Переход к дистанционной работе и учебе в течение 2020 года происходил одновременно со стремительным обострением извечной проблемы кибербезопасности — фишингом.
Почти такой же давний, как и электронная переписка, фишинг процветает благодаря мошенникам, рассылающим письма якобы из надежного источника, например твоего банка, госучреждения и даже твоей компании. Цель всегда одна — вынудить тебя к передаче конфиденциальной информации.
Фишинговые атаки представляют угрозу для всех, даже таких специалистов, как Ричард Рашинг — руководитель отдела информационной безопасности компании Motorola.
«Подобные атаки происходят по вертикали, сверху вниз, достигая 200–300-процентного прироста в зависимости от индустрии», — рассказал Рашинг о росте количества фишинговых писем.
О том, как уберечься от атак хакеров и в то же время не держать в голове множество паролей, читай в нашем материале «Мир без паролей».
Злоумышленники «играют» на наших чувствах
Неудивительно, что в последнее время фишинг становится все более изысканным и коварным.
«Фишинг становится все более мощным в психологическом плане, манипулируя событиями во времени, чтобы стимулировать человеческий мозг к переходу в состояние процессора-респондента, — отметил Рашинг. — Используются актуальные новости о COVID, с переформулировкой в требования сообщать о новых случаях коронавируса среди вашего окружения. Более того, атаки могут быть тщательно продуманными. Поэтому все выглядит, будто электронное письмо действительно прислано с указанного в нем новостного сайта».
Фишинг как явление подпитывается ростом уверенности в том, что это работает. Для хакера создать массовую рассылку — простая задача. Важнее то, что фишинговые переписки все еще распространены, поскольку системные администраторы, такие как Ричард Рашинг, не могут повлиять на ситуацию. Ведь попытки технически противодействовать кибератакам сходят на нет, пока мошеннику удается подтолкнуть кого-то к открытию электронного письма.
«Все вращается вокруг человеческого взаимодействия и давит на желание людей быть полезными, — отмечает Рашинг. — Если я вижу, что ваши руки заняты, я заботливо придержу двери. Тот же инстинкт заботливости часто подталкивает к ответу, когда вы получаете письмо с просьбой о помощи».
Это желание помочь проявляется еще больше, когда электронное письмо приходит от того, кто утверждает, что связан с тобой, или похоже на официальное электронное письмо от твоей компании или банка.
Жадность — другой недостаток, который эксплуатируют мошенники. Фигурантами ранних примеров фишинга являются лица, якобы живущие в странах, находящихся в состоянии войны. В письмах эти лица утверждают, что располагают миллионами долларов, которые не могут вывезти из страны, поэтому просят информацию о твоем банковском счете. В наши дни охотники за данными зачастую обещают 100-долларовую подарочную карту в обмен на так называемую «основную информацию».
Страх, дополненный срочностью, — еще один фишинговый прием. Такие письма требуют немедленной связи с кем-то из-за якобы штрафов от органов власти или проблем с твоей кредитной карточкой.
«Когда мы получаем сообщения, в которых нас побуждают сделать что-то прямо сейчас, то сразу вспыхиваем, как факел, — отметил Рашинг. — Таким образом, каждый раз проглатываем наживку».
Рыбалка на малька
Пока потеря денег — один из рисков, фишинг также распространяется. Хакеры стремятся манипулировать людьми, которые работают дома, и пытаются получить собственных инсайдеров внутри корпораций, правительственных агентств, банков и других ценных целевых объектов для получения конфиденциальных данных.
Итак, что ты можешь сделать, чтобы вступить в борьбу с этой бесконечной проблемой? У Ричарда Рашинга есть несколько советов.
Как не попасться на крючок: советы эксперта
Пойми, что это проблема, которая не исчезнет сама по себе и не имеет совершенных технических решений. Учитывая это, ты уже сделаешь шаг к ее решению.
Всегда помни о подозрительных электронных письмах, ссылках или вкладках. Обычно эти электронные письма требуют немедленных действий и кажутся несколько необычными. Если раньше тебе никогда не встречалось такое письмо или высокопоставленный руководитель прислал тебе e-mail впервые, соблюдай осторожность. Наведи курсор на любую ссылку и внимательно изучи адрес. Если он тебе не известен, не нажимай, пока не убедишься на 100%, что это безопасно.
Сообщай о подозрительной деятельности. Это поможет защитить всю организацию. Как правило, такая кибератака осуществляется не на одного человека, письмо получают одновременно 10–300 человек. Предупредив ИТ-специалистов, инцидент можно предотвратить или свести к минимуму. При нажатии на что-то, на что не нужно было нажимать, немедленно сообщи об этом своей ИТ-команде.
Используй здравый смысл — доверяй своей интуиции. Это очень важно в фишинге. Обычно люди чувствуют, что что-то не так. Возможно, настораживает формулировка или возникает подозрение: «Почему этот человек обращается ко мне?». Возможно, волнует грамматика или пунктуация. Если это кажется неправильным, проверь и сообщи ИТ-специалистам.
Электронные письма, текстовые сообщения, мгновенные сообщения с просьбой войти в аккаунт, запросы на платежную информацию — НИКОГДА не передавай конфиденциальные данные. Нет ни единой причины делать это. Сначала проверь, кто отправитель, найди номер телефона и позвони ему. Налоговая служба, полиция или другие органы государственной власти не будут связываться с тобой через электронную почту по важным вопросам. Банк не будет писать тебе письма с просьбой предоставить твои паспортные данные или номер карты. Мошенники знают свое дело и умеют находить кусочки информации о тебе, а потом искусно убеждают предоставить больше данных. Например, довольно много информации о тебе можно узнать из аккаунтов в социальных сетях. Возможно, им просто нужен последний маленький элемент пазла, не передавай его злоумышленникам.
Не стесняйся: если сомневаешься, проси о помощи. Есть масса случаев, когда люди что-то подозревают, но их все равно удается обмануть. Кибербезопасность — понятие широкое, и существует большая вероятность того, что ты имеешь дело с группой международных преступников. Помни: преимущество на твоей стороне. Им нужна твоя информация, а если ты ее не даешь, они терпят неудачу. Если ты не открываешь письмо, не переходишь по ссылке, не отправляешь свои данные, победа за тобой. А если есть сомнения, обратись к команде по кибербезопасности. Никто не накажет тебя за то, что ты относишься к чему-то подозрительно.
Помня и выполняя эти простые правила, ты убережешь себя и свою компанию от кибератак, которые могут нанести ущерб репутации, финансам или технической исправности компьютера. Компания Lenovo заботится о безопасности своих пользователей, поэтому внедряет опции защиты (физические и программные) как в бизнес-устройствах, так и в ноутбуках для домашнего использования. Ведь надежная защита от потенциальных угроз — требование новых реалий и то, к чему стремятся пользователи во всем мире.
