Ако някога сте използвали електронна поща, най-вероятно сте попадали на фалшиви писма, които Ви подканват да въведете данните на кредитната си карта, паролата за електронната си поща или друга лична информация. Възможно е да сте получавали линкове към фалшиви страници и в социалните мрежи или чрез някое приложение за незабавни съобщения. Независимо дали сте обикновен човек, държавен служител или висш служител в частна компания, може да станете жертва на подобна случайна или преднамерена атака. Подобни опити да бъдете заблудени са известни като фишинг.

И така, какво точно е фишинг?

По дефиниция това е опит да се придобие лична информация чрез измама, като се изпрати фалшиво съобщение на нищо неподозиращ човек, подтиквайки го или да посети фалшив уеб сайт, който изглежда като истински, или да свали и инсталира зловреден софтуер на компютъра си.

“Фишинг” (англ. Phishing) идва от fishing (риболов), тъй като измамници използват онлайн примамки, за да “ловят” информация. Терминът е използван за пръв път през 1996 г. от хакери, които крадат потребителски имена и пароли за AOL (America Online, голяма интернет компания от САЩ). Те използват акаунтите като вид валута, наречена “phish”.

Кадър от анимация на Федералната комисия по търговия на САЩ

Първата атака срещу разплащателна система е засечена през 2001 г. (E-gold). През 2003 г. са регистрирани множество домейни, наподобяващи домейните на PayPal и eBay; засечена е и първата фишинг атака срещу банка. Оттогава насам има хиляди атаки към различни институции, а загубите се изчисляват на над 26 милиарда долара (https://www.ic3.gov/Media/Y2019/PSA190910). Ако оставим парите настрана, изтичането на лични данни и кражбата на идентичност са сред най-сериозните последствия, свързани с фишинг атаки.

Фишинг техники

Измамниците използват различни техники в опитите си да придобият неоторизиран достъп до информация. Масовият фишинг, който не е насочен към конкретен човек, е най-лесен за изпълнение, тъй като изисква единствено мащабно изпращане на електронни писма. Понякога обаче измамниците се прицелват в длъжностни лица на високи постове в държавната администрация или в частни компании, като могат да бъдат доста изобретателни. Ако сте запознати с техниките, които използват, е по-вероятно да забележите, ако нещо не е както трябва. Ето и няколко примера на най-често използваните фишинг техники:

Много дълъг поддомейн, използван за фалшив PayPal сайт.
  • Манипулиране на линкове. Това е най-използваната техника, тъй като е най-лесна за използване. Това е и техниката, която е най-вероятно да подмами хората да предоставят личната си информация, мислейки, че са на легитимен уеб сайт. Всеки имейл или сайт, използван от измамниците, може да е точно копие на реален имейл/сайт, като само един-единствен линк може да е фалшив. Има различни начини да бъдете заблудени, че даден уеб адрес, който трябва да кликнете, е легитимен:
    • IDN подправяне / атака чрез омофони. Интернационализираните домейни (internationalized domain names, IDN) са имена, които съдържат поне един символ, който не е част от английската азбука. Например, “а” на кирилица и “a” на английски изглеждат идентично. Ако видите подобен домейн в имейл, няма да може да кажете, че нещо не е наред. В сферата на онлайн сигурността този метод е известен и като “IDN Homograph Attack” (омографите са думи, които се пишат по един и същ начин, но имат различно значение). По-новите версии на голяма част от интернет браузърите вече включват защита срещу подобни атаки, като изобразяват даден домейн чрез т.нар. punycode, ако той съдържа символи от различни азбуки. PayPal.com, съдържащ един символ на кирилица например, се изобразява така: xn--pypal-4ve.com.
    • Поддомейн. Измамниците понякога регистрират или домейн с произволни букви като asdasdfgh.com, или на пръв поглед нормален домейн, а след това създават поддомейн като bank-login.com.asdasdfgh.com. Ако поддомейнът е дълъг, става по-трудно да се види реалният домейн. Много хора виждат само първата част на уеб адреса и вярват, че са отворили истинския сайт.
      Някои браузъри като Google Chrome вече правят опити да направят сърфирането в мрежата по-сигурно по отношение на подобни атаки, като изобразяват домейна в уеб адреса по по-различен начин, за да е по-видим. Тази практика все още е противоречива и тепърва ще видим дали ще бъде възприета от онлайн обществото.
    • Смесване на фалшиви и истински линкове. Някои имейл филтри и антивирусни програми могат да бъдат заблудени, ако дадено писмо или уеб сайт съдържа множество линкове към истинския уеб сайт – условия за ползване, страница за контакт и т.н. Може един-единствен линк в имейла да е фалшив. Дори да проверите линковете ръчно, ще забележите нещо подозрително само ако нацелите единствения фалшив линк.
    • Скрити уеб адреси. Уеб и десктоп имейл приложенията обикновено изобразяват HTML писма. В тях лесно може да се добави произволен линк в HTML таг, например <а>произволен текст, така че, ако не внимавате, може да кликнете на произволен линк, скрит зад думи като “Логин”, “Посетете сайта” и т.н.
    • Съкратители на уеб адреси. Безплатни услуги като TinyURL и Bitly често се използват, за да се замаскира реалният уеб адрес, на който ще отидете, ако цъкнете някой линк. Имейл филтрите обикновено пропускат подобни кратки линкове, тъй като те не водят директно до фишинг сайтове.
    • Пренасочване. Тази техника е доста проста, но находчива. Когато въведете личната си информация или данните от кредитната си карта на фалшивия уеб сайт, той Ви пренасочва към истинския сайт. По този начин може да решите, че просто не сте написали нещо както трябва, а ако опитате отново, информацията ще бъде приета. Ако не обърнете внимание на коя страница сте още, докато въвеждате информацията, няма да можете да забележите нищо на по-късен етап.
  • Използване на изображения. Имейл филтрите обикновено сканират писмата за конкретни линкове или фрази. Ако част от текста се замени с изображение на този текст обаче, би било много по-трудно да се засече, че съобщението е измамно. По същата причина логото на дадена търговска марка или учреждение може да бъде леко замазано, за да не може да бъде разпознато от автоматичен софтуер.
  • Подправяне на уеб сайт. Ако даден уеб сайт е създаден с приложение, което има уязвимост, сайтът може да бъде хакнат с цел да се добави зловреден код към него. Така може да въведете личната си информация на легитимен сайт, но тя да бъде изпратена към трето лице. Други методи за подправяне включват JavaScript команди, за да се промени лентата за адреси на браузъра или да се затвори даден легитимен сайт и веднага след това да се отвори негово фалшиво копие чрез използването на скрипт.
  • Пренасочване в рамка. В днешно време повечето уеб сайтове не могат да се вграждат в рамка (т.нар. iframe), но тази техника все още се използва. Легитимният сайт се зарежда в рамка, за да бъде вграден във фалшивия сайт. Допълнително добавени полета или изскачащи прозорци Ви подканват да въведете личните си данни.
Източник: https://docs.apwg.org/reports/apwg_trends_report_q3_2020.pdf

Как да засечете фишинг атака

Ако очаквате имейл от някоя организация (банката Ви, доставчик на хостинг услуги, социална мрежа), най-вероятно ако получите такъв, той ще е легитимен. Ако получите имейл изненадващо обаче, трябва винаги да сте нащрек, докато не се убедите, че имейлът е истински. Ето няколко неща, които можете да погледнете, за да проверите дали писмото е истинско или е изпратено от измамник:

Пример за фалшив имейл. Никоя банка няма да Ви кара да потвърждавате лична информация онлайн.
  • Вижте на каква тема е имейлът. Фишинг имейлите обикновено се опитват да Ви подмамят чрез някаква история. След това Ви подканват да кликнете на линк или да отворите прикачен файл. Това е първият признак, че нещо не е наред, тъй като никоя фирма няма да Ви изпрати подобен имейл просто така. Обикновено фалшив имейл ще Ви подкани да кликнете на линк, защото сте спечелили от лотария, за да платите неплатена фактура, без да сте поръчвали нещо, за да видите информация за неоторизиран достъп до Ваш акаунт или някоя друга неправдоподобна причина. Трябва да игнорирате подобни писма, а би било най-добре да се свържете с компанията/организацията, от чието име е писмото, за да проверите дали са Ви изпращали нещо и да се уверите, че няма проблеми с акаунта Ви.
  • Проверете линка, който трябва да кликнете. Ако имате някакви съмнения дали имейлът, който сте получили, е легитимен, посочете с мишката си върху някой линк и вижте накъде сочи той. Това важи както за уеб базирани имейл приложения, така и за десктоп клиенти. Ако уеб адресът Ви е непознат (bulbank-login.com,например), не кликвайте върху него, а изтрийте имейла веднага. Както споменахме вече, възможно е в писмото да има линкове както към истински, така и към фалшиви сайтове, така че трябва да проверите конкретния линк, на който искате да цъкнете.
  • Ако все пак кликнете на някой линк, проверете целия уеб адрес, изписан в браузъра Ви. При нужда може да го копирате в някой текстов редактор, за да го видите целия. Вижте кой е реалният домейн в адреса (напр. example.com) – това ще Ви подскаже дали сте на истинския уеб сайт или на негово фалшиво копие.
  • Проверете SSL сертификата на сайта. Имайте предвид, че в днешно време всеки сайт, включително фалшив такъв, може да има SSL сертификат. Сертификатът гарантира, че наистина отваряте домейна, изписан в адресната лента на браузъра, но нищо повече от това. Дори Extended Validation сертификатите, при които с документи се проверява компанията, поръчваща сертификата, не осигуряват достатъчно високо ниво на сигурност. Експертът по киберсигурност Трой Хънт споделя повече относно ползите от подобен тип сертификати – https://www.troyhunt.com/extended-validation-certificates-are-really-really-dead/

Как да предотвратите фишинг атаки

Има мерки, които можете да предприемете, за да предотвратите фишинг атака, или поне да намалите шанса Вие или компанията Ви да станете жертва на такава атака. Колкото и да е сложна дадена атака, долните стъпки ще Ви помогнат да избегнете или значително да намалите щетите.

  • Пуснете двуфакторна автентикация

Все повече компании предлагат двуфакторна автентикация (2FA) за услугите си. Това допълнително ниво на сигурност може да спре неоторизирания достъп до акаунта Ви от страна на трето лице, дори то да има логин детайлите Ви. Ако подобна опция е налична, изберете еднократна динамична автентикация – SMS, ограничена във времето еднократна парола (TOTP), или т.нар. push нотификация, ако използвате някакво приложение на телефона си. Избягвайте опции като постоянен PIN номер или предварително зададен отговор на въпрос, тъй като е по-лесно да ги напишете на фалшив сайт.

Популярни 2FA приложения

– Google Authenticator (Android, iOS)

– Microsoft Authenticator (Android, iOS, Windows 10 Mobile)

– LastPass Authenticator (Android, iOS, Windows 10 Mobile)

– Authy (Android, iOS, Windows, MacOS, Linux)

  • Образовайте служителите си

Ако ръководите фирма или организация, всеки от служителите Ви може да стане жертва на фишинг атака. Това важи за всеки човек, работещ с имейли, но най-вече за хората с по-малко технически познания. Ако някой работен имейл или компютър е компрометиран вследствие на фишинг атака, дейността на цялата организация е подложена на опасност. Личната информация на клиентите може да бъде открадната например, а подобно нещо би имало пагубен ефект върху репутацията на компанията.

Ето защо трябва да образовате служителите си и да им помогнете да забелязват фишинг атаки по-лесно. Ако те са наясно относно възможните заплахи, със сигурност ще са по-внимателни, когато отварят имейли или уеб сайтове. Препоръчително е да провеждате обучителни курсове по темата редовно, за да може служителите Ви да са в крак с най-новите заплахи. Сумата, която може да загубите при евентуален пробив в сигурността и теч на информация, би била много по-висока от тази, която бихте платили, за да наемете специалист по сигурността, който да провежда обучителни курсове.

  • Пуснете имейл филтри за кутиите си

Добра платформа за филтриране на имейли може да намали значително шанса фишинг писма да достигнат до електронната Ви поща. Повечето фишинг имейли съдържат определени думи и фрази. Антиспам платформи като SpamAssassin филтрират съобщенията на базата на тези думи. Всички наши уеб хостинг планове например идват със SpamAssassin по подразбиране. Платформата включва Бейсов филтър, който се самообучава от съобщенията, които маркирате като спам ръчно. По този начин платформата се адаптира и филтрира съобщенията по-ефективно, намалявайки шанса да отворите фалшиво писмо.

  • Създайте SPF/DKIM записи за домейните си

SPF записът, или Sender Policy Framework, определя на кои имейл сървъри е позволено да изпращат писма от даден домейн. DKIM, или Domain Keys Identified Mail, е цифров подпис, който се добавя към хедърите на всяко писмо, потвърждавайки, че то е истинско. За да активирате някоя от тези защити, трябва единствено да създадете TXT запис в DNS зоната на домейна си. По-просто казано, трябва да създадете нов запис там, където се управляват DNS записите на домейна Ви (т.е. доставчикът, чиито нейм сървъри използва домейнът). Може да използвате онлайн генератор на SPF/DKIM записи или да се обърнете към доставчика си на хостинг услуги за съдействие.

Ако SPF/DKIM запис е създаден за даден домейн, имейл сървърите, които получат писмо, проверяват дали то е изпратено от упълномощен сървър и дали е подписано с правилния цифров подпис. Ако има някакво несъответствие, писмото ще бъде отхвърлено или ще бъде маркирано като спам. По този начин никой няма да може да изпраща писма и да ги маскира, сякаш Вие сте ги изпратили. Добавянето на записите ще защити не само хората, които получават имейли от Вас, но и Вашите собствени пощенски кутии. Ако имате бизнес, някой измамник може да се опита да получи фирмена информация, като Ви изпрати писмо и го маскира, сякаш е било изпратено от друга Ваша кутия.

Нашата хостинг платформа Ви позволява да добавите SPF и DKIM записи с един клик.
  • Използвайте антивирусен софтуер

Повечето антивирусни приложения вече правят много повече неща от това само да следят други работещи приложения на компютъра. В днешно време те често включват уеб защита, която наблюдава всички уеб адреси, които отваряте. Ако приложенията засекат фалшив сайт или ако някой сайт иска да свали зловреден софтуер на компютъра Ви, те ще блокират достъпа до него. Някои антивирусни приложения предлагат и имейл защита. Разбира се, трябва винаги да сте нащрек, тъй като никой софтуер не може да Ви гарантира стопроцентова защита.

  • Редовно правете бекъпи на съдържанието си

Ако притежавате уеб сайт и някой се сдобие с логин детайлите за акаунта Ви, той може лесно да промени или изтрие сайта Ви. Това може да има пагубен ефект върху бизнеса Ви. Имайки предвид, че присъствието в мрежата в днешно време е изключително важно, трябва да сте подготвени, ако подобно нещо все пак се случи. Ето защо трябва редовно да правите бекъпи на цялото си съдържание. Макар че възстановяването от бекъп е свързано повече с ограничаване на щетите, генерирането на бекъпи редовно е част от предотвратяването на по-сериозни проблеми.

ICDSoft например пази по два бекъпа на ден за всички хостинг акаунти за последните седем дни, но с услугата “Допълнителни архиви” ще имате достъп до бекъпи в продължение на цяла година. По този начин няма да имате повод за притеснение каквото и да се случи.

Можете да използвате хостинг акаунта си, за да пазите бекъп и на личните си файлове. За разлика от повечето доставчици на хостинг услуги, които не позволяват съхранението на архиви на сървърите си, ние не налагаме подобни ограничения стига съдържанието да е легално. Ако бъдете подмамени да свалите и стартирате софтуер на компютъра си, файловете Ви може да бъдат криптирани. Ще трябва да платите откуп за декриптирането им, но няма гаранция, че след това ще получите достъп до съдържанието си. Ако имате пълен бекъп на личните си файлове, ще имате една грижа по-малко.

А ако все пак Ви подмамят?

Фишинг атаките стават все по-сложни. По-трудно е да се разпознае дали даден имейл е фалшив, а фалшивите уеб сайтове все по-често са точно копие на истинските. Възможно е да бъдете подмамени да въведете личните си данни или номера на кредитната си карта на фалшив сайт, или да свалите и стартирате някое приложение на компютъра си. Ако това стане, трябва да знаете какво да правите, за да ограничите щетите.

Ако свалите някое приложение с вирус, изключете компютъра си веднага щом осъзнаете, че приложението не е легитимно. По този начин, ако не е прекалено късно, измамниците няма да могат да поемат контрол над компютъра, а приложението няма да може да им изпрати личната Ви информация. Свържете се с компютърен специалист или уведомете системен администратор, ако това се случи със служебен компютър.

Ако сте предоставили логин детайли, сменете паролите си веднага, ако все още имате достъп до акаунта. Желателно е да направите това от друг компютър, тъй като е вероятно на Вашия да има зловреден софтуер. Не използвайте стари пароли или такива, които вече използвате за други услуги. Използвайте дълги и сложни пароли, които включват главни и малки букви, цифри и специални символи. Активирайте двуфакторна автентикация за акаунта си.

haveibeenpwned.com е услуга, чрез която можете да видите дали някоя от паролите Ви е била част от някой теч на информация. Ако искате да смените паролите си, може първо да ги проверите на този сайт.

Свържете се с организацията, чиято информация е изтекла. Ако трето лице получи достъп до някой от акаунтите Ви с тях, те могат да Ви помогнат – да блокират временно услугите Ви, за да предотвратят по-големи щети или да Ви помогнат да си възстановите изгубена услуга (откраднат домейн или изтрит файл например). Възможно е да могат и да Ви дадат повече информация относно местоположението на измамника. В случай, че планирате да се свържете с правоохранителните органи, уведомете организацията предварително, за да им дадете възможност да подготвят необходимата информация.

Ако сте предоставили каквато и да е финансова информация, като например номерa на банковата си сметка или на кредитна/дебитна карта, свържете се с банката си незабавно и поискайте да блокират всички Ваши сметки и карти. Много банки отказват съмнителни плащания автоматично, но ако все пак някой открадне парите Ви, трябва да оспорите плащането и да смените картите си.

Други видове фишинг

Струва си да споменем, че фалшивите имейли и уеб сайтове не са единственият начин, по който измамници се опитват да се докопат до лични данни. Фишингът по телефона или чрез SMS също е често срещан в днешно време. Използвайки фалшиво име, показващо се при обаждане, измамниците подканват хората да им предоставят лична или финансова информация по телефона или като изпратят текстово съобщение. Тъй като повечето телефони в днешно време са свързани с интернет, изпращането на линк чрез текстово съобщение не е много по-различно от изпращането на линк по имейл.

Фалшиви профили в социалните мрежи; безплатни wi-fi мрежи на публични места, специално създадени за разпространението на зловреден софтуер; скриптове, маскирани като реклами – това са други начини, използвани от измамници, за да получат достъп до лични или финансови данни.

Тенденциите във фишинга през 2020/2021 г.

Фишинг атаките в наши дни са много сложни. Измамниците стават все по-изобретателни, така че трябва да сте много внимателни, когато трябва да кликнете върху някой линк. Сред новите фишинг техники, засечени през 2019 г., се включват фалшиви резултати от търсене в Гугъл с цел да посетите точно определен сайт със зловреден софтуер или насочване към несъществуваща страница на даден сайт, където единствено страницата за грешка (404 error page) съдържа зловреден код. Ако сте любопитни да научите повече за тези техники, може да посетите https://www.microsoft.com/security/blog/2019/12/11/the-quiet-evolution-of-phishing/.

Броят засечени фишинг атаки през 2020 г. е наполовина спрямо предишни години, но това не означава, че опасността е отминала. Напротив, атаките все повече се съсредоточават върху конкретни лица или организации, т.е. търси се повече качеството за сметка на количеството. Около една трета от всички течове на информация през изминалите няколко години са в резултат на фишинг атака, а половината от тях са вследствие на човешка грешка.

Очаква се броят фишинг атаки да нарасне през 2021 г., тъй като много компании преместиха бизнеса си в мрежата, а хората пазаруват онлайн и използват цифрови услуги повече от всякога. KnowBe4, платформа за обучение относно онлайн сигурността, предвижда, че предстои вълна от фишинг имейли, възползващи се от популярни теми като ваксините срещу COVID-19 и завръщането на хората в офисите.

Според Cofense Labs, имейли на сексуална тематика, които се използват за изнудване на хората, са донесли на престъпните организации над 1,5 милиона долара само за 2019 г. Тази схема се използва и днес. Предупредихме Ви за нея преди няколко години и се надяваме, че не сте се хванали на някой подобен имейл. Научете повече от долната статия:

В заключение

В днешно време фишингът е една от най-сериозните опасности в мрежата. Всеки ден се хакват уеб сайтове и се добавят фалшиви страници към тях; милиони измамни имейли се изпращат от хакнати хостинг акаунти и сървъри. Фишинг атаките стават все по-сложни всяка година, затова е много важно да можете да различите фалшив уеб сайт или имейл от истински такъв. За да се справите с опасността, трябва да сте в крак с най-новите техники, които измамниците използват и да не спирате да се обучавате непрекъснато. Ако все пак нещо стане, трябва да реагирате бързо и трябва да знаете какво точно да направите. Надяваме се нашата статия да Ви помогне да предотвратите подобен неприятен инцидент.

Avatar
Автор

ICDSoft е българска компания с дългогодишен опит в хостинг индустрията. Държим на качество и честност в предоставяните услуги, а екипът ни от професионалисти е винаги готов да Ви помогне при нужда.