О фишинге мы знаем давно, и несмотря на это количество фишинговых атак продолжает расти. Большинство из нас открывали сообщения электронной почты, которые оказывались фишинговыми.
Статистика фишинговых атак (по данным Anti-Phishing Work Group Global Phishing Report, 1H/2014)
2H/2011
1H/2012
2H/2012
1H/2013
2H/2013
1H/2014
Фишинговые доменные имена
50 298
64 206
89 748
53 685
82 163
87 901
Количество фишинговых атак
83 083
93 462
123 476
72 758
115 565
123 741
Уникальные фишинговые IP
1681
1864
1981
1626
837
2317
В данной заметке приведены лучшие подсказки экспертов, найденные мной и используемые для обучения сотрудников.
Три способа остановить 95-99% направленных фишинговых атак
Проверка входящей электронной почты. Разверните решение, проверяющее безопасность ссылок, получаемых по электронной почте, в момент, когда пользователь щелкает по ней.
Анализ в реальном времени и контроль вашего веб-трафика. Контролируйте весь веб-трафик. Несмотря на то, что сообщения входящей электронной почты будут проверяться, возможны случаи, когда пользователи могут получить фишинговое письмо, используя персональный почтовый ящик. В этом случае ваша корпоративная защита от направленной фишинговой атаки окажется неспособной вас защитить. Одним из вариантов такой защиты является использование веб-антивируса, контролирующего посещаемые страницы Интернета. Предпочтительным вариантом является веб-антивирус с использованием облачной составляющей.
Поведение сотрудника. Огромное значение в противодействии фишингу имеет человеческий фактор. Потому чрезвычайное значение имеет обучение сотрудников. Существует несколько возможных способов изменить поведение вашего сотрудника:
Время «жизни» фишингового сайта, часы (по данным Anti-Phishing Work Group Global Phishing Report, 1H/2014)
2H/2010
1H/2011
22H/2011
1H/2012
2H/2012
1H/2013
2H/2013
1H/2014
Максимальное время «жизни»
72
54
47
23
26
45
34
33
Среднее время «жизни»
14
11
12
6
10
13
10
9
Фишинговый тест вашей организации
Один из лучших, хотя и весьма спорный метод — заставить людей сделать ошибки, показать им затем эти ошибки и исправить их.
Выберите группу людей из каждого ведущего подразделения и пошлите им целенаправленные фишинговые письма, используя внешний адрес электронной почты. При этом используйте только общедоступную информацию, которую вы можете получить с помощью социальных сетей (Facebook, Twitter, LinkedIn и т. д.). Например, вы видите, что сотруднику нравится некая спортивная команда. Отправьте ему информацию о возможности участия в мероприятии любимой команды. Как только пользователь щелкнет по соответствующей ссылке, сообщите ему, что он стал жертвой фишинга.
Использование различных форм обучения
Некоторые люди учатся визуально, другие предпочитают слушать, многие предпочитают комбинацию. Используйте все возможные каналы получения информации. Запустите ежемесячную рассылку электронной почты, веб-семинары и другие каналы обучения. Комбинируйте данные способы с личным обучением и использованием видеоуроков. Используя различные способы донесения информации, доведите ваши требования большому количеству сотрудников. Помните, вы должны будете многократно повторять доведение информации до сотрудников, чтобы они запомнили то, что от них требуется.
Вознаградите хорошее поведение
Как правило, требования службы безопасности сопровождаются угрозами наказания сотрудников, но что если вы постараетесь изменить это восприятие? Начните вознаграждать своих сотрудников. Запустите внутреннее соревнование, в ходе которого сотрудники, переславшие подозрительную электронную почту, полученную как на корпоративный, так и на личный почтовый ящик, будут вознаграждаться за каждое фишинговое письмо. Проделывайте это регулярно и предавайте каждый такой случай гласности.
Что не стоит делать в социальной сети
Социальные сети — золотые рудники персональных данных для киберпреступников. Информация из социальных сетей как будто специально предназначена для злоумышленников, организующих фишинговые атаки. Не стоит публиковать в социальных сетях:
Любые элементы, используемые для создания ваших паролей (день рождения, адрес и т. д.). Несмотря на то что я уверен, что ваши пароли не содержат элементов персональных данных, но все же предусматривать и этот вариант надо обязательно.
Ваше расписание каникул и домашние фотографии. Фактически в этом случае вы сами активно привлекаете преступников. Вы сами заявляете им «Ограбьте меня пожалуйста!». Не так давно в США был случай, когда в городке грабили дома, выбирая место для грабежа из Facebook. Хозяева на личных страницах указывали, что уезжают в отпуск. Вот их и грабили.
Cвой номер телефона. Киберпреступники становятся более творческими. Например, некоторые злоумышленники звонят от имени справочной службы и просят сбросить пароли. Если вы сомневаетесь и не знаете звонящего, запросите соответствующую контактную информацию и изучите ее. В конечном счете куда важнее быть в безопасности, чем вежливым.
Направленные фишинговые атаки никуда не исчезнут. Пока люди используют социальные сети и электронную почту, направленные атаки будут оружием злоумышленников. Мы и в дальнейшем будем видеть, что злоумышленники совершенствуют свои направленные фишинговые атаки через все новые каналы, например, Twitter, SMS.
Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.