Blog

Згідно з дослідженням Deloitte, 91% кібератак все ще починаються з електронного листа.

Це число мало змінилося за роки. Ми розгорнули спам-фільтри, безпечні поштові шлюзи, AI-виявлення аномалій та десяток інших технічних контролів. Зловмисникам все одно. Коли одну тактику блокують, вони пробують іншу. Коли виявлення ловить патерн, вони змінюють патерн.

Технологічна гонка озброєнь не може бути виграна сама по собі. Навчені співробітники додають інший вид захисту, який застосовує судження та розпізнає контекст. Добре створений спір-фішинговий лист може проскочити через кожен фільтр, але співробітник, який знає, що потрібно верифікувати неочікувані запити, все одно зупинить атаку.

Ви знаєте, як виглядає фішинг. Помилки в словах, підозрілі посилання, нігерійські принци. Ви пройшли навчання. Ви здали тести.

І все ж.

Десь зараз хтось, хто все це знає, натискає на посилання, на яке не слід. Не тому, що він необережний або дурний, а тому, що зайнятий, відволікається, а лист виглядав достатньо легітимно.

Виявлення фішингу не про знання. Це про звички, які спрацьовують автоматично, навіть коли ви думаєте не чітко.

Ваш телефон вібрує. Текст від вашого “банку” каже, що виявлено підозрілу активність на вашому рахунку. Натисніть тут для верифікації. Посилання виглядає легітимним. Повідомлення термінове.

Ви вже тягнетесь до посилання, ще не дочитавши.

Саме ця реакція робить смішинг ефективним. SMS-фішинг успішний там, де email провалюється, тому що ми роками навчались не довіряти нашим поштовим скринькам. Ніхто не навчив нас підозрювати текстові повідомлення.

Коли зловмисники хочуть максимального ефекту, вони не надсилають масові листи в надії, що хтось натисне. Вони досліджують CEO, CFO або члена правління тижнями. Вони створюють ідеальне повідомлення. Вони чекають на правильний момент для удару.

Це вейлінг: спрямований фішинг, що таргетує керівників. Він відповідає за деякі з найбільших індивідуальних збитків від шахрайства в історії кібербезпеки.

Телефон дзвонить. IT-підтримка каже, що на вашому обліковому записі інцидент безпеки. Їм потрібен ваш пароль для скидання та захисту ваших даних. Абонент звучить професійно, може трохи стурбовано. На вашому визначнику відображається реальний номер вашої компанії.

Ви даєте їм свій пароль.

Я бачив, як це трапляється з розумними, обізнаними з безпеки людьми. Вони знали краще. У цей момент це не мало значення. Саме це робить вішинг настільки ефективним.