Фишинг — вид онлайнового мошенничества. Злоумышленники-фишеры обманом выуживают у пользователя реквизиты доступа к какому-либо ресурсу, обычно логин и пароль. Многие злодеи имеют меркантильные цели. Таргетированный (направленный против конкретного человека) фишинг может использоваться и во вред гражданским активистам. Например, в декабре 2022 года правозащитная организация Human Rights Watch сообщала об использовании фишинга против своих сотрудников и их коллег.
Уже много лет фишинг является самым популярным видом компьютерных преступлений. По данным ФБР, за 2022 год было получено 800 944 сообщения о разнообразных компьютерных преступлениях. Из них 300 497 случаев оказались фишингом. Лишь недавно фишинг уступил первое место по абсолютным финансовым потерям — лидером 2022 года стали мошеннические схемы инвестиций.
Классическое представление о фишинге
Обычно фишинг описывают как электронное сообщение якобы от известной компании. В письме содержится ссылка на сайт, который имитирует официальный ресурс. Пользователя просят ввести логин и пароль к своему аккаунту. Мошенники получают реквизиты и используют их в своих целях.
Предотвратить фишинг кажется проще, чем разгребать последствия. Достаточно сказать себе «стоп» и не вводить никакие данные. А лучше вообще не нажимать на предательскую ссылку. Старания экспертов по безопасности направлены на то, чтобы научить пользователей определять фишинговые письма. Долгое время эти советы носили сугубо технический характер. Пример такого подхода демонстрирует крупный провайдер IT-решений Cloudflare.
Один из самых простых и понятных советов — проверять доменные имена. Точно ли домен в почтовом адресе отправителя совпадает с доменом в адресе официального веб-сайта компании? Или вместо bookstore.com, если присмотреться, можно увидеть booksfore.com? Порой мошенники используют дополнения к именам, чтобы выглядеть как служба техподдержки или почтовый сервис, например bookstore-support.com. Бывает, злодеи вставляют имена/бренды как домены третьего уровня, что-то вроде bookstore.x8s2.com.
Проверка доменов помогает и от фишинговых гиперссылок. Мошенники нередко вставляют в HTML-сообщение ссылку не на тот сайт, который отображается для пользователя. Не зря эксперты по безопасности дают советы вроде «Подведите курсор к гиперссылке, взгляните в самый низ браузера…» Правда, злодеи научились использовать короткие адреса. В ответ появились специальные сервисы, куда можно отправить подозрительную ссылку (короткую или длинную) и получить оценку специалиста или даже искусственного интеллекта, фишинг это или нет.
Чем рискует тот, кто просто щелкнул по ссылке
«Что будет, если я не вводил никаких паролей, а только перешел по фишерской ссылке на сайт?» Это один из самых распространенных вопросов. Сеть пестрит разными ответами. Попробуем разобраться.
Для того чтобы сработала классическая схема фишинга, пользователь должен сам перейти по ссылке и сообщить свой пароль на подставном сайте или иным образом клюнуть на приманку. Истории о том, как один тульский крестьянин едва взглянул на фишинговое письмо и потерял избу, корову, чувство меры и аккаунт в Google, мы отнесем к страшилкам. Необходимое условие успеха злодея — активное участие пользователя. Один лишь переход по ссылке на сайт с полем для ввода пароля не означает, что мошенник добрался до пароля. Что он получил наверняка — так это данные, которые обычно сайт получает от браузера: IP-адрес, тип браузера, версию операционной системы и др. Говоря образно, фишер узнает, какая именно рыбка заинтересовалась приманкой, хотя и не села на крючок. Возможно, это мотивирует фишера к усложнению атаки.
Почему тогда продвинутые пользователи и эксперты по безопасности пишут, что клик по фишинговой ссылке сам по себе представляет угрозу? На то есть веские причины. Первая: в программном обеспечении, например в операционной системе и браузере, в принципе могут существовать изъяны, уязвимости. Такие, которые и впрямь позволят при клике на ссылку загрузить вредоносный код. Вероятность этого мала, но полностью ее исключить нельзя. Вторая причина: пользователи нередко реагируют автоматически, не размышляя. Они стремительно подтверждают согласие перейти на сайт, скачать файл или запустить программу. (Вот почему, кстати, мы искренне советуем в настройках браузера сменить автоматическое скачивание файла на подтверждение «куда сохранить» — это дает пользователю еще один шанс притормозить и задуматься.) Чем раньше удается пресечь такое поведение, тем выше шансы сохранить пользователя и его данные в безопасности. Поэтому эксперты-безопасники фокусируют свое внимание на совете «не кликайте по фишинговой ссылке».
Разнообразие фишинга
Конечно, мошенники не ограничиваются электронной почтой. Для распространения фишинговых ссылок злодеи активно используют мессенджеры, социальные сети и прочие способы коммуникаций. Любители придумывать новые термины составили список типов фишинга. Так появились смишинг, вишинг, уэйлинг и пр. Если хотите произвести впечатление глубокими познаниями в области цифровой безопасности, можете попробовать эти словечки в компании друзей. Чаще остальных приходится слышать о spear phishing. Это упомянутый таргетированный фишинг, нацеленный на конкретного человека, а не пользователя вообще.
Разнообразие видов фишинга ставит под сомнение универсальность классических рецептов идентификации фишинга и их буквальное применение. Вряд ли можно навести курсор мыши и посмотреть, что там в нижней части браузера, если фишерское сообщение пришло на мобильное приложение Telegram. А как быть, если мошенники используют голосовую связь?
Именно разнообразие фишинга делает его таким опасным. Большинство пользователей как минимум слышало о фишинге. У кого-то пострадал знакомый. Но то было другое дело. Глупая, наивная приманка, якобы выигрыш в лотерею. Как можно было клюнуть на подобное? А здесь официальное письмо из налоговой с именем, фамилией, должностью инспектора…
Совет обращать внимание на орфографию по-прежнему работает. Сложно поверить, что корпорация Microsoft на самом деле обратится к вам с просьбой «зайти в ваш акаунт по привиденной ссылке». Но фишеры становятся грамотнее и изощреннее со временем.
Человеческий фактор
Разные виды фишинга объединяет ключевая особенность: злодеи делают ставку не на собственные технические таланты в преодолении цифровых средств защиты, а на человеческий фактор. Он проявляет себя уже в нехитром примере с адресом bookstore.x8s2.com. Здесь-то уж странные значки x8s2 бросаются в глаза, скажете вы. Почему же пользователи выдают кредит доверия таким сайтам?
Фишинговые письма используют человеческие эмоции, чтобы обойти человеческую логику. В подавляющем большинстве случаев мошенники настаивают на скорейших действиях. Успейте до конца неслыханной распродажи! Выигрышных мест всего три! Опротестуйте штраф, пока не поздно! Ваш аккаунт под угрозой, примите срочные меры!
В статье «Почему мы клюем на фишинговые письма и как нам себя защитить» Лорен Шенкман со ссылкой на IT-эксперта Даниэлу Оливейру и психолога Роберта Чиалдини приводит примеры триггеров, которыми пользуются манипуляторы. Один из способов повлиять на решение человека — ссылаться на властные полномочия. Отправителем становится якобы государственный орган, скажем, полиция. Фишеры могут удачно копировать канцелярский язык чиновников, придавать своим сообщениям оттенок угрозы, ссылаться на реально существующие нормативные акты. Большинство людей привыкли выполнять требования органов власти. Как минимум люди не хотят лишних неприятностей от государства. На это и рассчитывают мошенники. Авторы исследования, описанного в статье Лорен Шенкман, обратили внимание: люди разных возрастов попадались на разные триггеры, но «триггер власти» срабатывал лучше остальных во всех возрастных группах, особенно если в сообщении шла речь о юридических вопросах.
Участникам исследования предложили прочитать 21 фишинговое сообщение. Им подтвердили, что это фишинг, и попросили честно оценить, насколько вероятно, что они попадутся на удочку. Что же люди? Они в основном отрицали риск. Люди считали себя критически настроенными и устойчивыми к фишингу. На деле 43% из той же группы хоть раз да щелкали по фишинговым ссылкам, которые им на почту то и дело присылали коварные организаторы. 11.9% сделали это два и больше раз.
Фишинг как частный случай социальной инженерии
Описанные выводы подтверждаются результатами других исследований. Например, профессор Джефф Хэнкок из Стэнфордского университета в статье «Почему мы кликаем: психология как основа фишинга и что нам делать для своей защиты» приводит пример фишинга образца 2020 года. В разгар пандемии COVID-19 правительства некоторых стран старались поддерживать частных лиц и малый бизнес небольшими бюджетными дотациями. Преступники воспользовались этим: они рассылали людям суровые сообщения от имени государственных учреждений с требованиями вернуть часть денег как «переплату» или все деньги как «перечисленные по ошибке» (и, естественно, предлагали перейти по ссылке). Мошенники учитывали общую атмосферу неопределенности и страха, рост тревожности и стресса среди людей, многие из которых оказались в трудных жизненных обстоятельствах из-за потери работы, упадка бизнеса и вынужденного отказа от привычных способов коммуникаций с близкими. Некоторые международные организации и государственные учреждения даже выступили с официальными заявлениями о новой волне фишинга.
Дэн Кэллахан в статье о психологических триггерах выделяет несколько самых распространенных психологических триггеров — помимо упомянутого триггера власти.
- Жадность. Обещание крупного выигрыша, значительной экономии, пособия от государства и прочей внезапной материальной выгоды.
- Спешка. Если вы не кликнете по ссылке в течение трех дней, выигрыш уйдет другому, вы потеряете доступ к аккаунту и т. д.
- Страх. Не кликнете по ссылке — лишитесь своей почты, на вашей машине станет опасно ездить, операционная система не сможет получить критические обновления.
- Любопытство. Ваш заказ оформлен, оплачен и ожидает доставки, перейдите по ссылке для просмотра деталей. Ужасно интересно, что же там такое, ведь я вроде ничего не заказывал.
- Желание помочь. Нацелено на людей, которые склонны переводить небольшие пожертвования через Интернет.
Бывает, что мошенники комбинируют два фактора и более. «Наша компания сделает 40% скидку на оплату электроэнергии в течение полугода, если вы пройдете этот опрос». Есть и другие психологические трюки, например подчеркивание особой значимости объекта. («Мы опрашиваем наших самых активных и лояльных клиентов…»)
При таргетированном фишинге злоумышленники используют найденную ими информацию об объекте в качестве деталей, укрепляющих доверие. Жертва получает обращение, адресованное лично ей, с именем и фамилией. Автор послания от лица компании предлагает скидку ко дню рождения. И ведь вы действительно указывали день рождения при регистрации на сайте! Значит, это настоящее письмо? Но та же дата значится в аккаунте социальной сети. Оттуда ее и взяли мошенники.
Мне известна история, когда фишеры вели переписку со своей жертвой и не раскрыли себя. Пользователь наивно интересовался, все ли данные он предоставил фишерам. «Спасибо, вы молодец и все сделали правильно, — ласково реагировали мошенники, — больше от вас ничего не требуется».
Итак, фишинг — не просто преступление в компьютерной сфере, это частный случай социальной инженерии. IT-специалистам не разобраться с этой проблемой без привлечения психологов.
Что делать для защиты от фишинга
Главная задача — стараться переводить свои реакции из эмоциональных и быстрых в критические и продуманные. По крайней мере для тех запросов (не только по email), где вас просят перейти на какой-либо сайт по гиперссылке, открыть вложение или что-то скачать из сети. Не торопитесь. То, что просит автор сообщения, — обычное для вас дело? Если это что-то новое, непривычное, странное (например, произошел технический сбой на сервере социальной сети, чего на вашей памяти не случалось, и нужно срочно восстанавливать аккаунты) — возможно, вами заинтересовался фишер.
Задайте себе вопрос, есть ли в этом сообщении описанные в этой статье триггеры. Автор торопит? Демонстрирует власть? Пугает? Заманивает материальными ценностями? Пытается сыграть на вашем любопытстве? Давит на чувство сострадания? Если что-то из этого правда, возможно, перед вами фишинговое письмо.
Не забудьте, что помимо фишинга сообщения могут распространяться и в иных нездоровых целях. Примеры: «нигерийские письма» с информацией о чьем-то богатом денежном наследстве, компьютерный вирус в файле-вложении, злонамеренный фейк с призывом распространить его как можно шире. Гиперссылка — не обязательный атрибут, а вот эмоциональные, психологические триггеры могут быть те же.
Знаете ли вы автора сообщения лично? Доверяете ли ему? Уверены ли вы, что адрес (номер телефона, иной контакт) принадлежит именно этому человеку? При необходимости не стесняйтесь использовать другие каналы коммуникаций. Странное письмо пришло по email? Позвоните автору письма через мессенджер и спросите, действительно ли он отправлял такое сообщение.
Проверьте доменные имена. Совпадает ли домен якобы вашего банка в гиперссылке с реальным доменом официального сайта банка? Обратите внимание на грамотность составителя письма. А вот отвечать на подозрительное сообщение, вступать в переписку с вероятными мошенниками с идеей подловить их на нестыковках я не советую. Вы наверняка потратите дополнительные ресурсы и рискуете раскрыть злоумышленникам еще больше информации о себе.
Для подтверждения фишинга можно попробовать какой-нибудь из онлайновых анализаторов гиперссылок. Если после всех размышлений вы не можете прийти к однозначному выводу, советуем обратиться к экспертам за консультацией, например в Теплицу или на горячую линию по цифровой безопасности Access Now (оба варианта подходят для гражданских активистов и независимых журналистов).
Двухфакторная аутентификация помогает сохранить свой аккаунт, даже если злоумышленник получил пароль. А хороший менеджер паролей не даст вам ввести сохраненные логин и пароль на поддельный сайт.
Полезно советоваться о своих действиях в сети с более опытными друзьями или коллегами. Порой мы более трезво рассуждаем о проблемах других людей, чем о своих проблемах. Внешний взгляд вашего цифрового помощника может защитить вас от фишинговой атаки.
Что делать, если обнаружен фишинг
Если фишинг успешно определен на ранней стадии и нет оснований утверждать, что он таргетированный, считайте, что вы получили любопытный урок. Можно поделиться находкой с коллегами — вдруг им тоже пришла (или еще придет) подобная гадость. Мы в Теплице заинтересованы в примерах креативного фишинга.
С таргетированным фишингом лучше держать ухо востро. Если вы связываете попытку фишинга с вашей гражданской активностью или профессиональной деятельностью, поговорите с близкими людьми, проверьте прочие каналы связи. Не приходило ли еще чего-то подобного? Не пытался ли кто-то неизвестный или малознакомый разузнать о вас побольше, собрать информацию? Возможно, злоумышленник не остановится после одной неудачной попытки фишинга.
Все-таки кликнули фишерскую ссылку? Убедитесь, что ничего не скачивали, не запускали, никуда далее с фейкового сайта не переходили. Сделайте скриншот фишерского сайта: может пригодиться впоследствии (а нам в Теплице будет очень интересно на него взглянуть). Закройте сайт и не возвращайтесь туда. В качестве терапевтической меры, скорее, ради спокойствия и благополучия, можете проверить диск любым антивирусным сканером.
Кликнули фишерскую ссылку, ввели логин и пароль, а двухфакторная аутентификация в аккаунте отключена (вы не знаете, включена ли)? Попробуйте вернуть себе скомпрометированный аккаунт:
- зайдите на него как обычно;
- смените пароль;
- закройте все открытые сессии, кроме собственной;
- включите двухфакторную аутентификацию (если есть такая опция), лучше с привязкой к своему устройству через программу-генератор кодов, и не забудьте, пожалуйста, про резервные коды;
- проверьте, есть ли следы посторонней активности в аккаунте (отправленные сообщения, изменившиеся настройки, новые учетные записи и т. д.);
- проверьте, есть ли следы посторонней активности на других сайтах, куда можно попасть с помощью пострадавшего аккаунта (например, если злоумышленник добрался до аккаунта email, а тот привязан к аккаунту соцсети или мессенджера).
Если фишер успел навредить, вам придется действовать по обстоятельствам. Например, сообщить адресатам, что отправленное сообщение «Перечислите быстрее деньги мне на карточку» — не ваш отчаянный призыв о помощи, а результат фишинговой атаки. Последствия чужого вторжения в аккаунт могут быть очень разные. Они зависят от самого аккаунта и прочих обстоятельств, в частности от времени, которое было в распоряжении злоумышленника.
Наконец, если фишер перехватил контроль над аккаунтом и войти туда не удается, придется действовать через сервис восстановления доступа. Такая возможность есть у некоторых крупных ресурсов. Но эта попытка не гарантирует успех. Можно потратить время и ответить на кучу вопросов, а в конце услышать: «Мы не смогли получить достаточную информацию для верификации». Если вы гражданский активист или независимый журналист, а фишинговая атака была связана (как вы полагаете) с вашей гражданской активностью или профессиональной деятельностью, можно обратиться за помощью в Access Now. Известны случаи, когда коллегам после непростых переговоров с владельцами ресурсов удавалось вернуть аккаунты их законным хозяевам.
Обращение к командам активистов, редакций СМИ и экспертов по безопасности
Кажется, актуальность проблемы фишинга никто не оспаривает. Однако Теплица наблюдает недостаток практического интереса к этой теме в нашей целевой аудитории. Социальная инженерия продолжает оставаться «темной лошадкой» в спектре вопросов цифровой безопасности.
Теплица рекомендует командам активистов и редакциям СМИ включать правила реагирования на фишинг в свои групповые политики безопасности. Пожалуйста, делитесь информацией о креативных и агрессивных случаях фишинга с коллегами и специалистами.
Мы также обращаемся к экспертам по безопасности, работающим для структур гражданского общества: давайте рассматривать фишинг как часть социальной инженерии. Попробуем относиться к фишингу как к проблеме обеспечения комплексной безопасности, а не чисто цифровой угрозе. Привлекайте психологов к обсуждению этой темы на мероприятиях, к разработке образовательных материалов.
Конфиденс Стейвли из Forbes в статье «Сила эмоций: как преступники используют психологию» рекомендует обращать внимание на эмоциональные, психологические триггеры в просветительских программах по вопросам безопасности.
Теплица присоединяется к этому совету.