С развитием технологий, несущих благо для всего человечества и бизнеса, в том числе – участились случаи незаконного вмешательства в деятельность человека и компаний посредством программного обеспечения. В данной статье от Портала PRC.TODAY вы узнаете какие виды атак используют злоумышленники для получения необходимой для них информации, как они это делают и каким образом можно защитить себя и свою компанию от подобного вмешательства и кражи конфиденциальной информации.
Фишинговые атаки на электронную почту стали основной причиной утечки данных и одной из самых опасных угроз безопасности для компаний. В официальном документе, опубликованном Службой безопасности корпоративного почтового ящика Китая, говорится, что в 2019 году было получено 34,43 миллиарда фишинговых писем, что на 68,5 процента больше, чем в 2018 году. В другом отчете Федерального бюро расследований США (ФБР) говорится что с июня 2016 года по июль 2019 года компании в 178 странах мира и США, в том числе, понесли огромные убытки на сумму более $ 26 миллиардов.
Во время COVID-19 многие компании перешли на удаленную работу и теперь больше, чем когда-либо, в значительной степени полагаются на электронную почту. По мере роста возможностей для атак традиционные фишинговые электронные письма (рассылаемые большой группе случайных получателей) уступили место более изощренным атакам, таким как целевой фишинг или китобойный поиск конкретных целей.
Учитывая, что 30% фишинговых писем могут обходить меры безопасности по умолчанию, а еще 30% из них открываются целевыми пользователями, что вы можете сделать, чтобы защитить свою компанию? В этой статье мы познакомим вас с основными характеристиками фишинговых писем и рисками, которые они представляют, а также предложим некоторые эффективные решения для защиты от фишинговых писем и снижения связанных с ними рисков для компаний.
Что такое фишинговая почта и какие риски она несёт?
Фишинг – популярный метод для кибер-злоумышленников, используемый для доставки вредоносных программ или кражи учётных данных пользователя, побуждая жертв открыть одно вредоносное вложение или перейти по ссылке, которая тайно установит вредоносную полезную нагрузку или украдет пользовательское имя и пароль для входа либо другую конфиденциальную информацию. Которая обычно это отправная точка для дальнейших атак или кибер-вторжений. Отправитель фишингового электронного письма обычно выдает себя за известное лицо или компанию с хорошей репутацией, чтобы заставить получателя щёлкнуть ссылку или открыть вложение.
Схемы фишинга обычно представляют собой массовые рассылки неспецифическим целям, но существуют и другие типы фишинговых писем, которые отправляются определенным или выбранным целям, например целевой фишинг и китобойный промысел (также называемый мошенничеством со стороны руководителей). Целевой фишинг означает, что кибер-злоумышленник может провести небольшое исследование и узнать информацию об объекте с веб-сайта компании, социальных сетей, финансовых отчётов или другой общедоступной информации в Интернете, а затем настроить электронное письмо и сделать его более легитимным к выбранной конкретной цели. Точно так же китобойный промысел это форма целевого фишинга, нацеленного на «китов», находящихся на вершине пищевой цепи. Целями китобойного промысла являются генеральный директор, финансовый директор и другие руководители высшего звена, и этот вид атаки является большим проектом для кибер-злоумышленников, поскольку он запланирован на определенный период времени – могут пройти месяцы, прежде чем кибер-злоумышленник начнёт «последний шаг атаки». Неудивительно, что ущерб от китобойного промысла намного больше, чем ущерб от обычных фишинговых атак по электронной почте.
Как правило, фишинговые почтовые атаки вызывают следующие риски безопасности:
- Утечка учётных данных для входа – большинство фишинговых писем побуждают жертву войти на поддельную (но которая кажется законной) веб-страницу, чтобы украсть имя пользователя и пароль жертвы. Украденные учётные данные для входа будут затем использоваться для другого раунда атаки, например, для входа в почтовый ящик, чтобы проверить исторические сообщения электронной почты, чтобы определить любую возможную цель с высокой стоимостью, или для входа в систему для кражи другой конфиденциальной информации.
- Финансовые потери – злоумышленник может использовать сниффер или сниффер-атаку — получить доступ ко всем электронным письмам жертвы в течение длительного периода, чтобы создать полную картину организационной структуры компании и назначения ролей, а также состояния текущих проектов или бизнеса, а затем подделать фишинговые письма с целью побудить финансовых сотрудников перевести деньги на конкретные проекты или предоставить финансирование в «нужное» время, например, на этапе закрытия проекта. Злоумышленник также может использовать фишинговую почту для доставки программы-вымогателя для шифрования данных пользователя с целью получения выкупа.
- Репутационный ущерб – почтовый ящик жертвы может быть использован злоумышленниками для рассылки нежелательной почты или фишинговых писем всем контактам, включая деловых партнёров или клиентов. Это приведёт к путанице, недопониманию, затруднению и, в конечном итоге, нанесёт ущерб репутации компании, что в дальнейшем может привести к потере клиентов. Проще говоря, такие атаки снизят уверенность клиента в том, что он доверяет компании, которая не может защитить финансовую и личную информацию своих клиентов.
Какие действия вы можете предпринять, чтобы защитить свою компанию от фишинговых писем?
Прежде чем искать решения по борьбе с фишинговыми атаками на электронную почту, компания должна задать своим сотрудникам несколько вопросов:
- Щелкают ли сотрудники по ссылкам или открывают вложения в этих письмах?
- Сколько времени требуется вашей ИТ-команде, чтобы узнать, была ли взломана учётная запись?
- Вы знаете, кто из ваших сотрудников с большей вероятностью откроет такие электронные письма?
Ответы на эти вопросы имеют отношение к способности компании обнаруживать возможные угрозы безопасности и определять наиболее уязвимых сотрудников для фишинговых атак по электронной почте. Без этих ответов компания не может разработать соответствующее решение для предотвращения или снижения рисков, связанных с фишинговыми письмами.
Наконец, мы считаем, что следующие три важных действия помогут вашей компании повысить безопасность данных и защитить себя от фишинговых атак в Китае и по всей Азии.
I. Разверните одну систему электронной почты с расширенными функциями защиты от незащищенных писем.
Способность обнаруживать и изолировать вредоносные фишинговые сообщения электронной почты представляет собой серьёзную проблему как с технической, так и с управленческой стороны; однако будет полезна система обслуживания электронной почты бизнес-класса со встроенными расширенными функциями безопасности для защиты от фишинговых писем. Например, Microsoft Defender для Office 365 (ранее называвшийся Office 365 Advanced Threat Protection) может обеспечить дополнительный уровень защиты для вложений электронной почты или ссылок внутри почты с помощью функций «безопасных вложений» и «безопасной ссылки». Защитник про-сканирует ссылку и определит, безопасна она или нет, прежде чем перенаправить пользователя на реальный веб-сайт, как только пользователь щёлкнет ссылку внутри сообщения, и заблокирует доступ с предупреждением для пользователя, если это известная вредоносная ссылка.
Точно так же функция безопасного вложения сначала сканирует вложение в электронном письме, и, если вредоносная программа подтверждается, вложение будет заменено уведомлением для пользователя.
II. Платформа управления идентификацией и оценкой (IAM)
IAM — это структура политик и инструментов, используемых ИТ-отделом для обеспечения надлежащего уровня доступа сотрудников к активам компании. IAM обычно включает следующие четыре основные функции:
В качестве основных компонентов IAM очень важны многофакторная аутентификация (MFA) и обнаружение аномальной активности при входе в систему, которые могут быть наиболее эффективными вариантами против фишинговых атак по электронной почте. Мы предоставляем более подробную информацию ниже.
Включите многофакторную аутентификацию для повышения защиты личности
Большинство MFA основано на сочетании следующих трёх типов информации для аутентификации:
- То, что вы знаете – например, пароль или PIN-код;
- Вещи, которые у вас есть – например, один токен или смартфон, способный генерировать или получать одноразовый код; а также
- То, что вы есть – например, биометрическая информация, такая как ваше лицо, радужная оболочка, сетчатка, отпечаток пальца или голос.
Пароли могут быть легко взломаны, и одна из основных целей фишинговых писем – украсть учётные данные пользователя, заманив их для входа на поддельный веб-сайт. Развертывание MFA предотвратит проникновение злоумышленника в систему с украденным именем пользователя и паролем, поскольку их попытка получить доступ к скомпрометированной учётной записи будет предотвращена на этапе вторичной проверки.
Получите ИИ, чтобы отмечать подозрительную активность при входе в систему в вашей организации в режиме реального времени
Важно, чтобы ваша ИТ-команда была предупреждена о подозрительных действиях при входе в систему в режиме реального времени, чтобы как можно скорее отреагировать на возможное нарушение кибер-безопасности и снизить риски безопасности. Эта функция позволяет ИТ-персоналу отслеживать подозрительную активность и предупреждать исходного пользователя о необходимости сброса пароля.
Анализ активности пользователей платформы IAM на основе искусственного интеллекта позволяет оценивать риски на основе местоположения входа пользователя в систему, IP-адреса, статуса устройства, статуса учёта, поведения и других факторов, а затем отмечать любое подозрительное поведение для вашей ИТ-команды.
Например, платформа Microsoft 365 может обеспечить мониторинг в реальном времени всех действий пользователя, связанных с доступом, и анализ на основе искусственного интеллекта для обнаружения любых рискованных действий и последующего оповещения ИТ-персонала (например, путём отправки оповещения по электронной почте, показывающего выполнение заранее определенных действий по контролю безопасности).
ИТ-администратор может дополнительно изучить информацию журнала активности и проверить сведения об активности, чтобы определить аномальное событие, например, пользователь отправил правильное имя пользователя и пароль, но не смог пройти проверку MFA из необычного места:
III. Организуйте тренинг по вопросам безопасности для сотрудников и узнайте, насколько ваша компания «подвержена фишингу»
Являясь конечными пользователями фишинговых писем, сотрудники являются последним рубежом защиты компании от атак на систему безопасности.
Жизненно важно, чтобы сотрудники прошли обучение относительно того, как распознавать такие электронные письма и реагировать на них. Хорошая осведомлённость и знакомство с шаблонами фишинговых писем позволит им защитить свою (и вашей компании) безопасность. Между тем, компания также должна иметь возможность определять наиболее уязвимых сотрудников и проводить соответствующее обучение в дополнение к общей программе обучения на уровне организации. Одна хорошая программа обучения навыкам безопасности будет иметь жизненно важное значение для удовлетворения ожиданий. Как партнёр KnowBe4, мы считаем, что её Служба обучения по вопросам безопасности принесёт пользу для повышения осведомленности персонала о безопасности. KnowBe4 специализируется на обучении сотрудников механизмам спама, фишинга, вредоносного ПО и т. д. И на том, чтобы они могли применять эти знания в своих повседневных задачах. Их базовое тестирование, при котором рассылаются изощренные «поддельные» фишинговые электронные письма, позволяет увидеть, насколько «подвержены фишингу» ваши сотрудники, до того, как будет нанесён реальный ущерб.
Руководство по защите от фишинговых атак подготовлена Порталом PRC.TODAY по материалам сотрудника агентства China Briefing – Thomas Zhang.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.
Читайте также на нашем сайте:
Китай устанавливает правила для своей новой экономики данных
Хранить личные данные в мобильном телефоне небезопасно