Перехід до дистанційної роботи та навчання протягом 2020 року відбувався одночасно зі стрімким загостренням одвічної проблеми кібербезпеки — фішингом.
Майже такий самий давній, як і електронне листування, фішинг процвітає завдяки шахраям, які розсилають листи нібито з надійного джерела, наприклад твого банку, держустанови чи навіть твоєї компанії. Метою завжди є спонукання до передачі конфіденційної інформації.
Фішингові атаки загрожують усім, навіть таким спеціалістам, як Річард Рашинг — голова відділу інформаційної безпеки компанії Motorola.
«Подібні атаки відбуваються по вертикалі, згори вниз, досягаючи 200–300-відсоткового приросту залежно від індустрії», — розповів Рашинг про зростання кількості фішингових листів.
Про те, як уберегтися від атак хакерів і водночас не тримати в голові безліч паролів, читай у нашому матеріалі «Світ без паролів».
Зловмисники «грають» на наших почуттях
Не дивно, що останнім часом фішинг стає все більш вишуканим і ницим.
«Фішинг набуває потужнішої психологічності, маніпулюючи подіями в часі, аби стимулювати людський мозок до переходу до стану процесора-респондента, — зазначив Рашинг. — Використовуються останні новини про COVID, з переформулюванням у вимоги повідомляти про нові випадки коронавірусу серед вашого оточення. Навіть більше, розробки можуть бути ретельно продуманими. Тож усе має такий вигляд, неначе електронний лист справді надісланий із вказаного в ньому сайту новин».
Фішинг як явище підживлюється зростанням упевненості в тому, що це працює. Для хакера створити масову розсилку — просте завдання. Більш важливо те, що фішингове листування залишається поширеним, оскільки системні адміністратори, такі як Річард Рашинг, не мають змоги вплинути на ситуацію. Адже спроби технічно протидіяти кібератакам ідуть нанівець, доки шахраю вдається підштовхнути когось до відкриття електронного листа.
«Усе обертається навколо людської взаємодії та тисне на бажання людей бути корисними, — зазначає Рашинг. — Якщо я бачу, що ваші руки зайняті, я турботливо притримаю двері. Той самий інстинкт турботливості часто підштовхує до відповіді, коли ви отримуєте листа з проханням про допомогу».
Це бажання допомогти проявляється ще більше, коли електронний лист надходить від когось, хто стверджує, що пов’язаний із тобою, або схожий на офіційний електронний лист від твоєї компанії чи банку.
Жадібність — інша вада, яку експлуатують шахраї. Фігурантами ранніх прикладів фішингу є особи, які нібито живуть у країнах, що перебувають у стані війни. У листах ці особи стверджують, що мають мільйони доларів, які не можуть вивезти з країни, тому просять інформацію про твій банківський рахунок. У наші дні мисливці за даними найчастіше обіцяють 100-доларову подарункову карту в обмін на так звану «основну інформацію».
Страх, доповнений терміновістю, — ще один фішинговий прийом. Такі листи вимагають негайного зв’язку з кимось щодо нібито штрафів від органів влади чи проблем із твоєю кредитною карткою.
«Коли ми отримуємо повідомлення, в яких нас спонукають зробити щось просто зараз, то одразу спалахуємо, немов факел, — зазначив Рашинг. — Таким чином, щоразу ковтаємо наживку».
Риболовля на малька
Доки втрата грошей — один із ризиків, фішинг також поширюється. Хакери прагнуть маніпулювати робітниками, які працюють удома, і намагаються отримати власних інсайдерів усередині корпорацій, урядових агенцій, банків та інших цінних цільових об’єктів для отримання конфіденційних даних.
Отже, що ти можеш зробити, аби вступити в боротьбу із цією нескінченною проблемою? Річард Рашинг має кілька порад.
Як не попастися на гачок: поради експерта
Зрозумій, що це проблема, яка не зникне сама по собі й не має досконалих технічних рішень. Просто маючи це на увазі, ти вже зробиш крок до вирішення проблеми.
Завжди пам’ятай про підозрілі електронні листи, посилання чи вкладки. Зазвичай ці електронні листи вимагають негайних дій і здаються дещо незвичними. Якщо раніше тобі ніколи не траплявся такий електронний лист або високопоставлений керівник надіслав тобі електронного листа вперше, будь обережним. Наведи курсор на будь-які посилання та уважно вивчи адресу. Якщо вона тобі не відома, не натискай, доки не переконаєшся на 100%, що це безпечно.
Повідомляй про підозрілу діяльність. Це допоможе захистити всю організацію. Як правило, така кібератака здійснюється не на одну людину, лист отримують одночасно 10–300 осіб. Попередивши ІТ-фахівців, інциденту можна запобігти чи звести до мінімуму. У разі натискання на щось, на що не потрібно було натискати, негайно повідом про це свою ІТ-команду.
Використовуй здоровий глузд — довіряй своїй інтуїції. Це дуже важливо у фішингу. Зазвичай люди відчувають, що щось не так. Можливо, насторожує формулювання або виникає підозра: «Чому ця людина звертається до мене?». Можливо, хвилює граматика чи пунктуація. Якщо це здається неправильним, перевір і повідом ІТ-фахівців.
Електронні листи, текстові повідомлення, миттєві повідомлення із проханням увійти до облікового запису, запити на платіжну інформацію — НІКОЛИ не передавай конфіденційні дані. Немає жодної причини робити це. Спочатку перевір, хто відправник, знайди номер телефону й зателефонуй йому. Податкова служба, поліція чи інші органи державної влади не зв’язуватимуться з тобою через електронну пошту з важливих питань. Банк не писатиме тобі листи із проханням надати твої паспортні дані чи номер картки. Шахраї знають свою справу і вміють знаходити шматочки інформації про тебе, а потім майстерно переконують надати більше даних. Наприклад, доволі багато інформації про тебе можна дізнатися з акаунтів у соціальних мережах. Можливо, їм просто потрібен останній маленький елемент пазлу, не надавай його зловмисникам.
Не соромся: якщо сумніваєшся, проси про допомогу. Є безліч випадків, коли люди щось підозрюють, та все одно піддаються обману. Кібербезпека — поняття широке, й існує велика ймовірність того, що ти маєш справу з групою міжнародних злочинців. Пам’ятай: перевага на твоєму боці. Їм потрібна твоя інформація, а якщо ти її не надаєш, вони зазнають невдачі. Якщо ти не відкриваєш лист, не переходиш за посиланням, не надсилаєш свої дані, перемога за тобою. А якщо маєш сумніви, звернись до команди з кібербезпеки. Ніхто не покарає тебе за те, що ти ставишся до чогось підозріло.
Пам’ятаючи й виконуючи ці прості правила, ти вбережеш себе і свою компанію від кібератак, які можуть завдати шкоди репутації, фінансам чи технічній справності комп’ютера. Компанія Lenovo турбується про безпеку своїх користувачів, тому запроваджує опції захисту (фізичні та програмні) як у бізнес-пристроях, так і в ноутбуках для домашнього використання. Адже надійний захист від потенційних загроз — вимога нових реалій і те, чого прагнуть користувачі в усьому світі.
