Фишинговые письма

Длительность чтения: 9 минут

Фишинговые письма

Длительность чтения: 9 минут

Что такое фишинговое письмо?

Фишинговое письмо — это пришедшее на почту сотрудника поддельное уведомление. Оно может прийти от якобы банков, платежных систем, о том, что пользователю по какой-то причине необходимо в кратчайшие сроки обновить или указать свои личные данные, перейдя по ссылке, указанной в письме. "Причины" могут быть разные: утеря данных, поломка в системе, компенсация или выплата некоторой суммы денег и даже необходимость улучшения антифишинговых систем.

Фишинговые письма могут быть одним из способов для получения мошенниками конфиденциальных данных сотрудников компании: документы, учетные данные различных систем, базы данных, программное обеспечение и т.д. Текст в письме может быть рекламного или даже угрожающего характера, например: "Если вы в течении 3-х дней не перейдете по ссылке и не укажете свой логин и пароль, ваш счет будет заблокирован." или "В целях повышения киберграмотности пользователей сети Internet, просим Вас скачать прикрепленный файл с приложением, установить его и ввести логин и пароль." Пользователь переходит на сайт или скачивает прикрепленный файл, вводит свои конфиденциальные данные и попадает в лапы хакеров. Дальше возможны следующие варианты развития событий: поддельный сайт атакует браузер жертвы и получает доступ к её ПК, или на компьютер загружаются вирусные файлы, которые обеспечивают прямой доступ к личным данным. В случае успешной кибератаки на сотрудника мошенники таким образом могут выйти и на компанию, которая потом понесет финансовый и репутационный ущерб, что может привести к ее закрытию.

На сегодняшний день почтовые системы выявляют подозрительные сообщения и автоматически отправляют их в папку "Спам". Но нередко бывает и так, что фишинг не отфильтровывается и такое письмо придется распознать самостоятельно, чтобы не попасться в хакерскую ловушку.

По каким признакам можно распознать фишинговое письмо?

Далее описаны несколько признаков фишинговых писем и как их распознать.
  • Смысл фишинга состоит в том, что вы не знаете о том факте, что сервисы, которые вы используете, не рассылают писем с просьбами сообщить свои личные данные, пароль и прочую личную информацию. Эти данные у них уже есть в базе. Поэтому, вам следует насторожиться, если увидите письмо, в котором есть просьба сообщить свои данные или перейти по ссылке.
  • Тема письма, его содержимое может побудить вас к сиюминутным действиям: перейти по ссылке, нажать на кнопку, открыть файл, срочно ответить на письмо.
  • Киберпреступники в письме могут выступать от лица известных компаний (в том числе и ваших коллег), но пишут с общих почтовых доменов gmail.com, mail.ru и т.п., а не с почты компании.
  • Использование автоподстановки для обращения. Пример: "Уважаемый, <ivan.ivanov@gmail.com>
  • В письме могут содержаться документы, ссылки, QR-коды, и т.п., с помощью которых осуществляется переход на поддельные сайты.
  • Сайты, на которые осуществляется переход, не соответствуют оригиналам:
    • у них нет favicon - логотип сайта на вкладке в браузере,
    • нет сертификата подлинности сайта, что легко проверить нажатием на замок во вкладке с сайтом,
    • нет защищенного соединения между пользователем и сайтом
    • (используется http:// вместо https://. Протокол https:// шифрует данные, вводимые на сайте). Но информационные и развлекательные сайты, не требующие ввода данных, тоже используют http:// протокол и не иметь защищенного соединения и сертификата.

Примеры фишинговых писем

Разберем главные примеры, с которыми практически ежедневно встречаются сотрудники компаний. За основу взяты примеры писем с gmail.ru, но подобные сообщения встречаются и в других почтовых системах.

Пример 1 Gmail — документы

Перед вами отправленное с gmail адреса письмо, в котором упоминается о некоторых документах. В переписке компании, где присутствует постоянный поток писем, легко кликнуть на документ и оказаться на фишинговом сайте:
Адрес указанных «документов» ведет на сайт neo4-yandex.ru, где происходит перенаправление на поддельную страницу. Необходимо проверить домен neo4-yandex.ru на сервисе Whois, чтобы получить информацию о том, кому принадлежит домен и давно ли существует. Дата регистрации домена очень важна, потому что если вы видите, что с момента регистрации домена прошел месяц и менее, то вероятно это поддельный сайт.

На данной странице видим устаревший логотип Google и вызывающий подозрение адрес в строке: s-mail-google.com. У сайта так же нет favicon - это логотип сайта, который мы видим на вкладке в браузере. Форма ввода данных также не соответствует оригинальной.

Пример 2 Gmail — срочно сменить пароль

Перед вами ниже пример письма, в котором сообщается о попытке взлома персонального аккаунта, а также текст с призывом к незамедлительному действию и ссылку на фишинговую страницу. Понять, что ссылка переводит именно на страницу, созданную мошенниками, в данном случае довольно просто: у google почтовая система gmail.com, а не mail.com.ru, которая прописана в ссылке. Этот домен так же следует проверить на сервисе Whois для получения о нем информации, о которой мы с вами говорили выше.

Пример 3 Gmail — рабочие моменты

А вот примеры письем с заявкой и реквизитами, где отправитель просит рассмотреть ее. Указанная ссылка перенаправляет на домен с фишинговой страницей.

Как обезопасить себя от фишинга?

После того, как вы узнали про разновидности фишинговых сообщений, Вы, наверняка, задались вопросом: "Как же обезопасить себя от подобных случаев и не попасться в ловушку хакеров?"

Чтобы обезопасить себя от фишинга, внимательно читайте полученные письма, особенно, если вы получили его от незнакомого вам человека или организации! Если вы знакомы с отправителем — необходимо убедиться, что именно он отправил письмо. Свяжитесь с ним и спросите: отправлял ли он вам сообщение или нет. Настройте на своем почтовом ящике синхронизацию контактов и контакты людей, с которыми вы часто общаетесь, будут всегда у вас под рукой! Не переходите по ссылкам, указанным в письмах от незнакомых вам людей, без их предварительной проверки.Это же касается онлайн-банкингов и других платежных систем, адреса которых вы не знаете. Также необходимо регулярно проходить обучающие курсы по информационной безопасности. Эти курсы позволяют поддерживать уровень знаний по кибербезопасности в актуальном состоянии.

Сайты государственных органов тоже легко проверить на подлинность. Достаточно ввести в поисковой системе название гос организации и добавить фразу "официальный сайт". Проверить любой подозрительный сайт на наличие вирусных сценариев можно на сайте: https://www.virustotal.com/ru/.

Не отключайте средства антивирусной защиты. При получении информации о вирусе или некорректной работе антивируса — обязательно сообщите об этом в подразделение информационной безопасности вашей компании. Не используйте адрес корпоративной почты для регистрации в соцсетях или на других ресурсах, не связанных с компанией.