Фішингові листи та витік даних. Як уникнути проблем з безпекою в Інтернеті
Стаття написана в співавторстві з Даниїлом Журавчаком
Коли справа стосується безпеки, ми, працівники ІТ-сфери, можемо нехтувати нею, надаючи перевагу зручності. Знаємо це, бо давно працюємо в ІТ, а нещодавно виступали на Lohika Morning з темою «Security Awareness». Ця стаття допоможе вам згадати трохи забуті практики безпеки в інтернеті або ж знайти щось нове зі світу кібербезпеки. Крім цього, на вас чекають багато прикладів фішингових листів і декілька історій про компанії, які втрачали дані своїх клієнтів.
Як часто ви звертаєте увагу на наявність HTTPS на вебсторінці? Чи використовуєте мультифакторну автентифікацію? Звертаєте увагу на поле «відправник» у рекламній розсилці на пошті?
Тренінги Security awareness у наш час є буденною рутиною для ІТ-спеціалістів, більшість з нас проходить їх по декілька разів на рік. Саме тому багато працівників сприймають подібні тренінги як марнування часу, адже такі речі «і так цілком зрозумілі». Ми ж спробуємо показати security awareness з іншого боку, менш офіційно, не для галочки і, як кажуть, «для людей».
Однією з найбільших загроз як для компаній, так і для пересічних громадян є соціальна інженерія. Якщо коротко, соціальна інженерія — це техніка, яка змушує людину зробити те, що вона робити не має. У такому випадку метою зловмисника є саме людина (не надто уважна або освічена), а змусити її натиснути на потрібне посилання або запустити шкідливий файл набагато простіше, ніж, наприклад, пройти всю систему захисту компанії разом з усіма антивірусами, фаєрволами і SIEM-системами. А враховуючи те, що після нещодавніх випадків з гучними кібератаками компанії почали виділяти солідні бюджети на кібербезпеку, задача «дістатися до чутливої інформації» всередині гарно захищеної організації вимагатиме майже нереальних коштів, зусиль і часу.
Декілька років тому в шоу Джиммі Кіммела провели експеримент: людей на вулиці запитували про надійність їхніх паролів з метою компрометації. В результаті цього експерименту сила-силенна незнайомців охоче йшла назустріч інтерв’юерам і легко ділилися своїми паролями від соціальних мереж і поштових скриньок. Цей випадок свідчить, що виманити пароль у користувача може бути навіть простіше, ніж здається, і що інколи люди не дотримуються, здавалось б, очевидних правил приватності і безпеки.
Фішинг
Найактуальнішою реалізацією соціальної інженерії є фішинг. Нижче — приклад фішингового листа, в якому є одразу декілька характерних ознак того, що цей лист не було відправлено з чесними намірами.
- Фішинговий поштовий домен. Перше, що впадає у вічі — це недійсний поштовий домен: в слові «Amazon» не вистачає букви «а» на початку.
- Узагальнене звернення. Як бачимо, в цьому листі не вказується ім’я або нікнейм людини, якій адресований лист: швидше за все, зловмисник його і не знає.
- Підозріле посилання або вкладення. Найголовніше — фішингове посилання, перейшовши за яким, користувач швидше за все має ввести свої облікові дані начебто для автентифікації. В іншому, також популярному сценарії, замість посилання лист може містити вкладення у вигляді документу, таблиці або будь-якого файлу, який має змогу виконувати шкідливий код.
Головний фактор, який сприяє успішному фішингу — неуважність користувача. Але крім цього зловмисник може оперувати цілим спектром людських емоцій і потреб. Розглянемо детальніше:
Бажання легкої наживи або жадібність. Неочікуваний виграш у лотереї? А як щодо подвоєння всіх біткоїнів?
Тривога. Погодьтесь, нікому не сподобається лист про те, що у вашому PayPal або Monobank помітили підозрілу активність. У такому випадку для перевірки краще зайти до офіційного додатку або на сайт.
Цікавість. Ще одне дуже вразливе місце, адже кому буде нецікаво подивитись на помилково відправлену вам зарплатну звітність або на фотографії з корпоративу, на який ви не змогли потрапити?
Симпатія. Якщо ми живемо за часів, коли можна зустріти рекрутерів ІТ-компаній у тіндері, то чому б не спробувати подібні платформи для фішингу?
Бонус-трек. Колись траплялись і такі випадки.
Отже, висновки:
- Don’t click shit.
- Не відкривайте, не натискайте, не запускайте підозрілі файли, посилання та програми.
- Підозрілими можуть бути ті файли або посилання, на які ви не очікували.
Для профілактики фішингу існує вичерпна пам’ятка щодо того, як не стати кібержертвою, яку розробив засновник OWASP Kyiv Влад Стиран.
Витік даних
Наступна загроза, з якою має справу сучасний бізнес, витоки даних (Data leakage). Витік даних — це несанкціонована передача даних за межі організації, якій вони належать, або ж просто потрапляння цих даних у відкритий доступ. За тим, наскільки часто трапляються витоки чутливої інформації, можна стежити вживу: наприклад, в твітері за хештегами #leakage або #databreach ви гарантовано знайдете декілька свіжих витоків даних, які сталися за сьогодні.
Згадаймо, які найгучніші витоки даних трапилися минулого року.
Facebook. У квітні 2019 ресерчери з UpGuard знайшли відразу два набори даних, в одному з яких містилось понад 540 мільйонів записів (лайки, коментарі, імена акаунтів, Facebook ID тощо). У другому датасеті знаходились фото, дописи і паролі користувачів від додатку, який використовував фейсбук. За словами UpGuard, паролі стороннього додатку цілком могли бути ідентичними до паролів Facebook-акаунтів. Взагалі квітень минулого року виявився непростим для компанії, оскільки, окрім вищезгаданого, того ж місяця Facebook визнав, що протягом тривалого часу зберігав користувацькі паролі до мережі Instagram в незашифрованому вигляді, що є яскравим прикладом, «як не треба зберігати користувацькі паролі».
First American Financial. Одна з найбільших компаній США, яка позиціонує себе як третя сторона в операціях, пов’язаних з нерухомістю, залишила у відкритому доступі приблизно 885 мільйонів записів, які в травні минулого року знайшов експерт з безпеки Браян Кребс. Найстаріший документ, який можна було знайти, датувався 2003 роком, а найновіший — 2019. Пізніше First American виправили проблему і видалили датасет.
Capital One. Банківська холдингова компанія, що спеціалізується на кредитних картках, банківських та ощадних рахунках, у липні минулого року заявила, що дані приблизно 100 мільйонів мешканців Сполучених Штатів і 6 мільйонів мешканців Канади вкрадено хакерами. Це означало, що якщо ви завели рахунок у Capital One між 2005 і 2019 роком, то, швидше за все, ваші дані також потрапили до рук зловмисників. Втрачені дані містили номери соціального страхування, номери банківських рахунків, імена, домашні адреси, поштові індекси, дати народження і email-адреси клієнтів. Незважаючи на велику кількість втрачених даних, Capital One запевнили, що жоден кредитний рахунок або пароль не скомпрометовано, а отже, ніхто постраждав. Згодом за підозрою у вчиненні цієї атаки ФБР заарештувало
Adobe. У жовтні 2019 від масивного витоку даних постраждала компанія Adobe. У результаті атаки до рук зловмисників потрапила інформація приблизно 2,9 мільйона користувачів сервісів Adobe. Інформація, яку отримали хакери, включала користувацькі Adobe ID, зашифровані паролі, імена, зашифровані номери кредитних карток. У цьому випадку розслідування ФБР винуватців не знайшло. Adobe, в свою чергу, пообіцяли користувачам, персональні дані яких були скомпрометовані, безкоштовний рік підписки на свої сервіси.
З усіх цих випадків можна зробити чіткий висновок — витоки даних стаються, і майже ніхто від них не застрахований. Чи можна повністю убезпечити себе від подібних небажаних акцій? Відповідь — ні.
Проте існує декілька простих порад, які допоможуть почувати себе в безпеці трохи більше і [можливо] убережуть від надмірної параної в інтернеті.
Як мінімізувати загрози
Для початку можна дізнатись, чи було помічено ваш email в якомусь з публічних витоків даних. Для таких цілей існує сервіс Have i been pwned?, який створив австралійський експерт з безпеки, а також, за сумісництвом, регіональний директор Microsoft Трой Хант. HIBP був створений як безкоштовний ресурс для будь-кого, щоб швидко зрозуміти, чи є акаунти, пов’язані з вашим email, скомпрометованими або ж поміченими у витоках даних.
Усе, до чого зводиться використання сервісу — це введення свого email в поле пошуку. Після цього ресурс відповість, чи була введена поштова адреса помічена в інцидентах, пов’язаних з витоками інформації.
У разі, якщо витоки даних, які включають в себе ваш email, все ж траплялись, варто одразу змінити пароль ураженого облікового запису. Крім того, ніколи не завадить увімкнути двофакторну автентифікацію усюди, де це можливо.
Наступна важлива річ, про яку всі (або майже всі) знають, але, можливо, не всі використовують — парольний менеджер. Заради питань безпеки завжди варто використовувати складні, довгі і, найголовніше, різні для усіх ресурсів паролі. Очевидно, запам’ятати таку значну кількість паролів неможливо, а це означає, що парольний менеджер стає не просто додатковим софтом, а життєво необхідною утилітою. На сьогоднішній день на ринку менеджерів паролів представлено цілу низку рішень з варіацією різного додаткового функціоналу.
З open-source рішень можна виділити KeePass — утиліту, яка зберігатиме ваші паролі локально в зашифрованій базі даних.
З комерційних аналогів можна обрати 1Password — за 3 долари на місяць ви отримаєте підтримку всіх популярних платформ (додатки для iOS і Android) і необмежену кількість паролів для зберігання. А в парольному менеджері від Dashlane, окрім безпечного сховища паролів, як додатковий функціонал пропонується навіть VPN.
Підсумовуючи
Отже, замість висновку — декілька порад, які зможуть загалом підвищити рівень вашої особистої безпеки і приватності в інтернеті:
- Не клікайте на невідомі посилання і не запускайте атачменти в підозрілих електронних листах. Так, це звучить надто очевидно, але насправді ідентифікувати реальний фішинговий лист не завжди просто.
- Прочитайте пам’ятку, як не стати кібержертвою.
- За можливістю в невідомих мережах користуйтесь проксі або VPN.
- Використовуйте haveibeenpwned.com.
- Використовуйте парольні менеджери. Ціна в 3 долари на місяць не така велика в порівнянні з ціною ваших особистих даних.
- Використовуйте багатофакторну автентифікацію, як мінімум, на найважливіших сервісах, якими користуєтесь (пошта, інтернет-банкінг).
Як бачимо, коли йдеться про безпеку, поради можуть бути досить простими і очевидними, на перший погляд. Але ми віримо, що, навіть дотримуючись цієї базової пам’ятки, перебування в інтернеті можна зробити більш приватним і безпечним.
