2022-8-8 16:11 |
С развитием технологии важность кибербезопасности растет с каждым годом. Переезд в домашний офис и быстрое внедрение новых решений во время пандемии еще больше усилили этот рост. Атаки для получения пользовательских данных или денег становятся все более обычным явлением, чему в последнее время очень способствует геополитическая ситуация.
Участились также и атаки с целью парализовать работу компаний и нанести им как можно больший ущерб.
Невнимательность опасна
Поскольку пользователи являются одним из самых слабых звеньев любой ИТ-инфраструктуры, то они чаще всего становятся жертвами атак, а особенно бухгалтеры, финансовые директора и члены правления, которые, как правило, имеют больше прав и доступов. Поэтому важно быть осведомленным о потенциальных киберугрозах и быть внимательным при повседневном поведении в интернете.
Невнимательность или неосведомленность могут привести к ситуациям, когда случайно будет сделано что-то, чего делать не следует, – ввод данных, запуск вредоносного программного обеспечения или переход по вредоносной ссылке, что может привести к вымогательству денег, простою в работе, утечке или потере данных, ущерб от которых может достигать сотни тысяч евро.
Наиболее распространенным и успешным видом атаки является фишинг, цель которого заставить людей открывать ссылки, вводить свои данные или запускать опасные программы. Фишинговые атаки проводятся различными способами: через социальные сети, при посещении веб-сайтов, путем электронного письма или звонка. Пользователя побуждают открыть файл или открыть ссылку. Открытие ссылки может привести пользователя на веб-сайт, где его просят ввести личные данные или пароли. Или скачивается и запускается файл, который открывает доступ к компьютеру третьим лицам или устанавливает вирус, наносящий компьютеру серьезный ущерб.
Криптографический вирус, или вирус-вымогатель – это тип вируса, который при запуске шифрует файлы в компьютере и оставляет сообщение с просьбой заплатить определенную сумму, чтобы восстановить доступ к файлам. Иногда файлы автоматически копируются мошенникам перед шифрованием данных. В большинстве случаев доступ к данным восстанавливается после выплаты суммы, однако в определенных случаях целью было уничтожение данных, и их расшифровка уже невозможна.
Типы фишинговых атак
Фишинговые атаки разделяются на
общие и
целевые/направленные.
В случае общих атак нет конкретной цели, кого хотят атаковать (например, массовые рассылки), и мошенничество легче обнаружить. Обычные фишинговые письма могут содержать сообщения или напоминания об истечении срока действия пароля, заполнении почтового ящика, неоплаченных счетах и т. д. Как правило, такие письма обычно приходят с неизвестных, странных адресов, написаны с ошибками и с необычным употреблением слов.
Кроме того, важно отследить адрес отправителя, который, как правило, неверен, – письмо пришло с неизвестного адреса, на нем нет логотипов, нет подписи и т. д. Ссылка в письме указывает на страницу со странным адресом – скрытый адрес будет виден, если в этом письме навести курсор на ссылку (не нажимая на нее). Тогда видно, что адрес за ссылкой точно не известного вам поставщика услуг, а какой-то странный адрес.
Общие мошеннические звонки приходят вроде как от поставщика услуг, например из банка, курьерской или инвестиционной компании, полиции с целью выманить у вас информацию или деньги.
Мошенники могут утверждать, что ваш банковский счет был скомпрометирован и что необходимо установить вашу личность, или что вам поступила посылка, за которую нужно заплатить, и пытаются получить данные о вашей кредитной карте. В ходе таких звонков вас пытаются заставить, например, ввести PIN-коды, сообщить номер кредитной карты, предоставить доступ к своему компьютеру и т. д. В таких случаях обязательно следует помнить, что банки и другие поставщики услуг никогда не просят передать им пароли, и предоставляйте доступ к своему компьютеру только тем людям, в которых вы уверены.
В случае целевых атак в качестве жертвы выбирается компания или физическое лицо и проводится тщательная предварительная работа, чтобы атака была максимально успешной.
Мошенники изучают, кто ваши партнеры и клиенты, какова ИТ-инфраструктура вашей компании, определяют ваших работников и, возможно, контактируют с ними. Такие хорошо подготовленные атаки, как правило, очень трудно обнаружить.
В случае такого мошенничества может быть отправлен счет или письмо с просьбой сделать денежный перевод. Используются имена работников компании или информация о партнерах по сотрудничеству. Письмо может прийти, например, от исполнительного директора компании, партнера по сотрудничеству или бухгалтера клиента. При ближайшем рассмотрении часто можно заметить, что это мошенничество: адрес отправителя указан неверно, стиль письма подозрительный, манера письма необычная и т. д.
В худшем случае почтовый ящик коллеги, клиента или партнера по сотрудничеству был уже скомпрометирован, и мошенники используют их адрес и доступ в качестве вектора атаки, чтобы получить доступ к вашему почтовому ящику или системам – с целью выманить деньги/данные или запустить вредоносное программное обеспечение.
Если мошенники имеют доступ к почтовому ящику, то они проделали тщательную работу, возможно, прочитав переписку, и знают, как вами манипулировать[JL3]. Они могут использовать какую-либо определенную деталь из вашей переписки.
Качество приложений-переводчиков постоянно совершенствуется, а международный бизнес становится все более распространенным, поэтому письмо может быть составлено на правильном эстонском или английском языке, что кажется совершенно нормальным для коллеги или партнера из другой страны. Недостаточный словарный запас или некорректная грамматика довольно распространены и сразу не бросятся в глаза.
Пример 1
Бухгалтер получил вроде бы обычный счет за услуги, оказанные партнером компании, на сумму около двух тысяч евро. Адрес отправителя был правильным, и счет выглядел корректным.
При совершении оплаты бухгалтер заметил, что номер счета отличается от обычного. Поскольку с этой компанией существуют давние деловые отношения, он на всякий случай позвонил их бухгалтеру. В ходе звонка выяснилось, что их компания не отправляла этот счет, хотя в качестве адреса отправителя был указан адрес бухгалтера этой компании.
ИТ-специалист этой компании изучил ситуацию и обнаружил, что почтовый ящик бухгалтера был скомпрометирован и что клиентам и другим партнерам с этого почтового ящика было отправлено несколько поддельных счетов. Мошенники тщательно скрыли свою деятельность, и отправленные ими письма не были видны в почтовом ящике бухгалтера. При более внимательном рассмотрении ситуации также выяснилось, что несколько клиентов стали жертвами мошенничества и перевели деньги преступникам.
Целевым электронным письмам может сопутствовать мошеннический звонок в поддержку атаки. Для того, чтобы произвести еще более достоверное впечатление, мошенники могут позвонить – узнать, получен ли счет, и попросить, чтобы он был оплачен немедленно.
Уведомления из социальных сетей можно считать как общими, так и целевыми. Это может быть просто публичный пост с подозрительной ссылкой или просьбой о помощи, либо пост адресован конкретному человеку. Нередко мошенники выдают себя за других лиц и пробуют оказать влияние через дружеские отношения. Такие сообщения обычно в стиле «взгляни на это фото» или «мне нужны деньги, я где-то застрял» и т. д.
Для фишинга характерно вызывание чувства спешки и дискомфорта, что есть риск что-то упустить или случится что-то плохое, если не отреагировать сразу, – срок действия пароля истекает, к счету добавятся проценты, дешевый товар раскупят, друг попал в беду, начальник злится и т. д. В случае подозрения всегда стоит связаться с отправителем, используя другие средства связи или приложения, – например, в случае получения письма или сообщения в социальных сетях позвонить, в случае звонка позвонить на другой номер, например, общий номер компании и т. д. Ответа на письмо может быть недостаточно, поскольку ответить может мошенник, а не сам человек.
В случае подозрительных писем всегда стоит проконсультироваться с ИT-специалистом – всегда лучше бояться, чем раскаиваться.
Открытие ссылки или файла также может привести к проникновению вируса в компьютер. С помощью вирусов мошенники пытаются получить доступ к компьютеру или почтовому ящику, или же все данные зашифровываются (например, упомянутый выше вирус-вымогатель), и придется заплатить выкуп, чтобы снова получить к ним доступ. Вирусы используются также для уничтожения данных.
Если вы все-таки нажали на ссылку
Внимание рассеялось, письмо казалось корректным, и это случилось. Рекомендуем сохранить спокойствие, подумать, что случилось, записать и связаться со своим ИТ-специалистом. В случае, если есть подозрения, стоит изменить пароль доступа к компьютеру или электронной почте, так как мошенник может иметь доступ к вашему аккаунту. Если компьютер еще не был проверен специалистом, то лучше изменить пароль в другом компьютере или смарт-устройстве.
Методы защиты
Для обеспечения минимального уровня базовой защиты крайне важно убедиться, что на вашем компьютере есть антивирусная программа – она должна быть установлена, включена и обновлена. Если вы случайно нажмете на ссылку, содержащую вредоносное программное обеспечение, или откроете файл, содержащий вирус, антивирус предупредит вас о потенциальной угрозе и поможет предотвратить заражение.
Поскольку в настоящее время многие мошенники используют не только вирусы, но и другие средства, то в дополнение к антивирусной программе рекомендуется использовать решение по выявлению угроз и реагированию на киберинциденты на конечных точках Endpoint Detection and Response (EDR), которое выявляет подозрительное поведение, не обязательно являющееся вирусом. Например, если на компьютере продавца-консультанта вдруг запускается сложная командная строка, программа обнаруживает это и отправляет соответствующие уведомления.
Для обеспечения лучшей защиты важно, чтобы программное обеспечение кибербезопасности было корректно настроено. Для проверки настроек рекомендуем обратиться к ИТ-специалисту, продавцу или импортеру программного обеспечения.
Из-за вредоносных программ или по другим причинам может произойти потеря данных, т. е. данные будет повреждены или недоступны. В таком случае важно заранее сделать резервные копии своих данных, на их основе можно будет восстановить поврежденные данные. Самый простой способ резервного копирования – регулярно копировать важные данные на флешку или внешний жесткий диск. После резервного копирования важно отключить устройство с копированными данными от компьютера и хранить его в надежном месте. Если это устройство останется подключенным к компьютеру, то есть риск остаться и без резервных копий, так как современные вредоносные программы умеют уничтожать и резервные копии. На уровне компании нужно шире рассматривать ситуацию и сделать резервные копии со всех приложений и данных, необходимых для работы.
Пример 2
В одной небольшой компании бухгалтерская программа вместе с базой данных была только на компьютере бухгалтера. Кроме того, на этом компьютере была выключена антивирусная программа, поскольку она мешала работе бухгалтерской программы. Чтобы наладить одновременную работу этих двух программ, нужно время, а его у самого бухгалтера не было.
Однажды утром бухгалтер случайно открыл счет, приложенный к фишинговому письму, и через него был установлен бэкдор (тайный вход) к компьютеру. Поскольку антивирус был выключен, уведомлений о потенциальной угрозе не поступило. Используя ранее установленный бэкдор, мошенники смогли проникнуть в компьютер, когда им не пользовались, и зашифровали все данные на компьютере. Настройки для резервного копирования файлов на жесткий диск были включены, однако он был подключен к компьютеру, поэтому мошенники с легкостью уничтожили копии. В результате компания потеряла всю клиентскую базу и данные бухгалтерского учета.
После настройки резервного копирования важно регулярно проверять успешность создания копий и проводить периодическое тестовое восстановление данных, чтобы убедиться, что с резервных копий можно действительно восстановить их.
В дополнение к использованию программного обеспечения кибербезопасности и резервному копированию важно защитить свои различные услуги и аккаунты с помощью аутентификации. Самый распространенный метод аутентификации – это имя пользователя и пароль.
При выборе пароля рекомендуется следовать следующим рекомендациям:
в качестве пароля не подходит известное слово, которое можно найти в словаре;
пароль не должен содержать данные, связанные с пользователем (имя пользователя, дата рождения, место работ и т. д. );
пароль должен содержать не менее 8 символов, в том числе заглавные и строчные буквы, цифры, прочие символы;
в качестве пароля можно выбрать предложение с цифрами или прочими символами между словами (например, Kass!on!must!ja!Karvane).
В настоящее время имени пользователя и пароля уже недостаточно, по возможности следует использовать многоуровневую аутентификацию, где помимо пароля используется программное решение (проверочный код, дача согласия со смарт-устройства и т. п. ) или физическое решение (подключенный к компьютеру электронный ключ (донгл) и т. д. ). Если услуга позволяет, то всегда стоит использовать государственные средства идентификации личности: ID-карту, Mobiil-ID или Smart-ID, они имеют многоуровневую аутентификацию.
Важно быть осведомленным и внимательным
Никакое программное обеспечение кибербезопасности или пароль не могут защитить, если предупреждающие сообщения игнорируются или данные передаются ненадежным третьим лицам. По этой причине важно быть в курсе возможных киберрисков, уметь их распознавать и правильно действовать.
Для повышения осведомленности работников есть соответствующие тренинги по информационной безопасности и тесты на фишинговые письма. В целях повышения безопасности компании в целом можно проводить ИТ-аудиты, которые помогают выявить зоны потенциальных рисков и дать рекомендации по их устранению.
Надежная защита всегда основана на осведомленности и внимательности – следует знать риски кибербезопасности, не игнорировать предупреждения или рекомендации программного обеспечения кибербезопасности и проверять безопасность выполняемых операций.
.
Подробнее читайте на rup.ee ...
