Защита от социальной инженерии и фишинга

Для представителей подразделений информационной безопасности уже давно не секрет, что лучший способ защиты от фишинга и социальной инженерии – это повышение осведомленности пользователей в вопросах кибербезопасности. Да – это не панацея, но как показывает практика – это оптимальный способ снижения риска взлома организации. Еще можно отключить сеть от интернета, но это не наши методы.

Тем не менее, недостаточно просто взять и дать сотрудникам курсы и регламенты с правилами ИБ. Если мы хотим, чтобы они применяли изученное, необходимо их мотивировать. Например, как мы убедились на практике, хорошей мотивацией может стать позиционирование ИБ с точки зрения личного применения изученного материала. Во всех своих курсах мы так и предлагаем, чтобы сотрудники смотрели на правила ИБ с точки зрения собственной выгоды. Этому даже посвящен отдельный курс по личной информационной безопасности.

Казалось бы, организация тратит деньги и время на личную жизнь сотрудника, а не на защиту собственных активов, но на самом деле, появляется неочевидных плюсов:

  • Сотрудники делятся правилами ИБ не только с родственниками, но и с другими сотрудниками;
  • Повышается лояльность к подразделению ИБ;
  • Материалы о защите организации «впитываются» легче.

Одна из задач, которыми мы занимаемся при повышении осведомленности у заказчиков – это взращивание Чемпионов Безопасности не только среди разработчиков, но и среди линейного персонала, ведь они находятся на передовой, именно они решаю кликать ли по этой ссылке вот в этом фишинговом письме, удалить его или переслать в подразделение ИБ.

В этой статье, мы рассмотрим лишь некоторые примеры рекомендаций, которые вы можете распространить среди сотрудников. Добавьте при необходимости что-то свое, сделайте из этого памятку, рассылку, упомяните рекомендации на брифинге и получите свою порцию «Спасибо». Теперь эти сотрудники чуть в большей степени будут помогать вам в борьбе со злоумышленниками и отправят больше рапортов о подозрительных письмах.

Еще больше об обучении сотрудников, примеров учебных атак, о планировании мероприятий по повышению осведомленности и методах защиты от фишинга вы можете изучить в книге «Контролируемый взлом. Библия социальной инженерии.»

Рекомендации по личной информационной безопасности

Разные почты для разных задач

Используйте минимум 3 разных email-адреса. Для работы, личную почту и для регистрации в различных сервисах. Когда вам придет рассылка якобы от Vk на рабочую почту, одного этого будет достаточно, чтобы понять, что это письмо вы не ожидали увидеть на этом email, скорее всего это мошенники и нужно проверить отправителя письма и ссылку на признаки фишинга.

Кстати, если вы используете программы для получения почты вроде Outlook и The Bat!, настройте для почты шрифт по умолчанию Tahoma.

Защита от социальной инженерии и фишинга

Экспериментальным путем было выявлено, что этот шрифт помогает выявить целый ряд фишинговых ссылок в письмах. Чуть подробнее о различиях отображения символов в разных шрифтах вы можете узнать из картинки ниже:

Защита от социальной инженерии и фишинга

Временные email

Используйте одноразовые email-адреса для регистрации в сервисах, которые вам пригодятся всего 1-2 раза в жизни. Получить такой email можно на сервисе вроде этого https://temp-mail.org/ru/ Такие сервисы дают вам временный электронный адрес. Тем самым вы уменьшите количество спама и писем от мошенников на своей основной почте.

Безопасность паролей

Вы много раз слышали, что нужно создавать длинные и сложные пароли, периодически их менять и то, что на разных сервисах пароли должны быть разными. Это всё правда, но давайте быть честными – это невозможные условия для современного пользователя интернета. У некоторых людей сотни паролей и да, невозможно создать и запомнить уникальные и сложные пароли для всех сервисов. А ведь пароли необходимо периодически менять.

Если вы являетесь человеком, у которого есть что украсть, на ваших кошельках много криптовалюты или вы копите на первый взнос по ипотеке на банковском счете, можете использовать метод «Воронка рисков».

Для этого разделим пароли по важности и будем применять к ним разные правила. Например, у вас 90% паролей используются на «одноразовых» сайтах, 9.9% на важных и 0.1% на критичных.

  • «Одноразовые» сайты – это те, которые нужны только сейчас или вы не храните на них никаких своих личных данных, даже ФИО. Это такие сайты, на которых при регистрации вы можете использовать вымышленные имена, дату рождения и т.д. Если их взломают, то в личном кабинете о вас ничего не узнают. Если вы потеряете доступ к такому сайту, то плохого ничего не произойдет. На таких ресурсах можно использовать один и тот же пароль, даже просто из цифр.
  • На важных ресурсах используйте более сложные пароли не менее 10 символов с большими и маленькими буквами, цифрами и символами. Это такие сайты, через которые вы передаете личную информацию, которая может вас скомпрометировать или использование которой может привести к потере чего-то ценного. Это соц. сети, мессенджеры, личная и рабочая почта и т.д. Не хотите запоминать все эти пароли – используйте менеджер паролей, например, Bitwarden — он бесплатен. Вам нужно создать всего один сложный пароль и не сообщать его никому. Также используйте двухфакторную аутентификацию на таких ресурсах. О ней поговорим в следующем разделе.
  • Критичные ресурсы – те, где хранится много денег, личный кабинет менеджера паролей, суперсекретный аккаунт в Телеграм и т.д. Такие пароли должны быть еще длиннее и сложнее и их можно хранить только в голове.

Двухфакторная аутентификация

На важных и критичных сайтах включайте двухфакторную аутентификацию. Простыми словами, это двойной способ проверки что вы – это вы, а не преступник. Прямо сейчас в личных кабинетах банков, мессенджерах, соц. сетях и других важных ресурсах включите такую проверку. Описывать настройки для каждого сервиса не будем, просто пишите в Яндексе нужный сервис, например: «госуслуги двухфакторная аутентификация» и следуйте инструкции. Вы же не хотите, чтобы через сервис Госуслуги на вас взяли кредит?

Антивирус

Обязательно используйте антивирус на компьютере, хоть он и не убережет вас полностью. Антивирусы 100% распознают только те вирусы, которые уже стали им известны. Каждый день появляются тысячи новых вирусов. Можно проверить файл по базам десятков антивирусов с помощью сервиса https://www.virustotal.com , а можно установить антивирус одной компании и раз в 3-6 месяцев запускать на компьютере «одноразовые» антивирусы других компаний. Это такие программы, которые не требуют установки и проверяют ваши файлы по собственным базам. Например у вас стоит антивирус Avast, но периодически вы можете скачивать  https://www.kaspersky.ru/downloads/free-virus-removal-tool и https://free.drweb.ru/download+cureit+free/ , не удаляя основной антивирус.

Фишинговые ссылки

Перечислим наиболее распространенные виды фишинговых ссылок, которые могу прийти на вашу личную или рабочую почту. Если после перехода по подозрительной ссылке у вас запрашивают конфиденциальную информацию или персональные данные, предлагают скачать файл (особенно архив, еще и с паролем) – уходите с сайта.

  • Ссылка в виде цифр. Пример: http://124.48.32.27
  • В начале адреса сайта есть www, но нет точки или стоит дефис. Пример: wwwvk.ru или www-vk.ru.
  • В начале адреса сайта есть http или https, но нет символов «://». Пример: httpsvk.ru или httpyandex.ru.
  • Часть букв может быть подменена, например буква «o» заменена на цифру 0, или маленькая латинская буква L (l) на большую букву i (I), или b на d и т. д. Пример: g0susIugi.ru
  • Поддомен с использованием официального домена в начале адреса. Пример http://vk.ru.zlo.ru Перейдя по тако ссылке вы попадете не на vk.ru, а на zlo.ru

Основные правила безопасности при работе с ссылками:

  • Если в письме пришла ссылка (или файл) и в нем настаивают, чтобы вы по ней перешли (или открыли файл) – проверьте отправителя. Его email тоже может быть подделан. То, как маскируют ссылки мы рассмотрели выше, но эти же способы могут использоваться злоумышленниками и при создании поддельного email-адреса. Например, support@www-vk.com, info@g0susIugi.ru, mail@yanbex.ru и т.д.
  • Не кликайте на ссылку сразу, как только увидели ее в письме. Наведите на нее мышку и посмотрите куда она ведет. Например, в письме вам пришло https://yandex.ru , а при наведении мыши вы увидите https://yanedx.ru
  • После перехода на сайт проверьте куда вы попали на самом деле. Сайт, на который вы попали, может отличаться от того, который был написан в письме. Например, в письме была ссылка https://apple.com/rd.php?go=171425 (вы думаете, что попадете на apple.com), а оказывается вы перешли на сайт evil-apple.com

Телефонные мошенники

При любом звонке из любых организаций, если тема разговора связана с деньгами, паролями, кодами, опасностью вам и близким, просьбой о помощи в любом виде, – прощайтесь с абонентом. После этого найдите официальный номер телефона этой организации и узнайте, действительно ли вам звонил их сотрудник.

Помните, номер телефона звонящего, который вы видите на экране, может быть подделан. Скажите, что сейчас не можете говорить, и якобы перезвоните. Далее скажите: «Когда я перезвоню, мне как вас найти? Какие ваши ФИО и должность?». Преступник знает, что если вы перезвоните по официальному номеру телефона, то вас с ним не соединят и начнет увиливать, настаивая на срочности дела, не давая вам завершить разговор.

Установите приложение с определителем номера, например от Яндекс, он бесплатен и его база содержит много номеров телефонов мошенников.

Будьте готовы к утере телефона

Поставьте ПИН-код на сим-карту. Многие даже не знают, что это такое. А вот преступники знают. Они найдут ваш телефон, вытащат сим-карту, вставят в свой телефон, отправят команду сотовому оператору, чтобы узнать ваш номер и пойдут восстанавливать пароль от вашего банка, принимая смс.

Не храните важную информацию на карте памяти. Ее вытащат из вашего телефона (планшета), вставят в свой и увидят все ваши фотографии, секретные файлы и компрометирующую информацию.

Создайте тройной спам-фильтр в одной почте

Email является главным каналом распространения у мошенников. У каждой почтовой службы свои спам-фильтры и алгоритмы. Мы можем задействовать их все с помощью переадресации писем.

Например, ваш основной email зарегистрирован на yandex.ru, зарегистрируйте почту также на mail.ru и gmail.com.

Ящик на gmail.com вы можете использовать для регистрации в разных сервисах, на форумах и т.п. На mail.ru настройте получение почты из ящика Gmail.

Защита от социальной инженерии и фишинга

А в Яндекс.Почте настройте получение из Ящика в mail.ru

Защита от социальной инженерии и фишинга

Теперь в почте от Яндекса вы будете видеть письма, прошедшие проверку в трех спам-фильтрах. Можете использовать связку и из двух почтовых систем.

Желаю успехов в работе и побольше лояльных к ИБ сотрудников.

Другач Юрий,

Генеральный директор StopPhish

Secute.ru - информационная безопасность