Spear phishing (целевой фишинг) — это не охота с острогой на крупную рыбу. Это направленная атака на ваши персональные данные. Обновленная версия старого приема — фишинга, при котором злоумышленники просто пытаются похитить у вас ваш пароль или другую персональную информацию. Spear phishing переводит этот прием на более высокий уровень, используя направленную социальную инженерию.
Данная статья предназначена для формирования у вас понимания того, как можно защитить себя от подобных атак, затруднить работу злоумышленников.
Что это такое
Spear phishing эффективно использует все данные, которые можно найти о вас в Интернете, чтобы убедить вас и убаюкать ваше внимание, прежде чем попытаться получить ваши персональные данные. Поскольку этот метод достаточно успешен, на его долю приходится приблизительно 91% всех фишинговых атак в США сегодня.
Откуда злоумышленники берут информацию о вас? Да вы сами размещаете в социальных сетях сведения о себе, начиная от города, в котором вы родились и выросли, школы, в которой учились, и заканчивая названием любимой футбольной команды, кличкой вашего домашнего любимца, вашим днем рождения, именем вашего супруга, именами и датами рождения ваших детей, вашими фотографиями и т. д.
Все это весьма полезная информация для злоумышленников. К тому же еще есть и приложения, которые вы используете в социальных сетях. Все помнят недавнюю атаку с помощью музыкального плейера, проигрывавшего музыку из социальной сети «ВКонтакте», а ведь жертвами ее пали более 1 млн. пользователей.
Или возьмите огромное количество опросов и тестов на Facebook. Вы думаете, что их создатели не собирают о вас информацию? А кто-то задумался — для чего? Почему такие тесты появляются все чаще и чаще? Да еще и бесплатно? Как потом используется полученная информация? Помните, что если вы не продавец и не покупатель, то вы просто товар!
Как только у злоумышленника есть хотя бы часть ваших персональных данных, наступает время для отсылки электронной почты на ваш адрес. На спам данное письмо походить никак не будет. Фактически, более всего это будет похоже на письмо от вашего друга, на письмо, написанное вам от вашего делового партнера. Более того, это может быть даже запрос от имени магазина о покупке, недавно сделанной вами онлайн.
Как вы можете себя защитить
Spear phishing может быть гораздо более изощренным, чем фишинг старого образца, но все же стоит применить приемы здравого смысла:
· никогда не размещайте излишнюю информацию о себе в социальных сетях. Всегда используйте минимум информации, который необходим для регистрации на сайте;
· настройте вашу безопасность вашего профиля в социальной сети. Чем меньшее количество людей будет иметь доступ к полной информации о вас, тем меньше информации будут иметь злоумышленники;
· не регистрируйтесь в системе для приложений социальных сетей, особенно если вы не уверены в безопасности таких приложений или не уверены в источниках получения таких приложений. Ведь каждый новый источник, для использования которого вы регистрируетесь может быть уже взломан злоумышленниками;
· используйте устойчивые пароли. Используйте различные пароли для разных сайтов и приложений. Помните, что все приложения уязвимы для атак. Менеджеры паролей могут генерировать строгие пароли. Это поможет вам не помнить все пароли, а только один, чтобы разблокировать сам менеджер паролей;
· регулярно обновляйте свое программное обеспечение (как компьютера, так и планшета, и смартфона). Особенно программное приложение, обеспечивающее безопасность вашего компьютера;
· не забывайте о здравом смысле, отвечая на электронные письма. Получив письмо от вашего друга, помните, что это письмо вы могли получить и от злоумышленника. Еще более важно об этом помнить, если вы получаете это письмо от делового партнера.
Если вы стали жертвой атаки spear phishing, вам могут потребоваться недели и месяцы чтобы восстановить защиту. Однако если использовать вышеуказанные советы, то вероятность оказаться жертвой значительно уменьшается.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.
