Вас когда-нибудь просили «срочно подтвердить платёж» или «обновить реквизиты» по ссылке из письма? А может быть, вы получали сообщения от «банка» или «налоговой», которые выглядели подозрительно. Если да — вы уже сталкивались с фишингом, даже если не знали, что это называется именно так. Способы мошенничества в интернете становятся всё разнообразнее, но всё равно хотят получить доступ к вашим деньгам, корпоративным сервисам и персональным данным. В этой статье мы разберём, что такое фишинг, как его распознать и избежать угроз для бизнеса.
Что такое фишинг
Фишинг (от английского phishing, созвучного с fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества, при котором злоумышленники пытаются выманить конфиденциальные сведения: логины, пароли, реквизиты банковской карты, доступы к корпоративным сервисам. Обычно для этого используют поддельные сайты, письма или сообщения, которые выглядят как настоящие. Задача — заставить человека перейти по ссылке, ввести данные и тем самым передать их мошенникам.
Виды фишинга
Классический фишинг — массовая отправка писем или сообщений с поддельными ссылками. Письмо приходит якобы от банка, контролирующего органа, партнёра, клиента с вопросом или коллеги. Кроме ссылок, внутри может оказаться вложение, содержащее вирус.
Целевой, или spear-фишинг — атака на конкретных людей в компании, обычно на руководителя или должностных лиц. Письмо при этом выглядит максимально персонализированным, содержит обращение по имени и отчеству. Таким образом мошенники могут пытаться подделать какие-либо документы, связанные с бизнесом.
Смишинг — фишинговые сообщения приходят в виде СМС. В тексте тоже находится вредоносная ссылка, которая может казаться безобидной.
Вишинг, или фишинг по телефону. Мошенники звонят и представляются сотрудниками банка или службы безопасности, просят установить приложение, сообщить код доступа. Так они получают доступ к Госуслугам, счетам бизнеса или корпоративным сервисам.
Фарминг — подмена доменного имени (DNS-адреса) сайта, из-за чего пользователь попадает на поддельную страницу, даже если вводит правильный адрес вручную. Внешне она выглядит абсолютно нормально, но все данные, которые вы введёте, например, логин, пароль и банковские реквизиты, попадут к мошенникам. Они часто подделывают корпоративные сервисы, страницы банков, CRM-систем. Опасность этого вида фишинга в том, что его трудно заметить и тяжело бороться, потому что адрес в строке может быть настоящим.
QR-фишинг, или квишинг — создание вредоносных QR-кодов и размещение их в общественных местах или интернете. Если такой код внедрить на сайт компании и подменить платёжные реквизиты, деньги клиентов не попадут к вам.
Это основные варианты фишинга, но хакеры регулярно придумывают новые методы.
Как работает фишинг
Принцип зависит от его вида. Для классического, целевого и фишинга в СМС действует такая схема: предприниматель получает тревожное письмо или сообщение якобы от банка, ФНС или даже коллеги. Текст может быть таким: «Ваш аккаунт заблокирован», «Срочно подтвердите платёж», «Ваша компания попала в реестр нарушителей». В письме второй тип фишинга — фарминг, или ссылка на сайт-двойник. Вы переходите, вводите свои данные — и они тут же оказываются у мошенников.
Руководитель ООО получает письмо от «банка» с просьбой подтвердить реквизиты. Сайт выглядит как настоящий, но адрес — bank-ru.com вместо bank.ru. После ввода данных мошенники получают доступ к корпоративному счёту.
Для вишинга — телефонного мошенничества — важно психологически воздействовать на жертву: убедить, что это действительно служба безопасности, что «случилось страшное», а действовать нужно сейчас. Когда вы читаете этот текст, ситуация кажется абсурдной, но в 2024 году ущерб от вишинга в России составил не менее 295 млрд рублей, а количество звонков достигало 20 млн за сутки. Учитывая возможности искусственного интеллекта, который позволяет подделать голоса коллег, партнёров и клиентов, угроза кажется ещё более опасной.
Кто подвержен фишинговым атакам
Фишинг не выбирает жертв по размеру бизнеса, если только мошенники не охотятся за конкретным предпринимателем из личных целей или по заказу конкурента. Поэтому обычно зоне риска все — от ИП до крупных корпораций.
Как распознать фишинговый сайт и ссылку
Главный совет: будьте внимательны. Вот несколько признаков, по которым можно вычислить фишинг.
Странный адрес сайта: лишние буквы, тире, подмена символов (например, rn вместо m). Если сомневаетесь, что письмо действительно от банка, налоговой или партнёра, зайдите на официальный сайт самостоятельно и посмотрите адрес.
Откройте подозрительное письмо: в браузере, если навести курсор на ссылку и нажать правую кнопку мыши, можно копировать ссылку. Сделайте это и вставьте в адресную строку, но не переходите по ней. Сравните две ссылки: скорее всего, вы увидите перечисленные отличия. Можно сделать проще: наведите курсор не кликая. Ссылка, зашитая в текст, появится в левом нижнем углу экрана.
Вот фрагмент письма от банка, которое почта определила как спам, поэтому отключила все ссылки и удалила изображения. Сначала придётся отметить, что оно не является спамом. Вот как увидеть ссылку.
Вставим её в поисковую строку, ни в коем случае не переходим!
По адресу видно, что ссылка не ведёт на сайт банка: с первого сайта (левое подчёркивание) происходит автоматическое перенаправление (редирект) на второй сайт (правое подчёркивание). Открывать ссылку из письма нельзя. Лучше снова отправить его в спам.
Соединение не защищено. Это можно увидеть, если ссылка уже открыта. Фишинговая ссылка начинается с «http» вместо «https» или не содержит двоеточие и косые черты («://») после этих символов. Также может отсутствовать виртуальный индикатор, который говорит, что сайт защищён сертификатом безопасности. Индикатор обычно находится слева от поисковой строки и выглядит как замочек.
Вот как выглядит ссылка на статью об угрозах кибербезопасности, которая размещена на нашей платформе.
Браузеры обычно предупреждают о подобных подозрительных ссылках или вообще не позволяют их открыть, но это происходит не всегда.
Ошибки в тексте, странная вёрстка, неработающие кнопки. Эта ещё одна уловка, рассчитанная на не очень внимательного пользователя.
Вот аналогичное письмо «от банка».
Требование срочно ввести личные или платёжные данные. Срочность — один из крючков, на который мошенники пытаются поймать жертву, особенно если речь идёт о блокировке счёта, задолженности по налогам, судебным повесткам, проверкам и так далее. В этом случае важно быть не только внимательным, но и спокойным, чтобы не было соблазна проверить «письмо счастья».
Обратитесь в банк, налоговую, позвоните в суд. Надёжная информация поможет найти истину и не переживать.
Что делать, если вы стали жертвой фишинга
Самое важное — играть на опережение:
- Отключите от интернета устройство, с которого была открыта ссылка.
- Как можно быстрее смените пароли на всех сервисах, где могли быть скомпрометированы данные.
- Если ввели реквизиты банковской карты — заблокируйте её через мобильное приложение. Позвоните в банк, если понятно, что мошенники получили доступ к расчётному счёту.
- Оцените масштаб ущерба: какие данные утеряны, на какие сервисы вы не можете зайти, похищены ли деньги и так далее.
- Сообщите в службу безопасности вашей компании или ответственному за информационную безопасность.
- Проверьте устройства на наличие вредоносных программ с помощью антивируса.
- Обратитесь в полицию — за фишинг предусмотрена уголовная ответственность, например, по ст. 272 УК РФ («Неправомерный доступ к компьютерной информации») или по ст. 159 УК РФ («Мошенничество»).
Если фишинг привёл к утечке персональных данных, нужно уведомить Роскомнадзор, согласно п. 11 ст. 13.11 КоАП. Если этого не сделать, бизнес получит штраф.
Какие меры принять для защиты от фишинговых атак
Используйте двухфакторную аутентификацию для всех важных сервисов. Это способ входа в аккаунт или на сайт, при котором нужно подтвердить свою личность двумя разными способами. Обычно сначала вводят логин и пароль — первый фактор, а затем подтверждают действие, например, вводят специальный код из СМС — второй фактор. Механизм усиливает безопасность: если даже кто-то знает пароль, то не попадёт в сервис без кода.
Двухфакторную аутентификацию можно подключить в настройках, но во многих современных сервисах работа без неё в принципе невозможна.
Установите антивирус с функцией проверки ссылок и сайтов. Существует множество антивирусных программ, например, Kaspersky, Dr. Web и другие. Запросите консультацию на сайте, и менеджер подберёт нужный продукт, исходя из ваших задач и бюджета.
Регулярно обновляйте операционную систему и программы. Мы привыкли думать, что своевременное обновление добавляет новые функции, делает работу более стабильной. Но разработчики усиливают и меры защиты, которые не позволят взломать или заразить ваше ПО.
Проводите обучение сотрудников. Расскажите, как выглядят фишинговые письма и сайты, что нужно и не нужно делать, объясните ответственность за утечку данных. Можно даже запустить фишинговую рассылку в корпоративной почте или мессенджере. Это поможет всем быть настороже и не пропустить этот или другие виды мошенничества в интернете.
Настройте фильтры спама и антифишинговые плагины в почте. Так сомнительный контент просто не попадёт на глаза вам и сотрудникам. Во многих почтовых сервисах они включены по умолчанию. Если вы в этом не уверены или не можете их настроить, обратитесь в техподдержку.
Проверьте, что у всех сотрудников сложные и уникальные пароли. Пароли должны соответствовать этим параметрам, чтобы данные нельзя было украсть благодаря простому подбору. Для разных сервисов, например, почты, CRM-системы и интернет-банка нужно придумывать разные комбинации символов. А ещё пароли нужно менять: в очень крупных компаниях для напоминания и смены паролей используют специальное ПО, или эти задачи иногда выполняет служба безопасности.
Не переходите по ссылкам из подозрительных писем и сообщений. Мы уже выяснили, как отличить фишинговый контент от подлинного, помните эти советы.
Используйте корпоративные VPN. Через открытую сеть ваши данные могут перехватить. VPN шифрует трафик, и даже если его перехватят, то не смогут расшифровать. А ещё технология помогает защититься от подмены сайтов (фарминга) и атак, когда злоумышленники пытаются «подсунуть» поддельную страницу. Через VPN вы подключаетесь к корпоративной сети напрямую, минуя подозрительные точки доступа.
Храните резервные копии важных данных на отдельном носителе. Если доступ к аккаунтам, сайтам и базам данных будет утерян, это затормозит работу, поставит под угрозу безопасность информации и бизнеса, создаст риски для репутации. Всегда полезно иметь дополнительное хранилище и использовать разные пароли, которые будут знать только ответственные лица.
Совет: добавьте в закладки официальные сайты банков, налоговой и других важных сервисов. Заходите на них только через закладки, а не по ссылкам из писем.
