Можно ли избежать взлома корпоративной сети, личных аккаунтов и электронных кошельков посредством фишинга?

naudoczkie

Старшее поколение еще помнит блестящую композицию Луи Армстронга Gone Fishing. К сожалению, в наши дни эта веселая песенка о беззаботном гуляке, который постоянно сбегал на рыбалку, вызывает совсем другие ассоциации - с компьютерными злодеями. «Фишинг» - рыбалка в переводе с английского - стал основным способом похищения конфиденциальных сведений и, конечно, денег.

Взлом или беспечность?

Специалисты по безопасности, пожалуй, уже устали повторять, что хакерские атаки и взломы корпоративных сетей чаще всего являются результатом беспечности работников. И что именно человеческий фактор - основная причина огромных материальных и репутационных потерь компаний в результате компьютерного взлома.

В сети есть немало руководств о том, как противостоять таким атакам. И как защититься от фишинга - тоже. Но мало кто читает это всерьез. Поэтому воз и ныне там. Буквально в настоящее время идет очередная массовая рассылка, которая проходит даже на защищенные антиспамовыми фильтрами почтовые ящики. Но даже такое примитивное и нахальное вторжение в информационное пространство, как не странно, нередко приводит мошенников к цели. У специалистов в сфере компьютерной безопасности есть такой термин - «психосоциальная инженерия». Это набор приемов, с помощью которых каждого или большинство из нас можно принудить добровольно выдать свои тайны. Итак, почему же мы безоружны перед фишингом? Или все-таки не безоружны?..

Суть фишинга - выуживание паролей и логинов. Чаще всего это происходит путем переадресации вас на поддельный сайт, похожий, например, на сайт банка, в котором вы обслуживаетесь, или даже на страничку корпоративной сети, где есть окошки для ввода логина и пароля. На самом деле эти данные поступают прямиком к злоумышленникам. Результат - очевиден. Переадресация выполняется по-детски просто. Вы получаете письмо с заманчивым текстом: «Вам перечислены деньги - зайдите по ссылке и сами убедитесь». Кто же откажется получить деньги и тем более убедиться в этом?! Может быть и прямо противоположный мотивационный импульс: «Срочно оплатите пеню (штраф, или налог)!» Тут уже срабатывает стресс - не до осторожности, если человек сталкивается с угрозой штрафных санкций! И… кликает на ссылку.

Новую эру фишинга открыли социальные сети. Их сейчас с восторгом заселяет офисный планктон, скучающий значительную часть рабочего дня. От нечего делать люди порой выкладывают в сеть всю запрашиваемую информацию и даже больше! По соцсетям легко узнать профиль организации, ее кадровый состав и даже имена ведущих сотрудников. Которые потом могут получать вроде бы невинные послания от коллег: пройти по ссылке, чтобы обсудить что-то нескучное. В этом случае работает другой вариант фишинга - заражение компьютера программой-шпионом. В зависимости от «продвинутости» злоумышленника программка может оперативно просканировать ваш компьютер или корпоративную сеть и переслать ему все, что похоже на пары логин/пароль. Наиболее зловредные вирусы могут сработать, даже если просто открыть письмо со ссылкой, а не переходить по ней.

О том, как защитить корпоративную компьютерную сеть, криптовалютные кошельки и электронные деньги от кибер-злоумышленников, читайте в продолжении статьи, опубликованной в печатной версии журнала «Директор» № 4.

Игорь КЛОКОВ