Як розпізнати фішинг: візуальні та технічні ознаки шахрайства

Ви знаєте, як виглядає фішинг. Помилки в словах, підозрілі посилання, нігерійські принци. Ви пройшли навчання. Ви здали тести.

І все ж.

Десь зараз хтось, хто все це знає, натискає на посилання, на яке не слід. Не тому, що він необережний або дурний, а тому, що зайнятий, відволікається, а лист виглядав достатньо легітимно.

Виявлення фішингу не про знання. Це про звички, які спрацьовують автоматично, навіть коли ви думаєте не чітко.

Більшість фішингових листів не витримують швидкої перевірки. Проблема в тому, що ми не робимо цю перевірку. Ми бачимо лист, реагуємо, натискаємо. Фокус у тому, щоб вбудувати паузу в цю реакцію:

1. Чи це було очікуване? Неочікувані запити облікових даних, платежів або конфіденційних даних є підозрілими за замовчуванням.

2. Чи контекст має сенс? Лист “ваш акаунт заблоковано” від сервісу, який ви не використовуєте, очевидно фальшивий. Але навіть для сервісів, які ви використовуєте, чи ви робили щось, що могло б це спричинити?

3. Хто це надіслав? Подивіться на фактичну адресу електронної пошти, а не тільки на відображуване ім’я. “PayPal Security” з security-paypal@mail-verify.net це не PayPal.

Більшість фішингових спроб не проходять цей 3-секундний тест. Ті, що проходять, заслуговують на пильнішу увагу.

URL-адреси найважче підробити зловмисникам. Навчіться їх читати.

https://account.paypal.com/login розкладається як:

• https:// - Протокол (повинен бути HTTPS для будь-якої авторизації)
• account.paypal.com - Домен (це те, що має значення)
• /login - Шлях (менш важливий для легітимності)

Домен це все між :// і наступним /. Всередині домену читайте справа наліво:

• paypal.com - Це фактичний домен (належить PayPal)
• account. - Це субдомен (контролюється власником paypal.com)

Зловмисники використовують кілька прийомів:

Обман субдоменами:

• paypal.account-verify.com - Домен account-verify.com, а не PayPal
• secure-paypal.com.malicious.net - Домен malicious.net

Тайпосквотинг:

• paypai.com (мала L замість малої l)
• paypa1.com (цифра 1 замість малої l)
• paypal-secure.com (додавання слів до легітимного бренду)

Гомографічні атаки:

• Використання символів з різних алфавітів, що виглядають ідентично
• pаypal.com з кириличною ‘а’ замість латинської ‘a’

На десктопі наводьте курсор на посилання, щоб побачити їхнє призначення перед натисканням. На мобільному довго натискайте на посилання для попереднього перегляду URL.

Якщо відображуваний текст каже “www.paypal.com”, але посилання веде кудись ще, це фішинг.

Відображуване ім’я електронної пошти може бути будь-яким. Значення має фактична адреса.

Легітимні:

• service@paypal.com
• noreply@email.chase.com

Підозрілі:

• paypal-service@gmail.com
• support@paypal.security-verify.com
• alert@paypal.com.suspicious-domain.net

Терміновість без конкретики:

• “Ваш акаунт буде заблоковано через 24 години” - Який акаунт? Чому?
• Легітимні сервіси надають конкретні деталі про проблеми

Загальні привітання:

• “Шановний клієнте” або “Шановний користувачу”, коли легітимні листи використовували б ваше ім’я

Граматика та форматування:

• Легітимні компанії мають професійних копірайтерів та процеси контролю якості
• Помилки свідчать про поспішне, непрофесійне походження

Невідповідне брендування:

• Неправильні кольори логотипу, шрифти або макети
• Зображення, які виглядають розтягнутими або піксельними
• Інформація в нижньому колонтитулі, що не відповідає заявленому відправнику

Будьте особливо обережні з:

• Неочікуваними вкладеннями від будь-кого
• Типами файлів, що можуть виконувати код (.exe, .js, .html, .zip з виконуваними файлами)
• Вкладеннями “Рахунок” або “Документ”, яких ви не очікували
• Файлами, захищеними паролем (зловмисники використовують це для обходу сканерів безпеки)

Коли ви потрапляєте на вебсайт (через посилання з листа чи пряму навігацію), перевірте легітимність перед введенням облікових даних.

HTTPS з дійсним сертифікатом необхідний, але недостатній. Зловмисники теж отримують SSL-сертифікати.

Що перевіряти:

• Натисніть на іконку замка, потім перегляньте деталі сертифіката
• Переконайтеся, що сертифікат виданий очікуваній організації
• Перевірте, чи не закінчився термін дії сертифіката

Чого сертифікати не говорять:

• Що сайт легітимний
• Що ваші дані в безпеці
• Що ви повинні довіряти організації

Фішинговий сайт може мати цілком дійсний SSL-сертифікат.

Порівняйте зі своєю пам’яттю про легітимний сайт:

• Чи кольори точно правильні?
• Чи логотип правильний?
• Чи макет такий, як ви очікуєте?
• Чи шрифти виглядають професійно?

Якщо сумніваєтеся, перейдіть на сайт безпосередньо, набравши URL або використовуючи закладку. Не довіряйте посиланням.

Фішингові сайти часто реалізують лише сторінки, потрібні для крадіжки облікових даних.

Ознаки підробки:

• Посилання нижнього колонтитула, що нікуди не ведуть або ведуть на непов’язані сторінки
• Посилання “Забули пароль” або “Створити акаунт”, що не працюють
• Відсутня функціональність, яку мав би справжній сайт
• Повідомлення про помилки, що не мають сенсу

Перевірте, коли домен був зареєстрований:

• Легітимні домени компаній зазвичай існують роками
• Фішингові домени часто реєструються за дні чи тижні до атак

Використовуйте команду whois або онлайн-інструменти для перевірки віку домену.

Пошукайте у логах прозорості сертифікатів для домену, щоб побачити:

• Коли сертифікати були видані
• Скільки сертифікатів існує для домену
• Чи історія сертифікатів відповідає очікуванням

Для технічних користувачів:

• Перевірте мережеві запити, щоб побачити, куди дані дійсно надсилаються
• Перевірте на підозрілий JavaScript
• Подивіться URL-адреси дій форм

1. Не натискайте нічого у підозрілому повідомленні
2. Повідомте, переславши своїй IT-команді безпеки або використовуючи кнопку повідомлення про фішинг
3. Видаліть з поштової скриньки, щоб уникнути випадкових натискань у майбутньому

1. Негайно закрийте вкладку
2. Очистіть кеш браузера
3. Запустіть сканування на шкідливе ПЗ
4. Стежте за незвичною активністю

1. Негайно змініть пароль на легітимному сайті
2. Увімкніть 2FA, якщо ще не активовано
3. Перевірте несанкціоновану активність у постраждалому акаунті
4. Повідомте інцидент IT-безпеці
5. Перевірте пов’язані акаунти. Якщо ви повторно використовуєте паролі, змініть і ті. Програма безпеки паролів, що включає менеджери паролів та MFA, зменшує радіус ураження скомпрометованих облікових даних

Зробіть верифікацію автоматичною, а не виключною:

• Завжди перевіряйте адреси відправників
• Завжди наводьте курсор на посилання перед натисканням
• Завжди переходьте безпосередньо для конфіденційних дій

Це ті самі інстинкти, які захищають від смішингу та вішингу також. Канал змінюється, але рефлекс верифікації залишається тим самим.

Вважайте неочікувані запити підозрілими, поки не буде підтверджено:

• Банки не надсилають листів із запитом облікових даних
• Техпідтримка не дзвонить без запиту
• Легітимна терміновість супроводжується конкретними деталями, які можна перевірити

Розуміння принципів соціальної інженерії за цими атаками допомагає бачити крізь них, незалежно від способу доставки.

Якщо запит може бути легітимним:

• Зателефонуйте компанії за номером з їхнього офіційного сайту (не з листа)
• Перейдіть безпосередньо на сервіс і перевірте свій акаунт
• Зв’яжіться з передбачуваним відправником через відомий надійний метод

Для організацій, що будують можливості виявлення фішингу:

Регулярні симульовані фішингові кампанії:

• Встановлюють базовий рівень натискань
• Забезпечують негайне навчання, коли співробітники натискають
• Відстежують покращення з часом
• Коригують складність у міру покращення навичок

Якщо ви оцінюєте платформи, наше порівняння альтернатив KnowBe4 охоплює, на що звертати увагу.

Зробіть звітування простим:

• Кнопки звітування про фішинг в один клік у поштових клієнтах
• Відсутність покарання за помилкові повідомлення
• Зворотний зв’язок щодо повідомлених елементів для підкріплення правильної поведінки

Постійні точки контакту:

• Короткі нагадування про поточні тенденції фішингу
• Приклади реальних атак на вашу галузь
• Визнання для співробітників, які виявляють та повідомляють про спроби

Структурована програма навчання з кібербезпеки перетворює ці точки контакту на вимірюваний розвиток навичок. Для більш практичних підходів дослідіть вправи з кібербезпеки, що виходять за межі слайдових презентацій.

Стежте за витонченими варіантами, як-от бочковий фішинг, де перший лист нешкідливий, а продовження містить атаку, та вейлінг, що цілить у керівників з високоперсоналізованими приманками. Наша вправа зі спір-фішингу тренує співробітників виявляти ці цілеспрямовані атаки перед натисканням.

Ось що я помітив, спостерігаючи за тисячами людей, які проходять фішингові симуляції: ті, хто виявляє атаки, не є найбільш обізнаними щодо безпеки. Це ті, хто вбудував перевірку у свій робочий процес.

Вони наводять курсор на кожне посилання. Не тому, що вони підозрюють конкретний лист, а тому, що це просто те, що вони роблять. Вони перевіряють адреси відправників так само, як перевіряють дзеркала перед зміною смуги. Автоматично.

Мета не в тому, щоб стати параноїком. Це зробити верифікацію настільки рутинною, що вам не потрібно про неї думати.

Більшість фішингових спроб очевидні, коли ви подивитеся. Фокус у тому, щоб пам’ятати дивитися, коли ви втомлені, поспішаєте або просто намагаєтеся розібратися з поштою до обіду.

Формуйте навички виявлення через практику, а не лише навчання. Спробуйте нашу безкоштовну вправу з фішингу, щоб перевірити свої рефлекси проти реалістичної атаки, або потренуйтесь у виявленні варіантів зворотного фішингу та бочкового фішингу. Перегляньте наш повний каталог навчання з кібербезпеки для більше вправ.