Фишинг — это разновидность киберпреступности, в которой злоумышленники выдают себя за надежный интернет-источник для получения личной информации: имена пользователей, пароли, номера кредитных карт и т.д.

Такая атака может принимать различные формы, и хотя чаще всего происходит по электронной почте, существует много разных видов фишинга, о которых следует знать, чтобы защититься.

Фишинг электронной почты

Это самый распространенный тип фишинга, при котором хакеры выдают себя законным лицом или организацией и массово посылают электронные письма на большое количество адресов.

Их цель состоит в том, чтобы заставить жертву выполнить определенное действие, например нажать вредоносную ссылку, ведущую на поддельную страницу входа. После ввода своих учетных данных жертвы, мошенник получает доступ к личной информации.

Такая ситуация произошла с лечебным учреждением США Elara Caring в 2020 году. После несанкционированного вторжения в компьютер двух сотрудников злоумышленник получил доступ к учетным записям электронных почт компании. Это привело к раскрытию личных данных более 100 000 пациентов, включая имена, даты рождения, финансовую и банковскую информацию, номера социального страхования и т.д. Злоумышленник имел несанкционированный доступ в течение целой недели, прежде чем Elara Caring смогла полностью локализовать утечку данных.

Фишинг

Вместо использования описанного выше метода, фишинг предполагает отправку вредоносных электронных писем определенным лицам в компании. Чаще всего такие письма более персонализированы, чтобы больше напоминать реальное обращение.

Такую атаку подверг руководитель компании Armorblox в сентябре 2019 года. Он получил электронное письмо с вложением, которое выглядело как внутренний финансовый отчет, что привело его к поддельной странице входа в Microsoft Office 365. На фальшивой странице входа уже было предварительно введено имя пользователя руководителя, что еще больше добавило маскировку мошеннической веб-страницы. В результате злоумышленники получили доступ к персональным данным СЕО компании и могли рассылать письма от его имени.

Китобойный фишинг

Такой вид фишинга нацелен на руководителей высшего звена или «большую рыбу», отсюда и название. То есть основные цели — СЕО, финансовый директор, топ-менеджеры высших уровней, имеющие доступ к более конфиденциальным данным, чем работники. Часто эти электронные письма используют ситуацию высокого давления, например, передают заявление о компании, против которой подан иск. Это побуждает получателей кликнуть на вредоносную ссылку или вложения, чтобы получить больше информации.

Такой атаке подвергся соучредитель австралийского хедж-фонда Levitas Capital в ноябре 2020 года. Он получил электронное письмо с поддельной ссылкой на Zoom, которое загрузило вредоносное программное обеспечение в корпоративную сеть хедж-фонда и едва не привело к убыткам в размере 8,7 миллиона долларов из-за мошеннических счетов-фактур. В конце концов злоумышленник получил всего 800 000 долларов, но последующий репутационный ущерб привел к потере крупнейшего клиента хедж-фонда, что заставило их окончательно закрыться.

Смешинг

SMS-фишинг, или смешинг, использует текстовые сообщения, а не электронную почту для атаки. Как это работает? Злоумышленники посылают текстовые сообщения из якобы достоверных источников (например, проверенных компаний), содержащих вредоносные ссылки. Ссылки могут быть замаскированы под код купона или предложение выиграть что-то вроде билетов на концерт.

В сентябре 2020 года издание Tripwire сообщило о кампании, которая использовала почтовое отделение США (USPS) в качестве маскировки. Злоумышленники рассылали SMS-сообщения, в которых сообщали получателям о необходимости перейти по ссылке, чтобы просмотреть  информацию о предстоящей доставке USPS. Злонамеренная ссылка фактически направляла жертв на различные веб-страницы, предназначенные для похищения учетных данных посетителей Google.

Вишинг

Вишинг — также известный как голосовой фишинг — похож на смешинг, поскольку телефон используется в качестве атаки, но вместо текстового сообщения используют телефонный звонок. Чаще он передает автоматическое голосовое сообщение от того, что должно выглядеть как законное учреждение, например банк или государственное учреждение.

Злоумышленники могут утверждать, что вы должны большую сумму денег или на вашей кредитной карте есть подозрительные действия, которые нужно немедленно исправить. Для этого жертве необходимо предоставить личную информацию, например учетные данные кредитной карты.

В сентябре 2020 года организация здравоохранения Spectrum Health System сообщила об атаке вишинга, во время которой пациенты получали телефонные звонки от лиц, выдававшихся за сотрудников. Цель злоумышленников — получить личные данные пациентов, включая идентификационные номера участников и другие личные данные. 

Компрометация корпоративной электронной почты

В таком виде фишинга обычно целью является СЕО компании. Злоумышленник получает доступ к деловой электронной почте кого-либо из руководящего звена, например, генерального директора. Имея сломанную учетную запись в своем распоряжении, они посылают электронные письма сотрудникам организации, выдавая себя за генерального директора, с целью инициирования мошеннического банковского перевода или получения денег через поддельные счета-фактуры.

Так, компания Инки сообщила о мошеннической атаке генерального директора на австрийскую аэрокосмическую компанию FACC в 2019 году. Эта атака включала фишинговое электронное письмо, направленное бухгалтеру, якобы от генерального директора FACC. Электронная почта передавала информацию о необходимом финансировании для нового проекта и бухгалтер бессознательно перевел 61 миллион долларов на мошеннические иностранные счета.

Evil Twin Phishing

"Злой двойник" — атака через подмену легитимной Wi-Fi-сети на сеть-копию. В результате человек подключается к вредоносной сети и на этапе авторизации вводит данные, которые отправляются хакеру.  Как только злоумышленник получит эти данные, он сможет войти в сеть, взять под контроль, отслеживать незашифрованный трафик и находить способы похищения конфиденциальной информации и данных.

В сентябре 2020 года компания Nextgov сообщила об утечке данных во внутренних системах Министерства внутренних дел США. Хакеры использовали злой двойной фишинг, чтобы украсть уникальные учетные данные и получить доступ к сетям WiFi отдела. Дальнейшее расследование показало, что департамент не работал в защищенной беспроводной сетевой инфраструктуре, а сетевая политика не гарантировала применение строгих мер проверки подлинности пользователей.

Фишинг поисковых систем

Фишинг поисковых систем состоит в том, что хакеры создают свой сайт и индексируют его в законных поисковых системах. Эти веб-сайты часто предлагают продукты или услуги, чтобы заманить жертв. Нажав на такую ссылку жертве предложат зарегистрировать аккаунт или ввести информацию о своем банковском счете, чтобы завершить покупку.

В 2020 году Google сообщал, что ежедневно обнаруживалось 25 миллиардов спам-страниц. Кроме того, в 2020 году Wandera сообщила, что новый фишинговый сайт запускается каждые 20 секунд. Это означает, что ежеминутно в поисковых системах появляются три новых вредоносных сайта.

Советы по выявлению и предотвращению фишинговых атак

Следует запомнить основные предупреждающие знаки.

• Электронное письмо с просьбой подтвердить личную информацию. Если вы получили электронное письмо, которое кажется достоверным, но неожиданным, это весомый знак того, что это ненадежный источник.
• Сообщение о "напряженной" ситуации. Если кажется, что сообщение создано для того, чтобы заставить вас паниковать и немедленно принять меры, будьте осторожны – это распространенный маневр среди киберпреступников.
• Подозрительные ссылки или вложения: если вы получили неожиданное сообщение с просьбой открыть неизвестное вложение, никогда не делайте этого, если вы не уверены в надежности источника.
• Следующая лучшая линия защиты от всех типов фишинговых атак – убедиться, что вы оснащены надежным антивирусом.