Фішинг — це різновид кіберзлочинності, у якій зловмисники видають себе за надійне інтернет-джерело аби отримати особисту інформацію: імена користувачів, паролі, номери кредитних карток тощо.

Така атака може приймати різні форми, і хоча найчастіше відбувається через електронну пошту, існує багато різних видів фішингу, про які слід знати аби захиститися.

Фішинг електронної пошти

Це найпоширеніший тип фішингу, за якого хакери видають себе за законну особу чи організацію та масово надсилають електронні листи на велику кількість адрес.

Їх мета полягає в тому, щоб змусити жертву виконати певну дію, наприклад натиснути шкідливе посилання, яке веде на підроблену сторінку входу. Після введення своїх облікових даних жертви, шахрай отримує доступ до особистої інформації.

Така ситуація сталася з медичним закладом США Elara Caring у 2020 році. Після несанкціонованого вторгнення в комп’ютер двох співробітників, зловмисник отримав доступ до облікових записів електронних пошт компанії. Це призвело до розкриття особистих даних понад 100 000 пацієнтів, включаючи імена, дати народження, фінансову та банківську інформацію, номери соціального страхування тощо. Зловмисник мав несанкціонований доступ протягом цілого тижня, перш ніж Elara Caring змогла повністю локалізувати витік даних.

Фішинг

Замість використання описаного вище методу, фішинг передбачає надсилання шкідливих електронних листів певним особам в компанії. Найчастіше такі листи більш персоналізовані аби більше нагадувати реальне звернення.

Такої атаки зазнав керівник компанії Armorblox у вересні 2019 року. Він отримав електронний лист із вкладенням, яке виглядало як внутрішній фінансовий звіт, який привів його до підробленої сторінки входу в Microsoft Office 365. На фальшивій сторінці входу вже було попередньо введено ім’я користувача керівника, і це ще більше нагадало реальну сторінку. В результаті зловмисники отримали доступ до персональних даних СЕО компанії та могли надавати керівні накази від його імені.

Китобійний фішинг

Такий вид фішингу націлений на керівників вищої ланки, або «велику рибу», звідси й назва. Тобто основні цілі — СЕО, фінансовий директор, топ-менеджери вищих рівнів, які мають доступ до більш конфіденційних даних, ніж працівники. Часто ці електронні листи використовують ситуацію високого тиску, щоб зачепити своїх жертв, наприклад передають заяву про компанію, проти якої подано позов. Це спонукає одержувачів клацати зловмисне посилання або вкладення аби отримати більше інформації.

Такий вид фішингу зазнав співзасновник австралійського хедж-фонду Levitas Capital у листопаді 2020 року. Він отримав електронний лист із підробленим посиланням на Zoom. Це завантажило зловмисне програмне забезпечення в корпоративну мережу хедж-фонду та мало не призвело до збитків у розмірі 8,7 мільйона доларів через шахрайські рахунки-фактури. Зрештою зловмисник отримав лише 800 000 доларів, але подальша репутаційна шкода призвела до втрати найбільшого клієнта хедж-фонду, і в результаті компанія закрилася.

Смішинг

SMS-фішинг, або смішинг, використовує текстові повідомлення, а не електронну пошту для здійснення фішингової атаки. Як це діє? Зловмисники надсилають текстові повідомлення з нібито достовірних джерел, наприклад, перевірених компаній із шкідливим посиланням. Посилання можуть бути замасковані під код купона або пропозицію щось виграти.

У вересні 2020 року видання Tripwire повідомило про кампанію, яка використовувала поштове відділення США (USPS) під видом маскування. Зловмисники розсилали SMS-повідомлення, в яких повідомляли одержувачам про необхідність перейти за посиланням, щоб переглянути важливу інформацію про майбутню доставку USPS. Зловмисне посилання фактично спрямовувало жертв на різні веб-сторінки, призначені для викрадення облікових даних відвідувачів Google.

Вішинг

Вішинг — також відомий як голосовий фішинг. Атака схожа на смішинг, оскільки телефон використовується як засіб атаки, але замість текстового повідомлення використовують дзвінок. Найчастіше він передає автоматичне голосове повідомлення від банку або державної установи.

Зловмисники можуть стверджувати, що ви заборгували велику суму грошей або на вашій кредитній картці є підозрілі дії, які потрібно негайно виправити. Для цього жертві необхідно надати особисту інформацію, наприклад облікові дані кредитної картки.

У вересні 2020 року організація охорони здоров’я Spectrum Health System повідомила про атаку вішинга, під час якої пацієнти отримували телефонні дзвінки від осіб, які видавали себе за співробітників. Зловмисники мали на меті отримати особисті дані пацієнтів, включаючи ідентифікаційні номери учасників та інші особисті дані. 

Компрометація корпоративної електронної пошти

В такому виді фішингу зазвичай ціллю є СЕО компанії. Зловмисник отримує доступ до корпоративної електронної пошти когось з керівної ланки, наприклад, генерального директора. Маючи зламаний обліковий запис, вони надсилають електронні листи співробітникам організації, видаючи себе за СЕО компанії, з метою ініціювання шахрайського банківського переказу або отримання грошей через підроблені рахунки-фактури.

Так, компанія Інкі повідомила про шахрайську атаку генерального директора на австрійську аерокосмічну компанію FACC у 2019 році. Атака включала фішинговий електронний лист, надісланий бухгалтеру нібито від генерального директора FACC. Електронна пошта передавала інформацію про необхідне фінансування для нового проєкту, і бухгалтер несвідомо перевів 61 мільйон доларів на шахрайські іноземні рахунки.

Evil Twin Phishing

"Злий двійник" — атака через заміну легітимної Wi-Fi-мережі на шкідливу копію. В результаті людина підключається до фальшивої мережі та на етапі авторизації вводить дані, які відправляються хакеру. Як тільки зловмисник отримає ці дані, він зможе увійти в мережу, взяти її під контроль, відстежувати незашифрований трафік і знаходити способи викрадення конфіденційної інформації.

У вересні 2020 року компанія Nextgov повідомила про витік даних у внутрішніх системах Міністерства внутрішніх справ США. Хакери використовували злий подвійний фішинг аби викрасти унікальні облікові дані та отримати доступ до мереж WiFi-відділу. Подальше розслідування показало, що департамент не працював у захищеній бездротовій мережевій інфраструктурі, а політика безпеки не застосовувала суворі заходи автентифікації користувачів. Все це зробило атаку можливою.

Фішинг пошукових систем

Фішинг пошукових систем полягає в тому, що хакери створюють власний веб-сайт і індексують його в законних пошукових системах. Ці веб-сайти часто пропонують продукти або послуги за привабливими цінами аби заманити жертв. Натиснувши на таке посилання жертві ймовірно запропонують зареєструвати обліковий запис або ввести інформацію про свій банківський рахунок для завершення покупки.

Згідно з даними Google у 2020 році щодня виявлялося 25 мільярдів спам-сторінок. За даними компанії Wandera у 2020 році новий фішинговий сайт запускається кожні 20 секунд. 

Поради щодо виявлення та запобігання фішинговим атакам

Варто запам'ятати основні попереджувальні знаки, що можуть вказувати на фішинг:

• Електронний лист із проханням підтвердити особисту інформацію — якщо ви отримали електронний лист, який здається достовірним, але несподіваним, це вагомий знак того, що це ненадійне джерело.
• Повідомлення про “напружену” ситуацію — якщо здається, що повідомлення створене для того аби змусити вас панікувати та негайно вжити заходів, будьте обережні, адже це поширений маневр серед кіберзлочинців.
• Підозрілі посилання або вкладення — у разі отримання несподіваного повідомлення з проханням відкрити невідоме вкладення, ніколи не робіть цього, якщо ви не впевнені в надійності джерела.
• Наступна найкраща лінія захисту від усіх типів фішингових атак — використовувати надійний антивірус.