которые похожи на популярные: https://wwwpaypal.com/ вместо https://www.paypal.com/. Или https://www.paypaI.com/ (с заглавной буквой “i” вместо строчной “L”) вместо https://www.paypal.com/.  Многие пользуются сервисами для сокращения ссылок, чтобы длинный адрес было удобнее продиктовать или записать. Но их можно использовать и для того, чтобы скрыть адреса вредоносных сайтов. Если вы получили короткую ссылку, например t.co из Twitter, попробуйте проверить ее на сайте https://www.checkshorturl.com/ и узнать, куда она ведет на самом деле.

Также не стоит доверять и адресу электронной почты в строке «Отправитель». Очень просто подделать электронные письма так, чтобы в них был указан ложный обратный адрес. А это значит, что зрительная проверка адреса не достаточна для подтверждения реальной личности отправителя сообщения.

Целевой фишинг (клонирование голоса, фишинг в СМС и прочие) anchor link

Большинство фишинговых атак берут своей массовостью. Злоумышленник рассылает сообщения сотням и тысячам людей и завлекает жертв ссылкой на интересное видео, важный документ, уведомлением о доставке или финансовых претензиях.

Но иногда фишинговые атаки бывают персонифицированными: злоумышленники используют уже известную им информацию о жертве. Это называется «целевой фишинг». Представьте, что вы получили письмо от вашего дяди Бориса, где сказано, что во вложении находятся фотографии его детей. Так как у Бориса действительно есть дети и похоже, что письмо отправлено с его адреса, вы открываете письмо. Во вложении находится PDF-файл. Когда вы его откроете, то, возможно, даже увидите фото детей Бориса, но также на ваше устройство будет незаметно установлено вредоносное приложение, которое может быть использовано для слежки за вами. Ваш дядя не отправлял данное письмо. Это сделал злоумышленник, который знает, что у вас есть дядя по имени Борис (а у него есть дети). Открытый вами PDF-документ запустил программу для чтения PDF и, используя известную уязвимость этой программы, также запустил вредоносный код . В дополнение к отображению содержимого PDF-документа на ваш компьютер было скачано и установлено вредоносное программное обеспечение. Оно может получить список ваших контактов, а также записывать видео с камеры и звук c микрофона вашего устройства.

Другой формой целевого фишинга является звонок по телефону (фишинг голосом), при котором злоумышленник выдает себя за конкретного человека, возможно, даже клонируя его голос при помощи искусственного интеллекта. Если голос звучит странно или собеседник торопит вас с подозрительными просьбами, например о деньгах, попросите его подтвердить свою личность другим способом (например, сообщить вам что-то известное только вам двоим или отправить сообщение с другого аккаунта).

Лучший способ защититься от фишинговых атак - никогда не переходить по ссылкам и не открывать вложения. Но этот совет не реалистичен для большинства людей. Ниже мы приводим несколько практических способов защиты от фишинга.

Как защитить себя от фишинговых атак anchor link

Обновляйте программное обеспечение anchor link

Фишинговые атаки зачастую используют ошибки в установленных у пользователя программах. Как только разработчики узнают об ошибке в ПО, они обычно выпускают обновление, исправляющее данную ошибку. А это значит, что в устаревшем программном обеспечении имеется достаточно известных ошибок, которые могут быть использованы злоумышленниками для установки собственных вредоносных программ. Своевременное обновление программного обеспечения существенно сокращает риск заражения вредоносными приложениями.

Используйте менеджер паролей с автозаполнением anchor link

Менеджеры паролей с автозаполнением логинов и паролей проверяют сайты, на которых необходимо использовать сохраненные пароли. И если человека еще можно обмануть и убедить ввести учетные данные аккаунта на сайте мошенников, то менеджер паролей провести не удастся. Если вы используете менеджер паролей (например, встроенный в браузер ), и он откажется вводить пароль на нужном вам сайте, то следует перепроверить, на том ли сайте вы находитесь. Будет еще лучше, если вы станете использовать случайно сгенерированные пароли. Это заставит вас использовать автозаполнение, что уменьшит вероятность ввода учетных данных на поддельных сайтах. Если у вас возникли сомнения, откройте страницу авторизации сайта из своего браузера, а не переходите по ссылке в сообщении.

Проверяйте адрес отправителя anchor link

Одним из способов убедиться в том, что письмо не несет в себе угрозу фишинга, является связь с предполагаемым отправителем письма по альтернативному каналу. Если письмо пришло от имени банка, не стоит сразу же открывать вложения и переходить по ссылке. Сначала позвоните в банк или зайдите на его сайт, написав адрес в браузере самостоятельно. Поступайте подобным образом и когда дядя Борис отправляет вам письмо с вложением. До открытия письма просто позвоните ему и уточните, не отправлял ли он фотографии своих детей. 

Открывайте подозрительные документы в Диске Google anchor link

Некоторые люди привыкли принимать файлы от неизвестных лиц. Например, журналисты часто получают документы от множества источников. И зачастую бывает затруднительно проверить являются ли документы Word, Excel или PDF вредоносными.

В таком случае не следует открывать документ на устройстве. Лучше загрузить его на Диск Google или на подобные сервисы, позволяющие открывать документы в браузере. Таким образом вы преобразуете документ в изображение или HTML-файл, что почти наверняка пресечет попытку установки вредоносного программного обеспечения на ваше устройство.

Если вы заинтересованы в изучении нового ПО и имеете достаточно свободного времени для установки и настройки новой операционной системы для чтения почты и работы с документами от неизвестных источников, существуют специально разработанные операционные системы, позволяющие ограничивать возможности вредоносных программ. Например, операционная система на базе Linux Tails автоматически стирает все изменения в системе при выключении. Qubes – другая система на базе Linux, которая разделяет приложения и запрещает их взаимодействие друг с другом, ограничивая таким образом возможности вредоносных программ. Обе операционные системы могут работать как на ноутбуках, так и на настольных компьютерах.

Также вы можете проверить подозрительные файлы и ссылки на сервисе VirusTotal – он просканирует их с помощью нескольких антивирусов и сообщит о результатах. Однако этот способ недостаточно надежен, так как антивирусы зачастую не выявляют новейшее вредоносные программы или целевые атаки. Но в любом случае это лучше, чем ничего. Учтите, что любой файл (или ссылка), отправленный на общедоступный сайт вроде VirusTotal или Диск Google, доступен любому сотруднику компании, а, возможно, и любому пользователю данного сайта, как в случае с VirusTotal. Если информация в файле конфиденциальна, то вам, скорее всего, необходим альтернативный способ.

Используйте универсальную двухфакторную аутентификацию (U2F) для авторизации на сайте anchor link

Для защиты от фишинговых атак некоторые сайты позволяют использовать специальное устройство (токен) с расширенными возможностями. Токен (также называемый «ключом») обмениваются информацией с браузером, определяя для каждого сайта соответствующую учетную запись. Этот способ называется универсальной двухфакторной аутентификацией (или U2F), потому что представляет собой стандартный запрос второго способа (фактора) аутентификации в дополнение к запросу пароля при входе. Достаточно как обычно ввести имя пользователя и пароль, после запроса подключить свой ключ к компьютеру или смартфону и нажать на кнопку для авторизации. Если вы вдруг оказались на фишинговом сайте, то браузер не станет использовать для входа данные, созданные для подлинного сайта. Если вы используете аппаратный ключ безопасности, получение фишером вашего пароля не поставит под удар вашу учетную запись. Один из производителей подобных ключей Yubico рассказывает о U2F более подробно.

Не следует путать U2F с понятием двухфакторной аутентификацией в целом. Сама двухфакторная аутентификация не гарантирует защиту от фишинга. Ключи доступа (passkeys) – это новый способ авторизации, который может защитить вас от фишинга. Следует использовать его, если сервис предлагает такую возможность. Ваш браузер будет знать, что ключ доступа предназначен для конкретного сайта, поэтому фальшивый сайт его не обманет.

Относитесь настороженно к инструкциям, присланным по электронной почте anchor link

Некоторые фишеры представляются в письмах сотрудниками отделов поддержки клиентов и просят предоставить пароли, позволить «специалисту по ремонту» удаленно подключиться к вашему компьютеру или отключить некоторые настройки безопасности на вашем устройстве. Подобные электронные письма часто имеют настойчивый тон и пытаются вызвать страх, чтобы обманом заставить вас что-то сделать.

Они могут объяснять необходимость данных действий, например, переполненностью вашего почтового ящика или тем, что ваш компьютер взломали хакеры. Слепое следование подобным указаниям мошенников приведет к плачевным последствиям. Нужно проявлять особенную бдительность перед передачей кому-либо технических данных или исполнением инструкций и не делать этого, пока вы не будете абсолютно уверены в подлинности источника таких запросов. Большинство компаний не будут связываться напрямую с вами для устранения неполадок. В лучшем случае они могут отправить вам уведомление о переполнении доступного пространства для пользовательских данных или о предстоящих изменениях, а также дать ссылку на общедоступную документацию.

Если у вас вызывает подозрение полученное письмо (ссылка), не открывайте его (не переходите по ссылке), пока не убедитесь в его безопасности и пока не минимизируете возможный урон с помощью приведенных выше рекомендаций.

Отключите автозагрузку изображений из сети в своем почтовом клиенте anchor link

Изображения внутри письма могут использоваться для отслеживания того, кто и когда его открыл. Вы наверняка сталкивались с такими изображениями в безобидных рекламных письмах, но они могут быть использованы и для фишинга. Поэтому, вместо автоматической загрузки изображений при открытии письма, лучше изменить настройки в приложении почтового клиента или в онлайн-клиенте (например, Outlook или Gmail соответственно) на «Спрашивать, нужно ли показать изображения». Если эта опция активирована, для показа картинок вам нужно будет вручную подтверждать загрузку изображений для каждого сообщения (также вы можете разрешить показ для всех писем от определенного отправителя). Некоторые почтовые приложения могут предлагать другие меры по обеспечению конфиденциальности, например приложение Mail от Apple по умолчанию загружает все изображения сразу после получения письма, но делает это через свои серверы.