Ви знаєте, як виглядає фішинг. Помилки в словах, підозрілі посилання, нігерійські принци. Ви пройшли навчання. Ви здали тести.
І все ж.
Десь зараз хтось, хто все це знає, натискає на посилання, на яке не слід. Не тому, що він необережний або дурний, а тому, що зайнятий, відволікається, а лист виглядав достатньо легітимно.
Виявлення фішингу не про знання. Це про звички, які спрацьовують автоматично, навіть коли ви думаєте не чітко.
Ваш телефон вібрує. Текст від вашого “банку” каже, що виявлено підозрілу активність на вашому рахунку. Натисніть тут для верифікації. Посилання виглядає легітимним. Повідомлення термінове.
Ви вже тягнетесь до посилання, ще не дочитавши.
Саме ця реакція робить смішинг ефективним. SMS-фішинг успішний там, де email провалюється, тому що ми роками навчались не довіряти нашим поштовим скринькам. Ніхто не навчив нас підозрювати текстові повідомлення.
Коли зловмисники хочуть максимального ефекту, вони не надсилають масові листи в надії, що хтось натисне. Вони досліджують CEO, CFO або члена правління тижнями. Вони створюють ідеальне повідомлення. Вони чекають на правильний момент для удару.
Це вейлінг: спрямований фішинг, що таргетує керівників. Він відповідає за деякі з найбільших індивідуальних збитків від шахрайства в історії кібербезпеки.
Телефон дзвонить. IT-підтримка каже, що на вашому обліковому записі інцидент безпеки. Їм потрібен ваш пароль для скидання та захисту ваших даних. Абонент звучить професійно, може трохи стурбовано. На вашому визначнику відображається реальний номер вашої компанії.
Ви даєте їм свій пароль.
Я бачив, як це трапляється з розумними, обізнаними з безпеки людьми. Вони знали краще. У цей момент це не мало значення. Саме це робить вішинг настільки ефективним.
Ваші працівники давно перестали працювати з захищених офісних мереж. Вони отримують доступ до корпоративних даних зі смартфонів у публічних WiFi, планшетів у кав’ярнях та ноутбуків у домашніх офісах. Цей зсув розширив вашу поверхню атаки способами, за якими більшість програм навчання безпеки ще не встигла.
Зловмисники помітили це раніше за вас. Мобільні атаки, такі як смішинг (SMS-фішинг), зросли понад 300% за останні роки, за даними звіту Proofpoint State of the Phish 2023. Той самий працівник, що ретельно оцінює кожен email на робочому комп’ютері, натисне на шкідливе посилання на телефоні, не замислившись. Ця прогалина між десктопною обережністю та мобільною безтурботністю — це де відбуваються зломи.
