Фишинговые письма и утечка данных. Как избежать проблем с безопасностью в Интернете

20.10.2021 Когда дело касается безопасности, мы, работники ИТ-сферы, можем пренебрегать ею, предпочитая удобства. Знаем это, потому что давно работаем в ИТ, а недавно выступали на Lohika Morning с темой «Security Awareness». Эта статья поможет вам вспомнить немного забытые практики безопасности в интернете или найти что-то новое из мира кибербезопасности. Кроме этого, вас ждут много примеров фишинговых писем и несколько историй о компаниях, теряли данные своих клиентов.

Как часто вы обращаете внимание на наличие HTTPS на вебсайте? Используете ли мультифакторную аутентификацию? Обращаете внимание на поле «отправитель» в рекламной рассылке на почте?

Тренинги Security awareness в наше время является обычной рутиной для ИТ-специалистов, большинство из нас проходит их по несколько раз в год. Именно поэтому многие работники воспринимают подобные тренинги как пустая трата времени, ведь такие вещи «и так вполне понятны». Мы же попробуем показать security awareness с другой стороны, менее официально, не для галочки и, как говорится, «для людей».

Одной из самых больших угроз как для компаний, так и для рядовых граждан является социальная инженерия. Если коротко, социальная инженерия - это техника, которая заставляет человека сделать то, что она делать не имеет. В таком случае целью злоумышленника является именно человек (не слишком внимательна или образованный), а заставить ее нажать на нужную ссылку или запустить вредоносный файл гораздо проще, чем, например, пройти всю систему защиты компании вместе со всеми антивирусами, фаервол и SIEM-систем. А учитывая то, что после недавних случаев с громкими кибератаками компании начали выделять солидные бюджеты на кибербезопасность, задача «добраться до чувствительной информации» внутри хорошо защищенной организации потребует почти нереальных средств, усилий и времени.

Несколько лет назад в шоу Джимми Киммела провели эксперимент : людей на улице спрашивали о надежности их паролей с целью компрометации. В результате этого эксперимента множество незнакомцев охотно шла навстречу интервьюерам и легко делились своими паролями от социальных сетей и почтовых ящиков. Этот случай показывает, что выманить пароль у пользователя может быть даже проще, чем кажется, и иногда люди не соблюдают, казалось бы, очевидных правил приватности и безопасности.

Фишинг

Актуальной реализацией социальной инженерии является фишинг. Ниже - пример фишинга письмо, в котором есть сразу несколько отличительных признаков того, что это письмо не было отправлено с честными намерениями.
Фишинговые письма и утечка данных. Как избежать проблем с безопасностью в Интернете
Фишинг почтовый домен. Первое, что бросается в глаза - это недействителен почтовый домен: в слове «Amazon» не хватает буквы «а» в начале.
Обобщенное обращение. Как видим, в этом письме не указывается имя или никнейм человека, которому адресовано письмо: скорее всего, злоумышленник его и не знает.
Подозрительное ссылки или вложения. Самое главное - фишинговых ссылок, перейдя по которым, пользователь скорее всего должен ввести свои учетные данные якобы для проверки подлинности. В остальном, также популярном сценарии, вместо ссылки письмо может содержать вложения в виде документа, таблицы или любого файла, который имеет возможность выполнять вредоносный код.
Главный фактор, который способствует успешному фишинга - невнимательность пользователя. Но кроме этого злоумышленник может оперировать целым спектром человеческих эмоций и потребностей. Рассмотрим подробнее:

Желание легкой наживы или жадность. Неожиданный выигрыш в лотерее? А как насчет удвоения всех биткоинов?

Тревога. Согласитесь, никому не понравится письмо о том, что в вашем PayPal или Monobank заметили подозрительную активность. В таком случае для проверки лучше зайти к официальному приложении или на сайт.

Любопытство. Еще одно очень уязвимое место, ведь кому будет интересно посмотреть на ошибочно отправленную вам зарплатную отчетность или на фотографии корпоратива, на который вы не смогли попасть?

Симпатия. Если мы живем во времена, когда можно встретить рекрутеров ИТ-компаний в тиндери, то почему бы не попробовать подобные платформы для фишинга?

Итак, выводы:

Не открывать, нажимать, не запускать на подозрительные файлы, ссылки и программы.
Подозрительными могут быть те файлы или ссылки, на которые вы не ожидали.
Для профилактики фишинга существует исчерпывающая достопримечательность о том, как не стать кибержертвою, которую разработал основатель OWASP Kyiv Влад Стыран.

Утечка данных

Следующая угроза, с которой имеет дело современный бизнес, истоки данных (Data leakage). Утечка данных - это несанкционированная передача данных за пределы организации, которой они принадлежат, или же просто попадания этих данных в открытый доступ. По тому, насколько часто случаются утечки чувствительной информации, можно следить вживую: например, в твиттере за хэштегом #leakage или #databreach вы гарантированно найдете несколько свежих утечек данных, которые произошли за сегодня.

Вспомним, какие громкие утечки данных произошли в прошлом году.

Facebook. В апреле 2019 Ресерчер с UpGuard нашли сразу два набора данных, в одном из которых содержалось более 540 000 000 записей (ругательства, комментарии, имена аккаунтов, Facebook ID и т.д.). Во втором датасета находились фото, заметки и пароли пользователей от приложения, которое использовал фейсбук. По словам UpGuard, пароли стороннего приложения вполне могли быть идентичны паролей Facebook-аккаунтов. Вообще апрель прошлого года оказался непростым для компании, поскольку, кроме вышеперечисленного, того же месяца Facebook признал , что в течение длительного времени сохранял пользовательские пароли к сети Instagram в незашифрованном виде, что является ярким примером, «как не надо хранить пользовательские пароли».

First American Financial. Одна из крупнейших компаний США, которая позиционирует себя как третья сторона в операциях, связанных с недвижимостью, оставила в открытом доступе примерно 885 000 000 записей, в мае прошлого года нашел эксперт по безопасности Брайан Кребс . Старейший документ, который можно было найти, датировался 2003 годом, а самый - 2019. Позже First American исправили проблему и удалили датасета.

Capital One. Банковская холдинговая компания, специализирующаяся на кредитных карточках, банковских и сберегательных счетах, в июле прошлого года заявила , что данные примерно 100 000 000 жителей Соединенных Штатов и 6000000 жителей Канады украдено хакерами. Это означало, что если вы завели счет в Capital One между 2005 и 2019 годом, то, скорее всего, ваши данные также попали в руки злоумышленников. Потерянные данные содержали номера социального страхования, номера банковских счетов, имена, домашние адреса, почтовые индексы, даты рождения и email-адреса клиентов. Несмотря на большое количество потерянных данных, Capital One заверили, что ни один кредитный счет или пароль НЕ скомпрометировано, а значит, никто пострадал. Впоследствии по подозрению в совершении этой атаки ФБР арестовало 33-летнюю жительницу Сиэтла, Пейдж Томпсон, вина которого доказали, обнаружив следы данных Capital One на ее девайсах. Судебный приговор: пять лет тюрьмы и 250 000 долларов штрафа.

Adobe. В октябре 2019 от массивного утечки данных пострадала компания Adobe. В результате атаки в руки злоумышленников попала информация примерно 2,9 миллиона пользователей сервисов Adobe. Информация, которую получили хакеры, включала пользовательские Adobe ID, зашифрованные пароли, имена, зашифрованные номера кредитных карт. В этом случае расследования ФБР виновников не нашло. Adobe, в свою очередь, пообещали пользователям, персональные данные которых были скомпрометированы, бесплатный год подписки на свои услуги.

Из всех этих случаев можно сделать четкий вывод - истоки данных происходят, и почти никто от них не застрахован. Можно ли полностью обезопасить себя от подобных нежелательных акций? Ответ - нет.

Однако существует несколько простых советов, которые помогут чувствовать себя в безопасности чуть больше и [возможно] уберегут от лишнего паранойи в интернете.

Как минимизировать угрозы

Для начала можно узнать, было замечено ваш email в каком-то из публичных утечек данных. Для таких целей существует сервис Have i been pwned? , Который создал австралийский эксперт по безопасности, а также, по совместительству, региональный директор Microsoft Трой Хант. HIBP был создан как бесплатный ресурс для любого, чтобы быстро понять, есть аккаунты, связанные с вашим email, скомпрометированными или замеченными в истоках данных.

Все, к чему сводится использования сервиса - это введение своего email в поле поиска. После этого ресурс ответит, была введена почтовый адрес замечена в инцидентах, связанных с утечками информации.

В случае, если истоки данных, которые включают в себя ваш email, все же случались, стоит сразу сменить пароль пораженного учетной записи. Кроме того, никогда не помешает включить двухфакторную аутентификацию везде, где это возможно.

Следующая важная вещь, о которой все (или почти все) знают, но, возможно, не все используют - парольная менеджер. Ради вопросам безопасности всегда стоит использовать сложные, длинные и, самое главное, разные для всех ресурсов пароли. Очевидно, запомнить такое значительное количество паролей невозможно, а это значит, что парольная менеджер становится не просто дополнительным софтом, а жизненно необходимой утилитой. На сегодняшний день на рынке менеджеров паролей представлен целый ряд решений по вариацией различного дополнительного функционала.

С open-source решений можно выделить KeePass - утилиту, которая будет сохранять ваши пароли локально в зашифрованной базе данных.

Из коммерческих аналогов можно выбрать 1Password - за 3 доллара в месяц вы получите поддержку всех популярных платформ (приложения для iOS и Android) и неограниченное количество паролей для хранения. А в парольной менеджере от Dashlane , кроме безопасного хранилища паролей, как дополнительный функционал предлагается даже VPN.

Подытоживая
Итак, вместо заключения - несколько советов, которые смогут целом повысить уровень вашей личной безопасности и приватности в интернете:

НЕ кликайте на неизвестные ссылки и не запускайте атачмент в подозрительных электронных письмах. Да, это звучит слишком очевидно, но на самом деле идентифицировать реальный фишинговый письмо не всегда просто.
Прочитайте памятник , как не стать кибержертвою.
По возможности в неизвестных сетях пользуйтесь прокси или VPN.
Используйте haveibeenpwned.com .
Используйте парольные менеджеры. Цена в 3 доллара в месяц не такая большая по сравнению с ценой ваших личных данных.
Используйте многофакторную аутентификацию, как минимум, на важнейших сервисах, которыми пользуетесь (почта, интернет-банкинг).
Как видим, когда речь идет о безопасности, советы могут быть достаточно простыми и очевидными, на первый взгляд. Но мы верим, что, даже следуя этой базовой достопримечательности, пребывание в интернете можно сделать более частным и безопасным.

(380 рейтинг, средний 4,2 из 5)
Фишинговые письма и утечка данных. Как избежать проблем с безопасностью в Интернете
  • Блог
  • 380
  • Дата публикации 04.05 20

Смотрите похожие записи