Как остановить фишинг

Опубликовано: 6 Сентября, 2022

Обзор :
Фишинг является отправной точкой большинства кибератак. При рассылке вредоносных сообщений или создании сайта-клона злоумышленники используют психологические приемы и инструменты социальной инженерии, поэтому защита от подобных кампаний — непростая задача для специалистов по информационной безопасности. Для защиты от фишинговых атак можно использовать различные инструменты, встроенные в браузеры и почтовые серверы, а также «оверлейные» инструменты от сторонних производителей. Посмотрим, насколько эффективны такие решения по сравнению с обучением пользователей и нужно ли покупать дополнительное решение для борьбы с фишингом.

Фишинг:
Определимся с основными понятиями — что называется фишингом и чем этот вид атаки отличается от других киберугроз.

  • Изначально понятие фишинга предполагало очень узкое толкование и относилось к письмам, заманивающим жертву на поддельный сайт. Однако позже значение этого термина было значительно расширено. Теперь любое вредоносное письмо называется фишинговым.
  • Современные средства защиты не позволяют злоумышленнику легко подключиться к какому-либо ценному ресурсу внутри корпоративной сети, поэтому фишеры пытаются спровоцировать определенные действия пользователя, которые станут отправной точкой кибератаки.
  • Фишингом можно назвать любую мошенническую схему, предполагающую прямое общение злоумышленника с сотрудником организации или домашним пользователем. Для этого могут использоваться как современные электронные средства связи – электронная почта, мессенджеры, так и старые, например, телефонный звонок.
  • Нельзя забывать и о фишинге с использованием физических носителей. Примером такой атаки является флешка, которая использовалась для остановки иранской ядерной программы в 2010 году.
  • Фишинг начинается гораздо раньше, чем жертва сталкивается с ним напрямую. Поэтому в зависимости от бюджета и человеческих ресурсов компании могут либо использовать сервис мониторинга индикаторов возможной атаки, либо самостоятельно анализировать внешнюю среду в поисках потенциальных угроз.

Профилактические шаги:
Превентивная защита от фишинга включает в себя следующее.

  • Обнаружение вредоносных сайтов, которые могут быть использованы при атаке на конкретную организацию.
  • Мониторинг социальных сетей с целью выявления публикаций, содержащих информацию о сотрудниках и другие меры.

Упреждающие фишинговые угрозы:
Сегодня большинство компаний редко проводят упреждающий поиск фишинговых угроз, так как это сложный процесс, требующий значительных ресурсов. Получается, что компаниям неэффективно заниматься такой деятельностью самостоятельно. Есть специализированные решения, которые делают это быстро и дешево.

Фишинговые каналы:
Как начинается фишинговая атака и какие средства связи чаще всего используются злоумышленниками для доставки вредоносных ссылок.

  • По статистике более 96% фишинговых атак начинаются с электронной почты. В то же время этот канал легче всего идентифицировать. Другие направления атаки отследить гораздо сложнее.
  • Львиная доля фишинговых атак осуществляется через электронную почту просто потому, что все организации используют электронную почту. Корпоративная почта не всегда защищена, и у злоумышленников бесконечные попытки найти нужные адреса электронной почты и обойти защиту от спама.
  • В случае массовых атак электронная почта действительно является основным каналом доставки вредоносного контента. Однако в случае целенаправленной атаки часто используются другие способы взаимодействия с сотрудниками компании, такие как телефон, социальные сети и мессенджеры. В то же время целевые фишинговые атаки мало распространены из-за сложности их подготовки.
  • Массовые фишинговые кампании также используют некоторые виды таргетинга, такие как проверка региона, к которому принадлежит устройство, перед началом атаки. Зачастую методы массовых и целевых фишинговых атак совпадают. Опять же, даже те атаки, которые нацелены на большое количество более мелких жертв, используют своего рода профилирование для увеличения коэффициента конверсии.
  • Что касается ущерба, который может нанести фишинговая атака, то он колеблется от тысяч долларов в случае физических лиц до миллионов долларов, если злоумышленники нацелены на организацию.
  • Несмотря на преобладание электронной почты как основного фишингового канала, эксперты отмечают рост атак, в которых используются мессенджеры, блоги, официальные и поддельные аккаунты в социальных сетях и другие варианты взаимодействия с целевыми пользователями.

Способы защиты от фишинга:
Почтовые серверы и почтовые клиенты, а также браузеры имеют встроенную защиту от фишинга. Достаточно ли этих инструментов для защиты от нападения? Действительно ли необходимы сторонние решения?

  • Встроенные инструменты безопасности для почтовых служб и браузеров обеспечивают базовый уровень защиты, который злоумышленники могут обойти, поскольку у них есть возможность протестировать соответствующие механизмы перед атакой. Те, кто использует эти базовые инструменты безопасности, видят это в своей повседневной жизни.
  • Специализированные решения реализуют более сложные алгоритмы, но и они могут быть изучены злоумышленниками. Однако это значительно увеличит стоимость атаки. Злоумышленникам придется приобрести соответствующие решения и потратить много времени на тестирование и изучение того, как работает каждое из решений. Не все злоумышленники пойдут на такой шаг. Это создает дополнительный брандмауэр, где средства превращаются в эффективные инвестиции в безопасность.

Решение для защиты электронной почты:
Современное решение для защиты электронной почты должно обладать следующими свойствами.

  • Регулярно обновляется.
  • Используйте методы машинного обучения для распознавания различных типов атак.
  • Уметь хорошо понимать структуру и текст сообщения, распознавать текст на картинке, выявлять другие подозрительные сигналы и индикаторы фишинга.
  • Иметь механизм оценки репутационных данных отправителя и доменов, указанных в письме.

Решение для машинного обучения:
Машинное обучение используется в антифишинговых системах для сравнения страниц веб-сайтов и выявления подозрительных доменных имен. Эти действия нельзя эффективно автоматизировать с помощью сигнатур или статистических методов. Тем не менее, ML и AI хорошо справляются с этой задачей. Кроме того, с помощью машинного обучения можно проанализировать действия, которые пытается выполнить пользователь после получения сообщения, и тем самым предотвратить распространение вредоносного ПО и развитие атаки. Целесообразно использовать базу данных, предоставленную поставщиком, в качестве основы для машинного обучения, поскольку собственных данных организации может быть недостаточно, поскольку они быстро устаревают. При этом специалист по информационной безопасности может дополнять его, а также вручную настраивать решения искусственного интеллекта для тонкой настройки правил.

Защита от веб-фишинга:
Какую стратегию следует использовать в отношении перехода по ссылке в сообщении? Следует ли блокировать или ограничивать все передачи на внешние ресурсы по умолчанию или, наоборот, разрешать их? Какие инструменты доступны для выявления фишинговых сайтов? Как бороться с сайтами-однодневками?

  • Стратегия тотальных запретов может быть достаточно эффективной, но пагубно сказывается на бизнес-процессах компании. Использовать его в полной мере в реальной жизни очень сложно. Одним из компромиссов является предоставление пользователям доступа к сайтам определенной категории.
  • Во многих компаниях существует практика предоставления доступа сотрудникам на основе ограниченного списка доверенных ресурсов. Однако проблема в том, что основные цели фишинговых атак — сотрудники отдела маркетинга и продаж, финансисты, руководители компаний, как правило, имеют некоторые привилегии и нуждаются в работе с более широким списком ресурсов.

Борьба с сайтами-клонами:
Для борьбы с сайтами-клонами можно использовать следующие стратегии.

  • Используйте сервисы защиты бренда, которые проверяют все вновь регистрируемые домены на сходство с доменом той или иной организации, а также автоматически проверяют контент таких сайтов.
  • Используйте инструменты для анализа действий, совершаемых сайтом при его открытии в браузере, для борьбы с ресурсами, отображающими разный контент пользователю и ботам поисковых систем в зависимости от определенных параметров сеанса.

Внешние источники данных для борьбы с фишингом:
Напоследок кратко коснемся практики использования сторонних потоков данных (фидов) для обогащения антифишинговых систем. Хотя информация от агрегаторов может быть полезной, эта информация не очень эффективна для защиты от фишинга, поскольку очень быстро устаревает. Также следует учитывать, что добавление большого количества индикаторов атаки может привести к увеличению количества ложных срабатываний. Вы можете использовать их, но вам придется управлять большим количеством каналов, что требует больших ресурсов.

Вывод :
Защита от фишинга не должна ограничиваться инструментами, встроенными в ваш браузер или почтовый клиент. Эти инструменты обеспечивают лишь базовый уровень защиты и зачастую бессильны против целевых угроз. В то же время сторонние решения также не гарантируют полную блокировку всех вредоносных сообщений. Корпоративным пользователям стоит обратить внимание на внешние ресурсы, которые могут использовать их бренд в качестве приманки, а также на поддельные сайты, нацеленные на сотрудников компании. В любом случае борьба с фишингом требует комплексного подхода, включающего в себя сочетание технических средств (как встроенных, так и сторонних), а также организационных мер – обучение персонала, политики, действия по защите бренда в Интернете. .

TechTips Информационная безопасность Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Рейтинг лучших процессоров Intel Xeon для игр и домашних сборок
21 Февраля, 2026
Что такое антивирус: устройство, типы защиты и основная терминология
30 Января, 2024
Что такое proxy IPv4: как работает, виды, отличия от IPv6 и как выбрать под задачи
14 Июня, 2023
Что такое оптический патч-корд: виды, разъёмы, полировка, параметры и правила выбора
11 Мая, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023